TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ TMĐT - - KHÓA LUẬN TỐT NGHIỆP Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty Cổ phần phần mềm BRAVO Giáo viên hướng dẫn : ThS Cù Nguyên Giáp Sinh viên thực :Phùng Thị Ngọc Ánh Lớp : K55S2 Mã sinh viên : 19D190077 Hà Nội, 11/2022 LỜI CẢM ƠN Qua năm học tập rèn luyện Trường Đại học Thương Mại, bảo giảng dạy nhiệt tình q thầy(cơ), đặc biệt quý thầy cô Khoa Hệ thống thông tin Kinh tế Thương mại điện tử truyền đạt cho em kiến thức lý thuyết thực hành suốt thời gian học trường Bên cạnh quãng thời gian học cịn có khoảng thời gian thực tập Công ty Cổ phần Phần mềm BRAVO, em có hội áp dụng kiến thức học trường vào thực tế công ty, đồng thời học hỏi nhiều kinh nghiệm thực tế công ty Từ kết mà em đạt được, trước hết em xin cảm ơn sâu sắc tới thầy Cù Nguyên Giáp - giáo viên hướng dẫn giúp đỡ em có định hướng đắn thực khóa luận tốt nghiệp kỹ nghiên cứu cần thiết khác Em xin cảm ơn chân thành tới ban giám đốc, ban quản lý anh/chị làm việc công ty Cổ phần Phần mềm BRAVO với quan tâm, ủng hộ, hỗ trợ tạo điều kiện cho em trình thực tập thu thập liệu Em gửi lời cảm ơn tới thầy cô khoa Hệ thống thông tin Kinh tế Thương mại điện tử động viên khích lệ mà em nhận suốt trình học tập hồn thành khóa luận Đây đề tài không phức tạp kiến thức chuyên sâu vấn đề nhiều giới hạn Mặt khác, thời gian nghiên cứu làm khóa luận hạn hẹp, trình độ khả thân cịn hạn chế, Vì vậy, khóa luận khơng tránh khỏi thiếu sót, mong nhận ý kiến đóng góp q Thầy để khóa luận có giá trị lý luận thực tiễn Em xin chân thành cảm ơn! MỤC LỤC LỜI CẢM ƠN MỤC LỤC DANH MỤC TỪ VIẾT TẮT DANH MỤC BẢNG BIỂU, SƠ ĐỒ VÀ HÌNH VẼ PHẦN MỞ ĐẦU Tầm quan trọng ý nghĩa vấn đề nghiên cứu .9 Mục tiêu nhiệm vụ nghiên cứu .10 2.1 Mục tiêu nghiên cứu 10 2.2 Nhiệm vụ nghiên cứu 10 Đối tượng phạm vi nghiên cứu .10 3.1 Đối tượng nghiên cứu 10 3.2 Phạm vi nghiên cứu 10 Phương pháp nghiên cứu 10 4.1 Phương pháp thu thập liệu 10 4.2 Phương pháp xử lý liệu 12 Kết cấu khóa luận 12 CHƯƠNG CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU 14 1.1 Những khái niệm an tồn bảo mật thơng tin 14 1.1.1 Khái niệm liệu - thông tin 14 1.1.2 Khái niệm hệ thống thông tin, hệ thống thông tin quản lý .14 1.1.3 Khái niệm an tồn bảo mật thơng tin 14 1.2 Một số lý thuyết vấn đề an toàn bảo mật 16 1.2.1 Vai trị an tồn bảo mật HTTT doanh nghiệp 16 1.2.2 Các nhân tố ảnh hưởng đến an toàn bảo mật HTTT doanh nghiệp 16 1.2.3 Các nguy hình thức cơng HTTT doanh nghiệp 17 1.2.4 Các phương thức – kỹ thuật phịng tránh ATBM thơng tin 23 1.3 Tổng quan tình hình nghiên cứu 23 1.3.1 Tình hình nghiên cứu nước 23 1.3.2 Tình hình nghiên cứu giới 25 CHƯƠNG THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO .27 2.1 Tổng quan công ty cổ phần phần mềm BRAVO 27 2.1.1 Giới thiệu chung công ty 27 2.1.2 Q trình thành lập phát triển cơng ty Cổ phần phần mềm BRAVO 28 2.1.3 Giới thiệu cấu tổ chức lĩnh vực hoạt động kinh doanh công ty .29 2.1.4 Báo cáo tài năm gần 32 2.1.5 Chiến lược định hướng phát triển công ty thời gian tới .34 2.2 Thực