Ý nghĩa và tầm quan trọng của đề tài
Trong bối cảnh nền kinh tế phát triển nhanh chóng, thông tin và dữ liệu trở thành yếu tố then chốt cho mọi lĩnh vực, đặc biệt là kinh tế Việc ứng dụng công nghệ thông tin giúp tổ chức và cá nhân nắm bắt thông tin chính xác, từ đó đưa ra các quyết định đúng đắn để phát triển bền vững Tuy nhiên, để tận dụng tối đa lợi thế này, doanh nghiệp cần xây dựng hệ thống thông tin an toàn và bảo mật, vì sự cố mất an toàn có thể gây tổn thất nghiêm trọng Trước nguy cơ rò rỉ thông tin và các lỗ hổng trong hệ thống, việc áp dụng các giải pháp bảo mật là vô cùng cần thiết Đặc biệt đối với các doanh nghiệp cung cấp dịch vụ CNTT như Công ty TNHH AI Việt Nam, bảo mật thông tin khách hàng và dữ liệu công ty là ưu tiên hàng đầu Mặc dù đã tìm hiểu một số biện pháp bảo mật tại công ty, nhận thấy rằng tính an toàn chưa đáp ứng yêu cầu, tôi quyết định nghiên cứu đề tài khóa luận: “Một số giải pháp nhằm đảm bảo tính an toàn bảo mật trong hệ thống thông tin tại Công ty TNHH AI Việt Nam.”
Mục tiêu và nhiệm vụ nghiên cứu
Thông tin là tài sản quý giá của tổ chức và doanh nghiệp, nhưng sự mất an toàn thông tin có thể gây ra thiệt hại nghiêm trọng cho cả người dùng lẫn tổ chức Với sự phát triển mạnh mẽ của Internet, việc truy cập thông tin trở nên dễ dàng, đồng nghĩa với nguy cơ tấn công an toàn thông tin ngày càng tăng Nhiều cá nhân trong tổ chức thường không nhận thức được những hậu quả nghiêm trọng này Do đó, đề tài khóa luận này được thực hiện nhằm mục tiêu nâng cao nhận thức và đề xuất giải pháp bảo vệ an toàn thông tin.
- Tổng hợp và hệ thống lại một số lý thuyết liên quan đến an toàn dữ liệu và bảo mật hệ thống
- Phân tích và đánh giá thực trạng an toàn bảo mật trong HTTT tại Công ty TNHH AI Việt Nam
Bài viết này tập trung vào việc phân tích và đánh giá thực trạng an toàn bảo mật trong hệ thống thông tin của Công ty AI Việt Nam Dựa trên những nghiên cứu này, chúng tôi sẽ đề xuất một số giải pháp và kiến nghị nhằm phòng chống và khắc phục các nguy cơ có thể gây mất an toàn dữ liệu cũng như bảo mật hệ thống cho công ty.
Phương pháp nghiên cứu
1.4.1 Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu bao gồm việc tìm hiểu và thu thập thông tin liên quan đến đề tài nghiên cứu thông qua các nguồn tài liệu như sách, báo, văn bản và các phương tiện thông tin trên Internet.
Phương pháp sử dụng phiếu điều tra
- Nội dung: Bảng câu hỏi gồm 30 câu hỏi về các vấn đề liên quan trực tiếp đến an toàn bảo mật hệ thống thông tin của công ty.
- Cách thức tiến hành: Phiếu được phát cho 20 nhân viên trong công ty để thu thập ý kiến.
Mục đích của nghiên cứu này là thu thập thông tin chính xác về an toàn bảo mật hệ thống thông qua cái nhìn và ý kiến của nhân viên trong công ty Việc lắng nghe quan điểm của nhân viên sẽ giúp đánh giá thực trạng bảo mật và xác định những điểm cần cải thiện.
Phương pháp thu thập dữ liệu thứ cấp
Dữ liệu thứ cấp là các thông tin đã được thu thập và xử lý trước đó dùng cho các mục tiêu khác nhau của công ty.
Tài liệu nội bộ công ty bao gồm báo cáo tài chính và báo cáo kết quả kinh doanh trong ba năm gần đây (2014, 2015, 2016) được cung cấp thông qua phòng kinh doanh và phòng hành chính, kế toán.
Tài liệu bên ngoài bao gồm thông tin được thu thập từ sách, tạp chí chuyên ngành, các công trình nghiên cứu khoa học và nhiều nguồn thông tin khác trên Internet.
Sau khi thu thập đầy đủ thông tin cần thiết, chúng ta tiến hành phân loại và hệ thống hóa dữ liệu để kiểm tra sự thiếu sót Việc này giúp kịp thời bổ sung những thông tin còn thiếu, từ đó phục vụ cho quá trình xử lý và phân tích dữ liệu hiệu quả hơn.
1.4.2 Phương pháp phân tích và xử lý dữ liệu
Sau khi thu thập đầy đủ tài liệu xác thực liên quan đến vấn đề nghiên cứu, chúng ta sẽ tiến hành xử lý và phân tích các tài liệu đó bằng nhiều phương pháp khác nhau.
Phương pháp định tính bao gồm việc phân tích và tổng hợp thông tin thông qua phỏng vấn, phiếu điều tra và tài liệu thu thập được Đối với dữ liệu số có thể phân tích và định lượng, chúng ta sử dụng Excel để làm rõ các thuộc tính và bản chất của hiện tượng, cũng như làm sáng tỏ các khía cạnh nguyên nhân của vấn đề Phương pháp này thường được áp dụng để tạo ra bảng số liệu thống kê, biểu đồ và đồ thị.
Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
SPSS là một phần mềm phân tích thống kê mạnh mẽ, được phát triển bởi SPSS Inc., cho phép người dùng thực hiện phân tích theo lô và không theo lô một cách logic Phần mềm này cung cấp hệ thống quản lý dữ liệu và phân tích thống kê trong môi trường đồ họa thân thiện, với các trình đơn mô tả và hộp thoại dễ sử dụng SPSS hỗ trợ người dùng trong việc thực hiện các phân tích như hồi quy, thống kê tần suất và xây dựng đồ thị một cách hiệu quả.
Kết cấu khóa luận
Ngoài lời cảm ơn, phần mở đầu, bài khóa luận bao gồm các chương như sau:
Chương 1: Cơ sở lý luận về an toàn và bảo mật thông tin
Chương 2: Thực trạng an toàn bảo mật hệ thống thông tin tại công ty TNHH AI Việt Nam
Chương 3: Định hướng phát triển và đề xuất phải pháp đảm bảo an toàn bảo mật hệ thống thông tin cho công ty TNHH AI Việt Nam
CƠ SỞ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1 1.1 Cơ sở lý luận về hệ thống thông tin
Các khái niệm cơ bản
Trong bối cảnh nhu cầu trao đổi thông tin và dữ liệu ngày càng tăng cao và đa dạng, sự phát triển mạnh mẽ của điện tử viễn thông và công nghệ thông tin đã thúc đẩy quá trình này Điều này không chỉ giúp việc truyền tải thông tin trở nên nhanh chóng và kịp thời hơn, mà còn nâng cao chất lượng và lưu lượng truyền tin.
Theo Bài giảng Hệ thống thông tin quản lý của trường Đại học Thương Mại:
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.
Dữ liệu ban đầu thường là những giá trị thô, chưa có ý nghĩa rõ ràng đối với người sử dụng Nó có thể bao gồm các giá trị mà không thể xác định mối liên hệ giữa chúng Tuy nhiên, thông qua quá trình xử lý, phân tích và đánh giá, dữ liệu sẽ được chuyển đổi thành thông tin hữu ích, phục vụ cho nhiều mục đích khác nhau của con người.
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như: văn bản, âm thanh hay hình ảnh.
Cơ sở dữ liệu là một tập hợp dữ liệu có tổ chức và liên quan, được lưu trữ trên các phương tiện như đĩa từ và băng từ Nó phục vụ cho việc khai thác thông tin đồng thời từ nhiều người dùng và các chương trình ứng dụng khác nhau.
Thông tin là sự hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….
Thông tin là kết quả của việc xử lý dữ liệu, mang lại ý nghĩa thực sự cho người sử dụng Nó được xem như một sản phẩm hoàn chỉnh, hình thành từ quá trình biến đổi và phân tích dữ liệu.
