Trang website của Công ty TNHH Việt Bis Bảng 2.1: Báo cáo kết quả kinh doanh của công ty TNHH Việt Bis Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty Biểu đồ 2.1: Mức độ ứng d
Trang 1LỜI CẢM ƠN
Em rất vinh dự và tự hào khi mình là một sinh viên khoa Hệ thống thông tin kinh
tế, trường Đại học Thương Mại Tại đây, em được học tập, rèn luyện và hoạt độngtrong môi trường năng động, một môi trường giáo dục tiên tiến
Em xin cám ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế đã tận tìnhdạy bảo, giúp đỡ và truyền đạt cho em khối kiến thức nền tảng cùng những kinhnghiệm sống, tư tưởng, tư duy làm hành trang cho em bước vào đời
Và đặc biệt, em xin chân thành cám ơn ThS Nguyễn Thị Hội - người đã tận tìnhhướng dẫn, chỉ bảo để em có thể hoàn thành tốt bài khóa luận tốt nghiệp với đề tài:
“Một số giải pháp bảo mật cho website của công ty TNHH Việt Bis”
Em cũng xin chân thành cảm ơn Ban Giám đốc và toàn thể cán bộ, nhân viên củaCông ty TNHH Việt Bis đã cung cấp số liệu, những kinh nghiệm thực tế và tạo điềukiện thuận lợi cho em trong suốt quá trình thực tập để em có thể hoàn thành tốt bàikhóa luận này
Em xin chân thành cảm ơn!
Trang 2MỤC LỤC
Hình 3.1: Tường lửa cho hệ thống mạng iii
PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1
1.3 Mục tiêu nghiên cứu đề tài 3
1.4 Đối tượng và phạm vi nghiên cứu đề tài 4
1.4.1 Đối tượng nghiên cứu đề tài 4
1.4.2 Phạm vi nghiên cứu đề tài 4
1.5.1 Phương pháp thu thập dữ liệu 4
1.5.2 Phương pháp nghiên cứu 5
1.6 Kết cấu của bài khóa luận 5
2.1.2.2 Các nguy cơ tấn công vào website 10
Hình 3.1: Tường lửa cho hệ thống mạng 23
Trang 3DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Sơ đồ 2.1: Cơ cấu tổ chức công ty TNHH Việt Bis
Hình 2.1 Trang website của Công ty TNHH Việt Bis
Bảng 2.1: Báo cáo kết quả kinh doanh của công ty TNHH Việt Bis
Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty
Biểu đồ 2.1: Mức độ ứng dụng mô hình HTTT
Biểu đồ 2.2: Tỷ lệ nhân viên có sử dụng máy tính trong quá trình làm việcBiểu đồ 2.3: Mức độ an toàn bảo mật thông tin
Biểu đồ 2.4: Mức độ ứng dụng TMĐT
Biểu đồ 2.5: Tình hình bảo mật website của công ty
Hình 3.1: Tường lửa cho hệ thống mạng
\
Trang 4DANH MỤC TỪ VIẾT TẮT
AES Advanced Encryption Standard Chuẩn mã hóa nâng cao
SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc
Trang 5PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU
1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
1.1.1 Tầm quan trọng của vấn đề nghiên cứu
Website là thương hiệu của một doanh nghiệp, là nơi khách hàng có thể tìm thấycác thông tin về công ty Nói cách khác, website chính là bộ mặt của doanh nghiệp trênInternet, nhằm nâng tầm thương hiệu, tăng độ uy tín của doanh nghiệp, thu hút cáckhách hàng tiềm năng và là một kênh quan trọng để doanh nghiệp tiếp thị sản phẩmcủa mình tới mọi nơi trên thế giới
Tuy nhiên, nếu thông tin trên website không được bảo mật an toàn, khách hàng
sẽ thấy thiếu sự tin tưởng đối với doanh nghiệp Các thông tin trong các websitethường sẽ phải đối mặt với những nguy cơ mất an toàn như: bị truy cập bất hợp pháp,sao chép, Nguy hiểm hơn là khi các thông tin trong website bị thay đổi nội dungtrước khi được chuyển đến cho người nhận
Đối với các tài liệu có các thông tin bí mật, nhạy cảm liên quan đến chiến lượckinh doanh, các số liệu thông tin về nhân sự, tổ chức… khi trao đổi trong hệ thống màkhông có một biện pháp nào để bảo vệ thì nguy cơ bị mất an toàn và bảo mật là vôcùng lớn và như vậy hậu quả của việc mất an toàn và bảo mật dữ liệu là không thểlường được Chính vì vậy, bảo đảm được an toàn và bảo mật website là vấn đề rất quantrọng đối với mỗi doanh nghiệp hiện nay Nó sẽ quyết định đến sự phát triển và bềnvững của công ty trong nền kinh tế thị trường ngày nay
1.1.2 Ý nghĩa của vấn đề nghiên cứu
1.1.2.1 Ý nghĩa về mặt nghiên cứu
Cùng với sự phát triển mạnh mẽ của CNTT thì vấn đề ATBM website lại càng cầnđược quan tâm nhiều hơn trong mỗi doanh nghiệp Mức độ gặp rủi ro và mất an toàn cho
dữ liệu càng cao và nghiêm trọng Vì vậy, việc đảm bảo ATBM website có ý nghĩa rất quantrọng đối với sự phát triển bền vững cũng như uy tín của doanh nghiệp Rủi ro về thông tin
có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động sản xuất kinhdoanh của doanh nghiệp, ảnh hưởng lớn đến uy tín và danh dự của doanh nghiệp
1.1.2.2 Ý nghĩa về mặt thực tiễn
Công ty TNHH Việt Bis là một công ty chuyên về lĩnh vực bán hàng, cho thuêthiết bị văn phòng Do đó, việc đảm bảo ATBM thông tin là rất cần thiết Mặc dù banlãnh đạo công ty đã quan tâm đến vấn đề ATBM thông tin nhưng tình trạng hệ thống
Trang 6Hiện nay, việc áp dụng một số giải pháp đảm bảo an toàn và bảo mật thông tin
cho HTTT đang được công ty chú trọng và triển khai Vì vậy, đề tài “Một số giải pháp bảo mật cho website của công ty TNHH Việt Bis” là rất cần thiết cho hoạt động của
công ty
1.2 Tổng quan về tài liệu liên quan đến nội dung đề tài
Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng cónhững chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về
an toàn và bảo mật thông tin được ra đời như:
Tài liệu 1: ISO/IEC 27001:2013
Bộ kinh nghiệm để tổ chức đảm bảo an toàn an ninh thông tin cho sản phẩm vàdoanh nghiệp ISO 27001 đã tạo ra một hệ thống theo dõi và duy trì như tính bảo mậtthông tin, tính sẵn có của thông tin, tính chính xác của công ty Tài liệu này cũng nêu
ra các hình thức tấn công website Em sẽ dùng tài liệu này vào Phần 2.1: Cơ sở lý luận của đề tài.
Tài liệu 2: Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống kê.
Giáo trình này đưa ra những kiến thức cơ bản liên quan đến an toàn dữ liệu trongthương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trongTMĐT và các nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT Ngoài ra,trong giáo trình này cũng đề cập đến một số thông tin về các nguy cơ tấn công vàphương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp Tài liệu giới thiệumột số ứng dụng của công nghệ trong đảm bảo an toàn, bảo mật thông tin và các biệnpháp khắc phục hậu quả phổ biến hiện nay Qua tài liệu này giúp em có cơ sở để đưa racác lý thuyết về khái niệm an toàn thông tin
Tài liệu 3: Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài
“Bảo mật và an toàn thông tin trong thương mại điện tử, đại học Bách Khoa”
Luận văn đưa ra khái niệm, mục tiêu, yêu cầu an toàn thông tin cũng như cácnguy cơ gây ra mất an toàn thông tin, các hình thức tấn công Đề tài cũng đề cập đếncác kỹ thuật chính của lĩnh vực bảo mật và an toàn thông tin trong thương mại điện tử.Luận văn này cũng đã đưa ra một số vấn đề mật mã và an ninh mạng, khám phánhững vấn đề cơ bản của công nghệ và an ninh mạng Em dùng tài liệu này trong
Phần 2.1: Cơ sở lý luận của đề tài và Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.
