Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo
Trang 1LỜI CẢM ƠN
Sau một thời gian nghiên cứu và thực hiện khóa luận tốt nghiệp với đề tài:
“Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo”ngoài sự cố gắng của bản thân, em còn nhận được rất nhiều sự giúp đỡ từ phía nhàtrường, thầy cô, cùng ban lãnh đạo và các nhân viên trong Công ty Cổ phần phần mềmBravo
Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc nhất tới Th.S Nguyễn QuangTrung–người thầy đã hướng dẫn, giúp đỡ em rất nhiều trong quá trình thực hiện luậnvăn, giúp em định hướng con đường, bước đi đúng đắn cũng như những kỹ năngnghiên cứu cần thiết khác
Em xin được gửi lời cảm ơn tới các thầy & cô giáo trong Khoa Hệ thống thôngtin kinh tế và Thương mại điện tử về sự động viên khích lệ mà em đã nhận được trongsuốt quá trình học tập tại trường
Em cũng xin được gửi lời cảm ơn chân thành tới Anh Đoàn Văn Quyền cũngnhư các anh/chị làm việc tại Công ty Cổ phần phần mềm Bravo vì sự quan tâm, giúp
đỡ, ủng hộ và hỗ trợ cho em trong quá trình thực tập và nghiên cứu - thu thập tài liệu
Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu
về vấn đề này còn nhiều giới hạn Mặt khác, thời gian nghiên cứu khóa luận khá hạnhẹp, trình độ và khả năng của bản thân em còn hạn chế Vì vậy, khóa luận chắc chắn sẽgặp phải nhiều sai sót Em kính mong quý thầy cô chỉ bảo và giúp đỡ để bài khóa luậnđược hoàn thiện hơn
Em xin chân thành cảm ơn!
Hà Nội, ngày 4 tháng 12 năm 2019
Sinh viên thực hiện Ngọc
Trần Thị Huyền Ngọc
Trang 2MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
DANH MỤC TỪ VIẾT TẮT iv
DANH MỤC BẢNG BIỂU v
DANH MỤC HÌNH VẼ vi
PHẦN MỞ ĐẦU 1
1 TẦM QUAN TRỌNG VÀ Ý NGHĨA CỦA ĐỀ TÀI 1
2 MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU 1
3 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 2
4 PHƯƠNG PHÁP NGHIÊN CỨU 2
5 KẾT CẤU KHÓA LUẬN 3
CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU 4
1.1.MỘT SỐ KHÁI NIỆM CƠ BẢN 4
1.1.1 Khái niệm dữ liệu- thông tin 4
1.1.2 Khái niệm hệ thống thông tin, hệ thống thông tin quản lý 4
1.1.3 Khái niệm an toàn - bảo mật thông tin 5
1.2.MỘT SỐ LÝ THUYẾT VỀ VẤN ĐỀ NGHIÊN CỨU 5
1.2.1.Các nhân tố ảnh hưởng đến ATBM HTTT trong doanh nghiệp 5
1.2.2 Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp 6
1.2.3.Các phương pháp-Kỹ thuật phòng tránh trong ATBM thông tin 8
1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU 10
1.3.1 Tổng quan tình hình nghiên cứu ngoài nước: 10
1.3.2 Tổng quan tình hình nghiên cứu trong nước: 11
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO 13
2.1 GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 13
2.1.1.Giới thiệu chung về công ty 13
2.1.2 Quá trình thành lập và phát triển của công ty Cổ phần Phần mềm Bravo 13
2.1.3 Giới thiệu về cơ cấu tổ chức và tình trạng hoạt động của Doanh Nghiệp 14
2.1.4 Báo cáo tài chính về thu chi, lợi nhuận 3 năm gần đây 16
2.1.5 Chiến lược và định hướng phát triển của công ty trong thời gian tới 17
2.2 THỰC TRẠNG CỦA CÔNG TÁC ATBM-HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO 18
2.2.1.Các phần cứng công ty đang sử dụng 18
2.2.2.Các phần mềm công ty đang sử dụng 19
2.2.3 Hệ thống mạng: .19
Trang 32.2.4 Cơ sở dữ liệu 19
2.2.5 Nguồn nhân lực CNTT của công ty 19
2.2.6 HTTT chung 19
2.2.7 Hạ tầng công nghệ thông tin của công ty 19
2.2.8 Thông tin Website của doanh nghiệp 20
2.2.9 Phương thức thu thập xử lý thông tin 20
2.2.10.Kết quả xử lý phiếu khảo sát và xử lý các dữ liệu thứ cấp 21
2.3 ĐÁNH GIÁ THỰC TRẠNG CÔNG TÁC ATBM HTTT TRONG CÔNG TY CỔ PHẨN PHẨN MỀM BRAVO 25
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO ATBM CHO HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 27 3.1.ĐỊNH HƯỚNG PHÁT TRIỂN 27
3.2.ĐỀ XUẤT GIẢI PHÁP NHẰM NÂNG CAO HIỆU QUẢ ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 28
3.2.1.Bảo mật bằng nâng cấp hệ thống máy chủ 29
3.2.2 Đào tạo nhân lực 31
3.2.3.Bảo mật cơ sở dữ liệu 33
3.2.4 Sử dụng giải pháp phòng chống mã độc CMDD (CMC Malware Detection and Defense) 33
3.2.5 Sử dụng các dịch vụ bảo mật 35
