TẦM QUAN TRỌNG CỦA ATBM THÔNG TIN TRONG DN
Trong thời đại ngày nay, hệ thống thông tin và mạng internet là những cái không thể thiếu trong việc vận hành và quản lý các tổ chức, doanh nghiệp Chính vì vậy mà càng ngày con người càng phụ thuộc vào hệ thống thông tin Điều đó tất sẽ dẫn tới những rủi ro tiềm ẩn vô cùng lớn Rủi ro về mặt bảo mật thông tin như bị mất thông tin khi hệ thống bị tê liệt, rò rỉ thông tin khách hàng không chỉ gây tổn thất cho khách hàng, những người liên quan mà cho chính tổ chức, doanh nghiệp đó.Vì vậy, đảm bảo an toàn bảo mật thông tin là điều vô cùng quan trọng Do đó, đối với một công ty hay tổ chức, quản lý rủi ro đối với an ninh thông tin phải được xem là một trong những vấn đề quản lý quan trọng nhất.
Công ty Cổ phần Điện tử Điện máy Thăng Long theo sự tìm hiểu được biết cơ quan đã từng xảy ra vấn đề mất an toàn thông tin mặc dù đã khắc phục được nhưng không thể đảm bảo rằng trong tương lai sẽ không xảy ra vấn đề này nữa.
Với mong muốn giúp công ty đạt được hiệu quả cao hơn trong vấn đề đảm bảo an toàn bảo mật thông tin, em lựa chọn đề tài: “Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Công ty Cổ phần Điện tử Điện máy Thăng Long”
MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU
Các mục tiêu cụ thể cần giải quyết trong đề tài:
- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty cổ phần Điện tử Điện máy Thăng Long
- Đánh giá thực trạng an toàn bảo mật HTTT trong công ty dựa trên tài liệu thu thập được
Căn cứ trên lý thuyết và thực trạng, bài báo đưa ra các giải pháp nâng cao mức độ an toàn bảo mật hệ thống thông tin trong Công ty cổ phần Điện tử Điện máy Thăng Long.
PHƯƠNG PHÁP NGHIÊN CỨU CỦA ĐỀ TÀI
4.1 Phương pháp thu thập số liệu
- Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty
+ Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty trong vòng 3 năm: 2016, 2017, 2018 được thu thập từ phòng hành chính, phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác
Nguồn tư liệu ngoài gồm công trình nghiên cứu khoa học, tạp chí, sách báo liên quan đến đề tài nghiên cứu từ các năm trước và thông tin từ Internet.
Việc phân loại sơ bộ các tài liệu thu thập được giúp xác định tài liệu nào cần thiết, tài liệu nào cần loại bỏ hoặc bổ sung Dựa trên phân loại này, quá trình xử lý dữ liệu có thể được tối ưu hóa, đảm bảo tính chính xác và hiệu quả trong phân tích dữ liệu.
- Phương Pháp thu thập dữ liệu sơ cấp
P/p sử dụng phiếu điều tra
+Nội dung: Bảng câu hỏi gồm 16 câu hỏi, các câu hỏi đều xoay quanh các hoạt động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối với công ty cổ phần Điện tử Điện máy Thăng Long
+ Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty để thu thập ý kiến
+ Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty.
4.2 Phương pháp xử lý dữ liệu:
Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục đích nghiên cứu của đề tài Phương pháp nghiên cứu được sử dụng là:
Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ đó đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan.
KẾT CẤU KHÓA LUẬN
Ngoài lời cảm ơn, phần mở đầu, khóa luận gồm các chương:
Chương 1: Cơ sở lí luận về an toàn bảo mật thông tin trong hệ thống thông tin.
Chương 2: Thực trạng an toàn bảo mật thông tin tại Công ty Cổ phần Điện tử Điện máy Thăng Long.
Chương 3: Định hướng phát triển và đề xuất giải pháp an toàn bảo mật hệ thống thông tin trong Công ty Cổ phần Điện tử Điện máy Thăng Long.
CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY
MỘT SỐ KHÁI NIỆM CƠ BẢN
Thông tin là một bộ dữ liệu được tổ chức, doanh nghiệp sử dụng một phương thức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn có của dữ liệu Thông tin chính là dữ liệu đã qua xử lý (phân tích, tổng hợp, thống kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể của người sử dụng Thông tin có thể gồm nhiều giá trị dữ liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho một sự vật hiện tượng cụ thể trong ngữ cảnh.[2]
Hệ thống thông tin là một tập hợp phần cứng, phần mềm, cơ sở dữ liệu, mạng viễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ và truyền phát thông tin trong một tổ chức, doanh nghiệp Hệ thống thông tin hỗ trợ việc ra quyết định, phân tích tình hình, lập kế hoạch, điều phối và kiểm soát các hoạt động trong một tổ chức, doanh nghiệp Hệ thống thông tin có thể là thủ công nếu dựa vào các công cụ thủ công như giấy, bút, thước, tủ hồ sơ,… còn hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào mạng máy tính và các thiết bị công nghệ khác.
Hệ thống thông tin bao gồm 5 thành phần (còn gọi là năm nguồn lực hay năm nguồn tài nguyên) chính.
Nguồn lực phần cứng là các thiết bị vật lý được sử dụng để xử lý thông tin trong hệ thống thông tin Phần cứng bao gồm các thiết bị đầu vào, xử lý và đầu ra, đóng vai trò quan trọng trong quá trình nhập, xử lý và truyền đạt thông tin Những thiết bị này có thể nhìn thấy và cầm nắm được, cung cấp nền tảng vật lý cho các hoạt động thông tin.
Nguồn lực phần mềm: Phần mềm là các chương trình được cài đặt trong hệ thống, thực hiện công việc quản lý hoặc các quy trình xử lý trong hệ thống thông tin. Phần mềm được sử dụng để kiểm soát và điều phối phần cứng, thực hiện xử lý và cung cấp thông tin theo yêu cầu của người sử dụng.
Nguồn lực dữ liệu: Cơ sở dữ liệu là tập hợp dữ liệu có tổ chức và có liên quan đến nhau được lưu trữ thứ cấp (như băng từ, đĩa từ) để phục vụ yêu cầu khai thác thông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng với mục đích tại nhiều thời điểm khác nhau.
Mạng máy tính là hệ thống kết nối nhiều máy tính và thiết bị thông qua đường truyền vật lý, tạo thành một kiến trúc thống nhất tuân theo các giao thức nhất định Mục đích của việc kết nối mạng là để chia sẻ tài nguyên giữa các thành viên trong tổ chức hoặc doanh nghiệp.
Nguồn lực con người: Trong hệ thống thông tin hiện đại, yếu tố con người bao gồm tất cả những đối tượng tham gia quản lý, xây dựng, mô tả, lập trình, sử dụng, nâng cấp và bảo trì hệ thống Con người được coi là thành phần quan trọng nhất, đóng vai trò chủ động để tích hợp các thành phần trong hệ thống để đạt được hiệu quả cao nhất trong hoạt động.[2]
1.1.3 An toàn bảo mật HTTT
Bảo vệ dữ liệu đảm bảo hệ thống an toàn trước nguy cơ thay đổi hoặc sao chép thông tin, bao gồm cả ngẫu nhiên và cố ý (phá hoại) Các phương pháp bảo vệ dữ liệu bao gồm thiết bị phần cứng như hệ thống sao lưu dữ liệu,
…) hay các chương trình phần mềm (trình diệt Virus, các chương trình mã hóa,…)[1]
An toàn bảo mật trong HTTT là thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép ATTT là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý…[14]
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn.
Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan, tổ chức.An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp.[14]
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến cho chủ sở hữu ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng.[14]
MỘT SỐ LÝ THUYẾT VỀ ĐỀ TÀI NGHIÊN CỨU
1.2.1 Một số nguy cơ mất an toàn bảo mật dữ liệu, thông tin trong HTTT
Có thể chia nguy cơ mất ATTT thành 2 loại:
- Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT
- Nguy cơ có chủ định: Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT cũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm 2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện tử liên tục xảy ra Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền kinh tế
Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp Trên thực tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từ chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ, HTTT, ); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quy trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo đức nghề nghiệp).
1.2.1.2 Các phương thức tấn công và phòng vệ hệ thống thông tin.
- Tấn công từ chối dịch vụ DoS.
Dạng tấn công này không xâm nhập vào hệ thống để lấy cắp hay thay đổi thông tin mà chỉ nhằm vào mục đích ngăn chặn hoạt động bình thường của hệ thống, đặc biệt đối với các hệ thống phục vụ trên mạng công cộng như web server, Mail server…
Các tấn công từ chối dịch vụ thường rất dễ nhận ra do tác động cụ thể của nó đối với hệ thống Mục tiêu tấn công của từ chối dịch vụ có thể là một máy chủ hoặc một mạng con.
Cơ sở của tấn công từ chối dịch vụ là các sơ hở về bảo mật trong cấu hình hệ thống, sơ hở trong giao thức kết nối mạng và các lỗ hổng bảo mật của phần mềm, hoặc đơn giản là sự hạn chế của tài nguyên như băng thông kết nối, năng lực của máy chủ. Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Internet, nhưng cũng có thể xuất phát từ trong nội bộ hệ thống dưới dạng tác động của các phần mềm như worm hoặc trojan.
Hai kỹ thuận thường dùng để gây ra các tấn công từ chối dịch vụ truyền thông tương ứng với hai mục tiêu tấn công là Ping of Death và buffer-overflow.
- Ping of Death tấn công vào kết nối mạng bằng cách gửi liên tục và với số lượng lớn các gói dữ liệu ICMP đến một mạng con nào đó, chiếm toàn bộ băng thông kế nối và do đó gây ra tắc nghẽn mạng.
Các cuộc tấn công tràn bộ đệm tấn công vào máy chủ bằng cách tải dữ liệu vượt quá giới hạn bộ đệm của máy chủ, dẫn đến lỗi hệ thống Các cuộc tấn công từ chối dịch vụ nổi tiếng trong lịch sử bảo mật máy tính như Code Red, Slapper, Slammer sử dụng kỹ thuật tràn bộ đệm.
Tấn công từ chối dịch vụ thường không gây tiết lộ thông tin hay mất mát dữ liệu mà chỉ nhằm vào tính khả dụng của hệ thống Tuy nhiên, do tính phổ biến của từ chối dịch vụ và đặc biệt là hiện nay chưa có một giải pháp hữu hiệu cho việc ngăn chặn các tấn công loại này nên từ chối dịch vụ được xem là một nguy cơ rất lớn đối với sự an toàn của HTTT.
-Tấn công từ chối dịch vụ phân tán.
Là phương thức tấn công dựa trên nguyên tắc từ chối dịch vụ nhưng có mức độ nguy hiểm cao hơn do huy động cùng lúc nhiều máy tính cùng tấn công vào một hệ thống duy nhất.
Tấn công từ chối dịch vụ phân tán được thực hiện qua 2 giai đoạn :
1- Kẻ tấn công huy động nhiều máy tính trên mạng tham gia từ chối dịch vụ phân tán bằng các cài đặt các phần mềm điều khiển từ xa trên các máy tính này.
Những máy tính đã được cài đặt phần mềm điều khiển từ xa này thường được gọi là Zombie Để thực hiện điều này, kẻ tấn công sẽ quét mạng để tìm kiếm các máy tính có lỗ hổng và cài đặt phần mềm điều khiển từ xa lên mà không bị người quản lý phát hiện Những phần mềm này thường được gọi là backdoor.
2- Kẻ tấn công điều khiển zombie đồng loạt thực hiện tấn công vào mục tiêu.
Các thành phần tham gia trong chuỗi dịch vụ phân tán bao gồm:
- Client: phần mềm điều khiển từ xa được kẻ tấn công sử dụng để điều khiển các máy khác tham gia tấn công Máy tính chạy phần mềm này được gọi là master.
Daemon là một loại phần mềm chạy trên các máy tính bị xâm nhập (zombie) để thực hiện các yêu cầu của máy chủ điều khiển (master) Daemon hoạt động như một cầu nối trung gian để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) lên máy tính nạn nhân.
Hình 1.1 Tấn công từ chối dịch vụ phân tán
- Tấn công giả danh. Đây là dạng tấn công bằng cách giả danh một đối tượng khác để thực hiện một hành vi.
TỔNG QUAN VỀ TÌNH HÌNH NGHIÊN CỨU AN TOÀN BẢO MẬT HTTT
1.3.1 Tổng quan tình hình nghiên cứu ở Việt Nam
Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng có những chuyển biến, nhiều công trình nghiên cứu, sách và tài liệu khoa học về an toàn và bảo mật thông tin ra đời như: Đàm Gia Mạnh (2011),Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như những nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong TMĐT.
Giáo trình này cung cấp cái nhìn toàn diện về bảo mật dữ liệu cho các nhà kinh doanh trong thương mại điện tử (TMĐT) Nó nêu bật các phương pháp phòng tránh các cuộc tấn công có thể gây mất an toàn dữ liệu và cung cấp các biện pháp khắc phục hậu quả phổ biến, hiện đại.
Bài luận văn thạc sĩ “Nghiên cứu vấn đề bảo mật thông tin và đề xuất giải pháp bảo mật cho hệ thông thông tin trường cao đẳng kinh tế- kỹ thuật Vĩnh Phúc” của học viên Tô Quang Hiệp đã nghiên cứu về các kiểu firewall cũng như phân tích những ưu điểm và hạn chế của chúng để có những đề xuất về giải pháp bảo mật phù hợp nhất cho hệ thống thông tin của trường Cao đẳng Kinh tế- Kỹ thuật Vĩnh Phúc.
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống thông tin khác không mong muốn Nói cách khác Firewall đóng vai trò là một trạm gác ở cổng vào của mạng Firewall là một giải pháp rất hiệu quả trong việc bảo vệ máy tính khi tham gia vào mạng Bài luận văn đã giúp người đọc hiểu chi tiết về các kiểu Firewall để có sự lựa chọn phù hợp nhất nhằm giải quyết các vấn đề về an ninh mạng Tuy nhiên, bài luận văn chỉ đừng lại ở việc đưa ra lý thuyết chung nhất về Firewall mà chưa đưa ra hướng xây dựng cụ thể cho giải pháp sử dụng tường lửa để bảo mật
Cùng nghiên cứu về vấn đề này, Nguyễn Dương Hùng – Khoa Hệ thống thông tin Quản lý- Học viện Ngân hàng đã thực hiện bài nghiên cứu khoa học “Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây” Các ngân hàng ngày càng gặp nhiều khó khăn trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì nó đang được tăng lên nhanh chóng theo từng ngày Sự ra đời của công nghệ điện toán đám mây (ĐTĐM) cùng với khả năng cung cấp một cơ sở hạ tầng không giới hạn để truy xuất, lưu trữ dữ liệu tại các vị trí địa lý khác nhau là một giải pháp tốt cho cơ sở hạ tầng công nghệ thông tin(CNTT) để các ngân hàng xử lý các vấn đề khó khăn trên Như một kết quả tất yếu, dữ liệu dư thừa, trùng lặp sẽ xuất hiện và bị sửa đổi bởi những người sử dụng trái phép. Điều này dẫn đến việc mất mát dữ liệu, mất an toàn và bảo mật thông tin, sự riêng tư của khách hàng sẽ trở thành vấn đề chính cho các ngân hàng khi họ ứng dụng công nghệ ĐTĐM vào công việc kinh doanh của họ Do đó việc ứng công nghệ ĐTĐM vào các ngân hàng là một xu thế tất yếu trong trong thời đại CNTT phát triển mạnh mẽ như hiện nay Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên cứu mang tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được những kiến nghị về an ninh bảo mật trong ĐTĐM.