Trang 7Tài liệu 4: William Stallings(2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn
đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạngthông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngàynay Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phépngười đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán,hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực,
mã hóa chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần
mềm độc hài và những kẻ xâm hại Em dùng tài liệu này trong Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.
Tài liệu 5: Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,nguyên tắc, các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắcphục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xácthực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninhInternet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau
đó truy cập vào mạng Các tài liệu trong cuốn sách này trình bày lý thuyết và thựchành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chấtlượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các
kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.
1.3 Mục tiêu nghiên cứu đề tài
Mục tiêu nghiên cứu đề tài này:
Đưa ra cơ sở lý luận về an toàn và bảo mật hệ thống thông tin Tìm hiểu vai tròcủa việc đảm bảo an toàn website cho doanh nghiệp
Tìm hiểu, phân tích và đánh giá thực trạng vấn đề an toàn bảo mật website củadoanh nghiệp
Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề
Trang 8website có thể áp dụng với doanh nghiệp như an toàn lưu trữ thông tin, CSDL, an toànbảo mật đường truyền,
1.4 Đối tượng và phạm vi nghiên cứu đề tài
1.4.1 Đối tượng nghiên cứu đề tài
Đối tượng mà bài nghiên cứu hướng tới đó là vấn đề an toàn bảo mật website tạicông ty TNHH Việt Bis, các giải pháp công nghệ và giải pháp con người để đảm bảo
an toàn và bảo mật website của doanh nghiệp
Nghiên cứu các bài báo, sách, giáo trình, website,…về vấn đề an toàn bảo mậtwebsite Các chính sách phát triển đảm bảo an toàn bảo mật website trong công ty Cácgiải pháp ATBM trên thế giới áp dụng được cho website của doanh nghiệp
1.4.2 Phạm vi nghiên cứu đề tài
Bài nghiên cứu sẽ tập trung trong phạm vi:
Về không gian: đề tài tập trung nghiên cứu tình hình an toàn bảo mật webite tại
công ty TNHH Việt Bis nhằm đưa ra một số giải pháp nâng cao an toàn bảo mậtwebsite
Về thời gian: Thời gian làm khóa luận trong 9 tuần, từ ngày 22/02/2017 đến
25/04/2017
1.5 Phương pháp thực hiện đề tài
1.5.1 Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên
quan đến đề tài nghiên cứu qua internet và các bài báo Phân tích, tổng hợp các tài liệu
có liên quan đến đề tài
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết
kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiếtnhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi
Phương pháp xử lý dữ liệu: Phương pháp so sánh đối chiếu: Đối chiếu giữa lý
luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập Phươngpháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office excel, vẽ biểu
đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên trong công tybao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2013 – 2014, từ phiếu
điều tra và tài liệu thống kê khác phương pháp phán đoán dùng để đưa ra các dự báo,
Trang 9phán đoán: Tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng như
đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu
1.5.2 Phương pháp nghiên cứu
Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng vì vậytrong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông tin sau:
Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social
Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có thể
thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõcác thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợpthành nguyên nhân của vấn đề được phát hiện Thường sử dụng để đưa ra các bảng sốliệu thống kê, các biểu đồ thống kê, đồ thị
1.6 Kết cấu của bài khóa luận
Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệutham khảo và phụ lục thì khóa luận gồm 3 phần:
Phần 1: Tổng quan về đề tài nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng vấn đề an toàn và bảo mật website của Công ty TNHH Việt Bis
Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả
an toàn bảo mật website tại công ty TNHH Việt Bis
PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO
Trang 102.1 Cơ sở lý luận của đề tài
2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật website
* Khái niệm bảo mật website
