Tầm quan trọng, ý nghĩa của đề tài Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vựcnào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm
Trang 1MỤC LỤC
MỤC LỤC i
LỜI CẢM ƠN i
DANH MỤC TỪ VIẾT TẮT ii
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iii
CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1
1.1 Tầm quan trọng, ý nghĩa của đề tài 1
1.2 Tổng quan vấn đề nghiên cứu 2
1.3 Mục tiêu nghiên cứu của đề tài 4
1.4 Đối tượng và phạm vi nghiên cứu của đề tài 5
1.5 Phương pháp nghiên cứu của đề tài 6
1.5.1 Các phương pháp được sử dụng trong đề tài khoá luận 6
1.5.1.1 Phương pháp thu thập dữ liệu 6
1.5.1.2 Phương pháp xử lý dữ liệu 7
1.6 Kết cấu khóa luận 7
CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN THÔNG TIN CỦA CÔNG TY TNHH THƯƠNG MẠI VÀ XUẤT NHẬP KHẨU ADT 8
2.1 Cơ sở lý luận 8
2.1.1 Một số khái niệm cơ bản 8
2.1.1.1 Khái niệm thông tin, HTTT, dữ liệu và CSDL 8
2.1.1.2 Khái niệm an toàn và bảo mật CSDL 8
2.1.2 Một số lý thuyết về ATTT 10
2.1.3 Phân định nội dung nghiên cứu 16
2.2 Kết quả phân tích đánh giá thực trạng về vấn đề an toàn thông tin của công ty TNHH thương mại và xuất nhập khẩu ADT 16
2.2.1 Giới thiệu về Công tyTNHH thương mại và xuất nhập khẩu ADT 16
2.2.1.1 Thông tin cơ bản 16
2.2.1.2 Cơ cấu tổ chức 17
2.2.1.3 Các lĩnh vực kinh doanh của Công ty 18
Trang 22.2.1.4 Tình hình hoạt động của công ty trong 3 năm gần nhất 19
2.2.1.5 Hạ tầng CNTT, HTTT của Công ty 20
2.2.2 Phân tích thực trạng lý số liệu điều tra 21
2.2.3 Đánh giá thực trạngan toàn bảo mật thông tin tại công ty 27
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO AN TOÀN THÔNG TIN CHO CÔNG TY TNHH THƯƠNG MẠI VÀ XUẤT NHẬP KHẨU ADT 29
3.1 Định hướng phát triển nâng cao an toàn thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT 29
3.2 Đề xuất giải pháp đảm bảo an toàn thông tin cho Công ty 29
3.2.1 Giải pháp nâng cấp thiệt bị về phần cứng 29
3.2.2 Giải pháp nâng cấp thiết bị về phần mềm 31
3.2.3 Giải pháp về cơ sở dữ liệu 33
3.2.4 Giải pháp về hệ thống mạng 35
3.2.5 Giải pháp đào tạo nhân lực 35
3.3 Một số kiến nghị với Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT .36
KẾT LUẬN 37
DANH MỤC TÀI LIỆU THAM KHẢO 38
PHỤ LỤC 39
Trang 3LỜI CẢM ƠNLời đầu tiên, em xin chân thành cảm ơn Th.SNguyễn Quang Trung đã hướng
dẫn tận tình, chỉ bảo em trong suốt thời gian thực hiện đề tài để em có thể hoàn thành
Khóa luận tốt nghiệp với đề tài: “Một số giải pháp nhằm nâng cao an toàn thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT”
Em xin bày tỏ lòng cảm ơn sâu sắc tới những thầy cô giáo, đặc biệt ở Khoa HệThống Thông Tin Kinh Tế và Thương Mại Điện Tử đã giảng dạy em trong suốt bốnnăm ngồi trên ghế giảng đường trường Đại học Thương Mại, giúp em trang bị nhữngkiến thức để làm tốt đề tài khóa luận này và vững bước vào tương lai
Em xin gửi lòng biết ơn sâu sắc đến quý Công ty TNHH Thương Mại và XuấtNhập Khẩu ADT, ban lãnh đạo Công ty cùng toàn thể nhân viên trong Công ty đã tạođiều kiện cho em tìm hiểu, nghiên cứu trong suốt quá trình thực tập tại Công ty để em
có thể hoàn thành bài khóa luận tốt nghiệp của mình
Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực của bản thân, nhưng
do thời gian nghiên cứu còn hạn hẹp, trình độ và khả năng của bản thân còn hạn chế
Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếu sót, kính mong các thầy
cô giáo trong khoa Hệ Thống Thông Tin Kinh Tế tận tình chỉ bảo để bài của em đượchoàn thiện hơn
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Trịnh Xuân Hiếu
Trang 4DANH MỤC TỪ VIẾT TẮT
SET Secure Electronic Transaction An toàn giao dịch điện tử
SPSS Statistical Package for Social
SSL Secure Sockets Layer
