TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ & TMĐT - - KHÓA LUẬN TỐT NGHIỆP Một số giải pháp đảm bảo an tồn bảo mật thơng tin cho cơng ty TNHH Zenco Giáo viên hướng dẫn: Cù Nguyên Giáp Sinh viên thực hiện: Vi Văn Chì Mã sinh viên: 15D190074 Lớp : 51S2 Hà Nội - 2019 i LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn thầy giáo Cù Nguyên Giáp hướng dẫn tận tình, bảo em suốt thời gian thực đề tài để em hồn thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an tồn bảo mật thơng tin cho cơng ty TNHH Zenco Em xin bày tỏ lòng cảm ơn sâu sắc tới thầy cô giáo, đặc biệt Khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử giảng dạy em suốt bốn năm ngồi ghế giảng đường trường Đại học Thương Mại, giúp em trang bị kiến thức để làm tốt đề tài khóa luận vững bước vào tương lai Em xin gửi lịng biết ơn sâu sắc đến q cơng ty TNHH Zenco Việt Nam, ban lãnh đạo công ty tồn thể nhân viên cơng ty tạo điều kiện cho em tìm hiểu, nghiên cứu suốt q trình thực tập cơng ty để em hồn thành khóa luận tốt nghiệp Mặc dù cố gắng hoàn thành luận văn với tất nỗ lực thân, thời gian nghiên cứu cịn hạn hẹp, trình độ khả thân cịn hạn chế Vì vậy, khóa luận chắn khơng tránh khỏi thiếu sót, kính mong thầy giáo Cù Ngun Giáp, thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử tận tình bảo để em hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực Vi Văn Chì ii MỤC LỤC LỜI CẢM ƠN i MỤC LỤC iii DANH MỤC BẢNG BIỂU, HÌNH VẼ v PHẦN MỞ ĐẦU 1 TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 3.1 Đối tượng nghiên cứu đề tài 3.2 Phạm vi nghiên cứu đề tài PHƯƠNG PHÁP NGHIÊN CỨU 4.1 Phương pháp thu thập liệu 4.2 Phương pháp phân tích xử lý liệu KẾT CẤU KHÓA LUẬN CHƯƠNG CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN 1.1 MỘT SỐ KHÁI NIỆM CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU 1.1.1 Khái niệm thông tin, HTTT, liệu CSDL 1.1.2 Khái niệm an toàn bảo mật CSDL 1.2 MỘT SỐ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU CHO HTTT 1.2.1 Hình thức cơng HTTT 1.2.2 Các nguy an tồn thơng tin HTTT 1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU 11 1.3.1 Tổng quan tình hình nghiên cứu Việt Nam 11 1.3.2 Tổng quan tình hình nghiên cứu giới 12 CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ AN TỒN BẢO MẬT THÔNG TIN CHO CÔNG TY TNHH ZENCO 13 2.1 TỔNG QUAN VỀ CÔNG TY TNHH ZENCO 13 2.1.1 Khái quát chung Công Ty TNHH ZENCO Việt Nam 13 2.1.2 Cơ cấu tổ chức công ty 14 2.1.3 Các lĩnh vực kinh doanh chủ yếu công ty 16 2.1.4 Tình hình hoạt động kinh doanh Công ty TNHH ZENCO 16 2.2 Kết hoạt động kinh doanh công ty giai đoạn 2016 – 2018 .17 iii 2.2 THỰC TRẠNG AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THƠNG THƠNG TIN CÔNG TY TNHH ZENCO 17 2.2.1 Thực trạng an tồn bảo mật thơng tin hệ thống thông tin công ty TNHH Zenco .18 2.2.2 Tình hình áp dụng sách bảo mật cơng ty TNHH ZENCO 21 2.3 ĐÁNH GIÁ VỀ AN TỒN BẢO MẬT THƠNG TIN CỦA CÁC HỆ THỐNG THÔNG TIN CÔNG TY TNHH ZENCO VIỆT NAM 23 2.3.1 Ưu điểm 23 2.3.2 Nhược điểm 24 CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN CHO CƠNG TY TNHH ZENCO VIỆT NAM 26 3.1 ĐỊNH HƯỚNG PHÁT TRIỂN AN TỒN BẢO MẬT THƠNG TIN CỦA CƠNG TY TNHH ZENCO VIỆT NAM 26 3.1.1 Định hướng phát triển chung .26 3.1.2 Định hướng phát triển công ty .27 3.2 GIẢI PHÁP NÂNG CAO AN TỒN VÀ BẢO MẬT THƠNG TIN CỦA CƠNG TY 27 3.2.1 Giải pháp phần cứng 27 3.2.1.1 Các giải pháp bảo vệ tường lửa phần cứng (FireWall) 27 3.2.1.2 Giao thức bảo mật đường truyền 29 3.2.2 Giải pháp phần mềm 32 3.2.3 