Khóa luận tốt nghiệp _ 2015 LỜI CẢM ƠN Cùng với phát triển công nghệ thông tin, mạng máy tính Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng thâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung hình thức, có nhiều thông tin cần bảo mật cao tính kinh tế, xác tính tin cậy Nên nay, an tồn bảo mật thơng tin vấn đề quan tâm nhiều khắp giới từ phủ quốc gia, doanh nghiệp, tổ chức hay cá nhân Tầm quan trọng an tồn bảo mật thơng tin khơng thể phủ nhận nhiên khơng phải doanh nghiệp đạt tiêu chí đánh giá an ninh thơng tin Trong khóa luận tốt nghiệp này, em xin trình bày số yếu điểm mà Công ty Cổ phần Truyền thông Việt gặp phải bảo mật thông tin giải pháp khắc phục yếu điểm Để thực hồn thành khóa luận tốt nghiệp em xin gửi lời cảm ơn sâu sắc đến cá nhân thầy hướng dẫn làm khóa luận em thầy PGS.TS Đàm Gia Mạnh thầy cô mơn Cơng nghệ thơng tin tận tình bảo giúp em bổ sung kiến thức lí thuyết thực tiễn Ngồi em xin gửi lời cảm ơn chân thành tới ban lãnh đạo Công ty Cổ phần Truyền thông Việt tạo điều kiện giúp đỡ em suốt trình thực tập làm khóa luận tốt nghiệp Cuối em xin cảm ơn tới tồn thể thầy giáo, lãnh đạo trường Đại học Thương Mại cho em môi trường học tập chuyên nghiệp suốt năm qua Sự giúp đỡ giảng dạy tận tình thầy cô anh chị công ty hành trang quý báu cho em sau Em xin kính chúc quý thầy cô anh chị dồi sức khỏe thành công sống Nguyễn Thị Thúy Vân Page i Luan van Khóa luận tốt nghiệp _ 2015 MỤC LỤC LỜI CẢM ƠN .i DANH MỤC BẢNG iv DANH MỤC BIỂU ĐỒ iv DANH MỤC HÌNH iv DANH MỤC CÁC TỪ VIẾT TẮT v PHẦN 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa đề tài 1.1.1 Tầm quan trọng đề tài 1.1.2 Ý nghĩa đề tài 1.2 Tình hình nghiên cứu vấn đề bảo mật thơng tin ngồi nước 1.2.1 Tình hình nghiên cứu ngồi nước 1.2.2 Tình hình nước 1.3 Mục tiêu cần giải đề tài 1.4 Đối tượng, phạm vi nghiên cứu đề tài 1.5 Phương pháp thực đề tài 1.6 Kết cấu khóa luận .5 PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN TẠI CÔNG TY CỔ PHẦN TRUYỀN THƠNG VIỆT 2.1 Cơ sở lí luận 2.1.1 Một số khái niệm bản: 2.1.1.1 Khái niệm mạng máy tính, hệ thống thơng tin, website 2.1.1.2 Khái niệm an tồn, bảo mật thơng tin 2.1.2 Các đặc trưng HTTT bảo mật .7 2.1.2.1 Tính bí mật 2.1.2.2 Tính toàn vẹn 2.1.2.3 Tính khả dụng .10 2.1.3 Nguyên tắc xây dựng hệ thống bảo mật 11 2.1.3.1 Chính sách chế 11 2.1.4 Các nhân tố ảnh hưởng đến hiệu an toàn, bảo mật Hệ thống thông tin Doanh nghiệp 12 Nguyễn Thị Thúy Vân Page ii Luan van Khóa luận tốt nghiệp _ 2015 2.2 Thực trạng vấn đề bảo mật HTTT Công ty Cổ phần Truyền thông Việt 14 2.2.1 Giới thiệu Công ty Cổ phần Truyền thông Việt 14 2.2.2 Phân tích, đánh giá thực trạng vấn đề bảo mật Hệ thống thông tin Công ty Cổ phần Truyền thông Việt 16 2.2.2.1 Thực trạng vấn đề bảo mật công ty Cổ phần Truyền thông Việt 16 2.2.2.2 Phân tích, đánh giá thực trạng vấn đề bảo mật Công ty CP Truyền thông 20 PHẦN 3: GIẢI PHÁP BẢO MẬT THÔNG TIN CHO CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT 23 3.1 Mục tiêu Ban Giám Đốc công ty vấn đề bảo mật 23 3.1.1 Mục tiêu 23 3.1.2 Ngân sách cho vấn đề bảo mật công ty .23 3.2 Các giải pháp cho vấn đề bảo mật an ninh thông tin công ty 23 3.2.1 Giải pháp bảo mật mạng không