(Luận văn) giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của công ty cổ phần hoàng giang

MỤC LỤC PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu 1.1.1 Tầm quan trọng 1.1.2 Ý nghĩa .1 1.2 Tổng quan vấn đề nghiên cứu 1.2.1.Tổng quan tình hình nghiên cứu Việt Nam 1.2.2 Tổng quan tình hình nghiên cứu giới 1.3 Mục tiêu nghiên cứu đề tài 1.4 Đối tượng phạm vi nghiên cứu đề tài .7 1.4.1 Đối tượng nghiên cứu đề tài .7 1.4.2.Phạm vi nghiên cứu đề tài 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu lu 1.5.2 Phương pháp phân tích xử lý liệu an 1.6 Kết cấu khóa luận n va PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN HỒNG GIANG 2.1 Về sở lý luận 2.1.1 Khái niệm thông tin, hệ thống thơng tin an tồn bảo mật thơng tin .9 2.1.2 Các vấn đề lien quan đến an tồn bảo mật hệ thống thơng tin .11 2.1.3 Phân định nội dung 31 2.2 Tổng hợp, phân tích thực trạng an tồn bảo mật thơng tin cơng ty cổ phần Hồng Giang .31 2.2.1 Giới thiệu công ty 31 2.2.2 Phân tích thực trạng cơng ty cổ phần Hồng Giang .34 2.2.3 Phân tích thực trạng an tồn bảo mật thơng tin cơng ty 35 2.2.4 Đánh giá thực trạng bảo mật, an tồn liệu cơng ty cổ phần Hồng Giang………………………… 41 PHẦN 3:ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP AN TỒN BẢO MẬT THƠNG TIN TẠI CƠNG TY CỔ PHẦN HOÀNG GIANG 43 3.1 Định hướng phát triển cơng ty cổ phần Hồng Giang thời gian tới 43 3.2 Giải pháp đảm bảo an tồn thơng tin cho cơng ty 43 3.2.1 Giải pháp Firewall cho công ty cổ phần Hoàng Giang 43 3.2.2 Giải pháp mã hóa sở liệu 48 3.3 Một số kiến nghị 50 KẾT LUẬN 52 an lu n va PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU I.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu I.1.1 Tầm quan trọng Trong kinh tế tồn cầu hóa nay, cơng nghệ thông tin chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thơng tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an toàn bảo mật thơng tin xem sống cịn doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin đối mặt với nguy an toàn yếu tố bên bên doanh nghiệp Việc đảm an lu bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả va n khơng kiểm sốt hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống I.1.2 Ý nghĩa Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an toàn bảo mật thông tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Trong có cơng ty Cổ phần Hồng Giang nói riêng với doanh nghiệp nói chung có biện pháp đảm bảo an tồn thơng tin, bảo vệ sống cịn doanh nghiệp Nhận thức điều sau thời gian thực tập cơng ty em định chọn đề tài: “Giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin Cơng ty cổ phần Hồng Giang” 1.2 Tổng quan vấn đề nghiên cứu 1.2.1.Tổng quan tình hình nghiên cứu Việt Nam Trong tình hình cơng trình nghiên cứu an tồn bảo mật thơng tin trong nước có chuyển biến tích cực, nhiều cơng trình nghiên cứu, sách tài liệu khoa học an tồn bảo mật thơng tin đời như: Đàm Gia Mạnh (2009),Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê Giáo trình đưa vấn đề liên quan đến an toàn liệu TMĐT khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy an toàn liệu TMĐT, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an tồn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh có lu thể vận dụng thuận lợi cơng việc hàng ngày an Bài ḷn văn thạc sĩ “Nghiên cứu vấn đề bảo mật thông tin và đề xuất giải n va pháp bảo mật cho hệ thông thông tin trường cao đẳng kinh tế- kỹ thuật Vĩnh Phúc” của học viên Tô Quang Hiệp đã nghiên cứu chặt chẽ về các kiểu firewall cũng phân tích những ưu điểm và hạn chế của chúng để có những đề xuất về giải pháp bảo mật phù hợp nhất cho hệ thống thông tin của trường Cao đẳng Kinh tế- Kỹ thuật Vĩnh Phúc Firewall làmột kỹ thuật được tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng hạn chế sự xâm nhập vào hệ thống thông tin khác không mong muốn Nói cách khác Firewall đóng vai trò là một trạm gác ở cổng vào của mạng Firewall là một giải pháp rất hiệu quả việc bảo vệ máy tính tham gia vào mạng Bài luận văn đã nghiên cứu chặt chẽ giúp người đọc hiểu chi tiết về các kiểu Firewall để có sự lựa chọn phù hợp nhất nhằm giải quyết các vấn đề về an ninh mạng Tuy nhiên, bài luận văn chỉ đừng lại ở việc đưa lý thuyết chung nhất về Firewall mà chưa đưa hướng xây dựng cụ thể cho giải pháp sử dụng tường lửa để bảo mật Cùng nghiên cứu về vấn đề này, Nguyễn Dương Hùng – Khoa Hệ thống thông tin Quản lý- Học viện Ngân hàng thực nghiên cứu khoa học “Các vấn đề bảo mật an toàn liệu ngân hàng thương mại sử dụng công nghệ điện toán đám mây” Các ngân hàng ngày gặp nhiều khó khăn việc lưu trữ, quản lý, khai thác số lượng lớn liệu họ tăng lên nhanh chóng theo từng ngày Sự đời công nghệ điện toán đám mây (ĐTĐM) với khả cung cấp sở hạ tầng không giới hạn để truy xuất, lưu trữ liệu vị trí địa lý khác giải pháp tốt cho sở hạ tầng công nghệ thông tin (CNTT) để ngân hàng xử lý vấn đề khó khăn Như kết tất yếu, liệu dư thừa, trùng lặp xuất bị sửa đổi người sử dụng trái phép Điều dẫn đến việc mát liệu, an tồn bảo mật thơng tin, riêng tư khách hàng trở thành vấn đề cho ngân hàng họ ứng dụng cơng nghệ ĐTĐM vào công việc kinh doanh họ Do việc ứng cơng nghệ ĐTĐM vào ngân hàng xu tất yếu trong thời đại CNTT phát triển mạnh mẽ Tuy nhiên hạn chế nghiên cứu cịn nhiều thiếu sót nghiên cứu mang tính lý thuyết chưa có nhiều thực nghiệm đưa kiến nghị lu an ninh bảo mật ĐTĐM an Tạp chí CNTT và truyền thông cũng có bài: “Ứng dụng trí tệ nhân tạo n va các phần mềm diệt virus” của Đỗ Hữu Tuyến nói về tính việc sử dụng kỹ thuật Deep learning để nhận biết dấu hiệu của những đoạn mã độc, thông việc “học” hàng triệu mẫu dữ liệu chứa phần mềm độc hại mà không phải là phần mềm độc hại Deep learning là một nhánh phát triển của trí tuệ nhân tạo Kỹ thuật này dựa các hoạt động của nơ-ron thần kinh vỏ não với khả học hỏi Kỹ thuật này đã được Deep Instrinct sử dụng để tạo một “mạng lưới thần kinh tĩnh”, nó sẽ được phân phối đến người dùng cuối cùng Mạng lưới này không cần cập nhật thường xuyên cách mà các ứng dụng diệt virus truyền thống vẫn làm, thay vào đó đủ thông minh để phát hiện và ngăn chặn virus, kể cả những virus mới hay chỉ là biến thể Giải pháp của Deep Instrinct cam kết cung cấp có thể: Phát hiện và ngăn chặn các thiết bị đầu cuối, thiết bị di động thời gian thực; dự đoán các mối đe dọa mạng chưa biết sử dụng các thuật toán Deep learning; giải pháp hoạt động dựa tất cả các thiết bị, hệ điều hành và nền tảng; không cần bất kì kết nối mạng hay kết nối bổ sung nào quá trình hoạt động Nghiên cứu này đã góp phần khắc phục một số hạn chế về bảo mật của các phần mềm diệt virus; đồng thời nâng cao hiệu quả chống virus xâm nhập của các phần mềm đó Quan tâm về ấn đề này, trang http://www.histaff.vn có bài viết: “Bảo mật thông tin- vấn đề sống còn của doanh nghiệp” Trong nền kinh tế toàn cầu hóa hiện thì vấn đề bảo mật thông tin được xem là sự sống còn đối với các doanh nghiệp Thế nhưng, rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy có thể xảy từ việc rò rỉ thông tin chính nội bộ của doanh nghiệp mình Bài viết đã đưa các số liệu thống kê cụ thể của Tổ chức chứng nhận TUVRheinland Việt Nam về vấn để bảo mật thông tin của các cá nhân và tổ chức doanh nghiệp Theo một cuộc khảo sát về vấn đề bảo mật thông tin của tổ chức nghiên cứu thị trường EY, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn công bới nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40 % không nghiên cứu về các vấn đề rủi ro bảo mật Vấn đề đặt là các doanh nghiệp cần quan tâm nữa đến an an nghiệp mình lu toàn bảo mật thông tin để tìm giải pháp cho chính sách an toàn thông tin cho doanh n va 1.2.2 Tổng quan tình hình nghiên cứu giới Ở Việt Nam nói riêng Thế giới nói chung, có khơng người quan tâm nghiên cứu đưa phương hướng giải pháp đảm bảo an tồn bảo mật thơng tin nói chung Cơng nghệ thơng tin ngày phát triển dẫn đến nhiều hình thức tinh vi, tiểu sảo, nhiều công đánh cắp liệu vào website doanh nghiệp lớn nhỏ, tổ chức, phủ… Hay gần vụ công vào trang thông tin điện tử Cơ quan tình báo Trung ương Mỹ CIA Interpol, gây hậu đặc biệt nghiêm trọng Các số liệu thống kê thực tế cho thấy công mạng ngày mạnh mẽ hơn, chuyên nghiệp ngày khó khăn để ngăn chặn William Stallings(2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Kiểm tra thực hành an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Các chương trình mã hóa sử dụng rộng rãi dựa liệu Encryption Standard (DES) thông qua vào năm 1977 Cục Tiêu chuẩn Quốc gia, Viện Tiêu chuẩn Công nghệ (NIST), tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46) Đối với DES, liệu mã hóa khối 64-bit sử dụng chìa khóa 56-bit Các thuật toán biến đổi 64-bit đầu vào loạt bước vào đầu 64-bit Các bước tương tự, với phím, sử dụng để đảo ngược mã hóa DES với việc sử dụng rộng rãi Nó chủ đề nhiều tranh cãi liên quan đến bảo mật DES Để đánh giá chất tranh cãi, nhanh chóng xem lại lịch sử DES Tính ngăn chặn chế độ thuật tốn, mã hoá hoạt động, bao gồm chế độ CMAC (Cipher-based Message Authentication Code) để xác thực chế độ mã hoá chứng thực Bao gồm phương pháp giải quyết, mở rộng cập nhật phần mềm độc hại kẻ xâm hại Man Young Rhee (2003), Internet Security: Crytographic principles, lu algorithms and protocols John Wiley & Sons an Cuốn sách viết vấn đê phản ánh vai trò trung tâm hoạt động, n va nguyên tắc, thuật toán giao thức bảo mật Internet Đưa biên pháp khắc phục mối đe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việc đảm bảo an ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng Tồn vẹn thơng điệp cần thiết liệu bị thay đổi kẻ cơng thơng qua đường truyền Internet Các tài liệu sách trình bày lí thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet Theo Tạp chí An tồn thơng tin ,tình hình cơng mạng diễn năm 2016, với kiện tiêu biểu Yahoo hàng loạt công ty bị đánh cắp tài khoản người dùng Tháng 12/2016, Yahoo cho biết, Công ty nạn nhân vụ công từ tháng 8/2013 - kết việc tin tặc chiếm mã hóa riêng cơng ty Tin tặc lấy liệu từ tỉ tài khoản người dùng, bao gồm tên, địa email, số điện thoại, ngày sinh, mật dạng “hàm băm”… Đây vụ rị rỉ thơng tin tài khoản lớn chưa có Trước đó, tháng 9/2016, cơng ty Yahoo tuyên bố, tin tặc “do phủ tài trợ” đánh cắp liệu từ 500 triệu người dùng Tháng 5/2016, hàng trăm triệu tài khoản LinkedIn Myspace bị tin tặc công chiếm quyền điều khiển Tháng 6/2016, 32 triệu tài khoản Twitter bị hack tin tặc Nga có tên Tessa88 Mã độc tống tiền - Ransomware trở thành vấn nạn Theo số liệu Kaspersky Lab (khảo sát từ tháng 4/2014 đến tháng 3/2016), lu năm 2016, 40 giây lại xuất công vào doanh nghiệp, số lượng an công từ mã độc tống tiền nhắm vào doanh nghiệp tăng lên gấp lần Cụ n va thể, công sử dụng mã độc tống tiền tăng từ 131.111 vụ giai đoạn 2014 -2015, lên 718.536 vụ giai đoạn 2015-2016. Một loạt phần mềm tống tiền xuất bao gồm: Locky, DMA Locker, Surprise biến thể có tên Ranscam - lấy tiền chuộc lại xóa ln liệu Trong số các mã độc tống tiền tăng trưởng nhanh, đáng ý mã độc Crypto, kết thống kê cho thấy, tăng từ 6,6% lên 31,6% Báo cáo cho biết, mã độc tống tiền hướng tập trung nhiều vào thiết bị di động, với số lượng người dùng bị công mã độc tống tiền di động tăng gần lần, từ 35.413 vụ lên 136.532 vụ 1.3 Mục tiêu nghiên cứu đề tài - Tìm hiểu nghiên cứu hệ thống hóa sở lý luận an toàn bảo mật HTTT cho doanh nghiệp - Phân tích, tổng hợp thực trạng an toàn bảo mật HTTT doanh