Tạp chí CNTT và truyền thông cũng có bài: “Ứng dụng trí tệ nhân tạo trong các phần mềm diệt virus” của Đỗ Hữu Tuyến nói về tính việc sử dụng kỹ thuật Deep learning để nhận biết dấu hiệu của những đoạn mã độc, thông việc “học” hàng triệu mẫu dữ liệu chứa phần mềm độc hại mà không phải là phần mềm độc hại Deep learning là một nhánh phát triển của trí tuệ nhân tạo Kỹ thuật này dựa trên các hoạt động của nơ-ron thần kinh trên vỏ não với khả năng học hỏi Kỹ thuật này đã được Deep Instrinct sử dụng để tạo ra một “mạng lưới thần kinh tĩnh”, nó sẽ được phân phối đến người dùng cuối cùng Mạng lưới này không cần cập nhật thường xuyên như cách mà các ứng dụng diệt virus truyền thống vẫn làm, thay vào đó đủ thông minh để phát hiện và ngăn chặn virus, kể cả những con virus mới hay chỉ là biến thể Giải pháp củaDeep Instrinct cam kết cung cấp có thể: Phát hiện và ngăn chặn trên các thiết bị đầu cuối, thiết bị di động trong thời gian thực; dự đoán các mối đe dọa mạng chưa biết sử dụng các thuật toán Deep learning; giải pháp hoạt động dựa trên tất cả các thiết bị, hệ điều hành và nền tảng; không cần bất kì kết nối mạng hay kết nối bổ sung nào trong quá trình hoạt động Nghiên cứu này đã góp phần khắc phục một số hạn chế về bảo mật của các phần mềm diệt virus; đồng thời nâng cao hiệu quả chống virus xâm nhập của các phần mềm đó.
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, , Đại học Bách Khoa
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về an toàn thông tin nói chung và đi sâu vào một doanh nghiệp cụ thể.
1.3.2 Tổng quan tình hình nghiên cứu trên thế giới Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông tin nói chung Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh nghiệp lớn nhỏ, các tổ chức, chính phủ…
William Stallings(2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng Kiểm tra các thực hành an ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụng ngày nay Các chương trình mã hóa được sử dụng rộng rãi nhất dựa trên các dữ liệu Encryption Standard (DES) được thông qua vào năm 1977 của Cục Tiêu chuẩn Quốc gia, nay là Viện Tiêu chuẩn và Công nghệ (NIST), như tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46) Đối với DES, dữ liệu được mã hóa trong khối 64-bit sử dụng một chìa khóa 56-bit Các thuật toán biến đổi 64-bit đầu vào trong một loạt các bước vào một đầu ra 64-bit Các bước tương tự, với cùng một phím, được sử dụng để đảo ngược mã hóa DES với việc sử dụng rộng rãi Nó cũng đã là chủ đề của nhiều cuộc tranh cãi liên quan đến bảo mật của DES Để đánh giá đúng bản chất của sự tranh cãi, chúng ta hãy nhanh chóng xem lại lịch sử của DES.
Tính năng này cung cấp khả năng ngăn chặn chế độ thuật toán, mã hóa hoạt động, bảo mật dữ liệu bằng cách sử dụng mã xác thực của tin nhắn dựa trên mật mã (CMAC) để xác thực và mã hóa chứng thực Ngoài ra, phương pháp này giải quyết vấn đề, mở rộng cập nhật phần mềm chống lại phần mềm độc hại và các tác nhân đe dọa khác.
Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons
Sách tập trung vào vai trò thiết yếu của hoạt động, nguyên tắc, thuật toán và giao thức bảo mật mạng Nó cung cấp các biện pháp để giảm thiểu mối đe dọa an ninh mạng do tội phạm dựa trên bẻ khóa mật mã Tính xác thực, toàn vẹn và mã hóa tin nhắn rất quan trọng trong bảo mật mạng Không có thủ tục xác thực, kẻ tấn công có thể đóng giả bất kỳ ai và truy cập vào mạng Toàn vẹn tin nhắn là rất cần thiết vì dữ liệu có thể bị thay đổi bởi kẻ tấn công khi truyền qua Internet Cuốn sách trình bày lý thuyết và thực hành bảo mật Internet một cách toàn diện, tỉ mỉ và chất lượng cao Nội dung phù hợp cho sinh viên, nghiên cứu sinh, kỹ sư chuyên nghiệp và nhà nghiên cứu trong lĩnh vực bảo mật mạng.
Dr Eric Cole (2005), Dr Ronald Krutz, and James W Conley, “Network
Cuốn sách nói về các kỹ thuật, công nghệ và phương pháp tiếp cận an ninh mới, nó cũng kiểm tra xu hướng mới và các phương pháp hay nhất được nhiều tổ chức sử dụng Phiên bản sửa đổi bảo mật mạng bổ sung cho khóa học của Cisco Academy về bảo mật mạng Bao gồm tất cả các lĩnh vực chính của an ninh mạng và cách họ tương quan, hoàn toàn sửa đổi để giải quyết các kỹ thuật, công nghệ và phương pháp bảo đảm mới cho doanh nghiệp trên toàn thế giới, xem xét xu hướng mới và các phương pháp hay nhất trong sử dụng của các tổ chức để bảo vệ doanh nghiệp của họ Ngoài ra cuốn sách còn có thêm các chương về các lĩnh vực liên quan đến bảo vệ dữ liệu tương quan và pháp y, và bao gồm các chủ đề tiên tiến như an ninh không gian mạng tích hợp và các phần về Cảnh an ninh, với các chương về xác nhận tính bảo mật, bảo vệ dữ liệu, pháp y và các cuộc tấn công và các mối đe dọa.
Andrew Lockhart (2004),“Network Security Hacks”, O'Reilly
Bảo mật mạng không phải là một bài luận dài dòng về lý thuyết bảo mật Thay vào đó, cuốn sách cung cấp 100 điều nhanh chóng, thiết thực và thông minh để giúp làm cho mạng Linux, UNIX hoặc Windows an toàn hơn.
Bản tóm tắt này về bảo mật không chỉ bao gồm các dịch vụ dựa trên TCP / IP, mà còn cung cấp các kỹ thuật bảo mật dựa trên máy chủ thông minh Network Security Hacks chứng minh các phương pháp hiệu quả để bảo vệ các máy chủ và mạng của bạn khỏi một loạt các cuộc tấn công khôn ngoan và tinh vi bằng các ví dụ ngắn gọn nhưng mạnh mẽ về mã hoá được áp dụng, phát hiện xâm nhập, đăng nhập, xu hướng và phản hồi
PHÂN TÍCH THỰC TRẠNG VỀ AN TOÀN BẢO MẬT THÔNG TIN
GIỚI THIỆU TỔNG QUAN VỀ CÔNG TY CỔ PHẦN
2.1.1 Giới thiệu về công ty
Tên công ty: Công ty Cổ Phần Điện Tử Điện Máy Thăng Long.
