TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ TMĐT ———— KHÓA LUẬN TỐT NGHIỆP ĐỀ TÀI: “GIẢI PHÁP ĐẢM BẢO AN TỒN CƠ SỞ DỮ LIỆU TẠI CƠNG TY CỔ PHẦN CÔNG NGHỆ SAVIS” Giáo viên hướng dẫn : Th.S Cù Nguyên Giáp Sinh viên thực : Trịnh Thị Linh Mã sinh viên : 15D190166 Lớp : K51S3 Hà Nội, 2019 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CẢM ƠN Khóa luận hồn thành kết bốn năm học tập, rèn luyện với hướng dẫn bảo thầy cô giáo khoa Hệ thống thông tin kinh tế Thương mại điện tử, Trường Đại học Thương mại Đây khoảng thời gian quý báu giúp tác giả tích lũy kiến thức tảng hệ thống thơng tin để có nhìn tồn diện sâu sắc vấn đề nghiên cứu Để hồn thiện khóa luận khơng cố gắng nỗ lực thân mà có giúp đỡ, bảo tận tình thầy cô, anh chị Công ty Cổ phần Công nghệ SAVIS Trước hết, tác giả xin gửi lời cảm ơn sâu sắc tới ThS Cù Nguyên Giáp – người tận tình hướng dẫn, giúp đỡ em suốt q trình thực khóa luận Em xin chân thành cám ơn đến Ban Giám Hiệu nhà trường tồn thể q Thầy, Cơ giáo khoa Hệ thống Thông tin Kinh tế Thương mại Điện tử (IS) quan tâm, nhiệt tình giúp đỡ tạo điều kiện cho em suốt trình học tập Trường Em xin gửi lời cám ơn chân thành đến Ban Lãnh Đạo toàn thể Cán Nhân viên công ty Cổ phần Công nghệ tận tình giúp đỡ, hướng dẫn cung cấp số liệu giúp em hồn thành khóa luận với kết tốt Trong khuôn khổ khóa luận hạn chế mặt kiến thức, thời gian tìm hiểu, có nhiều nỗ lực cố gắng, nhiên không tránh khỏi thiếu xót định Vì vậy, tác giả mong nhận ý kiến đóng góp từ quý thầy bạn để giúp tác giả hồn thiện đề tài nghiên cứu khóa luận Em xin chân thành cảm ơn! Sinh Viên Trịnh Thị Linh i LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT v MỞ ĐẦU: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu Mục tiêu nghiên cứu đề tài Đối tượng phạm vi nghiên cứu đề tài Phương pháp thực đề tài Kết cấu khóa luận CHƯƠNG I CƠ SỞ LÝ LUẬN VỀ AN TỒN BẢO MẬT CSDL TRONG HỆ THỐNG THƠNG TIN .5 Một số khái niệm 1.1 Một số khái niệm liệu, sở liệu, thông tin, HTTT, HTTT quản lý doanh nghiệp .5 1.2 Khái niệm an toàn, bảo mật CSDL HTTT Một số vấn đề lý thuyết liên quan đến an toàn bảo mật CSDL 2.1 Các nguy an toàn liệu .6 2.2 Các hình thức cơng an tồn CSDL 2.3 Các yêu cầu bảo vệ CSDL 2.4 Phân loại hình thức công HTTT 2.5 Vấn đề người bảo mật hệ thống: .9 2.6 Vai trị an tồn bảo mật CSDL 10 Tổng quan đề tài nghiên cứu 10 3.1 Tổng quan tình hình nghiên cứu Việt Nam 10 3.2 Tổng quan tình hình nghiên cứu giới 11 CHƯƠNG II PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TỒN VÀ BẢO MẬT CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS 13 Tổng quan Công ty Cổ phần Công nghệ SAVIS .13 1.1 Giới thiệu công ty 13 ii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 1.1.1.Sơ lược công ty 13 1.1.2.Lịch sử phát triển công ty 13 1.2.2.Chức nhiệm vụ, thành phần phận công ty, cấu nhân lực công ty 15 1.3 Các lĩnh vực hoạt động .16 1.4 Tình hình hoạt động kinh doanh .17 Phân tích, đánh giá thực trạng an tồn bảo mật CSDL Công ty Cổ phần công nghệ SAVIS .17 Đánh giá thực trạng bảo mật, an tồn sở liệu Cơng ty cổ phần Công nghệ SAVIS .20 3.1 Ưu điểm 21 3.2 Nhược điểm 21 CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN CSDL TẠI CƠNG TY CỔ PHẦN CƠNG NGHỆ SAVIS 24 3.1 Định hướng phát triển an toàn cho HTTT công ty Cổ phần Công nghệ SAVIS 24 3.2 Các đề xuất nhằm nâng cao an toàn bảo mật sở liệu cho hệ thống thông tin Công ty Cổ phần Công nghệ SAVIS 25 3.2.1 Giải pháp xây dựng Hạ tầng CNTT 25 3.2.2 Giải pháp xây dựng Hệ quản trị CSDL 25 3.2.3 Giải pháp cách thức quản lý liệu .27 3.2.4 Giải pháp an toàn bảo mật cho liệu .30 3.2.5 Con người 34 3.3 Điều kiện thực giải pháp 35 KẾT LUẬN 37 TÀI LIỆU KHAM KHẢO PHỤ LỤC iii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ BẢNG Bảng 1: Tình hình hoạt động kinh doanh công ty 17 Bảng 1: So sánh hệ quản trị CSDL SQL Server 2008 Oracle Database .26 Bảng 2: So sánh số đặc trưng của dịch vụ lưu trữ 28 BIỂU ĐỒ Biểu đồ 1: Cách thức lưu trữ liệu: 19 Biểu đồ 2: Tần suất lưu trữ liệu 20 SƠ ĐỒ Sơ đồ 1: Sơ đồ cấu tổ chức công ty Cổ phần Công nghệ SAVIS .14 iv LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC TỪ VIẾT TẮT Từ viết tắt Diễn giải Nghĩa tiếng Việt CSDL Cơ sở liệu HTTT Hệ thống thông tin MIS Management Information System Hệ thống thơng tin quản lý ATTT An tồn thơng tin TMĐT Thương mại điện tử DoS Denial of Service Tấn công từ chối dịch vụ TCP/IP Internet protocol suite Bộ giao thức liên mạng CNTT Công nghệ thông tin AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến LAN Local Area Network Mạng cục HTTPS Hypertext Transfer Protocol Secure Giao thức truyền tải siêu văn WEP Wireless Encryption Protocol Giao thức mã hố mạng khơng dây SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc v LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI Tầm quan trọng, ý nghĩa vấn đề nghiên cứu Thông tin tài sản vô giá doanh nghiệp cần bảo vệ giá Tuy nhiên, địi hỏi gắt gao mơi trường kinh doanh yêu cầu doanh nghiệp phải chia sẻ thông tin cho nhiều đối tượng khác qua Internet hay Intranet, việc bảo vệ thông tin trở nên ngày quan trọng khó khăn hết Hầu hết doanh nghiệp ngày sử dụng hệ quản trị sở liệu để lưu trữ tập trung tất thông tin doanh nghiệp Vì vậy, hệ quản trị CSDL lưu trữ thơng tin trở thành mục tiêu công nhằm gây thiệt hại cho tổ chức, doanh nghiệp Ở mức độ nhẹ, công làm cho hệ thống CSDL bị hỏng hóc, hoạt động khơng ổn định, mát liệu dẫn đến giao dịch hàng ngày doanh nghiệp bị đình trệ Nghiêm trọng hơn, thơng tin quan trọng chiến lược kinh doanh, thông tin khách hàng, hoạt động tài doanh nghiệp bị tiết lộ đem bán cho cơng ty đối thủ Có thể thấy, thiệt hại việc thơng tin bị rị rỉ nghiêm trọng Đó địn chí mạng uy tín doanh nghiệp khách hàng đối tác Vì vậy, vấn đề bảo mật CSDL trở nên cấp bách cần thiết cho tất người hoạt động doanh nghiệp Trong thời gian thực tập Công ty Cổ phần Công nghệ SAVIS, nhận thấy giải pháp doanh nghiệp lựa chọn để đảm bảo tính an tồn bảo mật cho CSDL phần đáp ứng yêu cầu đặt chưa triệt để Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: “Giải pháp đảm bảo an toàn Cơ sở liệu công ty Cổ phần Công nghệ SAVIS” làm đề tài nghiên cứu Bản thân em mong muốn góp phần nhỏ vào phát triển, hoàn thiện khắc phục hạn chế mặt đảm bảo an tồn CSDL cơng ty Từ đề xuất biện pháp đảm bảo an tồn CSDL phù hợp với điều kiện có phát triển lâu dài công ty Vận dụng kiến thức thân, em mong khóa luận trước tiên tài liệu tham khảo cho công ty Cổ phần Cơng nghệ SAVIS Thơng qua cơng ty hồn thiện q trình hoạt động kinh doanh doanh nghiệp Khóa luận dựa mặt hạn chế, thiếu sót vấn đề cần cải thiện quy trình đảm bảo an tồn liệu công ty Cổ phần Công nghệ SAVIS phân tích thơng qua việc thu tập liệu từ cơng ty, qua đề xuất hướng giải phù hợp với điều kiện có cơng ty Bên cạnh khóa luận xem tài liệu tham khảo cần thiết LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com cho việc nghiên cứu – học tập giáo viên bạn sinh viên thuộc trường đại học, cao đẳng nước muốn tìm hiểu chủ đề liên quan Sinh viên tham khảo nhằm tích lũy nhiều môi trường thực tế, môi trường làm việc doanh nghiệp Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu đề tài tập hợp hệ thống hóa số lý thuyết đảm bảo an tồn CSDL cho hệ thống thơng tin Từ đó, đánh giá phân tích thực trạng vấn đề đảm bảo an toàn liệu cho HTTT công ty Cổ phần Công nghệ SAVIS để đưa đánh giá ưu, nhược điểm liệu hệ thống thông tin Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an tồn liệu cho HTTT Giúp cho công ty nhận diện nguy thách thức vấn đề đảm bảo cho an tồn liệu HTTT Từ đó, có giải pháp nâng cao tính an tồn bảo mật, ngăn chặn nguy công liệu - HTTT tương lai Đối tượng phạm vi nghiên cứu đề tài 3.1 Đối tượng nghiên cứu Đối tượng nghiên cứu đề tài là: - Vấn đề an tồn thơng tin cho CSDL công ty Cổ phần Công nghệ SAVIS - Giải pháp đảm bảo an tồn CSDL cho HTTT cơng ty Cổ phần Công nghệ SAVIS 3.2 Phạm vi nghiên cứu