TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU
Trong bối cảnh toàn cầu hóa hiện nay, công nghệ thông tin đóng vai trò quan trọng trong mọi hoạt động kinh tế - xã hội, đặc biệt là trong lĩnh vực kinh doanh Việc ứng dụng công nghệ thông tin giúp doanh nghiệp nắm bắt thông tin một cách chính xác, kịp thời và đầy đủ, từ đó nâng cao hiệu quả kinh doanh và thúc đẩy sự phát triển của nền kinh tế.
Ngày nay, an toàn và bảo mật thông tin là yếu tố sống còn quyết định sự thành bại của doanh nghiệp trên thị trường Dữ liệu, được coi là tài sản quan trọng, là phần không thể thiếu của mọi doanh nghiệp, từ lớn đến nhỏ Tuy nhiên, thông tin luôn đối mặt với nguy cơ mất an toàn từ cả bên trong lẫn bên ngoài Việc đảm bảo an toàn cho dữ liệu không hề đơn giản, đặc biệt trong bối cảnh công nghệ phát triển mạnh mẽ và hệ thống CNTT ngày càng phức tạp, dẫn đến nhiều điểm yếu và rủi ro tiềm ẩn.
Trong bối cảnh các nguy cơ bảo mật ngày càng gia tăng, việc bảo vệ thông tin trở nên thiết yếu để đảm bảo tính bí mật, toàn vẹn, sẵn sàng và xác thực Các rủi ro như lộ thông tin, thay đổi, mất mát và từ chối có thể gây ảnh hưởng nghiêm trọng đến hoạt động và uy tín của doanh nghiệp Công ty TNHH Zenco Việt Nam, một trong những doanh nghiệp hàng đầu trong lĩnh vực thương mại điện tử, đặc biệt chú trọng đến việc bảo mật thông tin vì đây là dữ liệu quan trọng nhất Ngay từ khi thành lập, Zenco đã triển khai nhiều biện pháp bảo đảm an toàn thông tin nhằm bảo vệ sự sống còn của mình Với nhận thức này, sau thời gian thực tập tại công ty, tôi quyết định chọn đề tài: “Một số giải pháp đảm bảo an toàn bảo mật thông tin cho Công ty TNHH Zenco.”
MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU
Hiện nay, nhiều doanh nghiệp đang đối mặt với nguy cơ mất an toàn thông tin, nhưng việc bảo đảm an toàn thông tin lại chưa được quan tâm đúng mức Nguyên nhân chính là do cán bộ, nhân viên chưa nhận thức được tầm quan trọng của an toàn thông tin và các quy trình bảo đảm an toàn chưa rõ ràng Mục tiêu nghiên cứu của đề tài này là nâng cao nhận thức và xây dựng quy trình an toàn thông tin thống nhất trong doanh nghiệp.
Nghiên cứu và đưa ra một số giải pháp nhằm đảm bảo an toàn bảo mật thông tin
Do đó, nhiệm vụ nghiên cứu bao gồm:
- Tổng hợp lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin
Bài viết này phân tích và đánh giá thực trạng an toàn bảo mật thông tin tại Công ty TNHH Zenco, đồng thời chỉ ra những thiếu sót và lỗ hổng trong hệ thống thông tin của công ty dựa trên các tài liệu và phiếu điều tra đã thu thập.
Dựa trên nghiên cứu thực trạng tại công ty, bài viết đề xuất một số biện pháp phòng ngừa và khắc phục nhằm ngăn chặn các nguy cơ mất an toàn bảo mật thông tin, giúp bảo vệ dữ liệu và nâng cao an ninh thông tin cho doanh nghiệp.
PHƯƠNG PHÁP NGHIÊN CỨU
Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu bao gồm việc tìm kiếm và khảo sát các văn bản, tài liệu liên quan đến đề tài nghiên cứu thông qua internet và các bài báo Quá trình này đòi hỏi phân tích và tổng hợp các tài liệu có liên quan để rút ra những kết luận giá trị cho đề tài nghiên cứu.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra, phỏng vấn
Bảng câu hỏi bao gồm các câu hỏi liên quan đến các hoạt động đảm bảo an toàn bảo mật hệ thống thông tin (ATBM HTTT) được triển khai tại Công ty TNHH Zenco Các câu hỏi này nhằm đánh giá hiệu quả của những hoạt động này đối với sự phát triển và an toàn thông tin của công ty.
- Cách thức tiến hành: Bảng câu hỏi sẽ được gửi cho 20 nhân viên trong công ty để thu thập ý kiến
Mục đích của bài viết này là thu thập thông tin về hoạt động an toàn bảo mật thông tin (ATBM) của Công ty TNHH Zenco, từ đó đánh giá thực trạng triển khai và đề xuất các giải pháp hiệu quả nhằm nâng cao hoạt động đảm bảo ATBM thông tin trong công ty.
Phương pháp thu thập dữ liệu thứ cấp liên quan đến việc sử dụng thông tin đã được thu thập và xử lý trước đó cho các mục đích khác nhau của doanh nghiệp Dữ liệu thứ cấp cung cấp cái nhìn sâu sắc và hỗ trợ trong việc ra quyết định mà không cần phải tiến hành thu thập dữ liệu mới.
Nguồn tài liệu bên trong bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty trong ba năm 2016, 2017 và 2018 Những tài liệu này được thu thập từ phòng hành chính, kế toán, và phòng nhân sự, cùng với phiếu điều tra phỏng vấn và các tài liệu thống kê khác.
Nguồn tài liệu bên ngoài cho nghiên cứu được thu thập từ các công trình khoa học, tạp chí, sách báo có liên quan từ những năm trước, cũng như từ Internet.
Sau khi thu thập thông tin cần thiết, bước tiếp theo là phân loại sơ bộ các tài liệu Từ đó, chúng ta có thể xác định xem có cần bổ sung thêm tài liệu nào hay không Nếu đã đủ tài liệu, chúng ta sẽ tiến hành xử lý dữ liệu.
Phương pháp này được sử dụng cho khóa luận để thu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại Công ty TNHH Zenco
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập
Phương pháp phân tích và xử lý dữ liệu sử dụng Microsoft Office Excel cho phép vẽ biểu đồ minh họa, giúp đánh giá hiệu quả hoạt động kinh doanh của công ty Các số liệu được thu thập từ báo cáo kết quả hoạt động kinh doanh năm 2016 sẽ được tổng hợp và phân tích để cung cấp cái nhìn rõ ràng về tình hình tài chính của công ty.
2018, từ phiếu điều tra và tài liệu thống kê khác
Phương pháp phán đoán được sử dụng để dự báo và đánh giá sự phát triển của hệ thống thông tin trong công ty, cũng như tình hình an toàn bảo mật thông tin cả trong nước và quốc tế Đồng thời, phương pháp này cũng giúp nhận diện các nguy cơ tiềm ẩn về mất an toàn thông tin mà công ty có thể phải đối mặt.
Phương pháp phân tích và xử lý dữ liệu
Mỗi phương pháp xử lý thông tin đều có những ưu điểm và nhược điểm riêng Do đó, trong nghiên cứu này, chúng tôi sẽ áp dụng các phương pháp xử lý thông tin cụ thể để đạt được kết quả tối ưu.
Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
SPSS là phần mềm quản lý dữ liệu và phân tích thống kê, hoạt động trong môi trường đồ họa với các trình đơn và hộp thoại đơn giản Phần mềm này cho phép người dùng dễ dàng thực hiện các phân tích như hồi quy, thống kê tần suất và xây dựng đồ thị.
Phương pháp định tính sử dụng Excel để phân tích các số liệu thu thập được, giúp làm rõ các thuộc tính và bản chất của sự vật hiện tượng Phương pháp này thường được áp dụng để tạo ra các bảng số liệu thống kê, biểu đồ và đồ thị, từ đó làm sáng tỏ các khía cạnh khác nhau của nguyên nhân vấn đề được phát hiện.