3.3 MỘT SỐ ĐỀ XUẤT KIẾN NGHỊ VỀ ATBM HTTT ĐỐI VỚI CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 36
KẾT LUẬN 38 DANH MỤC TÀI LIỆU THAM KHẢO
PHỤ LỤC
Trang 4DANH MỤC TỪ VIẾT TẮT
Trang 5STT Danh mục Tên bảng biểu Trang
2 Bảng 2.2 Kết quả hoạt động kinh doanh trong 3 năm
1 Hình 2.1 Sơ đồ tổ chức của Công ty Cổ phần Phần mềm 15
Trang 7PHẦN MỞ ĐẦU
1 TẦM QUAN TRỌNG VÀ Ý NGHĨA CỦA ĐỀ TÀI
Như chúng ta đã và đang thấy, Internet và CNTT ngày càng phát triển mạnh
mẽ Việc ứng dụng CNTT vào hệ thống của doanh nghiệp mang lại cho doanh nghiệpnhững lợi ích không hề nhỏ: Giúp việc nắm bắt thông tin một cách chính xác, đầy đủ
và kịp thời, góp phần nâng cao hiệu quả kinh doanh, giúp doanh nghiệp luôn phát triểnbền vững trước mọi sự thay đổi của xã hội Bên cạnh đó, có một vấn đề hết sức quantrọng mà chúng ta cần đặc biệt chú ý đó là “Nguy cơ mất an toàn thông tin của doanhnghiệp” – Sự bùng nổ của công nghệ đẩy người dùng thậm chí là doanh nghiệp đốimặt với nguy cơ thông tin cơ mật bị rò rỉ ra bên ngoài
HTTT của Công ty Cổ phần Phần mềm Bravo chứa nhiều thông tin quan trọngcủa cá nhân nhân viên, đối tác, khách hàng đặc biệt là các tài liệu mật của công ty.Việc những dữ liệu- thông tin đó bị mất đi hay rò rỉ ra ngoài do Hacker, virus,malware ảnh hưởng trực tiếp – vô cùng nặng nề gây thất thoát tiền bạc,tài sản, conngười và gây ảnh hưởng tới hoạt động kinh doanh, uy tín thương hiệu của công ty đốivới khách hàng và đối tác Rủi ro thông tin ảnh hưởng uy tín và sự phát triển của công
ty nhưng là vấn đề rất khó tránh khỏi Và việc áp dụng các giải pháp an toàn, bảo mậtthông tin đem lại lợi ích cho công ty là rất lớn, nó không chỉ giúp tránh bị đánh cắpthông tin mà còn giúp công ty tạo được niềm tin đối với khách hàng Một số chínhsách bảo mật thông tin mà công ty đã áp dụng ở nhiều mức khác nhau như: sử dụngmật khẩu cho các thông tin dữ liệu, sử dụng phần mềm diệt virus cho máy tính trongcông ty, hệ thống tường lửa
Nhưng với sự phát triển vượt bậc của CNTT, các mối đe dọa ngày càng nhiều,những phương pháp kể trên chưa thể bảo đảm an toàn một cách triệt để được Chính vìvậy, cần phải có các giải pháp tối ưu hơn để đảm bảo an toàn bảo mật cho HTTT củaCông ty
Thông qua quá trình thực tập và tìm hiểu tại Công ty cổ phần Phần mềm Bravo
em xin được đề xuất đề tài khóa luận: “Giải pháp đảm bảo an toàn bảo mật cho HTTTcủa công ty Cổ phần Phần mềm Bravo”
2 MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU
2.1 Mục tiêu nghiên cứu
Đề xuất một số giải pháp đảm bảo ATTT nhằm nâng cao tính năng ATTT choCông ty cổ phần Phần mềm Bravo
Trang 82.2 Nhiệm vụ nghiên cứu
- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty Cổ phần Phầnmềm Bravo
- Xem xét & đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT dựatrên các tài liệu thu thập được
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao tính năng an toànbảo mật HTTT trong Cổ phần Phần mềm Bravo
3 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
3.1 Đối tượng nghiên cứu
Giải pháp đảm bảo an toàn bảo mật cho HTTT của công ty Cổ phần Phần mềmBravo bao gồm: phần cứng, phần mềm, CSDL và hệ thống mạng
4 PHƯƠNG PHÁP NGHIÊN CỨU
Đề tài này được sử dụng các phương pháp sau:
Phương pháp thu thập dữ liệu:
Đây là phương pháp thu thập thông tin, dữ liệu về các đối tượng cần tìm hiểu
Sử dụng phiếu điều tra gồm các câu hỏi xoay quanh tình hình kinh doanh và hoạt động
về vấn đề đảm bảo an toàn bảo mật HTTT và hiệu quả của các hoạt động này đối vớicông ty Cổ phần Phần mềm Bravo Phiếu sẽ được phát cho các nhân viên trong công
ty để thu thập ý kiến Mục đích của phương pháp này nhằm thu thập những thông tin
về tình hình cơ sở vật chất, tình hình kinh doanh và các hoạt động ATBM HTTT để từ
đó đánh giá thực trạng triển khai và đưa ra được những giải pháp phù hợp với HTTThiện tại hơn
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệuliên quan đến vấn đề an toàn bảo mật tại công ty Cổ phần Phần mềm Bravo
Trang 9Phương pháp xử lý dữ liệu:
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cậpnhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tìnhhình nghiên cứu có liên quan đến trong đề tài Sử dụng phần mềm SPSS (StatisticalPackage for Social Sciences) Đây là một phần mềm cung cấp hệ thống quản lý dữ liệu