đề tài Đề tài tập trung nghiên cứu phạm vi công ty Cổ phần Công nghệ SAVIS Về mặt không gian: Dựa tài liệu thu thập công ty, phiếu điều tra tài liệu tham khảo được, đề tài tập trung nghiên cứu vấn đề an toàn bảo mật CSDL Công ty Cổ phần Công nghệ SAVIS Về thời gian: Dựa tài liệu thu thập năm 2016 - 2018 số liệu báo cáo tài chính, tài liệu liên quan công ty giai đoạn 2016 - 2018 Các số liệu khảo sát trình thực tập công ty Phương pháp thực đề tài 4.1 Phương pháp thu thập liệu Phương pháp thu thập liệu cách thức thu thập liệu phân loại sơ tài liệu chứa đựng thông tin liên quan tới đối tượng nghiên cứu đề tài thực Việc thu thập liệu cơng việc q trình nghiên cứu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra: Thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thông tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Bảng câu hỏi gồm câu hỏi thông tin chung công ty, xoay quanh hoạt động đảm bảo an tồn CSDL doanh nghiệp Mục đích: Thu thập thơng tin hoạt động an tồn cho thơng tin cơng ty để từ đánh giá thực trạng đưa giải pháp phù hợp đảm bảo an tồn cho CSDL Cơng ty Cổ phần Công nghệ SAVIS Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cấp thông tin thu thập xử lý trước mục tiêu khác công ty Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh cơng ty vịng năm: 2016-2018 thu thập từ phịng kế tốn, phịng nhân công ty, từ phiếu điều tra tài liệu thống kê khác Nguồn tài liệu bên ngoài: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan đến đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thơng tin cần thiết tiến hành phân loại sơ tài liệu Nếu thu thập thơng tin hồn tất bước xử lý liệu Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2016 – 2018, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán: dùng để đưa dự báo, phán đốn tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an toàn thông tin mà công ty hứng chịu 4.2 Phương pháp phân tích xử lý số liệu Phương pháp định lượng: Dữ liệu sau thu thập đưa phân tích thơng qua việc sử dụng Microsoft Office Excel 2019 Từ biểu đồ hoàn thành sau nhập liệu vào ta có đánh giá cụ thể thực trạng an toàn bảo mật thơng tin doanh nghiệp tính cấp thiết việc nâng cao tính an tồn bảo mật cho thông tin LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Phương pháp định tính: Chọn lọc, phân tích, tổng hợp liệu thu thập thông câu hỏi vấn liệu, thông tin thu thập từ nhiều nguồn khác để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị Kết cấu khóa luận Kết cấu khóa luận gồm chương: Chương 1: Cơ sở lý luận an toàn bảo mật CSDL Chương 2: Phân tích, đánh giá thực trạng an tồn bảo mật CSDL Cơng ty Cổ phần Công nghệ SAVIS Chương 3: Đề xuất giải pháp đảm bảo an tồn CSDL cơng ty Cổ phần Công nghệ SAVIS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com khoản trực tuyến, chọn câu hỏi khơi phục mật mà có người dùng đưa câu trả lời Dịch vụ lưu trữ điện toán đám mây cần cung cấp nhiều lựa chọn câu hỏi bảo mật Câu hỏi bảo mật tạo người dùng có tính bảo mật cao so với câu hỏi bảo mật có sẵn Khơng sử dụng email để đăng ký cho nhiều tài khoản trực tuyến đưa liệu lên dịch vụ lưu trữ đám mây Nếu người dùng sử dụng tài khoản email cho tất tài khoản trực tuyến, tội phạm mạng cơng vào tài khoản email truy cập vào tất tài khoản lưu trữ trực tuyến người dùng, lấy liệu thực mục đích khác Kiểm tra độ an toàn thiết bị định kỳ hàng tháng có thay đổi thiết bị sử dụng Sử dụng tính khố máy, xố liệu từ xa thiết bị di động máy tính xách tay trường hợp thiết bị Khi truy cập vào đám mây từ máy tính để bàn, thiết bị thơng minh, cần đảm bảo an tồn trước phần mềm độc hại, gián điệp Sử dụng phần mềm mã hoá liệu bên thứ ba để tăng cường độ bảo mật cho liệu BoxCryptor phần mềm cho phép sử dụng thuật toán AES-256 để mã hóa liệu đám mây nhà cung cấp phổ biến như: Dropbox, Google Drive, SkyDrive… BoxCryptor cịn có nhiều tính an tồn khác cho phép người dùng mã hóa tên tập tin thư mục, nhằm tạo an toàn đồng từ tên nội dung liệu Trong trình xem chỉnh sửa tập tin hay thư mục, phần mềm tự động tiến hành mã hóa, giúp người dùng khơng phải thực mã hóa lại lần nữa… 3.2.4 Giải pháp an tồn bảo mật cho liệu 3.2.4.1 Kiểm sốt truy cập Các sách phân quyền, kiểm sốt truy cập việc khơng thể thiếu hệ thống mạng doanh nghiệp Các sách giúp kiểm sốt truy cập ngồi hệ thống cách hiệu Để làm điều này, Công ty SAVIS cần yêu cầu người dùng cung cấp quyền truy cập cần thiết để thực công việc họ Tài khoản ưu tiên phải giới hạn nghiêm ngặt hệ thống chính, vai trị quản trị viên sở liệu hệ thống khóa Hoạt động người dùng, đặc biệt liên quan đến thơng tin nhạy cảm liệu tài khoản người dùng phải lưu lại quản lý nghiêm ngặt 30 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đồng thời nhân viên mật mạnh để bảo vệ liệu Một giải pháp để xác thực người dùng sử dụng chữ ký điện tử (Public Key Infrastructure) Một chữ ký điện tử Public Key Infrastructure (PKI) hệ thống quản lý cặp Private Key Public Key, giấy phép số Do khóa giấy phép phát hành công cụ nhóm ba đáng tin cậy nên bảo mật tảng giấy phép mà hệ thống cung cấp mạnh Chúng ta bảo mật liệu muốn chia sẻ với người khác cách mã hóa liệu với Public Key người chia sẻ Tất người dùng mạng thấy liệu này, nhiên người dùng có Private Key tương ứng với Public Key giải mã 3.2.4.2 Sao lưu phục hồi liệu Backup liệu (Data backup) hiểu hành động chép / lưu lại toàn nội dung liệu gốc quan trọng HTTT phòng gặp cố Đối với doanh nghiệp, theo tác lưu liệu đánh giá quan trọng khơng thể thiếu, tồn data, liệu mà doanh nghiệp xây dựng thời gian dài không may gây ảnh hưởng nghiêm trọng đến công việc kinh doanh daong nghiệp Mục đích việc backup-restore liệu để đưa hệ thống trở lại trạng thái trước gặp cố Nguyên nhân cố gây ảnh hưởng đến liệu thuộc dạng sau: + Nguyên nhân khách quan: Sự cố xảy ngồi ý muốn, người khơng thể biết trước được, thường thảm họa (VD: thiên tai, cháy nổ…) Do cần cất giữ xa + Nguyên nhân chủ quan: Sự cố xảy thao tác khơng xác người (ví dụ: lỗi phần cứng, lỗi phần mềm, thao tác nhầm…) Do cần cất giữ vị trí cho thuận lợi cho việc phục hồi liệu, không thiết phải lưu trữ nơi xa Hiện tại, cơng ty thực backup theo chu kỳ tháng lần, thời gian backup liệu lâu, lượng liệu hệ thống bị đánh sập hoàn toàn Do công ty nên backup liệu thường xuyên để đảm bảo liệu công ty không bị thất lạc Đề xuất giải pháp cho phương án trên, công ty cần backup theo ngày vào thời 31 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com điểm buổi trưa vào ban đêm, thời điểm end- user kết thúc cơng việc Có số lý sau: + Backup buổi trưa: Việc khôi phục lại file thời điểm gần ta khơi phục file backup vào buổi trưa, thay từ ngày hôm qua, việc làm tăng khả hữu dụng file cần backup + Vì việc backup ngốn tài nguyên hệ thống nhiều nên chọn thời điểm hệ thống nhàn rỗi thời điểm end user không làm việc giúp tốc độ backup nhanh hơn, lỗi phát sinh trình backup hạn chế nhiều so với backup thời gian end user làm việc, bên cạnh tránh backup thời điểm end user làm việc không làm ảnh hưởng đến hiệu suất hệ thống Cơng ty sử dụng tiện ích backup tích hợp hệ điều hành Windows (ntbackup.exe) để thực tiến trình backup Ngồi ra, sử dụng Wizard Mode để đơn giản hóa tiến trình tạo khơi phục file backup, hay cấu hình thủ cơng cài đặt backup lên lịch thực tác vụ backup để tự động hóa tác vụ 3.2.4.3 Mã hóa liệu Trong chiến lược bảo mật liệu, công ty SAVIS tập trung nguồn lực vào bảo vệ liệu đường truyền Trong vấn đề bảo vệ liệu nằm sở liệu (CSDL, database) chưa quan tâm mức Một giải pháp bảo mật CSDL tối ưu cần hỗ trợ yếu tố sau: + Hỗ trợ mã hóa mức liệu cấp bảng, cột, hàng + Hỗ trợ sách an ninh phân quyền truy cập đến mức liệu cột, hỗ trợ RBAC + Cơ chế mã hóa khơng ảnh hưởng đến ứng dụng Giải pháp đơn giản bảo vệ liệu CSDL mức độ tập tin, chống lại truy cập trái phép vào tập tin CSDL hình thức mã hóa Mã hóa cách tuyệt vời để giữ cho liệu an toàn, cho dù nhà quản trị truyền qua