Website: www.dienmaythanglong.org Đại diện: Ông Lê Văn Bắc
Công ty cổ phần điện tử điện máy Thăng Long chuyên cung cấp các sản phẩm và dịch vụ điện tử điện máy chất lượng cao, đáp ứng tối đa nhu cầu đa dạng của khách hàng trên toàn quốc Với định hướng thị trường rõ ràng, công ty luôn chú trọng vào nâng cao chất lượng sản phẩm, đáp ứng nhu cầu thiết yếu của người tiêu dùng Đối với khách hàng, Thăng Long đề cao tinh thần hợp tác bền chặt, cam kết trở thành "Người đồng hành số 1" đáng tin cậy, đặt mục tiêu "khách hàng là trên hết" làm kim chỉ nam cho mọi hoạt động kinh doanh.
Tạo môi trường làm việc chuyên nghiệp, giàu năng lượng, khuyến khích sự sáng tạo và tôn trọng phẩm giá con người Đảm bảo thu nhập cao cùng cơ hội phát triển công bằng, tạo điều kiện cho mỗi nhân viên phát triển toàn diện, gắn bó lâu dài với công ty.
Trách nhiệm với xã hội: Hài hòa lợi ích doanh nghiệp với lợi ích xã hội; đóng góp tích cực vào các hoạt động hướng về cộng đồng, thể hiện tinh thần trách nhiệm công dân và niềm tự hào dân tộc.
Lịch sử hình thành: Thành lập 2012, do các kỹ sư phần mềm, các chuyên gia tài chính kế toán, dựa trên kết hợp sự hiểu biết sâu sắc về nghiệp vụ marketing, các quy trình quản lý của doanh nghiệp và khả năng của công nghệ nhằm tạo ra các sản phẩm và dịch vụ cao theo yêu cầu đòi hỏi của thị trường ứng dụng công nghệ vào quản lý.
2.1.2 Cơ cấu tổ chức của công ty.
2.1.2.1 Sơ đồ cơ cấu tổ chức của công ty
Hiện nay đứng đầu công ty là hội đồng quản trị, tiếp đến là giám đốc cùng với sự hỗ trợ của phó giám đốc và các phòng ban Sơ đồ tổ chức bộ máy của công ty:Hội đồng quản trị
Phó tổng giám đốc Kinh doanh Mrs Tuyết
Sơ đồ 2.1: sơ đồ cơ cấu tổ chức công ty
(nguồn:http://www.dienmaythanglong.org)
Chức năng của các phòng ban trong công ty
Ban Giám Đốc : Là bộ phận quản lý cao nhất, có toàn quyền nhân danh công danh công ty, chịu trách nhiệm điều hành hoạt động của công ty.
Phòng kinh doanh và phát triển thị trường
Phòng phát triển sản phẩm
Phòng tư vấn và hỗ trợ khách hàng
Phòng bảo hành sản phẩm
Phòng tài chính-kế toán: Đảm nhận và chịu trách nhiệm trước Công ty về lĩnh vực tài chính kế toán Phòng có chức năng xây dựng và tổ chức thực hiện kế hoạch tài chính hàng năm; tổ chức công tác hạch toán kế toán, lập báo cáo tài chính theo quy định và các báo cáo quản trị theo yêu cầu của hàng quản lý kho quỹ; chịu trách nhiệm hướng dẫn, kiểm tra việc lập hóa đơn chứng từ ban đầu cho công tác hạch toán kế toán; hướng dẫn, tổng hợp báo cáo thống kê.
Phòng nhân sự: Chịu trách nhiệm tất cả vấn đề liên quan đến nhân sự của công ty,bao gồm tuyển dụng,quản lý giờ làm nhân viên,tính lương thưởng,Bảo hiểm,
Phòng phát triển sản phẩm: Chịu trách nhiệm về phát triển sản phẩm và dịch vụ của công ty.
Phòng bảo hành sản phẩm: Chịu trách nhiệm bảo hành bảo dưỡng sản phẩm khi sảy ra vấn đề nào đó.
Phòng tư vấn và hỗ trợ khách hàng: Chịu trách nhiệm tư vấn về sản phẩm đối với khách hàng.
Phòng kinh doanh và phát triển thị trường
Chịu trách nhiệm tìm kiếm khách hàng tiềm năng, tiếp cận với thị trường, hiểu được thị trường đang cần gì và muốn gì Khảo sát đánh giá tiềm năng và tìm hiểu nhu cầu của khách hàng; Mở rộng thị trường sử dụng dịch vụ của Công ty; Tạo lập và duy trì mối quan hệ tốt với khách hàng, chăm sóc khách hàng định kỳ nâng cao uy tín chất lượng, dịch vụ của công ty.
Phòng nghiệp vụ giúp khảo sát các quy trình nghiệp của khách hàng, tư vấn nghiệp vụ - quy trình quản lý cho khách hàng, tư vấn và triển khai các giải pháp.
Hiện nay công ty có trụ sở chính tại số 94 ngõ 1277 Giải Phóng,Hoàng Mai,Hà Nội.
Ngoài ra công ty còn 1 kho chứa các sản phẩm của công ty.
2.1.3 Tình hình doanh thu của công ty
STT Chỉ tiêu Năm 2016 Năm 2017 Năm 2018
Tình hình doanh thu của công ty trong 3 năm gần đây (Đơn vị tính: VNĐ)
(Nguồn: Báo cáo tài chính Phòng kế toán công ty )
Bảng 2.1: Doanh thu của công ty trong 3 năm gần đây
PHÂN TÍCH THỰC TRẠNG AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY
2.2.1 Trang thiết bị phần cứng
Thông qua khảo sát báo cáo thực tập, em nhận định là: Công ty rất chú trọng đầu tư cở sở hạ tầng CNTT.
Công ty cung cấp máy tính cho nhân viên tùy theo đặc thù công việc Nhân viên phòng bảo hành, kế toán, nhân sự được trang bị máy tính để bàn, trong khi nhân viên phòng triển khai được cấp laptop Toàn bộ máy tính đều có kết nối mạng thông qua cổng mạng hoặc Wi-Fi sẵn có.
Về trang thiết bị phần cứng tại công ty: Công ty có 1 máy chủ được đặt tại phòng tổng hợp Mỗi bộ phận, phòng ban được trang bị từ 10-15 máy tính bàn cho nhân viên ngoài ra có 5-10 laptop cá nhân Tất cả đều được kết nối trực tiếp vào mạng internet thông qua các cổng mạng đã lắp đặt sẵn.
Tên phần cứng Số lượng
Bảng 2.2 Trang thiết bị phần cứng
(Nguồn: Phiếu điều tra khảo sát hệ thống thông tin công ty)
-Máy chủ: Máy chủ được cài đặt tại văn phòng của công ty Nhãn hiệu IBM System x3650 - M3, với cấu hình máy Xeon 4C E5620 80W-2.40GHz/1066MHz/12MB, 1x4 GBPC3-10600 DDR3-1333 LP/288GB.
-Máy tính để bàn: Máy tính để bàn của công ty hiện nay có 2 hãng là Acer cấu hình Intel G630 2.7Ghz, DDR3 2Gb (8 chiếc) và LG cấu hình máy Core i3-2120, RAM 2GB, 500GB (12 chiếc), cung cấp cho nhân viên sử dụng.
-Laptop: Công ty có tổng 55 laptop phục vụ cho công việc, các nhãn hiệu Apple, ASUS, DELL.