Hệ thống thông tin bao gồm phần cứng, phần mềm và mạng truyền thông, được thiết kế để thu thập, tái tạo, phân phối và chia sẻ dữ liệu, thông tin và tri thức, phục vụ cho các mục tiêu của tổ chức.
Vai trò của HTTT đối với doanh nghiệp
Hệ thống thông tin đóng vai trò trung gian quan trọng giữa các công ty và môi trường xã hội, nằm ở trung tâm của doanh nghiệp Nó hỗ trợ quá trình thu thập, xử lý và cung cấp thông tin một cách hiệu quả Vai trò của hệ thống thông tin thể hiện rõ ràng qua hai khía cạnh: bên trong và bên ngoài doanh nghiệp.
Hệ thống thông tin đóng vai trò quan trọng trong việc thu thập dữ liệu từ môi trường bên ngoài và truyền tải thông tin từ doanh nghiệp ra bên ngoài Các thông tin này bao gồm giá cả, sức lao động, thị hiếu tiêu dùng, nhu cầu mặt hàng, lạm phát và các chính sách của chính phủ.
Hệ thống thông tin nội bộ của doanh nghiệp là cầu nối quan trọng giữa các bộ phận, giúp thu thập và cung cấp thông tin cần thiết cho các mục tiêu khác nhau Nó bao gồm thông tin về hoạt động sản xuất, kinh doanh, trình độ quản lý, chính sách nội bộ, mua sắm, xuất nhập khẩu hàng hóa, cũng như thông tin về bán hàng, doanh thu và tài chính.
Tác động của HTTT đối với doanh nghiệp
Hệ thống thông tin có ba tác động chính đối với doanh nghiệp:
Hệ thống thông tin đóng vai trò quan trọng trong việc nâng cao khả năng cạnh tranh của doanh nghiệp bằng cách tối ưu hóa quy trình điều hành, giảm chi phí và giá thành sản phẩm Ngoài ra, nó còn giúp rút ngắn khoảng cách và tăng cường kết nối giữa doanh nghiệp với khách hàng và nhà cung cấp, từ đó cải thiện mối quan hệ và nâng cao hiệu quả kinh doanh.
Hệ thống thông tin toàn diện hỗ trợ doanh nghiệp trong việc ra quyết định bằng cách cung cấp cái nhìn tổng quát về tình hình sản xuất, kinh doanh và tài chính Nhờ đó, các nhà quản trị có thể đưa ra những quyết định kinh doanh chính xác, phù hợp và hiệu quả hơn.
Hệ thống thông tin hỗ trợ hiệu quả trong nghiệp vụ và hoạt động kinh doanh bằng cách lưu trữ một khối lượng lớn thông tin cần thiết, bao gồm dữ liệu về khách hàng, nhà cung cấp, sản phẩm, giá bán, nhãn mác và chi phí Điều này giúp các doanh nghiệp thực hiện nghiệp vụ một cách trơn tru, tiết kiệm thời gian và nâng cao hiệu quả hoạt động.
Hệ thống thông tin là công cụ quan trọng giúp doanh nghiệp phát triển, nâng cao giá trị thương hiệu và tối ưu hóa vị thế cạnh tranh trên thị trường, cả ở Việt Nam và quốc tế Do đó, nó đóng vai trò thiết yếu và không thể thiếu cho mỗi doanh nghiệp.
Cơ sở lý luận về an toàn bảo mật
1.2.1 Một số khái niệm cơ bản
Thông tin đóng vai trò quan trọng trong sự phát triển của công ty, đặc biệt trong thời đại công nghệ Do đó, việc bảo mật thông tin trở nên cần thiết để giảm thiểu rủi ro và tận dụng tối đa dữ liệu nhằm xây dựng các chiến lược và chính sách phát triển hiệu quả cho doanh nghiệp.
An toàn thông tin được định nghĩa là trạng thái mà thông tin không bị hư hỏng, sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi các cá nhân không có quyền truy cập.
Sự an toàn của hệ thống thông tin là việc đảm bảo an toàn tin học ở mức độ chấp nhận được Một hệ thống thông tin được coi là an toàn khi các sự cố xảy ra không làm gián đoạn hoạt động chính của nó, đồng thời có khả năng khắc phục kịp thời mà không gây thiệt hại nghiêm trọng cho chủ sở hữu.
Bảo mật thông tin không chỉ đảm bảo tính an toàn mà còn giữ vai trò quan trọng tương đương trong việc bảo vệ dữ liệu Một hệ thống được coi là bảo mật khi tính riêng tư của thông tin được duy trì theo các tiêu chí nhất định trong khoảng thời gian xác định.
Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn và tính sẵn sáng của thông tin
Hình 1.1: Tam giác bảo mật C.I.A
Tính bí mật là yếu tố quan trọng trong việc bảo vệ thông tin, đảm bảo rằng chỉ những người được cấp quyền mới có thể truy cập vào tài nguyên Việc giới hạn quyền truy cập giúp duy trì sự an toàn và bảo mật cho thông tin, ngăn chặn việc lạm dụng hoặc rò rỉ dữ liệu.
Tính toàn vẹn (Integrity) là việc đảm bảo rằng thông tin chỉ có thể bị xóa hoặc sửa đổi bởi những người được cấp quyền, đồng thời thông tin phải được duy trì chính xác khi lưu trữ hoặc truyền tải.
Tính sẵn sàng (Availability): Đảm bảo tính sẵn sàng của thông tin, thông tin có thể truy xuất bất cứ khi nào bởi những người được cấp quyền.
An toàn và bảo mật hệ thống thông tin đảm bảo sự lưu thông và bảo vệ nội dung bí mật cho các thành phần của hệ thống ở mức độ chấp nhận được.
1.2.2 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
Thông tin là tài sản vô giá, quyết định sự phát triển và thành bại của doanh nghiệp Quản lý thông tin thông qua hệ thống thông tin là yếu tố thiết yếu, vì vậy việc bảo đảm an toàn cho hệ thống này là rất quan trọng Đảm bảo an toàn và bảo mật thông tin không chỉ giúp doanh nghiệp phát triển bền vững mà còn góp phần vào sự thành công lâu dài.
Máy tính phát triển nhanh chóng để đáp ứng nhu cầu người dùng, dẫn đến việc các phiên bản mới liên tục ra mắt với nhiều tính năng bổ sung Tuy nhiên, điều này cũng đồng nghĩa với việc phần mềm thường không được kiểm tra kỹ lưỡng trước khi phát hành, khiến chúng chứa nhiều lỗ hổng dễ bị khai thác.
Sự phát triển của hệ thống mạng và sự phân tán thông tin đã tạo điều kiện thuận lợi cho người dùng tiếp cận thông tin, nhưng cũng đồng thời mở ra nhiều cơ hội tấn công cho tin tặc Những thách thức này khiến cho việc đảm bảo an toàn bảo mật cho hệ thống thông tin của doanh nghiệp trở nên khó khăn hơn.
Việc xây dựng hệ thống thông tin hiện đại không chỉ đáp ứng nhu cầu của các cơ quan, tổ chức mà còn yêu cầu bảo vệ hệ thống này để đảm bảo hoạt động ổn định và tin cậy An toàn và bảo mật thông tin là yếu tố thiết yếu trong mọi tổ chức, đóng vai trò quan trọng cho sự phát triển bền vững của doanh nghiệp Đối với mỗi doanh nghiệp, thông tin được xem như tài sản vô giá.
Xây dựng một hệ thống thông tin an toàn giúp quản lý trở nên rõ ràng và minh bạch, đồng thời giảm thiểu chi phí hoạt động và nâng cao uy tín doanh nghiệp Một môi trường thông tin an toàn không chỉ bảo vệ tài sản và con người mà còn hỗ trợ doanh nghiệp trong việc hội nhập và phát triển Do đó, đảm bảo an toàn thông tin là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp.
1.2.3 Những yếu tố gây ảnh hưởng đến an toàn bảo mật trong hệ thống thông tin doanh nghiệp
1.2.3.1 Các mối đe dọa đến hệ thống thông tin trong doanh nghiệp
Phá hoại: Đây là hoạt động nhằm phá hoạt các phần cứng hoặc phần mềm trên hệ thống.