Internet, lưu lên máy chủ máy tính xách tay Tuy nhiên, từ khảo sát phiếu điều tra, cơng ty chưa thực giải pháp mã hóa thơng tin, nguy liệu q trình truyền tin cao Việc mã hóa khơng cho phép (trừ nhà quản trị người nhận nó) đọc liệu cơng ty Các liệu cơng ty cần mã hóa là: + Mã hóa tồn ổ cứng: Có thể tồn nhân viên có mật đăng nhập 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Windows máy tính mình, mật khơng thực bảo vệ liệu đánh cắp máy tính ổ cứng họ Tên trộm cần cắm ổ đĩa bạn vào máy tính khác truy cập liệu trực tiếp Nếu có thơng tin nhạy cảm, cần thực mã hóa đĩa cứng để bảo vệ liệu máy tính rơi vào tay kẻ xấu + Mã hóa thư Gmail: Khi sử dụng Gmail, bảo mật email khác chút thư lưu trữ máy chủ Google khơng phải máy tính bạn Khi nhà quản trị soạn xem email, chúng truyền qua kết nối HTTPS (Hypertext Transfer Protocol Secure) mã hóa, nhà quản trị khơng phải lo lắng việc bị chặn Nguy bảo mật với Gmail người khác truy cập vào tài khoản nhà quản trị Có thể giảm thiểu nguy thông qua việc đặt mật + Mã hóa tài liệu Word, Excel PowerPoint: Trong Office 2010 2013, nhà quản trị mã hóa tài liệu Word, Excel PowerPoint theo cách: Nhấp File, chọn tab Info sau nhấp vào nút Protect Document Cuối cùng, bấm vào Encrypt with Password chọn mật mạnh cho tập tin Giải pháp thứ hai, đối nghịch với giải pháp mã hóa cấp tập tin nêu trên, giải vấn đề mã hóa mức ứng dụng Giải pháp xử lý mã hóa liệu trước truyền liệu vào CSDL Những vấn đề quản lý khóa quyền truy cập hỗ trợ ứng dụng Truy vấn liệu đến CSDL trả kết liệu dạng mã hóa liệu giải mã ứng dụng Giải pháp giải vấn đề phân tách quyền an ninh hỗ trợ sách an ninh dựa vai trò (Role Based Access Control – RBAC) Tuy nhiên, xử lý mã hóa tầng ứng dụng địi hỏi thay đổi tồn diện kiến trúc ứng dụng, chí địi hỏi ứng dụng phải viết lại Đây vấn đề đáng kể cho cơng ty có nhiều ứng dụng chạy nhiều CSDL khác 3.2.4.4 Bảo mật liệu truyền qua mạng wifi Công nghệ thông tin ngày phát triển, việc truyền nhận thông tin liệu sử dụng chủ yếu qua mạng Công ty khơng cịn sử dụng nhiều mạng dây, mà thay vào chủ yếu sử dụng Wifi cho máy tính xách tay máy tính cá nhân công ty Dữ liệu gửi qua mạng Wifi dễ bị tác động so với gửi qua mạng Ethernet Tin tặc không cần phải truy cập vật lý tới mạng hay thiết bị đó, người dùng sử dụng laptop kích hoạt Wifi ăng ten thu phát sóng mạnh đánh cắp liệu hay đột nhập vào mạng truy cập vào liệu 33 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com lưu trữ mạng điểm truy cập Wifi khơng cấu hình bảo mật Vì để đảm bảo an tồn bảo mật thơng tin Cơng ty nên trọng việc bảo mật liệu truyền qua Wifi Hiện công ty sử dụng giao thức bảo mật WEP để bảo vệ mạng không dây Tuy nhiên, bảo mật WEP dễ bị crack, công nghệ bảo mật bảo vệ mạng không dây cơng ty trước người dùng thơng thường Cịn ngồi ra, hacker, kể hacker vào nghề download cơng cụ miễn phí thực theo hướng dẫn để crack khóa WEP xâm nhập vào mạng máy tính của cơng ty Sau phá khóa, hacker kết nối đến mạng Wi-Fi truy nhập vào tài ngun Ngồi hacker cịn giải mã lưu lượng thời gian thực mạng Chính lý mà cơng ty cần sử dụng cơng nghệ an tồn để bảo vệ cho mạng khơng dây mình: Wi-Fi Protected Access (WPA2), công nghệ sử dụng mã hóa AES/CCMP Với mơ hình cơng ty Cổ phần Công nghệ SAVIS là công ty vừa và nhỏ nên triển khai ứng dụng bảo mật không dây WPA2 - Enterprise doanh nghiệp Chế độ bảo mật Enterprise là chế độ mà doanh nghiệp tổ chức nên sử dụng, biết đến RADIUS, 802.1X, 802.11i EAP Chế độ cung cấp giải pháp bảo mật hữu hiệu hơn, quản lý khóa tốt hỗ trợ chức doanh nghiệp khác VLAN NAP Chế độ Enterprise cho nhân viên đăng nhập vào mạng không dây tên mật hay chứng số và thay đổi thu hồi thời điểm máy chủ thiết bị không dây bị bị đánh cắp Ngoài còn cung cấp cho nhân viên khóa mã hóa động nên ngăn chặn việc xem trộm thông tin người dùng mạng Vì vậy rất phù hợp cho việc bảo mật an toàn mạng công ty 3.2.5 Con người Một mối nguy hiểm tiềm tàng với an ninh liệu doanh