Ngày nay, thuật ngữ website được sử dụng rất phổ thông, người người, nhà nhàđều có thể truy cập một website ở bất kì đâu có kết nối internet hoặc có kết nối sóng diđộng Với các doanh nghiệp, cá nhân thường xuyên tương tác với cộng đồng online thìwebsite là công cụ tốt nhất và duy nhất giúp họ quảng bá hình ảnh, sản phẩm, thôngtin, của mình Và từ đó các dịch vụ thiết kế web chuyên nghiệp ra đời nhằm đáp ứngđiều đó
Website được hiểu là trang thông tin điện tử Tại đó, website được lưu trữ bởinhiều page (trang) khác nhau, chuyển hóa linh động dựa trên liên kết Mỗi Page(trang) của website chứa một thông tin, nội dung khác nhau nhằm mục đích đáp ứngnhu cầu tìm đọc tin tức, sản phẩm của người dùng
Bảo mật website là bảo vệ an toàn những thông tin trước những "tay" chuyênrình mò thông tin của người khác Bảo mật website bao gồm bảo mật thông tin, bảomật cơ sở dữ liệu và đường truyền
* Khái niệm về dữ liệu
Trong lịch sử tồn tại và phát triển, con người thường xuyên cần đến thông tin vàkhái niệm “thông tin” đang trở thành khái niệm cơ bản Với sự bùng nổ thông tin nhưhiện nay, thông tin ngày càng trở thành nhu cầu cần thiết đối với con người Để đưa rađược khái niệm thông tin, trước hết ta cần hiểu như thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh sự vậy, hiện tượng trong
thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng
Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,
Trang 11*Khái niệm về Cơ sở dữ liệu
Cơ sở dữ liệu (viết tắt là CSDL) được hiểu theo cách định nghĩa kĩ thuật là một
tập hợp thông tin có cấu trúc Thuật ngữ này thường dùng trong công nghệ thông tin
và nó được hiểu rõ hơn dưới dạng một tập hợp liên kết các dữ liệu Dữ liệu này đượcduy trì dưới dạng một tập hợp các tập tin trong hệ điều hành hay lưu trữ trong các hệquản trị cơ sở dữ liệu
*Khái niệm về Hệ thống thông tin
Hệ thống thông tin là hệ thống bao gồm các yếu tố có quan hệ với nhau, chúng
cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và cungcấp một cơ chế phản hồi để đạt được mục tiêu định trước
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển
*Khái niệm về an toàn và bảo mật thông tin
An toàn thông tin: Một hệ thống thông tin được coi là an toàn khi thông tin
không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người khôngđược phép
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạtđộng chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gâythiệt hại đến mức độ nguy hiểm cho chủ sở hữu
Bảo mật thông tin: Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng,
chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống mộtcách trái phép; là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin Bímật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyềntương ứng Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tinchỉ được thay đổi bởi những người được cấp quyền Tính sẵn sàng của thông tin lànhững người được quyền sử dụng có thể truy xuất thông tin khi họ cần
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảmbảo theo đúng các tiêu chí trong một thời gian xác định
Trang 12*Khái niệm đường truyền
Đường truyền: Là hệ thống các thiết bị truyền dẫn có dây hay không dây, dùng
để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác Tất cả các tín hiệuđược truyền giữa các máy tính đều thuộc một dạng sóng điện từ Tùy theo tần số củasóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu Cácđường truyền dữ liệu tạo nên cấu trúc của mạng
2.1.2 Đảm bảo an toàn và bảo mật thông tin trong website
Đối với mỗi doanh nghiệp, thông tin của website có thể coi là tài sản vô giá Xâydựng một hệ thống thông tin an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,minh bạch hơn và tác động không nhỏ đến việc giảm thiểu chi phí quản lý, hoạt độngcủa doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hộinhập một môi trường thông tin lành mạnh
Do vậy, đảm bảo ATBM thông tin website cũng có thể coi là một hoạt động quantrọng trong sự nghiệp phát triển của doanh nghiệp An toàn thông tin bao gồm các nộidung sau:
- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyềnmới được phép truy câp vào hệ thống Đây là yêu cầu quan trọng của bảo mật thôngtin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu,việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm chothông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫnđến phá sản