Giao thức an ninh thông tin mạng
Trang 5DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Sơ đồ 1: Cơ cấu bộ máy tổ chức Công ty TNHH thương mạivà xuất nhập khẩu
ADT 17
Biểu đồ 2.1 Các hình thức giao dịch chủ yếu của công ty 22
Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứngbảo mật 23
Biểu đồ 2.3 Cách thức đảm bảo ATTT được sử dụng 24
Biểu đồ 2.4 Cách thức bảo vệ CSDL trong Công ty 24
Biểu đồ 2.5 Trình độ hiểu biết của nhân viên về ATTT 25
Biểu đồ 2.6 Tần suất sao lưu dữ liệu của Công ty 26
Biểu đồ 2.7 Nhận thức về tầm quan trọng của ATTT 26
Biểu đồ 2.8 Trở ngại khi phát triển ATTT của Công ty 27
Hình 2.1 Quy trình thông tin trong quản lý kinh tế 21
Hình 3.1 Cisco RV016 Multi-WAN VPN Router 30
Hình 3.2 Cấu hình điển hình 31
Trang 6CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
1.1 Tầm quan trọng, ý nghĩa của đề tài
Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vựcnào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thôngtin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đưa ranhưng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự thay đổicủa xã hội
Ngày nay, với sự phát triển của CNTT, Internet trở thành cầu nối chia sẻ kiếnthức, thông tin giúp con người đến gần nhau hơn Ứng dụng tin học vào lĩnh vực kinh
tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp phần nâng caohiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển Vì vậy, trong quátrình quản lý các cơ quan, công ty phải thấy rõ được tầm quan trọng của HTTT Nókhông những giúp công ty đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nângcao được năng lực sản xuất, giúp cho các công ty có đủ sức cạnh tranh với thị trườngtrong và ngoài nước
Có thể coi HTTT như là thành phần quan trọng của công ty, nó quyết định mọihoạt động hàng ngày của công ty Nhưng cũng chính vì tầm quan trọng đó mà khiHTTT bị mất an toàn có thể gây thiệt hại nặng nề cho công ty ví dụ như việc tin tặctấn công vào hệ thống phát thanh và màn hình hiển thị thông tin chuyến bay tại sânbay Nội Bài, Tân Sơn Nhất vào chiều 29-7-2016, hiển thị nội dung kích động, xuyêntạc về biển Đông Cũng trong thời điểm này, trang web của hãng hàng không VietnamAirlines cũng bị thay đổi nội dung, làm rò rỉ thông tin của 400.000 khách hàng thânthiết Sự cố không gây ảnh hưởng đến hệ thống kiểm soát an toàn bay nhưng đã khiếnhơn 100 chuyến bay bị ảnh hưởng Cũng trong tháng 8-2016, vụ khách hàng NaHương bị tin tặc rút 500 triệu đồng trong tài khoản Vietcombank mà không cần mã xácthực OTP gửi về điện thoại đã gây xôn xao cộng đồng mạng Nguyên nhân ban đầuđược xác định do người dùng truy cập nhầm vào các trang web giả mạo có giao diệngiống hệt Vietcombank và bị đánh cắp thông tin Các đối tượng lừa đảo đã chuyển tiền
từ tài khoản khách hàng tới nhiều tài khoản trung gian tại ba ngân hàng khác nhau tạiViệt Nam Sau đó tiến hành rút 200 triệu đồng qua ATM ở Malaysia Bằng các biệnpháp nghiệp vụ, Vietcombank đã kịp thời giữ lại 300 triệu đồng Chính vì vậy, cần cónhững giải pháp để nâng cao an toàn bảo mật cho HTTT công ty
Trang 7Công tyTNHH Thương Mại và Xuất Nhập Khẩu ADT chuyên cung cấp các sảnphẩm về rượu vang và phụ kiện kết hợp với rượu Công ty do vẫn chưa có ý định tiếnsâu vào thị trường thương mại điện tử và vẫn chủ yếu kinh doanh bằng phương pháptruyền thống nên vẫn chưa có sự đầu tư đúng mức cho vấn đề ATBM HTTTcủa mình.Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, tính nhất quánchưa cao
Do đó qua quá trình tìm hiểu và thực tập tại công ty TNHH Thương Mại và Xuất
Nhập Khẩu ADT em xin thực hiện đề tài khoá luận: “ Một số giải pháp nhằm nâng
cao an toàn thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT”.
