Đang tải... (xem toàn văn)
Microsoft Word Bao cao De tai cap truong 2017 23 05 docx BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC THƯƠNG MẠI BÁO CÁO ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP CƠ SỞ MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM H[.]
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC THƯƠNG MẠI BÁO CÁO ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP CƠ SỞ MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN CHO PHẦN MỀM HỆ THỐNG THƠNG TIN CỦA DOANH NGHIỆP Mã số: CS16 - 02 Chủ nhiệm đề tài: ThS Nguyễn Quang Trung Đơn vị công tác: Bộ môn công nghệ thông tin Hà Nội, 3/2017 MỤC LỤC DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT iv DANH MỤC BẢNG BIỂU, HÌNH VẼ iv Chương TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1 Tính cấp thiết đề tài 1.2 Tổng quan tình hình nghiên cứu nước 1.2.1 Tình hình nghiên cứu nước ngồi 1.2.2 Tình hình nghiên cứu nước 1.3 Mục tiêu đề tài 1.4 Đối tượng phạm vi nghiên cứu 1.5 Phương pháp nghiên cứu 1.6 Kết cấu báo cáo đề tài Chương CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN TỒN CHO PHẦN MỀM HỆ THỐNG THƠNG TIN CỦA DOANH NGHIỆP VIỆT NAM 10 2.1 Cơ sở lý luận 10 2.1.1 Tổng quan hệ thống thông tin 10 2.1.2 Các đặc trưng hệ thống thơng tin an tồn 15 2.1.3 Các nguy rủi ro hệ thống thông tin 19 2.2 Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin doanh nghiệp Việt Nam 23 2.2.1 Thực trạng chung 23 2.2.2 Thực trạng đảm bảo an tồn cho phần mềm hệ thống thơng tin 28 2.3 Đánh giá thực trạng đảm bảo an tồn cho phần mềm hệ thống thơng tin 31 Chương MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP 33 3.1 Áp dụng quy trình phát triển phần mềm an tồn 33 3.2 Tổ chức lập trình an toàn 34 3.3 Bảo mật sở liệu 36 3.4 Đào tạo người sử dụng 37 3.5 Rà soát phát lỗ hổng 37 3.6 Một số đề xuất, kiến nghị 38 KẾT LUẬN 39 TÀI LIỆU THAM KHẢO 41 PHỤ LỤC 1: MẪU PHIẾU ĐIỀU TRA 42 PHỤ LỤC 2: DANH SÁCH DOANH NGHIỆP ĐIỀU TRA 47 ii PHỤ LỤC 3: THUYẾT MINH ĐỀ TÀI 49 iii DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT Tiếng Anh Từ viết tắt Tiếng Việt ATTT Information Security An toàn thơng tin BCVT Posts and Telecommunications Bưu viễn thơng CNTT Information Technology Công nghệ thông tin Customer Relationship Quản trị mối quan hệ khách Management hàng CSDL Database Cơ sở liệu ERP Enterprise Resource Planning Hoạch định nguồn lực doanh nghiệp HTTT Information System Hệ thống thông tin SCM Supply Chain Management Quản trị chuỗi cung ứng SQL Structured Query Language Ngơn ngữ truy vấn có cấu trúc Vietnam Computer Emergency Trung tâm ứng cứu khẩn cấp Response Teams máy tính Việt Nam Vietnam Information Security Association Hiệp hội An tồn thơng tin Việt Nam CRM VNCERT VNISA DANH MỤC BẢNG BIỂU, HÌNH VẼ Hình 2.1 Mơ hình hệ thống thông tin 11 Hình 2.2: Chỉ số ATTT qua năm 2013 đến 2016 .20 Hình 2.3: Những vấn đề khó khăn việc đảm bảo ATTT cho hệ thống thơng tin 22 Hình 3.1: Các quy trình vịng đời phát triển an tồn 34 iv Chương TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1 Tính cấp thiết đề tài Trong lịch sử trải qua nhiều cách mạng công nghiệp Đầu tiên động chạy nước thủy lực, đến động điện, dây chuyền sản xuất điện tốn hóa,…Tiếp theo gì? Một số người gọi cách mạng công nghiệp lần thứ tư, hay công nghiệp hệ 4.0 Đây xu hướng kết hợp hệ thống ảo thực thể, vạn vật kết nối Internet (IoT) hệ thống kết nối Internet (IoS) Trong cách mạng thứ tư, đến với kết hợp giới thực, giới ảo giới sinh vật Những công nghệ hệ thống thơng tin thơng minh tác động đến kinh tế, ngành công nghiệp, đồng thời thách thức ý niệm cách thức bảo vệ hệ thống Những hệ thống thuộc lĩnh vực có tiềm kết nối hàng tỷ người giới, gia tăng đáng kể hiệu hoạt động cho tổ chức, doanh nghiệp, tái tạo nguồn tài nguyên thiên nhiên hay chí khơi phục lại tổn thất mà cách mạng công nghiệp trước gây Trong lĩnh vực kinh tế, hệ thống thông tin kinh tế có vai trị quan trọng doanh nghiệp Các phần mềm tự động hóa với độ xác cao, chất lượng tốt giúp doanh nghiệp giảm bớt chi phí hoạt động, cải thiện lợi tức đầu tư hiệu kinh doanh Cùng với phát triển mạnh mẽ công nghệ thông tin nay, việc thu thập, xử lý thông tin dễ dàng nhanh chóng với