KẾT CẤU KHÓA LUẬN
Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu tham khảo và phụ lục thì khóa luận gồm 3 phần:
Chương 1: Cơ sở lý luận của vấn đề an toàn bảo mật thông tin
Chương 2: Kết quả phân tích, đánh giá thực trạng về vấn đề an toàn bảo mật thông tin cho công ty TNHH Zenco
Chương 3: Định hướng phát triển và đề xuất giải pháp đảm bảo an toàn thông tin cho công ty TNHH Zenco
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN
MỘT SỐ KHÁI NIỆM CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU
1.1.1 Khái niệm thông tin, HTTT, dữ liệu và CSDL
Thông tin được định nghĩa là sự hiểu biết về một sự kiện hoặc hiện tượng nào đó, được thu thập qua các phương pháp như khảo sát, đo lường, trao đổi và nghiên cứu (Đàm Gia Mạnh, 2009, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội.)
Thông tin là kết quả của việc xử lý dữ liệu, mang lại ý nghĩa thiết thực cho người sử dụng Nó được xem như một sản phẩm hoàn chỉnh, phản ánh quá trình biến đổi dữ liệu thành thông tin có giá trị.
Hệ thống thông tin là sự kết hợp của phần cứng, phần mềm và mạng truyền thông, được thiết kế để thu thập, tái tạo, phân phối và chia sẻ dữ liệu, thông tin và tri thức Mục tiêu của hệ thống này là phục vụ cho nhu cầu của tổ chức, theo Đàm Gia Mạnh (2009) trong giáo trình an toàn dữ liệu trong thương mại điện tử.
Các tổ chức có thể tận dụng hệ thống thông tin cho nhiều mục đích khác nhau Trong quản trị nội bộ, hệ thống này giúp tăng cường sự hiểu biết và thống nhất hành động, từ đó duy trì sức mạnh tổ chức và tạo lợi thế cạnh tranh Đối với bên ngoài, hệ thống thông tin cho phép nắm bắt thông tin hiệu quả hơn, cải tiến dịch vụ và nâng cao sức cạnh tranh, đồng thời thúc đẩy sự phát triển.
(2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội)
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan
Dữ liệu ban đầu chỉ là những giá trị thô, thiếu ý nghĩa đối với người sử dụng Chúng có thể là một tập hợp các giá trị mà không có sự liên hệ rõ ràng Tuy nhiên, qua quá trình xử lý, phân tích và đánh giá, dữ liệu sẽ được chuyển đổi thành thông tin có giá trị, phục vụ cho nhiều mục đích khác nhau của con người.
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh
Cơ sở dữ liệu (CSDL) là tập hợp dữ liệu có tổ chức, được lưu trữ trên các phương tiện như đĩa từ và băng từ, nhằm phục vụ nhu cầu khai thác thông tin đồng thời của nhiều người dùng và ứng dụng An toàn và bảo mật CSDL đóng vai trò quan trọng trong việc bảo vệ thông tin trong thương mại điện tử, đảm bảo rằng dữ liệu được lưu trữ và truyền tải một cách an toàn trước các mối đe dọa.
Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm
Hệ thống thông tin được xem là an toàn khi thông tin trong hệ thống không bị hư hỏng, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi những người không có quyền truy cập.
Một hệ thống thông tin an toàn sẽ đảm bảo rằng các sự cố xảy ra không làm gián đoạn hoạt động chính của nó Những sự cố này sẽ được khắc phục kịp thời, ngăn chặn thiệt hại nghiêm trọng cho chủ sở hữu.
Bảo mật là việc hạn chế lạm dụng tài nguyên và tài sản, đặc biệt phức tạp trong quản lý hệ thống thông tin sử dụng công cụ tin học Trong môi trường này, lạm dụng tài nguyên như thông tin di chuyển trên mạng và lưu trữ vật lý có thể xảy ra nhanh chóng, cùng với lạm dụng tài sản như máy tính, thiết bị mạng, và phần mềm của tổ chức.
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin
+ Bí mật nghĩa (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng
+ Tính trọn vẹn (Integrity) là bảo vệ sự chính xác hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền
+ Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần
Hệ thống được xem là an toàn khi đảm bảo tính riêng tư của thông tin trong một khoảng thời gian xác định, tuân thủ các tiêu chí bảo mật đã đề ra.
Hai yếu tố an toàn và bảo mật có mối liên hệ chặt chẽ với nhau; khi hệ thống bị mất an toàn, khả năng bảo mật sẽ bị ảnh hưởng và ngược lại, nếu hệ thống không được bảo mật, thì an toàn cũng sẽ bị đe dọa.
Bảo mật cơ sở dữ liệu (CSDL) là quá trình bảo vệ thông tin trong CSDL khỏi các truy cập trái phép, ngăn chặn việc thay đổi hoặc suy diễn nội dung thông tin.
Vai trò của an toàn bảo mật thông tin trong doanh nghiệp:
An toàn bảo mật thông tin đóng vai trò then chốt trong sự phát triển bền vững của doanh nghiệp Đối với mỗi công ty, thông tin được xem như một tài sản vô giá, cần được bảo vệ và quản lý một cách hiệu quả.
Rủi ro thông tin có thể dẫn đến mất mát tài chính, tài sản và nhân sự, ảnh hưởng tiêu cực đến hoạt động sản xuất kinh doanh của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp
MỘT SỐ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU CHO HTTT
1.2.1 Hình thức tấn công HTTT
Các hình thức tấn công mạng bao gồm tấn công thụ động và tấn công chủ động, trong đó tấn công thụ động liên quan đến việc lấy cắp dữ liệu, trong khi tấn công chủ động có thể bao gồm việc thay đổi hoặc phá hoại dữ liệu một cách trái phép Những hành động này vi phạm tính toàn vẹn và sẵn sàng của dữ liệu.
Tấn công thụ động là hình thức mà kẻ tấn công thu thập thông tin trên đường truyền mà không làm ảnh hưởng đến dữ liệu được truyền tải Loại tấn công này rất khó phát hiện và phòng ngừa, khiến nó trở thành mối đe dọa nghiêm trọng Hiện nay, tấn công thụ động đang ngày càng gia tăng, do đó, việc áp dụng các biện pháp phòng tránh trước khi xảy ra tấn công là vô cùng cần thiết.
Tấn công thụ động là hình thức đánh cắp thông tin tài khoản mà dữ liệu bị lấy cắp sẽ được lưu trữ để sử dụng sau này Có hai dạng tấn công thụ động chính, bao gồm tấn công trực tuyến (online) và tấn công ngoại tuyến (offline).
Tấn công ngoại tuyến là hình thức đánh cắp tài khoản đơn giản, nhắm vào mục tiêu cụ thể khi thủ phạm tiếp cận trực tiếp tài sản của nạn nhân Phương pháp này có phạm vi hạn chế và hiệu suất thấp, không đòi hỏi trình độ cao và không tốn kém chi phí.
Người dùng có thể dễ dàng trở thành nạn nhân của các cuộc tấn công khi họ để lộ mật khẩu hoặc lưu trữ chúng dưới dạng không mã hóa trong các tập tin có tên dễ đoán trên ổ cứng.
Tấn công trực tuyến thường không có mục tiêu cụ thể, mà nhắm đến đông đảo người dùng trên Internet Kẻ tấn công khai thác các hệ thống lỏng lẻo hoặc lợi dụng sự cả tin của người dùng để đánh cắp tài khoản Phishing là hình thức phổ biến nhất của tấn công trực tuyến, trong đó kẻ gian giả mạo người gửi để đánh cắp thông tin nhạy cảm Cách phòng tránh hiệu quả nhất là nâng cao ý thức của người dùng.
Tấn công chủ động là phương thức can thiệp vào dữ liệu, nhằm sửa đổi hoặc thay thế thông tin, làm lệch hướng đi của dữ liệu Hình thức tấn công này có khả năng chặn gói tin trong quá trình truyền tải, dẫn đến việc dữ liệu từ nguồn đến đích bị thay đổi Mặc dù tấn công chủ động tiềm ẩn nhiều nguy hiểm, nhưng nó lại dễ dàng bị phát hiện.
