Một số giải pháp nâng cao tính an toàn bảo mật HTTT cho công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương

LỜI CẢM ƠNTrong quá trình hoàn thành khóa luận tốt nghiệp với đề tài “Một số giải pháp nâng cao tính an toàn bảo mật HTTT cho công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dư

LỜI CẢM ƠN

Trong quá trình hoàn thành khóa luận tốt nghiệp với đề tài “Một số giải pháp nâng cao tính an toàn bảo mật HTTT cho công ty TNHH xuất nhập khẩu thương

mại và dịch vụ Tân Đại Dương”, lời đầu tiên, em xin gửi lời cảm ơn đến các thầy

cô giáo trường Đại học Thương Mại nói chung và các thầy cô giáo trong khoa Hệthống thông tin kinh tế và Thương mại điện tử nói riêng đã truyền cảm hứng và tạođiều kiện cho em được học tập, nghiên cứu giúp em hiểu rõ hơn về chuyên ngành

Hệ thống thông tin kinh tế Nhờ sự giảng dạy tận tình và cung cấp cho em nhữngkiến thức chuyên môn cần thiết, em có cơ hội xây dựng cho mình một nền tảng lýluận vững chắc giúp em định hướng đề tài và hoàn thành khóa luận tốt nghiệp Đặc

biệt, em xin cảm ơn cô Tiến sĩ Nguyễn Thị Thu Thủy đã hướng dẫn và giúp đỡ nhiệt

tình, chỉ bảo em trong suốt thời gian thực hiện đề tài khóa luận tốt nghiệp để em cóthể hoàn thành một cách tốt nhất

Cuối cùng em xin cảm ơn sâu sắc đến ban giám đốc của Công ty TNHH Xuất nhập khẩu Thương mại và Dịch vụ Tân Đại Dương, cùng các anh chị nhân viên ở

các bộ phận đã luôn tạo điều kiện thuận lợi, nhiệt tình giúp đỡ em trong quá trìnhthực tập tại công ty, cũng như cung cấp cho em các tài liệu cần thiết để em hoànthành tốt bài khóa luận của mình

Em xin chân thành cảm ơn!

Hà Nội, ngày tháng năm 2017

Sinh viên thực hiện:

Nguyễn Thị Chương

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ vi

PHẦN MỞ ĐẦU 1

1 Tính cấp thiết của đề tài nghiên cứu 1

2 Tổng quan về vấn đề nghiên cứu 1

3 Mục tiêu và nhiệm vụ nghiên cứu 3

4 Phạm vi nghiên cứu 3

5 Phương pháp nghiên cứu 4

6 Kết cấu khóa luận tốt nghiệp 4

PHẦN II NỘI DUNG KHÓA LUẬN 6

CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT 6

1.1 Một số khái niệm cơ bản 6

1.1.1 Khái niệm chung 6

1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý 7

1.2 Một số cơ sở lý luận về An toàn bảo mật HTTT 8

1.2.1 Một số hình thức tấn công đến bảo mật và các nguy cơ mất an toàn thông tin trong HTTT 8

1.2.2 Một số phương pháp đảm bảo an toàn, bảo mật HTTT 11

CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG 19

2.1 Giới thiệu chung về công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương 19

2.1.1 Giới thiệu chung về công ty 19

2.1.2 Cơ cấu tổ chức 19

2.1.3 Tình hình hoạt động kinh doanh của công ty 20

2.1.4 Nguồn nhân lực CNTT 21

2.2 Vấn đề an toàn bảo mật HTTT tại công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương 22

2.2.1 Thực trạng vấn đề An toàn bảo mật thông tin 22

2.2.2 Phân tích các nguyên nhân dẫn đến việc mất an toàn bảo mật HTTT 26

2.2.3 Đánh giá An toàn bảo mật HTTT tại công ty 27

CHƯƠNG 3: CÁC ĐỀ XUẤT VỀ AN TOÀN BẢO MẬT HTTT CHO CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG 29 3.1 Các phương pháp đề xuất nâng cao an toàn bảo mật HTTT cho công ty 29

3.1.1 Nâng cao an toàn bảo mật thông tin bằng biện pháp phần cứng 29

3.1.2 Nâng cao an toàn bảo mật thông tin bằng biện pháp phần mềm 39

3.1.2 Một số giải pháp đảm bảo an toàn dữ liệu 43

3.1.3 Một số biện pháp khắc phục tấn công từ bên ngoài 48

3.1.4 Triển khai hệ thống tiêu chuẩn ISO 49

3.1.5 Đào tạo nhân lực, nâng cao nhận thức người dùng 50

3.2 Kết luận và kiến nghị 51

3.2.1 Kết luận chung 51

3.2.2 Kiến nghị 52

TÀI LIỆU THAM KHẢO 56 PHỤ LỤC

DANH MỤC TỪ VIẾT TẮT

1 DANH MỤC TỪ VIẾT TẮT TIẾNG VIỆT

STT TỪ VIẾT TẮT TỪ TIẾNG VIỆT

2 DANH MỤC TỪ VIẾT TẮT TIẾNG ANH

1 B2B Business To Business

Mô hình kinh doanh thươngmại điện tử giữa doanhnghiệp với doanh nghiệp

2 DoS Denial of Service Tấn công từ chối dịch vụ

Bộ giao thức hỗ trợ việctruyền thông giữa các máytính trên mạng

7 SSL Secure Socket Layer Tiêu chuẩn của công nghệ bảo

Memory Bộ nhớ truy cập ngẫu nhiên

InternationalOrganization forStandardization

Tổ chức quốc tế và Tiêu

chuẩn hóa

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ BẢNG BIỂU:

Bảng 1 Tình hình kinh doanh của công ty 3 năm gần đây 20

Bảng 2 Dạng mạng trong đơn vị 23

Bảng 3 Yêu cầu đối với máy tính cá nhân người dùng 55

Bảng 4 Thông số kỹ thuật: 56

Biểu đồ 1 Biện pháp bảo vệ dữ liệu của công ty 25

Biểu đồ 2 Biểu đồ tỷ lệ sử dụng phần mềm tại công ty 26

SƠ ĐỒ: Sơ đồ 1 Mô hình tổ chức bộ máy hoạt động của công ty 20

Sơ đồ 2 Hệ thống mạng của công ty TNHH Xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương 23

Sơ đồ 3 Giải pháp phần cứng Firewall cho công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương 31

HÌNH VẼ: Hình 2.1 Mối quan hệ giữa các yếu tố của một HTTT an toàn, bảo mật Bảo mật HTTT quản lý 8

Hình 1 Tường lửa cho hệ thống mạng 30

Hình 2 Mạng riêng ảo VPN 37

Hình 3 Giao thức SSL 42

Hình 4 Mô hình căn bản của giải pháp Vbackup 45

Hình 5 Phương pháp đẩy 47

Hình 6 Phân tích dữ liệu mô phỏng 48

Hình 7 Firewall Cisco ASA 5510 53

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài nghiên cứu

Trong công cuộc CNH-HĐH như hiện nay, CNTT đã và đang chiếm vị tríquan trọng chi phối đến hầu hết các mặt trong đời sống kinh tế xã hội, đặc biệt làlĩnh vực kinh tế Việc ứng dụng CNTT vào các hoạt động kinh doanh giúp cho cácdoanh nghiệp kịp thời nắm bắt thông tin, góp phần nâng cao hiệu quả kinh doanh,theo kịp xu hướng thời đại

Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lạikhả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu

Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu củangười dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêmvào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹtrước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợidụng Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của

hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặccũng có nhiều mục tiêu tấn công dễ dàng hơn

Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu củacác cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đóhoạt động ổn định và tin cậy An toàn và bảo mật thông tin là thiết yếu trong mọi cơquan, tổ chức

Nhận thức được tầm quan trọng của việc bảo mật an toàn thông tin nên em

quyết định chọn đề tài: “Một số giải pháp nâng cao tính an toàn bảo mật HTTT cho

công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương” để nghiên

cứu rõ hơn về vấn đề này

2 Tổng quan về vấn đề nghiên cứu

Ngành CNTT ngày càng phát triển và được ứng dụng rộng rãi trong các hoạtđộng đời sống, việc an toàn và bảo mật thông tin, dữ liệu được đặt lê hàng đầu, đã

có rất nhiều công trình nghiên cứu về an toàn và bảo mật thông tin ra đời như:

Luận văn thạc sĩ của tác giả Nguyễn Minh Quang với đề tài Nghiên cứu một số giải pháp an toàn và bảo mật thông tin trong các giao dịch thương mại điện tử đã

đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trongTMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu của luận văn chỉ

dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát đượctoàn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể.