- Tính toàn vẹn (Integrity): Có nghĩa là dữ liệu không bị tạo ra, sửa đổi hoặc xóabởi những người không sở hữu Tính toàn vẹn đề cập đến khả năng đảm bảo cho cácthông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phéptrong quá trình truyền thông Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là ngườiđược phép thay đổi dữ liệu và ai là người không được phép thay đổi dữ liệu Dữ liệutrên thực tế có thể vi phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàncần thiết
- Tính tin cậy (Confidentiality): Yêu cầu về tính tin cậy liên quan đến khả năngđảm bảo rằng, ngoài những người có quyền, không ai có thể xem được các thông điệp
và truy cập những dữ liệu có giá trị Mặt khác, nó phải đảm bảo rằng thông tin mà
Trang 13người dùng nhận được là đúng với sự mong muốn của họ, chưa hề bị mất mát hay bịlọt vào tay những người dùng không được phép
2.1.2.1 Các hình thức tấn công website
Để đảm bảo an toàn thông tin và an toàn dữ liệu trên đường truyền tin và trênwebsite thì trước tiên phải lường trước và dự đoán trước các khả năng không an toàn,khả năng xâm phạm, sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ
và trao đổi trên đường truyền tin
Có hai hình thức tấn công thông tin dữ liệu là tấn công thụ động và tấn công chủđộng Đây là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép
Tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà
không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấn công thụđộng rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiện nay tấn công thụđộng đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấncông xảy ra
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiệnbởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suấtthấp Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao vàcũng không tốn bất kỳ chi phí nào Người dùng có thể trở thành nạn nhân của kiểu tấncông này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin
có tên dễ đoán trên đĩa cứng Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấncông nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thốnglỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản Hình thức phổbiến nhất của tấn công trực tuyến là phishing Phishing là một loại tấn công phi kỹthuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòngtránh duy nhất là ý thức của người dùng
Tấn công chủ động là hình thức tấn công lợi dụng những lỗ hổng làm lệch đường
đi của dữ liệu Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữliệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ động tuy nguy hiểm nhưng lại dễphát hiện được
Trang 14Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợidụng các lỗ hổng trong việc kiểm tra dữ liệu đầu vào của website Với mục đích nhằm lấycắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng Một thực tế làkhông có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối Một hệthống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối
2.1.2.2 Các nguy cơ tấn công vào website
Các lỗi bảo mật website là nguyên nhân chủ yếu gây ra các lỗi đối với websiteđang vận hành Sau khi xác định các lỗi này, tin tặc sẽ sử dụng các kỹ thuật khác nhau
để tiến hành khai thác hệ thống đích Một số kỹ thuật thường được sử dụng: BufferOverflows, SQL Injection, and Cross-site Scripting…Việc phân loại các nguy cơ tấncông thành các nhóm khác nhau sẽ giúp cho người quản trị dễ dàng xác định các nguy
cơ cũng như biện pháp đối phó hơn
Tấn công Bruteforce
Bruteforce là cách thức thử tất cả các khả năng có thể có để đoán các thông tin cánhân đăng nhập: tài khoản, mật khẩu, số thẻ tín dụng…Nhiều hệ thống cho phép sửdụng mật khẩu hoặc thuật toán mã hóa yếu sẽ tạo điều kiện cho tin tặc sử dụng phươngpháp tấn công này để đoán tài khoản và mật khẩu đăng nhập Sau đó sử dụng cácthông tin này để đăng nhập truy cập vào tài nguyên hệ thống
Lỗi chứng thực yếu (Insufficient Authentication)
Lỗi chứng thực yếu xuất hiện khi một website cho phép truy cập các nội dung, tàinguyên nhạy cảm mà không có đủ quyền Các trang quản trị là một ví dụ dễ thấy nhất.Nếu không có cơ chế phân quyền hợp lý thư mục cũng như tài khoản đăng nhập trangquản trị này Tin tặc hoàn toàn có khả năng vượt qua được cơ chế đăng nhập để chiếmquyền điều khiển website này
Dự đoán, chèn phiên (Credentical/Session Prediction)
Dự đoán, chèn phiên là một phương thức chiếm phiên (hijacking) Thông thường,khi một tài khoản thực hiện quá trình chứng thực đối với server (tài khoản/mật khẩu).Dựa vào các thông tin này, server sẽ tạo một giá trị session ID duy nhất để cho phép và
Trang 15duy trì kết nối Nếu đoán được session ID kế tiếp thì tin tặc có khả năng chiếm phiênđăng nhập của người dùng hợp lệ khác.
