1. Trang chủ
  2. » Giáo Dục - Đào Tạo

(Luận văn đại học thương mại) giải pháp đảm bảo an toàn cơ sở dữ liệu tại công ty cổ phần công nghệ SAVIS

50 7 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Giải Pháp Đảm Bảo An Toàn Cơ Sở Dữ Liệu Tại Công Ty Cổ Phần Công Nghệ SAVIS
Tác giả Trịnh Thị Linh
Người hướng dẫn Th.S. Cù Nguyên Giáp
Trường học Trường Đại học Thương mại
Chuyên ngành Hệ thống thông tin kinh tế và Thương mại điện tử
Thể loại khóa luận tốt nghiệp
Năm xuất bản 2019
Thành phố Hà Nội
Định dạng
Số trang 50
Dung lượng 621,6 KB

Cấu trúc

  • LỜI CẢM ƠN

  • MỤC LỤC

  • DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ

  • DANH MỤC TỪ VIẾT TẮT

  • MỞ ĐẦU: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI

  • 1. Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu

  • 2. Mục tiêu nghiên cứu của đề tài

  • 3. Đối tượng và phạm vi nghiên cứu của đề tài

  • 4. Phương pháp thực hiện đề tài

  • 5. Kết cấu của khóa luận

  • CHƯƠNG I. CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT CSDL TRONG HỆ THỐNG THÔNG TIN

  • 1. Một số khái niệm cơ bản

  • 1.1. Một số khái niệm về dữ liệu, cơ sở dữ liệu, thông tin, HTTT, HTTT quản lý trong doanh nghiệp

  • 1.2. Khái niệm về an toàn, bảo mật CSDL trong HTTT

  • 2. Một số vấn đề lý thuyết liên quan đến an toàn và bảo mật CSDL

  • 2.1. Các nguy cơ mất an toàn dữ liệu

  • 2.2. Các hình thức tấn công an toàn CSDL

  • 2.3. Các yêu cầu bảo vệ CSDL

  • 2.4. Phân loại các hình thức tấn công HTTT

  • 2.5. Vấn đề con người trong bảo mật hệ thống:

  • 2.6. Vai trò của an toàn bảo mật CSDL

  • 3. Tổng quan đề tài nghiên cứu

  • 3.1. Tổng quan tình hình nghiên cứu ở Việt Nam

  • 3.2. Tổng quan tình hình nghiên cứu trên thế giới

  • CHƯƠNG II. PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN VÀ BẢO MẬT CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS

  • 1. Tổng quan về Công ty Cổ phần Công nghệ SAVIS

  • 1.1. Giới thiệu về công ty

  • 1.1.1. Sơ lược về công ty

  • 1.1.2. Lịch sử phát triển của công ty

  • 1.2.2. Chức năng nhiệm vụ, thành phần các bộ phận trong công ty, cơ cấu nhân lực của công ty

  • 1.3. Các lĩnh vực hoạt động

  • 1.4. Tình hình hoạt động kinh doanh

  • 2. Phân tích, đánh giá thực trạng an toàn bảo mật CSDL tại Công ty Cổ phần công nghệ SAVIS

  • 3. Đánh giá thực trạng bảo mật, an toàn cơ sở dữ liệu tại Công ty cổ phần Công nghệ SAVIS

  • 3.1. Ưu điểm

  • 3.2. Nhược điểm

  • CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS

  • 3.1. Định hướng phát triển an toàn cho HTTT của công ty Cổ phần Công nghệ SAVIS

  • 3.2. Các đề xuất nhằm nâng cao an toàn và bảo mật cơ sở dữ liệu cho hệ thống thông tin của Công ty Cổ phần Công nghệ SAVIS

  • 3.2.1. Giải pháp xây dựng Hạ tầng CNTT

  • 3.2.2. Giải pháp xây dựng Hệ quản trị CSDL

  • 3.2.3. Giải pháp về cách thức quản lý dữ liệu

  • 3.2.4. Giải pháp an toàn bảo mật cho dữ liệu

  • 3.2.5. Con người

  • 3.3. Điều kiện thực hiện giải pháp

  • KẾT LUẬN

  • TÀI LIỆU KHAM KHẢO

  • PHỤ LỤC

Nội dung

Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu

Thông tin là tài sản quý giá của doanh nghiệp và cần được bảo vệ một cách nghiêm ngặt Tuy nhiên, trong môi trường kinh doanh hiện đại, việc chia sẻ thông tin qua Internet và Intranet với nhiều đối tượng khác nhau đang trở thành một yêu cầu thiết yếu Do đó, việc bảo vệ thông tin không chỉ quan trọng mà còn ngày càng trở nên khó khăn hơn bao giờ hết.

Hệ quản trị cơ sở dữ liệu (CSDL) là công cụ quan trọng giúp doanh nghiệp lưu trữ thông tin một cách tập trung Tuy nhiên, với sự gia tăng sử dụng CSDL, chúng cũng trở thành mục tiêu tấn công của kẻ xấu, gây ra thiệt hại cho tổ chức Những cuộc tấn công này có thể dẫn đến hỏng hóc hệ thống, hoạt động không ổn định và mất mát dữ liệu, làm gián đoạn các giao dịch hàng ngày của doanh nghiệp.

Việc rò rỉ thông tin quan trọng như chiến lược kinh doanh, dữ liệu khách hàng và hoạt động tài chính có thể gây ra thiệt hại nghiêm trọng cho doanh nghiệp Thông tin này không chỉ bị tiết lộ mà còn bị bán cho các công ty đối thủ, dẫn đến tổn hại lớn về uy tín của doanh nghiệp trong mắt khách hàng và đối tác.

Bảo mật cơ sở dữ liệu (CSDL) đang trở thành một vấn đề cấp bách và thiết yếu, đặc biệt đối với các hoạt động của doanh nghiệp Việc đảm bảo an toàn cho dữ liệu không chỉ bảo vệ thông tin quan trọng mà còn góp phần nâng cao uy tín và hiệu quả kinh doanh.

Công ty Cổ phần Công nghệ SAVIS nhận thấy rằng các giải pháp bảo mật hiện tại mà doanh nghiệp áp dụng cho cơ sở dữ liệu (CSDL) đã đáp ứng một phần yêu cầu nhưng vẫn chưa hoàn toàn hiệu quả Sau thời gian thực tập tại công ty, em quyết định chọn đề tài: “Giải pháp đảm bảo an toàn Cơ sở dữ liệu tại công ty Cổ phần” để tìm hiểu và đề xuất những cải tiến cần thiết.

Công nghệ SAVIS là chủ đề nghiên cứu của tôi, với mong muốn đóng góp vào việc phát triển và hoàn thiện hệ thống an toàn cơ sở dữ liệu (CSDL) tại công ty Tôi hướng đến việc khắc phục những hạn chế hiện tại và đề xuất các biện pháp bảo đảm an toàn CSDL phù hợp với điều kiện hiện có, đồng thời hỗ trợ sự phát triển bền vững của công ty trong tương lai.

Khóa luận này nhằm cung cấp tài liệu tham khảo cho công ty Cổ phần Công nghệ SAVIS, giúp công ty cải thiện quy trình kinh doanh và đảm bảo an toàn dữ liệu Nghiên cứu sẽ phân tích các hạn chế và vấn đề cần khắc phục, đồng thời đề xuất giải pháp phù hợp với điều kiện hiện tại của công ty Ngoài ra, khóa luận cũng là nguồn tài liệu hữu ích cho giáo viên và sinh viên các trường đại học, cao đẳng trên toàn quốc, giúp họ tìm hiểu các chủ đề liên quan và tích lũy kinh nghiệm về môi trường làm việc thực tế.