Đề tài Đảm bảo an toàn thông tin trong thương mại điện tử- Mô hình từ doanh nghiệp đến doanh nghiệp ở Việt Nam của tác giả Trần Thị Thập, Học viện

Bưu chính viễn thông được in trên Tạp chí Khoa học ĐHQGHN: Kinh tế và kinhdoanh, tập 32, số 1 (2016) trang 22-30 Nội dung đề tài tập trung vào việc phân tích

an toàn thông tin trong thương mại điện tử, đó là một trong những điều kiện đảmbảo phát triển hoạt động thương mại điện tử của toàn bộ nền kinh tế An toàn thôngtin trong thương mại điện tử mô hình từ doanh nghiệp đến doanh nghiệp (B2B) có

vị trí quan trọng bởi tỷ trọng giao dịch B2B chiếm đa số trong các giao dịch thươngmại điện tử trên toàn thế giới Đảm bảo an toàn thông tin trong thương mại điện tửB2B cần được nghiên cứu trên quan điểm toàn diện: giữa bên mua và bên bán, từchuyên môn kỹ thuật đến quản lý, từ cấp độ quản lý nhà nước đến cấp độ quản trịdoanh nghiệp Bài viết trình bày lý thuyết về an toàn thông tin trong thương mạiđiện tử B2B, thực trạng an toàn thông tin trong thương mại điện tử B2B và các giảipháp đảm bảo an toàn thông tin nhằm phát triển hoạt động thương mại điện tử B2B

ở Việt Nam trong thời gian tới

Năm 2015, Quốc Hội đã ban hành bộ Luật an toàn thông tin mạng số 86/2015/QH13 quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm cơ quan,

tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng, mật mã dân sự; tiêuchuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực antoàn thông tin mạng

Năm 2015 vừa qua là một năm đầy biến động về an ninh bảo mật, đặc biệt làtại Việt Nam Theo báo cáo toàn cầu mới nhất từ Kaspersky Lab vào quý IV/2015,Việt Nam đứng thứ ba trên thế giới về sự nguy hiểm tiềm ẩn khi lướt web với 35%

số người dùng đã bị tấn công VNCERT cũng ghi nhận hơn 30.000 sự cố an ninh tạiViệt Nam trong năm 2015 Những số liệu này đặt ra cho các nhà lãnh đạo cùngnhững chuyên gia an ninh, an toàn thông tin những thách thức rất lớn trong việc bảomật, khi mà mối đe dọa từ tội phạm mạng ngày càng lớn, trong khi nhiều cá nhânvẫn chưa biết cách sử dụng các biện pháp bảo đảm an toàn một cách hiệu quả Hiệnnay hệ thống bảo mật thông tin của nhà nước đang hướng đến mục tiêu giúp các cơquan, tổ chức, doanh nghiệp nắm bắt và đánh giá những hiểm họa an ninh thông tinhiện hữu cũng như đề xuất các phương án ứng phó kịp thời trước sự phát triển

nhanh chóng của các nguy cơ rò rỉ, lộ lọt thông tin và đảm bảo tuân thủ các quyđịnh của An toàn, bảo mật Trong quá trình phát triển mạnh mẽ của khoa học côngnghệ những năm gần đây, đặc biệt về lĩnh vực công nghệ thông tin, truyền thông,những công nghệ mới đã mang lại rất nhiều lợi ích, tuy nhiên, thực tiễn cũng đangnảy sinh thêm nhiều nguy cơ mất an ninh, an toàn thông tin Ở Việt Nam, các nguy

cơ mất an toàn thông tin trong thời gian qua đã gia tăng cả về số lượng và tính chất,mức độ nghiêm trọng Bởi vậy, việc nâng cao nhận thức vào nghiên cứu, áp dụngcác giải pháp công nghệ mới để chủ động phòng ngừa đảm bảo an toàn thông tincho cá nhân, tổ chức, doanh nghiệp đang trở thành vấn đề quan trọng vào cấp bách.Ngày 29/3/2016 đã diễn ra sự kiện Security World 2016 với chủ đề Hội thảo- Triểnlãm quốc gia về An toàn, bảo mật thông tin tại Hà Nội

3 Mục tiêu và nhiệm vụ nghiên cứu

Mục tiêu nghiên cứu chung của đề tài là tập hợp và hệ thống hóa một số lýthuyết, cơ sở lý luận cơ bản về an toàn và bảo mật dữ liệu, sử dụng những phươngpháp nghiên cứu khác nhau để phân tích đánh giá thực trạng vấn đề an toàn và bảomật dữ liệu trong môi trường thực tế, đặc biệt là doanh nghiệp nói chung

Mục tiêu nghiên cứu cụ thể trong đề tài này là:

+ Khái quát lý thuyết và cơ sở lý luận về an toàn và bảo mật thông tin

+ Thu thập, phân tích, xử lý và đánh giá thực trạng tình hình an toàn bảo mậtthông tin của công ty, tìm ra được những tồn tại về HTTT mà công ty chưa kịp thờikhắc phục dựa trên việc tìm hiểu thực tế tại công ty và dựa vào phiếu điều tra

+ Đề xuất một số giải pháp nhằm khắc phục ngăn chặn các nguy cơ gây mất

an toàn bảo mật thông tin cho công ty

Nhiệm vụ là đề xuất những giải pháp thiết thực phù hợp để khắc phục nhữngthiếu sót, nâng cao tính an toàn và bảo mật, giúp ngăn chặn các nguy cơ tấn công hệthống thông tin, dữ liệu hiện tại và trong tương lai

4 Phạm vi nghiên cứu

Phạm vi nghiên cứu của đề tài:

+ Phạm vi về không gian: Trụ sở giao dịch: Tầng 8 Tòa nhà 315 TrườngChinh, Quận Thanh Xuân, TP Hà Nội của Công ty TNHH Xuất nhập khẩu Thươngmại và Dịch vụ Tân Đại Dương

+ Phạm vi về thời gian: Các số liệu được khảo sát từ năm 2014-2016 Các sốliệu được khảo sát trong quá trình tham gia thực tập tại công ty

5 Phương pháp nghiên cứu

5.1 Phương pháp thu thập dữ liệu

5.1.1 Thu thập dữ liệu sơ cấp

Phương pháp điều tra trắc nghiệm thông qua phiếu khảo sát

Nội dung: Tình hình ứng dụng công nghệ thông tin, hệ thống thông tin vàthương mại điện tử tại công ty TNHH xuất nhập khẩu thương mại và dịch vụ TânĐại Dương

Cách thức tiến hành: các phiếu khảo sát được gửi cho các nhân tại văn phònggiao dịch Thanh Xuân Sau đó, số phiếu được tổng hợp lại, xử lý và đưa ra nhận xét

Ưu điểm: Tiến hành nhanh chóng, hiệu quả và tiện lợi

Nhược điểm: Câu trả lời không hoàn toàn chính xác hoặc bị bỏ qua

Mục đích áp dụng: Giúp thu thập thông tin một cách nhanh chóng nhất, tiếtkiệm và xử lý một cách chính xác để có thể đưa ra nhận xét và đánh giá đúng

5.1.2 Thu thập dữ liệu thứ cấp

Nghiên cứu tài liệu liên quan tới công nghệ thông tin, ngôn ngữ lập trình, cơ

sở dữ liệu, các công cụ xây dựng hệ thống, nền tảng wordpress là sách, báo, tạp chícũng như các bài viết trên internet để có thể tìm hiểu về xây dựng một website cụthể Nhận thấy đây là một vấn đề rất quan trọng và khó nên em muốn phân tích vàthiết kế áp dụng thương mại điện tử vào một công ty xây dựng cụ thể

5.2 Phương pháp phân tích và xử lý số liệu

Xử lý thông tin định lượng

Đối với các số dữ liệu thu thập được ở dạng số liệu có thể thống kê phân tích

và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõ các thuộc tính,bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp thành nguyênnhân của vấn đề được phát hiện Thường sử dụng để đưa ra các bảng số liệu thống

kê, các biểu đồ thống kê, đồ thị Thông tin sử dụng được lấy từ phiếu điều tra và cáctài liệu thống kê khác