XSS – Cross-Site Scripting
XSS là một trong những kĩ thuật tấn công website phổ biến nhất hiện nay, đồngthời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triểnweb và cả những người sử dụng web Bất kì một website nào cho phép người sử dụngđăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều cóthể tiềm ẩn các lỗi XSS
Tin tặc tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP …)những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho nhữngngười sử dụng khác Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết đượcviết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cảcác thẻ HTML
SQL injection
Tấn công SQL Injection được thực thi bằng cách chèn các câu truy vấn SQL vào
dữ liệu tương tác giữa máy khách và trình ứng dụng Quá trình khai thác lỗi SQLInjection thành công có thể giúp tin tặc lấy được các dữ liệu nhạy cảm trong cở sở dữliệu, thay đổi cơ sở dữ liệu (Insert/Update/Delete), thực thi các hành động với quyềncủa người quản trị và cao hơn có thể điều khiển được hệ điều hành máy chủ
Liệt kê thư mục (Directory indexing)
Đây là chức năng web server cho phép liệt kê tất cả nội dung bên trong một thưmục mà không có tập tin cơ sở (index.html/home.html/ default.html) Trong các thưmục đó có thể chứa nội dung quan trọng: tập tin cơ sở dữ liệu dự phòng, tập tin cấuhình, tập tin lưu trữ tạm thời, các kịch bản…
Từ chối dịch vụ (DoS)
DoS là kỹ thuật tấn công nhằm không cho phép các truy cập hợp lệ truy cập tớiserver Kỹ thuật tấn công này thường xảy ra tại lớp mạng và lớp ứng dụng
Trang 162.2 Thực trạng về an toàn bảo mật tại Công ty TNHH Việt Bis
2.2.1 Giới thiệu chung về Công ty TNHH Việt Bis
Tên công ty: Công ty TNHH Việt Bis
Ngành nghề kinh doanh: Cung cấp, cho thuê thiết bị máy văn phòng
Trụ sở công ty: Số 22 ngõ 521/37 Trương Định - Tân Mai - Hoàng Mai – Hà NộiĐiện thoại: (04) 3538 0308
Fax: (04) 3538 0309
Website: vietbis.vn
Công ty TNHH Việt Tâm được thành lập ngày 18 tháng 6 năm 2012 Sau hợp
nhất với bộ phận phận kinh doanh thương mại (BU COM) thuộc công ty CP Đầu tư
Thương mại và Dịch vụ B.I.S (thành lập tháng 9 năm 2010) và lấy tên "Công ty TNHH Việt Bis".
Việt Bis đã, đang và sẽ phấn đấu để trở thành công ty dẫn đầu về công ty dẫn đầu
về cung cấp máy in, mực in, máy văn phòng với nền tảng cốt lõi là dịch vụ
Việt Bis luôn luôn thay đổi cách thức thực hiện dịch vụ để mang đến khách hàngsản phẩm có giá trị sử dụng phù hợp, kinh tế nhất Đồng thời, nâng cao thu nhập chonhân viên với môi trường làm việc cạnh tranh và sáng tạo
*Sơ đồ bộ máy tổ chức trong công ty:
Sơ đồ 2.1: Cơ cấu tổ chức công ty TNHH Việt Bis
(Nguồn: Phòng Hành chính – Nhân sự)
Hội đồngquản trị
Ban lãnhđạo công ty
Phòng Hành chính – Nhân sự
Phòng Kinh doanh
Trang 17Chức năng của từng phòng ban:
Hội đồng quản trị là cơ quan quản lý cao nhất của công ty TNHH Việt Bis Đảmbảo hoạt động đúng nguyên tắc, chịu trách nhiệm trong việc điều hành công ty và sự
nhất quán trong việc duy trì tiêu chí thích hợp trong tổ chức, quản lý Ban lãnh đạo
công ty chịu trách nhiệm đưa ra các chiến lược cho toàn công ty về kế hoạch đầu tư,kinh doanh và xây dựng thương hiệu cho công ty trong thời gian ngắn hạn và tầm nhìndài hạn