Tấn công chủ động là một phương thức tấn công tinh vi nhằm đánh cắp và sử dụng tài khoản trong thời gian thực Hình thức tấn công này đòi hỏi chi phí cao và cần có trình độ kỹ thuật chuyên môn cao.
Ngoài ra, các hình thức tấn công như tấn công lặp lại và tấn công từ chối dịch vụ (DoS) cũng rất phổ biến Tấn công lặp lại liên quan đến việc bắt thông điệp, chờ thời gian và gửi lại, trong khi DoS là kiểu tấn công làm quá tải hệ thống, khiến nó không thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS khai thác điểm yếu trong mô hình bắt tay 3 bước của TCP/IP bằng cách liên tục gửi các gói tin yêu cầu kết nối đến server, dẫn đến tình trạng server bị quá tải và không thể phục vụ các kết nối khác.
Tấn công hệ thống thông tin thường diễn ra qua việc sử dụng virus và trojan để đánh cắp dữ liệu, khai thác lỗ hổng trong phần mềm ứng dụng, cũng như thực hiện các cuộc tấn công phi kỹ thuật Mục tiêu chính của những cuộc tấn công này là nhằm lấy cắp hoặc phá hủy dữ liệu, thông tin và các chương trình ứng dụng.
1.2.2 Các nguy cơ mất an toàn thông tin trong HTTT
Nguy cơ mất an toàn thông tin về khía cạnh vật lý
Nguy cơ mất an toàn thông tin về khía cạnh vật lý bao gồm các yếu tố như mất điện, nhiệt độ và độ ẩm không ổn định, hỏa hoạn, thiên tai, hư hỏng thiết bị phần cứng, cùng với sự đe dọa từ nhân viên xấu bên trong và kẻ trộm bên ngoài.
Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin:
Người dùng có thể vô tình tiết lộ mật khẩu hoặc không thực hiện đúng quy trình bảo mật, tạo điều kiện cho kẻ xấu lợi dụng nhằm đánh cắp hoặc làm hỏng thông tin cá nhân.
Kẻ xấu có khả năng sử dụng công cụ và kỹ thuật để chỉnh sửa nội dung thông tin, dẫn đến việc làm sai lệch dữ liệu của chủ sở hữu hợp pháp.
Nguy cơ bị tấn công bởi các phần mềm độc hại
Các phần mềm độc hại sử dụng nhiều phương pháp khác nhau để xâm nhập vào hệ thống, với các mục đích đa dạng như lây lan virus, phát tán sâu máy tính (Worm) và thu thập thông tin qua phần mềm gián điệp (Spyware).
Virus máy tính là chương trình có khả năng tự sao chép và lây lan qua các đĩa, tệp mà người dùng không hay biết Chúng thường mang tính chất phá hoại, gây ra lỗi thi hành, lệch lạc hoặc hủy hoại dữ liệu Virus có kích thước nhỏ, lây lan từ chương trình này sang chương trình khác và từ máy tính này sang máy tính khác Mặc dù phần lớn virus gây hại, cũng tồn tại một số virus không gây thiệt hại, chỉ được tạo ra với mục đích giải trí.
TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU
1.3.1 Tổng quan tình hình nghiên cứu ở Việt Nam
Trong bối cảnh nghiên cứu về an toàn và bảo mật thông tin trong nước có những chuyển biến tích cực, nhiều công trình, sách và tài liệu khoa học đã được xuất bản Một trong số đó là cuốn "Giáo trình an toàn dữ liệu trong thương mại điện tử" của Đàm Gia Mạnh (2009), được phát hành bởi NXB Thống Kê tại Hà Nội.
Giáo trình này trình bày những vấn đề cốt lõi về an toàn dữ liệu trong thương mại điện tử (TMĐT), bao gồm khái niệm, mục tiêu và yêu cầu an toàn dữ liệu Bên cạnh đó, nó cũng đề cập đến các nguy cơ và hình thức tấn công có thể xảy ra trong lĩnh vực TMĐT.
Giáo trình này cung cấp cái nhìn tổng thể về an toàn dữ liệu cho các nhà kinh doanh tham gia thương mại điện tử Nó cũng đề cập đến các phương pháp phòng tránh tấn công dữ liệu và biện pháp khắc phục hậu quả phổ biến, giúp các nhà kinh doanh dễ dàng áp dụng trong công việc hàng ngày.
Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống thông tin, Đại học Nha Trang
Bài giảng này trình bày những vấn đề quan trọng về an toàn và bảo mật thông tin, cũng như các biện pháp khắc phục để bảo vệ dữ liệu trong quá trình truyền tải trên mạng Nó cũng đề cập đến cách bảo vệ hệ thống máy tính và mạng khỏi các cuộc xâm nhập và phá hoại từ bên ngoài, giúp các nhà kinh doanh và doanh nghiệp áp dụng hiệu quả cho hệ thống của mình.
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT như: mã hóa, chữ ký số…
Nội dung nghiên cứu của luận văn chỉ tập trung vào việc đảm bảo an toàn thông tin trong thương mại điện tử, mà không mở rộng ra toàn bộ các vấn đề về an toàn thông tin nói chung hay đi sâu vào phân tích một doanh nghiệp cụ thể.
ThS Nguyễn Tiến Đức (2002) trong bài viết “Tình hình an ninh thông tin ở Việt Nam và sự tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)” đã cung cấp cái nhìn tổng quan về tình hình an ninh thông tin tại Việt Nam và cách các tổ chức, doanh nghiệp, đặc biệt là trong lĩnh vực Công nghệ thông tin, tiếp cận tiêu chuẩn ISO/IEC 27001 Bài viết chỉ ra rằng mức độ an toàn thông tin của doanh nghiệp Việt Nam còn yếu so với thế giới Tuy nhiên, tác giả chưa đi sâu vào khả năng ứng dụng thực tế quy trình xây dựng hệ thống an ninh bảo mật tại một doanh nghiệp cụ thể, trong khi mức độ và phạm vi áp dụng ISO 27001 có thể khác nhau tùy thuộc vào từng doanh nghiệp.
1.3.2 Tổng quan tình hình nghiên cứu trên thế giới Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông tin nói chung Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh nghiệp lớn nhỏ, các tổ chức, chính phủ…
William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall
Cuốn sách khám phá sâu sắc về mật mã và an ninh mạng, nêu bật các vấn đề cơ bản của công nghệ này Nó đánh giá các thực hành an ninh mạng thông qua những ứng dụng thực tế đang được triển khai và sử dụng hiện nay Đặc biệt, tác phẩm nhấn mạnh sự phổ biến của các chương trình mã hóa dựa trên Tiêu chuẩn Mã hóa Dữ liệu (DES), được Cục Tiêu chuẩn Quốc gia thông qua vào năm 1977, hiện nay là tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46) của Viện Tiêu chuẩn và Công nghệ (NIST).
Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results
Bài báo này trình bày kết quả từ dự án nghiên cứu phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp, thuộc chương trình Cấu trúc Doanh nghiệp (EARP) EARP khai thác cấu trúc doanh nghiệp như một cách quản lý hệ thống thông tin tổng thể của công ty Các bên liên quan chính, bao gồm CIO, chịu trách nhiệm quản lý và phát triển hệ thống thông tin doanh nghiệp Mục tiêu của chương trình là cung cấp cho CIO các công cụ và phương pháp dựa trên cấu trúc để hỗ trợ lập kế hoạch và ra quyết định liên quan đến hệ thống thông tin toàn doanh nghiệp.
Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons
Cuốn sách này nhấn mạnh vai trò quan trọng của các hoạt động, nguyên tắc, thuật toán và giao thức bảo mật Internet trong việc bảo vệ an ninh mạng Nó đề xuất các biện pháp khắc phục mối đe dọa từ tội phạm mạng thông qua việc sử dụng độ phân giải mật mã Tính xác thực, tính toàn vẹn và mã hóa thông điệp là những yếu tố thiết yếu để đảm bảo an ninh Internet Nếu thiếu các thủ tục xác thực, kẻ tấn công có thể dễ dàng mạo danh và truy cập vào mạng Bên cạnh đó, tính toàn vẹn của thông điệp cũng rất cần thiết, vì dữ liệu có thể bị thay đổi bởi kẻ tấn công trong quá trình truyền tải qua Internet.
KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN CHO CÔNG TY TNHH
TỔNG QUAN VỀ CÔNG TY TNHH ZENCO
2.1.1 Khái quát chung về Công Ty TNHH ZENCO Việt Nam
- Tên công ty: CÔNG TY TNHH ZENCO VIỆT NAM
- Trụ sở chính: Số 5/55 Huỳnh Thúc Kháng, Quận Đống Đa, Hà Nội
- Loại hình công ty: Công ty TNHH
- Tên giao dịch: ZENCO VN CO.,LTD
- Giám đốc: Hoàng Văn Thành
Lịch sử hình thành và phát triển
Công ty TNHH Zenco Việt Nam, thành lập năm 2012, chuyên đầu tư vào sản phẩm đồng phục cho doanh nghiệp và học sinh, với hai thương hiệu chính là Đồng Phục Đẹp K14.vn và CAVA Uniform.
Zenco hướng tới sứ mệnh cao nhất là phát triển những sản phẩm chất lượng và sáng tạo nhất, nhằm trở thành thương hiệu hàng đầu tại Việt Nam trong lĩnh vực giải pháp đồng phục cho khách hàng.
Trong tương lai, Zenco không chỉ mở rộng mạng lưới chi nhánh trên toàn quốc mà còn phát triển thêm các thương hiệu mới liên quan đến dịch vụ dành cho doanh nghiệp.
Sau 7 năm phát triển, Zenco đã cung cấp nhiều sản phẩm hữu ích cho cả khách hàng cá nhân và doanh nghiệp Với tinh thần trách nhiệm hàng đầu, Zenco cam kết thực hiện đầy đủ các hoạt động đối nội và đối ngoại Đội ngũ trẻ trung, nhiệt huyết của Zenco luôn tận tâm phục vụ khách hàng, nhằm mang đến trải nghiệm tốt nhất về sản phẩm và dịch vụ.
Hệ thống Zenco được phát triển dựa trên việc kế thừa và phát huy các giá trị truyền thống, đồng thời đổi mới để thích ứng với giai đoạn phát triển mới Thương hiệu Zenco nổi bật với những đặc tính riêng, tập trung vào các giá trị cốt lõi như đoàn kết, sáng tạo và cam kết cải tiến chất lượng, tạo nên sức mạnh bền vững cho công ty.
2.1.2 Cơ cấu tổ chức của công ty
2.1.2.1 Sơ đồ tổ chức bộ máy công ty
Mô hình tổ chức bộ máy hoạt động của doanh nghiệp theo hướng chức năng được mô tả theo sơ đồ:
Sơ đồ 2.1 : Cơ cấu tổ chức bộ máy công ty ZENCO
2.1.2.2 Chức năng nhiệm vụ của từng bộ phận
Mỗi phòng ban tại Công ty Zenco đảm nhận những nhiệm vụ và chức năng riêng biệt, đóng vai trò quan trọng trong việc thúc đẩy sự phát triển bền vững của công ty cả trong hiện tại và tương lai.
Hội đồng quản trị là cơ quan quản lý tối cao của công ty, có quyền quyết định tất cả các vấn đề liên quan đến mục tiêu và quyền lợi của doanh nghiệp.
Giám đốc là người đứng đầu và đại diện cho công ty, chịu trách nhiệm quản lý và điều hành tất cả các hoạt động sản xuất kinh doanh Họ có quyền bổ nhiệm, miễn nhiệm và cách chức các chức danh quản lý trong công ty, đồng thời bảo vệ quyền lợi cho cán bộ nhân viên Giám đốc cũng quyết định về lương và phụ cấp cho người lao động, và phụ trách các vấn đề tài chính cũng như các mối quan hệ đối nội và đối ngoại của công ty.
Phó giám đốc kinh doanh
Phòng kế toán Phòng hành chính
Phó giám đốc kỹ thuật
Phòng kỹ thuật Phòng thiết kế
Phó giám đốc kinh doanh đóng vai trò quan trọng trong việc quản lý mua hàng hóa và tiêu thụ, nhằm đạt được kết quả cao nhất cho doanh nghiệp Họ hỗ trợ Tổng giám đốc trong các hoạt động kinh doanh và chịu trách nhiệm trước Hội đồng quản trị cũng như Tổng giám đốc về hiệu quả hoạt động kinh doanh trong phạm vi quyền hạn của mình.
Phó giám đốc kỹ thuật có nhiệm vụ thay thế giám đốc trong việc quản lý các công việc kỹ thuật khi giám đốc vắng mặt Đồng thời, phó giám đốc cũng phải chịu trách nhiệm trước giám đốc về các nhiệm vụ được giao.
Phòng kinh doanh đóng vai trò quan trọng trong việc nghiên cứu và mở rộng thị trường, giới thiệu sản phẩm và lập kế hoạch kinh doanh Đội ngũ này hỗ trợ ban giám đốc trong việc mua hàng hóa cả trong nước và quốc tế nhằm giảm thiểu chi phí Họ cũng đề xuất các phương hướng kinh doanh và xây dựng kế hoạch marketing để tối ưu hóa hiệu quả hoạt động kinh doanh.
Phòng kế toán-hành chính có trách nhiệm tổ chức và quản lý toàn bộ công tác tài chính kế toán, tín dụng, đảm bảo tuân thủ đúng luật kế toán của Nhà nước.
Tổ chức và lưu trữ hệ thống sổ sách, chứng từ kế toán là nhiệm vụ quan trọng nhằm đảm bảo công tác kế toán của Công ty tuân thủ đúng chế độ kế toán hiện hành Việc này không chỉ giúp quản lý tài chính hiệu quả mà còn tạo điều kiện thuận lợi cho việc kiểm tra và báo cáo tài chính.
Xuất và thu hóa đơn là quy trình quan trọng trong việc hợp tác với các đối tác kinh doanh, bao gồm việc nhận hóa đơn từ các nhà xuất khẩu và phát hành hóa đơn cho khách hàng của công ty.
Và đi cùng với việc xuất nhập hóa đơn là việc chi và thu những khoản tiền tương ứng;
- Thanh toán lương cho nhân viên hàng tháng;
- Lập báo cáo kết quả kinh doanh và trình nhà quản lý sau mỗi năm tài chính của Công ty
Đàm phán với đối tác để thu hồi công nợ và thương lượng với nhà cung cấp nhằm hoãn thanh toán khi công ty gặp khó khăn tài chính là những chiến lược quan trọng để duy trì ổn định tài chính.
- Hoạch toán, kê khai và nộp thuế nhu nhập doanh nghiệp theo yêu cầu của nhà nước
+ Phòng hành chính nhân sự: Thực hiện các công việc liên quan đến công tác văn phòng, hội họp, nhân sự: Soạn thảo, lưu trữ công văn giấy tờ…
Kết quả hoạt động kinh doanh của công ty trong giai đoạn 2016 – 2018
TT Danh mục Năm 2016 Năm 2017 Năm 2018
(Nguồn:Bộ phận tài chính công ty Zenco)
Công ty đang trải qua mức tăng trưởng trung bình với tỷ lệ tăng trưởng hàng năm dao động từ 120% đến 140% Năm 2016, doanh thu đạt 1.136,15 triệu đồng, và sau một năm, doanh thu đã tăng lên 1.482,49 triệu đồng Đến năm 2018, doanh thu đã tăng 186% so với năm 2016 Với tốc độ tăng trưởng này, công ty hứa hẹn sẽ phát triển bền vững trong những năm tới.