hệ thống thơng tin tự động hóa Song song với phát triển này, với cách quản lý nhân lực, tài sản nói chung tài sản thơng tin nói riêng doanh nghiệp, phát triển loại hình đánh cắp thơng tin, xâm nhập hệ thống thông tin trái phép, bao gồm bên doanh nghiệp bên ngồi doanh nghiệp Có thể nói giới phải đối mặt với vấn đề đánh cắp, rị rỉ thơng tin vi phạm quyền riêng tư Chúng khơng cịn vấn đề riêng ai, mà vấn đề tất Vấn đề thực nguy hiểm, ảnh hưởng vấn đề an toàn cho hệ thống thông tin (HTTT) doanh nghiệp lớn Một hệ thống thông tin trở nên quan trọng vấn đề đảm bảo an tồn bảo mật cho hệ thống thơng tin có tính chất sống cịn đến phát triển doanh nghiệp Đảm bảo an tồn thơng tin (ATTT) giúp cho hoạt động doanh nghiệp ln thơng suốt an tồn, đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế An toàn bảo mật HTTT tập trung vào hai phần an tồn hệ thống bảo mật liệu Nếu bảo mật liệu hệ thống tập trung chủ yếu vào việc mã hóa liệu, vấn đề an tồn cho hệ thống thông tin quan tâm đến bảo vệ hệ thống phần cứng, hệ điều hành, hệ thống mạng, hệ thống phần mềm Trong vấn đề bảo vệ hệ thống phần mềm quan trọng chưa doanh nghiệp trọng Vì tác giả chọn đề tài “Một số giải pháp đảm bảo an tồn cho phần mềm hệ thống thơng tin doanh nghiệp” để nghiên cứu 1.2 Tổng quan tình hình nghiên cứu ngồi nước 1.2.1 Tình hình nghiên cứu nước Trên giới, hệ thống phần mềm phát triển ứng dụng doanh nghiệp phần mềm ERP (hoạch định nguồn lực doanh nghiệp), CRM (quản trị mối quan hệ khách hàng), SCM (quản trị chuỗi cung ứng), … Các hệ phần mềm xây dựng theo quy trình chuẩn nên đạt tiêu chuẩn an toàn cao Để triển khai hệ thống phần mềm doanh nghiệp cần quan tâm đến vấn đề kinh phí, việc triển khai có nhà cung cấp dịch vụ cài đặt, đào tạo người sử dụng Tuy nhiên doanh nghiệp có điều kiện triển khai phần mềm CRM, SCM, ERP,… Xây dựng phần mềm riêng doanh nghiệp giới lựa chọn Khi xây dựng phần mềm dùng riêng vấn đề đảm bảo an tồn cho hệ thống thơng tin nói chung vấn đề đảm bảo an toàn cho phần mềm HTTT quan trọng Vấn đề nhiều công ty, nhiều nhà khoa học công bố sách, tạp chí tiếng giới như: Cuốn sách Architecting Secure Software Systems[11] tác giả Asoke K Talukder and Manish Chaitanya xuất năm 2011, sách tiếng xây dựng kiến trúc hệ thống cho đảm bảo an toàn phần mềm Trong tài liệu tác giả tập trung vào khía cạnh lý thuyết thực tiễn việc thiết kế hệ thống phần mềm an toàn cho cơng nghệ, tảng ngơn ngữ lập trình khác Trong phần lý thuyết, tác giả giải thích nhu cầu an tồn, thuộc tính an tồn kiểu công khác Một phương pháp luận vịng đời phát triển phần mềm an tồn với hoạt động cần thiết để xây dựng hệ thống phần mềm bảo mật đưa phần lý thuyết Trong phần thứ hai, sách tập trung vào khía cạnh thực tế bảo mật phần mềm Cung cấp ví dụ kiến trúc cụ thể đoạn mã nguồn để giải thích làm để xây dựng hệ thống phần mềm an toàn Tuy nhiên sách chưa đề cập đến áp dụng quy trình phát triển phần mềm theo chuẩn an toàn Các tác giả Christopher J Carvalho, Elizabeth M Borycki Andre Kushniruk (2012) có viết “Ensuring the Safety of Health Information Systems”[11], tạp chí quốc tế ứng dụng Tin học Y tế Bài viết đề cập đến vấn đề đảm bảo an toàn cho hệ thống thông tin, cụ thể HTTT y tế Vấn đề an toàn tập trung vào việc bảo vệ thiết bị phần cứng, hệ thống mạng truyền thông liệu hệ thống Trong viết giới thiệu giải pháp lựa chọn nhà cung cấp cứng, phần mềm nhằm giảm thiểu nguy an tồn cho hệ thống thơng tin y tế Trong sách “Handbook of the Secure Agile Software Development Life Cycle”[12] xuất năm 2014, tác giả Jouko ahola, Christian frühwirth, Marko Helenius trường Đại học Oulu đưa quy trình phát triển phần mềm theo phương pháp “agile” (phương pháp phát triển nhanh) hướng đến an tồn Trong tài liệu mơ tả chi tiết bước quy trình, từ phân tích thiết lập trình, kiểm thử, bảo trì phần mềm theo hướng an toàn Tuy nhiên bước quy trình cho phương pháp agile nên chưa phản ánh hết thực trạng đảm bảo an toàn cho phần mềm thực tế, phương pháp chưa phổ biến Các doanh nghiệp nước ngồi thường có hợp đồng kinh tế chặt chẽ họ làm việc với nhà phát triển phần mềm, nhà cung cấp phần cứng họ thường yêu cầu tin học hoá đồng mức cao nên hệ thống thông tin họ tương đối an