STT Nhãn hiệu Cấu hình Số lượng
1 Apple Mac OS X 10.8 Mountain Lion
CPU: Intel Core i5 (2 Core) 2.5Ghz Boost to 3.1 Ghz
15 Ổ đĩa cứng – HDD: 256Gb SSD Đồ họa: Intel HD Graphics 4000
- Kích cỡ màn hình: 13,3” WSVGA (2560x1600)
RAM: 4GB, Ổ cứng HDD: 1TB Đồ họa: Intel HD Graphics 620
- 2GB DDR3 Bus 1600Mhz, 500GB
Bảng 2.3 Danh sách laptop của công ty
(Nguồn: Phiếu điều tra khảo sát hệ thống thông tin công ty )
Máy in bao gồm: 5 máy in HP LaserJet 1319NF (máy in đa năng laser với tốc độ in 27 trang/phút, bộ nhớ 64 MB, khay giấy tự động 250 tờ) và máy in phun màu Epson (in đơn năng với tốc độ in 37ppm A4 (Black/Draft), 38ppm A4).
5760x1440dpi), một chiếc đặt văn phòng miền Bắc và một chiếc đặt văn phòng miền Nam.
Camera: Có tất cả 20 chiếc camera Dome HikVision TVI HIK-HD95H8T lắp đặt tại văn phòng của công ty.
Hiện nay, hệ điều hành được cài đặt chủ yếu ở công ty là điều hành Windows.
Hệ điều hành windows khá phổ biến và được nhiều công ty lựa chọn Với những ưu điểm như: Tính tương thích cao, độ bảo bật tốt, hỗ trợ cho nhiều ứng dụng và cung cấp kho ứng dụng riêng, kho ứng dụng Windows Store.
Ngoài ra,máy tính công ty còn cài đặt hệ điều hành Mac OS.
Một trong những bộ phần mềm không thể thiếu đó là bộ phần mềm Microsoft Office, công ty đang sử dụng phiên bản Office 2010 tại các phòng ban của công ty.
Phẩn mềm gõ Tiếng Việt: Unikey
Các trình duyệt web: Cốc Cốc, chrome, Ứng dụng nén và giải nén tập tin: UltraISO và winrar
Phần mềm Skype giúp liên lạc giữa các bộ phận trong công ty, phục vụ cho việc trao đổi thông tin công việc.
Phần mềm Teamviewer 12 có chức năng giúp cho phòng kỹ thuật có thể giám sát, kiểm tra hoạt động máy tính trong công ty, đảm bảo an toàn cho dữ liệu nội bộ.
Hiện nay, công ty sử dụng phần mềm kế toán do công ty tự xây dựng Phần mềm này có sự phân quyền người dùng rất hiệu quả, được dành cho tất cả các nhân viên văn phòng trong công ty theo từng nhiệm vụ được định sẵn, hỗ trợ phản ánh được mọi hoạt động của công ty Phần mềm kế toán quản trị cơ sở dữ liệu bằng SQL Server nên đòi hỏi cấu hình máy tương đối cao, nếu máy yếu thì chương trình chạy rất chậm chạp, tốc độ xử lý dữ liệu chậm hơn.
Ngoài ra, công ty còn sử dụng phầm mềm bán hàng Phần mềm bán hàng iPOS.vn phù hợp cho rất nhiều mô hình kinh doanh khác nhau, từ quy nhỏ như quán đồ ăn nhanh/trà sữa tới quy mô lớn như nhà hàng/cafe cao cấp Tính linh hoạt của hệ thống giải pháp còn thể hiện ở chỗ: Phần mềm đáp ứng rất tốt nhu cầu của khách hàng khi họ có nhu cầu chuyển đổi lĩnh vực kinh doanh hay thay đổi mô hình hoạt động.
Hiện nay, mô hình mạng đang sử dụng tại công ty là mô hình hình sao, mô hình mạng này hoạt động ổn định, dễ dàng cấu hình mạng, giúp kiểm soát và khắc phục sự cố nhanh Công ty dùng mạng LAN, wifi, Internet; khi truyền và gửi những thông tin quan trọng công ty dùng mạng LAN để truyền Công ty đang dùng dịch vụ mạng của nhà mạng VNPT.
Chương trình phòng chống bảo vệ cho mạng: Sử dụng antivirut( BKAV Pro), Web antivirut (PC tools doctor ASD.Net), mail antivirut (security Plus for Mdea, Symante dùng cho các máy cá nhân).
2.2.2.6 Cơ sở dữ liệu và quản trị cơ sở dữ liệu
Công ty đang sử dụng hệ quản trị CSDL là SQL Server 2008 R2, với các tính năng đơn giản, dễ sử dụng giúp nâng cao khả năng quản lý và xử lý CSDL của công ty Quá trình kiểm soát truy nhập có sử dụng biện pháp phân quyền cơ sở dữ liệu, bảo mật trên đường truyền trong quá trình khai thác, giữa máy trạm và máy chủ luôn diễn ra quá trình cập nhật dữ liệu.
2.2.3 Giới thiệu website http://www.dienmaythanglong.org
(Nguồn: http://www.dienmaythanglong.org)
Website được thiết kế vào tháng 5/2012 ngay sau khi công ty được thành lập. Website của công ty cung cấp các thông tin về tuyển dụng, khách hàng, tiện tích, dịch vụ, sản phẩm, giới thiệu chung về công ty cũng như các tin tức liên quan khác Công ty có hỗ trợ tư vấn trực tiếp qua website.
Cho đến nay, sau 6 năm hoạt động và phát triển website đã đạt tới lượng hơn1.000.000 lượt truy cập, trong đó bình quân mỗi ngày có hơn 300 lượt truy cập.
ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY
2.3.1 Phân tích thực trạng an toàn bảo mật HTTT của công ty
Câu 1 Hiện nay, ở công ty có áp dụng các giải pháp an toàn, bảo mật thông tin không? Đáp án Số phiếu chọn Tỷ Lệ (%)
-Nhận xét: Từ kết quả từ phiếu khảo sát, có thể thấy rằng công ty rất chú trọng đến bảo mật thông tin của công ty, luôn luôn áp dụng các giải pháp tốt nhất có thể để thông tin của công ty được đảm bảo an toàn.
Câu 2 Anh (chị) đánh giá mức độ tiếp cận được các thông tin, tài liệu của công ty anh (chị) hiện nay như nào? Đáp án Số phiếu chọn Tỷ lệ (%)
-Nhận xét: Từ kết quả phiếu điều tra, có thể thấy rằng thông tin của công ty luôn được bảo mật, đảm bảo an toàn ở mức cao, khó có thể tiếp cận được nếu như không phải là nhân viên trong công ty.
Giải pháp bảo mật email và web giúp lọc thư rác hiệu quả, loại bỏ những mối đe dọa nguy hiểm qua email Nhờ đó, doanh nghiệp có thể bảo vệ hệ thống, dữ liệu và các hoạt động kinh doanh của mình trước các cuộc tấn công mạng.
-Nhận xét: Từ kết quả phiếu điều tra, Có thể thấy rằng công ty đã nhận thấy mối nguy hiểm của thông tin dữ liệu trước những email không rõ ràng, các tin nhắn rác từ đó biết cách sử dụng các giải pháp cho phép lọc thư rác, đảm bảo an toàn bảo mật thông tin.
Câu 4 Nhân viên trong công ty có dùng chung một mật khẩu để đăng nhập vào các chương trình phần mềm hay không? Đáp án Số phiếu chọn Tỷ lệ (%)
-Nhận xét: Từ kết quả phiếu điều tra, có thể thấy rằng tất cả nhân viên đều dùng chung một mật khẩu mặc định Giả định rằng, có một người lạ biết được mật khẩu của một nhân viên thì toàn bộ mật khẩu của tất cả nhân viên trong công ty sẽ bị mất, khi đó toàn bộ thông tin của công ty sẽ không được an toàn.