Tài sản thông tin và dữ liệu có thể bị thay đổi trái phép khi không tuân thủ quy định hoặc do các cuộc tấn công của tin tặc, dẫn đến việc thay đổi nội dung dữ liệu.
Can thiệp là hiện tượng tài sản bị truy cập trái phép bởi những cá nhân không có thẩm quyền, dẫn đến việc đánh cắp tài khoản hoặc mật khẩu Hành vi này cho phép kẻ xấu mạo danh và can thiệp vào hệ thống, gây ra những rủi ro nghiêm trọng cho an ninh thông tin.
1.2.3.2 Các nhân tố tác động đến an toàn bảo mật hệ thống Để đánh giá một HTTT cần xét đến nhiều yếu tố bên trong và bên ngoài hệ thống Tuy nhiên, cần xét đến hai nhân tố chính mang tính quyết định hơn cả là con người và công nghệ.
Tổng quan về tình hình nghiên cứu
An toàn thông tin tại Việt Nam và trên thế giới đang trở nên phức tạp và nguy hiểm hơn bao giờ hết, với các cuộc tấn công mạng ngày càng quy mô và tinh vi Mục tiêu tấn công đã chuyển từ cá nhân sang các tập đoàn lớn và hệ thống thông tin quan trọng của quốc gia Vấn đề này đang thu hút sự quan tâm lớn từ các nhà nghiên cứu, dẫn đến nhiều công trình nghiên cứu vĩ đại nhằm tìm ra giải pháp và nâng cao an ninh mạng Dưới đây là một số tên tuổi tiêu biểu đã đóng góp cho sự phát triển của an toàn bảo mật hệ thống.
1.3.1 Tình hình nghiên cứu trong nước Đơn vị: %
Sơ đồ 1.1: Chỉ số an toàn thông tin giai đoạn 2013-1017
(Nguồn: Cục an toàn thông tin)
Trong năm năm qua, chỉ số an toàn thông tin đã tăng từ 37,3% vào năm 2013 lên 59,9% vào năm 2016, mặc dù năm 2017 ghi nhận sự giảm nhẹ 5,7% so với năm trước Điều này cho thấy an toàn thông tin đang được chú trọng không chỉ bởi các tổ chức và doanh nghiệp mà còn bởi các nhà nghiên cứu Dưới đây là một số công trình nghiên cứu tiêu biểu trong những năm gần đây.
PGS TS Nguyễn Tùng Hưng (2016) đã trình bày trong báo cáo khoa học về mô hình huấn luyện, đào tạo và nghiên cứu an toàn, an ninh thông tin tại thao trường mạng trong Hội thảo Ngày An toàn Thông tin năm 2016 Mô hình này nhấn mạnh tầm quan trọng của việc nâng cao nhận thức và kỹ năng trong lĩnh vực an ninh mạng để bảo vệ thông tin hiệu quả.
Báo cáo khoa học đã trình bày một hệ thống ảo hóa mô phỏng các hệ thống mạng quan trọng của các tổ chức và doanh nghiệp, bao gồm máy chủ, máy trạm, thiết bị mạng và hệ thống phòng vệ an ninh mạng Nó cũng đề xuất các giải pháp an ninh mạng và phân tích hoạt động của mã độc, cung cấp cái nhìn chi tiết về vấn đề đảm bảo an ninh mạng hiện nay Tuy nhiên, một số điểm trong báo cáo chưa hoàn toàn phù hợp với điều kiện phát triển và công nghệ hiện tại của nước ta, cho thấy cần có những dự án dài hạn để nâng cao an ninh mạng quốc gia.
Nguyễn Minh Quang (2012) đã thực hiện một luận văn thạc sĩ nghiên cứu về các giải pháp an toàn và bảo mật thông tin trong giao dịch thương mại điện tử Nghiên cứu này được thực hiện tại Học viện Công nghệ Bưu chính Viễn thông, nhằm nâng cao nhận thức và cải thiện các biện pháp bảo vệ thông tin trong lĩnh vực thương mại điện tử.
Bài luận văn tập trung phân tích và giải thích chi tiết về chữ ký số trong thương mại điện tử, đồng thời đề xuất các phương pháp bảo mật và kỹ thuật nhằm đảm bảo an toàn trong các giao dịch điện tử thông qua chữ ký điện tử Tuy nhiên, bài viết vẫn còn hạn chế khi chỉ đi sâu vào khía cạnh chữ ký số mà chưa khai thác đầy đủ các yếu tố liên quan đến việc đảm bảo an toàn thông tin trong giao dịch thương mại điện tử.
- Lê Trung Thành và các tác giả (2014), Bài giảng an toàn và bảo mật thông tin, Đại học Tài Nguyên và Môi Trường.
Bài giảng cung cấp các khái niệm cơ bản về an toàn bảo mật thông tin, tập trung vào mã hóa và thiết lập an ninh mạng Nó cũng nêu rõ các nguy cơ tấn công và biện pháp bảo vệ thông tin trong quá trình truyền tải trên mạng, giúp các doanh nghiệp áp dụng vào hệ thống của mình Tuy nhiên, giáo trình vẫn có một số hạn chế khi chưa đi sâu vào các khía cạnh nâng cao của mạng và máy tính, cũng như chưa trình bày rõ ràng cách ứng dụng an toàn và bảo mật thông tin vào thực tiễn.
1.3.2 Tình hình thế giới Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông tin nói chung Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh nghiệp lớn nhỏ, các tổ chức, chính phủ.
Các công trình nghiên cứu tiêu biểu:
- Charlie Kaufman (2016), Netwwork security: Priviate communication in a public world, Hội thảo RSA Conference US 2016.
Bài nghiên cứu này cung cấp hướng dẫn chi tiết về an ninh mạng và Internet, được cập nhật để đối phó với các mối đe dọa bảo mật hiện đại Nó giải thích mọi khía cạnh của bảo mật thông tin, từ những nguyên tắc cơ bản đến các kỹ thuật mã hóa và xác thực nâng cao, cũng như dịch vụ email và web an toàn Bài báo cũng đề cập đến các tiêu chuẩn bảo mật mới nổi, như Tiêu chuẩn mã hóa nâng cao (AES), IPsec, SSL, Tiêu chuẩn PKI và bảo mật web, nhằm nâng cao nhận thức và thực hành an ninh mạng.
- James Kurose, Keith Ross, Computer networking: A Top- Down Approach, Hội thảo Defcam 2014.
Mạng máy tính: Nghiên cứu này giới thiệu phương pháp tiếp cận từ trên xuống, phân lớp đến mạng máy tính, tập trung vào việc truyền tải thông tin từ lớp ứng dụng xuống lớp vật lý Phương pháp này dựa trên truyền thống phân lớp, giúp người dùng dễ dàng hiểu các vấn đề cơ bản của mạng và Internet Đây là nền tảng tuyệt vời cho những ai quan tâm đến khoa học máy tính và kỹ thuật điện mà không yêu cầu kiến thức sâu rộng về lập trình hay toán học.
KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM
Tổng quan về công ty TNHH AI Việt Nam
Tên doanh nghiệp: Công ty TNHH AI Việt Nam Tên giao dịch: AI VIET NAM CO.,LTD
Mã số thuế: 0101511882 Địa chỉ: 118C, Hoàng Quốc Việt, Cầu Giấy, Hà Nội. Điện thoại: 04 22466776 Fax: 04 37931598
Email: aivietnam@aivietnam.net Website: http://aivietnam.net
Công ty TNHH AI Việt Nam, trước đây là công ty TNHH Trí Tuệ Nhân Tạo, được thành lập vào ngày 24/10/2003, chuyên cung cấp các giải pháp công nghệ thông tin hiệu quả cho quản lý nhà nước và doanh nghiệp AI Việt Nam đã hợp tác với nhiều đối tác lớn từ các bộ ngành nhà nước như Bộ Nội vụ, Bộ Nông nghiệp và Phát triển Nông thôn, Bộ Giáo dục, cũng như các doanh nghiệp khác.
