Một số giải pháp nâng cao tính an toàn bảo mật thông tin của Công ty TNHH Miraway giải pháp công nghệ

LỜI CẢM ƠNLời đầu tiên, em xin chân thành cảm ơn cô giáo Nguyễn Thị Thu Thủy đã tận tình hướng dẫn, chỉ bảo em trong suốt quá trình thực hiện Khóa luận tốt nghiệp với đề tài: Một số giải

LỜI CẢM ƠN

Lời đầu tiên, em xin chân thành cảm ơn cô giáo Nguyễn Thị Thu Thủy đã tận

tình hướng dẫn, chỉ bảo em trong suốt quá trình thực hiện Khóa luận tốt nghiệp với đề

tài: Một số giải pháp nâng cao tính an toàn bảo mật thông tin của Công ty TNHH Miraway giải pháp công nghệ.

Em xin bày tỏ lòng cảm ơn sâu sắc tới nhà trường cùng thầy cô giáo trong khoa

Hệ thống thông tin kinh tế và TMĐT đã giảng dạy em trong suốt thời gian ngồi trênghế giảng đường trường Đại học Thương Mại, giúp em trang bị những kiến thức đểlàm tốt đề tài khóa luận này và vững bước vào tương lai

Em xin gửi lòng biết ơn sâu sắc đến quý công ty TNHH Miraway giải pháp côngnghệ, ban lãnh đạo cùng toàn thể nhân viên trong công ty đã tạo điều kiện cho em tìmhiểu, nghiên cứu trong suốt quá trình thực tập tại công ty để em có thể hoàn thành bàikhóa luận tốt nghiệp của mình

Mặc dù đã cố gắng hoàn thành khóa luận với tất cả sự nỗ lực của bản thân, nhưng

do thời gian nghiên cứu còn hạn hẹp, trình độ và khả năng của bản thân còn hạn chế

Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếu sót, kính mong cô giáoNguyễn Thị Thu Thủy, các thầy cô giáo trong khoa Hệ thống thông tin kinh tế vàTMĐT tận tình chỉ bảo để bài của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Vũ Thị Thảo

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

PHẦN 1: MỞ ĐẦU 1

1.1 Tính cấp thiết của vấn đề nghiên cứu 1

1.2 Tổng quan đề tài nghiên cứu 2

1.3 Mục tiêu và nhiệm vụ nghiên cứu 2

1.4 Phạm vi nghiên cứu 3

1.4.1 Phạm vi không gian 3

1.5.2 Phương pháp phân tích và xử lý dữ liệu 4

1.6 Kết cấu của khóa luận 4

PHẦN 2: NỘI DUNG KHÓA LUẬN 5

CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HTTT 5

2.1 Lý thuyết chung về an toàn bảo mật thông tin 5

2.1.1 Khái niệm chung 5

2.1.2 Khái niệm an toàn và bảo mật HTTT 5

2.2 Một số cơ sở lý luận về ATBM thông tin và phương pháp về an toàn thông tin, bảo mật thông tin 6

2.2.1 Hình thức tấn công HTTT 6

2.2.2 Các nguy cơ mất ATTT trong HTTT 8

2.2.3 Phương pháp về ATTT và BMTT 9

CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN TẠI CÔNG TY TNHH MIRAWAY GIẢI PHÁP CÔNG NGHỆ 13

2.1 Giới thiệu về công ty TNHH Miraway giải pháp công nghệ 13

2.1.1 Quá trình thành lập và phát triển 13

2.1.2 Cơ cấu tổ chức 13

2.1.3 Các lĩnh vực hoạt động chủ yếu của công ty 14

2.1.4 Kết quả hoạt động kinh doanh trong 3 năm 14

2.2 Phân tích, đánh giá thực trạng an toàn bảo mật tại công ty TNHH Miraway giải pháp công nghệ 15

2.2.1 Thực trạng về an toàn, bảo mật HTTT tại công ty TNHH Miraway giải pháp

công nghệ 15

2.2.2 Phân tích thực trạng an toàn và bảo mật tại công ty TNHH Miraway giải pháp công nghệ 18

2.2.3 Đánh giá thực trạng an toàn bảo mật thông tin tại công ty TNHH Miraway giải pháp công nghệ 18

CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP NÂNG CAO TÍNH AN TOÀN BẢO MẬT THÔNG TIN TẠI CÔNG TY TNHH MIRAWAY GIẢI PHÁP CÔNG NGHỆ 20

3.1 Giải pháp nguồn nhân lực 20

3.2 Giải pháp công nghệ 21

3.2.1 Tường lửa 21

3.2.2 Sử dụng các hình thức mã hoá 23

3.3 Một số kiến nghị với doanh nghiệp 25

KẾT LUẬN 28

DANH MỤC TÀI LIỆU THAM KHẢO 29

PHẦN 1: MỞ ĐẦU 1.1 Tính cấp thiết của vấn đề nghiên cứu

Trong nền kinh tế toàn cầu hóa như hiện nay, CNTT đã chi phối mọi hoạt độngtrong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinh doanh Ứng dụngCNTT vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ,góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển.HTTT là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ thốngmạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối vàchia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức

Các tổ chức có thể sử dụng các HTTT với nhiều mục đích khác nhau Trong việcquản trị nội bộ, HTTT sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động,duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh

Và ngày nay, vấn đề an toàn và bảo mật thông tin được xem là sự sống còn đốivới các doanh nghiệp, nó quyết định sự thành bại của các doanh nghiệp trên thươngtrường nếu như họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất Dữliệu là phần không thể thiếu của bất cứ doanh nghiệp nào dù lớn hay nhỏ và nó đượccoi là một phần tài sản của doanh nghiệp Dữ liệu, thông tin luôn phải đối mặt vớinguy cơ mất an toàn của cả các yếu tố bên trong và bên ngoài doanh nghiệp Việcđảm bảo an toàn thông tin và dữ liệu của doanh nghiệp lại không hề dễ dàng Sựphát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn đếnkhả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy cơ mất

an toàn của hệ thống

Các nguy cơ bảo mật ngày càng nở rộ, các rủi ro đối với các thông tin như bị lộ,

bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, uy tín,chiến lược của doanh nghiệp Vì vậy việc bảo vệ an toàn thông tin, đảm bảo tính bímật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông tin trao đổi

là rất cần thiết Hiện nay, việc đưa ra một số giải pháp nâng cao an toàn và bảo mậtthông tin cho HTTT đã được rất nhiều doanh nghiệp quan tâm và đã triển khai Trong

đó có công ty TNHH Miraway giải pháp công nghệ nói riêng và với các doanh nghiệpnói chung đã có các biện pháp nâng cao an toàn bảo mật thông tin, đó cũng là bảo vệ

sự sống còn của doanh nghiệp mình Nhận thức được điều đó sau thời gian thực tập tại

công ty em quyết định chọn đề tài: “Một số giải pháp nâng cao tính an toàn bảo mật thông tin của Công ty TNHH Miraway giải pháp công nghệ.”

1.2 Tổng quan đề tài nghiên cứu

Công trình nghiên cứu về an toàn bảo mật thông tin trong nước cũng có nhữngchuyển biến tích cực, nhiều công trình sách, báo, tài liệu khoa học về an toàn và bảomật thông tin ra đời như:

Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.

Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toànthông tin trong TMĐT như: mã hóa, chữ ký số…

Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toànthông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nóichung và đi sâu vào một doanh nghiệp cụ thể

Luận văn thạc sĩ của tác giả Nguyễn Minh Quang với đề tài ‘’Nghiên cứu một

số giải pháp an toàn và bảo mật thông tin trong các giao dịch thương mại điện tử’’ Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn

thông tin trong TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu củaluận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quátđược toàn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể

Ở Việt Nam, các nguy cơ mất an toàn thông tin trong thời gian qua đã gia tăng cả

về số lượng và tính chất, mức độ nghiêm trọng Bởi vậy, việc nâng cao nhận thức vàonghiên cứu, áp dụng các giải pháp công nghệ mới để chủ động phòng ngừa đảm bảo antoàn thông tin cho cá nhân, tổ chức, doanh nghiệp đang trở thành vấn đề quan trọngvào cấp bách

1.3 Mục tiêu và nhiệm vụ nghiên cứu

Hiện nay, hầu hết các doanh nghiệp đang phải đối mặt với các nguy cơ mất antoàn thông tin nhưng việc đảm bảo an toàn thông tin lại không được chú trọng, khôngđược thực hiện thường xuyên Nguyên nhân là do phần lớn các cán bộ, nhân viênkhông chú trọng tới việc bảo đảm an toàn thông tin của doanh nghiệp, không ý thứcđược tầm quan trọng của việc đảm bảo an toàn thông tin trong doanh nghiệp, các quy

trình đảm bảo an toàn thông tin chưa rõ ràng và thống nhất Do vậy mục tiêu nghiêncứu của đề tài này là:

- Đưa ra lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin

- Trình bày, tìm hiểu, phân tích đánh giá thực trạng của công ty và đưa ra các thiếu sót

và lỗ hổng của HTTT của doanh nghiệp dựa trên các tài liệu, các phiếu điều tra

- Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đềxuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mậtthông tin có thể áp dụng với công ty

1.5 Phương pháp nghiên cứu

1.5.1 Phương pháp thu thập dữ liệu

Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liênquan đến đề tài nghiên cứu qua internet và các bài báo Phân tích, tổng hợp các tài liệu

có liên quan đến đề tài

Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết

kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiếtnhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thuthập và xử lý thông tin từ các nguồn thu thập

Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft officeexcel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bêntrong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2014 –

2015, từ phiếu điều tra và tài liệu thống kê khác

Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán về tình hình pháttriển HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước và thế

giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty

sẽ hứng chịu

1.5.2 Phương pháp phân tích và xử lý dữ liệu

Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng

vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thôngtin sau:

Phương pháp định lượng: Dữ liệu sau khi thu thập sẽ được đưa ra phân tích bằng

excel và word.Từ những biểu đồ được hoàn thành sau khi nhập dữ liệu vào ta sẽ cónhững đánh giá cụ thể về tình hình kinh doanh cũng như tình hình ứng dụng CNTTcủa Công ty TNHH Miraway giải pháp công nghệ

Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có

thể thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm

rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợpthành nguyên nhân của vấn đề được phát hiện Thường sử dụng để đưa ra các bảng sốliệu thống kê, các biểu đồ thống kê, đồ thị

1.6 Kết cấu của khóa luận

Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệutham khảo và phụ lục thì khóa luận gồm 2 phần:

PHẦN 1: MỞ ĐẦU

PHẦN 2: NỘI DUNG KHÓA LUẬN

CHƯƠNG 1: Cơ sở lý luận về an toàn bảo mật HTTT

CHƯƠNG 2: Phân tích, đánh giá thực trạng an toàn bảo mật thông tin tại công tyTNHH Miraway giải pháp công nghệ

CHƯƠNG 3: Đề xuất giải pháp nâng cao tính an toàn bảo mật thông tin tại công

ty TNHH Miraway giải pháp công nghệ

PHẦN 2: NỘI DUNG KHÓA LUẬN CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HTTT

2.1 Lý thuyết chung về an toàn bảo mật thông tin

2.1.1 Khái niệm chung

Thông tin là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục đích hiểu rõ hơn

sự vật, sự việc, hiện tượng theo một góc độ nhất định

Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và

các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối vàchia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức

Dữ liệu là các giá trị của thông tin định lượng hoặc đính tính của các sự vật, hiện

tượng trong cuộc sống.Trong tin học, dữ liệu được dùng như một cách biểu diễn hìnhthức hoá của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyềnnhận, thể hiện và xử lí bằng máy tính

Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên

các phương tiện lưu trữ như đĩa từ, băng từ v v nhằm thỏa mãn các yêu cầu khai thácthông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng

2.1.2 Khái niệm an toàn và bảo mật HTTT

Một hệ thống thông tin được coi là an toàn( security) khi thông tin không bị làm

hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép

Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho

hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà khônggây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu

Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản Bảo mật trở nên

đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng cáccông cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên(các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) vàlạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơquan hoặc người sở hữu hệ thống)

Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thống

thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạnthông tin và hoạt động của hệ thống một cách trái phép

Bảo mật hệ thống thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng,

tính chống thoái thác của thông tin

- Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cáchtrái phép

- Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới đượcphép chỉnh sửa dữ liệu

- Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những ngườidùng hoặc ứng dụng được ủy quyền yêu cầu

- Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chốimột hành vi đã làm

Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được

những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thôngtin CSDL

Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương tổn

của hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mậtcủa hệ thống thông tin

Tấn công HTTT là các tác động hoặc là trình tự liên kết giữa các tác động với

nhau để phá huỷ, dẫn đến việc hiện thực hoá các nguy cơ bằng cách lợi dụng đặc tính

dễ bị tổn thương của các hệ thống thông tin này

Nghĩa là, nếu có thể bài trừ nguy cơ tổn thương (lỗ hổng) của các hệ thống thôngtin chính là trừ bỏ khả năng có thể thực hiện tấn công

2.2 Một số cơ sở lý luận về ATBM thông tin và phương pháp về an toàn thông tin, bảo mật thông tin

2.2.1 Hình thức tấn công HTTT

Tấn công ngăn chặn thông tin (Interruption): tài nguyên thông tin bị phá hủy,

không sẵn sàng phục vụ hoặc không sử dụng được Đây là hình thức tấn công làm mấtkhả năng sẵn sàng phục vụ của thông tin

Tấn công chặn bắt thông tin (Interception): kẻ tấn công có thể truy nhập tới tài

nguyên thông tin Đây là hình thức tấn công vào tính bí mật của thông tin

Tấn công sửa đổi thông tin (Modification): kẻ tấn công truy nhập, chỉnh sửa

thông tin trên mạng Đây là hình thức tấn công vào tính toàn vẹn của thông tin

Chèn thông tin giả mạo (Fabrication): kẻ tấn công chèn các thông tin và dữ liệu

giả vào hệ thống Đây là hình thức tấn công và tính xác thực của thông tin

Tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà

không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấn công thụđộng rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiện nay tấn công thụđộng đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấncông xảy ra

Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu

lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)

và tấn công ngoại tuyến (offline):

Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trựctiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp Đây là dạng đánh cắp tàikhoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào.Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ mậtkhẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng

Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấn công nhắm đến số đôngngười dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự

cả tin của người dùng để đánh cắp tài khoản Hình thức phổ biến nhất của tấn côngtrực tuyến là phishing Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp cácthông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thứccủa người dùng

 Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng cài đặttrình “key logger” hay trình gián điệp để thu thập dữ liệu của người dùng

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa

đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn cácgói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ độngtuy nguy hiểm nhưng lại dễ phát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong

thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao

- Ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụvới chương trình sendmail: Sendmail là một chương trình phức tạp, với mã nguồn baogồm hàng ngàn dòng lệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên củangười quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những

người sử dụng máy Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bênngoài Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấpnhững lỗ hổng về bảo mật để truy nhập hệ thống.

Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of Service)

là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tớikhông thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sự yếu kémtrong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đếnserver, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợidụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Với mục đíchnhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng

2.2.2 Các nguy cơ mất ATTT trong HTTT

- Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ cáchiện tượng khách quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mấtđiện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránhđược nhưng đó lại không phải là nguy cơ chính của việc mất ATTT

- Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài,phá hỏng vật lý, can thiệp có chủ ý

- Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan chobên thứ ba

- Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:

 “ Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi haychèn, xoá thông tin và gửi đi tiếp

 Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”

 Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật

- Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin

có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng ngườitruy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lạiquá nhỏ gây ra tắc nghẽn

2.2.3 Phương pháp về ATTT và BMTT

2.2.3.1 Biện pháp bảo vệ bằng tường lửa

Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm

có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính

theo những quy định đã được cài đặt trước đó Mục tiêu của việc sử dụng tường lửa làtạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng nhưđảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết

bị bên trong hệ thống mạng Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải

có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển,cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng

Các thành phần của Firewall:

- Bộ lọc packet (packet-filtering router)

- Cổng ứng dụng (Application-level gateway hay proxy server)

- Cổng mạch (Circuite level gateway)

Vị trí cài đặt của Firewall trong hệ thống: Tường lửa luôn được lắp đặt ở vùng

biên giới của hệ thống mạng hay hệ thống máy tính Tường lửa cá nhân sau khi đượccài đặt sẽ chiếm giữ việc quản lý các thông tin đi vào hay đi ra cổng giao tiếp mạngcủa máy tính Tường lửa hệ thống sẽ được lắp đặt ngay sau thiết bị kết nối WAN, nhưRouter sử dụng đường kênh thuê riêng (leased-line), hay Router ADSL

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và

Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) vàmạng Internet Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vàoIntranet )

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

Tường lửa (Firewall) sẽ cho phép chúng ta lọc, ngăn chặn hay cho phép gói tin điqua dựa trên địa chỉ nguồn, đích hay các dịch vụ đang sử dụng Các firewall sẽ chia hệthống mạng ra làm nhiều vùng khác nhau và việc truy cập từ vùng này sang vùng khác

sẽ được kiểm soát chặt chẽ Việc sử dụng bức tường lửa vào những vị trí thích hợp sẽgiúp ngăn chặn tối đa khả năng truy cập trái phép của các hacker

Firewall cứng: Là những firewall được tích hợp trên Router

Đặc điểm của Firewall cứng

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêmquy tắc như firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầngTransport)

- Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ Firewall cứng: NAT (Network Address Translate)

Firewall mềm: Là những Firewall được cài đặt trên Server.

Đặc điểm của Firewall mềm

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

2.2.3.2 Bảo mật sử dụng lọc gói dữ liệu

Lọc gói tin (Packet Filter) là một kỹ thuật bảo mật mạng phổ biến hiện nay, nóthường được sử dụng để kiểm soát các gói tin đi qua các cổng nối mạng (router,firewall, …) của các mạng chuyển mạch goi TCP/IP

Bộ lọc gói có thể được thiết lập trên các router/firewall, đóng vai trò cổng nốibảo mật (tại các mạng vành đai) cho các mạng Intranet Các thiết bị này sẽ làm chochính sách truy cập/chính sách an ninh của mạng có hiệu lực.

Khi có một gói tin IP được gửi đến router/firewall thì bộ lọc gói bên trong nó sẽtách phần header của gói tin IP này Sau đó nó sẽ đối chiếu các thông tin trong headercủa gói tin với các luật/các chính sách lọc gói đã được thiết lập, để quyết định có địnhđường cho gói tin chuyển tiếp hay không – cho đi qua hay chặn lại

Thông tin trong header thường được sử dụng cho việc lọc các gói tin TCP/UDPbao gồm: địa chỉ IP nguồn, địa chỉ IP đích, và có thể là cổng TCP/UDP đích,…

Ngoài ra, trong header của gói IP còn chứa nhiều thông tin khác cho phép ngườiquản trị an ninh hệ thống xây dựng các luật lọc gói dựa trên giao tiếp (interface) củamột router nào đó, mà các gói tin sẽ đi ra (outbound) hoặc đi vào (inbound)