6 Kết cấu khóa luận tốt nghiệp

Chương 1: Cơ sở lý luận an toàn bảo mật HTTT trong doanh nghiệp

Nội dung chương 1 đề cập đến những cơ sở lý luận về an toàn bảo mật HTTT,bao gồm những khái niệm cơ bản liên quan đến HTTT và an toàn bảo mật, một sốhình thức tấn công đến bảo mật và các nguy cơ mất an toàn thông tin từ đó đưa ramột số phương pháp chủ yếu nhằm đảm bảo an toàn và bảo mật thông tin choHTTT trong doanh nghiệp

Chương 2: Phân tích, đánh giá thực trạng về an toàn bảo mật HTTT tại công

ty TNHH xuất khẩu thương mại và dịch vụ Tân Đại Dương

Nội dung chương 2 giới thiệu về công ty TNHH xuất nhập khẩu thương mại

và dịch vụ Tân Đại Dương Qua quá trình nghiên cứu, nêu ra tình hình thực trạng vềvấn đề an toàn bảo mật của công ty đồng thời phân tích đánh giá và đưa ra nhữngnhận xét về công tác an toàn bảo mật HTTT

Chương 3: Các kết luận và đề xuất về an toàn bảo mật HTTT tại công ty

TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương

Nội dung chương 3 chủ yếu tập trung vào việc đề xuất và kiến nghị các biệnpháp nâng cao tính an toàn bảo mật HTTT cho công ty, gồm các phương pháp vềphần mềm, phần cứng và con người

PHẦN II NỘI DUNG KHÓA LUẬN CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT

1.1 Một số khái niệm cơ bản

1.1.1 Khái niệm chung

Dữ liệu có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên

phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, dữ liệu lànhững ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu chưamang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành thôngtin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện

Thông tin theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện,

một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đốivới người sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu đượcsau quá trình xử lý dữ liệu

Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và

các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểunội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnhtranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về kháchhàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển

Hệ thống thông tin quản lý (MIS-Management Information System) được hiểu

như là một hệ thống dùng để tiến hành quản lý cùng với những thông tin được cungcấp thường xuyên Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạtđộng quản lý nên nói đến MIS là nói đến hệ thống thông tin quản lý được trợ giúpcủa máy tính Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạnglưới máy tính có tổ chức nhằm phối hợp việc thu thập, xử lý và truyền thông tin.MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặtchẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấpnhững thông tin cần thiết cho quản lý

(Nguồn: Giáo trình mạng máy tính, 2008 , NXB Thông tin và Truyền thông.)

1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý

An toàn bảo mật thông tin là vấn đề cơ bản của một HTTT quản lý, có rấtnhiều sách báo, giáo trình đưa ra khái niệm này Tổng kết từ nhiều giáo trình trongnước về khái niệm này ta đi tới một khái niệm phổ thông nhất, được biên soạn trongcác giáo trình đại học như sau :

An toàn thông tin được hiểu như sau an toàn khi thông tin đó không bị làm hỏnghóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép

Bảo mật thông tin là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng củathông tin

Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền

mới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mật thôngtin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàngđầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽlàm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại,

có thể dẫn đến phá sản

Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,

chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn côngkhông chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bịmất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty

Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn

sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truynhập được vào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tinchỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên đượcđảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nênmất giá trị

Hình 2.1: Mối quan hệ giữa các yếu tố của một HTTT an toàn và bảo mật

(Nguồn: Giáo trình an toàn dữ liệu, Bộ môn CNTT, Trường Đại học Thương mại

Hà Nội, 2007)

Một HTTT nói chung và một HTTT quản lý nói riêng được coi là bảo mật khitính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong mộtthời gian xác định

1.2 Một số cơ sở lý luận về An toàn bảo mật HTTT

1.2.1 Một số hình thức tấn công đến bảo mật và các nguy cơ mất an toàn thông tin trong HTTT

1.2.1.1 Một số hình thức tấn công HTTT

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu

trái phép Vi phạm tính toàn vẹn, sẵn sàng dữ liệu

Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường

truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích.Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiệnnay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòngtránh trước khi tấn công xảy ra

Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được

lưu lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến(online) và tấn công ngoại tuyến (offline), đây là những mối đe dọa an ninh mạngkhó phát hiệnnhất

Tính toàn vẹn

Tính sẵn sàng

Tính bảo mật

+ Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cậptrực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp Đây là dạngđánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốnbất kỳ chi phí nào Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơngiản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễđoán trên đĩa cứng.

+ Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấn công nhắm đến sốđông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợidụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất củatấn công trực tuyến là phishing Phishing là một loại tấn công phi kỹ thuật, dùngđánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránhduy nhất là ý thức của người dùng

Tấn công chủ động là các cuộc tấn công mà người tấn công hoàn toàn công

khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảmhiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống, là hình thứctấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của

dữ liệu Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu

từ nguồn đến đích sẽ bị thay đổi Tấn công chủ động tuy nguy hiểm nhưng lại dễphát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản

trong thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao

Tấn công chủ động bao gồm các phương pháp tấn công từ chối dịch vụ (DoS),

tấn công từ chối dịch vụ phân tán (DDoS), Tấn công tràn bộ đệm, tấn công qua ký

tự điều khiển đồng bộ SYN (Synchronous Idle Character), giả mạo, người trunggian (MITM- Man in the Middle), giả mạo giao thức điều khiển truyền tin quaInternet, tự động kết nối đường truyền Hình thức này có nghĩa là lục lại thông tin từcác vùng rác và đệm thông tin, để có được những thông tin quan trọng và tấn côngnhờ các công cụ của các mạng xã hội

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin,lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Với mụcđích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng

1.2.1.2 Các nguy cơ mất ATTT trong HTTT

Một số nguy cơ về khả năng mất an toàn thông tin mà Hệ thống CNTT cầncảnh báo là:

+ Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ mất an toàn

thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảmbảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại nhưnhân viên xấu bên trong và kẻ trộm bên ngoài

+ Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin: người dùng có thể vô tình để

lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ hội cho kẻ xấu lợi dụng để lấycắp hoặc làm hỏng thông tin Kẻ xấu có thể sử dụng công cụ hoặc kỹ thuật của mình đểthay đổi nội dung thông tin (các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp

+ Nguy cơ bị tấn công bởi các phần mềm độc hại : Các phần mềm độc hại tấn

công bằng nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mụcđích khác nhau như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware), Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,file khác mà người sử dụng không hay biết Thông thừờng virus máy tính mang tínhchất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu Chúng có các tínhchất: kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa nàysang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông thườngchúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy nhiên cũng có một sốvirus không gây hại như chương trình được tạo ra chỉ với mục đích trêu đùa)

Worm loại virus lây từ máy tính này sang máy tính khác qua mạng, khác vớiloại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lâysang máy khác khi ai đó đem chương trình nhiễm virus sang máy này

Trojan, Spyware, Adware là những phần mềm được gọi là phần mềm giánđiệp, chúng không lây lan như virus Thường bằng cách nào đó (lừa đảo người sửdụng thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) càiđặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được rabên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân

+ Nguy cơ xâm nhập từ lỗ hổng bảo mật: Lỗ hổng bảo mật thường là do lỗi

lập trình, lỗi hoặc sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên

hệ điều hành hoặc trong chương trình cài đặt trên máy tính Hiện nay các lỗ hổng

bảo mật được phát hiện ngày càng nhiều trong các hệ điều hành, các web server haycác phần mềm khác, Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa racác phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước.

+ Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu là quá trình truy

cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục người dùng vàmột mật khẩu Người dùng tài khoản có thể chia sẻ mật khẩu với những người khác,ghi mật khẩu ra và để công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vựclàm việc của mình Những kẻ tấn công có rất nhiều cách khác nhau, phức tạp hơn đểtìm mật khẩu truy nhập Kẻ tấn công sử dụng các phần mềm dò thử các mật khẩukhác nhau có thể Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên,các từ trong từ điển và các số Một số ví dụ về các chương trình đoán mật khẩu nổibật trên mạng Internet như: Xavior, Authforce và Hypnopaedia Các chương trìnhnày làm việc tương đối nhanh và luôn có trong tay của những kẻ tấn công

+ Nguy cơ mất an toàn thông tin trong quá trình truyền tin: Trong quá trình

lưu thông và giao dịch thông tin trên mạng internet nguy cơ mất an toàn thông tintrong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặcphá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận

1.2.2 Một số phương pháp đảm bảo an toàn, bảo mật HTTT

1.2.2.1Phương pháp đảm bảo an toàn HTTT

 Phân quyền người sử dụng

Người sử dụng (người dùng) là những người được quyền đăng nhập và sửdụng tài nguyên của hệ thống trong phạm vi quyền hạn của mình Phân quyền ngườidùng là những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác đốivới hệ thống theo những yêu cầu khác nhau nhằm đảm bảo được sự an toàn của hệthống cũng như đảm bảo tính riêng tư của mỗi người

Trong một hệ thống máy tính được nối mạng với nhau thì có thể có rất nhiềungười dùng cũng có quyền để khai thác tài nguyên của một máy tính Mỗi ngườidùng khi đã đã có quyền thì họ có thể làm tất cả mọi công việc trong phạm vi quyềnhạn của mình Vì vậy khi tạo một tài khoản cho người dùng, cần cân nhắc kỹ lưỡng

về quyền hạn về quyền hạn của người đó đối với hệ thống, đặc biệt là khi cấp nhữngquyền như Adminnistrator hay Backup Operator Một cơ chế người dùng tốt cầnđảm bảo những người dùng của hệ thống được phép khai thác tối đa những gì đã

được cấp, đảm bảo mọi người được sử dụng một cách nhanh và dễ dàng nhất nhữngtài nguyên của hệ thống nếu không làm ảnh hưởng đến sự ổn định của hệ thống.

Để cho hoạt động của hệ thống được hiệu quả và tránh những sự lợi dụng mộttài khoản nào đó để đăng nhập bất hợp pháp vào hệ thống thì chúng ta cần chú ý khitạo ra tài khoản người dùng như đặt mật khẩu có độ an toàn cao cho tất cả các tàikhoản người sử dụng, thường xuyên thay đổi mật khẩu,…

Các quyền truy cập của người dùng

+ Quyền quản trị (Administrators) , đây là những người dùng có toàn quyền

với hệ thống, có thể tiến hành các thao tác với hệ thống cũng như thay đổi các tham

số về quyền sử dụng của mình cũng như của người dùng khác Ứng với người dùnglocal và người dùng mạng cũng có những nhóm Administrators của máy cục bộ vàtoàn cục.Họ là những người quản trị hệ thống mạng của công ty

+ Quyền sao lưu và khôi phục (Backup Operators), đây là những người dùngnhư nhân viên quản lý về thông tin dữ liệu của công ty, họ có quyền thực hiện việcsao lưu và phục hồi đối với hệ thống file trong máy tính Những người dùng thuộcnhóm này được phép đăng nhập vào máy tính và có quyền tắt máy nhưng khôngđược quyền thay đổi các tham số về bảo mật của máy

+ Quyền thêm người dùng (Power User), những người dùng được gán quyềnnày được phép tạo người dùng cho hệ thống, ví dụ như Trưởng- Phó phòng Nhữngngười dùng thuộc nhóm này có quyền tạo các nhóm người dùng cục bộ và đượcphép thêm bớt hay loại bỏ các người dùng thuộc các nhóm do mình tạo ra Họkhông được phép thay đổi thông tin, thêm bớt người dùng vào nhóm Administrators

và Backup Operator, ngoài ra người dùng thuộc nhóm này không được thực hiệncác thao tác sao lưu phục hồi hay các thao tác thêm bớt các thiết bị cũng như cáctham số về bảo mật

+ Người dùng (User), người dùng thuộc nhóm này được phép thực hiện cácthao tác thông thường như: chạy các ứng dụng sử dụng máy in, đăng nhập, thoáthay tắt các máy trạm Ngoài ra những người dùng này còn được phép tạo các nhómngười dùng trên máy cục bộ, được phép thêm bớt người dùng vào nhóm do mìnhtạo ra và không được phép chia sẻ thư mục Ví dụ: Nhân viên văn phòng,…

+ Khách (Guest), đây là người dùng do hệ thống tự động tạo ra sau khi được càiđặt điều hành Đặc điểm của người dùng này là không yêu cầu mật khẩu khi đăng

nhập, tuy nhiên khi vào với người dùng này thì chỉ có những quyền rất hạn chế nhưchỉ xem thư mục, tắt các máy trạm Ví dụ: khách hàng, đối tác,… của công ty.

 Tường lửa (Firewall)

Tường lửa (Firewall) cho phép những người sử dụng mạng máy tính của một

tổ chức có thể truy cập tài nguyên của các mạng khác, nhưng đồng thời ngăn cấmnhững người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng máy tínhcủa tổ chức Tư tưởng cơ bản của Firewall là đặt cấu hình mạng sao cho tất cả cácthông tin vào ra mạng đều phải đi qua một máy tính được chỉ định, và đó chính làFirewall, Firewall sẽ quyết định cho những gì đi qua và cấm không cho những gì đi qua

để đảm bảo an toàn Một số tường lửa thông dụng trong các doanh nghiệp hiện nay:Cisco,Safe@Office của Check Point, Juniper Netscreen-5GT Enhanced,…

Nguyên lý hoạt động của Firewall: Firewall hoạt động chặt chẽ với giao thức

TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từcác ứng dụng trên mạng Các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS,

…) thành các gói dữ liệu rồi gán cho các gói này những địa chỉ có thể nhận dạng, táilập lại ở đích cần gửi đến Bộ lọc packet cho phép hay từ chối mỗi packet mà nónhận được, các luật lệ packet này là dựa trên các thông tin ở đầu mỗi packet dùng

để cho phép truyền các packet đó ở trên mạng, bao gồm:

+ Địa chỉ IP nơi xuất phát (Source)

+ Địa chỉ IP nơi nhận (Destination)

+ Những thủ tục truyền tin (TCP, UDP, ICMP,…)

+ Cổng TCP/UDP nơi xuất phát và nơi nhận

+ Dạng thông báo ICMP

+ Giao diện packet đến và đi

Vị trí lắp đặt của Firewall trong hệ thống

Tường lửa thường được lắp ở cổng vào ra của hệ thống mạng hay hệ thốngmáy tính Tường lửa cá nhân sau khi được cài đặt sẽ chiếm giữ việc quản lý cácthông tin đi vào hay đi ra cổng giao tiếp mạng của máy tính Tường lửa hệ thống sẽđược lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng đường kênh thuêriêng (leased-line), hay Router ADSL

Trong phiên bản của Windows XP SP2 thì phần mềm tường lửa được xâydựng dựa trên ứng dụng người dùng đã được tích hợp sẵn bên trong và được mặc

định ở chế độ bật, chế độ mặc định này có thể thay đổi được Với phần mềm tườnglửa này, người sử dụng có thể dễ dàng thay đổi các tham số của tường lửa để ngănchặn các dòng thông tin nguy hiểm có thể thâm nhập vào máy tính người dùngthông qua con đường Internet Ngoài ra cơ chế sử dụng Firewall của Windows chophép người dùng kiểm soát được các luồng thông tin ra vào máy tính thông qua cáctệp nhật ký của tường lửa.

Đối với các hệ điều hành không được tích hợp sẵn phần mềm tường lửa, ngườidùng hoàn toàn có thể cài đặt các phần mềm tường lửa do các đơn vị sản xuất phầnmềm cung cấp sau đó cấu hình lại tường lửa này phù hợp với điều kiện của mình

 Sao lưu dữ liệu

Các doanh nghiệp vừa và nhỏ xem việc mất mát dữ liệu là một trong những rủi

ro hàng đầu trong kinh doanh Trong khi đó, tại Việt Nam việc mất mát dữ liệu kinhdoanh quan trọng đang đe dọa tới hoạt động của các doanh nghiệp Cuộc khảo sátgần đây cho thấy, 69% doanh nghiệp Việt Nam tham gia khảo sát đã gặp phảitương đối hoặc trầm trọng vấn đề mất mát thông tin điện tử với thực tế 58% đã từng

bị mất thông tin sở hữu hoặc quan trọng trong quá khứ Kết quả 100% doanh nghiệptừng bị mất mát dữ liệu đã thấy những tổn thất trực tiếp như sụt giảm lợi nhuận, haychi phí tài chính trực tiếp bằng tiền mặt hoặc hàng hóa Không chỉ có vậy, việc mấtmát thiết bị cũng là vấn đề thường xảy ra trong các doanh nghiệp với khoảng 2/3doanh nghiệp khảo sát cho biết đã mất các thiết bị như máy tính xách tay, điện thoạithông minh hoặc máy tính bảng chỉ trong 1 năm 100% các doanh nghiệp khảo sát

có ít nhất một vài thiết bị không trang bị mật khẩu và khả năng xóa toàn bộ dữ liệu

từ xa để bảo vệ thông tin của mình khi bị mất Trong quá trình sử dụng sẽ khôngtránh khỏi những nguyên nhân chủ quan lẫn khách quan có thể xảy ra như virus,xóa nhầm, hỏng ổ cứng, thiên tai hỏa hoạn,…Tất cả các nhược điểm trên có thể giảiquyết một cách triệt để thông qua các dịch vụ sao lưu trực tuyến, vừa đơn giản lại

an toàn, thuận lợi trong việc truy cập dữ liệu mật mọi lúc mọi nơi

Sao lưu có rất nhiều phương pháp, có thể sao lưu bằng phương pháp truyềnthống bằng đĩa cứng của bộ nhớ trong hoặc bộ nhớ ngoài của máy tính, sao lưubằng phương pháp công nghệ như sao lưu trực tuyến,…

Sao lưu được tiến hành như sau: chạy phần mềm sao lưu trên máy tính vàchọn những phân vùng đĩa cứng (để tạo ảnh đĩa) hay các tệp tin và thư mục cần

thực hiện sao lưu Khi sử dụng chế độ sao lưu tập tin và thư mục, cần phải biết nơilưu thư điện tử, lịch làm việc, danh bạ liên lạc,… để tránh trường hợp bỏ sót Khi đãthực hiện sao lưu đầy đủ ở lần đầu tiên, có thể giảm đáng kể thời gian và không gianbằng cách lưu trữ bằng cách tiếp tục sử dụng chế độ sao lưu khác biệt (cập nhật tất

cả dữ liệu có sự thay đổi so với bản sao lưu đầu tiên) hay sao lưu bổ sung (cập nhậttất cả dữ liệu có sự thay đổi so với bản sao lưu mới nhất)

 Giải pháp về con người

Việc thực hiện đảm bảo an toàn HTTT phụ thuộc rất lớn vào yếu tố con người.Con người là chủ thể trực tiếp tác động lên các hoạt động trong CNTT, bởi vậy cầnphải nghiên cứu rõ nhằm đưa ra những biện pháp đúng đắn để định hướng người sửdụng trong khai thác nguồn tài nguyên Cung cấp những hướng dẫn, những quy tắc,

và những quy trình để thiết lập một môi trường thông tin an toàn Các chính sáchcủa hệ thống có tác dụng tốt nhất khi người dùng được tham gia vào xây dựngchúng, làm cho họ biết rõ được tầm quan trọng của an toàn Đào tạo và cho ngườidùng tham gia vào uỷ ban chính sách an toàn là 2 cách để bảo đảm rằng người dùngcảm thấy chính bản thân họ là những nhân tố trong việc xây dựng hệ thống an toànmạnh Một ưu điểm của việc gắn người dùng theo cách này là nếu người dùng hiểuđược bản chất của các mối đe doạ về an toàn, họ sẽ không làm trái các nỗ lực bảođảm an toàn Ví dụ: Gửi nhân viên đi tập huấn nâng cao trình độ CNTT tại một địachỉ có uy tín; Thu hút nguồn nhân lực CNTT có trình độ cao bằng các ưu đãi tốt,…

1.2.2.2 Phương pháp bảo mật HTTT

Dữ liệu, thông tin là nguồn tài liệu quan trọng đối với mỗi doanh nghiệp bởivậy việc bảo mật HTTT hiện nay là rất quan trọng Sau đây là một số giải pháp cụthể nhằm hướng tới việc bảo mật HTTT tốt hơn:

Thứ nhất là về quản lý và tổ chức, xây dựng một cơ chế quản lý tài nguyên hệ

thống và các nguy cơ tương ứng đối với các tài nguyên đó đồng thời kiểm soát antoàn thông tin với quy trình quản trị hệ thống và quản lý chính sách Xây dựngchính sách an ninh cho doanh nghiệp, đây là một trong những thành phần rất quantrọng có tầm ảnh hưởng rất lớn đến hệ thống an ninh Vì vậy, phải luôn có nhữngchuyên gia được đào tạo bài bản chuyên nghiệp nhất để có thể cùng với các doanhnghiệp xây dựng các chính sách an ninh đặc thù và phù hợp cho từng doanh nghiệp/

tổ chức cụ thể

Thứ hai là về công nghệ, kiểm soát truy cập bằng cách: Thiết lập cơ chế kiểm

soát chứng thực người dùng nhiều vòng ( Ví dụ: Cấu hình chứng thực người dùng

ProfTDD) trước khi cho phép truy cập vào hệ thống; Xây dựng hệ thống bức tườnglửa Firewall nhằm hạn chế và giám sát luồng thông tin giữa các hệ thống, ngăn chặncác kết nối bất hợp pháp, đây là lớp an ninh chủ lực chuyên dùng để chống lại cáccuộc tấn công từ môi trường bên ngoài như hacker, virus, spam….bảo vệ hệ thốnggiảm thiểu tối đa các ảnh hưởng xấu từ bên ngoài Khi được kết nối với môi trườngbên ngoài Trong thực tế: nguy cơ xâm nhập vào hệ thống nội bộ của doanh nghiệp

từ các đối tượng ngoại vi (như hacker, virus…), thông tin cung cấp tới ngườidùng/khách hàng phải được toàn vẹn và các người dùng được phép từ bên ngoài dễ

dàng truy cập được; Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention),với kinh nghiệm trong việc thiết kế các giải pháp về an ninh hệ thống chuyênnghiệp, doanh nghiệp phải đảm bảo cung cấp cho khách hàng các giải pháp chốngthất thoát thông tin như: chống sao chép thông tin ra khỏi hệ thống, chống gởi mailkèm tập tin nhạy cảm đã được định trước nhằm hỗ trợ doanh nghiệp, nhất là cácdoanh nghiệp sản xuất, ngân hàng giảm thiểu tối đa khả năng bị đánh cắp thôngtin quan trọng hoặc "lộ" thông tin với các đối thủ cạnh tranh; Xây dựng các hệthống phòng chống và phát hiện xâm nhập nhằm sớm phát hiện ra các lỗ hổng để xử

lý chúng một cách triệt để; Nâng cao bảo mật dữ liệu truyền qua wifi;

Bảo mật kênh truyền dữ liệu

An toàn dữ liệu là việc đảm bảo an toàn dữ liệu ngay tại máy tính của người

sử dụng và an toàn dữ liệu khi truyền thông Dữ liệu thường bị mất an toàn nhấttrong khi truyền giữa người gửi và người nhận Đây là khi dữ liệu dễ bị tấn côngnhất Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực hiện trong quátrình giao dịch qua các phương tiện điện tử Đặc biệt là trong môi trường truyềnthông không dây (Wireless), kẻ tấn công có thể bắt được cũng như có thể can thiệpvào các gói tin bất cứ khi nào chúng muốn, miễn là nằm trong cùng một vùng phủsóng Trên môi trường Internet, dữ liệu trước khi được truyền từ máy chủ đến máyngười sử dụng phải qua khá nhiều router trung gian, Hacker chỉ cần đột nhập vàomột trong các router này là có thể lấy được gói tin một cách dễ dàng Vì vậy, bảomật kênh truyền dữ liệu trong việc thực hiện các giao dịch điện tử là việc làm rấtquan trọng Hiện nay, việc bảo mật dữ liệu trên đường truyền chủ yếu được thựchiện nhờ các giao thức truyền tin có mã hóa như: giao thức SSL, WEP,…

Giao thức SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữahai chương trình ứng dụng trên một cổng định trước nhằm mã hóa toàn bộ thông tinđi/đến Hiện nay, giao thức SSL được sử dụng rộng rãi cho các giao dịch điện tử nhưtruyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.