dây (wifi) .23 3.2.1.1 Giải pháp mã hóa theo giao thức WPA2 .23 3.2.1.2 Giải pháp kết nối chạm WPS 25 3.2.1.3 Sử dụng mạng riêng ảo VPN 26 3.2.2 Giải pháp cho hệ thống máy tính nội công ty 28 3.2.2.1 Nâng cấp hệ thống máy tính cơng ty 28 3.2.2.2 Chính sách phân quyền người sử dụng 29 3.2.3 Bảo mật website .32 3.2.3.1 Khắc phục lỗ hổng XSS 32 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection 34 3.2.4 Giải pháp cho vấn đề trình độ nguồn nhân lực công ty 36 PHỤ LỤC 40 Nguyễn Thị Thúy Vân Page iii Luan van Khóa luận tốt nghiệp _ 2015 DANH MỤC BẢNG Bảng 2.1: Báo cáo kinh doanh Công ty Cổ phần Truyền thông Việt từ năm 20112013 15 Bảng 2.2: Thống kê số lần bị hacker công 17 Bảng 2.3: Chi tiết đề xuất nâng cấp cấu hình cho tồn máy tính cơng ty .28 DANH MỤC BIỂU ĐỒ Biểu đồ 2.1: Thống kê tần suất máy tính bị nhiễm virus 17 Biểu đồ 2.2:Thống kê số lần hệ thống máy tính cơng ty bị công qua đường mạng dây mạng wifi 18 Biểu đồ 2.3:Thống kê số lần website bị khai thác lỗ hổng bảo mật 19 Biểu đồ 2.4: Khảo sát kiến thức nhân viên công ty lĩnh vực bảo mật thông tin .19 DANH MỤC HÌNH Hình 3.1: Bước đặt giao thức WPA2 cho bảo mật Wireless Acess Point 25 Hình 3.2: Giải pháp kết nối chạm WPS 26 Hình 3.3: Minh họa mạng riêng ảo cho công ty tương lai .27 Hình 3.4: Hướng dẫn sử dụng phần mềm AMIS.VN 30 Hình 3.5: Hướng dẫn sử dụng phần mềm AMIS.VN 31 Hình 3.6: Hướng dẫn sử dụng phần mềm AMIS.VN 32 Hình 3.7: Lỗi lỗ hổng bảo mật XSS 33 Hình 3.8: Khắc phục lỗ hổng bảo mật XSS 34 Hình 3.9: Mơ q trình cơng vào lỗ hổng SQL injection 35 Nguyễn Thị Thúy Vân Page iv Luan van Khóa luận tốt nghiệp _ 2015 DANH MỤC CÁC TỪ VIẾT TẮT HTTT Hệ thống thông tin CP Cổ phần WLAN Wireless local area network Mạng cục không dây XSS Cross-Site Scripting Tấn công vào kịch site Structured Query Language Tiêm vào cấu trúc ngôn ngữ injection truy vấn SQLI HTML HyperText Markup Language Ngôn ngữ đánh dấu siêu văn Tấn công cách sử dụng XSRF Cross-site Request Forgery quyền chứng thực người dùng Truy cập bảo vệ không WPA Wi-Fi protected access WPA2 Wi-Fi protected access WEP Wired Equivalent Privacy WPS Wifi protected setup SSID Service Set Identifier Đặt dịch vụ định danh IP Internet Protocol Giao thức mạng TCP Transmission Control Protocol VPN Virtual Private Network Mạng riêng ảo DoS Denial of Service Tấn công từ chối dịch vụ NXB Nhà xuất Nguyễn Thị Thúy Vân dây Truy cập bảo vệ không dây phiên Bảo mật tương đương có dây Thiết lập bảo vệ mạng khơng dây Page v Luan van Giao thức kiểm soát truyền vận Khóa luận tốt nghiệp _ 2015 PHẦN 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa đề tài 1.1.1 Tầm quan trọng đề tài Vấn đề đảm bảo an toàn cho HTTT vấn đề quan trọng cân nhắc suốt q trình thiết kế, thi cơng, vận hành bảo dưỡng HTTT Cũng tất hoạt động khác xã hội, từ người có nhu cầu lưu trữ xử lí thơng tin, đặc biệt thông tin xem phần tư liệu sản xuất, nhu cầu bảo vệ thông tin ngày trở nên thiết Bảo vệ thơng tin bảo vệ tính bí mật tính tồn vẹn thơng tin Hơn thơng tin khơng phải người ghi nhớ hữu hạn óc nên cần phải có thiết bị lưu trữ thông tin Nếu thiết bị lưu trữ không an tồn thơng tin lưu trữ bị đi, bị sai lệch toàn hay phần Khi tính tồn vẹn