toàn Các tác giả Kenneth R van Wyk, Mark G Graff viết sách “Enterprise Software Security”[13] năm 2014, bàn vấn đề an tồn cho phần mềm doanh nghiệp Thơng thường ban đầu doanh nghiệp chủ yếu tập trung xây dựng phần mềm với quy mơ nhỏ, chi phí thấp nên nguy an tồn cho hệ thơng tin xảy Vậy cần phải tìm giải pháp đảm bảo an tồn phù hợp với quy mơ phần mềm nhỏ cho doanh nghiệp Tài liệu rõ số phương pháp nhằm đảm bảo an toàn cho phần mềm, nhiên tác giả chủ yếu tập trung vào giải pháp công nghệ mà doanh nghiệp đáp ứng Không doanh nghiệp Việt Nam mà doanh nghiệp giới băn khoăn làm để phát triển phần mềm mà hạn chế tối đa xâm nhập trái phép từ bên vào hệ thống “Safety For Software development models in Enterprise”[14] tác giả Pierre Bertrand đề cập đến số mơ hình phát triển phần mềm nhằm đảm bảo an toàn cho hệ thống Trong mơ hình doanh nghiệp phải chấp nhận khoản chi phí khơng nhỏ để phát triển phần mềm tuân thủ theo quy trình chuẩn thiết kế phần mềm Vì nhiều lý khác trình độ chun mơn nhân viên, chi phí áp dụng đắt đỏ mà doanh nghiệp Việt Nam áp dụng Vì doanh nghiệp Việt Nam phải phát triển phần mềm theo cách tối ưu chi phí (cắt giảm số khâu quy trình để giảm chi phí xây dựng phần mềm) Việc lựa chọn mơ hình phát triển phần mềm để đảm bảo an tồn thường gặp nhiều khó khăn nhân lực mức độ tự động hoá phần mềm Các đề tài, báo tạp chí tiếng chủ yếu đề cập đến khía cạnh sử dụng hệ thống đảm bảo an toàn để bảo vệ hệ thống thông tin mà chưa đề cập đến phương pháp bảo vệ từ phân tích thiết kế phần mềm, viết mã nguồn chương trình, tức đề cập đến khía cạnh áp dụng chặt chẽ quy tắc để kiểm soát lỗi để không tạo lỗ hổng cho haker công 1.2.2 Tình hình nghiên cứu nước Cơng nghệ phần mềm phát triển nhanh Việt Nam năm gần Hầu hết doanh nghiệp ứng dụng phần mềm vào hoạt động sản xuất kinh doanh với cấp độ khác Chính mà yêu cầu cần thiết phải đảm bảo an toàn cho phần mềm nhiều doanh nghiệp quan tâm Trong công ty sản xuất phần mềm, cán công nhân viên công ty đặc biệt nhân viên tham gia vào trình phát triển phần mềm phải nỗ lực việc hoàn thiện kỹ năng, nắm vững phương pháp, công nghệ để tạo phần mềm phù hợp với doanh nghiệp mà đảm bảo tính an tồn Các mơ hình phát triển phần mềm đại theo quy trình chuẩn hố sử dụng nhiều nước giới, đặc biệt nước phát triển Nhưng Việt Nam, điều mẻ bắt đầu triển khai vài doanh nghiệp lớn Nhiều cơng trình khoa học mơ hình phát triển phần mềm hướng đến an toàn như: Đề tài cấp Đại học Quốc Gia Hà Nội TS Ma Thị Châu “Ứng dụng công nghệ phát triển phần mềm”[3] Đề tài đề cập đến cơng cụ phân tích thiết kế phần mềm UML (ngơn ngữ mơ hình hố thống nhất), điểm mạnh cơng cụ phát triển phần mềm cho doanh nghiệp Đề tài tập trung chủ yếu vào việc nghiên cứu mặt công nghệ, khả sinh mã nguồn tự động (tự động hố số khâu viết chương trình) Các cơng nghệ mà đề tài đề cập đến có khả ứng dụng cho nhiều loại hình doanh nghiệp Việt Nam Nhưng đề tài chưa quan tâm đến vấn đề đảm bảo an toàn cho phần mềm áp dụng cơng nghệ Đề tài cấp Đại học Quốc Gia Hà Nội TS Ngô Lê Minh “Đảm bảo an tồn cho hệ thống thơng tin quản lý điện toán đám mây”[5] Đề tài đề cập đến cơng nghệ điện tốn đám mây, điểm mạnh công nghệ phát triển hệ thống thông tin quản lý cho doanh nghiệp Đề tài tập trung chủ yếu vào giải pháp mặt cơng nghệ nhằm đảm bảo an tồn cho HTTT nói chung HTTT điện tốn đám mây nói riêng cơng nghệ mạng riêng ảo, sử dụng phương thức bảo mật đường truyền, xây dựng hệ thống tường lửa,… Các giải pháp giải pháp nên khơng hẳn an tồn với harker có trình độ cao Vì muốn hệ thống trở nên an toàn doanh nghiệp buộc phải đầu tư trang thiết bị phần cứng đắt tiền Điều doanh nghiệp đáp ứng Trong đề tài tác giả chưa quan tâm cụ thể đến việc đảm bảo an toàn cho phần mềm Bài báo hội thảo quốc gia TS Hoàng Đức Thọ, Học viện Kỹ thuật mật mã “Một số giải pháp phát triển phần mềm hướng đến an toàn”[7] Bài báo khái quát thực trạng phát triển phần mềm nước ta nhiều hạn chế dẫn đến thất bại việc đảm bảo an toàn, nguyên nhân chủ yếu dẫn đến phần mềm nhiều lỗ hổng bảo mật để tin tặc công gây thiệt hại nặng nề cho doanh nghiệp Trên sở học tập kinh nghiệm thực tế từ dự án thành công nước giới, tác giả rút học kinh nghiệm đề xuất số giải