Tập đoàn FPT, Tập đoàn VNPT, Ngân hàng VIB, BIDV, VietinBank,…
Chặng đường mà AI Việt Nam đã đạt được trong 15 năm vừa qua:
Năm 2003: Thành lập công ty TNHH Trí Tuệ Nhân Tạo (nay là công ty AI Việt
Năm 2007, tôi đạt giải nhất cuộc thi Nhân Tài Đất Việt với đề tài "Giải pháp học trực tuyến và thi trực tuyến của AI Việt Nam ứng dụng cho việc nâng cao chất lượng đào tạo" Đồng thời, tôi hợp tác triển khai các kênh truyền hình và cổng thông tin du lịch với Tổng cục du lịch Việt Nam, và cung cấp nhân lực cho các công ty phần mềm như FPT Software.
Năm 2010-2011: Tiếp tục mở rộng hợp tác và kinh doanh; Cung cấp hệ thống kiến thức đến cộng đồng qua kênh: www.kienthucviet.vn
Năm 2014, chúng tôi đã đạt được kỷ niệm chương về ứng dụng công nghệ thông tin trong bảo tồn và phát huy bản sắc dân tộc, cùng với Giải thưởng Chu Văn An vì sự phát triển văn hóa giáo dục tại Việt Nam Chúng tôi cũng tiếp tục triển khai các dự án và gói thầu hợp tác với các đối tác.
Năm 2015, doanh nghiệp được VINASA vinh danh trong top 40 doanh nghiệp CNTT hàng đầu Việt Nam và nằm trong top 15 doanh nghiệp cung cấp giải pháp phần mềm cùng dịch vụ CNTT hàng đầu.
Năm 2016 - nay: Tiếp tục mở rộng kinh doanh, hợp tác với các đối tác trong và ngoài nước; Chú trọng phát triển đào tạo trực tuyến.
Sơ đồ cơ cấu tổ chức tại công ty TNHH AI Việt Nam
Sơ đồ 2.1: Sơ đồ cơ cấu tổ chức công ty TNHH AI Việt Nam
Trong đó, mỗi khối, phòng ban có chức năng cụ thể như sau:
Tổng giám đốc là người đứng đầu đại diện theo pháp luật của công ty, chịu trách nhiệm quản lý và điều hành mọi hoạt động sản xuất kinh doanh Ông/bà có quyền bổ nhiệm, miễn nhiệm và cách chức các chức danh quản lý trong công ty, đồng thời bảo vệ quyền lợi cho cán bộ nhân viên Tổng giám đốc quyết định lương và phụ cấp cho người lao động, cũng như phụ trách chung về các vấn đề tài chính, đối nội và đối ngoại của công ty.
Các phó tổng giám đốc: Là người giúp việc cho giám đốc, quản lý các khối công việc mà mình đảm nhận
Khối sản xuất phần mềm có trách nhiệm phát triển phần mềm theo yêu cầu của đối tác, đảm bảo chất lượng sản phẩm và thực hiện kiểm tra chất lượng Đồng thời, khối này cũng đảm nhận các dịch vụ đi kèm như chuyển giao và bảo trì sản phẩm.
Khối đào tạo và sản xuất nội dung: Đảm nhận nhiệm vụ đào tạo trực tuyến và đào tạo trực tiếp Sản xuất nội dung và thiết kế.
Khối dự án chịu trách nhiệm thực hiện các dự án và gói thầu, bao gồm lập kế hoạch, tổ chức thực hiện, quản lý và giám sát Mục tiêu là đảm bảo rằng dự án không xảy ra sai phạm, đáp ứng đúng yêu cầu của đối tác, phù hợp với ngân sách và hoàn thành đúng hạn.
Trong lĩnh vực kinh doanh-truyền thông, việc chăm sóc và duy trì mối quan hệ với các đối tác cũ là rất quan trọng, đồng thời cần tìm kiếm và thuyết phục khách hàng mới Công ty cũng cần tham gia đấu thầu và nhận các gói thầu, dự án để mở rộng hoạt động Việc ký kết hợp đồng và tiếp thu, xử lý ý kiến cũng như yêu cầu của khách hàng sẽ giúp nâng cao sự hài lòng và tạo dựng niềm tin lâu dài.
Phòng truyền thông đảm nhiệm việc biên tập thông tin công ty, lên kế hoạch tổ chức sự kiện và hỗ trợ kinh doanh thông qua phân tích đánh giá, nhằm thu hút khách hàng và xây dựng mối quan hệ bền vững.
Ban tài chính kế toán có nhiệm vụ thống kê và theo dõi tình hình tài chính của công ty, xác định vốn và biến động của các loại tài sản Đồng thời, bộ phận này cũng theo dõi hoạt động kinh doanh để cung cấp ý kiến cho giám đốc về hiệu quả hoạt động kinh doanh.
Ban nhân sự đóng vai trò quan trọng trong việc quản lý nhân viên, bao gồm các vấn đề liên quan đến tuyển dụng và đào tạo, đảm bảo quy trình tuyển dụng hiệu quả và phát triển kỹ năng cho nhân viên Ngoài ra, bộ phận này còn chịu trách nhiệm về tiền lương và thuế, đảm bảo tính chính xác và minh bạch trong việc chi trả Hơn nữa, các vấn đề liên quan đến bảo hiểm xã hội và trợ cấp đời sống cho nhân viên cũng được quản lý chặt chẽ, nhằm nâng cao phúc lợi và sự hài lòng của người lao động.
Văn phòng: Các hoạt động đoàn thể, giấy tờ, chứng từ liên quan đến hoạt động của công ty.
2.1.3 Lĩnh vực hoạt động của công ty TNHH AI Việt Nam
Công ty TNHH AI VIệt Nam hoạt động trong lĩnh vực CNTT với các hướng chính:
- Chuyên cung cấp các giải pháp hỗ trợ cho công tác quản lý trong nhà nước và doanh nghiệp.
- Đào tạo phát triển nội dung.
2.1.4 Tình hình hoạt động kinh doanh trong những năm gần đây
Trong những năm gần đây, AI tại Việt Nam đã phát triển mạnh mẽ và khẳng định vị thế vững chắc trên thị trường, đặc biệt trong lĩnh vực công nghệ thông tin Số lượng khách hàng của các công ty AI ngày càng gia tăng, bao gồm cả các đối tác từ các Sở, Ngành trong nhà nước và các tập đoàn lớn trong nước cũng như quốc tế.
Bảng 2.1: Bảng thống kê doanh thu
(Nguồn: Phòng kinh doanh- AI Việt Nam)
Tổng doanh thu qua các năm có sự biến động lớn, đặc biệt là vào năm 2015 khi doanh thu giảm 8 tỷ 519 triệu đồng, tương đương 14,93% so với năm 2014 Mặc dù doanh thu giảm, lợi nhuận sau thuế vẫn tăng nhẹ, đạt 2 tỷ đồng.
Trong năm 2015, giá trị tăng thêm 51 triệu đồng, đạt tổng cộng 711 triệu đồng, tương ứng với mức tăng 1,92% so với năm trước Sự biến động giá cả trên thị trường công nghệ trong giai đoạn 2014-2015 cho thấy sự thay đổi mạnh mẽ.
Sau giai đoạn khó khăn trên thị trường, vào năm 2016, công ty đã phục hồi và đạt được tổng doanh thu 58 tỷ 928 triệu đồng, tăng 3,24% so với năm trước.
Thực trạng an toàn bảo mật trong hệ thống thông tin tại công ty TNHH AI Việt Nam
Công ty AI Việt Nam chuyên cung cấp dịch vụ gia công và sản xuất phần mềm, đã đầu tư đầy đủ trang thiết bị cần thiết cho hoạt động sản xuất và kinh doanh Mỗi năm, công ty chi khoảng 135 triệu đồng cho việc bảo trì, sửa chữa và nâng cấp các thiết bị và hệ thống của mình.
Tất cả nhân viên trong công ty đều có kiến thức vững về CNTT phù hợp với vị trí công việc của mình Bên cạnh các bằng cấp đại học, mỗi nhân viên còn sở hữu chứng chỉ chuyên môn riêng, như nhân viên kỹ thuật test cần có chứng chỉ ISTQB, nhân viên IT cần chứng chỉ CNTT, và nhân viên hành chính-văn phòng cần chứng chỉ tin học.