trạng vấn đề an tồn bảo mật thơng tin cơng ty cổ phần phần mềm BRAVO………………………………………………………………………………… 35 2.2.1 Các phần cứng công ty sử dụng .35 2.2.2 Các phần mềm công ty sử dụng .36 2.2.3 Hệ thống mạng .37 2.2.4 Cơ sở liệu 37 2.2.5 Nguồn nhân lực CNTT công ty .38 2.2.6 HTTT chung 38 2.2.7 Hạ tầng công nghệ thông tin 38 2.2.8 Website doanh nghiệp 38 2.3 Đánh giá thực trạng vấn đề an toàn bảo mật cho HTTT Công ty Cổ phần Phần mềm BRAVO 40 2.3.1 Đánh giá dựa kết xử lý phiếu khảo sát xử lý liệu thứ cấp 40 2.3.2 Đánh giá khác 45 2.3.3 Kết luận chung thực trạng an tồn bảo mật cho HTTT cơng ty 45 CHƯƠNG ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO TÍNH AN TỒN VÀ BẢO MẬT CHO HTTT CỦA CÔNG TY CP PHẦN MỀM BRAVO 48 3.1 Định hướng phát triển ATBM cho HTTT Công ty Cổ phần Phần mềm BRAVO 48 3.1.1 Định hướng phát triển chung 48 3.1.2 Định hướng phát triển công ty 49 3.2 Một số giải pháp nâng cao tính an tồn bảo mật cho HTTT Công ty Cổ phần phần mềm BRAVO 49 3.2.1 Giải pháp phần cứng .49 3.2.2 Giải pháp phần mềm .59 3.2.3 Giải pháp nguồn nhân lực .64 3.2.4 Giải pháp an toàn hệ thống mạng 66 3.2.5 Giải pháp bảo mật sở liệu .69 3.3 Kiến nghị an tồn bảo mật thơng tin cho HTTT công ty 70 KẾT LUẬN 72 TÀI LIỆU THAM KHẢO 73 PHỤ LỤC .74 DANH MỤC TỪ VIẾT TẮT STT Từ Viết Tắt Diễn Giải Định Nghĩa CNTT Công Nghệ Thông Tin HTTT Hệ Thống Thông Tin CSDL Cơ Sở Dữ Liệu SQL Structure Query Language Ngôn ngữ truy vấn ISO International Organization for Standardization Tổ chức tiêu chuẩn hóa quốc tế ATBMTT An tồn bảo mật thơng tin ATBM An toàn bảo mật CBNV Cán nhân viên HN Hà Nội 10 HCM Hồ Chí Minh 11 LAN Local Area Network Mạng máy tính nội 12 VPN Virtual Private Network Mạng riêng ảo 13 SSL Secure Socket Layer Lớp cổng bảo mật 14 TSL Transport Layer Security Giao thức bảo mật 15 HMAC Keyd-Hash Message Authentication Code Mã xác thực thông báo sử dụng hàm chiều có khóa 16 HTTPS HyperText Transfer Protocol Secure Giao thức truyền tải siêu văn bảo mật 17 FTP File Transfer Protocol Giao thức truyền tải tập tin 18 SNMP Simple Network Monitoring Protocol Giao thức giám sát mạng đơn giản 19 NNTP Network News Transfer Protocol Giao thức truyền tin mạng 20 XMPP Extensible Messaging and Presence Protocol Giao thức mở dựa tảng XML DANH MỤC BẢNG BIỂU, SƠ ĐỒ VÀ HÌNH VẼ Hình 1.1: Các yêu cầu đảm bảo an toàn liệu .15 Hình 1.2 : Tấn công từ chối dịch vụ cổ điển 20 Hình 1.3: Tấn công XSS 20 Hình 1.4: Tấn công nhử mồi (Phishing) 21 Hình 1.4: Tấn cơng Pharming 21 Hình 1.5: Tấn cơng SQL injection 22 Hình 1.5: Tấn công Click Fraud 22 Bảng 2.1: Quá trình hình thành phát triển 29 Hình 2.2: Sơ đồ tổ chức phịng ban chức công ty BRAVO 29 Hình 2.3: Bảng biểu đồ số lượng nhân công ty 30 Bảng 2.2: Kết hoạt động kinh doanh năm 2019 – 2021 BRAVO 33 Hình 2.4: Biểu đồ bảng tăng trưởng doanh thu năm 2019 – 2021 34 Bảng 2.5: Số lượng trang thiết bị phần cứng Hà Nội 36 Hình 2.5: Giao diện website công ty 39 Biểu đồ 2.4: Kết khảo sát khó khăn khắc phục cố liệu 40 Biểu đồ 2.5: Mức độ hài lòng phần cứng 41 Biểu đồ 2.6: Mức độ quan tâm