1.2 Tổng quan vấn đề nghiên cứu
An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình, nghiêncứu chuyên sâu về vấn đề này Tuy nhiên, mỗi công trình nghiên cứu về những khíacạnh riêng của hệ thống thông tin, thương mại điện tử, …
+ Nước ngoài:
-William Stallings (2005),Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall [1]
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn
đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày nay Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phépngười đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để xác thực,
mã hoá chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phầnmềm độc hại và những kẻ xâm hại
-Man Young Rhee (2003) Internet Security: Cryptographic principles,
algorithms and protocols John Wiley & Sons [2]
Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên tắc ,các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục các mối
đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toànvẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet Nếukhông có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đó truycập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ
Trang 8tấn công thông qua đường truyền Internet Các tài liệu trong cuốn sách này trình bày lýthuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹlưỡng và chất lượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên vàsau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mậtInternet.
-Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an
toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa [4]
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT như: mã hóa, chữ ký số…
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toànthông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nóichung và đi sâu vào một doanh nghiệp cụ thể
-Ngày 2/3/2015, công ty Open Whisper Systems thông báo phát hành phiên bản 2.0 của ứng dụng Signal trên iOS Điều đặc biệt là phiên bản này cho phép người dùnggửi tin nhắn được mã hóa tại thiết bị đầu cuối một cách miễn phí tới người dùng Redphone và TextSecure (các ứng dụng Android mà Open Whisper Systems hỗ trợ,
thực hiện việc mã hóa các cuộc gọi và tin nhắn) [5]
Trước đây, dịch vụ nhắn tin bảo mật giữa các nền tảng khác nhau thường bị tính phí theo tháng và người dùng cả hai đầu (gửi và nhận) đều phải trả tiền Signal và TextSecure độc đáo ở chỗ chúng dùng tính năng mã hóa chuyển tiếp: sinh các khóa tạm thời cho mỗi thông điệp, đồng thời vẫn cho phép gửi thông điệp không đồng bộ
Trang 9thông qua cơ chế đẩy các notification và "prekeys" Signal còn cho phép người dùng bật tính năng bảo mật màn hình để ngăn iOS chụp ảnh màn hình khi ứng dụng đang hoạt động.
