Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp
Thông tin và dữ liệu là tài sản quý giá, thiết yếu cho mọi lĩnh vực, từ quân sự đến kinh tế Việc nắm bắt thông tin kịp thời giúp cá nhân và tổ chức đưa ra quyết định đúng đắn, từ đó duy trì và phát triển trong bối cảnh xã hội thay đổi.
Việc đảm bảo an toàn cho hệ thống thông tin đã được chú trọng từ sớm trên thế giới, với các tiêu chuẩn an toàn thông tin như BS 7799 được công bố lần đầu vào năm 1995 Tại Việt Nam, vào ngày 13 tháng 1 năm 2010, Thủ tướng Chính phủ đã ban hành quyết định số 63/QĐ - TTg về "Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020", nhằm thiết lập các mục tiêu và chính sách cụ thể Từ đó, an toàn thông tin đã trở thành vấn đề quan trọng, góp phần nâng cao hiệu quả kinh doanh và thúc đẩy sự phát triển của nền kinh tế Điều này không chỉ giúp doanh nghiệp đáp ứng nhu cầu khách hàng mà còn nâng cao khả năng cạnh tranh trên thị trường trong và ngoài nước.
Hệ thống thông tin (HTTT) là một phần thiết yếu trong hoạt động của doanh nghiệp, ảnh hưởng đến mọi khía cạnh hàng ngày Tuy nhiên, sự quan trọng của HTTT cũng đồng nghĩa với việc mất an toàn có thể gây ra thiệt hại nghiêm trọng Do đó, việc triển khai các giải pháp bảo mật hiệu quả để nâng cao an toàn cho HTTT trong doanh nghiệp là vô cùng cần thiết.
Công ty Cổ phần Trung Thành Việt Nam, với hơn 15 năm kinh nghiệm phát triển, hiện đang là một trong những công ty hàng đầu và uy tín trong lĩnh vực thi công công trình giao thông, dân dụng, hạ tầng kỹ thuật, cũng như nạo vét sông và kênh rạch, đảm bảo an toàn giao thông đường thủy.
Công ty đã nhận thức được tầm quan trọng của việc đảm bảo an toàn thông tin cho sự phát triển bền vững trong tương lai Tuy nhiên, hiện tại, công ty vẫn chưa đầu tư đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT).
Việc thu thập, xử lý và sử dụng thông tin của công ty hiện đang thiếu tính nhất quán và độ bảo mật chưa được đảm bảo, điều này ảnh hưởng trực tiếp đến hiệu quả hoạt động kinh doanh.
Sau quá trình tìm hiểu và thực tập tại Công ty Cổ phần Trung Thành Việt Nam, em xin trình bày đề tài khóa luận: “Giải pháp đảm bảo an toàn cho hệ thống thông tin của Công ty Cổ phần Trung Thành Việt Nam.”
Mục tiêu nghiên cứu của đề tài
Mục tiêu chính của bài viết là đề xuất các giải pháp nhằm nâng cao an toàn bảo mật hệ thống thông tin tại Công ty Cổ phần Trung Thành Việt Nam, dựa trên cơ sở lý luận và thực trạng hiện tại.
Mục tiêu cụ thể cần giải quyết trong đề tài:
Đầu tiên, cần tập hợp và hệ thống hóa các lý thuyết cơ bản về an toàn bảo mật hệ thống thông tin trong doanh nghiệp, bao gồm khái niệm, vai trò và ý nghĩa của việc đảm bảo an toàn thông tin, cũng như các nguy cơ có thể gây ra mất an toàn thông tin.
Thứ hai, xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật hệ thống thông tin dựa trên các tài liệu đã thu thập được.
Vào thứ ba, dựa trên việc nghiên cứu thực trạng của công ty, chúng tôi sẽ đề xuất các giải pháp nhằm nâng cao an toàn bảo mật hệ thống thông tin Mục tiêu là cải thiện hệ thống thông tin quản lý với độ an toàn cao, từ đó ngăn chặn các nguy cơ tấn công từ bên ngoài.
Phương pháp nghiên cứu
Phương pháp thu thập dữ liệu
Phương pháp thu thập dữ liệu sơ cấp
- Điều tra trắc nghiệm: phương pháp này sử dụng mẫu phiếu điều tra khảo sát tại công ty thực tập.
Trong quá trình thực tập tổng hợp tại công ty, việc điều tra trực tiếp được thực hiện thông qua phỏng vấn nhân viên ở các phòng ban khác nhau Đồng thời, quan sát trực tiếp cơ sở hạ tầng và môi trường làm việc cũng được tiến hành để thu thập thông tin cần thiết một cách hiệu quả.
Phương pháp thu thập dữ liệu thứ cấp
Nguồn tài liệu nội bộ bao gồm báo cáo kết quả hoạt động kinh doanh của công ty trong ba năm 2014, 2015 và 2016, được thu thập từ phòng Kế toán và hành chính, cũng như từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác.