pháp để phát triển phần mềm theo hướng an toàn cách áp dụng biện pháp phát lỗ hổng bảo mật phần mềm Hiện tài liệu giảng dạy nước lĩnh vực phần mềm, nhiều đề cập đến vấn đề an toàn cấp độ khác Trong tài liệu “Bài giảng Công nghệ phần mềm, Bộ môn Công nghệ thông tin – Trường Đại học Thương mại (2015)”; PGS.TS Đàm Gia Mạnh (2011), “Giáo trình An tồn liệu Thương mại điện tử, Nhà xuất Thống kê, Hà Nội; Trần Đình Quế (2013), Giáo trình phân tích thiết kế hệ thống thông tin, Nhà xuất Thông tin Truyền thông, tác giả đề cập đến nguy an tồn thơng tin biện pháp đảm bảo an tồn thơng tin, liệu hệ thống thông tin □ Kiểm thử □ Lập trình □ Khách hàng HTTT mà cơng ty cung cấp bị công chủ yếu thành phần nào? □ Đường truyền mạng □ Phần mềm □ Cơ sở liệu □ Phần cứng F Đề xuất kiến nghị 46 PHỤ LỤC 2: DANH SÁCH DOANH NGHIỆP ĐIỀU TRA STT Tên Công ty Công ty CP Phần mềm Effect Công ty CP Dịch vụ Giải pháp cơng nghiệp Việt Nam Địa chỉ, Điện thoại Phịng 502, Tịa nhà Viễn Đơng, 36 phố Hồng Cầu Cơng ty CP Phần mềm quản lý doanh nghiệp FAST Tầng 11, Tòa nhà Việt Á, đường Duy Tân, Cầu Giấy, Hà Nội Công ty CP Kiến trúc Hà Nội Nhà A1 Ngõ 194, Giải Phóng, Q.Thanh Xuân, Hà Nội, Tel: 38686111, Fax: 38687191 Công ty VTC Intercom Tầng 15, Tòa nhà VTC, Số 23 Lạc Trung, Hai Bà Trưng, Hà Nội CT CP tư vấn tích hợp công nghệ D&L 199E Đại La, Phường Đồng Tâm, Quận Hai Bà Trưng, Hà Nội Công ty CP Công nghệ Thương mại JCNet 34, Đặng Tiến Đông, Phường Trung Liệt, Quận Đống Đa, Hà Nội Công ty CP Phần mềm quản trị doanh nghiệp Cybersoft 18/165 Tịa nhà Sơng Đà, P.Dịch Vọng, Q.Cầu Giấy, Hà Nội Công ty CP Giải pháp CNTT Truyền thông SunNet Số 1/120 Trường Chinh – Ðống Ða – Hà Nội Công ty CP Công nghệ thông tin truyền thông TECAPRO - IT Công ty CP Phần mềm BRAVO Công ty CP Phần mềm FPT (FSOFT) 24 Nguyễn Trường Tộ, phường Trúc Bạch, quận Ba Đình, Tp Hà Nội Tầng 3, Tòa nhà 101 Láng Hạ, Đống Đa, Hà Nội Tòa nhà FPT Cầu Giấy, phố Duy Tân, phường Dịch Vọng Hậu, quận Cầu Giấy, Hà Nội 13 Công ty CP Truyền thông VTK P202 nhà A1, ngõ 121/2 Chùa Láng, Đống Đa, Hà Nội 14 Công ty TNHH Nhựa Đức Anh 318/2 La Thành, Ô Chợ Dừa, Đống Đa, Hà Nội 15 CT CP Climax VN Số 46B đường Nguyễn Đình Hồn, Phường Nghĩa Đơ, Quận Cầu Giấy, Hà Nội 16 CT TNHH Quản trị Hồng Lĩnh Số 81 Lê Đức Thọ, Nam Từ Liêm, Hà Nội Điện thoại: 0463299358 17 Công ty CP Dịch vụ Thương mại XNK Thiên Thanh Số 35 ngõ 66, phố Yên Lạc, Phường Vĩnh Tuy, Quận Hai Bà Trưng, Hà Nội 18 Công ty CP Multitech Số 211/172/10B, Phố Khương Trung - Quận Thanh Xuân - Hà Nội 19 Công ty CP X-MEDIA Số 244A Lê Trọng Tấn, P.Khương Mai, Thanh Xuân, Hà Nội 20 Công ty CP công nghệ DTT Tầng 4, Tòa nhà 319 Bộ Quốc Phòng, 63 Lê Văn Lương, Cầu Giấy, Hà Nội 21 Công ty TNHH Nhựa đường Petrolimex Số 229 Tây Sơn, Phường Ngã Tư Sở - Quận Đống Đa - Hà Nội 10 11 12 Đông Ngạc, Quận Bắc Từ Liêm, Hà Nội, 0437578292 47 22 Công ty CP Giải pháp CN Savis VN Số 22 Lô 1C Đường Trung Yên 11C KĐT Trung Yên - P.Trung Hòa - Q.Cầu Giấy - Hà Nội 23 Công ty CP Phần mềm BIZSOFT Số 10 ngõ 3, phố Trần Quý Kiên - Quận Cầu Giấy Hà Nội 24 Công Ty CP Đầu tư Thương mại Thủ Đơ Tầng 3, Tịa nhà Đại Phát, Phố Duy Tân, Phường Dịch Vọng Hậu - Quận Cầu Giấy - Hà Nội 25 Công ty TNHH TM XNK ADT 73 Tôn Đức Thắng, Q.Đống Đa, Hà Nội Điện thoại: (04) 37321638, 37323604 26 Công ty CP Giải pháp Nguồn lực Công nghệ ITSOL Số 84 Duy Tân, Cầu Giấy, Hà Nội 27 Công ty CP Công Nghệ Tinh Vân Tầng - Khách sạn Thể Thao - Làng Sinh viên Hacinco - Thanh Xuân - Hà Nội 28 Công ty TNHH Việt Bis Số 22, ngách 521/37 Trương Định, P.Tân Mai, Quận Hoàng Mai, Hà Nội 29 Công ty TNHH Thương mại Dịch vụ kỹ thuật Nhật Cường Số 39 - 41 phố Lý Quốc Sư, Phường Hàng Trống, Quận Hoàn Kiếm, Hà Nội 30 Công ty TNHH Thương mại Dịch vụ IPCA Số 19, Phạm Thận Duật, P Mai Dịch, Q.Cầu Giấy, Hà Nội, Tel: 22178397 48 PHỤ LỤC 3: THUYẾT MINH ĐỀ TÀI BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC THƯƠNG MẠI THUYẾT MINH ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP CƠ SỞ TÊN ĐỀ TÀI MÃ SỐ Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin doanh nghiệp THỜI GIAN THỰC HIỆN tháng Từ ngày 30 tháng năm 2016 đến ngày 31 tháng năm 2017 CHỦ NHIỆM ĐỀ TÀI Họ tên: Nguyễn Quang Trung