và phân tích thống kê trong môi trường đồ họa, sử dụng các trình đơn mô tả và các hộpthoại đơn giản để thực hiện hầu hết các công việc thống kê, phân tích số liệu Ngườidùng có thể dễ dàng sử dụng để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị
Phương pháp này được sử dụng cho chương 2 và chương 3 của khoá luận đểthu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại Cổ phần Phần mềm Bravo
Phương pháp nghiên cứu tài liệu: ngoài việc nghiên cứu trong giáo trình củanhà trường em còn tham khảo và nghiên cứu các luận văn, các nghiên cứu khoa họccủa trường Đại học Thương Mại và các trường đại học khác
5 KẾT CẤU KHÓA LUẬN
Ngoài phần mục lục, danh mục viết tắt, danh mục bảng biểu, danh mục hình vẽ
và phần mở đầu ra thì kết cấu của khóa luận gồm 3 chương:
Chương 1: Cơ sở lý luận của vấn đề nghiên cứu
1.1 Một số khái niệm cơ bản
1.2 Một số lý thuyết về vấn đề nghiên cứu
1.3 Tổng quan tình hình nghiên cứu
Chương 2: Phân tích, đánh giá thực trạng ATBM thông tin trong HTTT củacông ty Cổ phần phần mềm Bravo
2.1 Giới thiệu chung về công ty Cổ phần Phần mềm Bravo
2.2 Thực trạng công tác ATBM HTTT trong công ty Cổ phần Phần mềm Bravo2.3 Đánh giá thực trạng công tác ATBM HTTT trong công ty Cổ phần Phầnmềm Bravo
Chương 3: Định hướng phát triển và đề xuất giải pháp ATBM cho HTTT củacông ty Cổ phần Phần mềm Bravo
Trang 10CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU
1.1.MỘT SỐ KHÁI NIỆM CƠ BẢN
1.1.1 Khái niệm dữ liệu- thông tin
- Dữ liệu trong HTTT là: Những ký tự, số liệu, các tập tin rời rạc hoặc các dữliệu chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông quaquá trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đốitượng mà dữ liệu đang biểu hiện [1]
- Thông tin là: Là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý(Phân tích tổng hợp, ) phù hợp với mục đích cụ thể của người sử dụng [5]
Vai trò của thông tin: Trong cuộc sống con người, mọi hoạt động đều không thểthiếu vai trò của thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định mộtcông việc Chúng ta có thể thấy rõ một quan điểm rằng: Vai trò của thông tin trong đờisống xã hội là vô cùng quan trọng, có thông tin thì mọi việc đều rất dễ dàng xử lý, nógóp phần thúc đẩy tiến trình phát triển của mọi lĩnh vực Nhờ có thông tin mà lãnh đạođưa ra được quyết định đúng đắn, phù hợp với hoàn cảnh của công ty Thông tin là sứcmạnh vô cùng quý, nó có một vị thế tiên phong trong bối cảnh cạnh tranh toàn cầuhiện nay.Có thể nói, doanh nghiệp thiếu thông tin, sẽ dẫn đến những hậu quả rấtnghiêm trọng đó là sẽ mất đi cơ hội kinh doanh hoặc thiếu điều kiện để đưa ra quyếtđịnh kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp những rủi
ro không nên có
1.1.2 Khái niệm hệ thống thông tin, hệ thống thông tin quản lý
- Hệ thống là một tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệràng buộc lẫn nhau và cùng hoạt động hướng tới mục tiêu chung
- Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm
và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức
- Hệ thống thông tin quản lý (Management Information System): Là hệ thốngtổng hợp các thông tin của các hệ thống xử lý nghiệp vụ về các hoạt động trong nội bộdoanh nghiệp và các thông tin thu thập từ môi trường bên ngoài doanh nghiệp để cungcấp thông tin ở mức độ tổng hợp hơn cho các nhà quản lý các cấp
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
Trang 11bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hànghơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
1.1.3 Khái niệm an toàn - bảo mật thông tin
Thông tin của các cá nhân, tổ chức và xác giao dịch có nhiều nguy cơ bị bênthứ 3 biết được Thông tin quan trọng rất dễ bị sửa đổi, đánh cắp, tạo thành thông tingiả mạo để lừa đảo Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, sửdụng thẻ thanh toán giả-hết hạn, từ chối thanh toán Do đó, việc đảm bảo thông tinđược an toàn và bảo mật là rất cần thiết Chúng ta cùng tìm hiểu thế nào là an toàn-bảomật thông tin?