Nhìn chung lợi nhuận của công ty tăng qua các năm, sự tăng trưởng là không đều
Biểu đồ 2.2.1 Kết quả hoạt động kinh doanh của công ty trong giai đoạn 2016 – 2018
(Nguồn:Bộ phận tài chính công ty Zenco)
2.2 THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ
THÔNG THÔNG TIN CÔNG TY TNHH ZENCO
Trong quá trình nghiên cứu thực trạng tại Công ty, tôi đã tiến hành thực hiện 20 cuộc phỏng vấn và phát phiếu điều tra Mục đích là thu thập thông tin xác thực nhất về vấn đề nghiên cứu.
Doanh thu Chi phí hàng bán Lợi nhuận trước thuế Thuế phải nộp Lợi nhuận sau thuế
2.2.1 Thực trạng an toàn bảo mật thông tin trong hệ thống thông tin của công ty
Trang thiết bị trong đon vị
STT Tên trang thiết bị Số lượng hiện tại
Mức độ đáp ứng nhu cầu sử dụng (tốt, khá, trung bình)
Số lượng cần bổ sung, thay thế
1 Máy tính để bàn 15 Tốt
2 Máy tính xách tay 20 Tốt
6 Thiết bị kết nối mạng (hub, swich, thiết bị phát wifi,…)
Bảng 2.3 : Trang thiết bị phần cứng trong đon vị
Nhìn chung các trang thiết bị trong đơn vị đều được cung cấp đầy đủ, mức độ sử dụng các thiết bị được đảm bảo độ chính xác
Máy in kết nối trực tiếp với các máy tính để bàn, sử dụng chủ yếu trong in báo cáo, văn bản và chuyển fax
Máy chiếu phục vụ chủ yếu trong các cuộc họp, tổng kết cuối tháng hoặc các chương trình giao lưu nội bộ công ty
Về chất lượng của trang thiết bị tại công ty được đánh giá tốt, ít xảy ra sự cố và được sửa chữa kịp thời (nếu có)
Trong nội bộ công ty, thông tin được truyền và nhận qua mạng LAN, Wifi và Internet, giúp kết nối giữa cấp trên và cấp dưới cũng như giữa các nhân viên các phòng ban Các thông báo và tin tức nội bộ có thể được truyền đạt trực tiếp hoặc thông qua bảng thông báo, email và Zalo của nhân viên.
Thông tin sau xử lý được lưu trữ dưới 2 dạng: bản cứng và bản mềm
Các bản cứng được tổ chức theo thời gian hoặc nội dung và được lưu trữ trong các tủ hồ sơ tại các phòng ban Tương tự, các bản mềm cũng được lưu trữ trên máy tính của các bộ phận, do chưa có bộ phận chuyên trách về thông tin để quản lý việc lưu trữ này.
Sử dụng ứng dụng phần mềm hỗ trợ quảng cáo như email marketing, SMS marketing và phần mềm SEO là rất quan trọng Các công cụ này giúp tối ưu hóa nội dung SEO hàng loạt cho doanh nghiệp, từ đó nâng cao hiệu quả tiếp cận khách hàng và tăng cường sự hiện diện trực tuyến.
Một số phần mềm: Công ty sử dụng một số phần mềm sau trong quá trình hoạt động sản xuất kinh doanh:
+ Phần mềm tin học văn phòng: Microsoft Word 2010, Microsoft Excel 2010
+ Phần mềm quản lí nhân sự
+ Phần mềm kế toán-tài chính: Phần mềm Kế toán Doanh nghiệp MISA
SME.NET sử dụng cho phòng kế toán tài chính
Các phần mềm hỗ trợ quản lý nhân sự, kế toán và soạn thảo văn bản giúp công ty giảm chi phí nhân lực, đảm bảo công việc được hoàn thành chính xác và kịp thời Nhờ đó, hiệu quả và chất lượng công việc của công ty được nâng cao.
Vấn đề an toàn bảo mật thông tin là một thách thức lớn mà các doanh nghiệp thường xuyên phải đối mặt Những sự cố như thông tin bị thất lạc hay hệ thống gặp trục trặc không chỉ gây khó khăn trong việc quản lý dữ liệu mà còn ảnh hưởng nghiêm trọng đến khả năng đảm bảo an toàn và bảo mật thông tin của tổ chức.
- Nguồn nhân lực của công ty:
Công ty TNHH Zenco tự hào sở hữu đội ngũ cán bộ nhân viên có trình độ cao, đóng vai trò nòng cốt trong việc quyết định thành công của công ty Đội ngũ này không chỉ đông đảo về số lượng mà còn có chuyên môn vững vàng, góp phần tạo nên nguồn lực mạnh mẽ cho sự phát triển bền vững của Zenco.
Công ty có 5 nhân viên chuyên phụ trách về phần cứng và 10 nhân viên phụ trách phần mềm
Công ty sở hữu nguồn nhân lực chủ yếu là những chuyên gia có trình độ và kỹ năng vững vàng trong lĩnh vực công nghệ thông tin và kế toán Đội ngũ nhân viên trẻ tuổi, nhiệt huyết, năng động và sáng tạo, luôn thể hiện tinh thần trách nhiệm cao trong công việc.
Mỗi nhân viên trong công ty đều được trang bị một máy tính để phục vụ cho công việc, đảm bảo rằng tất cả đều có khả năng sử dụng thành thạo thiết bị này.
Hình 2.4 :Tỷ lệ nhân viên có chứng chỉ tin học
(Nguồn: Theo kết quả xử lý phiếu điều tra )
Anh/Chị có chứng chỉ tin học không?
Theo điều tra, 90% nhân viên sở hữu chứng chỉ tin học, cho thấy tỷ lệ này khá cao Điều này góp phần nâng cao hiệu quả công việc và đảm bảo chất lượng sản phẩm.
Công ty chú trọng phát triển nguồn nhân lực CNTT, bao gồm con người, phần cứng và phần mềm, giúp nhân viên dễ dàng tiếp cận và hiểu rõ các chức năng của phần mềm ứng dụng Nhờ đó, quá trình làm việc diễn ra hiệu quả với ít lỗi phát sinh.
Sinh viên tốt nghiệp chuyên ngành Hệ thống thông tin quản lý và Thương mại điện tử có thể đảm nhận nhiều vị trí như nhân viên marketing online và nhân viên quản trị mạng máy tính Để đáp ứng yêu cầu công việc, ứng viên cần tốt nghiệp ngành CNTT, có kinh nghiệm với mail postfix và thành thạo tiếng Anh giao tiếp cơ bản.
Thông qua việc điều tra tại doanh nghiệp, ta đưa ra kết luận như sau:
- Về mức độ đầu tư cho HTTT và CNTT của lãnh đạo công ty
Hàng năm, chi phí cho việc bảo trì phần cứng, phần mềm và thuê nhân sự IT từ bên ngoài của công ty ước tính khoảng 80.000.
000 (đồng) Chi phí này không gồm chi phí đào tạo về CNTT
- Về mức độ đầy đủ trong việc trang bị máy tính và các thiết bị CNTT, HTTT phục vụ cho hoạt động kinh doanh
Hơn 90% nhân viên văn phòng sử dụng máy tính thường xuyên trong công việc, và 100% trong số họ có chứng chỉ tin học Điều này chứng tỏ rằng công ty đã tích cực áp dụng công nghệ thông tin vào hầu hết các hoạt động của các phòng ban, nhằm nâng cao hiệu quả và năng suất làm việc.
Mọi thông tin được phòng kinh doanh lưu trữ, cập nhật một cách thường xuyên qua Google Drive
ĐÁNH GIÁ VỀ AN TOÀN BẢO MẬT THÔNG TIN CỦA CÁC HỆ THỐNG THÔNG TIN CÔNG TY TNHH ZENCO VIỆT NAM
Công ty cam kết đầu tư vào đào tạo nâng cao kỹ năng cho cán bộ nhân viên CNTT, đồng thời áp dụng chính sách đãi ngộ hợp lý để thu hút và phát triển nguồn nhân lực am hiểu về công nghệ thông tin và hệ thống thông tin Mục tiêu là đạt được kết quả tối ưu cho cả công ty và nhân viên.