Mục tiêu nghiên cứu của đề tài

Mục tiêu nghiên cứu của đề tài là hệ thống hóa lý thuyết về an toàn cơ sở dữ liệu (CSDL) trong hệ thống thông tin (HTTT) và phân tích thực trạng đảm bảo an toàn dữ liệu tại công ty Cổ phần Công nghệ SAVIS Qua đó, đánh giá ưu, nhược điểm của dữ liệu trong HTTT và đề xuất các giải pháp nâng cao tính an toàn dữ liệu Nghiên cứu giúp công ty nhận diện nguy cơ và thách thức trong việc bảo vệ an toàn dữ liệu, từ đó xây dựng các biện pháp ngăn chặn nguy cơ tấn công dữ liệu hiện tại và tương lai.

Phương pháp thực hiện đề tài

Phương pháp thu thập dữ liệu là quy trình thu thập và phân loại các tài liệu có thông tin liên quan đến đối tượng nghiên cứu Đây là bước đầu tiên trong quá trình nghiên cứu, đóng vai trò quan trọng trong việc đảm bảo tính chính xác và đầy đủ của thông tin được sử dụng.

Phương pháp thống kê và thu thập số liệu thông qua phiếu điều tra là một cách hiệu quả để thiết kế các phiếu khảo sát Việc hướng dẫn người sử dụng điền thông tin cần thiết giúp thăm dò dư luận và thu thập ý kiến, quan điểm mang tính đại chúng rộng rãi.

Bảng câu hỏi này tập trung vào việc thu thập thông tin chung về công ty, đặc biệt là các hoạt động liên quan đến việc đảm bảo an toàn cho cơ sở dữ liệu (CSDL) của doanh nghiệp.

Mục đích của bài viết là thu thập thông tin về các hoạt động đảm bảo an toàn thông tin tại Công ty Cổ phần Công nghệ SAVIS Qua đó, chúng tôi sẽ đánh giá thực trạng hiện tại và đề xuất các giải pháp phù hợp nhằm bảo vệ an toàn cơ sở dữ liệu của công ty.

Phương pháp thu thập dữ liệu thứ cấp bao gồm việc sử dụng thông tin đã được thu thập và xử lý trước đó cho các mục tiêu khác nhau của công ty Dữ liệu thứ cấp giúp tiết kiệm thời gian và chi phí trong quá trình nghiên cứu, đồng thời cung cấp cái nhìn tổng quan về thị trường và xu hướng Việc khai thác nguồn dữ liệu này một cách hiệu quả có thể hỗ trợ doanh nghiệp đưa ra quyết định chính xác hơn.

Nguồn tài liệu nội bộ bao gồm báo cáo kết quả hoạt động kinh doanh của công ty trong giai đoạn 2016-2018, được thu thập từ phòng kế toán, phòng nhân sự, phiếu điều tra và các tài liệu thống kê khác.

Nguồn tài liệu bên ngoài bao gồm các công trình nghiên cứu khoa học, tạp chí, và sách báo từ các năm trước liên quan đến đề tài nghiên cứu, cũng như thông tin thu thập từ Internet.

Sau khi thu thập đầy đủ thông tin cần thiết, bước tiếp theo là tiến hành phân loại sơ bộ các tài liệu Khi việc thu thập thông tin đã hoàn tất, chúng ta sẽ chuyển sang giai đoạn xử lý dữ liệu.

Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập.

Phương pháp phân tích và xử lý dữ liệu sử dụng Microsoft Office Excel nhằm tổng hợp và đánh giá số liệu từ các báo cáo hoạt động kinh doanh của công ty năm 2016 Việc vẽ biểu đồ minh họa giúp trực quan hóa thông tin, hỗ trợ quá trình phân tích và đưa ra những đánh giá chính xác về hiệu quả hoạt động.

2018, từ phiếu điều tra và tài liệu thống kê khác.

Phương pháp phán đoán: dùng để đưa ra các dự báo, phán đoán về tình hình phát triển

HTTT của công ty cần được đánh giá trong bối cảnh tình hình an toàn bảo mật thông tin hiện nay, cả trong nước và quốc tế Bài viết sẽ phân tích các nguy cơ tiềm ẩn về mất an toàn thông tin mà công ty có thể phải đối mặt, từ đó đưa ra những nhận định và biện pháp phòng ngừa hiệu quả.

4.2 Phương pháp phân tích và xử lý số liệu

Phương pháp định lượng được áp dụng để phân tích dữ liệu thu thập thông qua Microsoft Office Excel 2019 Việc sử dụng các biểu đồ sau khi nhập dữ liệu sẽ giúp đánh giá rõ ràng thực trạng an toàn bảo mật thông tin trong doanh nghiệp, đồng thời nhấn mạnh tính cấp thiết của việc nâng cao mức độ bảo mật cho thông tin.

Phương pháp định tính là quá trình chọn lọc, phân tích và tổng hợp dữ liệu thu thập từ phỏng vấn và nhiều nguồn thông tin khác nhằm làm rõ các thuộc tính và bản chất của sự vật, hiện tượng Phương pháp này giúp làm sáng tỏ các khía cạnh cấu thành nguyên nhân của vấn đề được phát hiện, thường được sử dụng để tạo ra bảng số liệu thống kê, biểu đồ và đồ thị.

Kết cấu của khóa luận

Kết cấu khóa luận gồm 3 chương:

Chương 1 trình bày cơ sở lý luận về an toàn bảo mật cơ sở dữ liệu (CSDL), nhấn mạnh tầm quan trọng của việc bảo vệ thông tin trong môi trường số Chương 2 phân tích và đánh giá thực trạng an toàn và bảo mật CSDL tại Công ty Cổ phần Công nghệ SAVIS, cung cấp cái nhìn sâu sắc về các biện pháp hiện có và những thách thức mà công ty đang đối mặt trong việc bảo vệ dữ liệu.

Chương 3: Đề xuất giải pháp đảm bảo an toàn CSDL tại công ty Cổ phần Công nghệ SAVIS

CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT CSDL TRONG HỆ THỐNG THÔNG TIN

Một số khái niệm cơ bản

Dữ liệu là tập hợp thông tin về các đối tượng như người, vật, khái niệm hay sự kiện, được lưu trữ trên máy tính dưới nhiều dạng khác nhau như ký tự, hình ảnh, âm thanh và ký hiệu Tuy nhiên, dữ liệu chỉ có giá trị khi được xử lý thành thông tin, giúp con người hiểu rõ hơn về các đối tượng mà dữ liệu đại diện.

Cơ sở dữ liệu (CSDL) là một tập hợp các dữ liệu có tổ chức và liên quan, được lưu trữ trên các thiết bị như đĩa từ và băng từ CSDL được thiết kế để đáp ứng nhu cầu khai thác thông tin đồng thời từ nhiều người dùng và các ứng dụng khác nhau với nhiều mục đích sử dụng.

Thông tin là kết quả của quá trình xử lý dữ liệu, mang lại ý nghĩa thực sự cho người sử dụng Nó được xem như một sản phẩm hoàn chỉnh, giúp người dùng dễ dàng hiểu và áp dụng trong thực tế.

Hệ thống thông tin (HTTT) là sự kết hợp giữa phần cứng, phần mềm và mạng truyền thông, được thiết kế để thu thập, tạo ra, tái tạo, phân phối và chia sẻ dữ liệu, thông tin và tri thức, nhằm phục vụ các mục tiêu của tổ chức.

Hệ thống thông tin quản lý (MIS) là một cấu trúc bao gồm các phương tiện, phương pháp và bộ phận liên kết chặt chẽ, nhằm mục đích thu thập, lưu trữ, tìm kiếm, xử lý và cung cấp thông tin cần thiết cho công tác quản lý hiệu quả.

1.2 Khái niệm về an toàn, bảo mật CSDL trong HTTT

An toàn dữ liệu là việc bảo vệ thông tin trong cơ sở dữ liệu (CSDL) khỏi các truy cập trái phép, đảm bảo rằng thông tin không bị sửa đổi, sao chép hoặc xóa bỏ bởi những người không có quyền Điều này giúp duy trì tính toàn vẹn của dữ liệu và ngăn chặn việc thay đổi hoặc suy diễn nội dung thông tin trong CSDL.