Công ty sở hữu đội ngũ nhân viên chất lượng cao, được đào tạo bài bản, đặc biệt là khối kỹ thuật với chứng chỉ chứng nhận năng lực Tuy nhiên, công ty vẫn chưa có bộ phận chuyên trách cho an toàn bảo mật thông tin và hệ thống thông tin.
Việc thiếu đội ngũ chuyên trách an ninh thông tin đã dẫn đến những rủi ro lớn, khi không có cá nhân hay tổ chức nào chịu trách nhiệm cụ thể, làm giảm ý thức an toàn của nhân viên Do đó, cán bộ trong công ty cần có cái nhìn nghiêm túc về vấn đề này Việc đào tạo nhân viên về ý thức bảo mật và các biện pháp bảo vệ hệ thống là rất cần thiết Hơn nữa, thành lập một đội ngũ chuyên môn về an toàn thông tin là yếu tố quan trọng để nâng cao hiệu quả bảo mật cho hệ thống.
- Hệ thống máy chủ, máy trạm
Công ty đã đầu tư đầy đủ thiết bị phần cứng để tối ưu hóa quy trình sản xuất và cung cấp dịch vụ công nghệ thông tin, cũng như đào tạo hiệu quả Mỗi năm, công ty dành khoảng 100 triệu đồng cho việc thay mới, bảo trì và nâng cấp cơ sở hạ tầng CNTT và hệ thống thông tin Số lượng trang thiết bị trung bình tại mỗi phòng ban/bộ phận được quản lý chặt chẽ để đảm bảo hiệu suất làm việc tốt nhất.
STT Tên thiết bị Số lượng
Số lượng cần bổ sung/thay thế
1 Máy tính để bàn 12 Khá 4
2 Máy tính xách tay 8 Tốt 2
Bảng 2.2: Bảng thống kê số lượng thiết bị phần cứng trung bình trong mỗi phòng ban
(Nguồn: Kết quả xử lý phiếu điều tra)
Hệ thống máy chủ: Số lượng máy chủ 2 cái được cài đặt hệ điều hành linux.
Dell's PowerEdge servers are ideal for file storage for workstations, internet sharing on LAN networks, printer server services, and hosting small websites These machines are equipped with Intel Xeon 3400 series processors and run on Microsoft Windows Server, making them a versatile choice for various networking needs.
2008 R2, cung cấp những tính năng cần thiết cho hoạt động của công ty.
Công ty đã trang bị hệ thống máy trạm cho các phòng ban với máy tính để bàn Acer Veriton X480, sở hữu cấu hình mạnh mẽ gồm vi xử lý Intel Dual Core E8400 (3.0GHz, 800MHz FSB, 2MB Cache), bộ nhớ RAM 4GB DDR3 và ổ cứng SATA 160GB.
Ngoài ra, các máy tính cá nhân là do các nhân viên tự chuẩn bị.
Việc đầu tư vào trang thiết bị phần cứng đã giúp cải thiện hiệu quả công việc, tuy nhiên, chi phí cho việc nâng cấp và bổ sung thiết bị vẫn chưa hợp lý.
Kinh phí hạn hẹp và không có sự chênh lệch nhiều đã gây khó khăn trong việc thay đổi lắp đặt hệ thống máy tính Mặc dù hệ thống hoạt động ổn định, nhưng hiệu quả công việc chưa đạt tối ưu do thiết bị cũ và tình trạng nóng máy Những vấn đề này, cộng với yếu tố thời gian, dẫn đến tình trạng lỗi máy và treo máy, ảnh hưởng đến quá trình xử lý dữ liệu và đe dọa an toàn bảo mật thông tin, có nguy cơ hỏng hóc và mất mát dữ liệu.
Công ty sử dụng mạng LAN (Local Area Network) với cấu trúc vật lý bus Máy chủ được đặt tại vị trí an toàn, chỉ cho phép những người được phân quyền truy cập Hiện tại, công ty đang sử dụng switch TP-Link để quản lý kết nối mạng.
STT Tên mạng Tốc độ Kết nối WAN, Internet
1 LAN hữu tuyến (Kết nối dây) Cao Có
2 LAN vô tuyến (Kết nối không dây) Cao Có
Bảng 2.3: Tình hình sử dụng mạng trong công ty
Hình 2.1: Sơ đồ mạng trong công ty
Mạng LAN của công ty được xây dựng theo mô hình server-client, bao gồm một máy chủ Active Directory (AD) chính và một máy chủ AD bổ sung hoạt động song song để đảm bảo tính sẵn sàng Trong trường hợp máy chủ AD chính gặp sự cố, máy chủ bổ sung sẽ thực hiện nhiệm vụ thay thế Hệ thống còn bao gồm một File server kết nối với một switch chính, từ đó kết nối đến các switch của các phòng ban trong công ty.
Mô hình lắp đặt thiết bị mạng của công ty hợp lý, nhưng hiện tại gặp vấn đề do thiết bị kết nối cũ, dẫn đến tắc nghẽn và quá tải đường truyền Việc sử dụng thiết bị lâu ngày gây nóng và phát sinh sự cố mạng, ảnh hưởng đến hiệu suất công việc Hơn nữa, tình trạng này có thể trở thành mối đe dọa lớn cho hệ thống thông tin, nếu kẻ xấu lợi dụng được lỗ hổng này.
Dữ liệu nội bộ trong công ty được chia sẻ qua mạng LAN với chế độ phân quyền rõ ràng Nhân viên chỉ có quyền truy cập thông tin liên quan đến nghiệp vụ cá nhân, trong khi cán bộ cấp cao được cấp quyền truy cập cao hơn tùy thuộc vào vị trí công tác Các thư mục lưu trữ dữ liệu được phân quyền truy cập dựa trên địa chỉ IP của máy tính trong công ty.
Việc nhân viên trong công ty truy cập internet từ mạng nội bộ mà không có sự quản lý hoặc nhắc nhở có thể gây ra nguy cơ lộ thông tin cá nhân và tài khoản mạng Khi người dùng chuyển mạng mà không đăng xuất, thông tin cá nhân của họ có thể bị đe dọa, ảnh hưởng nghiêm trọng đến an toàn hệ thống thông tin Sự việc đáng tiếc đã xảy ra vào năm 2016 cho thấy rõ ràng sự cần thiết phải quản lý việc truy cập này.
Công ty đã có trang bị các thiết bị sao lưu như ổ cứng, thẻ nhớ cho nhân viên.
Việc sử dụng thiết bị bên ngoài không được công ty quản lý có thể gây ra rủi ro lớn, như việc mang virus từ các thiết bị sao lưu vào máy tính, dẫn đến nguy cơ bị đánh cắp dữ liệu.
Bao gồm phần mềm hệ thống và phần mềm ứng dụng.
Phân tích, đánh giá thực trạng ATBM trong HTTT của công ty TNHH AI Việt Nam
2.3.1 Phân tích thực trạng ATBM trong HTTT tại công ty TNHH AI Việt Nam
Công ty cam kết bảo mật thông tin bằng cách áp dụng nhiều chính sách nghiêm ngặt, bao gồm sử dụng ổ cứng an toàn, thực hiện sao lưu dữ liệu liên tục và đồng bộ hóa lên mạng Để đảm bảo an toàn cho các thiết bị, công ty sử dụng phần mềm diệt virus cho tất cả máy tính và thiết lập hệ thống tường lửa cùng với các biện pháp cảnh báo truy cập trái phép.
Hệ thống cửa mã hóa bằng sinh trắc vân tay và thẻ từ để ra-vào công ty.
Sau khi điều tra tại công ty thu được kết quả và xử lý qua SPSS chúng ta thu được kết quả như sau:
Mức độ quan tâm của lãnh đạo công ty đối với việc đảm bảo ATBM cho HTTT
Mức độ sử dụng biện pháp đảm bảo dữ liệu
Bảng 2.5: Bảng mức độ quan tâm của lãnh đạo đối với việc ATBM cho HTTT
Biểu đồ 2.1: Mức độ quan tâm của lãnh đạo đối với ATBM cho HTTT
(Nguồn: Kết quả xử lý phiếu điều tra bằng SPSS)
Các nhà lãnh đạo công ty đã nhận thức được tầm quan trọng của việc bảo vệ an toàn và bảo mật cho hệ thống thông tin, nhưng mức độ quan tâm vẫn chưa đạt yêu cầu Chỉ 60% lãnh đạo cho rằng an toàn bảo mật là cần thiết, trong khi 20% còn lại xem vấn đề này là bình thường và không quan trọng Điều này cho thấy cần nâng cao nhận thức về an toàn thông tin trong công ty để có các biện pháp và chính sách bảo đảm an toàn hệ thống thông tin hiệu quả hơn.