Thứ ba là về tiêu chuẩn ISO 27001, ISO/IEC 27001 (Information Security

Management System – ISMS) là tiêu chuẩn quy định các yêu cầu đối với việc xâydựng và áp dụng hệ thống quản lý an toàn thông tin (Information SecurityManagement System – ISMS) nhằm đảm bảo tính bảo mật (confidentiality), tínhnguyên vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin củacác tổ chức/doanh nghiệp Việc áp dụng một hệ thống quản lý an toàn thông tin sẽgiúp các tổ chức/doanh nghiệp ngăn ngừa, hạn chế các tổn thất trong sản xuất, kinhdoanh liên quan tới việc hư hỏng, mất mát các thông tin, dữ liệu quan trọng

ISO/IEC 27001 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 về quản

lý an toàn thông tin Bộ tiêu chuẩn này được xây dựng dựa trên các tiêu chuẩn vềquản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh (British StandardsInstitute – BSI) Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêuchuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tếISO/IEC 17799:2000 Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩnISO/IEC 27001:2005 Công nghệ thông tin – Hệ thống quản lý an toàn thông tin –Các yêu cầu

Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:

+ ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)+ ISO/IEC 27001 các yêu cầu đối với hệ thống quản lý an toàn thông tin

+ ISO/IEC 27002 qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thôngtin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

+ ISO/IEC 27003 các hướng dẫn áp dụng

+ ISO/IEC 27004 đo lường và định lượng hệ thống quản lý an toàn thông tin

để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS

+ ISO/IEC 27005 quản lý rủi ro an toàn thông tin

+ ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạcủa công nghệ thông tin và viễn thông

Thứ tư về giáo dục đào tạo, tăng cường giáo dục, đào tạo thường xuyên, nhắc

nhở cán bộ nhân viên về sự cần thiết của bảo mật Các quy định, chính sách bảo mậtcho người dùng cuối, các quy trình cho đội ngũ cán bộ CNTT cũng được ràsoát/chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật Tăng cường giáo dụccho cán bộ nhân viên về sự cần thiết của bảo mật cũng như các biện pháp, quy địnhbảo mật của công ty, cố gắng biến an toàn và bảo mật thông tin trở thành một phầnhữu cơ trong mỗi quy trình dịch vụ Khi mỗi một nhân viên, dù ở bộ phận nào, làmtrong khâu nào của quá trình cung cấp dịch vụ, cũng hiểu được tầm quan trọng củavấn đề an toàn và bảo mật thông tin cho khách hàng và những biện pháp mà họ cầnthực hiện để đạt tới mục đích đó thì chất lượng dịch vụ sẽ được nâng cao, giúpkhách hàng hài lòng, yên tâm hơn và biến bảo mật trở thành một lợi thế cạnh tranhcho doanh nghiệp

CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY TNHH XUẤT NHẬP KHẨU

THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG

2.1 Giới thiệu chung về công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương

2.1.1 Giới thiệu chung về công ty

Tên đầy đủ: Công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương.Tên giao dịch quốc tế: TANDAIDUONG SERVICE & TRADING IMPORTEXPORT CO., LTD

Tên viết tắt: TDDGROUP CO.,LTD, hoạt động theo Giấy chứng nhận đăng kýdoanh nghiệp Công ty TNHH hai thành viên trở lên cấp ngày 22-04-2009 do Sở Kếhoạch đầu tư thành phố Hà Nội cấp

Trụ sở chính: Số 31, ngách 61/55, đường Lĩnh Nam, tổ 24, phường VĩnhHưng, quận Hoàng Mai, TP Hà Nội

Trụ sở giao dịch: Tầng 8 Tòa nhà 315 Trường Chinh, Quận Thanh Xuân, TP

Hà Nội

Mã số thuế: 0103734612 Đăng kí bởi Chi cục thuế quận Hoàng Mai

Người đại diện: Tổng Giám Đốc: Đoàn Mạnh Dương

Số điện thoại: +04.3292.9292- Hotline: 097 416 66 88

Website: http://maynhapkhau.vn/- Email: info@tddgroup.com.vn

Lĩnh vực hoạt động: Đầu tư, xuất nhập khẩu, kinh doanh thương mại; Đầu tưsản xuất nhà máy Khoáng chất, tư vấn đầu tư xây dựng các dự án (cả dự án NGO); Xuấtnhập khẩu thiết bị máy văn phòng, máy công nghiệp khai khoáng, khai thác mỏ, phụtùng máy thủy, hàng kim khí, thiết bị điện máy, phát điện, điện tử, tin học;…

2.1.2 Cơ cấu tổ chức

TDD Group hiện đã xây dựng được một đội ngũ cán bộ nhân sự giàu kinhnghiệm trong lĩnh vực công nghệ thông tin và thương mại điện tử, được đào tạo từcác trường đại học danh tiếng

 Cơ cấu tổ chức của công ty

Sơ đồ 1 Mô hình tổ chức bộ máy hoạt động của công ty

(Nguồn: phòng hành chính nhân sự)

2.1.3 Tình hình hoạt động kinh doanh của công ty

Bảng 1Tình hình kinh doanh của công ty 3 năm gần đây.

(Nguồn: Báo cáo tài chính các năm (Phòng kinh doanh)

Thông qua khảo sát, thu thập số liệu từ phòng kế toán, nhìn chung tình hìnhkinh doanh của công ty trong 3 năm gần đây có xu hướng phát triển tốt tuy nhiênchưa được đồng đều Doanh thu và lợi nhuận sau thuế của công ty tăng dần theo

ĐẠI HỘI ĐỒNG CỔ ĐÔNG

PHÒNG KẾ

TOÁN

PHÒNG HÀNH CHÍNH NHÂN SỰ

PHÒNG KINH DOANH

BAN GIÁM ĐỐC

HỘI ĐỒNG QUẢN TRỊ

PHÒNG XUẤT NHẬP KHẨUBAN KIỂM SOÁT

từng năm Giai đoạn 2014-2015, doanh thu và lợi nhuận sau thuế của công ty tăngmạnh hơn so với giai đoạn trước đó do công ty mở rộng quy mô, đầu tư cao hơn.Việc phân tích trên ta thấy được tình hình kinh doanh của công ty đang có nhữngchuyển biến tốt, doanh thu tăng lên đồng nghĩa với việc công ty đang đi đúngphương hướng đã chọn Dự đoán trong các năm tiếp theo doanh thu và lợi nhuậncủa công ty cũng tăng lên.

2.1.4 Nguồn nhân lực CNTT

Ngày nay, CNTT đang càng bước phát triển và được các doanh nghiệp chú trọnglựa chọn, chi phí bỏ ra dùng để đầu tư các hoạt động mang tính công nghệ rất tốn kémtuy nhiên lợi nhuận mang lại vô cùng lớn Để có thể ứng dụng tốt CNTT vào công việccủa mình thì công ty cần phải có đội ngũ cán bộ chuyên nhiệm về CNTT để có thểhướng dẫn và sử dụng nó một cách hiệu quả nhất Do vậy công ty có trang bị trangthiết bị đầy đủ và có cả nhân viên chịu trách nhiệm về CNTT với trình độ bậc đại học.Dựa vào phiếu điều tra thu thập được, số lượng cán bộ hoạt động trong lĩnhvực CNTT bao gồm phần cứng 3 người, phần mềm về mảng dịch vụ 7 người, mảngphát triển phần mềm 4 người Cán bộ có bằng đại học, trên đại học CNTT chiếm37,8% Hầu hết nhân viên các phòng ban đều thành thạo kỹ năng tin học Việc quảntrị HTTT được phân công cho 7 cán bộ chuyên trách, chiếm 2,3% tỷ lệ nhân viêncủa công ty

Nhân viên được tham gia vào các khóa đào tạo về lĩnh vực tin học văn phòng,được hướng dẫn để sử dụng phần mềm một cách hiệu quả hơn Do vậy, hầu hếtnhân viên ở các phòng ban đều có thể sử dụng thành thạo phần mềm chuyên biệtcủa công ty Công ty rất chú trọng đến việc đào tạo trình độ nhân viên về lĩnh vựctin học, bởi vậy hiệu quả việc áp dụng hệ thống thông tin vào công việc của từngnhân viên đều mang lại hiệu quả cao