Ta có thể chỉ định lọc gói trên cả hai giao diện inbound và outbound Điều này rấtthuận tiện cho việc lọc gói trên những router với nhiều hơn hai interface Nếu có mộtvài gói bị chặn lại bởi bộ lọc gói đi vào trên interrface đã chỉ ra thì những gói tin nàykhông cần đề cập trong bộ lọc gói đi ra trên tất cả các interface khác

Trước đây, khả năng lọc gói trong các router rất hạn chế, thường nó không táchđược header Router yêu cầu người quản trị phải cho nó biết vị trí và độ lớn của trườngheader trong gói IP để nó kiểm tra Tức là, nó đòi hỏi người quản trị phải có sự hiểubiết chi tiết về cấu trúc một gói IP Người quản trị khó có thể thực hiện được điều nàyvới các gói IP mà trong header của nó có nhiều trường tuỳ chọn Tuy nhiên, hạn chếnày đã được khắc phục bởi các router “thông minh” hiện này

Các luật lọc gói được trình bày như một bảng, gồm nhiều cột: Địa chỉ IP nguồn,địa chỉ IP đích, hành động (định đường cho gói tin đi tiếp hoặc chặn gói tin lại), dịch

vụ … và gồm nhiều dòng, mỗi dòng chứa một luật (rule) Thứ tự các luật trên bảngluật ảnh hưởng không nhỏ đến chính sách lọc gói tin của các bộ lọc

Khi có một gói tin được gửi đến firewall, bộ lọc trên firewall sẽ tách lấy cácthông tin cần thiết cho việc lọc gói từ header của các gói tin này: Địa chỉ IP nguồn, địachỉ IP đích, … Sau đó bộ lọc sẽ tiến hành so khớp thông tin mà nó nhận được từheader của gói tin với các điều kiện được chỉ ra trong mỗi luật, lần lượt từ luật ở đầubảng đến luật ở cuối bảng luật Khi gặp luật đầu tiên, mà điều kiện của nó khớp với

thông tin trong header của gói tin thì hành động được chỉ ra trong luật này sẽ có hiệulực – với gói tin đó Nguyên lý này được gọi là nguyên lý “first match”, nó quyết địnhviệc định đường cho gói tin đi tiếp hay ngăn chặn gói tin lai không cho đi qua.

Hầu hết các bảng luật đều thiết kế một luật đặc biệt đặt ở cuối bảng, luật này xemnhư mặc định, nó có tác dụng từ chối tất cả các gói tin đi qua bộ lọc/hay đi quafirewall Điều này có nghĩa là mọi gói tin mà không được chỉ ra trong tập luật của bộlọc gói trên firewall đều bị firewall chặn lại

CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN TẠI CÔNG TY TNHH MIRAWAY GIẢI PHÁP CÔNG NGHỆ

2.1 Giới thiệu về công ty TNHH Miraway giải pháp công nghệ

2.1.1 Quá trình thành lập và phát triển

Công ty TNHH Miraway giải pháp công nghệ được thành lập năm 2007.Miraway là đơn vị cung cấp giải pháp công nghệ hàng đầu Việt Nam cho khách hàngthuộc khối tài chính, ngân hàng, viễn thông,…Miraway là công ty chuyên thiết kế,phát triển và triển khai các phần mềm ứng dụng cho doanh nghiệp và các giải phápứng dụng IOT Miraway là đối tác tin cậy của nhiều công ty công nghệ uy tín hàngđầu như IBM, Microsoft, Cisco, HP, Add-On, NPcore, Techmahindra, … Mirawayluôn tiến về phía trước và hiện đang phát triển các dòng sản phẩm trên nền tảng cáccông nghệ mới Chúng tôi đề cao tư duy độc lập, sự kiên trì, sáng tạo và khát khaophát triển mạnh mẽ ở mỗi thành viên của mình

2.1.2 Cơ cấu tổ chức

Sơ đồ 1.1: Sơ đồ tổ chức công ty

(Nguồn: Phòng hành chính – nhân sự công ty TNHH Miraway giải pháp công nghệ).