Câu 5 Khi đăng nhập mật khẩu có được mã hóa hay không? Đáp án Số phiếu bình chọn Tỷ lệ (%)
-Nhận xét: Từ kết quả phiếu điều tra, có thế thấy rằng khả năng cao hacker có thể truy cập vào dữ liệu của công ty là rất dễ dàng.
Câu 6 Công ty có đội ngũ nhân viên chuyên phụ trách về công tác bảo mật không? Đáp án Số phiếu chọn Tỷ lệ (%)
-Nhận xét: Từ kết quả phiếu điều tra, có thể thấy rằng công ty luôn chú trọng công tác đào tạo nâng cao khả năng cho các cán bộ nhân viên CNTT của công ty
2.3.2 Đánh giá thực trạng an toàn bảo mật HTTT của công ty
Bằng những gì đã thu thập được, sau quá trình phân tích và nghiên cứu, em xin đưa ra một số đánh giá về thực trạng bảo mật, an toàn dữ liệu ở công ty cổ phần Điện tử Điện máy Thăng Long.
Kết quả khảo sát cho thấy doanh nghiệp và đội ngũ CNTT đặc biệt quan tâm đến bảo mật thông tin Họ luôn triển khai các giải pháp tốt nhất để đảm bảo an ninh cho dữ liệu công ty.
- Lựa chọn giải pháp bảo mật email và web cho phép lọc thư rác, loại bỏ các mối đe dọa trên email.
-Đầu tư phần cứng hệ thống sao lưu dự phòng và các giải pháp khôi phục dữ liệu khi có sự cố.
- Thông tin của công ty luôn được bảo mật.
Công ty đặc biệt chú trọng vào việc đào tạo và nâng cao năng lực cho đội ngũ nhân viên CNTT Chính sách đãi ngộ hấp dẫn được áp dụng để thu hút, phát triển và giữ chân nguồn nhân lực hiểu biết sâu rộng về CNTT và HTTT Mục tiêu là đạt được kết quả tối ưu, tạo lợi ích chung cho cả công ty và nhân viên.
- Thông tin của công ty luôn được bảo mật nhưng chưa cao, nguy cơ mất an toàn bảo mật HTTT của công ty vẫn còn rất cao.
Hệ thống của công ty đang sử dụng thông tin đăng nhập không được mã hóa cho một số trang web nội bộ, khiến hacker có thể dễ dàng đánh cắp mật khẩu Do đó, để tăng cường bảo mật, bộ phận kỹ thuật cần mã hóa các mật khẩu đăng nhập.
- Trong trường hợp tất cả nhân viên đều dùng chung một mật khẩu mặc định Giả định rằng, có một người lạ biết được mật khẩu của một nhân viên thì toàn bộ mật khẩu của tất cả nhân viên trong công ty sẽ bị mất, khi đó toàn bộ thông tin của công ty sẽ không được an toàn.
+ Nâng cao hệ thống kiến thức của đội ngũ CNTT.
+ Chú trọng hơn vào mật khẩu, các email rác.
ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY
ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO ATBM THÔNG TIN CHO HTTH CỦA CÔNG TY
3.2.1 Giải pháp Firewall cho công ty cổ phần Điện tử Điện máy Thăng Long a) Phân tích yêu cầu
Yêu cầu về Firewall cho công ty bao gồm nhiều rất nhiều yếu tố Do những đặc thù của công ty mà phải xác định mô hình Firewall cho phù hợp Đối với một công ty nhỏ về mức độ đáp ứng trang thiết bị máy tính không phải như các trung tâm chuyên về tin học lớn, các thiết bị mạng ở đây không phải lớn như các trung tâm máy tính lớn Vì vậy phải có cái nhìn chính xác để đề ra mô hình Firewall phù hợp cho công ty. Đối với các công ty lớn thì cơ sở dữ liệu, tài nguyên cũng rất lớn và số lượng người truy cập mỗi ngày để lấy cơ sỡ dữ liệu, cập nhật thông tin, trao đổi … các hoạt động truy nhập thông tin diễn ra hết sức tấp nập trên mạng, những kẻ phá hoại sẽ dựa vào những hoạt động đó để lấy cắp, phá hoại thông tin, làm ngưng hoàn toàn cả hệ thống Nếu như không có một Firewall đủ mạnh thì việc đột nhập của kẻ phá hoại sẽ hết sức đơn giản Đối với những công ty lớn mô hình Firewall phải mạnh, có thể kết hợp giữa Firewall phần cứng và Firewall phần mềm Việc kết hợp cả hai loại Firewall trên sẽ cho một sự bảo vệ chắc chắn hơn Các tính năng được tích hợp trong Firewall phần cứng được các nhà sản xuất thiết lập ngay khi sản xuất các thiết bị các khả năng bảo mật này sẽ được cập nhật trong quá trình sử dụng của thiết bị Khi lựa chọn một Firewall phần mềm cho những công ty lớn thì phải chọn những mô hình Firewall phần mềm mạnh của các nhà sản xuất phần mềm về Firewall uy tín Các phần mềm này khi có một bản quyền hợp pháp trong quá trình sử dụng chương trình sẽ không ngừng được cập nhật các phương pháp bảo mật mới, cập nhật các lỗ hổng bảo mật mới trong chương trình Tuy nhiên việc kết hợp giữa Firewall phần cứng và Firewall phần mềm là một điều vô cùng tốn kém nó chỉ phù hợp với các công ty lớn về cơ sở vật chất kĩ thuật, có tiềm lực về tài chính. Đối với các công ty vừa và nhỏ có hạn chế về nhiều mặt như kinh phí cũng như thiết bị cho nên trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của tổ chức - công ty một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng Việc bảo mật cho các mạng máy tính của công ty cổ phần Điện tử Điện máy Thăng Long cũng không phức tạp như các công ty lớn vì cơ sở dữ liệu ít, gọn, không nằm phân tán như các công ty lớn Vì vậy có thể lựa chọn những Firewall phần mềm miễn phí hoặc bật các chức năng Firewall được cung cấp sẵn trong các hệ điều hành như Windows XP Home Edition, sử dụng Internet Connection Firewall trong phiên bản Window XP Professional. b) Chọn lựa một giải pháp Firewall cho phù hợp với mạng máy tính của công ty cổ phần Điện tử Điện máy Thăng Long.
Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng Firewall nhằm kiểm soát sự truy cập từ bên ngoài vào mạng nội bộ và các giao dịch ra/ vào mạng Tuy nhiên, đầu tư cho một Firewall khá tốn kém, nhất là đối với các công ty vừa và nhỏ Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất Thiết bị bảo mật 'Tất cả trong một này phải đáp ứng yêu cầu về bảo mật - an toàn dữ liệu của công ty một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp.
Sau đây là một số giải pháp thông dụng hiện nay đang được nhiều các công ty ở tại Việt Nam cũng như trên thế giới sử dụng rộng rãi Các phần mềm này đáp ứng rất tốt các điều kiện của doanh nghiệp, do tính chất của các phần mềm này các yêu cầu về cấu hình cho hệ thống mạng không phải là quá cao cho nên rất phù hợp với mạng máy tính của các công ty vừa và nhỏ.
A ISA Server Enterprise 2000, ISA Server Enterprise 2006 Đây là một phần mềm có các chức năng chính là :
-Bảo vệ mạng chống các cuộc tấn công từ Internet.
-Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm soát.