thơng tin khơng cịn đảm bảo Khi máy tính sử dụng để xử lí thơng tin, hiệu xử lí thơng tin nâng cao lên, khối lượng thơng tin xử lí ngày lớn, kéo theo nó, tầm quan trọng thông tin đời sống xã hội ngày tăng Nếu trước đây, việc bảo vệ thông tin trọng vào vấn đề dùng chế phương tiện vật lí để bảo vệ thơng tin theo nghĩa đen từ này, sau, vấn đề bảo vệ thông tin trở nên đa dạng phức tạp Đối với Công ty CP Truyền thơng Việt theo tìm hiểu em biết công ty xảy vấn đề an tồn thơng tin dù khắc phục không đảm bảo tương lai không xảy vấn đề Trong đề tài với mong muốn giúp doanh nghiệp đạt hiệu cao vấn đề đảm bảo an toàn bảo mật thông tin Em tập trung nghiên cứu sở lý luận lý thuyết an toàn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật cơng ty Để từ khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng vấn đề công ty CP Truyền thơng Việt Q trình nghiên cứu góp phần nâng cao nhận thức nhân viên công ty vấn đề an tồn bảo mật thơng tin, trau dồi thêm thông tin cần thiết cho nhân viên phục vụ cho công việc vận hành quản lý vấn đề an tồn thơng tin hàng ngày Từ tầm quan trọng ý nghĩa việc nghiên cứu đề tài với kiến Nguyễn Thị Thúy Vân Page Luan van Khóa luận tốt nghiệp _ 2015 thức em học trường lựa chọn thân em xin đưa đề tài : ‘‘Giải pháp đảm bảo an tồn thơng tin cho hệ thống thông tin công ty Cổ phần Truyền thông Việt” 1.1.2 Ý nghĩa đề tài Các thông tin đề tài phục vụ cho việc quản lí đảm bảo an tồn thơng tin Cơng ty CP Truyền thơng Việt Đề tài hình thành từ hoạt động Công ty, chứa nhiều thông tin, để lãnh đạo Công ty định phục vụ cho q trình phát triển Cơng ty Tài liệu kiến thức cho đội ngũ nhân viên Cơng ty phần nâng cao nhận thức kiến thức an toàn bảo mật thông tin Công ty CP Truyền thông Việt 1.2 Tình hình nghiên cứu vấn đề bảo mật thơng tin ngồi nước 1.2.1 Tình hình nghiên cứu ngồi nước Theo nghiên cứu hành vi tổ chức cơng bảo mật, Phó chủ tịch Trend Micro khu vực Châu Âu, ông Dervla Mannion cho biết với quan sát đánh giá ơng thấy rõ tốc độ công nhanh, mở rộng thêm phạm vi công Tấn công vào thông tin bảo mật khơng cịn nhằm vào cá nhân riêng lẻ mà nhằm vào doanh nghiệp phủ nước Lỗ hổng bảo mật doanh nghiệp góp phần làm cơng khơng cịn phạm vi quốc gia, châu lục mà toàn giới Năm 2014 năm sung mãn tội phạm mạng, bảo mật toàn cầu Tội phạm ngày phát triển vai trị người dùng công ty bảo mật cần nâng cao Bảo vệ dường khơng cịn quan niệm lạ người dùng cơng nghệ Đặc biệt mạng công cộng, phần mềm miễn phí, thiết bị di động nên điều mà người dùng lưu ý kết nối sử dụng 1.2.2 Tình hình nước Vấn đề an tồn thơng tin mối e ngại lớn Việt Nam Vào ngày 17-18/10/2014 khơng cướp tên miền, hack xóa nội dung nhiều website VCCorp đầu tư quản lý hạ tầng kỹ thuật, kẻ cơng VCCorp cịn điều khiển URL báo Dân Trí trỏ địa khác Trong vài năm trở lại tình hình nghiên cứu vấn đề an tồn bảo mật thơng tin cho doanh nghiệp, tổ chức nước diễn nhiều Nhận thấy bảo mật thông tin vấn đề vô Nguyễn Thị Thúy Vân Page Luan van Khóa luận tốt nghiệp _ 2015 quan trọng thời buổi hội nhập nên có nhiều cơng ty, doanh nghiệp, tổ chức tập trung xây dựng đưa vấn đề bảo mật thông tin thành mục tiêu quan trọng q trình phát triển cơng ty Trong bối cảnh vậy, nhiều