2.2 Vấn đề an toàn bảo mật HTTT tại công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương.

2.2.1 Thực trạng vấn đề An toàn bảo mật thông tin

Hiện nay, sự thâm nhập sâu rộng của CNTT, sự phát triển vượt bậc của côngnghệ mạng và internet cùng các website thông tin trực tuyến trong các lĩnh vực củacuộc sống mang lại nhiều lợi ích, nhưng đồng thời cũng đặt ra không ít những tháchthức về an ninh bảo mật cho công ty Mặc dù công ty đã chú trọng việc đảm bảo antoàn bảo mật HTTT tuy nhiên còn rất nhiều lỗ hổng trong quá trình hoạt động, tìnhhình mất an ninh mạng diên biến phức tạp đã tác động không ít đến hoạt động kinhdoanh của công ty

2.2.1.1 Phần cứng:

Công ty có 3 máy chủ bao gồm web server, mail server và file server, là nơilưu trữ các phần mềm chính, dữ liệu của công ty nhằm đảm bảo truy cập phânquyền và an toàn nhất Mỗi phòng ban được trang bị máy tính cho các nhân viêntrong đó gồm có máy tính cá nhân và máy tính để bàn Tất cả đều được kết nối trựctiếp vào mạng internet thông qua các cổng mạng đã lắp đặt sẵn Hệ điều hành sửdụng cho các máy tính hiện tại là windows XP, windows7, windows8 Số máy in 5,thiết bị mạng bao gồm Model wifi TP-link ( 4port + wiliess) số lượng: 2, SwitchTP-link (16 port) số lượng: 2

Cấu trúc hệ thống mạng trong công ty:

Cấu trúc mạng ở công ty bao gồm cả có dây và không dây Đây là cấu trúcmạng được áp dụng phổ biến đối với các doanh nghiệp vừa và nhỏ Một mặt cấutrúc mạng lắp đặt đơn giản, dễ triển khai Mặt khác, cấu trúc này giúp đảm bảo tốc độtruyền dẫn Khi có sự cố mạng xảy ra đối với một trong hai hệ thống mạng không dâyhoặc có dây thì hệ thống mạng còn lại vẫn có thể hoạt động giúp cho vấn đề truyền dữliệu không bị gián đoạn Internet chia sẻ thông qua router, hỗ trợ chia sẻ dữ liệu, chia

sẻ máy in, truy cập internet với 1 đường truyền ADSL được kết nối với cổngSwitch Hệ thống mạng của công ty được đánh giá là xây dựng hợp lý, đảm bảo dữliệu có thể truyền đạt thông suốt, chia sẻ dữ liệu, máy in trong công ty Tuy nhiên,

để đánh giá là một hệ thống mạng an toàn,bảo mật dữ liệu thì còn căn cứ vào nhiềuyếu tố khác như: chế độ an toàn bảo mật, phân quyền người sử dụng hạn chế truynhập trái phép, hình thức ngăn chặn khi có người lạ xâm nhập

Sơ đồ 2 : Hệ thống mạng của công ty TNHH Xuất nhập khẩu thương mại và

dịch vụ Tân Đại Dương.

(Nguồn Tổng hợp từ phiếu điều tra, khảo sát)

Dữ liệu của đơn vị: lưu trữ tập trung và lưu trữ phân tán.

Dữ liệu được tổ chức: trong cơ sở dữ liệu và trong các tập tin riêng rẽ.

Mạng trong đơn vị:

Bảng 2: Dạng mạng trong đơn vị

STT Dạng mạng Tốc độ Kết nối WAN, Internet Số lượng máy tính

kết nối

2 LAN vô tuyến

(Nguồn Tổng hợp từ điều tra, khảo sát)

Phần mềm ứng dụng được cài đặt là Windows Server 2007 để cài đặt và quản

lý tất cả các dịch vụ quan trọng của công ty File server dùng để lưu trữ, chia sẻ,quản lý dữ liệu tập trung Domain, DNS quản lý hệ thống đối tượng, phân giải tên,cấp phát IP động cho toàn bộ vùng mạng LAN

Hình thức chia sẻ tài nguyên và giao dịch thông qua email, mạng internet vàgiao dịch điện tử.

Ở công ty có sử dụng phần mềm văn phòng Window 7, office 2010, đây làphần mềm văn phòng chuyên dụng tạo lập các văn bản, báo cáo, tính toán trực tiếptrên excel Nhờ sử dụng phần mềm này mà nhân viên có thể tạo lập các văn bản,báo cáo, bản thuyết trình một cách chuyên nghiệp và nhanh gọn

Ngoài ra, ở nghiệp vụ kế toán, công ty đã mua và sử dụng phần mềm kế toánMisa để giải quyết các vấn đề về kế toán văn phòng

2.2.1.2 Quy trình xử lý thông tin và dữ liệu của doanh nghiệp

Tại Công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương,việc thu thập, chọn lọc, xử lý, phân loại và lưu trữ thông tin được thực hiện bởiphòng kinh doanh Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quanđến hoạt động của Công ty thông qua các nguồn khác nhau từ đó chọn lọc để loại

bỏ những thông tin nhiễu, thiếu tính xác thực và những thông tin không cần thiếtnhằm thu gọn và giảm số lượng thông tin cần xử lý

Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thốngmáy chủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm Ban Giám đốc

sẽ đưa ra quyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội

bộ Công ty Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm

vụ của từng phòng, nhằm phục vụ hoạt động một cách hiệu quả nhất Do đó, mọinhân viên trong Công ty, tùy theo chức vụ mà có thể truy cập vào một phần củaCSDL để tìm kiếm thông tin phục vụ cho công việc của mình

2.2.1.3 Sao lưu dữ liệu trên hệ thống

Thông tin sau xử lý được lưu trữ dưới 2 dạng: bản cứng và bản mềm Các bảncứng được sắp xếp theo thời gian hoặc nội dung, lưu trữ tại các tủ hồ sơ tại cácphòng ban Tương tự với bản mềm, được lưu trữ trong máy tính tại các bộ phận dochưa có bộ phận chuyên trách về thông tin để chuyên lưu trữ thông tin

Dữ liệu, thông tin của công ty được lưu trữ trên hệ thống thông tin của doanhnghiệp được thể hiện trong biểu đồ dưới đây

Biểu đồ 1 Biện pháp bảo vệ dữ liệu của công ty.

(Nguồn: Kết quả xử lý dữ liệu từ phiếu khảo sát bằng excel) 2.1.1.4 Chính sách bảo mật thông tin

Ban GĐ có thể nhìn thấy tất cả hệ thống dữ liệu của các phòng ban trong công

ty và có toàn quyền trên hệ thống dữ liệu Không thay đổi tên và bố cục của hệthống dữ liệu trên các phòng ban sẽ ảnh hưởng đến sự hoạt động của hệ thống (Khicần có sự thay đổi cần phải phối hợp với IT để thực hiện)

Toàn thể CBNV đều được phân quyền như nhau trên ổ đĩa chia sẻ thông tinnội bộ của công ty Toàn thể CBNV trong công ty phải đọc hiểu những hướng dẫn

cơ bản cũng như các quy định về publicTDD để sử dụng các thư mục cho hiệu quả

và đúng với quy định

Mọi máy tính trong công ty đều được cài đặt password CBNV phải sử dụngtài khoản do công ty cấp để đăng nhập vào máy tính làm việc Người sử dụng máykhông được chia sẻ password cho người khác Trường hợp cho người khác sử dụngpassword chung thì phải được sự đồng ý của Trưởng bộ phận

Chính sách phòng ngừa: Thông tin là một tài sản quý báu của doanh nghiệp, mỗiloại hình thông tin cần xác định để phòng ngừa Việc kiểm soát để bảo vệ thông tinkhông bị thay đổi trái phép, bị phá hoại hay tiết lộ ra do vô tình hay cố ý

Chính sách an toàn thông tin: Xác nhận những thông tin cần bảo vệ và tài liệuhóa, mã hóa hệ thống bảo mật

Nhận thức về bảo mật: Giáo dục tầm quan trọng của bảo mật, cách sử dụng và

đo lường bảo mật, thủ tục báo cáo vi phạm chế độ bảo mật, trách nhiệm chung củanhân viên khi thực thi chính sách an toàn thông tin, chương trình hành động và quátrình tư duy nhận thức về tính năng của bảo mật