Tường lửa SonicWALL Pro 2040 dành cho doanh nghiệp vừa và nhỏ đáp ứng mọi nhu cầu bảo mật Thiết bị dễ triển khai, có thể đặt trên bàn, kệ tủ hoặc lắp vào giá đỡ 1U, tạo sự linh hoạt trong quá trình cài đặt Sự kết hợp giữa hệ điều hành Sonic OS thế hệ mới và kiến trúc phần cứng mạnh mẽ mang đến hiệu suất cao và khả năng mở rộng, đảm bảo hiệu quả bảo vệ tối ưu khi được cấu hình phù hợp.
Khi sử dụng, người dùng phải cài đặt OS mở rộng của Sonic WALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phòng Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành Sonic OS
Enhanced, nhưng phải cài hệ điều hành này thì mới có thể kích hoạt cổng giao tiếp thứ tư của thiết bị Cổng này có chức năng của một cổng WAN, LAN, hay DMZ, hoặc nối sang một thiết bị Pro 2040 khác để dự phòng Sonic Wall không hề thua kém các đối thủ, nó cũng tích hợp chức năng phòng chống virus và lọc nội dung Pro 2040 hoàn toàn làm vừa lòng, chẳng hạn, nó được trang bị một bộ xử lý chỉ làm mỗi nhiệm vụ mã hóa cho nên hiệu suất chẳng có gì khác biệt khi dùng chế độ mã hóa AES-256 hay 3DES Hàng loạt cuộc tấn công giả lập cũng như ngăn chặn virus khi thử đều bị ngăn cản bởi Firewall này.
C Zone Alarm Đây là một phần mềm miễn phí cho người sử dụng, mặc dù vậy nhưng những tính năng của nó cũng không kém gì những phần mềm lớn có bản quyền Sau đây là một số tính năng của nó:
- Overview: Cho phép nắm được các dữ liệu thống kê về hoạt động của Zone Alarm Bấm vào tab Preferences để thay đổi các thiết lập chi tiết.
- Firewall: Các thiết lập chung, ảnh hưởng tới toàn bộ hoạt động cửa chương trình được đặt tại đây Để đơn giản hoá, Zone Alarm sử dụng khái niệm Zone (vùng).Internet Zone bao gồm các máy tính và các site trên mạng Internet mà chưa đặt thiết lập bảo vệ.
- Program Control: Program Control cho phép xác định những chương trình nào phải hỏi ý kiến Firewall trước khi truy nhập Internet (Zone Alarm sử dụng những thông tin này khi tạo các cửa sổ cảnh báo) Nếu gặp những vấn đề với các chương trình gián điệp và chương trình quảng cáo, ở một số thời điểm nào đó có thể đặt thiết lập cho mục này ở mức High Ngoài ra, mức Medium là phù hợp với hầu hết những người sử dụng Mục Automatic Lock trong Program Contrel cho phép đặt cách ly hoàn toàn với mạng Internet, chặn tất cả các thông điệp đi từ máy tính ra mạng Internet và ngược lại Nếu sử dụng Internet băng rộng và bật máy tính suốt ngày, nên chọn Automatic Lock bất cứ lúc nào không làm việc với máy tính nữa Có thể bật Automatic Lock bằng cách ấn vào biểu tượng ổ khoá bên trên cửa sổ Zone Alarm.
Comodo Firewall là một phần mềm vượt trội cung cấp nhiều tính năng bảo mật hơn tường lửa của Windows Với Comodo Firewall, người dùng có thể theo dõi tốt hơn các kết nối ra vào và ngăn chặn các cuộc tấn công độc hại, đảm bảo dữ liệu luôn an toàn và bảo mật Phần mềm này tự động chuyển đổi máy chủ DNS của bạn sang máy chủ Comodo SecureDNS và kích hoạt tính năng "Cloud Based Behavior Analysis" để phát hiện các chương trình lạ ngay từ lần cài đặt đầu tiên.
Nhờ Comodo Firewall,người dùng có thể hiển thị các sự kiện trong hệ thống và nhận được thông báo tức thì ngay khi phát hiện một mối de dọa độc hại đang xâm nhập vào máy tính Nó sẽ cho phép người dùng thiết lập các quy tắc và đánh dấu những ứng dụng nào là tin cậy và không đáng tin, do đó ngăn chặn chúng không truy cập vào hệ thống của bạn và tiêu thụ tài nguyên của nó Các tính năng khác bao gồm giám sát những ứng dụng đang chạy, thiết lập mức độ bảo mật, tần số cảnh báo và nhiều tùy chọn firewall khác.
Một số tính năng chính:
-Đảm bảo chỉ những ứng dụng đáng tin cậy mới được phép khởi chạy trong PC.
-Ngăn chặn virus và phần mềm độc hại trước khi chúng truy cập máy tính.
Tích hợp Sandbox, môi trường hoạt động ảo cho các chương trình không đáng tin, giúp đảm bảo virus và phần mềm độc hại bị cô lập hoàn toàn khỏi máy tính.
-Firewall sẽ ghi nhớ phần mềm nào được phép hoạt động và thay đổi các cảnh báo của nó cho phù hợp.
-Hệ thống phân tích hành vi dựa trên đám mây sẽ phát hiện các loại phần mềm độc hại Zero-day ngay lập tức.
-Cung cấp cho người dùng khả năng lockdown máy tính, vì vậy chỉ những ứng dụng đáng tin mới có thể khởi chạy.
-Luôn tự động cập nhật chế độ bảo vệ mới nhất.
-Cung cấp hệ thống cảnh báo chính xác và cụ thể.
-Cho phép tường lửa quét ngay khi cài đặt và thêm tất cả ứng dụng hiện tại vào danh sách an toàn.
-Dễ dàng truy cập vào ảnh chụp của các thiết lập bảo mật hiện tại.
-Giao diện thân thiện với người dùng và nhỏ gọn.
3.2.2 Giải pháp nâng cao chất lượng nguồn nhân lực CNTT tại công ty Đào tạo, bồi dưỡng và phát triển chất lượng nguồn nhân lực CNTT là vấn đề cấp bách trước hết Hàng năm, công ty nên gửi nhân viên sang các nước phát triển về CNTT để học hỏi thêm kinh nghiệm, trình độ CNTT Công ty cũng nên tổ chức các khóa học về kiến thức chuyên sâu cho đội ngũ nhân viên CNTT.
Ngoài việc nâng cao kiến thức chuyên môn sâu và thực tế, công ty cần nâng cao các kỹ năng mềm cho nhân viên như: Kỹ năng giao tiếp ngoại ngữ, kỹ năng tư duy và làm việc độc lập, kỹ năng làm việc theo nhóm Một mặt công ty cần mở đợt tuyển dụng nhân viên mới được đào tạo chuyên môn kiến thức an toàn bảo mật thông tin sâu rộng, giàu năng lực có đạo đức tinh thần trách nhiệm cao, bao gồm cả những cá nhân tốt nghiệp chuyên ngành CNTT và HTTT quản lý Điều này sẽ trang bị tốt cho công ty, cũng là tạo sự thuận tiện trong công việc của cả bộ máy khi có hỗ trợ tin cậy từ phía các nhân viên này.
Để tăng cường an ninh mạng, công ty nên tổ chức các khóa đào tạo nâng cao kiến thức về an toàn bảo mật hệ thống thông tin (HTTT) cho toàn thể cán bộ, nhân viên Tăng cường cảnh giác với mọi hình thức tấn công mạng Thực hiện kiểm soát nội bộ chặt chẽ và ban hành các quy định riêng nhằm đảm bảo an toàn bảo mật HTTT cho công ty Ngoài ra, cần bổ sung nhân sự CNTT có trình độ đại học và kinh nghiệm trong an toàn bảo mật HTTT để nâng cao năng lực bảo vệ hệ thống trước các mối đe dọa mạng.
Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin khách hàng,nghiêm khắc xử lí trường hợp vi phạm.
MỘT SỐ KIẾN NGHỊ
Là người trực tiếp tìm hiểu và thực hiện nghiên cứu về hoạt động kinh doanh công ty cổ phần Điện tử Điện máy Thăng Long, hoạt động an toàn bảo mật thông tin của doanh nghiệp nói riêng, em xin đưa ra một vài kiến nghị để giúp doanh nghiệp có thể hoàn thiện công tác an toàn bảo mật thông tin Đó là:
- Đẩy mạnh tuyên truyền nâng cao nhận thức của doanh nghiệp về ATBM HTTT.
- Đầu tư phát triển cơ sở hạ tầng.
- Đào tạo nguồn nhân lực cho ATBM HTTT: Để đẩy mạnh chương trình ATBM
HTTT thì nhu cầu về nguồn nhân lực am hiểu CNTT và có trình độ chuyên môn là rất cần thiết.
- Cập nhật trang thiết bị phần cứng, phần mềm để thích ứng với những giải pháp mới về an toàn bảo mật thông tin trong hệ thống mạng của doanh nghiệp.
- Các trang thiết bị về công nghệ thông tin phải được kiểm tra thường xuyên, khắc phục các lỗi và trục trặc nhanh chóng và kịp thời.
- Đầu tư thêm cơ sở hạ tầng máy móc phục vụ cho tất cả các hoạt động trong công ty.
- Nhanh chóng đầu tư thêm cơ sở hạ tầng máy móc phục vụ cho tất cả các hoạt động trong công ty Đầu tư thêm một số thiết bị bảo mật, phần mềm chuyên dụng trong lĩnh vực đảm bảo an ninh mạng, xây dựng các mô hình mạng an toàn là những việc cần thiết.
- Mở các chiến dịch trang bị và nâng cao nguồn nhân lực cho mình Một mặt tự đào tạo cho nhân viên trong công ty, cần thúc đẩy trang bị thêm kiến thức an toàn bảo mật thông tin cho nhân viên hoặc gửi đi đào tạo tại các website, các doanh nghiệp lớn hơn Một mặt công ty cần mở đợt tuyển dụng nhân viên mới được đào tạo chuyên môn kiến thức an toàn bảo mật thông tin sâu rộng, giàu năng lực có đạo đức tinh thần trách nhiệm cao, bao gồm cả những cá nhân tốt nghiệp chuyên ngành CNTT và HTTT quản lý Điều này sẽ trang bị tốt cho công ty, cũng là tạo sự thuận tiện trong công việc của cả bộ máy khi có hỗ trợ tin cậy từ phía các nhân viên này.
Hiện nay, vấn đề an toàn bảo mật thông tin đang là vấn đề nhức nhối đối với các doanh nghiệp Càng ngày các hình thức tấn công vào hệ thống ngày càng tinh vi, hiện đại, nguy hiểm và có quy mô lớn hơn An toàn của hệ thống luôn bị đe dọa bởi những nguy cơ tấn công luôn tiềm ẩn ở bên ngoài hệ thống.Chỉ một sai lầm nhỏ cũng có thể dẫn đến những hậu quả khôn lường.Vì vậy an toàn thông tin đóng một vai trò hết sức quan trọng và cần được sự quan tâm rất lớn từ phía các công ty.Việc thường xuyên cập nhật các công nghệ cũng như có những chính sách và sự đầu tư đúng đắn và dài hơn vào an toàn bảo mật sẽ làm cho hệ thống trở nên an toàn và vững chắc từ đó hệ thống sẽ hoạt động tốt hơn và đẩy mạnh được hiệu quả công việc.
Công ty Cổ phần Điện tử Điện máy Thăng Long ý thức được mức độ nguy hiểm và hậu quả của các cuộc tấn công mạng, do đó đã thực hiện các chính sách và đầu tư vào bảo mật cho hệ thống của mình Một trong những biện pháp quan trọng là dự án xây dựng tường lửa, nhằm nâng cao mức độ an toàn cho hệ thống thông tin của công ty Bằng cách chủ động bảo vệ hệ thống, Thăng Long hy vọng sẽ ngăn chặn những cuộc tấn công mạng và đảm bảo an toàn cho dữ liệu và hoạt động kinh doanh của mình.
Sau một tháng tìm hiểu, nghiên cứu và thực tập tại công ty cổ phần Điện tử Điện máy Thăng Long bằng các phương pháp sử dụng phiếu khảo sát, phỏng vấn trực tiếp, em đã tìm hiểu và đánh giá được thực trạng ứng dụng công nghệ thông tin và an toàn bảo mật của hệ thống thông tin kinh tế tại công ty Từ đó em cũng đã chủ động đưa ra một số giải pháp như sau: xây dựng firewall, nâng cao chất lượng nguồn nhân lực
Quá trình nghiên cứu đã giúp em ôn tập và tổng hợp lại những kiến thức về an toàn bảo mật và có được những kiến thức thực tế qua quá trình thực tập tại công ty cổ phần Điện tử Điện máy Thăng Long Mặc dù em đã có nhiều cố gắng nhưng do điều kiện về thời gian có hạn cũng như những hạn chế về kiến thức của bản thân nên trong quá trình thực hiện đề tài không tránh khỏi được những sai sót Do đó, em rất mong các thầy cô giáo nhận xét và đóng góp ý kiến để khóa luận này được hoàn thiện.
1 Đàm Gia Mạnh (2011), Giáo trình An toàn dữ liệu trong Thương mại điện tử, Nhà xuất bản Thống kê, Hà Nội
2 Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Đại học Thương mại.
3.Đàm Gia Mạnh (2010), Mạng máy tính và truyền thông, NXB Thông tin và truyền thông
3.Đàm Gia Mạnh (2010), Mạng máy tính và truyền thông, NXB Thông tin và Truyền thông.
4 Phan Đình Diệu (2012),Giáo trình “Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc Gia Hà Nội.
5 Nguyễn Khanh Văn (2015), Giáo trình cơ sở an toàn thông tin, NXB Bách Khoa Hà Nội
6 Nguyễn Hiếu Minh, Phạm Công Thành, Hồ Kim Giàu, Trần Lê Hoàng Tuấn
(2015), “Giải pháp bảo đảm an toàn cơ sở dữ liệu trong môi trường OUTSOURCE”,
7 William Stallings (2016), Cryptography and network security principles and practices, 7Th Edition
8 Jean-Philippe Aumasson (2017), Serious Cryptography: A Practical Introduction to Modern Encryption
10 Kuinam J Kim, Hyuncheol Kim, Nakhoon Baek (2017), IT Convergence and Securit, Springer.
11 Giải pháp phát hiện và phòng chống tấn công mạng của Firewall WatchQuard (Bài báo trên trang web antoanthongtin.vn)
12 Trang web: https://quantrimang.com/bao-mat-wi-fi-lua-chon-giai-phap-nao- 18709
13 Trang Web Luật an ninh mạng: https://luatvietnam.vn/an-ninh-quoc-gia/luat- an-ninh-mang-2018-luat-an-ninh-mang-so-24-2018-qh14-164904-d1.html
14 Trang web: https://securitybox.vn
15 Bộ môn HTTT và TMĐT, slide mạng máy tính và truyền thông trên học liệu TMU( 2018) https://tmu.edu.vn/vi/download/BM-CNTT/Mang-may-tinh-va-truyen-thong- 589.html
16 Bộ môn HTTT và TMĐT, slide Quản trị HTTT DN trên học liệu TMU( 2018) https://tmu.edu.vn/vi/download/BM-CNTT/Quan-tri-HTTT-DN.html