cơng trình nghiên cứu sinh viên, cá nhân, tổ chức đời để phục vụ cho nhu cầu phát triển phần lớn công ty Việt Nam Trong số tơi đọc tham khảo số cơng trình nghiên cứu như: – “ Phương pháp bảo mật WLAN” Nguyễn Hữu Hiền, sinh viên ngành công nghệ thông tin trường Học viện bưu viễn thơng Trong cơng trình nghiên cứu phương pháp bảo mật WLAN sinh viên Nguyễn Hữu Hiền tập trung phân tích rõ ràng có chiều sâu vấn đề bảo mật mạng khơng dây wireless Cơng trình nghiên tập trung yếu điểm bảo mật mạng không dây đưa nhiều giải pháp khắc phục hay tốt Mặc dù cơng trình nghiên cứu cịn có số hạn chế đưa giải pháp trước mắt chưa đưa giải pháp lâu dài bối cảnh công nghệ phát triển vũ bão – ‘‘Đồ án tìm hiểu virus máy tính cách phịng chống” sinh viên Lê Văn Hưng khoa Tin học trường đại học Bách khoa Hà Nội Trong cơng trình nghiên cứu tác giả đưa số phân tích mảng kiến thức hệ thống, nguyên tắc thiết kế, hoạt động loại virus máy tính từ đưa phương pháp phịng tránh, phát phân tích số loại virus máy tính – Luận văn an tồn, bảo mật thông tin: “Giải pháp nhằm nâng cao bảo mật HTTT quản trị công ty cổ phần công nghệ cao’’ sinh viên Nguyễn Hữu Dũng – Khoa Thương Mại Điện Tử - ĐH Thương Mại (2009) Luận văn đưa lý thuyết số giải pháp giải pháp mức khái quát chưa mang tính khả thi, cụ thể – “Đồ án an ninh mạng kĩ thuật công mạng” Phạm Minh Tuấn, khoa quốc tế đào tạo sau đại học trường Học viện bưu viễn thơng Trong cơng trình nghiên cứu tác giả nhiều kiểu công qua mạng cách khắc phục Tác giả sâu nghiên cứu lỗ hổng thường gặp bảo mật mạng Em đánh giá công trình nghiên cứu hay vấn đề an ninh mạng mà lấy làm tài liệu tham khảo Nguyễn Thị Thúy Vân Page Luan van Khóa luận tốt nghiệp _ 2015 – Đề tài: ‘‘Giải pháp đảm bảo an tồn thơng tin cho hệ thống thơng tin công ty Cổ phần Truyền thông Việt” tập trung vào việc đánh giá đưa giải pháp nâng cao hiệu hoạt động đảm bảo an toàn bảo mật HTTT doanh nghiệp cụ thể đề tài không trùng lặp nội dung với cơng trình nghiên cứu trước 1.3 Mục tiêu cần giải đề tài Từ việc tìm hiểu phân tích thực trạng từ đưa giải pháp đảm bảo an tồn bảo mật thơng tin Cơng ty CP Truyền thông Việt cụ thể là: + Đưa giải pháp cho vấn đề bảo mật an ninh thông tin công ty + Đưa giải pháp cho hệ thơng máy tính nội cơng ty + Đưa giải pháp bảo mật website công ty 1.4 Đối tượng, phạm vi nghiên cứu đề tài Là đề tài nghiên cứu khóa luận sinh nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: Về không gian: đưa giải pháp đảm bảo an tồn thơng tin cho hệ thống thông tin công ty Cổ phần Truyền thông Việt Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp định hướng phát triển tương lai 1.5 Phương pháp thực đề tài + Phương pháp thu thập liệu: Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên công ty nội dung phục vụ cho nghiên cứu Tìm hiểu thơng tin an tồn bảo mật thương mại điện tử qua Internet, qua tài liệu sách báo liên quan đến an toàn bảo mật HTTT Phương pháp vấn: vấn ban Giám đốc phận IT công ty Phương pháp trưng cầu ý kiến bảng hỏi: lập danh mục câu hỏi khảo sát ý kiến nhân viên ban Giám đốc công ty để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu Phương pháp chuyên gia: Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng giải tốt mục tiêu đề Nguyễn Thị Thúy Vân Page Luan van Khóa luận tốt nghiệp _ 2015 Trong phương pháp nêu phương pháp nghiên cứu tài liệu phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài + Phương pháp xử lý liệu:  Từ liệu thu thập sau tiến hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thông tin phù hợp với mục đích nghiên cứu đề tài + Phương pháp nghiên cứu:  Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo công ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt doanh nghiệp  Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình cơng ty 1.6 Kết cấu khóa luận Khóa luận gồm phần chính:  Phần 1: Tổng quan vấn đề an tồn bảo mật hệ thống thơng tin  Phần 2: Cơ sở lí luận thực trạng vấn đề an tồn bảo mật hệ thơng tin  Phần 3: Giải pháp bảo mật định hướng phát triển hệ thống thơng tin Để hồn thành đề tài em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đàm Gia Mạnh tận tình hướng dẫn em suốt trình thực đề tài Và cán nhân viên Công ty Cổ phần Truyền thông Việt tạo điều kiện tốt để giúp em nghiên cứu hoàn thành mục tiêu đề tài Nguyễn Thị Thúy Vân Page Luan van Khóa luận tốt nghiệp _ 2015 hàng năm công ty làm giảm khả cạnh tranh công ty với đối thủ thị trường VPN (Virtual Private Network) giải pháp tốt giải vấn đề đặt hệ thống mạng công ty sử dụng VPN mạng ảo, xây dựng sở mạng có sẵn Nó biết truyền đường hầm, luồng liệu mã hóa thiết lập trì bên kết nối bình thường khơng mã hóa VPN mở rộng mạng nội an tồn đến người sử dụng từ xa Vì vậy, người dùng không dây từ xa tồn lúc mạng Mạng khơng dây ln sẵn có, đường hầm VPN tạo để kết nối khách hàng từ xa đến mạng nội bộ, làm cho tất tài nguyên mạng nội sẵn có Hình 3.3: Minh họa mạng riêng ảo cho cơng ty tương lai Lợi ích VPN mang lại:  Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 2040% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80%  Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, cách hoạt động kinh doanh nhanh chóng chi phí cách Nguyễn Thị Thúy Vân Page 27 Luan van Khóa luận tốt nghiệp _ 2015 hiệu cho việc kết nối từ xa văn phịng, vị trí ngồi quốc tế, người truyền thông, người dùng điện thoại di động, người hoạt động kinh doanh bên u cầu kinh doanh địi hỏi  Tăng tính bảo mật: Các liệu quan trọng che giấu người khơng có quyền truy cập cho phép truy cập người dùng có quyền truy cập  Hỗ trợ giao thức mạng thông dụng TCP/IP  Bảo mật địa IP: Bởi thơng tin gửi VPN mã hố địa bên mạng riêng che giấu sử dụng địa bên Internet 3.2.2 Giải pháp cho hệ thống máy tính nội cơng ty 3.2.2.1 Nâng cấp hệ thống máy tính cơng ty Hiện hệ thống máy tính cơng ty sử dụng có cấu hình tốc độ hoạt động không tốt Để đảm bảo công việc ngày tăng với phát triển công ty hệ thống máy tính cần đầu tư, nâng cấp lên để đủ khả xử lí khối lượng công việc tương lai công ty Sau đề xuất nâng cấp hệ thống máy tính cơng ty Bảng 2.3: Chi tiết đề xuất nâng cấp cấu hình cho tồn máy tính cơng ty Chi tiết Hệ thống máy tính Đề xuất nâng cấp cấu hình máy Số lượng 15 15 Chi tiết Bộ vi xử lí: Intel Core™ i52640M ( 2.8 Ghz x 4 ) Samsung Syncmaster743NX Bộ nhớ RAM: 4GB DDR Thông số: intel (R) pentium Ổ đĩa cứng: 750GB (R) dual CPU T3400 Card đồ họa: GB DDR3 @2,16GHZ 2,16GHZ, AMD Radeon™ HD 6630M 0,99GB of RAM Giao tiếp mạng: 802.11a/b/g/n Nguyễn Thị Thúy Vân Page 28 Luan van Khóa luận tốt nghiệp _ 2015 Ngồi máy tính cần trang bị phần mềm quét virus Bitdefender Antivirus Plus phần mềm tạp chí cơng nghệ giới đánh giá tốt Với tính vượt trội cơng nghệ qt chống xâm nhập nhanh chóng bảo vệ giao dịch trực tuyến thông tin cá nhân 3.2.2.2 Chính sách phân quyền người sử dụng Quản trị viên hệ thống mạng công ty cần xem xét phân lại quyền cho user cách chặt chẽ để quản lí tốt tránh rủi ro cho hệ thống máy tính nội công ty Một giải pháp mà đề nghị sử dụng phần mềm AMIS.VN (là phần mềm quản trị doanh nghiệp hợp công ty cổ phần Misa) Phần mềm AMIS.VN cho phép công ty quản lí nhiều mảng nghiệp vụ như: kế tốn, bán hàng, nhân sự, truyền thông… Việc thực phân quyền phần mềm AMIS.VN thực theo hai cấp:  Cấp thứ nhất: phân quyền cho phép người dùng có toàn quyền ứng dụng (mảng nghiệp vụ chi tiết) phần mềm Việc phân quyền cấp thứ giúp xác định xem người dùng có toàn quyền với ứng dụng thực người dùng có vai trị quản trị hệ thống hay quản trị người dùng Và sau demo ví dụ phân quyền người dùng phần mềm AMIS.VN Để phân quyền người dùng chon biểu tượng (gần thông tin tài khoản người dùng), chọn phần quản lí truy cập sau thực bước sau: Nguyễn Thị Thúy Vân Page 29 Luan van Khóa luận tốt nghiệp _ 2015  Bước 1: Khai báo nhân viên phân quyền quản lí ứng dụng Chọn phần quản lí Nhân Viên: Hình 3.4: Hướng dẫn sử dụng phần mềm AMIS.VN Nguyễn Thị Thúy Vân Page 30 Luan van Khóa luận tốt nghiệp _ 2015 Khai báo thơng tin nhân viên sau nhấn Tiếp tục: Hình 3.5: Hướng dẫn sử dụng phần mềm AMIS.VN Nhấn hoàn thành để kết thúc việc khai báo nhân viên Nguyễn Thị Thúy Vân Page 31 Luan van Khóa luận tốt nghiệp _ 2015  Bước 2: Kích hoạt tài khoản cho nhân viên Hình 3.6: Hướng dẫn sử dụng phần mềm AMIS.VN  Cấp thứ 2: Phân quyền cho phép người dùng thực số thao tác ứng dụng Việc phân quyền cấp thứ cho phép tạo vai trò ứng dụng (mảng nghiệp vụ chi tiết) vai trò phân quyền thực một vài chức cụ thể ứng dụng Việc phân quyền người dùng thực người dùng có vai trị quản trị ứng dụng… phân quyền cấp thứ thực sau đăng nhập vào ứng dụng 3.2.3 Bảo mật website 3.2.3.1 Khắc phục lỗ hổng XSS Bản chất lỗi XSS không kiểm sốt kỹ liệu nhập đầu vào, biện Nguyễn Thị Thúy Vân Page 32 Luan van Khóa luận tốt nghiệp _ 2015 pháp hiệu kiểm tra kỹ liệu nhập vào từ người dùng, chặn từ khóa nguy hiểm, chấp nhận liệu hợp lệ Một cách khác hay sử dụng mà khơng cần kiểm sốt đầu vào từ người dùng mã hố kí tự đặc biệt trước in website, gây nguy hiểm cho người sử dụng Ví dụ thẻ  sẽ đổi thành <script>, như in hình định dạng mà khơng gây nguy hiểm cho người sử dụng Ta xem ví dụ sau: Hình 3.7: Lỗi lỗ hổng bảo mật XSS Ta thấy đoạn code biến $row["content"] được in trực tiếp mà không qua xử lý Trường content nhập vào từ người dùng nên đoạn code chắn có lỗi XSS Để khắc phục ta mã hóa ký tự đặc biệt HTML với hàm htmlentities() Mã nguồn chỉnh sửa lại sau: Nguyễn Thị Thúy Vân Page 33 Luan van Khóa luận tốt nghiệp _ 2015 Hình 3.8: Khắc phục lỗ hổng bảo mật XSS Ngồi để Bảo vệ thực cách hạn chế tên miền đường dẫn để chấp nhận cookie, thiết