nghiệp yếu tố người Do đó, việc thực biện pháp nhằm đào đào tạo, nâng cao nhận thức nhân viên quan bảo mật liệu biện pháp hàng đầu hiệu để bảo đảm an tồn liệu doanh nghiệp Cơng ty Cổ phần Công nghệ SAVIS ý thức vai trò người vấn đề an toàn bảo mật liệu 34 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Một cách làm để tăng cường tính bảo mật cho doanh nghiệp, phát triển giao thức bảo mật mạnh mẽ đảm bảo chúng ln triển khai Những sách phải phù hợp với cách làm việc công ty, nhân viên nhận thức đắn tn thủ Cơng ty nên kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật CSDL cho cơng ty Cách tốt để nhân viên biết sách bảo mật cơng ty, viết giấy, đầy đủ sách với nguyên tắc rõ ràng: cho phép điện thoại máy tính công ty kết nối Wifi, không sử dụng Email cá nhân máy tính cá nhân cơng ty, tất mật phải tuân theo định dạng định cấm nhân viên mở email liên kết không liên quan đến công ty Công ty cần ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật dữ liệu cơng ty, phịng tránh trường hợp hệ thống bị cơng nhân viên công ty Nguồn nhân lực công ty chưa có kiến thức chun sâu an tồn bảo mật CSDL Để thực giải pháp để nâng cao an tồn bảo mật CSDL cho cơng ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Cơng ty nên có buổi chia sẻ thông tin, kiến thức nhân viên công ty, người biết bảo cho người để nâng cao kiến thức vấn đề an toàn bảo mật Phương pháp khơng tốn chi phí mà cịn tăng tinh thần đồn kết nội cơng ty Mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp mở lớp phổ biến kiến thức an toàn bảo mật hệ thống cho cán bộ, nhân viên công ty 3.3 Điều kiện thực giải pháp An toàn bảo mật HTTT vơ quan trọng, ảnh hưởng lớn đến thành bại công ty đặc biệt thời kỳ cơng nghiệp hóa, đại hóa, cơng nghệ thông tin phát triển vũ bão Công ty cần có nhìn đắn vấn đề đầu tư cho biện pháp an toàn bảo mật HTTT Ban lãnh đạo nên có sách đào tạo chuyên sâu chuyên môn liên quan đến CNTT cho nhân viên cách: mở buổi hội thảo để nâng cao nhận thức bảo mật thông tin doanh nghiệp cho nhân viên công ty, thiết lập phận chuyên trách vấn đề bảo mật, gửi nhan viên học khóa đào tạo nước 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đề nghị tăng thêm số lượng nhân viên CNTT, nhân viên CNTT có trình độ đại học phải có kinh nghiệm an tồn bảo mật HTTT Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến an toàn bảo mật HTTT cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin nội cơng ty, thơng tin khách hàng, … Đầu tư sở hạ tầng CNTT phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an toàn việc cần thiết Các trang thiết bị công nghệ thông tin phải thường xuyên kiểm tra, bảo dưỡng bảo trì, khắc phục lỗi kịp thời Cập nhật giải pháp bảo mật thông tin tức thời có hiệu tối ưu với ngân sách, đặc điểm công ty 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Ngày CNTT có bước phát triển mạnh mẽ mang lại lợi ích to lớn doanh nghiệp giúp cho doanh nghiệp định đắn trình hoạt động kinh doanh Vấn đề an tồn bảo mật thơng tin vấn đề nhức nhối doanh nghiệp Càng ngày hình thức cơng vào hệ thống ngày tinh vi, đại, nguy hiểm có quy mơ lớn An tồn hệ thống ln bị đe dọa nguy công tiềm ẩn bên hệ thống Chỉ sai lầm nhỏ dẫn đến hậu khơn lường.Vì an tồn thơng tin đóng vai trị quan trọng cần quan tâm lớn từ phía cơng ty.Việc thường xun cập nhật cơng nghệ có sách đầu tư đắn dài vào an toàn bảo mật làm cho hệ thống trở nên an tồn vững từ hệ thống hoạt động tốt đẩy mạnh hiệu công việc Với mục tiêu mở rộng, phát triển công, hội nhập với giới năm tới, Công ty cổ phần công nghệ quản trị doanh nghiệp công ty Cổ phần Công nghệ SAVIS quan tâm có giải pháp đảm bảo an tồn bảo mật HTTT Tuy nhiên, giải pháp an toàn bảo mật cơng ty chưa đồng bộ, cịn số lỗ hổng dẫn đến nguy bị công thông tin Với đề tài “Giải pháp đảm bảo an tồn Cơ sở liệu cơng ty Cổ phần Công nghệ SAVIS”, em đưa sở lý luận an toàn bảo mật cho liệu, thơng tin cơng ty, trình bày thực trạng an toàn bảo mật cho dữu liệu Công ty