Nguồn tài liệu bên ngoài, bao gồm các công trình nghiên cứu khoa học, tạp chí, sách báo và thông tin từ internet, đóng vai trò quan trọng trong việc xây dựng cơ sở lý luận và lý thuyết về hệ thống thông tin Đồng thời, các tài liệu này cũng cung cấp cái nhìn sâu sắc về vấn đề an toàn và bảo mật thông tin trong doanh nghiệp, giúp nâng cao nhận thức và cải thiện các biện pháp bảo vệ dữ liệu.
Phương pháp xử lý dữ liệu
Mỗi phương pháp xử lý thông tin đều mang lại những lợi ích và hạn chế riêng, vì vậy trong nghiên cứu này, chúng tôi sẽ áp dụng các phương pháp xử lý thông tin cụ thể.
- Phương pháp định lượng: sử dụng phần mềm SPSS (Statistical Package for Social Sciences).
SPSS là phần mềm quản lý dữ liệu và phân tích thống kê, cung cấp giao diện đồ họa thân thiện với người dùng Với các trình đơn mô tả và hộp thoại đơn giản, SPSS cho phép thực hiện nhiều loại phân tích như hồi quy, thống kê tần suất và xây dựng đồ thị một cách dễ dàng.
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng vấn, phiếu điều tra và các tài liệu thu thập được.
Các phương pháp này nhằm xác định nguyên nhân và thực trạng vấn đề an toàn bảo mật hệ thống thông tin tại Công ty Cổ phần Trung Thành Việt Nam, từ đó đề xuất các giải pháp thích hợp.
Kết cấu khóa luận
Khóa luận bao gồm ba chương:
Chương 1 trình bày cơ sở lý luận cho vấn đề nghiên cứu an toàn thông tin Chương 2 phân tích và đánh giá thực trạng an toàn thông tin trong hệ thống thông tin của Công ty Cổ phần Trung Thành Việt Nam Cuối cùng, Chương 3 đưa ra các kết luận và đề xuất giải pháp nhằm đảm bảo an toàn cho hệ thống thông tin của công ty này.
QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN DOANH NGHIỆP
Những khái niệm cơ bản
1.1.1 Một số khái niệm cơ bản về an toàn và bảo mật thông tin
Khi nhu cầu trao đổi thông tin ngày càng tăng, sự phát triển của điện tử - viễn thông và công nghệ thông tin đã thúc đẩy việc cải thiện chất lượng và lưu lượng truyền tin Do đó, các quan niệm và biện pháp bảo vệ thông tin dữ liệu cũng cần được đổi mới Bảo vệ an toàn thông tin là một vấn đề phức tạp, liên quan đến nhiều lĩnh vực, và có nhiều phương pháp được áp dụng để đảm bảo an toàn cho dữ liệu Để hiểu rõ về thông tin, trước tiên chúng ta cần xác định khái niệm dữ liệu.
Dữ liệu bao gồm con số, ký tự và hình ảnh, phản ánh các sự vật và hiện tượng trong thế giới khách quan Đây là những giá trị thô, chưa được xử lý và chưa mang lại ý nghĩa cho người sử dụng.
Thông tin là kết quả của việc xử lý dữ liệu, bao gồm phân tích và tổng hợp, nhằm phục vụ nhu cầu của người dùng Nói cách khác, thông tin được định nghĩa là dữ liệu đã được xử lý để mang lại ý nghĩa thực sự cho người sử dụng.
Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”
Cookie Monster định nghĩa thông tin là kiến thức được truyền đạt hoặc tiếp nhận, liên quan đến một sự kiện hoặc hiện tượng thực tế trong một bối cảnh cụ thể.
* Khái niệm về hệ thống thông tin:
Hệ thống thông tin là một tổ hợp các yếu tố liên kết chặt chẽ, có chức năng thu thập, xử lý, lưu trữ và phân phối thông tin cũng như dữ liệu Nó cung cấp cơ chế phản hồi nhằm đạt được các mục tiêu đã được xác định trước.
Các tổ chức có thể áp dụng hệ thống thông tin cho nhiều mục đích khác nhau Đặc biệt, trong quản trị nội bộ, hệ thống thông tin đóng vai trò quan trọng trong việc nâng cao sự thông hiểu và hiệu quả trong công việc.
Tính toàn vẹn Tính bảo mật
Tính sẵn sàng nội bộ và thống nhất hành động giúp duy trì sức mạnh tổ chức và đạt được lợi thế cạnh tranh Hệ thống thông tin bên ngoài hỗ trợ thu thập thông tin khách hàng, cải thiện dịch vụ, nâng cao sức cạnh tranh và thúc đẩy sự phát triển.
1.1.2 Khái niệm về an toàn và bảo mật hệ thống thông tin
Hệ thống thông tin được xem là an toàn khi đảm bảo rằng thông tin không bị hư hỏng, sửa đổi, sao chép hoặc xóa bỏ bởi những người không có quyền truy cập.
[Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại]
Một hệ thống thông tin an toàn đảm bảo rằng các sự cố xảy ra không làm gián đoạn hoạt động chính của nó Những sự cố này sẽ được khắc phục kịp thời, ngăn chặn thiệt hại nghiêm trọng cho chủ sở hữu.
Như vậy, an toàn thông tin là việc bảo vệ chống truy nhập, sử dụng, tiết lộ, chỉnh sửa và phá hủy thông tin trái phép
Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.
Hình 1.1: Ba mục tiêu bảo mật thông tin
(Nguồn:Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại)
Đảm bảo tính bảo mật là yếu tố quan trọng trong bảo mật thông tin, khi chỉ những cá nhân được cấp quyền mới có thể truy cập vào hệ thống Đối với các tổ chức doanh nghiệp, thông tin được coi là tài sản quý giá hàng đầu; do đó, việc ngăn chặn truy cập trái phép là cần thiết để bảo vệ tài sản của công ty khỏi nguy cơ thất thoát.
Tính toàn vẹn là yếu tố quan trọng trong việc đảm bảo thông tin luôn chính xác và đáng tin cậy, giúp người sử dụng làm việc với dữ liệu thực sự và tin cậy.
Chỉ những cá nhân được ủy quyền mới có quyền chỉnh sửa thông tin Kẻ tấn công không chỉ muốn đánh cắp thông tin mà còn cố tình làm giảm giá trị sử dụng của nó bằng cách tạo ra thông tin sai lệch, gây thiệt hại cho công ty.
Tính sẵn sàng (Availability) là yếu tố quan trọng nhất trong việc đảm bảo thông tin luôn sẵn sàng phục vụ người dùng hợp pháp Điều này có nghĩa là người sử dụng phải có khả năng truy cập vào hệ thống bất cứ lúc nào họ cần Nếu hai yêu cầu khác được đáp ứng nhưng tính sẵn sàng không được đảm bảo, thông tin sẽ trở nên vô giá trị, vì nó chỉ có ích khi người dùng có thể sử dụng ngay khi cần.
Một hệ thống thông tin (HTTT) được xem là an toàn và bảo mật khi nó đảm bảo tính riêng tư của nội dung thông tin, phù hợp với các tiêu chí đã đặt ra trong một khoảng thời gian nhất định.
Một số cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp
1.2.1 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
Hệ thống thông tin đóng vai trò quan trọng trong các cơ quan và tổ chức, cung cấp khả năng xử lý thông tin hiệu quả Tuy nhiên, nó cũng tiềm ẩn nhiều điểm yếu cần được chú ý và khắc phục.
Máy tính phát triển nhanh chóng để đáp ứng nhu cầu người dùng, dẫn đến việc các phần mềm thường không được kiểm tra kỹ và chứa nhiều lỗ hổng bảo mật Sự phát triển của hệ thống mạng và phân tán thông tin cũng tạo điều kiện thuận lợi cho tin tặc tấn công Do đó, bên cạnh việc xây dựng hệ thống thông tin hiện đại, các cơ quan, tổ chức cần chú trọng bảo vệ hệ thống để đảm bảo hoạt động ổn định và tin cậy.
An toàn và bảo mật thông tin là yếu tố then chốt cho sự phát triển bền vững của doanh nghiệp, vì thông tin được coi là tài sản vô giá Việc xây dựng hệ thống thông tin an toàn không chỉ làm cho quản lý trở nên minh bạch hơn mà còn giúp giảm chi phí hoạt động và nâng cao uy tín doanh nghiệp Một môi trường thông tin an toàn tạo điều kiện thuận lợi cho sự hội nhập và tăng cường lợi thế cạnh tranh Nguy cơ mất mát thông tin có thể dẫn đến thiệt hại về tài chính, tài sản và con người, ảnh hưởng đến hoạt động sản xuất kinh doanh Do đó, bảo đảm an toàn và bảo mật thông tin là nhiệm vụ quan trọng không chỉ của bộ phận CNTT mà còn của tất cả cá nhân và đơn vị trong tổ chức.
1.2.2 Các nguy cơ và hình thức tấn công gây mất an toàn hệ thống thông tin
1.2.2.1 Các nguy cơ mất an toàn thông tin trong hệ thống thông tin Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định trong an ninh mạng bao gồm các yếu tố như tin tặc, cá nhân bên ngoài, và các hành động phá hoại có chủ ý Những rủi ro này có thể dẫn đến việc lộ thông tin cá nhân và tổ chức cũng như các giao dịch quan trọng cho bên thứ ba Kẻ xấu có thể làm sai lệch thông tin bằng cách "bắt" thông tin trong quá trình di chuyển, sửa đổi hoặc xóa thông tin trước khi gửi đi, tạo ra nguồn thông tin giả mạo, hoặc thiết lập "đích" giả để đánh lừa nguồn thông tin thật Ngoài ra, nguy cơ tắc nghẽn và ngưng trệ thông tin có thể xảy ra do tấn công mạng, mất điện, hoặc lưu lượng truy cập quá lớn vượt quá khả năng của hệ thống, gây ra tình trạng tắc nghẽn.