Cơ sở dữ liệu doanh nghiệp thường được cài đặt tập trung hoặc phân tán trên các máy chủ, phục vụ cho nhiều người sử dụng Để đảm bảo an toàn và toàn vẹn dữ liệu, các hệ thống cơ sở dữ liệu cần có cơ chế kiểm soát, truy xuất và quản lý thông tin hiệu quả An toàn dữ liệu đòi hỏi các hệ thống phải được bảo vệ chống lại truy cập trái phép, nhằm ngăn chặn việc sửa đổi hoặc phá hoại có chủ đích Do đó, việc bảo vệ tập trung các hệ thống cơ sở dữ liệu là rất cần thiết để duy trì tính toàn vẹn và an toàn của dữ liệu.

Bảo mật cơ sở dữ liệu là việc duy trì tính bí mật, toàn vẹn và sẵn sàng của dữ liệu Một hệ thống thông tin được xem là bảo mật khi đảm bảo tính riêng tư của nội dung dữ liệu theo các tiêu chí đã định trong một khoảng thời gian nhất định.

Dữ liệu và thông tin được phân loại theo các cấp độ bảo mật khác nhau nhằm đảm bảo rằng chỉ những người dùng được cấp phép mới có quyền truy cập vào thông tin nhạy cảm.

Đảm bảo tính toàn vẹn của thông tin và dữ liệu là điều quan trọng, giúp xác nhận rằng dữ liệu luôn nhất quán và chính xác Ngoài ra, cần bảo vệ dữ liệu khỏi những can thiệp trái phép để duy trì độ tin cậy và an toàn của thông tin.

Tính sẵn sàng của hệ thống là yếu tố quan trọng, đảm bảo rằng dữ liệu và thông tin luôn trong trạng thái sẵn sàng phục vụ cho người dùng có thẩm quyền bất cứ lúc nào, một cách thuận lợi và hiệu quả.

An toàn và bảo mật là hai yếu tố thiết yếu và có mối liên hệ chặt chẽ với nhau Một hệ thống không an toàn sẽ không thể đảm bảo tính bảo mật, và ngược lại, nếu một hệ thống thiếu tính bảo mật, nó sẽ trở nên không an toàn.

An toàn và bảo mật cơ sở dữ liệu (CSDL) đóng vai trò thiết yếu trong sự phát triển bền vững của doanh nghiệp, vì thông tin là tài sản quý giá Rủi ro thông tin có thể dẫn đến thiệt hại về tài chính, tài sản và con người, ảnh hưởng tiêu cực đến hoạt động kinh doanh và uy tín của doanh nghiệp Do đó, việc đảm bảo an toàn thông tin (ATTT) không chỉ là một yêu cầu mà còn là hoạt động quan trọng để doanh nghiệp phát triển.

Một số vấn đề lý thuyết liên quan đến an toàn và bảo mật CSDL

Mối đe dọa đối với hệ thống được định nghĩa là bất kỳ hoàn cảnh hoặc sự kiện nào, dù vô tình hay cố ý, gây ảnh hưởng tiêu cực đến hệ thống Các mối đe dọa tiềm ẩn đối với hệ thống máy tính có thể xuất phát từ nhiều nguồn như phần cứng, hệ quản trị cơ sở dữ liệu, phần mềm ứng dụng, mạng truyền tin, cơ sở dữ liệu, cũng như từ người sử dụng và người quản trị cơ sở dữ liệu Những mối đe dọa này có khả năng làm mất hoặc ảnh hưởng đến tính bí mật của dữ liệu.

Một hiểm họa có thể xuất hiện khi đối thủ, bao gồm cá nhân hoặc nhóm, áp dụng các kỹ thuật đặc biệt để tiếp cận và khai thác thông tin quan trọng từ hệ thống quản lý một cách trái phép.

Các xâm phạm tính an toàn CSDL bao gồm đọc, sửa, xóa dữ liệu trái phép Thông qua những xâm phạm này, đối phương có thể:

+ Khai thác dữ liệu trái phép thông qua suy diễn thông tin được phép + Sửa đổi dữ liệu trái phép

Từ chối dịch vụ hợp pháp có thể khiến thông tin của hệ thống cơ sở dữ liệu bị lộ, bất chấp việc thiết kế và kiểm soát chặt chẽ Khả năng suy diễn của người dùng từ các nguồn thông tin khác nhau là một vấn đề nghiêm trọng, cho phép những người không đủ thẩm quyền đoán biết thông tin bí mật.

+ Suy diễn dựa trên số liệu thống kê + Thu thập các thông tin từ nguồn khác nhau + Suy diễn dựa trên các ràng buộc của cơ sở dữ liệu

2.2 Các hình thức tấn công an toàn CSDL

Dữ liệu trong cơ sở dữ liệu cần được bảo vệ để ngăn chặn truy cập trái phép và các hành vi phá hoại, dù có chủ ý hay không Các phương thức phá hoại phần mềm cơ sở dữ liệu có thể bao gồm virus, trojan, worm và các lỗ hổng bảo mật.

Virus là một đoạn mã lệnh có khả năng tự sao chép và gây hại cho dữ liệu hệ thống, chủ yếu hoạt động bằng cách lây nhiễm trực tiếp vào các tệp tin mục tiêu.

Worm (sâu máy tính) là một loại chương trình độc hại có khả năng tự nhân bản và tự lây lan từ máy tính này sang máy tính khác mà không cần sự can thiệp của người dùng Thông thường, sâu máy tính lây truyền qua email, internet, hoặc các thiết bị lưu trữ di động.

Con ngựa thành Tơroa (Trojan Horse) là một loại phần mềm độc hại ẩn dưới dạng các tiện ích hợp pháp, có khả năng thu thập và chiếm đoạt thông tin của người dùng Khi được cài đặt vào hệ thống, nó có thể lợi dụng quyền truy cập của người dùng hợp pháp, từ đó tạo ra các lỗ hổng bảo mật nghiêm trọng.

Cửa sập (trapdoor) là một đoạn mã lệnh ẩn trong chương trình, được kích hoạt bởi một đầu vào đặc biệt Khi được khởi động, nó cho phép chủ sở hữu bỏ qua các cơ chế bảo vệ và truy cập vào những tài nguyên hệ thống không thuộc quyền hạn của mình.

2.3 Các yêu cầu bảo vệ CSDL

Để bảo vệ chống truy cập trái phép, chỉ nên cấp quyền cho những người dùng hợp pháp Việc kiểm soát truy cập cần được thực hiện trên các đối tượng dữ liệu ở mức độ thấp hơn, chẳng hạn như bản ghi và thuộc tính.

+ Bảo vệ chống suy diễn: Suy diễn là khả năng có được các thông tin bí mật từ những thông tin không bí mật

+ Bảo vệ toàn vẹn CSDL: Bảo vệ CSDL khỏi những người dùng không hợp pháp, tránh sửa đổi nội dung dữ liệu trái phép.

+ Toàn vẹn dữ liệu thao tác: Đảm bảo tính tương thích logic của dữ liệu khi có nhiều thao tác thực hiện đồng thời

Để đảm bảo tính toàn vẹn ngữ nghĩa của dữ liệu, cần kiểm tra tính tương thích logic của các dữ liệu đã thay đổi bằng cách xác định xem các giá trị dữ liệu có nằm trong khoảng cho phép hay không.

Xác thực người dùng là quá trình quan trọng nhằm xác định tính duy nhất của người dùng, từ đó đảm bảo quyền truy cập dữ liệu Chỉ khi hệ thống xác nhận người dùng là hợp pháp, họ mới được phép truy cập vào thông tin cần thiết.

+ Bảo vệ nhiều mức: Phân loại các mục thông tin khác nhau, đồng thời phân quyền cho các mức truy nhập khác nhau vào mục riêng biệt.