- Bảo mật thông tin (information security) là một chủ đề rộng bao gồm tất cảcác vấn đề bảo mật có liên quan đến lưu trữ và xử lý thông tin Lĩnh vực nghiên cứuchính của bảo mật thông tin gồm các vấn đề pháp lý như hệ thống chính sách, các quyđịnh, yếu tố con người; các vấn đề thuộc tổ chức như kiểm toán xử lý dữ liệu điện tử,quản lý, nhận thức; và các vấn đề kỹ thuật như kỹ thuật mật mã, bảo mật mạng, côngnghệ thẻ thông minh…
- An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truynhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tínhnguyên vẹn, tính bảo mật và tính khả dụng của thông tin
1.2.MỘT SỐ LÝ THUYẾT VỀ VẤN ĐỀ NGHIÊN CỨU
1.2.1.Các nhân tố ảnh hưởng đến ATBM HTTT trong doanh nghiệp
Một HTTT hoạt động chịu tác động của rất nhiều yếu tố, từ môi trường bêntrong đến môi trường bên ngoài, xa hơn là môi trường vi mô- môi trường vĩ mô Trong
đó, yếu tố ảnh hưởng sâu đến hoạt động ATBM của HTTT đó là Con người, chínhsách quy trình bảo mật và công nghệ
+ Con người - yếu tố sống còn trong bảo mật thông tin: HTTT hoạt động haykhông hoạt động phụ thuộc phần lớn vào con người, việc HTTT đó có đảm bảo antoàn bảo mật không phụ thuộc rất lớn vào ý thức, kinh nghiệm của mỗi nhân viêntrong công ty Mỗi nhân viên có vị trí nhất định trong hệ thống tùy theo năng lực –trình độ của mỗi người, mỗi chủ thể này góp phần làm cho HTTT của họ hoạt độnghiệu quả, năng suất hơn gấp nhiều lần nhưng đó cũng là điểm yếu chí mạng nếu nhânviên không trang bị những kiến thức về ATBM cho HTTT của mình
+ Các chính sách quy trình bảo mật tạo cơ sở cho các nhân viên trong hoặckhông trong ngành CNTT về các cách xử trí của họ Trong nhiều trường hợp, ví dụ
Trang 12như để lộ thông tin tài khoản đăng nhập cho nhân viên không được ủy quyền, các hànhđộng phản ứng đều có hiệu quả rõ rệt Trong khi một số các chính sách rõ ràng là cóliên quan đến bảo mật, các chính sách khác có thể có không tác động đến các nguy cơbảo mật một cách rõ ràng đối với các nhân viên không trong ngành CNTT Nếu công
ty không đưa ra bất kỳ chính sách bảo mật nào hay chỉ đầu tư một khoản nhỏ, có thểcoi đấy là một tấm gương phản chiếu trực tiếp về tình hình bảo mật toàn diện toàn bộcác hoạt động kinh doanh Chính vì thế, khả năng các công ty bị tấn công hay là nạnnhân của các vụ tấn công như vậy là rất lớn
+ Yếu tố công nghệ: Là yếu tố tạo nên nền móng cho các hoạt động sản xuấtkinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp Công nghệđược chia làm hai loại: Phần cứng và phần mềm
Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thuthập, xử lý và lưu trữ thông tin…
Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng chốngvirus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
Theo nhiều nghiên cứu của các chuyên gia về ATBM, hầu hết các vụ tấn côngmạng xảy ra đều xuất phát từ sự bất cẩn hoặc thiếu kinh nghiệm của người dùng.Không chỉ là người dùng cá nhân mà ngay cả các doanh nghiệp, tổ chức, vấn đềATBM cũng không được nhận thức một cách đúng đắn Vì vậy cần nâng cao nhậnthức về ATBM cho tất cả mọi người
1.2.2 Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp
Xét theo nguyên nhân, nguy cơ mất an toàn thông tin có thể chia làm nguy cơngẫu nhiên và nguy cơ có chủ đích
- Nguy cơ ngẫu nhiên: Có thể xuất phát từ các hiện tượng khách quan như
thiên tai (lũ lụt, sóng thần, động đất ), hỏng vật lý, mất điện Đây đều là nhữngnguyên nhân khách quan, rất khó để dự đoán trước, khó tránh được nhưng đây khôngphải là nguy cơ chính cho việc mất ATTT
- Nguy cơ có chủ đích: Bị tấn công bởi các phần mềm độc hại, bị xâm nhập từ
lỗ hổng bảo mật, tấn công bằng cách phá mật khẩu, Nguy cơ mất an toàn thông tintrong quá trình truyền tin:
Bị tấn công bởi các phần mềm độc hại: Các phần mềm độc hại tấn công bằng
nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mục đích khác nhaunhư: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware),
Trang 13+ Virus: là một chương trình máy tính có thể tự sao chép chính nó lên nhữngđĩa, file khác mà người sữ dụng không hay biết Thông thường virus máy tính mangtính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu Chúng có cáctính chất: kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từđĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thôngthường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu.
+ Worm: loại virus lây từ máy tính này sang máy tính khác qua mạng, khác vớiloại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây sangmáy khác khi ai đó đem chương trình nhiễm virus sang máy này Trojan, Spyware,Adware: Là những phần mềm được gọi là phần mềm gián điệp, chúng không lây lannhư virus
Nguy cơ xâm nhập từ lỗ hổng bảo mật:
Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằmtrong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặttrên máy tính Hiện nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các
hệ điều hành, các web server hay các phần mềm khác Và các hãng sản xuất luôn cậpnhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của cácphiên bản trước
Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu:
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoảnmục người dùng và một mật khẩu Đôi khi người dùng khoản mục lại làm mất đi mụcđích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra
và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc củamình Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể.Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển
và các số Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩutrên mạng Internet như: Xavior, Authforce và Hypnopaedia Các chương trình dạngnày làm việc tương đối nhanh và luôn có trong tay những kẻ tấn công
Nguy cơ mất an toàn thông tin do sử dụng e-mail:
Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giốngnhư email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị
bị nhiễm virus Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức
cụ thể Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là một đồngnghiệp hoặc một đối tác nào đó Người dùng bị tấn công bằng thư điên tử có thể bịđánh cắp mật khẩu hoặc bị lây nhiễm virus Những e-mail phá hoại có thể mang một
Trang 14tệp đính kèm chứa một virus, một sâu mạng, phần mềm gián điệp hay một trojanhorse Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa mộtmacro (một chương trình hoặc một tập các chỉ thị) chứa mã độc Ngoài ra, e-mail cũng
có thể chứa một liên kết tới một web site giả