Nguy cơ từ bên trong tổ chức doanh nghiệp có thể xuất phát từ nhiều yếu tố khác nhau Đầu tiên, các vấn đề kỹ thuật liên quan đến thiết bị mạng, máy chủ và hệ thống thông tin đóng vai trò quan trọng Thứ hai, quá trình lập kế hoạch, triển khai và vận hành trong vòng đời của dự án cũng có thể tạo ra rủi ro Cuối cùng, các quy trình và chính sách an ninh bảo mật của công ty, cùng với yếu tố con người, đều góp phần vào nguy cơ tiềm ẩn từ bên trong.
Nguy cơ từ môi trường bên ngoài bao gồm các yếu tố như hạ tầng năng lượng, hệ thống truyền thông, thảm họa thiên nhiên và các mối đe dọa từ con người Doanh nghiệp lớn thường trở thành mục tiêu tấn công của nhiều đối tượng, cả trong nước lẫn quốc tế.
1.2.2.2 Hình thức tấn công hệ thống thông tin
Các hình thức tấn công mạng bao gồm tấn công thụ động và tấn công chủ động, trong đó tấn công thụ động liên quan đến việc lấy cắp dữ liệu, trong khi tấn công chủ động nhằm thay đổi hoặc phá hoại dữ liệu một cách trái phép Những hành vi này vi phạm tính toàn vẹn và sẵn sàng của dữ liệu.
Hình thức tấn công thụ động xảy ra khi kẻ tấn công thu thập thông tin từ đường truyền mà không làm ảnh hưởng đến dữ liệu đang được truyền tải giữa nguồn và đích.
Tấn công thụ động đang ngày càng trở nên phổ biến và nguy hiểm do tính chất khó phát hiện và phòng tránh của nó Để bảo vệ mình trước các mối đe dọa này, việc áp dụng các biện pháp phòng ngừa trước khi tấn công xảy ra là vô cùng cần thiết.
Tấn công thụ động là hình thức đánh cắp thông tin tài khoản để sử dụng sau, bao gồm hai loại chính: tấn công trực tuyến và tấn công ngoại tuyến Tấn công ngoại tuyến nhắm vào mục tiêu cụ thể, yêu cầu kẻ tấn công tiếp cận trực tiếp tài sản của nạn nhân, thường có hiệu suất thấp và không đòi hỏi trình độ cao Người dùng có thể trở thành nạn nhân chỉ vì để lộ mật khẩu hoặc lưu trữ thông tin không mã hóa Ngược lại, tấn công trực tuyến không có mục tiêu cụ thể, thường nhắm vào số đông người dùng trên Internet, khai thác các hệ thống lỏng lẻo hoặc sự cả tin của người dùng Phishing là hình thức phổ biến nhất trong tấn công trực tuyến, sử dụng kỹ thuật giả mạo để đánh cắp thông tin nhạy cảm, và cách phòng tránh hiệu quả nhất là nâng cao ý thức của người dùng.
Tấn công chủ động là phương thức can thiệp vào dữ liệu để sửa đổi hoặc thay thế thông tin, làm lệch hướng đi của dữ liệu Đặc điểm nổi bật của hình thức tấn công này là khả năng chặn các gói tin trong quá trình truyền tải, dẫn đến việc dữ liệu từ nguồn đến đích bị thay đổi Mặc dù tấn công chủ động có thể gây ra nhiều mối nguy hiểm, nhưng nó lại tương đối dễ phát hiện.
Tấn công chủ động là một hình thức tấn công tinh vi, trong đó kẻ tấn công đánh cắp và sử dụng tài khoản của nạn nhân trong thời gian thực Hình thức tấn công này đòi hỏi kỹ thuật cao và tiêu tốn nhiều tài nguyên.
Ngoài ra, có những hình thức tấn công như tấn công lặp lại, trong đó kẻ tấn công bắt thông điệp, chờ thời gian và gửi lại Một hình thức tấn công phổ biến khác là tấn công từ chối dịch vụ (DoS - Denial of Service), nhằm làm cho hệ thống bị quá tải, dẫn đến việc không thể cung cấp dịch vụ hoặc phải ngưng hoạt động Tấn công DoS khai thác điểm yếu trong mô hình bắt tay 3 bước của TCP/IP, bằng cách liên tục gửi các gói tin yêu cầu kết nối đến server, khiến server bị quá tải và không thể phục vụ các kết nối khác.
Tấn công hệ thống thông tin thường diễn ra thông qua việc sử dụng virus và trojan để đánh cắp dữ liệu, cũng như khai thác các lỗ hổng trong phần mềm ứng dụng Những cuộc tấn công này không chỉ nhằm mục đích lấy cắp thông tin mà còn có thể gây hại cho dữ liệu và các chương trình ứng dụng.