Thông tin được lưu trữ và cập nhật thường xuyên bởi nhân viên kinh doanh trên Google Drive, một dịch vụ an toàn của Google Tuy nhiên, để đảm bảo an toàn tuyệt đối cho dữ liệu, việc chia sẻ thông tin cần phải có sự chấp thuận của người có thẩm quyền, nhằm ngăn chặn rò rỉ thông tin ra bên ngoài.
Thông tin được thu thập qua nhiều kênh khác nhau, đảm bảo lượng thông tin luôn ổn định Đồng thời, độ an toàn và bảo mật thông tin được duy trì ở mức tối ưu.
Hệ thống thư điện tử của công ty cung cấp một địa chỉ liên lạc cố định cho nhân viên, giúp đảm bảo sự kết nối hiệu quả Định kỳ, hệ thống được bảo trì mỗi 6 tháng, đảm bảo hoạt động ổn định và hiệu suất cao Nội dung bảo trì được thực hiện một cách toàn diện và tập trung vào các điểm quan trọng.
Các biện pháp bảo đảm an toàn và bảo mật thông tin trong công ty hiện tại chưa đáp ứng đầy đủ yêu cầu bảo vệ hệ thống Kiến thức của nhân viên về hệ thống thông tin và an toàn thông tin còn hạn chế, dẫn đến nguy cơ mất an toàn thông tin cho doanh nghiệp, đặc biệt là ảnh hưởng trực tiếp đến dữ liệu quan trọng.
Khi sử dụng Google Drive để lưu trữ và cập nhật thông tin, nhân viên có thể gặp phải những vấn đề ảnh hưởng tiêu cực đến công việc, đặc biệt là liên quan đến chất lượng dữ liệu đã được lưu trữ.
Hạ tầng kỹ thuật CNTT của Công ty TNHH Zenco Việt Nam chưa đạt được tính đồng bộ tối ưu Công ty thiếu cơ chế và phần mềm kiểm tra kết nối giữa máy chủ và các máy tính tại phòng ban, cũng như chưa có hệ thống tự động thông báo Khi một máy tính ở phòng ban gặp sự cố cần sửa chữa, việc thông báo hoàn toàn dựa vào quy trình thủ công, gây bất tiện trong việc quản lý và bảo trì.
Theo điều tra, 80% máy tính cá nhân sử dụng phần mềm miễn phí hoặc phần mềm crack, trong khi chỉ 20% sử dụng phần mềm diệt virus bản quyền từ nhà sản xuất Điều này cho thấy mức độ chú trọng đến bảo mật máy tính của nhân viên vẫn còn thấp.
- Nguyên nhân của hạn chế:
Số lượng nhân viên chuyên trách về công nghệ thông tin (CNTT) trong công ty còn hạn chế, dẫn đến khó khăn trong việc quản lý toàn bộ hệ thống thông tin (HTTT) Hơn nữa, công ty chưa đầu tư đầy đủ cho cơ sở hạ tầng CNTT, bao gồm các thiết bị và phần mềm bảo mật, điều này ảnh hưởng đến vấn đề an ninh thông tin.
Các thiết bị phòng cháy chữa cháy tại công ty chưa được đảm bảo chất lượng, do nhiều thiết bị đã được mua sắm từ lâu nhưng không được sử dụng và kiểm tra định kỳ Điều này dẫn đến nguy cơ khi xảy ra tai nạn ngoài ý muốn, các thiết bị có thể không hoạt động hiệu quả.
Khía cạnh hạ tầng CNTT:
Hạ tầng kỹ thuật CNTT của công ty chưa đạt được tính đồng bộ tối ưu, với việc toàn bộ hệ thống sử dụng chung một Server, dẫn đến nguy cơ bảo mật cao khi các thành phần xấu có thể dễ dàng xâm nhập qua website để chiếm quyền điều khiển máy chủ và đánh cắp thông tin quan trọng Hơn nữa, Server vật lý hiện tại tiềm ẩn rủi ro mất dữ liệu khi phần cứng gặp trục trặc, cùng với đó là quy trình backup dữ liệu phức tạp và tốn kém.
Các biện pháp bảo mật đường truyền của công ty hiện tại còn thiếu sót và không có hệ thống hay quy trình rõ ràng Tình trạng này dẫn đến nhiều vấn đề nghiêm trọng về an toàn thông tin của doanh nghiệp.
Công ty hiện chưa triển khai cơ chế hoặc phần mềm để kiểm tra kết nối giữa máy chủ và các máy tính ở các phòng ban Hơn nữa, công ty cũng chưa có hệ thống tự động thông báo khi một máy tính trong phòng ban gặp sự cố cần sửa chữa, dẫn đến việc thông báo sửa chữa hoàn toàn phụ thuộc vào quy trình thủ công.
Mặc dù trong công ty, mọi người đều chú trọng đến vấn đề an toàn bảo mật hệ thống thông tin, nhưng chỉ quan tâm thôi là chưa đủ; sự hiểu biết về các biện pháp bảo mật mới thực sự là điều cần thiết.
Số lượng người chưa hiểu biết về an toàn bảo mật thông tin vẫn rất lớn, dẫn đến nguy cơ mất an toàn khi sử dụng email Hacker có thể gửi email kèm tệp tin chứa virus, gây nhiễm virus cho thiết bị Ngoài ra, những email phá hoại có thể đính kèm các tệp chứa virus, sâu mạng, phần mềm gián điệp hoặc trojan horse, làm tăng rủi ro cho người dùng.
ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO CÔNG TY TNHH ZENCO VIỆT NAM
ĐỊNH HƯỚNG PHÁT TRIỂN AN TOÀN BẢO MẬT THÔNG TIN CỦA CÔNG TY TNHH ZENCO VIỆT NAM
Thông tin là tài sản quý giá của doanh nghiệp, đặc biệt trong bối cảnh công nghệ thông tin phát triển mạnh mẽ Nhu cầu sử dụng máy tính ngày càng cao đã thúc đẩy việc lưu trữ dữ liệu công ty dưới dạng cơ sở dữ liệu (CSDL) Hiện tại, Công Ty TNHH Zenco Việt Nam đang áp dụng các hệ quản trị CSDL để quản lý và lưu trữ toàn bộ thông tin quan trọng của mình.
Khi nhiều người cùng truy cập cơ sở dữ liệu (CSDL) với các mục đích khác nhau, rủi ro mất dữ liệu trở nên cao do quản lý tập trung Để đảm bảo an toàn và bảo mật cho CSDL, chúng ta có thể chia hệ thống thành ba nhóm giải pháp chính: phần cứng, phần mềm và con người.
3.1.1 Định hướng phát triển chung
Con người đóng vai trò then chốt trong việc bảo đảm an toàn và bảo mật cơ sở dữ liệu (CSDL) tại công ty, giúp ngăn chặn mất mát thông tin ra bên ngoài do các yếu tố nội bộ Để nâng cao an ninh dữ liệu, công ty cần triển khai một số giải pháp bảo mật từ phía con người.
Phân quyền truy cập dữ liệu cho từng người dùng theo vị trí công việc giúp đảm bảo an toàn cho thông tin của công ty Mỗi người dùng sẽ có quyền sử dụng dữ liệu ở các cấp độ khác nhau và có thể đặt mật khẩu cho từng tệp tin phù hợp với vị trí của họ, từ đó giúp họ hoàn thành công việc hiệu quả mà vẫn bảo vệ được dữ liệu quan trọng.
- Thực hiện kiểm tra thường xuyên liên tục thiết bị ra vào công ty để kiểm soát người ra vào công ty
- Tuyên truyền mọi người có ý thức nâng cao vấn đề bảo vệ an toàn thông tin và dữ liệu cho doanh nghiệp
- Công ty có đầu tư đào tạo về CNTT để giúp nhân viên nhận thức và hiểu về việc bảo vệ an toàn và bảo mật dữ liệu
Một số phương pháp nổi bật và đạt hiệu quả cao trong bảo mật CSDL đối với các doanh nghiệp trong thời gian gần đây:
- Nâng cấp hệ quản trị CSDL
Để bảo vệ dữ liệu trên các thiết bị lưu trữ, hãy sử dụng các hệ mã hóa hiệu quả và đặt mật khẩu cho những file quan trọng, nhằm ngăn chặn truy cập trái phép từ người không có quyền.