Nguy cơ mất an toàn thông tin trong quá trình truyền tin: Trong quá trình lưu
thông và giao dịch thông tin trên mạng internet nguy cơ mất an toàn thông tin trongquá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặc phá hỏngnội dung thông tin rồi gửi tiếp tục đến người nhận
1.2.3.Các phương pháp-Kỹ thuật phòng tránh trong ATBM thông tin
- Phòng tránh mức hệ điều hành và mạng: sử dụng Firewall, sử dụng hệ thốngkiểm tra xâm nhập mạng(IDS), sử dụng mạng riêng ảo(VPN), sử dụng phần mềmAnti-virus(AV), bảo mật đường truyền, các thế hệ thẻ thông minh, kiểm tra máy chủ
và các ứng dụng, kiểm soát các hệ điều hành
- Phòng tránh mức dữ liệu: phân quyền người dùng, sử dụng các chương trìnhbảo mật riêng, sử dụng các chương trình antivirus, antispyware, mã hóa dữ liệu
- Phòng tránh bằng chính sách và giáo dục: bổ sung và sửa đổi các luật, nghịđịnh, thông tư, xây dựng chính sách đảm bảo an toàn thông tin cho tổ chức, tuyêntruyền và giáo dục, nhắc nhở và thực hiện
- Phòng tránh bằng mã hóa: độ an toàn của hệ mã hóa an toàn vô điều kiện, antoàn tính toán Một số kiểu mã hóa: mã hóa Ceasar, mã hóa Vigenere, mã hóa khóa tựđộng, mã hóa hoán vị hàng rào, mã hóa không đối xứng hiện đại- mã hóa khóa côngkhai
- Phòng tránh mức vật lý: Sử dụng hệ thống các thiết bị vật lý, thiết bị dò tìmbáo động hay các biện pháp vật lý thông dụng
(*) Một số kỹ thuật được sử dụng trong đề tài:
Sử dụng phần mềm diệt virus:
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biếtnhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biếtđược các virus mới Về các phần mềm phá hoại chưa được biết đến, các công cụ quét
có thể được tạo ra để quét và ghi nhớ cấu trúc của các tệp, đặc biệt là các tệp thực thi.Khi chúng phát hiện một số lượng bất thường, như kích cỡ của tệp lớn đột đột hoặcmột thuộc tính của tệp bị thay đổi, thì công cụ quét sẽ được cảnh báo có thể đó là mộtphần mềm phá hoại chưa được biết đến Trong trường hợp này, công cụ quét có thểthông báo cho người dùng và chỉ ra một số cách để giải quyết chúng
Trang 15Bảo vệ thông tin do nguy cơ do sử dụng e-mail:
Trong thời gian gần đây virus hoành hành và tấn công vào các Email đã trởthành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn thất nặng nề
Để đảm bảo an toàn cho Email cần có ý thức bảo vệ được máy tính bằng việc tuân thủcác điều sau:
Không mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ e-mail mà khôngbiết rõ hoặc không tin tưởng
Không mở bất kỳ e-mail nào mà mình cảm thấy nghi ngờ, thậm chí cả khiemail này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền qua đườnge-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book) trong máy nạnnhân để tự phát tán Do vậy, nếu không chắc chắn về một e-mail nào thì hãy tìm cáchxác nhận lại từ phía người gửi
Không mở những tập tin đính kèm theo các e-mail có tiêu đề hấp dẫn, nhạycảm
Nên xóa các e-mail không rõ hoặc không mong muốn và không forward(chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi Những e-mailnày thường là thư rác (spam)
Không sao chép vào đĩa cứng bất kỳ tập tin nào mà bạn không biết rõ hoặckhông tin tưởng về nguồn gốc xuất phát của nó
Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính Dùngmột chương trình diệt virus được cập nhật thường xuyên để kiểm tra những tập tin này.Nếu nghi ngờ về một tập tin chương trình hoặc một e-mail thì đừng bao giờ mở nó rahoặc tải về máy tính của mình Cách tốt nhất trong trường hợp này là xóa chúng hoặckhông tải về máy tính của mình
Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên nhưNorton Anti Virus, McAffee, Trend Micro, BKAV, D32 Sử dụng những chươngtrình diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường xuyên giám sátcác hoạt động trên máy tính và ở chức năng quét e-mail
- Bảo vệ dữ liệu máy tính:
Để bảo vệ sự toàn vẹn dữ liệu, hay các thông tin quan trọng thì chúng ta nên cónhững biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổithông tin Sau đây có một số cách để bảo vệ dữ liệu:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữliệu
Trang 16Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn cócủa hệ điều hành (ví dụ System Restore của Windows Me, XP ) mà có thể cần đếncác phần mềm của hãng thứ ba.
Thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết bịnhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thể thựchiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữliệu của bạn
Đứng trước những thách thức và nguy cơ mất an toàn thông tin đang ngày cànggia tăng và phức tạp hơn, doanh nghiệp phải có những biện pháp để tự bảo vệ mình.Bên cạnh các công cụ kỹ thuật mà doanh nghiệp đã sử dụng thì công ty cũng cần chútrọng đến các giải pháp nâng cao ATBM HTTT trong công ty
- Giải pháp phòng chống mã độc CMDD: là giải pháp phát hiện và phòng thủ
trước nguy cơ tấn công mã độc triển khai trên các máy trạm với hệ thống giám sát tậptrung Trong đó bao gồm:
+ Sản phẩm bảo mật CMC Endpoint Security: Chống lại tấn công từ các loại
mã độc Ransomware, Trojan, Spyware, Keylogger, Backdoors…, phát hiện ra nguy cơcác cuộc tấn công có chủ đích nhằm đánh cắp hay phá hoại dữ liệu
+ Dịch vụ giám sát an ninh an toàn thông tin, hỗ trợ ứng cứu xử lý khi xảy ra sự
cố, giúp giảm thiểu chi phí đầu tư cho nhân lực chuyên trách về an toàn thông tin vàđảm bảo tính ổn định trong hoạt động sản xuất kinh doanh cho doanh nghiệp
1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU
Tuy vấn đề an toàn bảo mật tại doanh nghiệp không phải là một vấn đề mới,trên thế giới các công trình nghiên cứu này đã được thực hiện hay trong nước ta nhiềudiễn đàn, hội nghị, hội thảo quốc tế về an toàn bảo mật liên tục được tổ chức Tuynhiên mỗi công trình nghiên cứu đề cập đến một khía cạnh của vấn đề an toàn bảo mật
mà chưa thực sự rõ ràng cho một doanh nghiệp cụ thể Chúng ta có thể hiểu sâu hơn từnhững công trình nghiên cứu trong và ngoài nước như sau:
1.3.1 Tổng quan tình hình nghiên cứu ngoài nước:
Thông qua cuốn sách của tác giả “Rhee”: Man Young Rhee (2003), Internet Security: Cryptographic Principles, Algorithms and Prtocols John Wiley & Sons - Ta
thấy được vai trò của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mậtInternet Đưa ra các biện pháp khắc phục các mối đe dọa do hoạt động tội phạm dựavào độ phân giải mật mã Nếu không có các thủ tục xác thực, kẻ tấn công có thẻ mạo
Trang 17danh bất cứ ai sau đó truy cập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữliệu có thể bị thay đổi tấn công thông qua đường truyền Internet.