Học vị: Thạc sỹ Chức danh khoa học: Giảng viên Năm sinh: 1980 Địa quan: Địa nhà riêng: Bộ môn Công nghệ thông tin, Điện thoại nhà riêng: 0988381998 Khoa Hệ thống thông tin kinh tế Fax: Điện thoại quan: Di động: 0917754848 E-mail: trungnqvcu@gmail.com NHỮNG THÀNH VIÊN THAM GIA NGHIÊN CỨU ĐỀ TÀI TT Họ tên Đơn vị công tác lĩnh vực chuyên môn - Bộ môn Công nghệ thông tin, khoa Hệ thống thông tin kinh Nguyễn Quang Trung tế - Chuyên môn: Công nghệ thông tin Nội dung nghiên cứu cụ thể giao Lập đề cương nghiên cứu Khảo sát thực tế Viết sở lý luận Xây dựng mẫu phiếu điều tra, gửi thu phiếu điều tra, chọn mơ hình xử lý số liệu Xử lý số liệu thu thập qua phiếu điều tra Viết báo cáo tổng hợp 49 Chữ ký TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU THUỘC LĨNH VỰC CỦA ĐỀ TÀI Ở TRONG VÀ NGỒI NƯỚC 6.1 Ngồi nước (phân tích, đánh giá tình hình nghiên cứu thuộc lĩnh vực đề tài giới, liệt kê danh mục cơng trình nghiên cứu, tài liệu có liên quan đến đề tài trích dẫn đánh giá tổng quan) Trên giới, hệ thống phần mềm phát triển ứng dụng doanh nghiệp phần mềm CRM (quản trị mối quan hệ khách hàng), SCM (quản trị chuỗi cung ứng), ERP (hoạch định nguồn lực doanh nghiệp),… Các hệ phần mềm xây dựng theo quy trình chuẩn nên đạt tiêu chuẩn an toàn cao Để triển khai hệ thống phần mềm doanh nghiệp cần quan tâm đến vấn đề kinh phí, việc triển khai có nhà cung cấp dịch vụ cài đặt, đào tạo người sử dụng Tuy nhiên doanh nghiệp có điều kiện triển khai phần mềm CRM, SCM, ERP,… Xây dựng phần mềm riêng doanh nghiệp giới lựa chọn Khi xây dựng phần mềm dùng riêng vấn đề đảm bảo an tồn cho hệ thống thơng tin (HTTT) nói chung vấn đề đảm bảo an toàn cho phần mềm HTTT quan trọng Vấn đề nhiều công ty, nhiều nhà khoa học công bố tạp chí tiếng giới như: - Ensuring the Safety of Health Information Systems, Christopher J Carvalho, Elizabeth M Borycki and Andre Kushniruk, 2012: Tài liệu đề cập đến vấn đề đảm bảo an toàn cho hệ thống thơng tin nói chung Vấn đề an tồn tập trung vào việc bảo vệ thiết bị phần cứng, hệ thống mạng truyền thông liệu hệ thống Tài liệu giới thiệu giải pháp lựa chọn nhà cung cấp cứng, phần mềm nhằm giảm thiểu nguy an tồn cho hệ thống thơng tin nói chung Các doanh nghiệp nước ngồi thường có hợp đồng kinh tế chặt chẽ họ làm việc với nhà phát triển phần mềm, nhà cung cấp phần cứng họ thường yêu cầu tin học hoá đồng mức cao nên hệ thống thông tin họ tương đối an toàn Đối với doanh nghiệp Việt Nam, ban đầu họ chủ yếu tập trung xây dựng phần mềm với quy mơ nhỏ, chi phí thấp nên nguy an toàn cho hệ thơng tin xảy Vậy cần phải tìm giải pháp đảm bảo an tồn phù 50 hợp với quy mơ phần mềm nhỏ cho doanh nghiệp Việt Nam - Safety For Software development models in Enterprise, Pierre Bertrand, February 13, 2013: Không doanh nghiệp Việt Nam mà doanh nghiệp giới băn khoăn làm để phát triển phần mềm mà hạn chế tối đa xâm nhập trái phép từ bên vào hệ thống “Safety For Software development models in Enterprise” đề cập đến số mơ hình phát triển phần mềm nhằm đảm bảo an toàn cho hệ thống Trong mơ hình doanh nghiệp phải chấp nhận khoản chi phí khơng nhỏ để phát triển phần mềm tuân thủ theo quy trình chuẩn thiết kế phần mềm Vì nhiều lý khác trình độ chun mơn nhân viên, chi phí áp dụng đắt đỏ mà doanh nghiệp Việt Nam áp dụng Vì doanh nghiệp Việt Nam phải phát triển phần mềm theo cách tối ưu chi phí (cắt giảm số khâu quy trình để giảm chi phí xây dựng phần mềm) Việc lựa chọn mơ hình phát triển phần mềm để đảm bảo an tồn thường gặp nhiều khó khăn nhân lực mức độ tự động hoá phần mềm Các đề tài, báo tạp chí tiếng chủ yếu đề cập đến khía cạnh sử dụng hệ thống đảm bảo an toàn để bảo vệ hệ thống thông tin mà chưa đề cập đến phương pháp bảo vệ từ phân tích thiết kế phần mềm, tức đề cập đến khía cạnh áp dụng chặt chẽ quy tắc để kiểm sốt lỗi để khơng tạo lỗ hổng cho haker cơng 6.2 Trong nước (phân tích, đánh giá tình hình nghiên cứu thuộc lĩnh vực đề tài Việt Nam, liệt kê danh mục cơng trình nghiên cứu, tài liệu có liên quan đến đề tài trích dẫn đánh giá tổng quan) Cơng nghệ phần mềm phát triển nhanh Việt Nam năm gần Hầu hết doanh nghiệp ứng dụng phần mềm vào hoạt động sản xuất kinh doanh với cấp độ khác Chính mà nhu cầu nhân