Tổng quan về vấn đề nghiên cứu
1.3.1 Tình hình nghiên cứu trên thế giới
Kể từ những năm 1980, sự phát triển của công nghệ thông tin (CNTT) trên toàn cầu đã thúc đẩy vai trò của hệ thống thông tin (HTTT) trong các tổ chức và doanh nghiệp Điều này đã dẫn đến việc đặt ra các vấn đề liên quan đến an ninh thông tin Nhiều tác giả đã tiến hành nghiên cứu sâu về lĩnh vực này, đóng góp vào việc nâng cao nhận thức và giải pháp bảo mật thông tin.
William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall.
Cuốn sách khám phá các vấn đề cơ bản của mật mã và an ninh mạng hiện nay, bao gồm việc kiểm tra an ninh mạng qua các ứng dụng thực tế Nó cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard), giúp người đọc hiểu rõ các yếu tố cần thiết của AES như tính năng, thuật toán, và hoạt động mã hóa Ngoài ra, sách cũng đề cập đến CMAC (Cipher-based Message Authentication Code) để xác thực và mã hóa chứng thực, cùng với các phương pháp phòng tránh, cập nhật phần mềm độc hại và các mối đe dọa từ kẻ xâm hại.
"Wireless Security and Cryptography: Specifications and Implementations," edited by Nicolas Sklavos and Xinmiao Zhang, is a comprehensive resource published by CRC Press This book delves into the critical aspects of wireless network security and cryptographic techniques, providing detailed specifications and practical implementations essential for safeguarding wireless communications.
Cuốn sách này khám phá các phương pháp tích hợp thay thế cho bảo mật truyền thông không dây, phân tích hiện trạng bảo mật của các giao thức không dây và đánh giá hiệu suất của các cài đặt phần mềm và phần cứng Nó giới thiệu các phương pháp an toàn mới và hiệu quả cho các giao thức không dây, đồng thời xem xét các xu hướng nghiên cứu hiện đại trong lĩnh vực bảo mật Bên cạnh đó, cuốn sách cung cấp thông tin về các giao thức và công nghệ mạng không dây phổ biến như Bluetooth, RFID và thẻ thông minh, minh họa cách cài đặt các đặc tả bảo mật trong vi mạch, và đề xuất các nền tảng phần cứng linh hoạt cho các tầng bảo mật và lược đồ mã hóa hiện tại.
Network Security Know It All, nhà xuất bản: Morgan Kaufmann Publishers (2008)
Cuốn sách này cung cấp những hiểu biết thiết thực về an ninh mạng, giải thích các khái niệm cốt lõi và vấn đề bảo mật thông qua phân tích cụ thể Nó mô tả các giao thức và thảo luận các chủ đề nâng cao do các chuyên gia hàng đầu trong lĩnh vực này trình bày Bên cạnh đó, cuốn sách còn đề xuất các giải pháp thực tế nhằm giải quyết các thách thức trong lĩnh vực an ninh mạng.
Các phương pháp bảo đảm an toàn mạng được nhắc đến trong các bài bài viết như:
Kaspersky ra mắt hệ điều hành siêu bảo mật mang tên Kaspersky OS, có thể ngăn chặn mọi hacker (Bài báo trên trang Genk.vn).
Hệ thống an ninh của Kaspersky OS kiểm soát hành vi ứng dụng và hạn chế tối đa các lỗ hổng bảo mật, ngay cả khi người dùng cài đặt phần mềm lạ Kaspersky khẳng định đây là hệ điều hành gần như không thể bị hack, vì hacker phải phá vỡ chữ ký kỹ thuật số của chủ hệ điều hành, điều này chỉ khả thi nếu có máy tính lượng tử Tuy nhiên, việc mua bản quyền Kaspersky OS sẽ tốn chi phí đáng kể.
Top 8 công cụ hack tại Hội nghị BlackHat 2016 ( Tạp chí an toàn thông tin – 2016)
Bài báo này giới thiệu Top 8 công cụ được trình bày tại hội nghị BlackHat
Vào năm 2016, sự kiện tại Las Vegas đã giới thiệu các công cụ kiểm tra lỗ hổng an toàn hệ thống, nhằm nâng cao khả năng bảo mật và phục hồi cho trung tâm dữ liệu Những công cụ này giúp phát hiện các lỗ hổng bảo mật chưa được biết đến trong mạng định nghĩa phần mềm (SDNs) và cải thiện tính năng bảo mật của các chương trình giả lập chống virus thương mại Sự kiện thu hút sự quan tâm lớn từ các nhà quản lý và chuyên gia nghiên cứu trong lĩnh vực an toàn thông tin.