2.2.2 Phân tích các nguyên nhân dẫn đến việc mất an toàn bảo mật HTTT

2.2.2.1 Bản quyền phần mềm

Phần mềm trong doanh nghiệp chưa được áp dụng một cách hiệu quả nhất,nhân viên đang còn thói quen giải quyết công việc theo kiểu truyền thống Các phầnmềm CNTT chưa được trang bị đồng bộ, còn thiếu hiệu quả Doanh nghiệp chưađầu tư được phần mềm riêng biệt mà chủ yếu là dùng các phần mềm có sẵn hoặc sửdụng các phần mềm phổ biến nên chất lượng và an toàn bảo mật thông tin chưa cao.Mặc dù công ty sử dụng phần mềm tích hợp mang lại hiệu quả tốt nhưng vẫn cónhiều hạn chế mang tính chất đặc thù của từng bộ phận như quản lý nhân lực haybán hàng chưa kiểm soát hết được Phần mềm Bkav công ty đang sử dụng còn nhiềukhiếm khuyết, nhất là khả năng bóc tách mã độc ra khỏi dữ liệu gốc và phát hiệnvirus, rất dễ gây ra tình trạng mất mát thông tin

Biểu đồ 2 Biểu đồ tỷ lệ sử dụng phần mềm tại công ty

(Nguồn: Kết quả xử lý phiếu khảo sát bằng excel)

Công ty vẫn sử dụng các phần mềm không có bản quyền chiếm tỷ lệ cao là65% còn phần mềm có bản quyền chỉ chếm 35% Từ đó, ta thấy được mức độ chútrọng công tác bảo mật của công ty còn chưa được đầu tư đúng mức

Về vấn đề an toàn bảo mật thông tin cho cá nhân trong công ty, ý thức về antoàn thông tin chưa cao, đặc biệt là vấn đề phát sinh từ bản quyền phần mềm, cácmáy tính cá nhân của nhân viên hầu hết được cài phần mềm không bản quyền đượccrack hoặc các phần mềm download từ các trang mạng miễn phí Nguy cơ lây lanvirus, spyware cho các máy tính cá nhân rất là cao Bên cạnh đó ý thức bảo vệ tàikhoản cá nhân khi kết nối mạng internet còn thấp, nhân viên thường xuyên sử dụngwifi công cộng không được bảo vệ khi truy cập tài khoản cá nhân, mật khẩu yếu, sửdụng chung mật khẩu cho nhiều trang web, nhiều ứng dụng trong thời gian dài

2.2.2.2 Phần mềm diệt virus BAKV

Đối với vấn đề bảo mật hệ thống, việc cài phần mềm diệt virus BKAV HomePlus và đặt mật khẩu cho một số dữ liệu quan trọng hoặc máy tính chứa nhiều dữliệu quan trọng là một trong hai biện pháp công ty chú trọng sử dụng Phần mềmBkav công ty đang sử dụng là phần mềm miễn phí nên còn tồn tại nhiều khiếmkhuyết, nhất là khả năng bóc tách mã độc ra khỏi dữ liệu gốc và phát hiện virus, rất

dễ gây ra tình trạng mất mát thông tin Việc bảo vệ thông tin chưa được tối ưu hóamột cách triệt để

2.2.2.3 Biện pháp bảo vệ dữ liệu

Theo kết quả khảo sát thì phần lớn các máy tính của công ty đều sử dụngphương pháp đảm bảo an cho dữ liệu của máy tính Trong đó 30% số máy tính sửdụng ổ cứng độ bền cao cho máy tính, 45% là sử dụng giải pháp đồng bộ trên mạngcòn lại 25% sử dụng phương pháp sao lưu Doanh nghiệp đã có các giải pháp đảmbảo an toàn cho thông tin nhưng còn sơ khai chưa thực sự đảm bảo được độ an toàncho thông tin, các giải pháp an toàn, an ninh còn độc lập riêng lẻ dễ bị hacker xâmnhập vào hệ thống và lấy cắp thông tin Vì vậy cần có giải pháp để nâng cao độ antoàn cho thông tin của doanh nghiệp để làm nền tảng cơ sở vững chắc ứng dụngTMĐT vào công ty

2.2.3 Đánh giá An toàn bảo mật HTTT tại công ty

2.2.3.1 Ưu điểm

Việc ứng dụng công nghệ thông tin trong công tác quản lý, điều hành các chinhánh nói chung và Tổng công ty nói riêng là một việc tất yếu và hết sức quan trọngtrong điều kiện hội nhập kinh tết hiện nay Trước tình hình đó, trong những nămgần đây, công ty cũng có những hỗ trợ cũng như động viên khuyến khích các đơn vịtrực thuộc tăng cường ứng dụng công nghệ thông tin vào công tác điều hành, quản

lý sản xuất Công ty đã có sự đầu tư về công nghệ như mua máy tính, server cácphần cứng cũng như phần mềm phục vụ cho các phòng ban đầu não nhằm đảm bảoviệc quản lý kinh doanh Công ty dần chú trọng công tác đào tạo nâng cao khả năngcho các cán bộ nhân viên CNTT của công ty và có chính sách đãi ngộ hợp lí để thuhút, đào tạo, phát triển và duy trì nguồn nhân lực hiểu biết CNTT nói chung vàHTTT nói riêng, nhằm đạt được kết quả tối ưu cho cả công ty lẫn nhân viên

2.2.3.2 Nhược điểm

Nhìn chung, việc ứng dụng công nghệ thông tin vào hoạt động quản lý, điềuhành hoạt động mới chỉ tập trung tại cơ quan Tổng công ty và cũng chưa có nhiềuứng dụng chuyên sâu phục vụ cho chuyên môn của các phòng ban Đối với các

công ty con, đơn vị trực thuộc vẫn còn hạn chế, chưa có sự đồng bộ giữa các bộphận của hệ thống Hệ thống chưa giúp quản lý tình hình kinh doanh và phát triểntrong quá khứ, hiện tại cũng như trong các năm sắp tới; chưa giúp doanh nghiệpquảng bá thương hiệu một cách nhanh chóng, dễ dàng và chi phí thấp nhất Mức độbảo mật phân quyền người dùng khi truy nhập trực tiếp vào phần mềm không đượcquan tâm Ngoài ra, hệ thống hiện tại cũng chưa cung cấp cho nhà quản lý nhiềucông cụ hỗ trợ đắc lực, chưa quản lý thống kê, phân tích, phát hiện những khó khăn,rủi ro tiềm ẩn của doanh nghiệp để có thể kịp thời đưa ra được những giải phápthích hợp cho những vấn đề đó, chưa hỗ trợ cho phép nhân viên quản lý một cáchhiệu quả thời gian và công việc.

Phần mềm trong doanh nghiệp chưa được áp dụng một cách hiệu quả nhất,nhân viên đang còn thói quen giải quyết công việc theo kiểu truyền thống Doanhnghiệp chưa sử dụng các phần mềm chuyên sâu giải quyết các nghiệp vụ của doanhnghiệp Các phần mềm CNTT chưa được trang bị đồng bộ, còn thiếu hiệu quả.Doanh nghiệp chưa đầu tư được phần mềm riêng biệt mà chủ yếu là dùng các phầnmềm có sẵn hoặc sử dụng các phần mềm phổ biến nên chất lượng và an toàn bảomật thông tin chưa cao Việc phân quyền người dùng còn hạn chế, dẫn đến việc bị

lộ thông tin mật của công ty

Về phần cứng, doanh nghiệp mới chỉ áp dụng phần cứng vào việc mua một sốthiết bị máy tính mới mà chưa quan tâm đến việc xây dựng hệ thống đảm bảo an toànmạng trong hệ thống Hệ thống máy chủ của công ty được trang bị từ lâu mà chưađược đổi mới, đã không ít lỗi kỹ thuật xảy ra như bị tràn bộ nhớ, hiệu suất bị suygiảm,… làm giảm hiệu quả công việc Việc kết nối mạng nội bộ extranet của doanhnghiệp với internet chưa có một giải pháp nào bảo vệ, dẫn đến việc mất an toàn thôngtin, thông tin bị tràn ra ngoài trong một số trường hợp bị kẻ xấu tấn công

Việc chú trọng đào tạo cán bộ về công nghệ thông tin chưa thực sự cao, vậynên việc khai thác nguồn tài nguyên trong máy tính chưa được triệt để Có một số

bộ phận nhân viên quan niệm máy tính chỉ là công cụ soạn thảo văn bản, chưa thực

sự muốn học hỏi và tìm tòi về những thứ liên quan đến CNTT