3.3 Giải pháp nguồn nhân lực .34 MỘT SỐ KIẾN NGHỊ VỚI CÔNG TY 35 KẾT LUẬN 38 TÀI LIỆU THAM KHẢO PHỤ LỤC iv DANH MỤC BẢNG BIỂU, HÌNH VẼ Sơ đồ 2.1 : Cơ cấu tổ chức máy công ty ZENCO 14 Bảng 2.3 : Trang thiết bị phần cứng đon vị 18 Bảng 2.5 Mức độ hợp lý tần suất cập nhật thông tin website công ty: 21 Bảng 2.6: Các biện pháp bảo đảm an toàn cho liệu .21 Bảng 2.7 Mức độ quan tâm nhân viên công ty cần thiết an tồn bảo mật thơng tin .22 Bảng 2.8 Chất lượng phần mềm sử dụng công ty 22 Bảng 2.9 Khảo sát số nguy gây an toàn liệu 22 Bảng 2.10 Một số biện pháp phòng tránh an toàn liệu .23 Bảng 3.2 Gói dịch vụ cung cấp SSL 31 Bảng 3.3 Yêu cầu phần cứng đặt với máy chủ người dùng 36 Bảng 3.4 Yêu cầu phần cứng đặt với máy tính cá nhân người dùng .36 Biểu đồ 2.2.1 Kết hoạt động kinh doanh công ty giai đoạn 2016 – 2018 17 Hình 2.4 :Tỷ lệ nhân viên có chứng tin học 19 Hình 3.1 Tường lửa cho hệ thống mạng 28 v PHẦN MỞ ĐẦU TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU Trong kinh tế toàn cầu hóa nay, cơng nghệ thơng tin chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an tồn bảo mật thơng tin xem sống cịn doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin ln đối mặt với nguy an tồn yếu tố bên bên doanh nghiệp Việc đảm bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Đặc biệt với công ty TNHH Zenco Việt Nam doanh nghiệp hàng đầu lĩnh vực bán lẻ, phân phối sản phẩm mơ hình kinh doanh trực tuyến (kinh doanh Thương mại điện tử), thông tin liệu quan trọng bậc mà công ty cần bảo mật Bởi vậy, từ hoạt động, công ty TNHH Zenco nói riêng với doanh nghiệp nói chung có biện pháp đảm bảo an tồn thơng tin HTTT, bảo vệ sống cịn doanh nghiệp Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: “Một số giải pháp đảm bảo an tồn bảo mật thơng tin cho Cơng ty TNHH Zenco” MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU Hiện nay, hầu hết doanh nghiệp phải đối mặt với nguy an tồn thơng tin việc đảm bảo an tồn thơng tin lại khơng trọng, không thực thường xuyên Nguyên nhân phần lớn cán bộ, nhân viên không trọng tới việc bảo đảm an tồn thơng tin doanh nghiệp, không ý thức tầm quan trọng việc đảm bảo an tồn thơng tin doanh nghiệp, quy trình đảm bảo an tồn thơng tin chưa rõ ràng thống Do mục tiêu nghiên cứu đề tài là: Nghiên cứu đưa số giải pháp nhằm đảm bảo an tồn bảo mật thơng tin Do đó, nhiệm vụ nghiên cứu bao gồm: - Tổng hợp lý thuyết sở lý luận đảm bảo an tồn thơng tin - Phân tích đánh giá thực trạng an tồn bảo mật thông tin công ty Công ty TNHH Zenco đưa thiếu sót lỗ hổng HTTT công ty dựa tài liệu, phiếu điều tra - Trên sở nghiên cứu thực trạng tình hình cơng ty, từ đưa số đề xuất, phòng chống khắc phục để ngăn chặn nguy an tồn bảo mật thơng tin áp dụng với công ty ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 3.1 Đối tượng nghiên cứu đề tài Trong đề tài nghiên cứu đối tượng nghiên cứu đề tài vấn đề an toàn bảo mật thông tin Khách thể nghiên cứu Công ty TNHH Zenco Trong chia làm đối tượng nhỏ là: - Hệ thống mạng máy chủ máy trạm công ty - Các phần cứng phần mềm sử dụng công ty - Cơ sở liệu lưu trữ máy chủ, máy trạm công ty - Nhân viên quản lý, yếu tố liên quan đến bảo mật, người cơng ty Từ đưa giải pháp cơng nghệ người để đảm bảo an tồn thông tin cho công ty 3.2 Phạm vi nghiên cứu đề tài Đề tài tập trung nghiên cứu phạm vi Công ty TNHH Zenco, cụ thể: - Về mặt không gian: Dựa tài liệu thu thập công ty, phiếu điều tra tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an tồn bảo mật CSDL Công ty TNHH Zenco - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan công ty Các số liệu khảo sát q trình thực tập cơng ty PHƯƠNG PHÁP NGHIÊN CỨU 4.