đến vấn đề bảo mật nhân viên công ty 41 Biểu đồ 2.7: Biểu đồ khảo sát mức độ an tồn, bảo mật thơng tin cơng ty 42 Biểu đồ 2.8: Biểu đồ mức độ quan trọng yếu tố ảnh hưởng đến ATBM cho HTTT công ty 43 Biểu đồ 2.9: Biểu đồ thể cách thức bảo mật mà công ty sử dụng .43 Biểu đồ 2.10: Biểu đồ đánh giá mức độ trở ngại công ty thực giải pháp ATBM thông tin .44 Hình 2.6: Đánh giá website công ty trang web Sucuri Security 45 Bảng 3.1: Những điểm yếu lỗi hệ thống cách khắc phục 51 Bảng 3.2: Bảng so sánh thông số kỹ thuật máy chủ cũ máy chủ xuất 53 Hình 3.1: Tường lửa phần cứng (Hardware Firewall) .56 Hình 3.2: Thiết bị tường lửa FireWall FortiGate 60E .57 Hình 3.3: Cách hoạt động thiết bị FortiGate 60E bảo mật SD WAN 58 Hình 3.4: Giao diện quản lý tài khoản OsMonitor 60 Hình 3.5: Giao diện tính phần mềm OsMonitor .61 Hình 3.6: Các máy nhân viên mạng bị giám sát 61 Hình 3.7: Hình ảnh chụp hình nhân viên thời gian làm việc phần mềm giám sát 61 Hình 3.8: Tính “Đồ thị lịch sử liệu” để xem giám sát máy nhân viên 62 Hình 3.9: Ngơn ngữ phần mềm OsMonitor 63 Hình 3.10: Ví dụ biểu phí chứng thực SSL cho doanh nghiệp 68 PHẦN MỞ ĐẦU Tầm quan trọng ý nghĩa vấn đề nghiên cứu Hiện nay, chuyển đổi số hướng bắt buộc để Việt Nam dần thay đổi từ mơ hình kinh tế - xã hội thơng thường sang mơ hình kinh tế số - xã hội số nhằm thực mục tiêu đưa quốc gia phát triển thịnh vượng Để thực trình chuyển này, với việc số hóa mặt đời sống, kinh tế, yếu tố cốt lõi bảo mật an tồn thơng tin Vi phạm liệu, gian lận công an ninh mạng trở nên phổ biến người ngày phụ thuộc vào công nghệ Dữ liệu phần thiếu cho doanh nghiệp dù lớn hay nhỏ mà coi phần tài sản doanh nghiệp Một hệ thống thông tin doanh nghiệp bao gồm: thông tin nhân viên, thông tin khách hàng, thông tin đối tác, thơng tin tình trạng kinh doanh, thơng tin chiến lược, sản phẩm tài liệu mật công ty Khi liệu, thông tin bị rò rỉ ảnh hưởng nghiệm trọng đến uy tín thương hiệu cơng ty đối tác gây ảnh hưởng tới hoạt động kinh doanh phát triển công ty Sự bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống công nghệ thông tin, làm tăng số điểm yếu nguy an toàn hệ thống Việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính trọn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Với phát triển vượt bậc CNTT, mối đe dọa ngày nhiều, phương pháp sử dụng mật cho thông tin liệu, sử dụng phần mềm triệt virus, hệ thống tường lửa, chưa thể đảm bảo an toàn cách triệt để Việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Đặc biệt với Công ty Cổ phần phần mềm BRAVO công ty chuyên sâu phát triển triển khai ứng dụng hệ thống phần mềm công nghệ thông tin vào quản lý sản xuất kinh doanh nhằm nâng cao hiệu điều hành, quản trị cho doanh nghiệp, tổ chức kinh doanh - xã hội với sản phẩm “Phần mềm Quản trị tài kế tốn” “Phần mềm Quản lý doanh nghiệp ERP”, thông tin liệu quan trọng bậc mà công ty cần bảo mật có sản phẩm đặc trưng riêng Bởi vậy, sau trình thực tập tìm hiểu BRAVO, em xin đề xuất đề tài khóa luận: “Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty Cổ phần phần