Cuốn sách đưa ra được nguyên tắc cơ bản về mạng LAN, WAN, ATM , các kỹthuật xác thực, hệ thống mã khóa công khai và các giao thức để bảo vệ lớp mạng, đặcbiệt là cuộc khảo sát nhàn nước-of-the-art của bộ ứng dụng giao thức TCP/IP
Hay cuốn sách của tác giả “Willliam Stalling” (2011) Crytography and
network security principles and practices, Fourth Edition, Prentice Hall
Nội dung cuốn sách nói về vấn đề mật mã và an ninh mạng, đưa ra được nhữngnguyên tắc và những vấn đề cơ bản về HT mật mã và an ninh mạng Tiếp theo là đềcập tới thuật toán mã hóa cơ bản (mã hóa đối xứng, mã hóa cổ điển mã hóa khối, mãhóa tiên tiến và các tiêu chuẩn của mã tiên tiến), hàm băm chữ ký số và an ninh: Ứngdụng xác thực an ninh thư điện tử, IP an ninh, bảo mật Web…Cuốn sách này nên rađược cho người đọc những phương pháp, cách thức chung của một hệ thống từ cơ bảntới mở rộng, nâng cao và được ứng dụng hầu hết trong giáo trình, bải giảng của cáctrường đại học…
Tuy nhiên, cũng như cuốn của Man Young Rhee (2003), thì đây cũng là cuốnsách nghiê cứu chuyên sau về tường lửa liên quan tới phần cứng và các phần mềm độchại Đây là hai vấn đề cơ bản, nhưng đổi với một HTTT của một doang nghiệp thìkhông chỉ xảy ra sự cố do hai yếu tố đó, mà còn bị ảnh hưởng bởi các nguy cơ xâm hạikhác Vì vậy chưa thể đáp ứng một doanh nghiệp cụ thể
1.3.2 Tổng quan tình hình nghiên cứu trong nước:
Tại Việt Nam với sự phát triển mạnh mẽ của CNTT trong thời gian qua thì sựquan tâm đến vấn đề an toàn thông tin ngày càng lớn Các đề tài nghiên cứu cấp Bộ,cấp Nhà nước, các hội nghị, hội thảo được xuất hiện ngày càng nhiều
Sau đây là một số giáo trình và công trình nghiên cứu liên quan:
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB thống kê Giáo trình đưa ra được các hình thức tấn công, cùng với các biện pháp
phòng tránh khi sự cố chưa xảy ra và cách khắc phực khi đã xảy ra sự cố Tài liệu cũngtrình bày về cấn đề mã hóa dữ liệu và ứng dựng của an toàn dữ liệ trong TMĐT Điểmnổi bật đó là tài liệu được trình bày từ lý thuyết chung cơ bản tới những nhận xét đánhgiá khách qaun có tính chuyên sâu về vấn đề
Giống như tên cuốn giáo trình đó là thiên về hướng TMĐT, mặc dù nó giúp cácnhà kinh doanh có cái nhìn toàn diện và vận dụng hơn vào doanh nghiệp của mình
Trang 18nhưng nó lại không đi sâu nghiên cứu khía cạnh an toàn bảo mật riêng cho một hệthống thông tin doanh nghiệp.