- Sử dụng các biện pháp bảo mật đường truyền tránh các trường hợp dữ liệu bị đánh cắp trong quá trình truyền đi trên mạng
- Nâng cấp và sử dụng firewall để bảo vệ an toàn cho dữ liệu trong trường hợp dữ liệu bị tấn công từ bên ngoài
Nâng cấp và sử dụng các phần mềm diệt virus là rất cần thiết để tự động phát hiện và xử lý các cuộc tấn công nhằm ăn cắp dữ liệu và cài đặt truy cập trái phép.
- Sử dụng phần mềm hỗ trợ cho quá trình sao lưu và phục hồi dữ liệu (backup and restore)
3.1.2 Định hướng phát triển của công ty
Đảm bảo tính ATBM HTTT, dữ liệu trong hệ thống: nhằm làm tăng khả năng cạnh tranh và uy tín của công ty trên thị trường
Tránh hiện tượng truy cập trái phép vào CSDL thông tin, giúp tăng khả năng bảo mật thông tin trong quá trình hoạt động kinh doanh
Xây dựng hệ thống thông tin hỗ trợ hiệu quả cho các hoạt động tác nghiệp của công ty, nhằm giảm chi phí hoạt động và ngăn chặn sự xâm nhập từ bên trong lẫn bên ngoài.
Hoàn thiện hệ thống chữ ký số và xác thực chứng chỉ số
Tổ chức các chương trình đào tạo cho nhân viên kinh doanh nhằm nâng cao kiến thức ATBM HTTT trong doanh nghiệp
Dựa trên định hướng của ban lãnh đạo Công Ty TNHH Zenco Việt Nam về hệ thống thông tin trong tương lai, khóa luận này sẽ đề xuất một số giải pháp nhằm đạt được các mục tiêu mà công ty đã đặt ra.
GIẢI PHÁP NÂNG CAO AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY
Trong môi trường kinh doanh cạnh tranh hiện nay, thông tin trở thành tài sản quý giá của doanh nghiệp Sự phát triển của Internet cũng tạo ra nguy cơ xâm nhập và đánh cắp dữ liệu Do đó, bảo vệ thông tin doanh nghiệp là bảo vệ sự sống còn của tổ chức Các công ty cần triển khai giải pháp hiệu quả để đảm bảo hệ thống máy tính của nhân viên luôn được bảo mật, tránh xa những kẻ có ý định xâm nhập nhằm đánh cắp hoặc phá hoại dữ liệu.
3.2.1 Giải pháp phần cứng 3.2.1.1 Các giải pháp bảo vệ bằng tường lửa phần cứng (FireWall)
Tường lửa (Firewall) là thiết bị hoặc phần mềm có chức năng lọc thông tin vào và ra khỏi hệ thống mạng hoặc máy tính, dựa trên các quy định đã được cài đặt trước.
Mục tiêu của tường lửa là thiết lập kết nối an toàn giữa mạng nội bộ và bên ngoài, đồng thời ngăn chặn các truy cập trái phép từ bên ngoài vào các máy chủ và thiết bị trong hệ thống mạng.
Hình 3.1 Tường lửa cho hệ thống mạng
Firewall phần cứng là thiết bị chuyên dụng được thiết kế để bảo vệ mạng bằng cách giám sát và kiểm tra các gói tin Internet trước khi chúng đến máy tính Nó xác định nguồn gốc của gói tin và đánh giá độ tin cậy của địa chỉ IP và tiêu đề, đảm bảo an toàn cho hệ thống mạng.
Firewall của Cisco là lựa chọn phổ biến cho các doanh nghiệp nhỏ và vừa nhờ vào tính năng ưu việt và giá cả hợp lý Gần đây, Cisco đã ra mắt thế hệ firewall mới mang tên first threat-focused Next-Generation Firewall (NGFW), được thiết kế đặc biệt để phát hiện và ngăn chặn các cuộc tấn công Thế hệ firewall Cisco ASA với FirePOWER Services cung cấp khả năng nhận thức theo ngữ cảnh và kiểm soát linh hoạt, giúp đánh giá mối đe dọa, phối hợp thông tin và tối ưu hóa phòng thủ, bảo vệ an toàn cho hệ thống mạng của người dùng.
Cisco đã ra mắt thiết bị firewall mới, kết hợp tường lửa, kiểm soát ứng dụng và khả năng phòng chống xâm nhập, giúp phát hiện các cuộc tấn công Thiết bị này không chỉ đơn giản hóa kiến trúc bảo mật cho các tổ chức mà còn tiết kiệm chi phí và giảm số lượng thiết bị bảo mật cần quản lý và triển khai.
Trong bối cảnh hiện nay, với sự gia tăng các cuộc tấn công vào hệ thống điều khiển và sự xuất hiện của các băng nhóm tội phạm mạng tinh vi, các tổ chức cần chủ động kiểm soát mọi thay đổi nhỏ trong môi trường để có biện pháp bảo vệ kịp thời Thiết bị phần cứng Cisco ASA với dịch vụ FirePOWER là một bước tiến quan trọng trong thị trường tường lửa thế hệ mới (NGFW), cung cấp khả năng bảo vệ theo thời gian thực cho data center, hệ thống mạng và từng thiết bị đầu cuối.
3.2.1.2 Giao thức bảo mật đường truyền
Trong lĩnh vực an toàn bảo mật cơ sở dữ liệu, việc đảm bảo đường truyền an toàn là một vấn đề quan trọng Hai giao thức cơ bản được chú trọng trong việc này là IPsec và SSL.
Thiết lập các nguyên tắc cho nội dung gửi đi
Tường lửa có khả năng chặn lưu lượng và kiểm soát việc gửi dữ liệu vào hoặc ra khỏi mạng Nó cho phép một số lưu lượng nhất định được rời khỏi mạng, chẳng hạn như thông qua email hoặc tính năng chia sẻ file ngang hàng Do đó, công ty có thể cấu hình tường lửa để ngăn chặn các giao thức không mong muốn, như những giao thức thường được sử dụng bởi phần mềm P2P.
Bạn có thể cấu hình máy chủ mail để ngăn chặn việc gửi các tệp đính kèm Bên cạnh đó, bạn cũng có thể kiểm soát nội dung gửi đi bằng cách sử dụng các từ khóa thông qua các thiết bị, phần mềm hoặc dịch vụ lọc nội dung như Microsoft, ForeFront Technologies, McAfee và Google Postini.
Dưới đây là một số giao thức bảo mật đường truyền:
- Giao thức WEP- Wired Equivalent Privacy
WEP được thiết kế để bảo mật mạng không dây tương đương với mạng có dây truyền thống, sử dụng phương thức mã hóa với thuật toán đối xứng RC4 Thuật toán này cho phép chiều dài khóa thay đổi, tối đa lên đến 256 bit, nhưng hiện nay, hầu hết các thiết bị không dây hỗ trợ WEP với các chiều dài khóa 40 bit, 64 bit và 128 bit Để đảm bảo an toàn cho công ty, việc sử dụng WEP với độ dài khóa 128 bit là lựa chọn tối ưu.
WEP sử dụng thuật toán RC4, một phương thức mã hóa dòng, yêu cầu một cơ chế đảm bảo rằng hai dữ liệu giống nhau sẽ cho kết quả mã hóa khác nhau Điều này quan trọng để hạn chế khả năng suy đoán khóa của Hacker Tuy nhiên, việc sử dụng RC4 cùng với giá trị Initialization Vector (IV) có thể dẫn đến các vấn đề như va chạm IV, dễ phát hiện IV và bẻ khóa WEP, cũng như tấn công thụ động ngày càng tinh vi Giải pháp tối ưu cho WEP là kết hợp với các biện pháp bảo mật khác, chẳng hạn như sử dụng khóa WEP dài 128 bit, nhằm gia tăng số lượng gói dữ liệu mà Hacker cần để phân tích IV, từ đó làm khó khăn và kéo dài thời gian giải mã khóa WEP.