Cổ phần Công nghệ SAVIS Từ đề xuất số giải pháp cần thiết phù hợp với công ty thời gian Tuy nhiên, hạn chế mặt kiến thức thời gian nên nghiên cứu em cịn nhiều thiết sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hoàn chỉnh Một lần nữa, em xin chân thành cảm ơn Công ty Cổ phần Công nghệ SAVIS, cảm ơn thầy Cù Nguyên Giáp giúp đỡ tận tình tạo điều kiện thuận lợi để em hồn thành tốt khóa luận tốt nghiệp 37 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU KHAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thơng tin quản lí, Trường ĐH Thương Mại [2] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [3] Nguyễn Dương Hùng (2013), Các vấn đề bảo mật an toàn liệu ngân hàng thương mại sử dụng cơng nghệ điện tốn đám mây [4] William Stallings (2010), Cryptography and Network Security: Principles and Practice, Pearson Education [5] William Stallings (2010), Cryptography and Network Security: Principles and Practice, Pearson Education [7] http://antoanthongtin.vn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT TÌNH HÌNH ỨNG DỤNG CNTT TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS A THÔNG TIN CHUNG VỀ DOANH NGHIỆP Tên doanh nghiệp: Địa trụ sở chính: Thông tin liên hệ người điền phiếu: Họ tên: …………………… Chức vụ: …………………………… Phòng: Điện thoại: Email: Năm thành lập doanh nghiệp: Ngành nghề kinh doanh: ……………………………………………………… Số lượng nhân viên  Dưới 100 người  Từ 100 – 200 người  Từ 200 – 500 người  Trên 500 người Vốn điều lệ (VND)  Dưới tỷ  Từ 1-5 tỷ  Từ 5- 10 tỷ  Từ 10- 50 tỷ  Từ 50- 200 tỷ  Trên 200 tỷ Loại hình doanh nghiệp theo hình thức sở hữu: (chỉ đánh dấu ô)  Cổ phần  Công ty hợp danh  Doanh nghiệp liên doanh với nước  Doanh nghiệp tư nhân  Đầu tư nước  Nhà nước  Trách nhiệm hữu hạn  Khác (Xin nêu rõ) …………………………………………………… Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com B HẠ TẦNG KĨ THUẬT CNTT TRONG CÔNG TY Tổng số máy tính: - Tổng máy chủ: … (cái) - Tổng số máy để bàn: …(cái) - Tổng số máy xách tay: …(cái) - Số lượng máy in: … (cái) - Số lượng máy chiếu: … (cái) Kết nối mạng nội bộ:  Có Kết nối Internet:  Có  Khơng  Khơng Nếu có số máy tính kết nối mạng là?  20%  30%  50%  100% Theo anh/chị phòng ban cơng ty có trang bị đầy đủ máy tính thiết bị cơng nghệ thơng tin phục vụ cho hoạt động sản xuất kinh doanh không?  Rất đầy đủ  Khá đầy đủ  Đầy đủ Đánh giá tốc độ xử lý liệu máy tính  Khơng  Tốt  Trung bình  Chậm Mạng cục công ty (LAN) có hệ thống an ninh mạng chưa? (tường lửa, phịng chống virus, bảo mật, v.v…)  Đã có  Chưa có Những phần mềm cơng ty sử dụng có quyền khơng?  Có quyền  Khơng có quyền Công ty sử dụng phần mềm nào?  Không biết  Phần mềm MS Office  Phần mềm kế toán  Phần mềm quản lý nhân  Phần mềm quản lý dự án  Phần mềm quản lý khách hàng Công ty sử dụng mạng máy tính chủ yếu cho cơng việc gì?  Trao đổi thư điện tử  Thực cơng việc  Tin học văn phịng  Giới thiệu sản phẩm cơng ty  Mục đích sử dụng khác (nêu cụ thể): ………………………………………… 10 Mức độ quan tâm lãnh đạo ứng dụng CNTT hoạt động công ty? Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng tơi cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Không quan tâm  Khá quan tâm  Ít quan tâm 11 Có chiến lược ứng dụng CNTT hoạt động kinh doanh doanh nghiệp khơng?  Có  Khơng 12 Các ứng dụng triển khai doanh nghiệp  Quản lý văn điều hành công việc  Tin học văn phịng  Quản lý tài chính- kế toán  Quản lý nhân - tiền lương  Quản lý tài sản  Quản lý khách hàng (CRM)  Quản lý nhà cung cấp, đối tác (CSM)  Quản lý hoạch định nguồn lực doanh nghiệp (ERP)  Thư điện tử nội  Khác (liệt kê chi tiết) …… ……………………………………… 13 Có sách riêng khuyến khích ứng dụng CNTT doanh nghiệp khơng?  Có 14 Thị trường chiến lược mà cơng ty hướng đến  Khơng  Trong nước  Ngồi nước C CƠ SỞ NHÂN LỰC CNTT Cơng ty có cán chuyên trách, phòng ban chuyên trách CNTT khơng?  Có  Khơng Trình độ nhân viên công ty chủ yếu  Sau đại học  Đại học  Cao đẳng  Phổ thông Cơng ty có hình thức đào tạo CNTT cho nhân viên?  