lập chúng HttpOnly, sử dụng SSL không lưu trữ liệu bí mật cookie Có thể vơ hiệu hóa việc sử dụng Script cách an tồn từ trang web khách hàng 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection Cơ chế công SQL injection – SQLI là cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt cơng nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thông tin cá nhân Nguyễn Thị Thúy Vân Page 34 Luan van Khóa luận tốt nghiệp _ 2015 Hình 3.9: Mơ q trình cơng vào lỗ hổng SQL injection Cách phòng chống SQL injection: Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng khơng tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình công ty phải xem lại mã nguồn website cơng ty điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mô hình tham số hóa, làm liệu đầu vào…… Ngồi phải xem biện pháp bảo vệ từ mức tảng hệ thống như:  Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng Nguyễn Thị Thúy Vân Page 35 Luan van Khóa luận tốt nghiệp _ 2015  Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phịng cho tình xấu kẻ xâm nhập cơng vào database:  Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database  Hủy bỏ quyền Public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa  Sử dụng thuật tốn mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database  Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác  Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể cơng cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo  Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.2.4 Giải pháp cho vấn đề trình độ nguồn nhân lực cơng ty Trong q trình thực tập Cơng ty CP Truyền thơng Việt em làm điều tra khảo sát thống kê vấn đề trình độ hiểu biết nhân viên công ty lĩnh vực bảo mật thông tin phần em nêu Qua biểu đồ thống kê cho thấy tỉ lệ nhân viên có kiến thức vấn đề bảo mật thông tin Công ty CP Truyền thơng Việt cịn thấp Trong bảo mật thơng tin vấn đề quan trọng nghành công nghệ thông tin khắp quốc gia giới Việt Nam không Nguyễn Thị Thúy Vân Page 36 Luan van Khóa luận tốt nghiệp _ 2015 nằm số Cùng với mục tiêu đưa lĩnh vực an tồn bảo mật thơng tin đến năm 2016 mạnh công ty ban giám đốc đề với tỉ lệ thấp Điều đặt vấn đề cơng ty cần có sách đào tạo nguồn nhân lực thật tốt để phục vụ cho lĩnh vực an tồn bảo mật thơng tin cơng ty Giải pháp cho vấn đề công ty cần có sách cho nhân viên học để bổ sung kiến thức Song song với việc sách tuyển dụng cơng ty thời gian tới cần đưa vấn đề bảo mật vào tiêu chí đánh giá tuyển dụng cơng ty Để đạt nguồn nhân lực chất lượng cao cơng ty phải nhanh chóng thực giải pháp để đáp ứng nhu cầu phát triển ngày cao xã hội Nguyễn Thị Thúy Vân Page 37 Luan van Khóa luận tốt nghiệp _ 2015 KẾT LUẬN Những năm gần ngành Công nghệ thông tin có bước phát triển mạnh mẽ Việt Nam, mở giới cho phát triển không bị giới hạn không gian Cùng với phát triển công nghệ thông tin vấn đề an tồn bảo mật thơng tin vấn đề trọng quan tâm từ phủ, doanh nghiệp, tổ chức đến cá nhân Khơng nằm ngồi mối quan tâm cơng ty Cổ phần Truyền thơng Việt ln khơng ngừng đầu tư hồn thiện vấn đề an tồn bảo mật thơng tin cho cơng ty Bài khóa luận tốt nghiệp trình bày giải pháp cho vấn đề bảo mật an ninh thơng tin