1.3.2 Tình hình nghiên cứu tại Việt Nam
Các nghiên cứu về an toàn và bảo mật thông tin trong nước đã có những tiến bộ đáng kể, với nhiều công trình nghiên cứu, sách và tài liệu khoa học mới được xuất bản, góp phần nâng cao hiểu biết và ứng dụng trong lĩnh vực này.
Vũ Đình Cường (2009), Cách bảo vệ dữ liệu quan trọng và phương pháp phát hiện thâm nhập, NXB Lao động - Xã hội
Cuốn sách này cung cấp giải pháp bảo vệ dữ liệu quan trọng và hướng dẫn sử dụng các chương trình mã hóa thông tin an toàn Nó cũng hướng dẫn cài đặt, cấu hình và sử dụng phần mềm bảo vệ và phát hiện xâm nhập cho hệ thống Bên cạnh đó, sách giới thiệu cách tìm hiểu về lỗi tràn bộ đệm, giúp bạn loại bỏ những lỗi tiềm tàng trong hệ thống Nội dung được chia thành 5 chương, mỗi chương tập trung vào một chủ đề nóng trong lĩnh vực bảo mật, được giải quyết một cách trọn vẹn Đặc biệt, sách được trình bày khoa học với phương pháp viết rõ ràng, từng bước "step by step", kèm theo hình ảnh minh họa phù hợp cho độc giả từ căn bản đến nâng cao.
Mật mã học và an toàn thông tin, Thái Thanh Tùng (2011), Giáo trình mật mã học và hệ thống thông tin an toàn, NXB Thông tin và Truyền thông.
Giáo trình này trình bày những khái niệm cơ bản về bảo mật thông tin và mã hóa, bao gồm mục tiêu và yêu cầu an toàn dữ liệu trong quá trình mã hóa thông tin.
Bài viết này cung cấp cái nhìn tổng quan về mật mã học và an toàn hệ thống thông tin, bao gồm các thuật ngữ liên quan đến mã hóa Nó cũng đề cập đến những phương pháp mã hóa và giải mã dữ liệu phổ biến hiện nay, hỗ trợ các nhà kinh doanh trong việc áp dụng hiệu quả trong công việc hàng ngày.
Bài báo cáo “Thiết kế tường lửa”, thạc sĩ Vũ Anh Tuấn, khoa Công nghệ thông tin, trường Đại học Thái Nguyên năm 2012
Bài báo cáo trình bày các phương pháp xây dựng tường lửa và giới thiệu nhiều tiện ích mới mà tường lửa mang lại với tính khả thi cao Nó đề xuất một số quy trình xây dựng tường lửa hiệu quả nhất, đồng thời chỉ ra những hạn chế mà tường lửa không thể khắc phục Tuy nhiên, báo cáo chưa đưa ra giải pháp cụ thể nào để giải quyết những vấn đề này.
Giang Nguyên Việt đã thực hiện luận văn thạc sĩ với đề tài "Đảm bảo an toàn bảo mật cho mạng thông tin dữ liệu chuyên dùng" thuộc chuyên ngành Truyền dữ liệu và Mạng máy tính tại Học viện Công nghệ bưu chính viễn thông Luận văn tập trung vào việc phát triển các giải pháp bảo mật nhằm bảo vệ an toàn thông tin trong các mạng chuyên dụng.
Luận văn nghiên cứu các giải pháp đảm bảo an ninh, an toàn thông tin cho hệ thống mạng máy tính và mạng thông tin chuyên dùng, đồng thời khảo sát các kỹ thuật, công nghệ và thuật toán mật mã khóa công khai (PKI) Nghiên cứu cũng ứng dụng thử nghiệm PKI để bảo mật thông tin trong mạng dữ liệu chuyên dùng và phân tích các phương pháp bảo vệ an toàn thông tin, các loại tấn công trên hệ thống, cũng như kỹ thuật mã hóa trong hệ thống trao đổi văn bản điện tử Tuy nhiên, kết quả của luận văn này chủ yếu tập trung vào bảo mật dữ liệu mà chưa đề cập đến các vấn đề an toàn thông tin trong doanh nghiệp nói chung và chưa đi sâu vào một doanh nghiệp cụ thể.
Trong thời kỳ cách mạng công nghiệp 4.0, việc bảo đảm an ninh mạng và an ninh thông tin trở nên cấp bách hơn bao giờ hết Hội thảo - Triển lãm quốc gia về An toàn bảo mật 2017 đã tập trung vào chủ đề này, nhấn mạnh tầm quan trọng của việc bảo vệ thông tin trong bối cảnh công nghệ phát triển nhanh chóng.
TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO
Tổng quan về doanh nghiệp và tình hình hoạt động
2.1.1 Quá trình hình thành, lĩnh vực hoạt động của doanh nghiệp 2.1.1.1 Quá trình hình thành doanh nghiệp
Tên công ty Công ty Cổ phần Trung Thành Việt Nam Tên tiếng anh Viet Nam Trung Thanh Joint Stock Company Tổng giám đốc Phạm Tiến Phong
Mã số thuế 0101334979 Email trungthanhvietnam@gmail.com Địa chỉ văn phòng B36-TT18 Khu đô thị Văn Quán, Phúc La, Hà Đông, Hà Nội
Nguồn: Công ty cổ phần Trung Thành Việt Nam
Công ty Cổ phần Trung Thành Việt Nam, với hơn 15 năm kinh nghiệm trong lĩnh vực xây dựng, đã ghi dấu ấn trên nhiều công trình hiện đại của đất nước Các dự án tiêu biểu như Cao tốc Nội Bài – Lào Cai, Cao tốc Hà Nội – Hải Phòng, và việc nâng cấp Quốc lộ 1A tại các tỉnh Thanh Hóa, Quảng Trị, Bình Định, Khánh Hòa, Bình Thuận, cùng QL 31 Bắc Giang, thể hiện sự cam kết của công ty trong việc tạo ra những sản phẩm đạt tiêu chuẩn cao về kỹ thuật và mỹ thuật.
QL 70 Lào Cai, QL 24 Quảng Ngãi, QL 1 Bắc TP Hà Tĩnh, cầu Tân Phong, cầu
Bo, cầu Lực Điền, cầu thép và các cầu treo dân sinh.
Công ty tự hào được Bộ Giao thông Vận tải công nhận là nhà thầu đáp ứng yêu cầu, xếp hạng 41 trên toàn quốc và đã nhận nhiều bằng khen từ Bộ trưởng.
Bộ Giao thông Vận tải đã trao bằng khen của Thủ tướng Chính phủ cho tập thể và cá nhân xuất sắc trong dự án mở rộng Quốc lộ 1 tại tỉnh Khánh Hòa Đây là phần thưởng xứng đáng cho những đóng góp của công ty trong quá trình công nghiệp hóa và hiện đại hóa đất nước.
2.1.1.2 Các lĩnh vực kinh doanh của công ty
Công ty Cổ phần Trung Thành Việt Nam nổi bật là một trong những doanh nghiệp hàng đầu và uy tín trong lĩnh vực thi công công trình giao thông, dân dụng, hạ tầng kỹ thuật, cũng như nạo vét sông và kênh rạch, đảm bảo an toàn cho giao thông đường thủy.
Trung Thành Việt Nam tự hào sở hữu đội ngũ kỹ sư chuyên môn cao và công nhân lành nghề dày dạn kinh nghiệm, kết hợp với trang thiết bị hiện đại Sự kết hợp này không chỉ thể hiện trí tuệ và nhiệt huyết mà còn khẳng định tiềm lực và vị thế của công ty trong lĩnh vực xây dựng công trình giao thông.
2.1.2 Cơ cấu tổ chức của doanh nghiệp 2.1.2.1 Các phòng ban chức năng
Sơ đồ 2.1: Cấu trúc tổ chức của công ty CP Trung Thành Việt Nam
Nguồn: Công ty CP Trung Thành Việt Nam
Công ty áp dụng mô hình tổ chức trực tuyến với cấu trúc liên kết theo đường thẳng, bao gồm Hội đồng quản trị, Giám đốc và các phòng ban nghiệp vụ Mỗi bộ phận đảm nhận những chức năng và nhiệm vụ cụ thể nhằm tối ưu hóa hiệu quả hoạt động của tổ chức.
- Hội đồng quản trị: là cơ quan quản lý công ty, có toàn quyền quyết định mọi vấn đề liên quan đến quyền lợi của công ty
Tổng giám đốc là người đứng đầu, chịu trách nhiệm chính về hoạt động kinh doanh và đời sống của cán bộ công nhân viên trong toàn công ty Vị trí này có quyền ký kết các hợp đồng kinh tế và thiết lập quan hệ giao dịch với các cơ quan liên quan.
- Phòng hành chính: đảm bảo công tác quản lý lao động, theo dõi thi đua, công tác văn thư, bảo vệ tài sản.
- Phòng kĩ thuật: Đảm bảo công tác khoa học kĩ thuật, nghiên cứu ứng dụng công nghệ mới đưa vào quá trình kinh doanh và lắp đặt.
- Phòng kế toán: hạch toán, ghi chép, xử lý cung cấp số liệu về tình hình sản xuất, kinh doanh, phân phối và sử dụng vốn.
Phòng kinh tế kế hoạch đóng vai trò quan trọng trong việc phân tích hoạt động kinh doanh, thiết lập hồ sơ dự toán công trình, định giá và xây dựng giá thanh toán Ngoài ra, phòng còn chịu trách nhiệm kiểm tra thiết kế, tổng hợp khối lượng công trình và theo dõi tiến độ lắp đặt cũng như nghiệm thu.
2.1.3 Tình hình hoạt động 3 năm gần đây 2.1.3.1 Tình hình kinh doanh của doanh nghiệp
- Từ khi thành lập vốn điều lệ của công ty là 16.000.000.000 VNĐ tương ứng với tổng số cổ phần là 1.600.000, mệnh giá một cổ phần là 10.000 VNĐ.