Phòng Tài chính – Kế toán làm nhiệm vụ tổ chức hạch toán, kế toán, quy địnhquản lý nguồn vốn, quản lý việc sử dụng và luân chuyển các loại vốn trong hoạt độngkinh doanh, đầu tư Phòng Hành chính – Nhân sự thực hiện tham mưu cho Hội đồngquản trị và Giám đốc công ty về vấn đề tổ chức bộ máy, quản trị nhân sự, quản trị vănphòng, an toàn và vệ sinh môi trường
Phòng Quản lý sản xuất sẽ quản lý kế hoạch, kỹ thuật sản xuất, sử dụng máymóc, thiết bị trong hoạt động sản xuất kinh doanh, chịu trách nhiệm tổ chức kế hoạchsản xuất công ty giao Phòng kỹ thuật tiến hành kiểm tra, sửa chữa các thiết bị máyvăn phòng
*Lĩnh vực kinh doanh của công ty:
- Cung cấp thiết bị máy văn phòng
- Cung cấp mực in, linh kiện tiêu hao cho thiết bị máy văn phòng
- Cung cấp dịch vụ cho thuê máy in, máy văn phòng
- Cung cấp dịch vụ chăm sóc máy in trọn gói
*Website của công ty:
Hình 2.1 Trang website của Công ty TNHH Việt Bis
(Nguồn: http://vietbis.vn/)
Trang 18Công ty hiện đã có website để cung cấp, giới thiệu các sản phẩm của công ty.Website của công ty là nơi quảng bá, giới thiệu sản phẩm tới khách hàng Là diễn đàn
để các khách hàng, đối tác và những người quan tâm có thể tham gia đóng góp, traođổi ý kiến về sản phẩm của công ty và vấn đề có liên quan
Website của công ty cũng chính là địa chỉ liên lạc giúp khách hàng, đối tác tiếpcận sản phẩm một cách dễ dàng thông qua email hoặc chat trực tiếp với nhân viên kinhdoanh và bộ phận CSKH của công ty trên website
2.2.2 Thực trạng chung về doanh nghiệp
2.2.2.1 Thực trạng về tình hình tài chính của công ty
Trải qua nhiều giai đoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở
mức khá cao Dưới đây là bảng đánh giá tình hình tài chính kinh doanh của công ty 3 năm gần nhất: 2014, 2015, 2016
Bảng 2.1: Báo cáo kết quả kinh doanh của công ty TNHH Việt Bis
(Nguồn: Báo cáo tài chính công ty giai đoạn 2014-2016)
Có được những thành quả như vậy là nhờ sự nỗ lực của ban lãnh đạo, sự đồngtâm nhất trí phấn đấu của cán bộ công nhân viên Hơn nữa, trên đà phát triển côngnghiệp hóa – hiện đại hóa là lợi thế cho công ty TNHH Việt Bis tiếp tục đầu tư và pháttriển công ty trong lĩnh vực này để tạo nên những bước đột phá mới
Trang 192.2.2.2 Thực trạng về trang thiết bị cho công nghệ thông tin, hệ thống thông tin tại công ty
*Các loại phần cứng trong công ty
Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty
1 Máy chủ(Server) 1
Dùng quản lý tất cả các máy client, user của các phòng ban có trong công ty,
Từ năm2010
Chạy hệ điều hành Windows 7 được cài đặt hệ điều hành hệ quản trị CSDL SQL Server 2008 Ngoài ra,trên server này còn được sử dụng làm file server
2 Máy trạm(Client) 20
Phục vụ cho các cán bộ nhân viên trong từng bộ phận công việc khác nhau
Từ năm2010
Tất cả các máy client đều được chạy trên hệ điều hành windows 7 Trên đó cài đặt các ứng dụng văn phòng
và những ứng dụng phục vụ cho nhu cầu của mỗi phòng ban
Phục vụ cho hoạt động
in ấn các tờ quảng cáo Phục vụ việc in ấn các tài liệu, hồ sơ, báo cáo của công ty
Từ năm
2010 Các máy in canon NP-3020,
FT-5632 được chia sẻ trên mạng phục vụ việc in ấn cho các phòng ban trong công ty
4 Switch 5 Dùng để nối các máy
tính trong công ty
Từ năm2010
Từ năm
2010 Phần mềm ComodoFree Firewall
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)
*Các phần mềm ứng dụng và công cụ hỗ trợ