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra, vấn - Nội dung: Bảng câu hỏi gồm câu hỏi, câu hỏi xoay quanh hoạt động đảm bảo ATBM HTTT triển khai hiệu hoạt động Công ty TNHH Zenco - Cách thức tiến hành: Bảng câu hỏi gửi cho 20 nhân viên công ty để thu thập ý kiến - Mục đích: Nhằm thu thập thông tin hoạt động ATBM thông tin công ty để từ đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu hoạt động đảm bảo ATBM thông tin Công ty TNHH Zenco Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cập thông tin thu thập xử lý trước mục tiêu khác công ty - Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh cơng ty vịng năm: 2016, 2017, 2018 thu thập từ phịng hành chính, kế tốn, phịng nhân công ty, từ phiếu điều tra vấn tài liệu thống kê khác - Nguồn tài liệu bên ngồi: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan đến đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thông tin cần thiết ta tiến hành phân loại sơ tài liệu Từ rút kết luận có cần thêm tài liệu bổ sung vào, đủ tiến hành bước xử lý liệu Phương pháp sử dụng cho khóa luận để thu thập liệu liên quan đến vấn đề an tồn bảo mật Cơng ty TNHH Zenco Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2016 – 2018, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán dùng để đưa dự báo, phán đốn tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà cơng ty hứng chịu 4.2 Phương pháp phân tích xử lý liệu Mỗi phương pháp xử lý thông tin có ưu nhược điểm riêng chúng đề tài nghiên cứu sử dụng phương pháp xử lý thông tin sau: Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences) SPSS phần mềm cung cấp hệ thống quản lý liệu phân tích thống kê mơi trường đồ họa, sử dụng trình đơn mơ tả hộp thoại đơn giản để thực hầu hết công việc thống kê phân tích số liệu Người dùng dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị Phương pháp định tính: Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị KẾT CẤU KHĨA LUẬN Ngồi danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu tham khảo phụ lục khóa luận gồm phần: Chương 1: Cơ sở lý luận vấn đề an tồn bảo mật thơng tin Chương 2: Kết phân tích, đánh giá thực trạng vấn đề an tồn bảo mật thơng tin cho công ty TNHH Zenco Chương 3: Định hướng phát triển đề xuất giải pháp đảm bảo an toàn thông tin cho công ty TNHH Zenco CHƯƠNG CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN 1.1 MỘT SỐ KHÁI NIỆM CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU 1.1.1 Khái niệm thông tin, HTTT, liệu CSDL Thông tin điều hiểu biết kiện, tượng đó, thu nhận qua khảo sát, đo lường, trao đổi, nghiên cứu…(theo Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê, Hà Nội.) Thông tin liệu xử lý cho thực có ý nghĩa người sử dụng Thơng tin coi sản phẩm hoàn chỉnh thu sau trình xử lý liệu Khái niệm hệ thống thông tin tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức (theo Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê, Hà Nội.) Các tổ chức sử dụng hệ thống thông tin với nhiều mục đích khác Trong việc quản trị nội bộ, hệ thống thông tin giúp đạt thông hiểu nội bộ, thống hành động, trì sức mạnh tổ chức, đạt lợi cạnh tranh.Với bên ngồi, hệ thống thơng tin giúp nắm bắt nhiều thông tin cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển (theo Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê, Hà Nội) Dữ liệu giá trị phản ánh vật, tượng