Mức độ quan trọng của các thành phần trong HTTT của công ty
Mức độ quan trọng Trị số %
Bảng 2.6: Mức độ quan trọng của các thành phần trong HTTT
Yếu tố con người đóng vai trò quan trọng nhất trong hệ thống, chiếm 30% tổng thể, tiếp theo là phần cứng, phần mềm và cơ sở dữ liệu với 20%, trong khi mạng chỉ chiếm 10% Điều này cho thấy ban lãnh đạo công ty nhận thức rõ ràng về tầm quan trọng của việc tuyển dụng nhân viên hệ thống và cần thiết phải áp dụng các tiêu chí xét tuyển nghiêm ngặt hơn Việc này nhằm đảm bảo an toàn cho hệ thống thông tin của công ty thông qua việc lựa chọn những nhân viên có đạo đức nghề nghiệp tốt.
Mức độ đáp ứng của cơ sở hạ tầng CNTT đối với việc đảm bảo ATBM cho HTTT của công ty
Bảng 2.7: Mức độ đáp ứng của cơ sở hạ tầng CNTT đối với ATBM hệ thống
Rất tốt Tốt Khá Trung Bình Kém
Rất tốt Tốt Khá Trung bình Kém
Biểu đồ 2.2: Mức độ đáp ứng của cơ sở hạ tầng CNTT với ATBM hệ thống
(Nguồn: Kết quả xử lý phiếu điều tra)
Mặc dù các chỉ số đánh giá về cơ sở hạ tầng CNTT trong việc đảm bảo an toàn bảo mật cho hệ thống chưa đạt mức cao, nhưng cũng không phải là quá thấp Công nghệ hiện có vẫn đủ khả năng để duy trì và đảm bảo an toàn bảo mật cho hệ thống.
Với mức đánh giá khá và tốt là 8/10 phiếu, là một con số đáng để yên tâm về sự đáp ứng của công nghệ thông tin.
Mức độ an toàn, bảo mật thông tin trong công ty
Mức độ đánh giá Trị số %
Bảng 2.8: Mức độ an toàn bảo mật thông tin
Mức độ an toàn bảo mật thông tin trong doanh nghiệp hiện chưa cao, với 3 người đánh giá ở mức trung bình và 1 người cho rằng mức độ bảo mật yếu Kết quả phỏng vấn cho thấy nguyên nhân chủ yếu là do hệ thống mạng trong công ty thường xuyên gặp vấn đề, ảnh hưởng đến việc truy cập và chuyển nhận gói tin, dẫn đến tình trạng mất gói tin Điều này nghiêm trọng ảnh hưởng đến việc đảm bảo an toàn bảo mật thông tin và cần được xem xét kỹ lưỡng bởi bộ phận lãnh đạo công ty.
Các phương pháp, cách thức lưu trữ thông tin cho khách hàng
Phương pháp, cách thức Trị số %
Tài liệu đặc tả hệ thống 2 20%
Hệ quản trị cơ sở dữ liệu 4 40%
Bảng 2.9: Các phương pháp, cách thức lưu trữ thông tin cho khách hàng
Hệ quản trị cơ sở dữ liệu Email
Tài liệu đặc tả hệ thống Server máy chủ
Biểu đồ 2.3: Các phương pháp bảo mật thông tin cho khách hàng
(Nguồn: Kết quả xử lý phiếu điều tra)
Quản lý thông tin khách hàng chủ yếu dựa vào hệ quản trị cơ sở dữ liệu, chiếm 40%, là một con số khá ổn, giúp giảm nguy cơ trộm cắp và rò rỉ thông tin Tuy nhiên, việc trao đổi và quản lý dữ liệu qua email vẫn chiếm đến 30%, tạo ra rủi ro cao về an toàn và bảo mật Do đó, ban lãnh đạo cần hạn chế việc sử dụng email để trao đổi và lưu trữ thông tin khách hàng.
Các hình thức sao lưu
Biện pháp Mức độ sử dụng Trị số %
Sao lưu lên đám mây 3 30%
Bảng 2.10: Các hình thức sao lưu
Sao lưu dữ liệu vào ổ cứng giúp nâng cao độ an toàn cho thông tin, giảm thiểu nguy cơ mất mát hoặc hỏng hóc do các yếu tố vật lý tác động.
Mặc dù việc lưu trữ dữ liệu cục bộ có nhược điểm là tốn không gian bộ nhớ, nhưng đồng bộ hóa lên mạng mang lại nhiều tiện ích Tuy nhiên, dữ liệu trên mạng lại dễ bị xâm nhập và đánh cắp Do đó, công ty đã lựa chọn và thực hiện các biện pháp bảo mật dữ liệu phù hợp để giảm thiểu rủi ro.
Tần suất sao lưu dữ liệu
Tần suất Mức độ Trị số %
Bảng 2.11: Tần suất sao lưu dữ liệu
Công ty thực hiện sao lưu dữ liệu từ 1 đến 3 tháng một lần, tùy thuộc vào loại dữ liệu Đối với dữ liệu nghiệp vụ, sao lưu được thực hiện hàng tháng để đảm bảo cập nhật kịp thời, trong khi dữ liệu tổng hợp và báo cáo được sao lưu theo quý, từ bốn đến sáu tháng một lần Mặc dù tần suất này hợp lý, nhưng công ty nên xem xét tăng cường tần suất sao lưu cho dữ liệu nghiệp vụ nhằm giảm thiểu thiệt hại trong trường hợp xảy ra sự cố an toàn thông tin Việc này giúp đảm bảo tính lưu trữ đầy đủ và giảm thiểu mất mát thông tin.
2.3.2 Đánh giá về thực trạng ATBM trong HTTT của công ty TNHH AI Việt Nam
Qua việc thu thập và phân tích kết quả phiếu điều tra, chúng ta có thể đánh giá tình hình an toàn bảo mật thông tin của công ty TNHH AI Việt Nam.
Công ty đã có bộ phận chuyên trách về CNTT, cũng có kiến thức về ATBM HTTT trong doanh nghiệp.
Kiến thức về hệ thống thông tin (HTTT) và an toàn bảo mật (ATBM) của nhân viên trong công ty hiện nay không đồng đều, với một số bộ phận có trình độ còn hạn chế, gây ra nguy cơ mất an toàn thông tin cho doanh nghiệp Công ty chưa tổ chức khóa đào tạo nào về an toàn bảo mật, cũng như chưa nâng cao ý thức của nhân viên về tầm quan trọng của việc bảo vệ hệ thống thông tin Để đáp ứng với quy mô ngày càng mở rộng và phát triển, công ty cần chú trọng hơn đến việc đào tạo và nâng cao nhận thức của toàn bộ nhân viên về ATBM cho hệ thống thông tin của mình.
Cơ sở hạ tầng CNTT hiện tại đang hoạt động ổn định và các thiết bị vẫn đáp ứng tốt yêu cầu công việc Điều này tạo điều kiện thuận lợi cho việc triển khai kế hoạch xây dựng hệ thống đảm bảo an toàn bảo mật thông tin cho Công ty.
Công ty chưa đầu tư đầy đủ vào hạ tầng công nghệ thông tin, dẫn đến hệ thống máy tính hiện tại dù vẫn hoạt động nhưng đã lạc hậu Tình trạng này tạo điều kiện thuận lợi cho việc xâm nhập của virus vào máy tính và hệ thống, gây ra nguy cơ bảo mật cao.