Nguyễn Minh Quang (2012), Nghiên cứu một số giải pháp an toàn và bảo
mật thông tin trong các giao dịch thương mại điện tử – Luận văn thạc sĩ chuyên ngành
Khoa học máy tính, Học viện Công Nghệ Bưu Chính Viễn Thông Luận văn nghiêncứu về chữ ký số và ứng dụng trong các giao dịch thương mại điện tử giúp cho việctrao đổi các chứng từ điện tử trở nên an toàn và bảo mật
Ngoài ra còn một số luận văn cũng tiêu biểu như sau:
Nguyễn Thị Thanh Thủy, Nghiên cứu bảo mật Web – Luận văn trường Đại
học Công nghệ-ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn TrọngHiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ liệu tử”của Đào Thị Thu Hường
Đại đa số các tác giả làm theo mảng chuyên sâu về một số giải pháp- kỹ thuật,nêu một cách chi tiết ưu nhược điểm của các giải pháp mà mình nghiên cứu Tuynhiên, giải pháp để áp dụng vào một doanh nghiệp cụ thể thì tác giả trên vẫn chưa đềcập đến, bởi vì một HTTT của một doanh nghiệp phụ thuộc vào rất nhiểu yếu tố, chonên phải áp dụng nhiều hơn một giải pháp cụ thể với đặc trưng của doanh nghiệp.Cũng chính vì lý do đó, em quyết định nghiên cứu đề tài này, theo hiểu biết của em thì
đề tài này không trùng lặp với các đề tài nghiên cứu trước đó
Trang 19CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO2.1 GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO
2.1.1.Giới thiệu chung về công ty
Tên đầy đủ : Công ty Cổ phần phần mềm BRAVO
Tên tiếng anh : BRAVO Software Joint Stock Company
Ngày thành lập(trụ sở HN) : 7/10/1999
Ngày cấp giấy phép : 18/10/1999
Mã số thuế: 0100947771 Tại Cục thuế Hà Nội
Giám đốc công ty: Ông Đào Mạnh Hùng
Công ty có trụ sở tại Hà Nội: Tầng 3, Tòa nhà 101 Láng Hạ, Phường Láng Hạ,Quận Đống Đa, TP.Hà Nội
Tel: 024 3776 2472 | Fax: : 024 3776 2470
E-mail: : hanoi@bravo.com.vn
Website : https://www.bravo.com.vn
Lĩnh vực hoạt động: Sản xuất phần mềm máy tính
Ngoài ra còn 2 chi nhánh : Tại TP HCM và Tại Đà Nẵng
2.1.2 Quá trình thành lập và phát triển của công ty Cổ phần Phần mềm Bravo
Công ty Cổ phần Phần mềm Bravo được thành lập theo giấy phép số
4667/GP-UB ngày 07 tháng 10 năm 1999 của 4667/GP-UBND thành phố Hà Nội Được Sở kế hoạch vàĐầu tư Hà Nội cấp giấy chứng nhận đăng ký kinh doanh số: 056682 ngày 18 tháng 10năm 1999 và cục thuế Hà Nội cấp mã số đăng ký thuế: 0100947771 ngày 05 tháng 11năm 1999
Ngành nghế kinh doanh chủ yếu của công ty là : Sản xuất phần mềm máy tính(chủ yếu là phần mềm kế toán)
Cơ cấu tổ chức của công ty bao gồm các bộ phận sau: Bộ phận giám đốc, bộphận quản lý tổng hợp, bộ phận kinh doanh, bộ phận kỹ thuật- triển khai, bộ phận bảohành, bộ phận phát triển và test sản phẩm, bộ phận kế toán, bộ phận đào tạo nhân sự
và bộ phận công nghệ
Trang 20Năm 2000 thành lập văn phòng đại diện tại TP Hồ Chí Minh và được Sở kếhoạch – Đầu tư cấp giấy phép vào ngày 15 tháng 12 năm 2000 Năm 2003 thành lậpvăn phòng đại diện tại Đà Nẵng được cấp phép vào ngày 14 tháng 04.
Phần mềm Kế toán Bravo đã được đăng ký, chứng nhận:
+ Giấy chứng nhận bản quyền tác giả số 321/2001/QTG do Cục Bản quyền tácgiả- Bộ văn hóa thông tin cấp ngày 24 tháng 10 năm 2001 về phần mềm kế toánBravo
+ Giấy chứng nhận bản quyền tác giả số 246/2003/QTG do Cục Bản quyền tácgiả- Bộ văn hóa thông tin cấp ngày 27 tháng 03 năm 2003 về Phần mềm Bravo
+ Giấy chứng nhận đăng ký nhãn hiệu hàng hóa số 39080 và số 53916 của Cục
Sở hữu công nghiệp- Bộ khoa học công nghệ và môi trường về việc bảo hộ nhãn hiệuhàng hóa: Phần mềm kế toán Bravo
Quá trình phát triển của Bravo có rất nhiều thành tựu: Từ những phiên bản phầnmềm Bravo 3.2 lên phiên bản Bravo 4.0, Bravo 4.1, Bravo 5.0, Bravo 6.0, Bravo 7.0
và bây giờ là phiên bản Bravo 8 được xây dựng trên nền tảng công nghệ .NETFramework 4.5, kết hợp với các công nghệ tiên tiến như: WCF, Xamarin, AngularJS
và sử dụng cơ sở dữ liệu SQL Server, đồng thời bổ sung, cái tiến nhiều tính năng, đểtrở thành hệ thống ERP tối ưu và phù hợp cho quản trị tổng thể doanh nghiệp chonhiều ngành nghề lĩnh vực khác nhau Điều này cũng xuất phát từ chính mục tiêu pháttriển của công ty: “Trở thành nhà cung cấp phần mềm kế toán số một trong lĩnh vựcsản xuất kế toán”
2.1.3 Giới thiệu về cơ cấu tổ chức và tình trạng hoạt động của Doanh Nghiệp
a Sơ đồ Cơ cấu tổ chức:
Cơ cấu tổ chức công ty theo bộ phận, nhóm được xây dựng và điều chỉnh dựatrên thực tế công việc của BRAVO nhằm nâng cao khả năng dịch vụ khách hàng, phùhợp với đặc điểm và tình hình kinh doanh Đồng thời tạo được cơ chế trao đổi – hỗ trợthông tin nội bộ, phân công quyền hạn, trách nhiệm từ đó thực hiện tốt các công việcchuyên môn cũng như hỗ trợ và dịch vụ khách hàng