giới khách quan Nhưng giá trị thơ, chưa có ý nghĩa với người sử dụng Dữ liệu tập hợp giá trị mà liên hệ chúng Dữ liệu qua trình xử lý, phân tích đánh giá trở thành thơng tin phục vụ cho mục đích khác người (theo Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa.) Dữ liệu biểu diễn nhiều dạng khác âm thanh, văn bản, hình ảnh Cơ sở liệu (CSDL): tập hợp liệu tương quan có tổ chức lưu trữ phương tiện lưu trữ đĩa từ, băng từ v v nhằm thỏa mãn yêu cầu khai thác thông tin (đồng thời) nhiều người sử dụng nhiều chương trình ứng dụng (theo Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa.) 1.1.2 Khái niệm an toàn bảo mật CSDL Theo từ điển Tiếng Việt, an tồn có nghĩa bảo vệ, không xâm phạm Một hệ thống thông tin coi an tồn ( security) thơng tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người khơng phép 3.2.2 Giải pháp phần mềm 3.2.2.1 Sử dụng hình thức mã hố Hiện cơng ty sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa liệu, kỹ thuật mã hóa có nhiều ưu điểm nhiên có số hạn chế công ty nên sử dụng thêm số biện pháp, phương pháp khác - Sử dụng mã hóa file hệ thống (EFS-Encrypting File System) Trong số phần lớn người sử dụng chúng ta, hẳn bạn biết Windows XP, Windows phiên hệ điều hành – Windows tích hợp sẵn dịch vụ bảo mật liệu dành cho người dùng đơn giản vô hiệu vài thao tác thiết lập Đó Encrypted File Service hay gọi tắt EFS EFS thực chất dịch vụ bảo mật tích hợp sẵn Windows kể từ phiên XP Một liệu mã hóa EFS truy cập sử dụng tài khoản thực lệnh mã hóa Mặc dù người dùng khác nhìn thấy file liệu đó, khơng thể mở – cho dù tài khoản Administrator Chúng ta sử dụng phương pháp mã hóa tích hợp tảng giấy phép để bảo vệ file thư mục riêng biệt lưu trữ phân vùng định dạng NTFS Thao tác mã hóa file thư mục đơn giản, cần click vào nút Advanced tab General trang thuộc tính Properties Lưu ý khơng thể sử dụng kết hợp mã hóa EFS nén NTFS EFS sử dụng kết hợp mã hóa đối xứng bất đối xứng cho bảo mật thực thi Để mã hóa file với EFS, người dùng phải có giấy phép EFS, tạo Windows Certification Authority, hay giấy phép tự phân khơng có Certificate Authority mạng Các file EFS mở tài khoản người dùng mã hóa chúng, hay tác nhân khôi phục chuyên dụng Với Windows XP hay Windows 2003 cịn định tài khoản người dùng khác phân quyền để truy cập vào file mã hóa EFS Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file - Sử dụng cơng cụ mã hóa ổ đĩa Trong số phiên Windows Vista, Windows 7, Windows Server 2008 Windows Server 2008 R2 tích hợp cơng cụ mã hóa ổ đĩa mạnh có tên 32 BitLocker Mặc định, cơng cụ sử dụng mã hóa AES (Advanced Encryption Standard) vận hành theo chế độ Ngoài sử dụng nhiều cơng cụ mã hóa ổ đĩa nhóm ba khác cho phép mã hóa tồn ổ đĩa Khi mã hóa tồn ổ đĩa, người dùng truy cập vào liệu Dữ liệu mã hóa tự động ghi vào ổ đĩa tự động giải mã trước tải vào nhớ Một số cơng cụ tạo vùng lưu trữ vơ hình bên phân vùng, sau hoạt động ổ đĩa ẩn bên ổ đĩa Những người dùng khác thấy liệu ổ đĩa ngồi Những cơng cụ mã hóa ổ đĩa sử dụng để mã hóa ổ đĩa di động Một số cho phép tạo mật chủ với mật phụ với quyền thấp để cấp cho người dùng khác, Whole Disk Encryption, Drive Crypt - Nâng cấp hệ thống website Việc đảm bảo an toàn liệu doanh nghiệp thông tin đưa lên hàng đầu, vấn đề nâng cấp website giải pháp mà doanh nghiệp cần có biện pháp hiệu để tránh xâm nhập vào hệ thống với mục đích đánh cắp Nâng cấp máy chủ công ty lên Windows server 2008 để phù hợp với ứng dụng hệ thống mới, cấu hình cao phù hợp với tình hình phát triển