Hiện nay, vốn kinh doanh của công ty lên đến 64.719.315.351 VNĐ trong đó:
VLĐ là 45.367.701.178 VNĐ VCĐ là 19.351.614.173 VNĐ
Công ty đã xây dựng và thực hiện một chiến lược hiệu quả, dẫn đến sự tăng trưởng đáng kể trong doanh thu bảo hiểm (DTBH) và doanh thu dịch vụ (CCDV) so với năm trước Hiện tại, công ty đang tiếp tục hoàn thành các dự án đã trúng thầu trên toàn quốc.
2.1.3.2 Báo cáo về tình hình thu chi, lợi nhuận 3 năm gần đây
Bảng 2.1: Tình hình hoạt động kinh doanh của công ty Đơn vị tính: VNĐ
2.2 Thực trạng về vấn đề đảm bảo an toàn cho hệ thống thông tin cho Công ty Cổ phần Trung Thành Việt Nam
2.2.1 Trang thiết bị phần cứng
Trong một đơn vị, có một máy chủ và 30 máy khách được phân bổ tại các phòng ban Số lượng máy tính trong mỗi phòng ban được xác định dựa trên số lượng nhân viên làm việc tại đó.
Tất cả đều được kết nối trực tiếp vào mạng internet thông qua cổng mạng lắp sẵn
Bảng 2.2: Thông tin phần cứng của HTTT doanh nghiệp
STT Nhãn hiệu Chi tiết Loại máy Số lượng
- 2GB DDR3 Bus 1600Mhz, 500GB Laptop 5
3 Samsung Samsung SCX 4200, HP Laser 1102 Máy in 1
- Intel® Xeon® Processor E5520 (2.26 GHz, 8MB L3 Cache, 80W, DDR3-1066, HT, Turbo 1/1/2/2) Máy chủ 2
7 STP5 Hệ thống dây mạng
Nguồn: Phòng kế toán 2.2.2 Phần mềm
Tất cả máy tính trong công ty đều được cài đặt hệ điều hành Windows 2007 bản quyền từ Microsoft Việc đầu tư vào phần mềm bản quyền không chỉ đảm bảo rằng các máy tính luôn được cập nhật thông tin mới nhất mà còn cung cấp hỗ trợ bảo vệ tối ưu cho hệ thống.
Phần mềm tin học văn phòng Microsoft Office 2010 được cài đặt trên tất cả các máy tính của công ty, tương tự như hệ điều hành Windows 2007 Đây là phần mềm chuyên dụng giúp quản lý báo cáo hiệu quả và nhận được sự hỗ trợ tốt nhất từ nhà phát hành.
Phần mềm kế toán Fast Accounting là giải pháp chuyên biệt hỗ trợ quản lý doanh nghiệp và nghiệp vụ kế toán, đảm bảo tuân thủ chế độ kế toán hiện hành Phần mềm này tự động hóa các quy trình kế toán và báo cáo, giúp tiết kiệm thời gian và nâng cao hiệu quả công việc Đặc biệt, Fast Accounting nổi bật với tính an toàn và bảo mật cao, đồng thời dễ sử dụng, mang lại trải nghiệm thuận tiện cho người dùng Sản phẩm cung cấp các báo cáo tài chính chi tiết, hỗ trợ doanh nghiệp trong việc ra quyết định.
Công ty đã triển khai các giải pháp phần mềm bảo mật như FireWall (cứng và mềm), BKAV Pro cho antivirus, và Security Plus for Mdea, Symantec cho mail antivirus nhằm bảo vệ hệ thống máy tính khỏi các cuộc tấn công và xâm nhập trái phép Những phần mềm này nổi bật với giao diện thân thiện, dễ sử dụng, chi phí hợp lý, và khả năng phát hiện, ngăn chặn virus cũng như khử mã độc hiệu quả.
Nhược điểm là làm chậm thời gian khởi động máy tính và quá trình sao chép tập tin.
- Cơ sở hạ tầng mạng:
Hình 2.1: Cơ sở hạ tầng mạng Công Ty Cổ phần Trung Thành
Nguồn: Công ty CP Trung Thành Việt Nam
- Cấu trúc của hệ thống mạng trong công ty:
Cơ sở hạ tầng mạng
Mạng Internet thông qua kết nối ADSL
Mạng nội bộ của công ty Mạng không dây
Cấu trúc mạng lai kết hợp cả có dây và không dây, thường được áp dụng cho doanh nghiệp vừa và nhỏ Với việc lắp đặt đơn giản và dễ triển khai, cấu trúc này đảm bảo tốc độ truyền dẫn ổn định Khi xảy ra sự cố mạng ở một trong hai hệ thống, hệ thống còn lại vẫn hoạt động, giúp duy trì việc truyền dữ liệu liên tục.