Phần mềm nghiệp vụ là các ứng dụng có bản quyền do công ty sản xuất, giúp tránh rủi ro từ việc tải phần mềm miễn phí có thể chứa virus hay mã độc Mua bản quyền phần mềm không chỉ bảo vệ an toàn thông tin mà còn đảm bảo cập nhật thường xuyên về các nguy cơ và bản vá lỗi từ nhà sản xuất Công ty đã triển khai nhiều biện pháp bảo mật như sử dụng FireWall và giao thức WEP để ngăn chặn truy cập trái phép Ngoài ra, việc cài đặt phần mềm diệt virus trên các máy tính tại các phòng ban cũng thể hiện ý thức bảo vệ hệ thống khỏi các mối đe dọa từ virus.
Các phần mềm ứng dụng không rõ nguồn gốc mà nhân viên tải về từ internet có thể chứa virus và mã độc, dễ dàng xâm nhập vào hệ thống máy tính và mạng của công ty, gây ra những rủi ro bảo mật nghiêm trọng.
Về phần mềm bảo mật công ty chưa cập nhật các phần mềm bảo mật mới, tính năng toàn diện và phù hợp với công ty.
ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATBM CHO HTTT CỦA CÔNG TY TNHH AI VIỆT NAM 32 3.1 Định hướng phát triển vể đảm bảo an toàn hệ thống thông tin hiện nay
Định hướng phát triển chung
Để nâng cao hiệu quả bảo mật thông tin doanh nghiệp, cần triển khai một số giải pháp sơ bộ liên quan đến phần cứng, phần mềm và con người Những biện pháp này sẽ giúp đảm bảo an toàn thông tin một cách toàn diện và hiệu quả hơn.
- Nâng cấp máy chủ và hệ thống máy tại tổ chức, doanh nghiệp.
- Bảo mật bằng chính sách đối với trang thiết bị.
- Thiết kế hệ thống mạng phù hợp
- Thiết lập giao thức bảo mật đường truyền
- Sử dụng các phần mềm bảo mật, các phần mềm phòng chống virus.
- Không sử dụng các phần mềm không chính thống dưới mọi hình thức
- Mã hóa các công cụ làm việc với CSDL và các ổ đĩa liên quan
Quản lý cơ sở dữ liệu
- Tổ chức nguồn tài nguyên
- Tổ chức quản lý tài khoản
- Phân quyền người dùng một cách hợp lý.
- Đầu tư đào tạo nhận thức về tầm quan trọng của an toàn bảo mật thông tin và các cách bảo mật thông tin.
- Đào tạo đội ngũ chuyên biệt chuyên quản lý hệ thống và bảo mật CSDL.
Định hướng phát triển của công ty
Theo như chính sách ban hành, công ty đặt ra các mục tiêu cụ thể cho việc đảm bảo an toàn bảo mật như sau:
Để nâng cao tính cạnh tranh và uy tín trên thị trường, công ty cần đảm bảo an toàn và bảo mật cho hệ thống thông tin, bảo vệ bí mật của cơ sở dữ liệu, bao gồm thông tin nội bộ, khách hàng và đối tác.
- Xây dựng, nâng cấp HTTT để hỗ trợ, phục vụ cho các nghiệp vụ của công ty.
Rút ngắn thời gian và nâng cao năng suất làm việc, tránh những tổn thất không đáng có về tiền bạc và nguồn nhân lực.
Tổ chức quản lý cơ sở dữ liệu hiệu quả là yếu tố then chốt để đảm bảo an toàn và bảo mật cho dữ liệu của công ty, giúp giảm thiểu rủi ro và ngăn chặn thất thoát thông tin.
Tổ chức các buổi đào tạo cho nhân viên để nâng cao kiến thức về an toàn bảo mật, giúp họ nhận thức rõ hơn về tầm quan trọng của việc bảo vệ hệ thống an ninh.
Công ty đã xác định các mục tiêu nhằm nâng cao tính an toàn bảo mật cho hệ thống Bài khóa luận này sẽ phân tích sâu hơn và đề xuất một số giải pháp cụ thể để đạt được những mục tiêu đó.
Giải pháp nâng cao an toàn bảo mật cho hệ thống thông tin công ty TNHH
Trong bối cảnh công nghệ thông tin và Internet phát triển nhanh chóng, việc truyền, tiếp nhận và lưu trữ dữ liệu trở nên dễ dàng hơn bao giờ hết Tuy nhiên, điều này cũng kéo theo nguy cơ xâm nhập và trộm cắp dữ liệu, điều này đặc biệt nghiêm trọng đối với các doanh nghiệp, vì dữ liệu là tài sản quý giá và quyết định sự thành bại của họ Công ty TNHH AI Việt Nam cũng không nằm ngoài những rủi ro này, vì vậy cần triển khai các giải pháp bảo mật hiệu quả để đảm bảo hệ thống thông tin của công ty luôn được bảo vệ ở mức cao nhất, ngăn chặn các sự cố không mong muốn.
3.2.1 Giải pháp phần cứng 3.2.1.1 Giải pháp đối với các trang thiết bị
Một trong những phương pháp phổ biến để lấy dữ liệu ra khỏi tổ chức là sao chép vào các thiết bị lưu trữ ngoài như ổ USB và thẻ nhớ, do giá thành rẻ và dung lượng lưu trữ cao Để ngăn chặn tình trạng mất dữ liệu, Công ty TNHH AI Việt Nam cần hạn chế cài đặt thiết bị USB bằng cách gỡ bỏ các cổng vật lý Ngoài ra, công ty có thể sử dụng phần mềm để vô hiệu hóa việc sử dụng thiết bị ngoài trên máy tính cá nhân hoặc toàn bộ mạng thông qua Group Policy, cho phép chỉ những thiết bị trong danh sách cho phép được cài đặt Phần mềm này cũng từ chối quyền đọc và ghi vào các thiết bị có thể tháo rời, giúp giảm rủi ro mất trộm dữ liệu và giảm chi phí hỗ trợ cho công ty.
Nhiều doanh nghiệp vừa và nhỏ tại Việt Nam chưa chú trọng đến bảo mật thông tin, dẫn đến việc mạng Internet trong doanh nghiệp bị bỏ ngỏ và nhân viên tự do truy cập mà không kiểm soát Điều này không chỉ tiềm ẩn rủi ro về thất thoát thông tin mà còn gây tổn thất tài chính cho doanh nghiệp, khi nhân viên thường dành thời gian làm việc để đọc báo điện tử, chơi game, tải xuống và sử dụng mạng xã hội thay vì tập trung vào công việc.
Để giảm thiểu tình trạng ngưng trệ công việc do virus và phần mềm độc hại trên máy tính, Công ty TNHH AI Việt Nam cần triển khai các thiết bị bảo mật hiệu quả Một ví dụ điển hình là Cisco RV016, với các tính năng nổi bật như kiểm tra trạng thái gói tin, lọc URL, lọc nội dung và lọc web, giúp bảo vệ hệ thống khỏi các mối đe dọa mạng.
Hệ thống thông tin cần duy trì trạng thái sẵn sàng 24/24 để đảm bảo sự phát triển, vì người quản trị mạng không thể luôn có mặt để hỗ trợ Do đó, máy chủ đóng vai trò quan trọng và không thể thiếu trong hệ thống CNTT của doanh nghiệp, giúp vận hành tự động và liên tục.
Công ty TNHH AI Việt Nam đã đưa vào sử dụng hệ thống máy chủ từ năm 2003 Tuy nhiên, để đáp ứng sự phát triển nhanh chóng của công nghệ thông tin hiện nay, công ty cần nâng cấp hệ thống máy chủ nhằm đảm bảo an toàn và bảo mật cho hệ thống thông tin.
Trước khi nâng cấp máy chủ, người quản trị cần sao lưu toàn bộ dữ liệu quan trọng để tránh mất mát thông tin Sau khi nâng cấp, không nên chỉ dựa vào việc máy chủ hoạt động trở lại mà cần kiểm tra kỹ lưỡng các bản ghi, báo cáo lỗi, hoạt động sao lưu và các sự kiện quan trọng khác để đảm bảo mọi thứ hoạt động ổn định.
Thực hiện sao lưu và phục hồi dữ liệu thường xuyên
Mục đích của việc sao lưu và khôi phục dữ liệu là khôi phục hệ thống về trạng thái trước khi xảy ra sự cố Các nguyên nhân gây ra sự cố ảnh hưởng đến dữ liệu có thể đến từ yếu tố khách quan hoặc chủ quan.