công ty - Sử dụng chữ ký điện tử (Public Key Infrastructure) Một chữ ký điện tử Public Key Infrastructure (PKI) hệ thống quản lý cặp Private Key Public Key, giấy phép số Do khóa giấy phép phát hành cơng cụ nhóm ba đáng tin cậy nên bảo mật tảng giấy phép mà hệ thống cung cấp mạnh Chúng ta bảo mật liệu muốn chia sẻ với người khác cách mã hóa liệu với Public Key người chia sẻ Tất người dùng mạng thấy liệu này, nhiên người dùng có Private Key tương ứng với Public Key giải mã Công ty nên sử dụng dịch vụ chữ ký số Tập đồn Viễn thơng Qn đội Viettel với mức giá 990,000 đồng/ năm nhà cung cấp uy tín việt nam với sở vật chất mạnh ổn định, nhà cung cấp dịch vụ chứng thực chữ ký số cho phép Việt Nam 3.2.2.2 Thực Sao lưu phục hồi liệu kịp thời thường xuyên Mục đích việc backup-restore liệu để đưa hệ thống trở lại trạng thái trước gặp cố, đặc biệt CSDL thông tin công ty Công ty cần xây dựng lịch trình lưu phục hồi liệu cách cụ thể thực theo cho phép từ ban giám đốc Trong đó, nguyên nhân cố gây ảnh hưởng đến liệu thuộc dạng sau: 33 + Nguyên nhân khách quan: Sự cố xảy ý muốn, người biết trước được, thường thảm họa (VD: thiên tai, cháy nổ…) Do cần cất giữ xa + Nguyên nhân chủ quan: Sự cố xảy thao tác khơng xác người (ví dụ: lỗi phần cứng, lỗi phần mềm, thao tác nhầm…) Do cần cất giữ vị trí cho thuận lợi cho việc phục hồi liệu, không thiết phải lưu trữ nơi xa Đối với CSDL công ty cần thực backup theo chu kỳ tháng lần, thời gian backup lâu công ty nên backup liệu thường xuyên khoảng tuần lần để đảm bảo thông tin công ty không bị thất lạc Data backup việc tạo liệu gốc, cất giữ nơi an toàn Và lấy sử dụng (restore) hệ thống gặp cố Sao lưu (backup) liệu cách tốt để bảo vệ liệu đặc biệt thơng tin máy tính 3.2.2.3 Bảo mật liệu truyền qua mạng Wifi Dữ liệu mà gửi qua mạng Wifi dễ bị tác động so với gửi qua mạng Internet Tin tặc không cần phải truy cập vật lý tới mạng hay thiết bị đó, người dùng sử dụng laptop kích hoạt Wifi ăng ten thu phát sóng mạnh đánh cắp liệu hay đột nhập vào mạng truy cập vào liệu lưu trữ mạng điểm truy cập Wifi khơng cấu hình bảo mật Đây thực vấn đề nguy hiểm với việc bảo mật thông tin doanh nghiêp Do nên gửi lưu trữ liệu qua mạng Wifi mã hóa Để mã hóa mạng Wifi, tốt nên sử dụng Wifi Protected Access (WPS), mạnh nhiều so với Wired Equivalent Protocol (WEP) 3.2.2.4 Sử dụng phần mềm diê ̣t virut phần mềm có quyền Hiê ̣n virus có mă ̣t ở khắ p mo ̣i nơi và viê ̣c có mô ̣t phầ n mề m diê ̣t virus có ý nghiã quan tro ̣ng số ng còn Nhiề u nhà sản xuấ t tường lửa còn cung cấ p cả phầ n mề m diê ̣t virus Mô ̣t số thâ ̣m chí còn cung cấ p nhiề u gói đă ̣c biê ̣t (hoă ̣c giảm giá) ba ̣n mua cả hai Sử dụng phần mềm có quyền để đảm bảo liệu doanh nghiệp ln bảo vệ an tồn tối ưu phần mềm có quyền giúp nhân viên miễn nhiễm với hiểm họa từ virus, mã độc… Hơn nữa, phần mềm quyền thường xuyên khắc phục lỗi cập nhật tính Sử dụng phần mềm quyền cách tốt để ngăn chặn virus, xâm nhập trái phép ăn cắp thơng tin từ bên ngồi 3.2.3 Giải pháp nguồn nhân lực Hiện nay, số nguy gây an tồn thơng tin đến từ yếu tố người 34 Bởi vậy, công ty nên trang bị kiến thức an toàn bảo mật HTTT cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an toàn bảo mật HTTT có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty, đặc biệt phận nhân viên kinh doanh theo định kỳ Nêu cao tinh thần cảnh giác hình thức công CSDL Cần phải làm rõ điều rằng, nhân viên không copy thông tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho người dùng Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc mà đảm bảo tính an tồn bảo mật thơng tin Trong cần lưu ý thường xun cập nhật quy định cấp tài khoản truy cập hệ thống thông tin cho nhân viên đưa lịch trình rõ ràng để thay đổi mật truy cập nhằm đảm bảo an tồn thơng tin cần thiết Ngoài nên thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề công ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server 3.3 MỘT SỐ KIẾN NGHỊ VỚI CÔNG TY Đảm bảo ATBM HTTT nói chung thơng tin nói riêng công ty công việc riêng người quản trị HTTT mà toàn nhân viên cơng ty có trách nhiệm bảo vệ thơng tin, đặc biệt phận nhân viên kinh doanh, ảnh hưởng trực tiếp tới thông tin công ty Là người trực tiếp tìm hiểu thực nghiên cứu hoạt động kinh doanh công ty hoạt động an tồn bảo mật thơng tin doanh nghiệp nói riêng, xin đưa vài kiến nghị để giúp doanh nghiệp hồn thiện cơng tác an tồn bảo mật thơng tin Đó là:  Nâng cấp máy chủ máy tính cá nhân Tat máy phòng ban kết nối Internet mạng LAN kiểm sốt máy chủ phịng công nghệ thông tin công ty Doanh nghiệp đòi hỏi website, hệ thống e-mail hay CRM, ERP trạng thái sẵn sàng cung cấp thơng tin, truy cập 24/24 Vì vậy, máy chủ phần thiếu HTTT doanh nghiệp Hơn nữa, việc sở hữu máy chủ có thời gian hoạt động lâu 35 dài, tốc độ xử lý cập nhật liệu kịp thời giúp cho khả quản lý thông tin công ty trở nên tối ưu Tránh nguy cắp liệu hạn chế công qua mạng hay virus backdoor Mức yêu cầu tối thiểu phần cứng đặt máy chủ máy tính cá nhân người dùng sau: + Đối với máy chủ phần mềm: Bảng 3.3 Yêu cầu phần cứng đặt với máy chủ người dùng Máy chủ máy PC có cấu sau CPU Core duo 2.8 GHz or higher RAM 8GB HDD 300GB Network card 10/100/1000Mbps Software Os: Windowns Webserver: Apache 2.x Database : MySQL 5.1.x or SQL server 2008 + Đối với máy tính cá nhân người dùng: Bảng 3.4 Yêu cầu phần cứng đặt với máy tính cá nhân người dùng Máy người sử dụng hệ thống CPU Intel or higher RAM 512GB HDD 20GB Network card 200 Mbps Software Os: Windowns Webserver: Internet Explorer 5.5 and above, Netscape 7.0 and above, Mozilla Firefox 1.4 and above, or Opera 7.21 and above Database : SQL server 2008  Đẩy mạnh tuyên truyền nâng cao nhận thức doanh nghiệp ATBM HTTT nói chung thơng tin cơng ty nói riêng  Cập nhật trang thiết bị phần cứng, phần mềm để thích ứng với giải pháp an tồn bảo mật thơng tin hệ thống mạng doanh nghiệp  Các trang thiết bị công nghệ thông tin phải kiểm tra thường xuyên, khắc phục lỗi trục trặc nhanh chóng kịp thời  Đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an tồn việc cần thiết 36  Mở chiến dịch trang bị nâng cao nguồn nhân lực kiến thức an tồn bảo mật thơng tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn  Để bảo vệ an ninh mạng an tồn thơng tin, doanh nghiệp, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước  Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin, nghiêm khắc xử lí trường hợp vi phạm  Tuyển dụng nhân viên quản trị an tồn thơng tin nhằm kiểm sốt HTTT, đảm bảo tính ATBM thơng tin qua sách bảo mật nội bộ, đưa quy định cụ thể mật khẩu, cài đặt phần mềm phòng chống virus, ngăn chặn đợt cơng từ ngồi trong… 37 KẾT LUẬN Trước phát triển mạnh mẽ công nghệ thông tin cách mạng công nghiệp 4.0, công nghệ vào doanh nghiệp với phương thức hoạt động hồn tồn mẻ, sáng tạo nhanh chóng, tiết kiệm nhiều thời gian, công sức mà không xác, cịn làm cho cơng việc thuận lợi phát triển lên nhiều Đặc biệt, đánh dấu bước ngoặt việc áp dụng tin học vào hệ thống quản lý, doanh nghiệp thu thập, xử lý, phổ biến thơng tin, cách nhanh chóng, xác có hiệu Bên cạnh cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thông tin liệu để phục vụ cho việc điều hành định kinh doanh Tuy nhiên vấn đề mát liệu, liệu bị ăn cắp vấn đề mà công ty tổ chức lo lắng Cho nên việc đảm bảo nâng cao an toàn bảo mật liệu quan tâm hàng đầu Với đề tài nhận được,em cố gắng thực tốt khả mình, nhiên với trình độ thời gian có hạn đề tài chắn nhiều vấn đề thiếu sót Em mong xem xét đóng góp ý kiến của q thầy Mong thời gian tới, công ty làm tốt hoạt động giao dịch thương mại điện tử mình, giúp cho doanh nghiệp ngày phát triển, đủ sức cạnh tranh với nhiều thương hiệu có uy tín ngành Một lần nữa,em xin chân thành cảm ơn quý công ty, cảm ơn thầy Cù Nguyên Giáp giúp đỡ tận tình tạo điều kiện thuận lợi cho em q trình nghiên cứu, hồn thiện khóa luận tốt nghiệp Em xin chân thành cảm ơn! 38 TÀI LIỆU THAM KHẢO [1] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê, Hà Nội [2] Bộ môn Công nghệ thơng tin (2014), Bài giảng an tồn bảo mật hệ thống thông tin, Đại học Nha Trang [3] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa [4] ThS Nguyễn Tiến Đức (2002), “Tình hình an ninh thơng tin Việt Nam tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ thông tin Việt Nam [5] William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall [6].Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results [7].Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons PHỤ LỤC PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT VIỆC PHÁT HIỆN CÁC LỖ HỔNG BẢO MẬT THÔNG TIN CỦA CÔNG TY TNHH ZENCO THÔNG TIN CHUNG: Tên doanh nghiệp: ……………………………………………………… Địa trụ sở chính: …………………………………………………… Thơng tin liên hệ người điền phiếu: Họ tên: Nam/ nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: Địa chỉ: I) Hệ thống thông tin doanh nghiệp 1) Số lượng nhân viên: 2) 3) Vốn điều lệ (VND): Tổng số máy tính: - Tổng số máy chủ: - Tổng số máy để bàn: 4) Tổng số máy xách tay: Tổng số máy tính có kết nối Internet băng rộng: 5) Tổng số đơn vị trực thuộc tham gia mạng diện rộng doanh nghiệp(nếu có): 6) Các ứng dụng triển khai trụ sở doanh nghiệp: - Quản lý văn điều hành công việc: Tin học văn phịng: - Quản lý tài - kế tốn: - Quản lý nhân - tiền lương: Quản lý tài sản: - Quản lý kho - vật tư: Quản lý khách hàng (CRM): - Quản lý nhà cung cấp, đối tác (SCM): Quản lý hoạch định nguồn lực doanh nghiệp (ERP): - Thư điện tử nội bộ: Khác (liệt kê chi tiết) : 7) Theo anh/chị công ty có áp dụng cơng nghệ thơng tin vào hoạt động sản xuất kinh doanh hay khơng? Có Khơng 8) Theo anh/chị phịng ban cơng ty có trang bị đầy đủ máy tính thiết bị công nghệ thông tin phục vụ cho hoạt động sản xuất kinh doanh khơng? Có Khơng 9) Theo anh/chị cơng ty có quan tâm đầu tư cho việc xây dựng hệ thống thơng tin an tồn bảo mật hay khơng? Có Khơng 10) Theo anh/chị hệ thống thơng tin doanh nghiệp có lỗ hổng bảo mật hay khơng? Có Khơng 11) Mức độ quan tâm tới vấn đề an toàn bảo mật doanh nghiệp: Rất quan tâm Ít quan tâm Quan tâm Không quan tâm Khá quan tâm 12) Tính an tồn thơng tin doanh nghiệp phụ trách? Phòng CNTT phụ trách Giám đốc phụ trách Th ngồi Khơng có phận phụ trách Một phận khác phụ trách 13) Theo anh/chị thơng tin hệ thống thơng tin doanh nghiệp an toàn nào? Rất an toàn Kém an tồn An tồn Khơng an tồn Khá an tồn 14) Thơng tin hệ thống thơng tin doanh nghiệp đầu tư trang thiết bị nào? Thường xuyên đầu tư Kém đầu tư Thỉnh thoảng đầu tư Không đầu tư 15) Thông tin hệ thống