nghiệp - Đánh giá ưu, nhược điểm, nguyên nhân thực trạng an toàn bảo mật HTTT doanh nghiệp - Trên sở nghiên cứu lý thuyết, phân tích đánh giá thực trạng đưa kiến nghị, biện pháp để đảm bảo an toàn bảo mật HTTT cho doanh nghiệp 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài - Đối tượng đề tài vấn đề an toàn bảo mật HTTT cơng ty cổ phần Hồng Giang - Các giải pháp công nghệ giải pháp người để đảm bảo ATBM HTTT cho doanh nghiệp - HTTT doanh nghiệp - Các sách phát triển đảm bảo ATBM thông tin dooanh ngiệp - Các giải pháp ATBM áp dụng cho HTTT doanh nghiệp 1.4.2.Phạm vi nghiên cứu đề tài Đề tài tập trung nghiên cứu phạm vi công ty Cổ phần Hồng Giang, cụ thể: -Về mặt khơng gian: Dựa tài liệu thu thập công ty, phiếu điều lu tra tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an tồn bảo an mật CSDL cơng ty Cổ phần Hoàng Giang n va - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan công ty giai đoạn 2013- 2015 Các số liệu khảo sát trình thực tập công ty 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra : thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thông tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2013 – 2015, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán dùng để đưa dự báo, phán đoán tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà cơng ty hứng chịu 1.5.2 Phương pháp phân tích xử lý liệu Mỗi phương pháp xử lý thông tin có ưu nhược điểm riêng chúng đề tài nghiên cứu sử dụng phương pháp xử lý thông tin sau: Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences) SPSS phần mềm cung cấp hệ thống quản lý liệu phân tích thống kê mơi trường đồ họa, sử dụng trình đơn mơ tả hộp thoại đơn giản lu để thực hầu hết công việc thống kê phân tích số liệu Người dùng dễ an dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị n va Phương pháp định tính: Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị 1.6 Kết cấu khóa luận Khóa luận có kết cấu phần: Phần 1: Tổng quan về việc nghiên cứu giải pháp an toàn bảo mật thông tin doanh nghiệp Phần 2: Cơ sở lý luận và thực trạng của giải pháp an toàn bảo mật thông tin doanh nghiệp Phần 3: Định hướng phát triển và đề xuất giải pháp đảm bảo an tồn bảo mật thơng tin cho cơng ty cổ phần Hoàng Giang Bảng 2.8 Giải pháp cần làm để tiến hành an tồn thơng tin Lựa Tỷ lệ (%) chọn Giải pháp hệ thống tường lửa bảo vệ chu vi mạng 33.33 Giải pháp thiết kế hệ thống phát ngăn ngừa 20 Giải pháp an tồn mạng khơng dây 20 Giải pháp ứng dụng điện toán đám mây 26.67 15 100 Tổng Biểu đồ 2.4 Giải pháp cần làm để tiến hành an tồn thơng tin Giải pháp hệ thống tường lửa bảo vệ chu vi mạng 26.67 Giải pháp thiết kế hệ thống phát ngăn ngừa 20 an lu 20 33.33 n va Giải pháp an tồn mạng khơng dây Giải pháp ứng dụng điện tốn đám mây Ta thấy nhân viên cơng ty đề cao giải pháp hệ thống tường lửa giải pháp phù hợp cho vấn đề an tồn bảo mật cơng ty  Phương pháp kĩ thuật công ty dùng để bảo mật thông tin? Khi đưa câu hỏi phương pháp kỹ thuật công ty dùng để bảo mật thông tin tỉ lệ lựa chọn cao phương pháp kết cấu mạng nội nghiêm ngặt Kết tổng hợp thu bảng sau: Bảng 2.9 Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin Phương pháp kỹ thuật Lựa chọn Tỷ lệ (%) Kết cấu mạng nội nghiêm ngặt 53 Cơ chế an toàn đầy đủ cho mạng 20 Đảm bảo toàn diện hệ thống 27 Tổng 15 100 39 Biểu đồ 2.5 Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin 27 Kết cấu mạng nội nghiêm ngặt 53 Cơ chế an toàn đầy đủ cho mạng Đảm bảo tồn diện cho hệ thống 20 Ta thấy nên có kết hợp phương pháp để hệ thống thông tin công ty bảo mật cách tốt  Trong thời gian tới công ty dự định chi cho công tác bảo mật thông tin ? Bảng 2.10 Dự kiến đầu tư cho công tác bảo mật thông tin công ty Lựa chọn Tỷ lệ (%) 26.67 46.66 >50 Triệu 26.67 Tổng 15 100 n va 10 - 50 triệu an