lực tham gia vào phát triển phần mềm nhiều trường đại học quan tâm đào tạo sinh viên Trong doanh nghiệp ứng dụng phần mềm tin học cán công nhân viên doanh nghiệp đặc biệt nhân viên tham gia vào trình phát triển phần mềm phải nỗ lực việc hoàn thiện kỹ năng, nắm vững phương 51 pháp, công nghệ để tạo phần mềm phù hợp với doanh nghiệp mà đảm bảo tính an tồn Các mơ hình phát triển phần mềm đại theo quy trình chuẩn hố sử dụng nhiều nước giới, đặc biệt nước phát triển Nhưng Việt Nam, điều mẻ bắt đầu triển khai vài doanh nghiệp lớn Nhiều cơng trình khoa học mơ hình phát triển phần mềm như: Đề tài cấp Đại học Quốc Gia Hà Nội TS Ma Thị Châu “Ứng dụng công nghệ phát triển phần mềm” Đề tài đề cập đến cơng cụ phân tích thiết kế phần mềm UML (ngơn ngữ mơ hình hố thống nhất), điểm mạnh công cụ phát triển phần mềm cho doanh nghiệp Đề tài tập trung chủ yếu vào việc nghiên cứu mặt công nghệ, khả sinh mã nguồn tự động (tự động hoá số khâu viết chương trình) Các cơng nghệ mà đề tài đề cập đến có khả ứng dụng cho nhiều loại hình doanh nghiệp Việt Nam Nhưng đề tài chưa quan tâm đến vấn đề đảm bảo an toàn cho phần mềm áp dụng cơng nghệ Bài báo hội thảo quốc gia TS Hoàng Đức Thọ, Học viện Kỹ thuật mật mã “Một số giải pháp phát triển phần mềm hướng đến an toàn” Bài báo khái quát thực trạng phát triển phần mềm nước ta nhiều hạn chế dẫn đến thất bại việc đảm bảo an toàn, nguyên nhân chủ yếu dẫn đến phần mềm nhiều lỗ hổng bảo mật để tin tặc công gây thiệt hại nặng nề cho doanh nghiệp Trên sở học tập kinh nghiệm thực tế từ dự án thành công nước giới, tác giả rút học kinh nghiệm đề xuất số giải pháp để phát triển phần mềm theo hướng an toàn cách áp dụng biện pháp phát lỗ hổng bảo mật phần mềm Hầu hết đề tài, báo thu thập chủ yếu đề cập đến khía cạnh cơng nghệ, áp dụng mơ hình chuẩn để phát triển phần mềm hệ thống thơng tin nhằm đảm bảo an tồn Điều đòi hỏi doanh nghiệp phải tuân thủ quy trình nghiệp vụ chuẩn khâu xây dựng phần mềm có khả áp dụng 52 Như theo hiểu biết chủ nhiệm đề tài, chưa có cơng trình nghiên cứu đầy đủ giải pháp nhằm đảm bảo an toàn cho phần mềm hệ thống thông tin mà phù hợp với đại đa số doanh nghiệp Việt Nam (tiết kiệm chi phí), đồng thời phù hợp cho việc giảng dạy học phần Công nghệ phần mềm trường Đại học 6.3 Danh mục cơng trình cơng bố thuộc lĩnh vực đề tài chủ nhiệm thành viên tham gia nghiên cứu (họ tên tác giả; báo; ấn phẩm; yếu tố xuất bản) [1] ThS Nguyễn Quang Trung, “Đảm bảo an toàn thông tin mạng công nghệ mạng riêng ảo - ứng dụng Công ty Cổ phần Thông tin Thương mại Việt Nam” Đề tài khoa học cấp sở, 2008 [2] ThS Nguyễn Quang Trung, “Lựa chọn công nghệ để phát triển hệ thống thông tin phục vụ giảng dạy học phần Phát triển hệ thống thông tin kinh tế”, Đề tài khoa học cấp sở, 2014 [3] ThS Nguyễn Quang Trung, “Nghiên cứu lý thuyết quản lý dự án phát triển hệ thống thông tin cho học phần Phát triển hệ thống thông tin kinh tế”, Đề tài khoa học cấp sở, 2015 53 TÍNH CẤP THIẾT CỦA ĐỀ TÀI Trong lịch sử trải qua nhiều cách mạng công nghiệp Đầu tiên động chạy nước thủy lực, đến động điện, dây chuyền sản xuất điện tốn hóa,…Tiếp theo gì? Một số người gọi cách mạng công nghiệp lần thứ tư, hay công nghiệp hệ 4.0 Đây xu hướng kết hợp hệ thống ảo thực thể, vạn vật kết nối Internet (IoT) hệ thống kết nối Internet (IoS) Trong cách mạng thứ tư, đến với kết hợp giới thực, giới ảo giới sinh vật Những cơng nghệ hệ thống thông tin thông minh tác động đến kinh tế, ngành công nghiệp, đồng thời thách thức ý niệm cách thức bảo vệ hệ thống Những hệ thống thuộc lĩnh vực có tiềm kết nối hàng tỷ người giới, gia tăng đáng kể hiệu hoạt động cho tổ chức, doanh nghiệp, tái tạo nguồn tài nguyên thiên nhiên hay chí khơi phục lại tổn thất mà cách mạng công nghiệp trước gây Trong lĩnh vực kinh tế, hệ thống thông tin kinh tế có vai trị quan trọng doanh nghiệp Các phần mềm tự động hóa với độ xác cao, chất lượng tốt giúp doanh nghiệp giảm bớt chi phí hoạt động, cải thiện lợi tức đầu tư hiệu kinh doanh Cùng với phát triển mạnh mẽ công nghệ thông tin nay, việc thu thập, xử lý thông tin dễ dàng nhanh chóng với hệ thống thơng tin tự động hóa Song song với phát triển này, với cách quản lý nhân lực, tài sản nói chung