mềm BRAVO” Mục tiêu nhiệm vụ nghiên cứu 2.1 Mục tiêu nghiên cứu Đề xuất số giải pháp đảm bảo an tồn thơng tin nhằm nâng cao tính an tồn thơng tin cho Cơng ty cổ phần Phần mềm BRAVO 2.2 Nhiệm vụ nghiên cứu Nhiệm vụ nghiên cứu bao gồm: + Tập hợp hệ thống hóa số lý thuyết an toàn bảo mật HTTT + Làm rõ sở lý luận an tồn bảo mật HTTT cơng ty Cổ phần Phần mềm BRAVO Xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật HTTT để đưa ưu nhược điểm Trên sở lý luận thực trạng đề xuất giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty Cổ phần Phần mềm BRAVO Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu Vấn đề an toàn bảo mật HTTT Công ty Cổ phần Phần mềm BRAVO bao gồm: phần cứng, phần mềm, hệ thống mạng, CSDL hạ tầng công nghệ thông tin, nguồn nhân lực CNTT công ty, HTTT chung 3.2 Phạm vi nghiên cứu Phạm vi nghiên cứu đề tài giới hạn sau: Về khơng gian: Quy trình nghiên cứu thực công ty Cổ phần Phần mềm BRAVO Về thời gian: Các số liệu thu thập khoảng thời gian 2019 -2022 Về nội dung: nghiên cứu cách tổng qt tình hình an tồn bảo mật HTTT Công ty Cổ phần phần mềm BRAVO Phương pháp nghiên cứu 4.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua Internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra, vấn Nội dung: Bảng câu hỏi gồm câu hỏi, câu hỏi xoay quanh hoạt động đảm bảo ATBM HTTT triển khai hiệu hoạt động Công ty Cổ phần phần mềm Bravo Cách tiến hành: Bảng câu hỏi gửi cho 15 nhân viên công ty để thu thập ý kiến Mục đích: Nhằm thu thập thơng tin hoạt động ATBM HTTT để từ đánh giá thực trạng triển khai đưa giải pháp phù hợp với HTTT Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cấp thông tin thu thập xử lý trước mục tiêu khác cơng ty Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh công ty vòng năm: 2019, 2020, 2021 thu thập từ phịng hành chính, kế tốn, phịng nhân công ty, từ phiếu điều tra vấn tài liệu thống kê khác Nguồn tài liệu bên ngoài: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan đến đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thơng tin cần thiết ta tiến hành phân loại sơ tài liệu Từ rút kết luận có cần thêm tài liệu bổ sung vào, đủ tiến hành bước xử lý liệu Phương pháp sử dụng cho khóa luận để thu thập liệu liên quan đến vấn đề an tồn bảo mật Cơng ty Cổ phần Phần mềm BRAVO Phương pháp nghiên cứu tài liệu: việc nghiên cứu giáo trình nhà trường em cịn tham khảo nghiên cứu luận văn, nghiên cứu khoa học trường Đại học Thương Mại trường đại học khác Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft Office Excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2019 – 2021, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán: Được sử dụng dùng để đưa dự báo, phán đốn tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà cơng ty hứng chịu 4.2 Phương pháp xử lý liệu Mỗi phương pháp xử lý thơng tin có ưu nhược điểm riêng chúng đề tài nghiên cứu sử dụng phương pháp xử lý thơng tin sau: Phương pháp định tính: Đối với số liệu thu thập dạng số liệu thống kê phân tích định lương ta dùng bảng tính Excel để phân tích làm 10