2.4 Phân loại các hình thức tấn công HTTT

Các hình thức tấn công mạng bao gồm tấn công thụ động và tấn công chủ động Tấn công thụ động thường liên quan đến việc lấy cắp thông tin, trong khi tấn công chủ động có thể là việc thay đổi hoặc phá hoại dữ liệu một cách trái phép Những hành động này vi phạm tính toàn vẹn và sẵn sàng của dữ liệu.

Tấn công thụ động là hình thức mà kẻ tấn công thu thập thông tin từ đường truyền mà không làm ảnh hưởng đến dữ liệu đang được truyền tải Loại tấn công này rất khó phát hiện và phòng ngừa, do đó tiềm ẩn nhiều nguy cơ Hiện nay, tấn công thụ động đang gia tăng, vì vậy cần thiết phải triển khai các biện pháp bảo vệ trước khi xảy ra sự cố.

Tấn công thụ động là hình thức đánh cắp thông tin tài khoản để sử dụng sau này, bao gồm hai loại: tấn công trực tuyến và tấn công ngoại tuyến Tấn công ngoại tuyến nhắm vào mục tiêu cụ thể và thường thực hiện bằng cách truy cập trực tiếp vào tài sản của nạn nhân, có hiệu suất thấp và không yêu cầu kỹ năng cao Người dùng có thể dễ dàng trở thành nạn nhân nếu họ để lộ mật khẩu hoặc lưu trữ thông tin nhạy cảm ở dạng không mã hóa Trong khi đó, tấn công trực tuyến không có mục tiêu cụ thể, nhằm vào số đông người dùng trên Internet, thường lợi dụng sự cả tin và những lỗ hổng trong hệ thống để đánh cắp tài khoản Phishing là hình thức phổ biến nhất của tấn công trực tuyến, sử dụng giả mạo người gửi để lấy thông tin nhạy cảm, vì vậy ý thức của người dùng là biện pháp phòng tránh hiệu quả nhất.

Tấn công chủ động là hình thức can thiệp vào dữ liệu, cho phép sửa đổi hoặc thay thế thông tin, làm sai lệch đường truyền dữ liệu Đặc điểm nổi bật của loại tấn công này là khả năng chặn các gói tin trong quá trình truyền tải, dẫn đến việc dữ liệu từ nguồn đến đích bị thay đổi Mặc dù tấn công chủ động có thể gây ra những nguy hiểm, nhưng nó lại dễ dàng được phát hiện.

Tổng quan đề tài nghiên cứu

Hiện nay, nghiên cứu về an toàn và bảo mật thông tin trong nước đang có nhiều bước tiến tích cực, với nhiều công trình, sách và tài liệu khoa học được thực hiện Một ví dụ tiêu biểu là cuốn "Giáo trình an toàn dữ liệu trong thương mại điện tử" của Đàm Gia Mạnh (2009), được xuất bản bởi NXB Thống kê.

Giáo trình này trình bày các khía cạnh cơ bản về an toàn dữ liệu trong thương mại điện tử, bao gồm khái niệm, mục tiêu và yêu cầu an toàn dữ liệu Bên cạnh đó, tài liệu cũng đề cập đến những nguy cơ mất mát dữ liệu và các hình thức tấn công trong lĩnh vực TMĐT.

Giáo trình này cung cấp cái nhìn tổng thể về an toàn dữ liệu cho các nhà kinh doanh tham gia thương mại điện tử Nó cũng đề cập đến các phương pháp phòng tránh tấn công gây mất an toàn dữ liệu và biện pháp khắc phục hậu quả phổ biến, giúp các nhà kinh doanh áp dụng hiệu quả trong công việc hàng ngày.

Vũ Văn Trường (2012) đã thực hiện luận văn thạc sĩ với đề tài "Nghiên cứu giải pháp đảm bảo an toàn và bảo mật cho Trung tâm tích hợp dữ liệu" tại Đại học Công nghệ Nghiên cứu này tập trung vào việc đề xuất các giải pháp nhằm nâng cao mức độ an toàn và bảo mật cho các trung tâm dữ liệu tích hợp, góp phần vào việc bảo vệ thông tin và tài nguyên số trong bối cảnh công nghệ ngày càng phát triển.

Bài luận văn đã trình bày một số công cụ và phương pháp quan trọng để đảm bảo an toàn và bảo mật dữ liệu, bao gồm cơ chế xác thực, bảo vệ dữ liệu tại cơ sở dữ liệu, bảo vệ ứng dụng truy cập cơ sở dữ liệu, cũng như bảo vệ dữ liệu trên đường truyền mạng công cộng cho Trung tâm tích hợp dữ liệu.

Tuy nhiên nội dung nghiên cứu chỉ dừng lại việc thiết lập bảo vệ CSDL riêng lẻ, chưa đồng bộ giữa các server CSDL.

Nguyễn Dương Hùng (2013) đã thực hiện một luận văn thạc sĩ với đề tài nghiên cứu về "Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây" Luận văn này tập trung vào việc phân tích các thách thức và giải pháp liên quan đến bảo mật thông tin trong bối cảnh ngân hàng áp dụng công nghệ điện toán đám mây.

Việc ứng dụng công nghệ điện toán đám mây trong các ngân hàng đã trở thành một xu thế tất yếu trong bối cảnh phát triển mạnh mẽ của công nghệ thông tin hiện nay, mang lại nhiều lợi ích thiết thực cho ngành ngân hàng.

Công nghệ điện toán đám mây (ĐTĐM) đã ra đời như một giải pháp hiệu quả cho hạ tầng công nghệ thông tin (CNTT) của các ngân hàng Với khả năng cung cấp cơ sở hạ tầng không giới hạn, ĐTĐM cho phép truy xuất và lưu trữ dữ liệu tại nhiều vị trí địa lý khác nhau, giúp ngân hàng xử lý hiệu quả các vấn đề liên quan đến lưu trữ, quản lý và khai thác lượng lớn dữ liệu.

Bài nghiên cứu vẫn còn nhiều hạn chế, chủ yếu mang tính lý thuyết và thiếu các thực nghiệm cụ thể Hơn nữa, nghiên cứu chưa đưa ra được những khuyến nghị rõ ràng về an ninh bảo mật trong lĩnh vực ĐTĐM.

3.2 Tổng quan tình hình nghiên cứu trên thế giới

William Stallings (2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall

Cuốn sách khám phá các vấn đề về mật mã và an ninh mạng hiện đại, tập trung vào công nghệ mật mã cơ bản và thực tiễn kiểm tra an ninh mạng qua các ứng dụng đã được triển khai Nó cung cấp giải pháp đơn giản hóa cho AES (Advanced Encryption Standard), giúp người đọc dễ dàng hiểu các yếu tố cần thiết của AES, bao gồm các tính năng, thuật toán và quy trình mã hóa Ngoài ra, cuốn sách cũng đề cập đến CMAC (Cipher-based Message Authentication Code) để đảm bảo xác thực và mã hóa chứng thực.

Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hài và những kẻ xâm hại.

Bài báo “Manage component specific access control with differentiation and composition” của tác giả Zhiqing Liu (Tháng 4 năm 2005 từ Đại học Ấn Độ)

Zhiqing Liu trình bày một cách trực tiếp về các chính sách kiểm soát truy cập, nhấn mạnh tầm quan trọng của việc đảm bảo an toàn hệ thống thông qua việc kiểm soát quyền truy cập một cách chính xác Bài báo đề cập đến bối cảnh và chi tiết về cách tiếp cận hệ thống của con người, đồng thời phân tích sự khác biệt giữa các chính sách kiểm soát truy cập tĩnh và động Ngoài ra, bài viết còn khám phá các thành phần và cấu hình liên quan đến các chính sách kiểm soát truy cập tĩnh và động.

Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons

Cuốn sách cung cấp một cái nhìn sâu sắc về lý thuyết và thực hành bảo mật Internet, nhấn mạnh vai trò quan trọng của các hoạt động, nguyên tắc, thuật toán và giao thức bảo mật Nó cũng đề xuất các biện pháp khắc phục hiệu quả đối với các mối đe dọa từ tội phạm mạng thông qua việc sử dụng độ phân giải mật mã Đặc biệt, tính xác thực, tính toàn vẹn và việc mã hóa thông điệp được coi là những yếu tố then chốt trong việc đảm bảo an ninh cho không gian mạng.

Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào mạng.

PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN VÀ BẢO MẬT CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS

Tổng quan về Công ty Cổ phần Công nghệ SAVIS

1.1.1.Sơ lược về công ty

- Tên công ty: Công ty Cổ phần Công nghệ SAVIS

- Tên tiếng anh: SAVIS TECHNOLOGY GROUP

- Trụ sở chính: Tầng 9, tòa nhà Việt Á, số 9 phố Duy Tân, phường

Dịch Vọng Hậu, quận Cầu Giấy, TP Hà Nội.

- Văn phòng đại diện: Số 21K Nguyễn Văn Trỗi, Phường 12, Quận Phú

Nhuận, Thành phố Hồ Chí Minh, Việt Nam

- Email: info@savis.com.vn

1.1.2.Lịch sử phát triển của công ty

Công ty Cổ phần Công nghệ SAVIS, được thành lập bởi ông Hoàng Nguyên Vân, là một trong những công ty công nghệ hàng đầu tại Việt Nam với đội ngũ chuyên môn giàu kinh nghiệm, tâm huyết và sáng tạo SAVIS chuyên cung cấp các sản phẩm, giải pháp và dịch vụ công nghệ thông tin cho nhiều lĩnh vực như Chính phủ, Tài chính – Ngân hàng, Truyền hình – Viễn thông, Y tế, Giáo dục và Doanh nghiệp Sau hơn 14 năm phát triển, công ty đã khẳng định vị thế vững chắc trên thị trường công nghệ.

Năm 2004, SAVIS được thành lập bởi những người tài năng, những người đam mê công nghệ và có nhiều kinh nghiệm trong lĩnh vực CNTT.

Vào năm 2011, công ty đã tiến hành tái cấu trúc và thực hiện cổ phần hóa, đồng thời thành lập các trung tâm phần mềm, công nghệ và nghiên cứu phát triển R&D Mục tiêu của những bước đi này là trở thành một trong những công ty giải pháp công nghệ hàng đầu trong lĩnh vực CNTT.

Năm 2012, SAVIS đã thiết lập quan hệ đối tác với nhiều công ty công nghệ thông tin hàng đầu toàn cầu, đóng vai trò là nhà tích hợp hệ thống và đối tác cao cấp trong việc triển khai dịch vụ Đội ngũ chuyên gia của SAVIS, được chứng nhận bởi các nhà cung cấp công nghệ hàng đầu, cũng đảm nhận vai trò hỗ trợ kỹ thuật hàng đầu.

Năm 2014, SAVIS đã ký kết thỏa thuận hợp tác thương mại với hai tập đoàn truyền hình lớn là Frogbywyplay và Wtvision Đây là một bước đi chiến lược quan trọng nhằm phát triển dịch vụ truyền hình số tại thị trường Việt Nam.

Năm 2015, SAVIS cán mốc doanh thu 130 tỷ đồng cho các lĩnh vực phần mềm, tích hợp hệ thống và dịch vụ.

Năm 2016, SAVIS được Hiệp hội Công nghệ thông tin và Phần mềm Việt Nam (VINASA) xếp hạng là một trong 50 công ty CNTT hàng đầu tại Việt Nam.

Năm 2017, SAVIS cùng với 5 công ty hàng đầu tại Việt Nam đã nhận Giấy phép kinh doanh từ Bộ Thông tin và Truyền thông, cho phép cung cấp các sản phẩm và dịch vụ bảo mật thông tin.

Năm 2018, SAVIS đạt giải thưởng Sao Khuê cho sản phẩm Giải pháp, lưu trữ số hóa điện tử tập trung trên nền tảng Bigdata

1.2.1.Sơ đồ cơ cấu của tổ chức

Sơ đồ 1: Sơ đồ cơ cấu tổ chức của công ty Cổ phần Công nghệ SAVIS

1.2.2.Chức năng nhiệm vụ, thành phần các bộ phận trong công ty, cơ cấu nhân lực của công ty

Tổng Giám đốc: ông Hoàng Nguyên Vân

Phó Tổng Giám đốc của công ty, ông Tô Văn Hà và ông Nguyễn Quốc Huy, có nhiệm vụ xây dựng chiến lược và cung cấp tầm nhìn, sứ mệnh, nhiệm vụ cũng như mục tiêu phát triển của tổ chức Ban giám đốc đảm bảo các bộ phận trong doanh nghiệp thực hiện đúng lộ trình và công việc theo kế hoạch, đồng thời đánh giá tình hình hoạt động của các phòng ban chức năng.

Khối kinh doanh chịu trách nhiệm theo dõi, quản lý và báo cáo các dự án, hợp đồng được giao, bao gồm tổ chức ký kết và thương thảo hợp đồng cũng như các cuộc họp và đào tạo trong quá trình thực hiện Phòng Quản lý dự án và thầu pháp chế đảm nhận việc quản lý các hợp đồng hợp tác đầu tư, chuẩn bị hồ sơ cho các gói thầu, soạn thảo và kiểm tra tính pháp lý của các văn bản, hợp đồng kinh tế và hồ sơ pháp lý Đồng thời, phòng này cũng hỗ trợ các phòng ban khác về khía cạnh pháp lý và thực hiện rà soát, hệ thống hóa các văn bản pháp luật liên quan đến hoạt động của công ty.

Khối tích hợp chuyên nghiên cứu và thử nghiệm các giải pháp bảo mật mạng và ứng dụng, đồng thời tham gia triển khai và cung cấp dịch vụ hạ tầng CNTT cho khách hàng Đội ngũ cũng hỗ trợ kỹ thuật và vận hành hệ thống sau khi hoàn tất dự án Ngoài ra, khối còn tư vấn dịch vụ hạ tầng CNTT cho khách hàng khi có nhu cầu, đề xuất các giải pháp nhằm tối ưu hóa và nâng cao chất lượng dịch vụ.

Khối phần mềm thực hiện việc thu thập yêu cầu nghiệp vụ từ đối tác và khách hàng, làm việc trực tiếp để làm rõ các yêu cầu này Qua đó, nhóm phân tích và tài liệu hóa các yêu cầu nghiệp vụ dưới dạng văn bản, đảm bảo rằng mọi thành viên trong dự án đều hiểu rõ Đồng thời, nhóm cũng tham gia phát triển sản phẩm phần mềm trên nền tảng NET và các dự án sử dụng ngôn ngữ Java, áp dụng nhiều công nghệ của IBM.

Phòng Marketing đảm nhiệm việc giới thiệu và quảng cáo sản phẩm, dịch vụ của công ty, đồng thời thực hiện giao dịch với khách hàng về phần mềm và dịch vụ Họ cũng xây dựng và triển khai các kế hoạch truyền thông trên các phương tiện thông tin đại chúng, quản lý các kênh truyền thông như website và Facebook, và phụ trách truyền thông nội bộ Phòng Hành chính nhân sự thực hiện đánh giá nhân sự và năng lực cán bộ, cùng với các quy trình và quy định liên quan Phòng Tài chính-Kế toán kiểm soát đối chiếu đầu ra và đầu vào theo từng dự án, đồng thời phối hợp với các phòng ban khác trong việc chuẩn bị hồ sơ thầu và soạn thảo hợp đồng với khách hàng, đảm bảo các điều khoản thanh toán và tài chính tuân thủ quy định.