Hiện nay, công ty cần thực hiện sao lưu dữ liệu thường xuyên hơn, khoảng một tuần một lần, thay vì một tháng một lần như trước đây Việc sao lưu hàng tháng mất nhiều thời gian và có nguy cơ khiến dữ liệu quan trọng bị thất lạc Do đó, việc tăng tần suất sao lưu sẽ giúp bảo vệ an toàn cho dữ liệu của công ty.
Nếu hệ thống bị sập hoàn toàn, dữ liệu sẽ bị mất Để thực hiện sao lưu dữ liệu, công ty sử dụng tiện ích ntbackup.exe tích hợp trong hệ điều hành Windows Tiện ích này cho phép thực hiện các tiến trình sao lưu cơ bản, đồng thời có thể sử dụng chế độ Wizard Mode để đơn giản hóa việc tạo và khôi phục file sao lưu Ngoài ra, người dùng cũng có thể cấu hình thủ công các cài đặt sao lưu và lên lịch thực hiện tự động để đảm bảo an toàn cho dữ liệu.
Sao lưu dữ liệu là quá trình tạo bản sao an toàn của thông tin gốc, giúp bảo vệ dữ liệu trên máy tính Khi hệ thống gặp sự cố, việc khôi phục (restore) dữ liệu từ bản sao lưu sẽ đảm bảo an toàn cho thông tin quan trọng Đây là phương pháp hiệu quả nhất hiện nay để bảo vệ dữ liệu cá nhân và doanh nghiệp.
-Hệ thống phân quyền truy cập
Hệ thống của công ty phân loại quyền truy cập thành ba loại chính: quyền truy cập trên phân hệ, quyền truy cập nâng cao và quyền truy cập vào phần thiết lập cấu hình Quyền truy cập trên phân hệ bao gồm các quyền cơ bản như chỉ đọc, thêm mới, sửa và xóa thông tin Quyền truy cập nâng cao cho phép người dùng xử lý dữ liệu trùng lặp và xem dữ liệu mà họ sở hữu Cuối cùng, quyền truy cập vào phần thiết lập cấu hình cho phép người dùng thiết lập và thay đổi cấu hình quản lý truy cập cũng như phân quyền cho người dùng.
Mỗi nhân viên được phân quyền truy cập khác nhau tùy theo chức vụ, với hầu hết nhân viên trong một phòng có quyền truy cập tương tự vào dữ liệu công việc Khi tạo phòng ban mới, cần chỉ định quyền truy cập cho tất cả nhân viên, với các quyền mặc định được thừa kế từ phòng ban cha, nhưng cần điều chỉnh cho phù hợp với yêu cầu an toàn thông tin Đối với người dùng mới, họ sẽ tự động nhận quyền truy cập của phòng ban, nhưng có thể điều chỉnh quyền truy cập cho từng người dùng nếu cần thiết.
- Giao thức bảo mật đường truyền Giao thức WEP - Wired Equivalent Privacy
Giao thức WEP đảm bảo tính bảo mật cho mạng không dây tương đương với mạng có dây truyền thống thông qua việc mã hóa dữ liệu bằng thuật toán đối xứng RC4 Thuật toán này cho phép chiều dài khóa thay đổi, tối đa lên đến 256 bit, với các lựa chọn 40bit, 64bit và 128bit cho các thiết bị không dây Đối với Công ty TNHH AI Việt Nam, hệ thống thông tin chưa quá phức tạp nên công ty chọn sử dụng WEP với độ dài khóa từ 64bit trở lên để bảo vệ an toàn thông tin.
WEP sử dụng thuật toán RC4, một phương pháp mã hóa dòng, đòi hỏi cơ chế đảm bảo rằng hai dữ liệu giống nhau sẽ cho ra kết quả mã hóa khác nhau khi được mã hóa hai lần Yếu tố này rất quan trọng trong việc mã hóa dữ liệu, giúp hạn chế khả năng suy đoán khóa của hacker.
Một số kiến nghị đối với công ty
Đảm bảo an toàn bảo mật thông tin và hệ thống thông tin tại Công ty TNHH AI Việt Nam là trách nhiệm chung của tất cả nhân viên, không chỉ riêng người quản trị Mỗi cá nhân cần nhận thức rằng thông tin và hệ thống thông tin là tài sản quý giá của doanh nghiệp, và việc bảo vệ chúng phải trở thành một phần không thể thiếu trong văn hóa kinh doanh của công ty.
Dưới đây là một số kiến nghị chung nhằm thúc đẩy việc đảm bảo ATBM HTTT:
- Đầu tư trang thiết bị và các phần mềm hỗ trợ
Để nâng cao hiệu quả hoạt động của công ty, cần nhanh chóng đầu tư vào cơ sở hạ tầng máy móc và phần mềm bảo mật Một lựa chọn đáng chú ý trên thị trường là bộ sản phẩm Kaspersky Small Office Security, bao gồm 1 máy chủ và 10 máy trạm, với giá 3.230.000 VNĐ.
Các trang thiết bị công nghệ thông tin cần được kiểm tra định kỳ và sửa chữa kịp thời để đảm bảo hoạt động hiệu quả Việc thay thế các thiết bị cũ, như máy tính và thiết bị kết nối không còn đáp ứng nhu cầu công việc, là rất quan trọng Hệ thống camera tại nơi làm việc cũng cần được thiết lập để giám sát việc ra vào, cùng với việc sử dụng các thiết bị máy chủ để quản lý dữ liệu Đồng thời, việc quản lý truy cập từ điện thoại và máy tính bên ngoài vào hệ thống mạng công ty là cần thiết để bảo mật thông tin.
Quản lý việc gửi và nhận email, tải file lên Internet, cũng như chia sẻ qua mạng xã hội là rất quan trọng để bảo vệ dữ liệu Cần sử dụng thiết bị lưu trữ di động của nhân viên một cách an toàn nhằm ngăn chặn việc sao chép dữ liệu và lây lan virus vào hệ thống Thiết lập quy định về sao lưu và lưu trữ dữ liệu, cùng với phương thức khắc phục sự cố khi cần thiết Đối với các thiết bị lưu trữ thông tin quan trọng như máy chủ và ổ cứng di động, cần có biện pháp quản lý chặt chẽ khi mang ra ngoài Cuối cùng, lập danh sách các phần mềm được phép cài đặt và sử dụng trên máy tính cá nhân của công ty để đảm bảo an toàn thông tin.
-Đào tạo nhân lực trong công ty
Công ty cần chú trọng đến việc đào tạo và phát triển kiến thức cũng như kỹ năng cho nhân viên trong lĩnh vực CNTT Bên cạnh việc nâng cao chuyên môn, việc cải thiện các kỹ năng mềm như giao tiếp ngoại ngữ, tư duy độc lập và làm việc nhóm cũng rất quan trọng.
Công ty cần thực hiện nghiêm túc các chính sách và quy định liên quan đến an toàn bảo mật thông tin hệ thống (ATBM HTTT) Việc quản lý nhân viên cần được thực hiện chặt chẽ, bao gồm việc ký kết thỏa thuận giữ bí mật thông tin khách hàng Tất cả thông tin của khách hàng, đối tác và thông tin nội bộ công ty phải được bảo mật tuyệt đối, và mọi nhân viên đều phải cam kết thông qua việc ký thỏa thuận này.
Để đảm bảo an toàn bảo mật cho hệ thống thông tin trong công ty, cần thành lập một bộ phận chuyên trách và đào tạo toàn bộ nhân viên Công ty nên khuyến khích nhân viên trang bị thêm kiến thức về an toàn bảo mật thông tin thông qua các khóa đào tạo tại doanh nghiệp lớn hoặc online Khi tuyển dụng, yêu cầu nhân viên phải có kiến thức chuyên môn vững vàng về an toàn bảo mật, có đạo đức và tinh thần trách nhiệm cao, bao gồm cả những ứng viên tốt nghiệp chuyên ngành CNTT và HTTT quản lý Điều này không chỉ nâng cao năng lực cho công ty mà còn tạo sự thuận lợi trong công việc nhờ vào sự hỗ trợ đáng tin cậy từ đội ngũ nhân viên này.