Open Whisper Systems đã mở đường cho các ứng dụng bảo vệ tính riêng tư bằngcách tạo giao diện cho những người không biết nhiều về mã hóa cũng có thể sử dụngchúng Ngoài ra, họ còn chuyển ứng dụng của mình thành dạng nguồn mở để cácchuyên gia có thể thẩm định và các ứng dụng nhắn tin khác có thể sử dụng lại Tháng11/2014, phần mềm Whatsapp đã triển khai giao thức của Open Whisper Systems cho
500 triệu người dùng của hãng này Tuy nhiên, việc giao tiếp với người dùng iOS từđiện thoại Android vẫn là một thách thức lớn
Việc mã hóa tin nhắn và các cuộc gọi đang được đặc biệt quan tâm trong thờigian gần đây, sau khi The Intercept công bố thông tin do Edward Snowden tiết lộ vềviệc NSA và GCHQ đã đánh cắp được hàng triệu khóa mã hóa của các thẻ SIM củaGemalto – nhà sản xuất SIM hàng đầu thế giới
Thành công: Đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục
tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, cáchình thức tấn công Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránhcác tấn công gây mất an toàn thông tin cũng như biện pháp khắc phục hậu quả thôngdụng, phổ biến hiện nay
Tồn tại:Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thương
mại điện tử, hệ thống mạng hoặc website Vẫn chưa đi sâu nghiên cứu về nguy cơ mất
an toàn HTTT, liên quan đến con người ( nhà quản trị mạng, nhân viên công nghệthông tin )…
Khẳng định đề tài: “Một số giải pháp nhằm nâng cao an toàn thông tin cho công
ty TNHH Thương Mại và Xuất Nhập Khẩu ADT” không hề trùng lặp với bất kỳ đề tài
nào đã nghiên cứu
1.3 Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơbản về an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau nhưthu thập các cơ sở dữ liệu sơ cấp và thứ cấp Từ đó, xem xét đánh giá phân tích thựctrạng vấn đề an toàn bảo mật HTTT để đưa ra những ưu nhược điểm Từ những đánhgiá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao
Trang 10tính an toàn bảo mật HTTT Giúp cho công ty nhận diện những nguy cơ và thách thứccủa vấn đề an toàn bảo mật HTTT Từ đó, có những giải pháp nâng cao tính an toànbảo mật, ngăn chặn các nguy cơ tấn công HTTT hiện tại và tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
-Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty TNHH ThươngMại và Xuất Nhập Khẩu ADT
-Đánh giá thực trạng an toàn bảo mật HTTT trong công ty TNHH Thương Mại
và Xuất Nhập Khẩu ADT dựa trên tài liệu thu thập được
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mậtHTTT trong công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT
1.4 Đối tượng và phạm vi nghiên cứu của đề tài
- Đối tượng của đề tài là vấn đề an toàn bảo mật thông tin cho công ty TNHHThương Mại và Xuất Nhập Khẩu ADT
Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTT củacông ty
-HTTT của công ty
-Các chính sách phát triển đảm bảo ATBMthông tin trong công ty
-Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của công ty
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đềtài chỉ mang tầm vi mô, giới hạn chỉ trong một công ty và trong giới hạn khoảng thờigian ngắn hạn Cụ thể:
-Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT tạicông ty TNHH Thương Mại và Xuất Nhập Khẩu ADT nhằm đưa ra một số giải phápnâng cao an toàn bảo mật HTTT
- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáokinh doanh, số liệu được khảo sát từ năm 2014 giữa năm 2016, đồng thời trình bày cácnhóm giải pháp, định hướng phát triển trong tương lai của công ty
Trang 111.5 Phương pháp nghiên cứu của đề tài
1.5.1 Các phương pháp được sử dụng trong đề tài khoá luận
1.5.1.1 Phương pháp thu thập dữ liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phươngpháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứađựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện
Phương pháp sử dụng phiếu điều tra:
- Nội dung: Bảng câu hỏi gồm 8 câu hỏi, các câu hỏi đều xoay quanh các hoạtđộng đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đốivới công ty TNHH Thương Mại và Xuất NHập Khẩu ADT
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty
để thu thập ý kiến
- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công
ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để nângcao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty TNHH ThươngMại và Xuất Nhập Khẩu ADT
Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì cácmục tiêu khác nhau của công ty
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2014, 2015, 2016 được thu thập từ phòng hành chính,phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệuthống kê khác
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sáchbáo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộcác tài liệu đó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sungvào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu liênquan đến vấn đề an toàn bảo mật tại công ty TNHH Thương Mại và Xuất Nhập KhẩuADT
Trang 121.5.1.2 Phương pháp xử lý dữ liệu
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cậpnhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tìnhhình nghiên cứu có liên quan đến trong đề tài Trong quá trình xử lý thông tin, ta cầnchia thông tin ra làm hai phương pháp chính:
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package forSocial Sciences)
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kêtrong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản
để thực hiện hầu hết các công việc thống kê phân tích số liệu Người dùng có thể dễdàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏngvấn, phiếu điều tra và các tài liệu thu thập được
Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luậnnhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công tyTNHH Thương Mại và Xuất Nhập Khẩu ADT, để từ đó đưa ra các giải pháp phù hợp
- Xử lý số liệu bằng excel, phần mềm
1.6 Kết cấu khóa luận
Khóa luận bao gồm ba phần:
Chương 1: Tổng quan về đề tài nghiên cứu
Chương 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT củacông ty TNHH Thương Mại và Xuất Nhập Khẩu ADT
Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBMthông tin trong HTTT tại công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT
Trang 13CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN
THÔNG TIN CỦA CÔNG TY TNHH THƯƠNG MẠI VÀ XUẤT
NHẬP KHẨU ADT2.1 Cơ sở lý luận
2.1.1 Một số khái niệm cơ bản
2.1.1.1 Khái niệm thông tin, HTTT, dữ liệu và CSDL
Thông tin là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được
qua khảo sát, đo lường, trao đổi, nghiên cứu…
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng Thông tin được coi như một sản phẩm hoàn chỉnh thu được sau quátrình xử lý dữ liệu
Khái niệm hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần
mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.
Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng Dữ liệu có thể là mộttập hợp các giá trị mà không biết được sự liên hệ giữa chúng Dữ liệu qua quá trình xử
lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác nhau củacon người
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hìnhảnh
Cơ sở dữ liệu: tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên các
phương tiện lưu trữ như đĩa từ, băng từ v v nhằm thỏa mãn các yêu cầu khai thácthông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng
Trang 142.1.1.2 Khái niệm an toàn và bảo mật CSDL
Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm
Một hệ thống thông tin được coi là an toàn( security) khi thông tin không bị làmhỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không đượcphép
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho
hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà khônggây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản Bảo mật trở nên
đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng cáccông cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên(các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) vàlạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơquan hoặc người sở hữu hệ thống)
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông
+ Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử dụng
có thể truy xuất thông tin khi họ cần
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảmbảo theo đúng các tiêu chí trong một thời gian xác định
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thốngmất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất
an toàn
Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được
những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thôngtin CSDL
Vai trò của an toàn bảo mật thông tin trong công ty:
Trang 15An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các công ty Đối với mỗi công ty, thông tin có thể coi là tài sản vô giá.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệthại đến hoạt động kinh doanh sản xuất của công ty
Do vậy, đảm bảo ATTT công ty cũng có thể coi là một hoạt động quan trọngtrong sự nghiệp phát triển của công ty
2.1.2 Một số lý thuyết về ATTT
Tại buổi tọa đàm, các chuyên gia CNTT đã cùng nhau phân tích đánh giá về hàngloạt vụ tấn công có chủ đích nhằm vào các hệ thống có tên miền ".vn" gần đây Theothống kê, có tới 40% số website tại Việt Nam đang tồn tại lỗ hổng an ninh mạng vàtrung bình mỗi tháng lại có hơn 300 Website của các doanh nghiệp, tổ chức trong nước
bị tấn công, cứ 10 website thì có 1 website có thể bị tấn công Đó chỉ là "bề nổi", cònthực tế số lượng lớn hơn rất nhiều
Thống kê của VNCERT thì cho thấy chỉ trong nửa đầu năm 2016, tổng số sự cố anninh mạng được VNCERT ghi nhận đã là 127.630 sự cố (gồm 8.758 sự cố Phishing,77.160 sự cố Deface và 41.712 sự cố Malware), gấp hơn 4 lần so tổng sự cố an ninh mạngđược trung tâm này ghi nhận trong năm 2015 và gấp gần 6,5 lần số sự cố diễn ra trongnăm 2014 Với thực trạng này, không chỉ người dùng, doanh nghiệp mà cả Chính phủ đãphải nhìn nhận vấn đề một cách nghiêm túc về vấn đề an toàn thông tin
Tháng 7 vừa qua là tháng điển hình cho những vụ tấn công liên tiếp với quy môlớn của nhóm hacker Nghiêm trọng nhất là ngày 27/9, khi Vietnam Airlines đã bị tấncông thay đổi thông tin (Deface), dữ liệu của 400.000 khách hàng Bông Sen Vàng đã
bị rò rỉ lên mạng Đồng thời, những thông tin, hình ảnh ở hai sân bay lớn nhất củanước ta là Nội Bài và Tân Sơn Nhất cũng bị thay đổi bằng những hình ảnh, âm thanhxuyên tạc về Biển Đông Chỉ trong một tháng gần 10 vụ mất tiền trong tài khoản tạicác ngân hàng khác nhau Sự việc đặc biệt nghiêm trọng khi một khách hàng củaVietcombank đã bị rút mất 500 triệu chỉ trong 1 đêm
Qua thực trạng trên cho thấy , các nhóm hacker ngày càng được nâng cao vềtrình độ, kỹ năng tấn công Trong khi đó, sự non nớt của các doanh nghiệp, sự thiếuhụt trong quản trị nhân lực CNTT cao cấp và chủ quan trước những cảnh báo về bảomật Đó là những lí do chính dẫn đến việc các website bị tấn công trong thời gian qua
a) Các nguy cơ mất an toàn thông tin:
Trang 16Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
Nguy cơ ngẫu nhiên
Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quannhư thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là nhữngnguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải lànguy cơ chính của việc mất ATTT
Nguy cơ có chủ định
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTTcũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng tađang đứng trong nhóm những nước có nguy cơ mất ATTT cao nhất Theo đánh giá củacác chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõrệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công tythương mại điện tử liên tục xảy ra Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại
về kinh tế nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, pháttriển của nền kinh tế
Tại Việt Nam, báo cáo toàn cầu từ hãng bảo mật Kaspersky Lab cho thấy, ViệtNam đứng thứ 3 trên toàn thế giới về sự nguy hiểm tiềm ẩn khi lướt web với 35% sốngười dùng đã bị tấn công
Chia sẻ với PV Báo CAND về các nguy cơ và xu thế tấn công mạng trong năm
2016, Đại tá Nguyễn Ngọc Cương, Phó Cục trưởng Cục CNTT, Tổng cục Hậu cần Kỹthuật, Bộ Công an cho biết: Một hình thức tấn công mới nguy hiểm đang có chiềuhướng gia tăng trong năm 2016 là tấn công dựa trên các thiết bị phần cứng
Mới đây, Equation Group phát hiện chương trình mã độc cài trong các USB flash
để tiến hành giám sát mục tiêu Nguy hiểm là các sâu này không thể loại bỏ kể cả khiđịnh dạng lại ổ đĩa Ngoài USB, mã độc còn được cài sẵn trong BIOS của máy tính,cài sẵn mã theo dõi trong các chương trình tiện tích riêng của hãng máy tính; cài sẵn
mã trong các firrmware của thiết bị hoặc tích hợp mã độc trên IC
Tại Việt Nam, năm 2015 cũng đã rung động bởi sự việc các máy tính và thiết bịxuất xứ từ Trung Quốc đã được cài sẵn các mã độc để đánh cắp thông tin và theo dõihành vi người dùng Xu hướng tấn công này được dự báo sẽ tiếp tục tăng trong năm
2016 khi mà đa phần các hệ thống CNTT, thiết bị máy tính, điện thoại của Việt Nam
Trang 17đều được nhập khẩu từ nước ngoài.Trên đây là các nguy cơ đến từ môi trường bênngoài doanh nghiệp
Trên thực tế, vấn đề ATTT của công ty còn luôn phải đối mặt với các nguy cơxuất phát từ chính nội tại công ty như: nguy cơ do yếu tố kĩ thuật (thiết bị mạng, máychủ, HTTT…) nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trongquy trình, chính sách an ninh bảo mật, nguy cơ do yếu tố con người (vận hành, đạođức nghề nghiệp)
bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các HTTT,lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo, phổ biếnkiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mất ATTTkhi sử dụng mạng Internet
Bên cạnh đó, công ty cần triển khai áp dụng các giải pháp đảm bảo ATTT, chốngvirus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có kết nối mạngInternet
Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó
Để khắc phục sự cố xảy ra, công ty cần thiết lập cơ chế sao lưu, phục hồi máychủ, máy trạm
Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trungbiên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng.Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lênbất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác thường cần thực hiện các bước cơ bản sau:
Bước 1: Ngắt kết nối máy chủ ra khỏi mạng
Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích)
Trang 18Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạt động
c) Các thành phần cơ bản của hệ thống đảm bảo an toàn thông tin
Phần mềm
Phần mềm (tiếng Việt còn được gọi là nhu liệu; tiếng Anh: software) là một tậphợp những câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tựxác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nàođó
Theo phương thức hoạt động, phần mềm được chia thành hai loại:
Phần mềm hệ thống: dùng để vận hành máy tính và các phần cứng máy tính, ví
dụ như các hệ điều hành máy tính Windows XP, Linux, Unix, các thư viện động (còn gọi là thư viện liên kết động - DLL) của hệ điều hành, các trình điều khiển (driver), phần sụn(firmware) và BIOS Đây là các loại phần mềm mà hệ điều hành liên lạc với chúng để điều khiển và quản lý các thiết bị phần cứng
Phần mềm ứng dụng: để người sử dụng có thể hoàn thành một hay nhiều công việc nào đó, ví dụ như các phần mềm văn phòng (Microsoft Offices, FoxPro, ), phần
Trang 19mềm doanh nghiệp, phần mềm giáo dục, cơ sở dữ liệu, phần mềm trò chơi, chương trình tiện ích, hay các loại phần mềm ác tính.