SSL (Secure Sockets Layer) là giao thức bảo mật cho phép truyền tải thông tin an toàn qua mạng Nó thiết lập tiêu chuẩn công nghệ bảo mật, đảm bảo việc mã hóa dữ liệu giữa máy chủ Web server và trình duyệt Tiêu chuẩn này hoạt động để bảo vệ tính riêng tư và toàn vẹn của dữ liệu khi truyền tải giữa máy chủ và người dùng.
Việc kết nối giữa trình duyệt web và các điểm trên Internet diễn ra qua nhiều hệ thống độc lập mà không có sự bảo vệ cho thông tin trong quá trình truyền tải Cả người dùng lẫn máy chủ web đều không kiểm soát được đường đi của dữ liệu và không thể ngăn chặn các cuộc xâm nhập vào thông tin Để bảo vệ thông tin nhạy cảm trên Internet và các mạng TCP/IP, SSL đã tích hợp nhiều yếu tố nhằm thiết lập giao dịch an toàn.
Để đảm bảo an toàn trong kết nối, việc xác thực tính xác thực của trang web là rất quan trọng Đồng thời, các trang web cũng cần thực hiện kiểm tra xác thực người dùng để bảo vệ thông tin và dữ liệu của mình.
MỘT SỐ KIẾN NGHỊ VỚI CÔNG TY
Đảm bảo an toàn bảo mật thông tin (ATBM) trong hệ thống thông tin (HTTT) không chỉ là trách nhiệm của người quản trị mà còn là nhiệm vụ chung của tất cả nhân viên trong công ty Tất cả mọi người, đặc biệt là bộ phận nhân viên kinh doanh, cần có ý thức bảo vệ thông tin, vì họ có ảnh hưởng trực tiếp đến dữ liệu của công ty.
Là người trực tiếp nghiên cứu về hoạt động kinh doanh và an toàn bảo mật thông tin của doanh nghiệp, tôi xin đề xuất một số kiến nghị nhằm nâng cao hiệu quả công tác bảo mật thông tin.
Việc nâng cấp máy chủ và máy tính cá nhân là cần thiết cho doanh nghiệp, khi tất cả máy trong phòng ban đều được kết nối Internet và mạng LAN, được kiểm soát bởi máy chủ tại phòng công nghệ thông tin Doanh nghiệp cần đảm bảo website, hệ thống email, CRM và ERP luôn sẵn sàng và có thể truy cập 24/24 Máy chủ đóng vai trò quan trọng trong hệ thống thông tin của doanh nghiệp, giúp tối ưu hóa quản lý thông tin, duy trì thời gian hoạt động lâu dài, tăng tốc độ xử lý và cập nhật dữ liệu kịp thời Điều này không chỉ giúp tránh mất cắp dữ liệu mà còn hạn chế nguy cơ bị tấn công mạng và virus backdoor.
Mức yêu cầu tối thiểu của phần cứng đặt ra đối với máy chủ và máy tính cá nhân người dùng như sau:
+ Đối với máy chủ phần mềm:
Bảng 3.3 Yêu cầu phần cứng đặt ra với máy chủ người dùng
Máy chủ là máy PC có cấu hình như sau
CPU Core 2 duo 2.8 GHz or higher
Webserver: Apache 2.x Database : MySQL 5.1.x or SQL server 2008
+ Đối với máy tính cá nhân người dùng:
Bảng 3.4 Yêu cầu phần cứng đặt ra với máy tính cá nhân người dùng
Máy người sử dụng hệ thống CPU Intel or higher
Network card 200 Mbps Software Os: Windowns
Webserver: Internet Explorer 5.5 and above, Netscape 7.0 and above, Mozilla Firefox 1.4 and above, or Opera 7.21 and above
Đẩy mạnh tuyên truyền nâng cao nhận thức của doanh nghiệp về ATBM HTTT nói chung và thông tin của công ty nói riêng
Cập nhật phần cứng và phần mềm là cần thiết để doanh nghiệp thích ứng với các giải pháp mới về an toàn và bảo mật thông tin trong hệ thống mạng.
Các trang thiết bị về công nghệ thông tin phải được kiểm tra thường xuyên, khắc phục các lỗi và trục trặc nhanh chóng và kịp thời
Đầu tư vào cơ sở hạ tầng máy móc và thiết bị bảo mật là rất quan trọng cho mọi hoạt động trong công ty Việc trang bị phần mềm chuyên dụng và xây dựng các mô hình mạng an toàn sẽ giúp đảm bảo an ninh mạng hiệu quả.
Mở các chiến dịch nâng cao kiến thức an toàn bảo mật thông tin cho nhân viên là rất quan trọng Điều này có thể được thực hiện thông qua việc tổ chức các khóa đào tạo trực tuyến hoặc gửi nhân viên tham gia các chương trình đào tạo tại các doanh nghiệp lớn hơn.
Để đảm bảo an ninh mạng và bảo vệ thông tin, các doanh nghiệp, tổ chức và đơn vị cần hợp tác chặt chẽ với nhau và thiết lập cơ chế phối hợp với các tổ chức bảo mật quốc tế.
Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin, nghiêm khắc xử lí trường hợp vi phạm
Tuyển dụng nhân viên quản trị an toàn thông tin là cần thiết để kiểm soát hệ thống thông tin, đảm bảo tính an toàn bảo mật thông tin thông qua các chính sách bảo mật nội bộ Nhân viên này sẽ thiết lập các quy định cụ thể về mật khẩu, cài đặt phần mềm chống virus và ngăn chặn các cuộc tấn công từ bên ngoài cũng như bên trong.
Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ và cuộc cách mạng công nghiệp 4.0, các doanh nghiệp đang áp dụng những phương thức hoạt động mới mẻ, sáng tạo và nhanh chóng, giúp tiết kiệm thời gian và công sức mà vẫn đảm bảo độ chính xác cao Việc ứng dụng công nghệ vào hệ thống quản lý đã tạo ra bước ngoặt quan trọng, cho phép doanh nghiệp thu thập, xử lý và phổ biến thông tin một cách hiệu quả Công nghệ thông tin còn hỗ trợ phân tích và lưu trữ dữ liệu, phục vụ cho việc điều hành và ra quyết định kinh doanh Tuy nhiên, vấn đề mất mát và đánh cắp dữ liệu đang là mối lo ngại lớn, vì vậy việc đảm bảo an toàn và bảo mật dữ liệu trở thành ưu tiên hàng đầu của các công ty và tổ chức.
Với đề tài được giao, tôi đã nỗ lực hết mình để hoàn thành tốt nhất có thể Tuy nhiên, do hạn chế về trình độ và thời gian, chắc chắn vẫn còn nhiều vấn đề cần cải thiện.
Chúng tôi rất mong nhận được ý kiến đóng góp từ quý thầy cô Hy vọng rằng trong thời gian tới, công ty sẽ nâng cao hiệu quả các hoạt động giao dịch thương mại điện tử, từ đó giúp doanh nghiệp phát triển bền vững và đủ sức cạnh tranh với những thương hiệu uy tín trong ngành.
Xin chân thành cảm ơn quý công ty và thầy Cù Nguyên Giáp vì sự hỗ trợ tận tình và tạo điều kiện thuận lợi cho tôi trong quá trình nghiên cứu và hoàn thiện khóa luận tốt nghiệp.
Em xin chân thành cảm ơn!
[1] Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội
[2] Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống thông tin, Đại học Nha Trang
[3] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa
[4] ThS Nguyễn Tiến Đức (2002), “Tình hình an ninh thông tin ở Việt Nam và sự tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục
Công nghệ thông tin Việt Nam
[5] William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall
[6].Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results
[7].Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons.