1.3 Các lĩnh vực hoạt động

 Tích hợp hệ thống: SAVIS cung cấp các giải pháp như:

The IT infrastructure encompasses essential security components such as Hardware Security Modules (HSM) including HSM Network, HSM USB, and HSM PCI, along with eTokens and EMV Smart Cards Additionally, it includes campus network infrastructure, wide area network (WAN) systems, server setups, and storage solutions, all crucial for ensuring secure and efficient data management.

- Các giải pháp an ninh bảo mật: bảo mật mạng, bảo mật ứng dụng, mã hóa dữ liệu, chữ ký số, …

Các giải pháp cho trung tâm dữ liệu bao gồm hạ tầng trung tâm dữ liệu, tối ưu hóa hiệu suất hoạt động, kế hoạch dự phòng thảm họa, cùng với việc di rời và cải tạo trung tâm dữ liệu để nâng cao tính ổn định và hiệu quả.

- Các giải pháp truyền thông hợp nhất, giám sát và quản trị hạ tầng CNTT NOC/SOC.

 Phát triển phần mềm: SAVIS phát triển nhiều phần mềm và ứng dụng khác nhau như:

- Giải pháp lưu trữ số hóa điện tử tập trung trên nền tảng BigData

- Hệ thống phần mềm ký số tập trung (Signing-Hub) and Mobile PKI

- Hệ thống 1 Cửa điện tử

 Dịch vụ công nghệ thông tin: Các dịch vụ chính SAVIS cung cấp bao gồm:

- Dịch vụ tư vấn chiến lược công nghệ thông tin

- Dịch vụ bảo hành và hỗ trợ kỹ thuật

- Dịch vụ an toàn thông tin

- Dịch vụ hạ tầng mạng

- Dịch vụ vận hành trung tâm dữ liệu

- Dịch vụ hệ thống và điện toán đám mây

SAVIS hợp tác với các đơn vị đào tạo ủy quyền trong lĩnh vực CNTT của các nhà cung cấp, nhằm cung cấp dịch vụ đào tạo chuyên gia CNTT phù hợp với từng yêu cầu cụ thể.

1.4 Tình hình hoạt động kinh doanh

Bảng 1: Tình hình hoạt động kinh doanh của công ty Đơn vị: tỷ đồng

STT Chỉ tiêu Năm 2016 Năm 2017 Năm 2018

Từ năm 2016 đến 2018, công ty đã ghi nhận sự tăng trưởng mạnh mẽ trong hoạt động kinh doanh, thể hiện qua doanh thu và lợi nhuận sau thuế Cụ thể, cả doanh thu và lợi nhuận đều có xu hướng tăng trưởng ổn định qua từng năm, cho thấy sự chuyển biến tích cực trong kết quả kinh doanh của công ty.

Qua bảng phân tích, doanh thu của năm 2017 là 175 tỷ cao hơn doanh thu của năm

2016 là 15 tỷ; lợi nhuận tăng 8 tỷ so với năm 2016 Doanh thu năm 2018 là 200 tỷ đồng, tăng 25 tỷ so với năm 2017 với lợi nhuận sau thuế là 76 tỷ đồng

Thành công của công ty là kết quả của nỗ lực không ngừng từ ban lãnh đạo và sự đồng lòng của cán bộ công nhân viên Công ty đã triển khai đồng bộ các hoạt động trên nhiều lĩnh vực để mở rộng kinh doanh dịch vụ, đồng thời tăng cường truyền thông, quảng cáo và quảng bá hình ảnh, sản phẩm dịch vụ Bên cạnh đó, công ty luôn chú trọng nâng cao chất lượng dịch vụ nhằm đáp ứng tốt nhất nhu cầu của khách hàng.

Chứng tỏ rằng công ty đang quản trị hoạt động kinh doanh đã có sự phù hợp và đúng hướng.

Phân tích, đánh giá thực trạng an toàn bảo mật CSDL tại Công ty Cổ phần công nghệ SAVIS

Trong quá trình thu thập dữ liệu cho nghiên cứu tại Công ty Cổ phần Công nghệ SAVIS, tôi đã thực hiện phỏng vấn và phát 20 phiếu điều tra Mục tiêu là thu thập số liệu chân thực và chính xác nhất liên quan đến vấn đề nghiên cứu.

Phiếu điều tra được thiết kế với các câu hỏi rõ ràng và chính xác, tránh hình thức gợi nhớ hay đa nghĩa Có hai hình thức trả lời: đóng và mở, giúp người tham gia thể hiện mong muốn và cung cấp thông tin chính xác nhất.

20 cán bộ công nhân viên trong Công ty tham gia điền phiếu gồm có:

Số lượng phiếu phát ra: 20 phiếu

Số lượng phiếu thu về: 20 phiếu Sau khi tiến hành phát phiếu điều tra và kết hợp với phương pháp phỏng vấn, em đã thu được kết quả sau:

Hiện tại, công ty đang áp dụng kiểu dữ liệu tập trung, giúp xử lý nhanh chóng và chính xác tất cả các nghiệp vụ quản lý và tác nghiệp trên máy tính Điều này không chỉ nâng cao tốc độ xử lý dữ liệu mà còn đảm bảo việc quản lý dữ liệu theo từng module một cách khoa học.

Việc xử lý các loại cơ sở dữ liệu như CSDL tài chính, CSDL nhân sự, CSDL khách hàng và CSDL sản phẩm trên máy tính không chỉ giúp đơn giản hóa công tác lưu trữ mà còn nâng cao hiệu quả quản lý thông tin.

Cơ sở hạ tầng mạng được đầu tư bài bản với hệ thống mạng LAN và mạng không dây Wifi chuyên nghiệp, nhằm đáp ứng nhu cầu kết nối cho các phòng ban trong tổ chức.

Hệ thống mạng hoạt động ổn định và không có lỗi là yếu tố quan trọng để đảm bảo thông tin được truyền tải hiệu quả Việc bảo vệ an toàn thông tin và cơ sở hạ tầng hỗ trợ giúp ngăn ngừa sự tiết lộ, sửa đổi, xóa bỏ hoặc phá hoại bất hợp pháp tài sản, đồng thời duy trì hoạt động nghiệp vụ chính yếu.

Lưu trữ thông tin và quản lý kho dữ liệu là yếu tố quan trọng quyết định thành công của doanh nghiệp Hiện nay, các doanh nghiệp nhỏ có nhiều lựa chọn lưu trữ thông tin, và việc kết hợp các phương án lưu trữ khác nhau thường mang lại hiệu quả tối ưu Dữ liệu thu thập từ phiếu khảo sát của công ty được thể hiện qua sơ đồ minh họa.

Biểu đồ 1: Cách thức lưu trữ dữ liệu:

(Nguồn: Phiếu điều tra khảo sát thực trạng sử dụng CSDL tại công ty Cổ phần Công nghệ SAVIS)

Nhìn vào biểu đồ ta thấy, cách thức quản lý dữ liệu của công ty còn đang thủ công.

Hầu hết dữ liệu trên máy tính cá nhân phục vụ cho các hoạt động cá nhân, trong khi cơ sở dữ liệu (CSDL) lưu trữ trên máy chủ chứa thông tin chung và thông tin mật của công ty Ngoài ra, các tài liệu quan trọng như hồ sơ thầu và hướng dẫn sử dụng thường được lưu trữ bằng giấy và quản lý thủ công.

Hiện nay, nhiều nhân viên trong công ty đã bảo vệ thông tin dữ liệu của mình bằng cách đặt mật khẩu cho máy tính và tài liệu Đồng thời, hệ thống cơ sở dữ liệu (CSDL) của công ty được phân quyền sử dụng rõ ràng, nhằm đảm bảo tính bảo mật và ngăn chặn việc truy cập trái phép từ những người không có liên quan.