tài sản thơng tin nói riêng doanh nghiệp, phát triển loại hình đánh cắp thông tin, xâm nhập hệ thống thông tin trái phép, bao gồm bên doanh nghiệp bên ngồi doanh nghiệp Có thể nói giới phải đối mặt với vấn đề đánh cắp, rị rỉ thơng tin vi phạm quyền riêng tư Chúng khơng cịn vấn đề riêng ai, mà vấn đề tất Vấn đề thực nguy hiểm, ảnh hưởng vấn đề an tồn cho hệ thống thơng tin (HTTT) doanh nghiệp lớn Một hệ thống thơng tin trở nên quan trọng vấn đề đảm bảo an tồn bảo mật cho hệ thống thơng tin có tính chất sống cịn đến phát triển doanh nghiệp Đảm bảo an 54 tồn thơng tin (ATTT) giúp cho hoạt động doanh nghiệp thông suốt an toàn, đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế An toàn bảo mật HTTT tập trung vào hai phần an tồn hệ thống bảo mật liệu Nếu bảo mật liệu hệ thống tập trung chủ yếu vào việc mã hóa liệu, vấn đề an tồn cho hệ thống thơng tin quan tâm đến bảo vệ hệ thống phần cứng, hệ điều hành, hệ thống mạng, hệ thống phần mềm Trong vấn đề bảo vệ hệ thống phần mềm quan trọng chưa doanh nghiệp trọng Vì tác giả chọn đề tài “Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin doanh nghiệp” để nghiên cứu ĐỐI TƯỢNG, PHẠM VI NGHIÊN CỨU 8.1 Đối tượng nghiên cứu - Chủ thể nghiên cứu: Vấn đề đảm bảo an tồn cho phần mềm hệ thống thơng tin doanh nghiệp Các giải pháp nhằm đảm bảo an tồn cho phần mềm hệ thống thơng tin - Khách thể nghiên cứu: Quy trình xây dựng phần mềm hướng đến an toàn, Một số doanh nghiệp có ứng dụng HTTT 8.2 Phạm vi nghiên cứu Tìm hiểu hệ thống phần mềm, hệ thống thông tin số doanh nghiệp, tổ chức Hà Nội năm 2015, 2016 Nghiên cứu lý thuyết mơ hình phát triển phần mềm, công đoạn phát triển phần mềm để đưa giải pháp đảm bảo an toàn 55 MỤC TIÊU ĐỀ TÀI, ĐỊA CHỈ VÀ SẢN PHẨM ỨNG DỤNG 9.1 Mục tiêu đề tài - Khái qt hố lý thuyết an tồn cho phần mềm hệ thống thơng tin doanh nghiệp - Tìm hiểu thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin doanh nghiệp - Lựa chọn số giải pháp phù hợp điều kiện nhằm giúp doanh nghiệp đảm bảo an toàn cho hệ thống phần mềm họ 9.2 Địa ứng dụng - Trường Đại học Thương mại: Dùng làm tài liệu giảng dạy, học tập cho sinh viên cao học viên - Các doanh nghiệp ứng dụng phần mềm vào hoạt động sản xuất kinh doanh: Phát triển phần mềm hướng đến an toàn 9.3 Sản phẩm đề tài - Bản báo cáo đề tài nêu rõ giải pháp nhằm đảm bảo an toàn cho phần mềm hệ thống thông tin doanh nghiệp - Các giải pháp báo cáo đề tài rõ cho sinh viên áp dụng giải pháp cho doanh nghiệp cụ thể việc phát triển phần mềm dùng riêng 10 CÁCH TIẾP CẬN, PHƯƠNG PHÁP NGHIÊN CỨU 10.1 Cách tiếp cận mẫu khảo sát - Tìm hiểu phương pháp đảm bảo an tồn cho phần mềm hệ thống thơng tin doanh nghiệp góc độ cơng nghệ thơng tin, từ thấy ưu, nhược điểm phương pháp Khả ứng dụng điều kiện cụ thể loại hình doanh nghiệp 10.2 Phương pháp nghiên cứu - Loại liệu (định tính, định lượng) + Số liệu thống kê doanh nghiệp có ứng dụng hệ thống thông tin + Ý kiến chuyên gia nên sử dụng phương pháp để đảm bảo an toàn cho HTTT nói chung cho phần mềm HTTT nói riêng - Phương pháp thu thập liệu sơ cấp (phỏng vấn, điều tra), thứ cấp Thu thập liệu thứ cấp: Thống kê cơng nghệ đảm bảo an tồn mà doanh nghiệp, tổ chức sử dụng (số liệu VNCERT, VNISA); Thu thập đề cương, giảng, giáo trình liên quan đến đảm bảo an tồn thơng tin số trường có đào tạo ngành HTTT quản lý; Điều tra: Lập gửi phiếu điều tra đến doanh nghiệp: Để thấy thực trạng đảm bảo an tồn thơng tin nói chung an tồn cho phần mềm HTTT doanh nghiệp, công nghệ nhằm 56 đảm bảo an toàn bảo mật mà DN lựa chọn; Phỏng vấn: Hỏi ý kiến chuyên gia để chuyên gia đánh giá phương pháp đảm bảo an toàn cho HTTT phù hợp để áp dụng thực tế - Phương pháp xử lý liệu: + Sử dụng mơ hình tốn để xử lý số liệu điều tra, thông tin thứ cấp, tham khảo kết nghiên cứu cơng trình liên quan + Phân tích, so sánh mơ hình lý thuyết thực nghiệm triển khai ứng dụng từ hệ thống hóa phát triển lý luận: sử dụng phương pháp để đảm bảo an toàn cho phần mềm HTTT loại phần mềm cụ thể, lý thuyết, phương pháp, công cụ dùng để phát triển phần mềm hướng đến an toàn 11 NỘI DUNG NGHIÊN CỨU VÀ TIẾN ĐỘ THỰC HIỆN 11.1 Nội dung nghiên cứu (trình bày dạng đề cương nghiên cứu chi tiết) Chương TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI Nội dung chính: 1.1 Tính cấp thiết đề tài 1.2 Tổng quan tình hình nghiên cứu ngồi nước 1.3 Mục tiêu đề tài 1.4 Đối tượng phạm vi nghiên cứu 1.5 Phương pháp nghiên cứu 1.6 Kết cấu báo cáo đề tài Chương CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HTTT CỦA DOANH NGHIỆP VIỆT NAM Mục tiêu: Tìm hiểu lý thuyết đảm bảo an tồn cho phần mềm HTTT; Khảo sát thực trạng doanh nghiệp ứng dụng phần mềm, đặc biệt doanh nghiệp có phần mềm HTTT Quá trình khảo sát thực số doanh nghiệp địa bàn Hà Nội Nội dung chính: 2.1 Cơ sở lý luận 2.2 Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin doanh nghiệp Việt Nam 2.3 Đánh giá thực trạng Chương CÁC KẾT LUẬN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HTTT Mục tiêu: Nghiên cứu đề xuất giải pháp đảm bảo an tồn cho phần mềm HTTT Nội dung chính: 3.1 Xu hướng đảm bảo an toàn phần mềm doanh nghiệp 3.2 Đề xuất giải pháp đảm bảo an toàn cho phần mềm HTTT 3.3 Một số kiến nghị giải pháp KẾT LUẬN TÀI LIỆU THAM KHẢO PHỤ LỤC 57 11.2 Tiến độ thực STT Các nội dung, công việc Thời gian Sản phẩm Người thực (bắt đầukết thúc) thực Lập đề cương nghiên cứu chi tiết kế hoạch chi tiết triển khai Bản đề cương nghiên cứu chi tiết 9/2016 ThS Nguyễn Quang Trung Tổng hợp lý thuyết đảm bảo an toàn cho phần mềm HTTT Chương 10/2016 ThS Nguyễn Quang Trung Lập mẫu phiếu điều tra 01 mẫu phiếu điều tra 10/2016 ThS Nguyễn Quang Trung Tổ chức điều tra thực tế thực trạng đảm bảo an toàn phần mềm HTTT số doanh nghiệp xử lý số liệu điều tra Báo cáo xử lý, phân tích số liệu điều tra (Chương 2) 11/2016 đến 12/2016 ThS Nguyễn Quang Trung Nghiên cứu lựa chọn giải pháp đảm bảo an toàn cho phần mềm phù hợp với doanh nghiệp Việt Nam Báo cáo đề xuất giải pháp đảm bảo an toàn cho phần mềm HTTT phù hợp với doanh nghiệp Việt Nam (Chương 3) 01/2017 đến 02/2017 ThS Nguyễn Quang Trung Viết báo cáo tổng kết đề tài Báo cáo tổng kết đề tài 03/2017 ThS Nguyễn Quang Trung 12 SẢN PHẨM 12.1 Sản phẩm khoa học Bài báo đăng tạp chí nước ngồi Bài báo đăng tạp chí nước V Bài đăng kỷ yếu hội nghị, hội thảo quốc tế 12.2 Sản phẩm hỗ trợ đào tạo cho Nghiên cứu sinh Cao học ĐH, CĐ V 12.3 Các sản phẩm khác Stt Tên sản phẩm Mẫu phiếu điều tra Số lượng 01 Yêu cầu khoa học Tập hợp phiếu điều tra kết phân tích máy tính 58 Báo cáo tổng kết Bài báo giải pháp nâng cao tính an tồn cho phần mềm HTTT doanh nghiệp Trình bày đầy đủ kết nghiên cứu BC x đạt (đảm bảo tính hệ thống, logic) khoảng 40 - 60 trang đánh máy vi tính khổ A4 Cơng bố kết nghiên cứu khoa học thực tế đề tài 01 13 HIỆU QUẢ (giáo dục đào tạo, kinh tế - xã hội) - Kết đề tài có ý nghĩa giáo dục đào tạo lựa chọn số giải pháp đảm bảo an toàn cho phần mềm HTTT phù hợp cho doanh nghiệp Việt Nam điều kiện nay, qua giúp sinh viên chuyên ngành Quản trị hệ thống thơng tin tiếp cận vấn đề ATTT với thực tế - Trên cở sở nghiên cứu đánh giá số phương pháp đảm bảo an toàn cho phần mềm HTTT mặt lý thuyết, mặt ứng dụng doanh nghiệp giúp doanh nghiệp hiểu, lựa chọn phương pháp phù hợp với quy mô, lĩnh vực kinh doanh mà khơng tốn q nhiều chi phí Điều mang lại hiệu kinh tế, nâng cao lực cạnh tranh cho doanh nghiệp, góp phần đại hố doanh nghiệp Việt Nam 14 PHƯƠNG THỨC CHUYỂN GIAO KẾT QUẢ NGHIÊN CỨU VÀ ĐỊA CHỈ ỨNG DỤNG - Trực tiếp chuyển giao Báo cáo kết nghiên cứu đề tài cho cán giảng dạy nghiên cứu thuộc ngành Hệ thống thông tin quản lý trường Đại học Thương Mại - Dựa vào kết nghiên cứu đề tài trưởng Bộ môn chuyên ngành thuộc ngành Hệ thống thơng tin quản lý điều chỉnh phương pháp, công cụ, đề tài thảo luận giảng dạy học phần Công nghệ phần mềm, An tồn HTTT 59 15 KINH PHÍ THỰC HIỆN ĐỀ TÀI VÀ NGUỒN KINH PHÍ Tổng kinh phí: 10.000.000 NVĐ (Mười triệu đồng) Dự trù kinh phí theo mục chi (phù hợp với nội dung nghiên cứu): - Viết đề cương tổng quát chi tiết: - Lập mẫu phiếu điều tra (1 mẫu)” - Cung cấp thông tin - Báo cáo xử lý, phân tích số liệu điều tra - Báo cáo tổng kết đề tài 1.500.000 đ 1.500.000 đ 3.000.000 đ 2.000.000 đ 3.000.000 đ Ngày 17 tháng năm 2016 Ngày 15 tháng năm 2016 Xác nhận hội đồng khoa học khoa Chủ nhiệm đề tài (ký, họ tên) Nguyễn Quang Trung Ngày tháng năm 2016 Cơ quan chủ quản duyệt HIỆU TRƯỞNG 60