cho cơng ty là: giải pháp bảo mật mạng không dây theo giao thức WPA2, kết nối chạm WPS, sử dụng mạng riêng ảo, giải pháp nâng cấp hệ thống máy tính nội cơng ty xem xét lại sách phân quyền người dùng với việc khắc phục lỗ hổng XSS lỗ hổng bảo mật SQL Injection Cùng với việc khắc phục vấn đề vật lực trình độ nguồn lực vấn đề cần giải quyết, cơng ty cần có sách đào tạo nguồn nhân lực thật tốt để phục vụ cho lĩnh vực an tồn bảo mật thơng tin cơng ty Với giải pháp đề xuất em hi vọng công ty đạt mục tiêu đặt giải từ xây dựng cơng ty ngày vững mạnh phát triển Nguyễn Thị Thúy Vân Page 38 Luan van Khóa luận tốt nghiệp _ 2015 DANH MỤC TÀI LIỆU THAM KHẢO A Tài liệu nước Hồ Văn Canh, Nguyễn Viết Thế (2010), Nhập mơn phân tích thơng tin có bảo mật, Nhà xuất Thông tin Truyền thông Nguyễn Xuân Dũng (2011), Bảo mật thơng tin mơ hình ứng dụng, Nhà xuất Thống kê, Hà Nội Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, Trường Đại học Thương Mại Phạm Thị Quế (2008), Giáo trình mạng máy tính, Nhà xuất Thông tin Truyền thông B Tài liệu nước Krishna Sankar, Sri Sundaralingam, Andrew Balinsky, Darrin Miller (2004), Cisco Wireless LAN Security Jyh-Cheng Chen, Ming-Chia Jiang, and Yi-Wenliu (2005), Wireless LAN security and IEEE 802.11i Eliot Gable(2005), 802.11WirelessAuthentication and Encryption C Website http://vi.wikipedia.org/wiki/SQL_injection http://vi.wikipedia.org/wiki/WPA2 Nguyễn Thị Thúy Vân Page 39 Luan van Khóa luận tốt nghiệp _ 2015 PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT Cơng ty có cán chun trách quản trị HTTT hay khơng? A Có B Khơng Cơng ty hay gặp lỗi an toàn bảo mật HTTT? A Thông tin bị thất lạc truyền mạng B Hệ thống bị công C Hệ thống gặp cố tải Công ty có áp dụng biện pháp an ninh mạng khơng? A Có B Khơng Nếu có áp dụng biện pháp an ninh mạng hình thức nào? A Giải pháp an ninh độc lập (tường lửa cho check point, ngăn chặn IBM – ISS ) B Giải pháp an ninh tích hợp (giải pháp UTM, Cisco ) C Giải pháp modul hóa D Giải pháp anh ninh bảo mật cơng nghệ ảo hóa Cơng ty có áp dụng biện pháp lưu liệu khơng? A Có B Khơng Khi xảy cố có khả phục hồi ngun vẹn khơng? A Có B Khơng Cơng ty có thường xun bị công lấy cắp thông tin không? A Thường xuyên B Thỉnh thoảng C Không Nguyễn Thị Thúy Vân Page 40 Luan van Khóa luận tốt nghiệp _ 2015 Anh chị đánh giá hệ thống máy tính cơng ty? A Rất tốt B Tốt C Bình thường D Khơng tốt Anh chị đánh giá khả an tồn bảo mật thơng tin cơng ty? A Rất tốt B Tốt C Bình thường D Khơng tốt 10 Có nên cải sở máy móc HTTT cơng ty hay khơng? A Có B Khơng Nguyễn Thị Thúy Vân Page 41 Luan van ... ‘? ?Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin công ty Cổ phần Truyền thông Việt? ?? 1.1.2 Ý nghĩa đề tài Các thông tin đề tài phục vụ cho việc quản lí đảm bảo an tồn thơng tin Công. .. giải pháp đảm bảo an tồn bảo mật thơng tin Công ty CP Truyền thông Việt cụ thể là: + Đưa giải pháp cho vấn đề bảo mật an ninh thông tin công ty + Đưa giải pháp cho hệ thơng máy tính nội công ty. .. Page Luan van Khóa luận tốt nghiệp _ 2015 – Đề tài: ‘? ?Giải pháp đảm bảo an tồn thơng tin cho hệ thống thông tin công ty Cổ phần Truyền thông Việt? ?? tập trung vào việc đánh giá đưa giải pháp nâng