Bộ chuyển mạch mạng (Switch): thiết bị cho khả năng kết nối các hệ thống đầu cuối và chuyển mạch dữ liệu trong nội bộ của một mạng
Bộ định tuyến mạng (Router): thiết bị kết nối các mạng nhỏ lại với nhau và có khả năng lựa chọn đường đi của dữ liệu giữa các mạng
Cơ sở dữ liệu
CSDL là một bộ sưu tập rất lớn về các loại dữ liệu tác nghiệp, bao gồm các loại
dữ liệu âm thanh, tiếng nói, chữ viết, văn bản, đồ hoạ, hình ảnh tĩnh hay hình ảnhđộng được mã hoá dưới dạng các chuỗi bit và được lưu trữ dưới dạng File dữ liệutrong các bộ nhớ của máy tính Cấu trúc lưu trữ dữ liệu tuân theo các quy tắc dựa trên
lý thuyết toán học
CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng Bất kỳ người
sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truynhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay tương tác màkhông phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên đó
Trang 20ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể phát huy được tínhnăng và hiệu quả của nó.
Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm thựchiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu ramong muốn
Yêu cầu của hệ thống đảm bảo ATTT Công ty
Yêu cầu về các thiết bị phần cứng
Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax, thiết
bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử dụng cácthiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết bị tối ưumạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng O2Micro’sSifoML,…
Yêu cầu về phần mềm
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phầnkhông thể thiếu đối với hoạt động của công ty Để đảm bảo ATTT, các phần mềm đóphải sạch, tức là không chứa virus, mã độc, spyware Ngoài ra, đó phải là các phầnmềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất nhằmgiảm bót các nguy cơ từ lỗ hổng bảo mật
Bên cạnh các phần mềm ứng dụng, công ty phải luôn chủ động trong việc cài đặtcác phần mềm bảo mật như phần mềm chống virus, spyware và phishing, phần mềmbảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã hóa dữliệu, phần mềm chống thư rác…
Yêu cầu về mạng
Cùng với các thiết bị bảo mật được trang bị thì công ty cũng cần xây dựng các
mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hay Kerberos.Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sửdụng mô hình mạng ngang hàng Khi thiết lập các dịch vụ trên môi trường mạngInternet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của
hệ thống thông tin, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và cácdịch vụ không cần thiết
Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu nhằm tăngcường công tác bảo mật
Trang 21Yêu cầu về cơ sở dữ liệu
Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất cho
hệ quản trị cơ sở dữ liệu, sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ
cơ sở dữ liệu
Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệuhóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dungnhư: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,
Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin Tổ chức cấp pháttài nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc
Yêu cầu về con người
Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức vềATTT Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo
an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụcho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máytính về phòng, chống các nguy cơ mất ATTT khi sử dụng mạng Internet
2.1.3 Phân định nội dung nghiên cứu