Lưu trữ dữ liệu là yêu cầu thiết yếu trong hệ thống CNTT, đảm bảo an toàn và tính sẵn sàng Dữ liệu cần được lưu dự phòng và khôi phục khi bản chính gặp lỗi hoặc mất mát Tần suất lưu trữ dữ liệu tại công ty hiện nay được thể hiện qua phiếu khảo sát, như minh họa trong sơ đồ dưới đây.

Biểu đồ 2: Tần suất lưu trữ dữ liệu

Đánh giá thực trạng bảo mật, an toàn cơ sở dữ liệu tại Công ty cổ phần Công nghệ SAVIS

Dữ liệu của công ty hiện được sao lưu mỗi 3 tháng, tuy nhiên hệ quản trị cơ sở dữ liệu SQL Server 2008 không đáp ứng yêu cầu sao lưu thường xuyên và việc nâng cấp dữ liệu.

Công ty áp dụng biện pháp mã hóa thông tin nhằm bảo vệ tính bí mật, xác thực và toàn vẹn của dữ liệu Bên cạnh đó, công ty còn thực hiện phân quyền người sử dụng và yêu cầu đặt mật khẩu để ngăn chặn truy cập trái phép vào dữ liệu.

Công ty nhận thức rõ tầm quan trọng của yếu tố con người trong việc đảm bảo an toàn và bảo mật hệ thống thông tin Nhân viên mới và chưa có kinh nghiệm sẽ được đào tạo trực tiếp bởi những nhân viên có kinh nghiệm, giúp họ nâng cao kiến thức phục vụ công việc Phương pháp này không chỉ giảm chi phí đào tạo mà còn tăng cường tinh thần đồng đội và sự gắn kết giữa các nhân viên Bên cạnh đó, việc mở lớp đào tạo và cử nhân viên đi học cũng mang lại giá trị đáng kể, mặc dù chi phí sẽ cao hơn.

3 Đánh giá thực trạng bảo mật, an toàn cơ sở dữ liệu tại Công ty cổ phần Công nghệ SAVIS Đảm bảo an toàn thông tin trên mạng và an toàn cho cơ sở hạ tầng hỗ trợ nhằm ngăn ngừa sự tiết lộ, sửa đổi hoặc xóa bỏ hoặc phá hoại bất hợp pháp các tài sản và sự gián con người, công nghệ, chính sách Bằng những gì đã thu thập được, sau quá trình phân tích và nghiên cứu, em xin đưa ra một số đánh giá về thực trạng bảo mật, an toàn dữ liệu ở công ty Cổ phần Công nghệ SAVIS

Theo kết quả khảo sát, công ty đang chú trọng đến việc nâng cấp hệ thống bảo mật nhằm đảm bảo an toàn cho cơ sở dữ liệu (CSDL) Công ty có kế hoạch đầu tư thêm vào các hoạt động bảo mật thông tin, nhận thức rõ tầm quan trọng của việc bảo vệ thông tin Để đảm bảo an toàn thông tin, công ty đã áp dụng nhiều biện pháp bảo mật hiệu quả.

Hệ thống cơ sở dữ liệu của công ty đã được phân quyền sử dụng rõ ràng nhằm bảo vệ tính bí mật của thông tin Điều này giúp ngăn chặn việc truy cập trái phép từ những người không có liên quan đến hoạt động của công ty.

Công ty cung cấp mật khẩu riêng cho từng nhân viên, giúp bảo vệ dữ liệu và thông tin khỏi bị đánh cắp Việc cấp mật khẩu cho nhân viên khi đăng nhập vào các hệ thống và chương trình của công ty đảm bảo tính an toàn và riêng tư, ngăn chặn truy cập trái phép vào cơ sở dữ liệu từ những người không có liên quan.

Cơ chế sao lưu dữ liệu định kỳ giúp doanh nghiệp giảm thiểu tổn thất khi xảy ra sự cố như hỏng hóc, sửa đổi hoặc xóa thông tin.

Cơ sở hạ tầng CNTT của công ty hiện tại hoàn toàn đủ khả năng để tin học hóa hệ thống thông tin quản lý dự án Hệ thống này hỗ trợ hiệu quả các phần mềm ứng dụng và đáp ứng tốt nhu cầu lưu trữ cũng như xử lý thông tin liên quan đến dự án.

Công ty có riêng đội ngũ nhân viên chuyên trách về CNTT đạt trình độ đại học.

Tất cả nhân viên trong công ty đều thành thạo sử dụng máy tính và được trang bị kiến thức cơ bản về an toàn thông tin, đồng thời tuân thủ nghiêm ngặt các chính sách quy định của công ty.

Một số nhược điểm về an toàn và bảo mật dữ liệu trong HTTT của công ty Cổ phần Công nghệ SAVIS:

Hệ thống hạ tầng công nghệ thông tin của SAVIS hiện tại chỉ đáp ứng nhu cầu tối thiểu và còn khá thô sơ Mạng lưới kết nối độc lập và thiếu tính tập trung, dẫn đến nguy cơ rủi ro và mất an toàn thông tin Tài nguyên CNTT phân tán và độc lập là nguyên nhân chính gây lãng phí nguồn lực công nghệ trong SAVIS.

Việc kết nối giữa các phòng ban và thành viên vẫn còn hạn chế, dẫn đến việc triển khai phần mềm ứng dụng một cách đơn lẻ Sự thiếu kết nối và trao đổi dữ liệu chung giữa các phòng ban làm giảm độ chính xác của thông tin, gây ra tình trạng trùng lặp và khó xác định.

Công tác quản trị điều hành đang đối mặt với nhiều thách thức, đặc biệt là việc chậm tiến độ do quá trình tổng hợp và trích xuất dữ liệu từ nhiều nguồn diễn ra thủ công Điều này dẫn đến mức độ an toàn, chính xác và nhất quán của dữ liệu không cao, đồng thời tiêu tốn nhiều thời gian và công sức cho các đơn vị phòng ban trong việc tổng hợp thông tin.

Hiện nay, hệ quản trị CSDL SQL Server 2008 không còn phù hợp với nhu cầu của doanh nghiệp do chỉ hỗ trợ cơ sở dữ liệu nhỏ và sao lưu không thường xuyên Công ty SAVIS cung cấp phần mềm với nhiều công cụ và dữ liệu được cập nhật liên tục, yêu cầu một hệ quản trị CSDL có khả năng xử lý dữ liệu lớn và sao lưu thường xuyên Hệ quản trị SQL Server 2008 cũng gặp khó khăn khi không cho phép rollback trong trường hợp thao tác bị lỗi, đồng thời chỉ hoạt động trên nền tảng Windows, hạn chế khả năng mở rộng hệ thống Do đó, doanh nghiệp cần xem xét giải pháp chuyển đổi sang một hệ quản trị CSDL mới để đáp ứng yêu cầu phát triển.

Việc công ty chưa lưu trữ dữ liệu bằng điện toán đám mây có thể dẫn đến nguy cơ mất mát, đánh cắp và rò rỉ thông tin, tạo điều kiện cho kẻ xấu dễ dàng truy cập Do đó, công ty nên xem xét bổ sung và kết hợp lưu trữ dữ liệu qua điện toán đám mây để nâng cao hiệu quả và an toàn cho hệ thống thông tin.

ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS

CỔ PHẦN CÔNG NGHỆ SAVIS 3.1 Định hướng phát triển an toàn cho HTTT của công ty Cổ phần Công nghệ SAVIS

Cuộc cách mạng 4.0 đã ảnh hưởng sâu rộng đến mọi lĩnh vực trong đời sống Để không bị tụt lại phía sau trong xu thế phát triển nhanh chóng này, Công ty Cổ phần Công nghệ SAVIS cần phải đổi mới toàn diện trong kinh doanh Đồng thời, nhân viên SAVIS cũng cần được đào tạo nâng cao trình độ và liên tục cập nhật kiến thức để thích ứng với công nghệ mới.