Mở lớp đào tạo  Gửi nhân viên học  Đào tạo chỗ theo nhu cầu công việc  Không đào tạo Nhu cầu nguồn nhân lực CNTT ?  Khơng có nhu cầu  Bình thường  Nhu cầu lớn  Khác (nêu cụ thể): ……………………………………………………… Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng tơi cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com D VỀ HTTT VÀ CSDL CỦA CƠNG TY Hệ thống thơng tin quản lý mà doanh nghiệp bạn sử dụng (được tick chọn nhiều)  Phần mềm quản lý doanh nghiệp ERP  Phần mềm quản lý quan hệ khách hàng CRM  Hệ thống khác (Mô tả) ……………………………………………………… Đánh giá bạn hệ thống thông tin mà doanh nghiệp sử dụng:  Rất tốt  Khá tốt  Tốt  Không tốt Đánh giá mức độ an tồn bảo mật hệ mạng cơng ty?  Rất an toàn  Tương đối an toàn  An tồn  Khơng an tồn Dữ liệu tổ chức nào?  Trong CSDL  Tập tin riêng rẽ Doanh nghiệp bạn sử dụng hệ quản trị CSDL nào? (có thể chọn nhiều mục)  Microsoft Access  SQL Server  My SQL  Foxpro  Oracle  PostgreSQL  Informix  DB2  Khác (Mô tả) …………………………………………………………… Hệ quản trị CSDL cơng ty bạn sử dụng có quyền hay khơng?  Có  Khơng  Khơng biết Đánh giá mức độ cần thiết việc đầu tư xây dựng phần mềm quản lý dự án công ty?  Rất cần thiết  Cần thiết  Không cần thiết Hiện doanh nghiệp bạn lưu trữ liệu cách nào?  Lưu trữ máy tính cá nhân  Lưu trữ máy chủ  Lưu trữ điện toán đám mây Khác (Mô tả) Bạn có nghĩ CSDL doanh nghiệp bạn quản trị tốt nay?  Có thể  Có thể không chắn  Tôi không nghĩ tốt  Khác 10 Tuần suất lưu liệu doanh nghiệp bạn là:  tháng/1 lần  tháng/1 lần  tháng/ lần Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  > tháng/ lần  Khác: ……………………………………………………………………… 11 Để tiếp cận với thông tin CSDL doanh nghiệp, theo bạn việc phải có trình độ kỹ công nghệ thông tin?  Không cần thiết  Cần thiết  Đôi cần thiết  Rất cần thiết 12 Bạn đánh giá vai trò bảo mật CSDL q trình quản lí HTTT?  Rất quan trọng  Đôi quan trọng  Quan trọng  Không quan trọng 13 Đánh giá mức độ an tồn bảo mật hệ thống thơng tin cơng ty?  Rất tốt  Tương đối tốt  Bình thường  Khơng tốt Cảm ơn anh/chị nhiệt tình tham gia! Hà Nội, ngày tháng năm 2019 Người lập phiếu (ký ghi rõ họ tên) Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CÁC CÂU HỎI PHĨNG VẤN Ước tính đầu tư cho CNTT vịng năm gần đây: … (triệu đồng) đó: Đầu tư cho phần cứng chiếm: % Đầu tư cho phần mềm chiếm: ……% Đầu tư cho đào tạo CNTT chiếm: … % - Ước tính tỉ trọng chi ứng dụng CNTT tổng chi phí hoạt động thường niên? [ ] Dưới 5% [ ] Từ 5%-15% [ ] Trên 15% Cơng ty có dự định đầu tư, nâng cấp sở hạ tầng CNTT không? Đầu tư nào? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Công ty có phận chuyên trách riêng biệt CNTT HTTT khơng? (Nếu có xin thơng tin cụ thể) …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… (Nếu chưa có) Trong tương lai cơng ty có dự định xây dựng đội ngũ nhân viên chun biệt khơng? Nó có cần thiết với công ty thời điểm không? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Nếu xây dựng đội ngũ chuyên CNTT HTTT, cơng ty có u cầu nhân lực mảng cho công ty? …………………………………………………………………………………… …………………………………………………………………………………… Những khó khăn gặp phải q trình quản trị hệ thống thông tin công ty? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Anh nói chút thơng tin chiến lược kinh doanh phát triển công ty năm tới không? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... CSDL Cơng ty Cổ phần Công nghệ SAVIS Chương 3: Đề xuất giải pháp đảm bảo an tồn CSDL cơng ty Cổ phần Cơng nghệ SAVIS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƯƠNG I CƠ SỞ LÝ... toàn bảo mật HTTT Tuy nhiên, giải pháp an toàn bảo mật cơng ty chưa đồng bộ, cịn số lỗ hổng dẫn đến nguy bị công thông tin Với đề tài ? ?Giải pháp đảm bảo an toàn Cơ sở liệu công ty Cổ phần Công nghệ. .. hiệu công việc Với mục tiêu mở rộng, phát triển công, hội nhập với giới năm tới, Công ty cổ phần công nghệ quản trị doanh nghiệp công ty Cổ phần Cơng nghệ SAVIS quan tâm có giải pháp đảm bảo an toàn