Với đề tài: “Một số giải pháp nhằm nâng cao an toàn thông tin cho công tyTNHH Thương Mại và Xuất Nhập Khẩu ADT”, mục tiêu cụ thể đặt ra là làm rõ đượccác vấn đề về ATTT, thực trạng và giải pháp ATTT cho Công ty TNHH Thương Mại
và Xuất Nhập Khẩu ADT Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứuđược phân định như sau:
Nghiên cứu tổng quan về vấn đề ATTT trong công ty
Nghiên cứu về các nguy cơ mất ATTT công ty, các biện pháp phòng tránh và khắc phục hậu quả
Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty
Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty
Trang 222.2 Kết quả phân tích đánh giá thực trạng về vấn đề an toàn thông tin của công ty TNHH thương mại và xuất nhập khẩu ADT
2.2.1 Giới thiệu về Công tyTNHH thương mại và xuất nhập khẩu ADT
2.2.1.1 Thông tin cơ bản
Được thành lập từ năm 2000, bắt đầu với 7 sản phẩm đến từ vùng Bourgogne Dramont nước Pháp, đến nay ADT đã phát triển hàng trăm loại sản phẩm rượu vangcao cấp đến từ các hãng danh tiếng trên toàn Thế giới như: Les Grand Chais de France,DAD - Didier Absil Developpement, Chateaux Planeres Cộng hòa Pháp, EstbanMartin, Santalba - với những vườn nho cổ hơn một trăm năm tuổi của Tây Ban Nha,Wine Trus Estate Australia, Robinson & Sincalair Nam Phi Hệ thống wine cellar &wine shop sẵn sàng cung cấp tới khách hàng các dịch vụ winestating chuyên nghiệp vàcác buổi tiệc thưởng thức rượu vang theo các chuyên đề như Wine is the love, winewith sex
Công ty TNHH thương mại và xuất nhập khẩu ADT
- Mã số thuế : 0101060189
- Địa chỉ: 73 Tôn Đức Thắng, Phường Quốc Tử Giám, Quận Đống Đa, Hà Nội
- Số TK: 12020000020969
- Ngân hàng: BIDV sở giao dịch 1
- Tên giao dịch: ADT CO., LTD
- Giấy phép kinh doanh: 0101060189 Ngày cấp 19/01/2000
- Ngày hoạt động: 02/11/2004
- Điện thoại: 0437321638 Fax: 04373221852
- Giám đốc: Nguyễn Thị Kim Dung
- Web: https://www.adtwine.vn
Trang 232.2.1.2 Cơ cấu tổ chức
Sơ đồ 1: Cơ cấu bộ máy tổ chức Công ty TNHH thương mạivà xuất nhập khẩu ADT
( Nguồn: Tài liệu quản lý nội bộ công ty)
- Giám đốc: Là người đứng đầu đại diện theo pháp luật của công ty, là ngườiquản lý, điều hành mọi hoạt động sản xuất kinh doanh Giám đốc có quyền bổ nhiệm,miễn nhiệm, cách chức các chức danh quản lý trong công ty, bảo vệ quyền lợi cho cán
bộ nhân viên, quyết định lương và phụ cấp đối với người lao động trong công ty, phụtrách chung về vấn đề tài chính, đối nội, đối ngoại
- Phó giám đốc: Là người quản lý các công việc tại công ty, thay thế giám đốcđiều hành mọi công việc khi giám đốc đi vắng Tuy nhiên chịu trách nhiệm trước giámđốc về công việc được giao
Như vậy, người trực tiếp lãnh đạo điều hành công ty là giám đốc, dưới giám đốc
là phó giám đốc, dưới nữa là các phòng ban, mỗi phòng ban có nhiệm vụ cụ thể
+ Phòng tài chính kế toán: Có nhiệm vụ làm các công việc thống kê - kế toán tàichính cho công ty, trợ giúp ban giám đốc trực tiếp chỉ đạo việc theo dõi tình hình tàichính, xác định nhu cầu về vốn, tình trạng luân chuyển vốn, tổ chức thực hiện công tác
kế toán của công ty Theo dõi tình hình và sự biến động của các loại tài sản, tình hìnhkinh doanh, cung cấp thông tin kịp thời cho giám đốc và đóng góp ý kiến về hiệu quảhoạt động sản xuất kinh doanh, hợp nhất báo cáo tài chính công ty
+ Phòng kinh doanh: Tìm kiếm và thuyết phục KH mới sử dụng sản phẩm củacông ty, chăm sóc và giữ mối quan hệ với tập KH đã có, nhận và xử lý các đơn hàng,hợp đồng Phụ trách công tác xuất, nhập hàng hóa, phát triển thị trường, tiếp thu ý kiến
và nhu cầu của KH để cải thiện, nâng cao chất lượng sản phẩm