Cuộc cách mạng công nghệ 4.0 mở ra cơ hội tiếp cận công nghệ hiện đại, giúp doanh nghiệp nâng cao năng lực sản xuất và cạnh tranh Tài nguyên thông tin phong phú và minh bạch mang lại hiệu quả trong quản lý và điều hành, đồng thời tạo ra nhiều cơ hội đầu tư và thay đổi mô hình kinh doanh lạc hậu, đáp ứng nhu cầu của nền kinh tế công nghiệp hiện đại.

Công ty Cổ phần Công nghệ SAVIS hiểu rằng việc không theo kịp sự phát triển của khu vực và thế giới sẽ dẫn đến nhiều thách thức và ảnh hưởng tiêu cực.

Sự phát triển nhanh chóng của công nghệ thông tin và Internet đã đặt ra thách thức lớn về an toàn và bảo mật thông tin trong môi trường trực tuyến Đảm bảo an toàn dữ liệu là nhiệm vụ quan trọng, ảnh hưởng trực tiếp đến sự duy trì và phát triển của hệ thống thông tin, đồng thời quyết định tính sống còn của các sản phẩm và dịch vụ trong nhiều lĩnh vực.

Để tránh rủi ro trong quá trình vận hành hệ thống thông tin, các tổ chức và doanh nghiệp ngày càng chú trọng đến việc đảm bảo an toàn thông tin.

Công ty Cổ phần Công nghệ SAVIS, với quy mô vừa và nhỏ, đang trong quá trình phát triển và mở rộng Để tồn tại và phát triển trong môi trường cạnh tranh khốc liệt hiện nay, SAVIS cần xác định các bước đi đúng đắn trong việc ứng dụng công nghệ thông tin, nhằm theo kịp sự phát triển của xã hội và đảm bảo an toàn, bảo mật hệ thống thông tin Trong giai đoạn tới, công ty sẽ tiếp tục tập trung đầu tư vào các lĩnh vực quan trọng.

Để nâng cao khả năng cạnh tranh và uy tín trên thị trường, việc đảm bảo an toàn và bảo mật thông tin trong hệ thống là rất quan trọng Điều này bao gồm việc bảo vệ hồ sơ khách hàng, thông tin đối tác, chiến lược kinh doanh và các hoạt động nội bộ của công ty.

Thứ hai, xây dựng máy chủ CSDL để đáp ứng tốt nhu cầu lưu trữ của công ty.

Để nâng cao bảo mật hệ thống, cần tập trung đầu tư vào cả phần cứng và phần mềm Việc sử dụng các phần mềm chuyên dụng kết hợp với phần cứng sẽ giúp giảm thiểu rủi ro mất dữ liệu và tăng cường an ninh cho toàn bộ hệ thống.

Để nâng cao chất lượng nguồn nhân lực CNTT, công ty tổ chức các lớp bồi dưỡng hàng quý cho cán bộ nhân viên về an toàn bảo mật dữ liệu và thông tin Việc này không chỉ tăng cường hiệu quả công việc mà còn giúp giảm thiểu sai sót do sự chủ quan của người dùng.

3.2 Các đề xuất nhằm nâng cao an toàn và bảo mật cơ sở dữ liệu cho hệ thống thông tin của Công ty Cổ phần Công nghệ SAVIS

3.2.1 Giải pháp xây dựng Hạ tầng CNTT

Hệ thống hạ tầng công nghệ của Công ty hiện tại chỉ đáp ứng nhu cầu tối thiểu và còn khá thô sơ Để cải thiện tình hình, cần xây dựng và nâng cấp hệ thống máy chủ nhằm phù hợp với các ứng dụng trong hệ thống mới.

Phòng máy chủ được xây dựng theo tiêu chuẩn Data Center TIER 2, đảm bảo đạt mức uptime 99.75% Để đạt được tiêu chuẩn này, phòng máy chủ được trang bị hệ thống làm mát hiệu quả, nguồn điện dự phòng ổn định và hệ thống phòng cháy chữa cháy (PCCC) đạt chuẩn.

Hệ thống máy chủ và lưu trữ đạt dung lượng cao (30TB – 100TB)

Cơ chế backup theo chiến lược 2+1: trong đó hai bản ghi chính và một bản ghi phụ được backup song song.

Hệ thống chuyển mạch đạt tốc độ cao (40 Gbps).

Hệ thống cân bằng tải luôn đảm bảo cho máy chủ và ứng dụng đạt tốc độ ổn định và hiệu suất cao.

Kênh băng thông riêng cung cấp kết nối trực tiếp đến các dịch vụ máy chủ và ứng dụng, giúp toàn bộ hệ thống xử lý nhiều kết nối đồng thời một cách hiệu quả.

3.2.2 Giải pháp xây dựng Hệ quản trị CSDL

Một hệ quản trị cơ sở dữ liệu (CSDL) cần phải quản lý hiệu quả một khối lượng lớn dữ liệu trong môi trường nhiều người dùng, cho phép truy xuất đồng thời đến cùng một đơn vị dữ liệu Hệ thống phải đảm bảo tốc độ cao và an toàn, đồng thời có khả năng chống lại truy cập trái phép và khôi phục dữ liệu khi gặp sự cố.

Hệ quản trị CSDL SQL Server 2008 không đáp ứng yêu cầu sao lưu dữ liệu thường xuyên và nâng cấp dữ liệu trong tương lai của công ty Để giải quyết vấn đề này, công ty nên xem xét sử dụng hệ quản trị CSDL Oracle Dưới đây là bảng so sánh một số đặc điểm giữa SQL Server 2008 và Oracle Database.

Bảng 1: So sánh hệ quản trị CSDL SQL Server 2008 và Oracle Database

Hệ quản trị CSDL SQL Server 2008 Hệ quản trị CSDL Oracle

Ngôn ngữ Sử dụng Transact SQL (T-SQL), là phần mở rộng của SQL được phát triển bởi Sybase và được Microsoft sử dụng

Oracle sử dụng Procedural Language/SQL (PL/SQL).

PL/SQL là phức tạp nhưng lại có tiềm năng mạnh mẽ hơn Kiểm soát giao dịch

SQL Server thực thi và cam kết từng lệnh một cách riêng lẻ, điều này gây khó khăn trong việc hoàn tác các thay đổi nếu xảy ra lỗi trong quá trình thực hiện.

Ngày đăng: 18/10/2022, 16:31

HÌNH ẢNH LIÊN QUAN

truyền hình: Frogbywyplay và Wtvision. Đây là bước đi chiến lược của SAVIS với mục tiêu từng bước tiếp cận và phát triển mảng dịch vụ truyền hình số tại thị trường Việt Nam. - (Luận văn đại học thương mại) giải pháp đảm bảo an toàn cơ sở dữ liệu tại công ty cổ phần công nghệ SAVIS
truy ền hình: Frogbywyplay và Wtvision. Đây là bước đi chiến lược của SAVIS với mục tiêu từng bước tiếp cận và phát triển mảng dịch vụ truyền hình số tại thị trường Việt Nam (Trang 20)
1.4. Tình hình hoạt động kinh doanh - (Luận văn đại học thương mại) giải pháp đảm bảo an toàn cơ sở dữ liệu tại công ty cổ phần công nghệ SAVIS
1.4. Tình hình hoạt động kinh doanh (Trang 23)
Bảng 2: So sánh một số đặc trưng của của các dịch vụ lưu trữ - (Luận văn đại học thương mại) giải pháp đảm bảo an toàn cơ sở dữ liệu tại công ty cổ phần công nghệ SAVIS
Bảng 2 So sánh một số đặc trưng của của các dịch vụ lưu trữ (Trang 34)
Bảng 2.9: Cơ cấu hàng nhập khẩu chia theo loại hình - (Luận văn đại học thương mại) giải pháp đảm bảo an toàn cơ sở dữ liệu tại công ty cổ phần công nghệ SAVIS
Bảng 2.9 Cơ cấu hàng nhập khẩu chia theo loại hình (Trang 42)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN