LỜI CẢM ƠN Qua thời gian học tập, rèn luyện trường Đại học Thương mại thực tập Công ty Cổ phần phát triển nguồn mở dịch vụ FDS em học hỏi tích luỹ nhiều kiến thức quý báu cho Được tiếp xúc với môi trường làm việc thực tế, học hỏi thêm nhiều kinh nghiệm Để hồn thành khóa luận tốt nghiệp nhờ bảo tận tình quý thầy, cô khoa Hệ thống thông tin kinh tế và thương mại điện tử, hướng dẫn tận tâm Th.S Nguyễn Thị Hội giúp đỡ anh, chị cán viên chức Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Đồng thời, thơng qua khố luận, em xin tri ân đến tất thầy cô giáo dày công dạy dỗ chúng em suốt năm trường Đại Học Thương Mại Những giá trị mà cô thầy tạo tảng quan trọng cho việc cống hiến phấn đấu chúng em sau Với thời gian nghiên cứu kiến thức cịn hạn chế nên khơng tránh khỏi sai sót q trình phân tích, đánh đưa đề xuất để hoàn thiện giải pháp đảm bảo an toàn thông tin HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Vì thế, em mong nhận ý kiến đóng góp q thầy cơ, ban lãnh đạo cơng ty để khóa luận hồn thiện Sau cùng, em xin kính chúc q thầy anh chị dồi sức khỏe thành công sống Em xin chân thành cảm ơn            Sinh viên thực Vũ Thị Nguyệt LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC CÁC TỪ VIẾT TẮT iv DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ v PHẦN MỞ ĐẦU 1 Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Mục tiêu nhiệm vụ nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu đề tài Kết cấu khóa luận tốt nghiệp .3 CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THỐNG THÔNG TIN 1.1 Một số khái niệm .4 1.1.1 Khái niệm thông tin, hệ thống thông tin .4 1.1.2 Khái niệm liệu, an toàn liệu, bảo mật liệu an toàn bảo mật HTTT 1.2 Tổng quan tình hình nghiên cứu an tồn bảo mật HTTT .6 1.2.1 Tình hình nghiên cứu ngồi nước 1.2.2 Tình hình nghiên cứu nước 1.3 Các đặc trưng HTTT an toàn 1.4 Các nguy số giải pháp đảm bảo an tồn thơng tin HTTT .9 CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TỒN BẢO MẬT CỦA CƠNG TY FSD 13 2.1 TỔNG QUAN VÊ CÔNG TY FDS .13 2.1.1 Giới thiệu doanh nghiệp 13 2.1.2 Bộ máy tổ chức doanh nghiệp 13 2.1.3 Tình hình hoạt động kinh doanh cơng ty FDS .14 2.2 PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY FDS 16 2.2.1Thực trạng cơng tác an tồn bảo mật hệ thống thơng tin cơng ty FDS.16 2.2.2 Phần tích thực trạng ATBM cho HTTT công ty FDS qua phiếu điều tra .21 2.2.3 Đánh giá thực trạng an toàn bảo mật thông tin công ty FDS 28 CHƯƠNG : ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY FDS 31 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.1 ĐỊNH HƯỚNG PHÁT TRIỂN ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY FDS 31 3.2 ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HTTT CỦA CÔNG TY FDS 31 3.2.1 Giải pháp cho an ninh mạng Firewall Safe@Office 31 3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security 33 3.2.3 Hệ quản trị CSDL Oracle Database 12c 35 3.2.4 Đào tạo nhân lực 36 3.2.5 Đảm bảo an toàn website 37 3.2.3.1 Khắc phục lỗ hổng XSS 37 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection 38 3.3 ĐIỀU KIỆN THỰC HIỆN GIẢI PHÁP .40 KẾT LUẬN .41 TÀI LIỆU THAM KHẢO 42 PHỤ LỤC LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt Diễn giải Nghĩa tiếng việt AI Artificial Intelligence Trí tuệ nhân tạo ATBM An toàn bảo mật ATTT An tồn thơng tin AVG Anti- Virus Guard Một phần mềm diệt virus phát hành Avast Software CIA Central Intelligence Agency Cơ quan tình báo Hoa Kỳ CNTT Cơng nghệ thông tin CSDL Cơ sở liệu DMZ Demilitarized Zone Vùng mạng trung lập mạng nội mạng internet EAI Enterprise Application Intergration Tích hợp ứng dụng doanh nghiệp HTTT Hệ thống thông tin IAM Identity and Access Management Phần mềm quản lý định danh kiểm soát truy câp IPS Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập IT  Information Technology Công nghệ thông tin ITU International Union VNCERT VietNam Computer Response Teams VPN Virtual Private Network Telecomunication Hội Liên hiệp Viễn thông quốc tế Emergency Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam Mạng riêng ảo NXB WPA2 Nhà xuất Truy cập bảo vệ không dây phiên Wi-Fi protected access LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ Bảng 2.3: Kết hoạt động kinh doanh Công ty năm 2016-2018 .16 Bảng 2.2: Trang thiết bị phần cứng 18 Bảng 3.1: So sánh BKAV Pro Kaspersky® Small Office Security .34 Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2008 Oracle Database 12c .35 Bảng 3.3: Chi phí thực giải pháp 40 Biểu đồ 2.1: Tường lửa doanh nghiệp sử dụng 23 Biểu đồ 2.2: Tính hiệu tường lửa sử dụng 24 Biểu đồ 2.3: Đánh giá phần mềm Bkav Pro .25 Biểu đồ 2.4: Tần suất lưu liệu 26 Biểu đồ 2.5: Nhân viên chuyên trách CNTT 27 Biểu đồ 2.6: Thống kê số lần website bị khai thác lỗ hổng bảo mật 28 Sơ đồ 2.1: Tổ chức máy quản lý công ty FDS 14 Hình 1.1: Các thành phần hệ thống thông tin Hình 2.1: Logo công ty FDS .13 Hình 2.2: Giao diện đăng nhập HTTT Mobilink Enterprise 17 Hình 2.3: Giao diện website FDS 21 Hình 3.1: Tường lửa Safe@Office Check Point 32 Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security 33 Hình 3.3: Lỗi lỗ hổng bảo mật XSS 37 Hình 3.4: Khắc phục lỗ hổng bảo mật XSS 38 Hình 3.5: Mơ q trình cơng vào lỗ hổng SQL injection 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN MỞ ĐẦU Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Ở Việt Nam nguy an tồn thơng tin tăng lên đáng báo động Dựa báo cáo tổng hợp an ninh thông tin hãng bảo mật hàng đầu giớiKaspersky cho biết, năm 2017 có 35% người dùng Internet Việt Nam có khả bị cơng mạng, xếp thứ giới Hay theo số an ninh mạng (Cyber security Index) năm 2017 Liên hiệp Viễn thông quốc tế (ITU) cho biết Việt Nam đứng thứ 101/193, thấp Indonesia (vị trí thứ 70), Lào (vị trí thứ 77), Campuchia (vị trí thứ 92) Myanmar (vị trí thứ 100) Và hậu năm 2017, Việt Nam bị đe dọa 10.000 vụ công mạng, gây thiệt hại khoảng 12.300 tỷ đồng số liệu từ Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT Bkav cho biết Những số thống kê an tồn việc khai thác thơng tin người dùng Việt Nam Cùng với phát triển không gian mạng làm nảy sinh nhiều nguy cơ, thách thức an ninh quốc gia an tồn, lợi ích quan, doanh nghiệp cá nhân Công ty cổ phần phát triển nguồn mở dịch vụ FDS theo tìm hiểu biết cơng ty xảy vấn đề an tồn thơng tin dù khắc phục không đảm bảo tương lai không xảy vấn đề Trong đề tài với mong muốn giúp doanh nghiệp đạt hiệu cao vấn đề đảm bảo an tồn bảo mật thơng tin Em tập trung nghiên cứu sở lý luận lý thuyết an toàn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật cơng ty Để từ khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng thiếu an tồn thơng tin Công ty cổ phần phát triển nguồn mở dịch vụ FDS Q trình nghiên cứu góp phần nâng cao nhận thức nhân viên công ty vấn đề an toàn bảo mật, trau dồi thêm thông tin cần thiết cho nhân viên phục vụ công việc vận hành quản lý HTTT doanh nghiệp Từ thực trạng tình hình an ninh thơng tin công ty, thấy tầm quan trọng ý nghĩa việc nghiên cứu đề tài, với kiến thức em học trường tìm hiểu thân em xin lựa chọn đề tài: ‘‘Một số giải pháp đảm bảo an toàn bảo mật thông tin HTTT công ty Cổ phần phát triển nguồn mở dịch vụ FDS” Mục tiêu nhiệm vụ nghiên cứu Qua nghiên cứu tài liệu tìm hiểu, phân tích thực trạng đảm bảo an tồn bảo mật thơng tin Cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS” thực LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nhiệm vụ sau: trình bày khái niệm ATBM thông tin khái niệm thông tin, HTTT, ATBM , HTTT bảo mật,… để từ có nhìn tổng quát đối tượng tìm hiểu khóa luận Mục tiêu thứ hai từ số liệu tìm hiểu thực tế nghiên cứu phân tích thực trạng doanh nghiệp Từ đó, dựa thực trạng lý thuyết an tồn bảo mật thơng tin HTTT nói chung, khóa luận đưa số giải pháp nhằm nâng cao hiệu an tồn bảo mật thơng tin cho HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Đối tượng phạm vi nghiên cứu Là đề tài nghiên cứu khóa luận sinh nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: Về không gian: đưa giải pháp đảm bảo an tồn thơng tin cho hệ thống thông tin Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp định hướng phát triển tương lai Phương pháp nghiên cứu đề tài 4.1 Khái niệm phương pháp nghiên cứu Phương pháp nghiên cứu cách thức, đường, phương tiện thu thập, xử lý thông tin khoa học (số liệu, kiện) nhằm làm sáng tỏ vấn đề nghiên cứu để giải nhiệm vụ nghiên cứu cuối đạt mục đích nghiên cứu Nói cách khác: Phương pháp nghiên cứu khoa học phương thức thu thập xử lý thông tin khoa học nhằm mục đích thiết lập mối liên hệ quan hệ phụ thuộc có tính quy luật xây dựng lý luận khoa học Có hai loại phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo cơng ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt doanh nghiệp - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình cơng ty 4.2 Các phương pháp sử dụng khóa luận 4.2.1 Phương pháp thu thập số liệu - Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên công ty nội dung phục vụ cho nghiên cứu - Tìm hiểu thơng tin an tồn bảo mật thương mại điện tử qua Internet, qua tài liệu sách báo liên quan đến an toàn bảo mật HTTT LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Phương pháp vấn: vấn ban Giám đốc phận IT công ty Phương pháp trưng cầu ý kiến bảng hỏi: lập danh mục câu hỏi khảo sát ý kiến nhân viên ban Giám đốc công ty để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu - Phương pháp chuyên gia: Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng giải tốt mục tiêu đề - Trong phương pháp nêu phương pháp nghiên cứu tài liệu phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài 4.2.2 Phương pháp xử lý liệu: Từ liệu thu thập sau tiến hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thơng tin phù hợp với mục đích nghiên cứu đề tài  Phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo công ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thông tin mặt doanh nghiệp - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình cơng ty Kết cấu khóa luận tốt nghiệp Khóa luận chia thành ba phần chính: Chương 1: Cơ sở lí luận an tồn bảo mật thơng tin hệ thống thông tin Chương 2: Cơ sở lý luận thực trạng an tồn bảo mật thơng tin Cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS Chương 3: Định hướng phát triển đề xuất giải pháp an tồn bảo mật hệ thớng thơng tin công ty FDS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THỐNG THƠNG TIN Một số khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin Theo [2] Thông tin liệu tổ chức, doanh nghiệp sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có liệu Thơng tin liệu qua xử lý (phân tích, tổng hợp, thống kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể người sử dụng Thơng tin gồm nhiều giá trị liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho vật tượng cụ thể ngữ cảnh Theo [2] Hệ thống thông tin tập hợp phần cứng, phần mềm, sở liệu, mạng viễn thơng, người quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ truyền phát thông tin tổ chức, doanh nghiệp Hệ thống thơng tin hỗ trợ việc định, phân tích tình hình, lập kế hoạch, điều phối kiểm sốt hoạt động tổ chức, doanh nghiệp Hệ thống thơng tin thủ cơng dựa vào công cụ thủ công giấy, bút, thước, tủ hồ sơ,… cịn hệ thống thơng tin đại hệ thống tự động hóa dựa vào mạng máy tính thiết bị cơng nghệ khác Hệ thống thơng tin bao gồm thành phần (cịn gọi năm nguồn lực hay năm nguồn tài nguyên) trình bày hình: Hình 1.1: Các thành phần hệ thống thông tin LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thật cần thiết tình trạng Internet đầy rẫy mối đe dọa sâu máy tính, chương trình phá hoại ăn cắp thông tin, lỗ hổng bảo mật hệ điều hành ứng dụng Được thiết kế để dùng cơng ty vừa nhỏ, Safe@Office có trọng lượng nhỏ pound, trang bi port Ethernet 10/100 cho kết nối với internet , port cho kết nối với mạng nội bộ, port để cấu hình firewall port cho dùng với modem Safe@Office hổ trợ dialup-backup dùng modem để thiết lập kết nối với internet kết nối dự phòng cho hệ thống Nét đặc trưng của Check Point kết nối ổn định Chuẩn kết nối VPN IPSec - tải miễn phí từ Check Point - hay PPTP (Point to Point Tunneling Protocol), nghĩa hỗ trợ VPN Microsoft Ngồi ra, máy khách chứng thực dựa vào sở liệu nội hay máy chủ RADIUS Safe@Office có cách phòng chống virus riêng Thiết bị chuyển email tới máy chủ Check Point để quét virus, chuyển chúng đến địa đích Điều lý giải CPU nhỏ lại thực nhiều dịch vụ lúc Hình 3.1: Tường lửa Safe@Office Check Point Nét đặc trưng của Check Point kết nối ổn định Chuẩn kết nối VPN IPSec - tải miễn phí từ Check Point - hay PPTP (Point to Point Tunneling Protocol), nghĩa hỗ trợ VPN Microsoft Ngồi ra, máy khách chứng thực dựa vào sở liệu nội hay máy chủ RADIUS Thiết bị cho phép định tuyến tĩnh, có nghĩa bạn có nhiều mạng phía sau tường lửa làm chức định tuyến Quá trình thử nghiệm cho thấy Safe@Office thật tường lửa hiệu Nó ngăn cản công giả lập đẩy lùi tất lệnh ping 'lén lút' từ WAN tới DMZ hay LAN Safe@Office có cách phịng chống virus riêng Thiết bị chuyển email tới máy chủ Check Point để quét virus, chuyển chúng đến địa đích Điều lý giải CPU nhỏ lại thực nhiều dịch vụ lúc, điều có nghĩa Safe@Office khơng thể kiểm tra virus tải xuống trước lắp thiết bị 32 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security Hiện công ty sử dụng phần mềm diệt virus quyền dành cho doanh nghiệp: antivirus (BKAV) dành cho máy chủ máy phòng ban hầu hết nơi chứa liệu quan trọng vào Tuy nhiên, phần mềm diệt virus BKAV công ty khơng đáp ứng việc đảm bảo an tồn thơng tin Do cơng ty sử dụng Kaspersky doanh nghiệp nhỏ vừa Việt Nam sử dụng phổ biến Cơng ty sử dụng trọn sản phẩm Kaspersky® Small Office Security cho Sever, máy bàn máy tính cá nhân cịn lại nên sử dụng Kaspersky Anti-Virus Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security - Tính Kaspersky® Small Office Security: + Kỹ thuật bảo vệ chủ động có hỗ trợ cơng nghệ điện tốn đám mây bảo vệ thời gian thực khỏi mối đe dọa từ Internet + Quản lý bảo mật tập trung cho máy chủ máy trạm + Kiểm soát truy cập web ứng dụng + Quét tìm lỗ hổng bảo mật cố vấn cách khắc phục + Tự động phát khôi phục khỏi nguy lây nhiễm phần mềm độc hại + Sửa chữa file hỏng bị virus phá + Khả phát virus: Virus máy tính, Trojans, Worms, Keyloggers, , chống phần mềm gián điệp phần mềm quảng cáo Ngoài tính vượt trội Bkav, Kaspersky® Small Office Security cịn có ưu điểm: 3.2.3 33 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Bảng 3.1: So sánh BKAV Pro Kaspersky® Small Office Security Tên phần mềm BKAV Pro Kaspersky® Small Office Security 2013 Tính Nhiều tính Rất nhiều tính cao cấp Dung lượng - Còn trống 100MB ổ cứng (tùy thuộc vào CSDL) - CD-ROM (Nếu cài đặt chương trình từ CD) - Kết nối Interner - Microsoft Internet Exploer 5.0 cao - Microsoft Windows Installer 1.0 - Còn trống 1GB ổ cứng (tùy thuộc vào CSDL) - CD-ROM (nếu cài đặt chương trình từ CD) - Kết nối Internet - Microsoft Internet Exploer 6.0 cao -Microsoft Windows Installer 2.0 Thời gian quét virus ngày/lần ngày/lần Độ ổn đinh Không ổn định, hay đột với Ổn đinh, hoạt động tốt với phần phần mềm khác, đặc biệt với phần mềm kế toán mềm kế toán Khả bảo vệ Bảo vệ chưa toàn diện: >90% Bảo vệ hiệu quả: >99% Giá thành cho tất máy tính 10.465.000đồng/năm 10.465.000đồng/năm (Nguồn: Theo điều tra cá nhân) Theo bảng so sánh tính giá Kaspersky® Small Office Security 2013 có nhiều tính vượt trội, khắc phục số lỗi cố hữu mà Bkav chưa khắc phục lỗi xung đột phần mền khả bảo mật đánh giá cao hơn, giá thành hai sản phẩm tương đương, Như vậy, sử dụng Kaspersky® Small Office Security phù hợp với yêu cầu doanh nghiệp hỗ trợ với nhiều tính vượt trội 34 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.2.3 Hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL doanh nghiệp dùng SQL Server 2008 không đáp ứng yêu cầu lưu liệu thường xuyên nay, việc nâng cấp liệu tương lai công ty Đề xuất giải pháp cho vấn đề này, doanh nghiệp sử dụng hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL doanh nghiệp dùng SQL Server 2008 không đáp ứng yêu cầu lưu liệu thường xuyên nay, việc nâng cấp liệu tương lai công ty Đề xuất giải pháp cho vấn đề này, doanh nghiệp sử dụng hệ quản trị CSDL Oracle Database 12c Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2008 Oracle Database 12c Tên phần mềm Hệ quản trị CSDL SQL Server 2008 Ngôn ngữ Sử dụng Transact SQL ( T-SQL ), phần mở rộng SQL phát triển Sybase Microsoft sử dụng Kiểm soát giao  SQL Server thực thi (execute ) dịch commit command/task cách riêng lẻ điều gây khó khăn khơng thể rollback lại thay đổi có lỗi gặp phải trình thực Tổ chức đối SQL Server tổ chức tất đối tượng sở tượng, table, view, store liệu proceduce, theo tên sở liệu (database names) Một user đăng nhập cấp quyền truy cập vào Database cụ thể tất đối tượng có Database Ngồi ra, SQL Server Database private không chia sẻ file disk server Hệ quản trị CSDL Oracle Database 12c Oracle sử dụng Procedural Language/SQL ( PL/SQL ) PL/SQL phức tạp lại có tiềm mạnh mẽ Các truy vấn thực thi lệnh phát hành, thay đổi thực nhớ (RAM) chưa commit lệnh COMMIT tay thực Sau COMMIT, lệnh bắt đầu transaction mới, trình bắt đầu lại Điều cho thấy tính linh hoạt cao hỗ trợ kiểm soát lỗi tốt Oracle Oracle, tất đối tượng sở liệu (database objects) nhóm Schema, tập hợp đối tượng sở liệu tất đối tượng sở liệu chia sẻ tất Schema người dùng 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Độ tương thích SQL tương thích với Window Oracle cài Window, Linux, Unix, … Lưu trữ liệu Dữ liệu lớn trên 1GB SQL Các doanh nghiệp có nhiều Server sẽ gặp phải vấn đề truy suất hệ thống, hệ thống cần có chậm sự liên thơng với hệ thống nên sử dụng Oracle Giá thành 10.465.000đồng/năm 10.465.000đồng/năm (Nguồn: Theo điều tra cá nhân) 3.2.4 Đào tạo nhân lực Do trình độ hiểu biết ATTT nhân viên cịn chưa cao, Cơng ty cần có kế hoạch đào tạo, nâng cao hiểu biết ATTT cho nhân viên Công ty nên chọn nhân viên tiêu biểu để đưa đào tạo chuyên sâu ATTT, đồng thời mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên Cơng ty Mặt khác, Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATTT Công ty: - Quản lí nghiêm vấn đề đảm bảo giữ bí mật thông tin khách hàng nhân viên Tất thông tin khách hàng, đối tác hay thông tin nội cơng ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận - Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thông tin, phần mềm in ấn vi tính khơng mang khỏi công ty - Tuyên truyền nâng cao ý thức ATTT cho tất nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên - Đào tạo kỹ thuật phòng thủ, chống cơng (Phân tích mã độc, phịng chống mã độc phần mềm gián điệp; Giám sát phân tích hệ thống dò quét lỗ hổng bảo mật; Điều tra, thu thập thông tin cố chứng điện tử; Giám sát thông tin…) - Đào tạo kỹ thuật bảo vệ an toàn hệ thống ứng dụng (Mã hóa, thám mã, che dấu bảo mật nội dung thông tin, Chữ ký số, nhận dạng, xác thực; Tích hợp hệ thống ATTT; Tư vấn thiết kế xây dựng hệ thống mạng an tồn; Lập trình đảm bảo an toàn, Đảm bảo an toàn giao dịch điện tử; Đảm bảo an toàn sở liệu ) 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Thường xuyên đưa tin ATTT website nội công cụ truyền thông nội - Có kế hoạch chuẩn bị trước cho cố an tồn thơng tin, ban lãnh đạo thủ trưởng đơn vị có trách nhiệm đạo kịp thời, áp dụng biện pháp để khắc phục hạn chế thiệt hại Ngồi Cơng ty cần ý tới giải pháp ATTT giao dịch TMĐT như: an tồn chứng thực điện tử, an tồn thư tín điện tử, an toàn mạng riêng ảo, Firewall, Honeypot hệ thống phát xâm nhập, kĩ thuật thăm dò… 3.2.5 Đảm bảo an toàn website 3.2.3.1 Khắc phục lỗ hổng XSS Bản chất lỗi XSS khơng kiểm sốt kỹ liệu nhập đầu vào, biện pháp hiệu kiểm tra kỹ liệu nhập vào từ người dùng, chặn từ khóa nguy hiểm, chấp nhận liệu hợp lệ Một cách khác hay sử dụng mà không cần kiểm soát đầu vào từ người dùng mã hoá kí tự đặc biệt trước in website, gây nguy hiểm cho người sử dụng Ví dụ thẻ  sẽ đổi thành <script>, như in hình định dạng mà không gây nguy hiểm cho người sử dụng Ta xem ví dụ sau: Hình 3.3: Lỗi lỗ hổng bảo mật XSS 37 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Ta thấy đoạn code biến $row["content"] được in trực tiếp mà không qua xử lý Trường content nhập vào từ người dùng nên đoạn code chắn có lỗi XSS Để khắc phục ta mã hóa ký tự đặc biệt HTML với hàm htmlentities() Mã nguồn chỉnh sửa lại sau: Hình 3.4: Khắc phục lỗ hổng bảo mật XSS Ngồi để Bảo vệ thực cách hạn chế tên miền đường dẫn để chấp nhận cookie, thiết lập chúng HttpOnly, sử dụng SSL không lưu trữ liệu bí mật cookie Có thể vơ hiệu hóa việc sử dụng Script cách an tồn từ trang web khách hàng 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection Cơ chế công SQL injection – SQLI là cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt cơng nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thông tin cá nhân 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 3.5: Mơ q trình cơng vào lỗ hổng SQL injection Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng khơng tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình công ty phải xem lại mã nguồn website cơng ty điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mô hình tham số hóa, làm liệu đầu vào…Ngồi phải xem biện pháp bảo vệ từ mức tảng hệ thống như:  Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng  Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phịng cho tình xấu kẻ xâm nhập cơng vào database: 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database  Hủy bỏ quyền Public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa  Sử dụng thuật tốn mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database  Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác  Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể công cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo  Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.3 ĐIỀU KIỆN THỰC HIỆN GIẢI PHÁP Để thực hóa giải pháp đề xuất, em xin trình bày điều kiến kinh tế sau: Bảng 3.3: Chi phí thực giải pháp Tên giải pháp Giải pháp cho an ninh mạng Firewall Safe@Office Thiết bị/ Khóa học Số lượng Tổng tiền (đồng) Firewall Safe@Office 55.000.000 Phần mềm diệt virus Kaspersky® Small Office Security Kaspersky® Small Office Security 35 10.465.000 Hệ quản trị CSDL Oracle Database 12c Oracle Database 12c 270.480.000 Khóa bảo mật mạng cho doanh nghiệp – NIS (Network Infastructure Security) khóa học 17.500.000 Đào tạo nhân lực (Nguồn: Theo điều tra cá nhân) 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Những năm gần ngành Cơng nghệ thơng tin có bước phát triển mạnh mẽ Việt Nam, mở giới cho phát triển không bị giới hạn không gian Cùng với phát triển cơng nghệ thơng tin vấn đề an tồn bảo mật thông tin vấn đề trọng quan tâm từ phủ, doanh nghiệp, tổ chức đến cá nhân Khơng nằm ngồi mối quan tâm cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS ln khơng ngừng đầu tư hồn thiện vấn đề an tồn bảo mật thơng tin cho cơng ty Bài khóa luận tốt nghiệp trình bày giải pháp cho vấn đề bảo mật an ninh thơng tin cho cơng ty là: giải pháp cho an ninh mạng Firewall, đổi phần mềm diệt virus hệ quản trị CSDL, đề xuất sách đào tạo nguồn nhân lực thật tốt để phục vụ cho việc an tồn bảo mật thơng tin công ty Với số giải pháp cần thiết tiêu biểu đề xuất em hi vọng đóng góp ý kiến cá nhân vấn đề giải ATBM thông tin công từ xây dựng cơng ty ngày vững mạnh phát triển Khoán luận kết học tập, nghiên cứu trình vận dụng doanh nghiệp giúp em ôn tập tổng hợp lại kiến thức an tồn bảo mật có kiến thức thực tế qua trình thực tập Công ty cổ phần phát triển nguồn mở dịch vụ FDS Mặc dù em cố gắng điều kiện thời gian hạn chế kiến thức thân nên trình thực đề tài không tránh khỏi sai sót Kính mong q thầy cơ, đóng góp ý kiến nhận xét để khóa luận em hồn thiện Một lần nữa, em xin chân thành cảm ơn Công ty Cổ phần phát triển nguồn mở dịch vụ FDS, cảm ơn thầy cô khoa Hệ thống thông tin kinh tế Thương mại điện tử đặc biệt Giảng viên Ths Nguyễn Thị Hội tận tâm dạy tạo điều kiện thuận lợi để em thực hồn thành khóa luận tốt nghiệp 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO [1] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống kê [2] Đàm Gia Mạnh (2017), Giáo trình Hệ thống thơng tin quản lý, Đại học Thương mại [3] Đàm Gia Mạnh (2010), Mạng máy tính truyền thông, NXB Thông tin Truyền thông [4] Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition [5] Michael E Whitman Herbert J Mattord, Principles of Information Security, Fourth Edition [6] https://quantrimang.com/bao-mat-wi-fi-lua-chon-giai-phap-nao-18709 [7] https://securitybox.vn 42 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC PHIẾU ĐIỀU TRA TRẮC NGHỆM TÌNH HÌNH BẢO MẬT CHO HTTT CỦA CƠNG TY FDS 1) Tơi cam kết giữ bí mật thông tin riêng công ty dùng thông tin cung cấp phiếu điều tra cho mục đích khảo sát tổng hợp trạng bảo mật hệ thống thông tin công ty FDS 2) Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp cách khoanh vào chỗ trống Tên doanh nghiệp: Công ty cổ phần phát triển nguồn mở dịch vụ FDS Địa trụ sở chính: Số 4, ngõ Tơn Thất Thuyết, Cầu Giấy, Hà Nội Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ : Năm sinh: Vị trí cơng tác: Đánh giá trang thiết bị phần cứng công ty nay: Rất đầy đủ Đầy đủ Khá đầy đủ Chưa đầy đủ Khơng có ý kiến Đánh giá trang thiết bị phần mềm công ty nay: Rất đầy đủ Chưa đầy đủ Khá đầy đủ Khơng có ý kiến Đầy đủ Anh/chị đánh quan tâm ban lãnh đạo công ty đến vấn đề bảo mật thông tin? Chưa quan tâm Khá quan tâm Bình thường Quan tâm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Rất quan tâm Doanh nghiệp anh/chị sử dụng loại tường lửa (Firewall) nào? Tường lửa có sẵn Window Sản phẩm tường lửa Check Point Sản phẩm tường lửa Juniper Netscreen Sản phẩm tường lửa SonicWALL Khác Anh/chị đánh giá tính hiệu tường lửa doanh nghiệp sử dụng? Chưa tốt Khá tốt Tốt Rất tốt Khơng có ý kiến Anh/chị đánh giá khả diệt virus tính tương thích phần mềm diệt virus BKAV Pro với HTTT doanh nghiệp nay? Chưa tốt Khá tốt Tốt Rất tốt Khơng có ý kiến Cơng ty sử dụng phương pháp lưu trữ thông tin nào? Sử dụng điện toán đám mây Dropbox Lưu trữ thủ tục Lưu trữ thông tin file excel Không lưu trữ Theo anh/chị đánh giá nguồn nhân lực chuyên trách CNTT công ty đáp ứng nhu cầu cơng việc? Khơng có ý kiến Đã áp ứng đủ Chưa đáp ứng đủ Quá nhiều Bình thường Anh/ chị đánh giá mức sử dụng công cụ đảm bảo ATTT nhân viên công ty? Khơng thành thạo Khơng có ý kiến Khá thành thạo Thành thạo LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Rất thành thạo 10 Theo anh/chị doanh nghiệp sử dụng mạng cho hệ thống máy tính doanh nghiệp? Mạng cục (LAN) Mạng diện rộng (WAN) Mạng dùng chung Không biết 11 Thông tin hệ thống doanh nghiệp bị công chưa? Có Khơng Nếu có theo anh/chị thành phần mục tiêu cơng đó? Trang thiết bị phần cứng Website Phấn mềm Con người Hệ điều hành Mạng Chi tiết số công lỗ hổng bị khai thác? 12 Theo anh/chị hoạt động người làm ảnh hưởng đến an tồn thơng tin hệ thống thông tin doanh nghiệp? Sử dụng thiết bị, trang web chép khơng an tồn Truy cập trái phép hệ thống thông tin Không sử dụng diệt virut cho máy cá nhân Hoạt động khác doanh nghiệp 13 Anh/chị đánh giá thứ tự tác nhân gây an tồn bảo mật thơng tin HTTT doanh nghiệp từ 1->5 theo mức độ ảnh hưởng tăng dần: Trang thiết bị phần cứng Phấn mềm Hệ điều hành Mạng Con người LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 14 Anh/chị cho biết phần mềm doanh nghiệp sử dụng có quyền hay khơng? Khơng Có 15 Theo nhận định anh/chị vấn đề phần cứng dễ gây an tồn thơng tin HTTT doanh nghiệp nay? Nhiệt độ, độ ẩm, nguồn nước Trang thiết bị phần cứng lâu đời gặp nhiều trục trặc Cháy nổ thiết bị phần cứng Hỏng RAM liệu Không biết 16 Anh/chị cho biết doanh nghiệp sử dụng hệ quản trị CSDL đây? SQL Server PostgreSQL MySQL SQlite Oracle MongoDB 17 Anh/chị cho biết tần suất lưu liệu doanh nghiệp? Theo Theo ngày Theo tháng Khơng có ý kiến Theo tuần 18 Theo anh/chị việc mở lớp đào tạo kiến thức CNTT doanh nghiệp có cần thiết hay khơng? Có Khơng Anh/chị có đề xuất hay kiến nghị đảm bảo ATTT cho hệ thống chúng ta? ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………… ………………… LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... ‘? ?Một số giải pháp đảm bảo an toàn bảo mật thông tin HTTT công ty Cổ phần phát triển nguồn mở dịch vụ FDS? ?? Mục tiêu nhiệm vụ nghiên cứu Qua nghiên cứu tài liệu tìm hiểu, phân tích thực trạng đảm. .. trạng lý thuyết an tồn bảo mật thơng tin HTTT nói chung, khóa luận đưa số giải pháp nhằm nâng cao hiệu an toàn bảo mật thông tin cho HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Đối tượng... cao tính an tồn bảo mật thơng tin công ty Cổ phầnphát triển nguồn mở dịch vụ FDS? ?? tập trung vào việc đánh giá đưa giải pháp nâng cao hiệu hoạt động đảm bảo an toàn bảo mật HTTT doanh nghiệp cụ