Ghi chú: : Thể hiện liên hệ trực tiếp -: Thể hiện liên hệ hỗ trỡ
Trang 21Hình 2.1: Sơ đồ tổ chức của Công ty Cổ phần Phần mềm BRAVO
(Nguồn từ Website của công ty)
Chức năng và nhiệm vụ của các phòng ban
- Ban giám đốc: Điều hành, quản lí, giám sát toàn bộ các hoạt động của công ty
- Bộ phận quản lý tổng hợp: Lập kế hoạch tài chính, tổ chức triển khai theo
dõi hoạt động tài chính - kế toán, tổ chức kiểm soát ngân quỹ…
- Phòng kinh doanh: Kí hết hợp đồng, nghiên cứu phát triển thị trường, xúc
tiến việc phát triển thị trường, tổ chức thu thập tài liệu – thông tin cần thiết phục vụcho hoạt động phân tích thống kê
- Phòng kỹ thuật – triển khai: Cài đặt, đào tạo, hỗ trợ sử dụng và lập trình
trong giai đoạn triển khai Thường xuyên cập nhật sửa đổi, thăm hỏi khách hàng
- Phòng bảo hành: Trợ giúp và chăm sóc khách hàng sử dụng phầm mềm trong
giai đoạn bảo hành, bảo trì sản phẩm
Trang 22- Phòng phát triển và test sản phẩm: Phát triển và test sản phẩm
- Phòng kế toán: Chịu trách nhiệm trước ban giám đốc về hạch toán kinh
doanh của toàn công ty, giao dịch với cơ quan thuế, ngân hàng và các tổ chức khác
- Phòng công nghệ: Tổ chức hệ thống thông tin phục vụ quản lý, sản xuất kinh
doanh của công ty.Nâng cấp tích hợp, lắp đặt, quản lý, khai thác thông tin một cáchhợp lý, đảm bảo HTTT hoạt động ổn định
- Phòng đào tạo-nhân sự: Tuyển dụng, lưu trữ hồ sơ và làm công việc văn
phòng khác
b Cơ cấu nhân sự:
Hiện nay công ty có hơn 300 nhân viên làm việc tại 03 văn phòng gồm Hà Nội,
Đà Nẵng và TP Hồ Chí Minh Đây đều là những nhân viên chuyên nghiệp, năng động,sáng tạo, đã được đào tạo có bài bản, hiểu sau về kế toán tài chính và có kinh nghiệmtriển khai, lập trình tốt Công ty vẫn luôn chú trọng vào đào tạo, lựa chọn kỹ lưỡng,tăng cường lợi ích giữa các thành viên
Bảng 2.1: Số liệu về nhân viên tại 3 miền
2.1.4 Báo cáo tài chính về thu chi, lợi nhuận 3 năm gần đây
Bảng 2.2: Kết quả hoạt động kinh doanh trong 3 năm (2016-2018)
ãsố
Năm2016
Năm2017
3.Doanh thu thuần về BH và
Trang 2316.Chi phí thuế TNDN hoãn lại 52
17.Lợi nhuận sau thuế TNDN
(60=50-51-52)
60 1.157.416.029 1.459.891.340 2.003.794.212
(Nguồn từ báo cáo tài chính công ty cổ phần phần mềm Bravo)
Quan sát bảng số liệu từ phòng kế toán trên, nhìn chung tình hình kinh doanhcủa công ty trong 3 năm gần đây có xu hướng phát triển tốt Trình độ nhân sự, chấtlượng trang thiết bị được gia tăng một cách đáng kể, có khả năng phục vụ nhiều đốitượng khách hàng với mức yêu cầu khác nhau Doanh thu và lợi nhuận sau thuế củacông ty tăng dần theo từng năm
2.1.5 Chiến lược và định hướng phát triển của công ty trong thời gian tới
- BRAVO chủ trương xây dựng thương hiệu dựa trên “Chất lượng sảnphẩm” và “Chất lượng dịch vụ” Trên cơ sở đó BRAVO đã đưa ra chiến lược pháttriển cho giai đoạn từ nay đến năm 2020 là “Phấn đấu trở nhà cung cấp hàng đầu cácsản phẩm phần mềm chất lượng cao cho các tổ chức, doanh nghiệp tại Việt Nam”
(*) Mục tiêu hoạt động:
- Mục tiêu Thị trường (tính đến năm 2020)
Trang 24Trở thành nhà cung cấp phần mềm số 1 trong lĩnh vực “Phần mềm Kếtoán quản trị - sản xuất” cho thị trường Việt Nam.
Trở thành 1 trong 3 nhà cung cấp “Giải Pháp Quản Trị Doanh Nghiệp” hàngđầu cho thị trường Việt Nam (ERP-VN)
- Mục tiêu Doanh số: Năm 2015 – 2020: Tăng trưởng bình quân 30% - 50% /
năm
- Mục tiêu Tổ chức- Nhân sự:
Bravo không ngừng đặt ra các mục tiêu phấn đấu nhằm nâng cao về đời sốngvật chất cho các thành viên của chính mình Các mục tiêu đó được cụ thể và thể hiệnthông qua nội dung chi tiết quy định, quy chế và chính sách định hướng nhân sự củaBravo hàng năm nhằm xây dựng Bravo thành một mái nhà thứ hai của mỗi thành viên
Dự kiến, đến cuối năm 2020, Bravo có số lượng cán bộ nhân viên khoảng 450người với hệ thống cung cấp dịch vụ, đào tạo chuyên nghiệp Với cơ cấu và bộ máy sẽđược tổ chức tại mỗi vùng miền ( Bravo-Hn, Bravo-Hcm, Bravo-Đn) cơ bản như sau:
Bộ phận kinh doanh, bộ phận Marketing, bộ phận tư vấn nghiệp vụ, bộ phận kỹ thuậttriển khai, bộ phận bảo hành, bộ phận phát triển sản phẩm, bộ phận công nghệ, bộphận kiểm thử sản phẩm, bộ phận tổng hợp ( Hành chính – Đối ngoại), bộ phận kếtoán, bộ phận nhân sự
2.2 THỰC TRẠNG CỦA CÔNG TÁC ATBM-HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO
Các phần mềm ứng dụng: Công ty có sử dụng khá nhiều loại phần mềm,
từ phần mềm văn phòng, phần mềm quản lý đến các phần mềm giao tiếp, phần
mềm diệt virus Đặc biệt nhất là phần mềm ERP do công ty tự thiết kế.