thông tin doanh nghiệp bị công hay chưa? Bị công nhiều Chưa bị cơng Ít bị cơng Khơng thể bị cơng 16) Theo anh/chị thơng tin doanh nghiệp có cần bảo vệ an tồn hay khơng? Có Khơng II) Về lỗ hổng phần cứng hệ thống thơng tin doanh nghiệp Anh/chị có biết lỗ hổng phần cứng hệ thống thơng tin doanh nghiệp? Rất biết Khá biết Biết Không biết Theo anh/chị doanh nghiệp xảy cố phần cứng làm ảnh hưởng đến thơng tin hệ thống thông tin doanh nghiệp? Cháy nổ thiết bị phần cứng máy tính Hỏng RAM liệu Thiên tai, bão lũ lụt gây hỏng phần cứng Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần cứng hệ thống thông tin doanh nghiệp hay không? Rất cần Ít cần thiết Cần Khơng cần thiết Khá cần thiết Theo anh/chị lỗ hổng phần cứng gây nguy hiểm đến thông tin hệ thống thơng tin doanh nghiệp? Rất nguy hiểm Ít nguy hiểm Nguy hiểm Không nguy hiểm Khá nguy hiểm III) Về lỗ hổng phần mềm hệ thống thông tin doanh nghiệp Anh/chị có biết lỗ hổng phần mềm hệ thống thông tin doanh nghiệp? Rất biết Khá biết Biết Không biết Theo anh/chị doanh nghiệp xảy cố phần mềm làm ảnh hưởng đến thông tin hệ thống thông tin doanh nghiệp? Không cập nhật phần mềm diệt Virus thường xuyên Phần mềm sử dụng bị lỗi Hệ điều hành máy tính gặp cố Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần mềm hệ thống thông tin doanh nghiệp hay không? Rất cần Khá cần thiết Ít cần thiết Khơng cần thiết Theo anh/chị lỗ hổng phần mềm gây nguy hiểm đến thông tin hệ thống thơng tin doanh nghiệp? Rất nguy hiểm Ít nguy hiểm Nguy hiểm Không nguy hiểm Khá nguy hiểm IV) Lỗ hổng xuất phát từ yếu tố người Theo anh/chị người có ảnh hưởng đến mức độ an tồn thơng tin doanh nghiệp khơng? Có Khơng Theo anh/chị người có tầm quan trọng hệ thống thông tin doanh nghiệp? Rất quan trọng Ít quan trọng Quan trọng Khơng quan trọng Khá quan trọng Tình hình nhân công ty nào? Gia tăng liên tục Không tăng Thỉnh thoảng tăng Sa thải liên tục Theo anh/chị nhân viên cơng ty am hiểu an tồn bảo mật thơng tin doanh nghiệp? Rất am hiểu Ít am hiểu Khơng am hiểu Khá am hiểu Theo anh/chị hoạt động nhân viên gây an tồn thơng tin doanh nghiệp? Sử dụng thiết bị chép không an tồn Truy cập trái phép hệ thống thơng tin doanh nghiệp Thói quen sử dụng Webmail (Mail, Yahoo!, Gmail) Hoạt động khác V) Về giải pháp doanh nghiệp vấn đề an tồn bảo mật thơng tin khác hàng Theo anh/chị doanh nhiệp có biện pháp để khắc phục lỗ hổng an toàn bảo mật thơng tin hay khơng? Có Khơng Các giải pháp mà doanh nghiệp đưa để đảm bảo an tồn thơng tin nào? Rất tốt Khá tốt Tốt Khơng tốt Anh/chị có tham gia vào việc đưa giải pháp bảo mật hệ thống thông tin cho doanh nghiệp khơng? Có Khơng Vấn đề khác (Phần tùy chọn): Anh/chị có giải pháp hay kiến nghị với doanh nghiệp để đảm bảo an tồn thơng tin doanh nghiệp? Anh/chị có đề xuất hay kiến nghị với quan liên quan (nhà nước) để đảm bảo an toàn thông tin doanh nghiệp? Người lập phiếu điều tra Vi Văn Chì ... trạng an toàn bảo mật thông tin hệ thống thông tin công ty TNHH Zenco .18 2.2.2 Tình hình áp dụng sách bảo mật cơng ty TNHH ZENCO 21 2.3 ĐÁNH GIÁ VỀ AN TOÀN BẢO MẬT THÔNG TIN CỦA... XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN CHO CƠNG TY TNHH ZENCO VIỆT NAM 3.1 ĐỊNH HƯỚNG PHÁT TRIỂN AN TOÀN BẢO MẬT THÔNG TIN CỦA CÔNG TY TNHH ZENCO VIỆT NAM Thông tin tài sản quý giá doanh nghiệp... lý luận vấn đề an toàn bảo mật thơng tin Chương 2: Kết phân tích, đánh giá thực trạng vấn đề an toàn bảo mật thông tin cho công ty TNHH Zenco Chương 3: Định hướng phát triển đề xuất giải pháp đảm