Qua quá trình tìm hiểu thông tin thì công ty hiện nay đang sử dụng các phầnmềm sau:
Trang 20Công ty có trang bị hệ thống tường lửa (cả về phần cứng và phần mềm) để tránhnhững sự tấn công, truy nhập trái phép nhằm mục đích xấu từ bên ngoài Bên cạnh đócông ty cũng có những quy trình và chính sách bảo mật cụ thể, thường xuyên
Các phần mềm diệt và phòng chống virus đều được cài đặt và sử dụng trên cácthiết bị máy tính mà công ty trang bị cho nhân viên, cán bộ Công ty đang sử dụngphần mềm diệt virus BKAV Pro được cài đặt trên 100 % máy tính của công ty
Về vấn đề bảo mật cho hệ thống: Đối với hệ thống mạng của công ty giám sátdung lượng mạng LAN; đối với các phòng ban cài đặt phần mềm diệt vius BKAV Pro,các cơ sở dữ liệu được lưu trữ qua máy chủ, đặt mật khẩu cho một số dữ liệu quantrọng hoặc cho các máy tính (máy chủ) chứa nhiều dữ liệu quan trọng
•Phần mềm chuyên dụng:
Máy tính trong công ty đa số dùng hệ điều hành Window win 7, bên cạnh đó cácphần mềm ứng dụng hỗ trợ văn bản của Window như: Microsoft Word, Excel, Phầnmềm kế toán MISA, Phần mềm quản lý nhân sự Perfect HRM 2012
2.2.3 Phân tích và đánh giá về an toàn và bảo mật websie của doanh nghiệp
*Thực trạng vấn đề xử lý thông tin trong công ty
Các nguồn thu thập thông tin của doanh nghiệp:
•Điều tra, nghiên cứu thị trường: Phòng kinh doanh của công ty là bộ phận chủchốt trong việc điều tra, nghiên cứu thị trường để đưa ra những dự báo và lập kế hoạchtrong thời gian tới
•Báo, đài, các phương tiện truyền thông, mạng Internet
•Thông tin từ các đối tác - khách hàng, nhà cung ứng: Trước khi thực hiện giaodịch luôn có sự trao đổi giữa công ty với đối tác, từ đó hình thành nên nguồn thông tincủa công ty
•Thông tin nội bộ doanh nghiệp - thông tin từ ban giám đốc, các phòng ban: Làthông tin, báo cáo tình hình hoạt động hàng ngày của công ty, là những chỉ thị từ bangiám đốc xuống các phòng ban
•Các nguồn khác: Thông tin truyền miệng, quyết định, chỉ thị của các cơ quanhành chính…
Tại công ty TNHH Việt Bis việc thu thập, chọn lọc, xử lý, phân loại và lưu trữthông tin được thực hiện bởi phòng kinh doanh
Trang 21Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quan đến hoạt độngcủa công ty thông qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những thông tinnhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm thu gọn và giảm sốlượng thông tin cần xử lý.
Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máychủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm Ban giám đốc sẽ đưa raquyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ công ty.Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm vụ của từngphòng, nhằm phục vụ hoạt động một cách hiệu quả nhất Do đó, mọi nhân viên trongcông ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếmthông tin phục vụ cho công việc của mình
Để thu thập thông tin về tình hình ứng dụng CNTT tại Công ty TNHH Việt Bis,
em đã thực hiện điều tra sơ bộ thông qua mẫu phiếu điều tra được gửi tới các nhânviên trong công ty Điều tra được thực hiện với sự đóng góp ý kiến của 10 nhân viêntrong công ty Kết quả thu được như sau:
(1) Mức độ ứng dụng các mô hình HTTT tự động trong công ty?
Biểu đồ 2.1: Mức độ ứng dụng mô hình HTTT
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)