TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
Tầm quan trọng, ý nghĩa của đề tài
Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vực nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thông tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đưa ra nhưng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự thay đổi của xã hội.
Ngày nay, với sự phát triển của CNTT, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp con người đến gần nhau hơn Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển Vì vậy, trong quá trình quản lý các cơ quan, công ty phải thấy rõ được tầm quan trọng của HTTT Nó không những giúp công ty đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất, giúp cho các công ty có đủ sức cạnh tranh với thị trường trong và ngoài nước.
Có thể coi HTTT như là thành phần quan trọng của công ty, nó quyết định mọi hoạt động hàng ngày của công ty Nhưng cũng chính vì tầm quan trọng đó mà khiHTTT bị mất an toàn có thể gây thiệt hại nặng nề cho công ty ví dụ như việc tin tặc tấn công vào hệ thống phát thanh và màn hình hiển thị thông tin chuyến bay tại sân bay Nội Bài, Tân Sơn Nhất vào chiều 29-7-2016, hiển thị nội dung kích động, xuyên tạc về biển Đông Cũng trong thời điểm này, trang web của hãng hàng không VietnamAirlines cũng bị thay đổi nội dung, làm rò rỉ thông tin của 400.000 khách hàng thân thiết Sự cố không gây ảnh hưởng đến hệ thống kiểm soát an toàn bay nhưng đã khiến hơn 100 chuyến bay bị ảnh hưởng Cũng trong tháng 8-2016, vụ khách hàng Na
Hương bị tin tặc rút 500 triệu đồng trong tài khoản Vietcombank mà không cần mã xác thực OTP gửi về điện thoại đã gây xôn xao cộng đồng mạng Nguyên nhân ban đầu được xác định do người dùng truy cập nhầm vào các trang web giả mạo có giao diện giống hệt Vietcombank và bị đánh cắp thông tin Các đối tượng lừa đảo đã chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian tại ba ngân hàng khác nhau tại Việt Nam Sau đó tiến hành rút 200 triệu đồng qua ATM ở Malaysia Bằng các biện pháp nghiệp vụ, Vietcombank đã kịp thời giữ lại 300 triệu đồng Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT công ty.
Công tyTNHH Thương Mại và Xuất Nhập Khẩu ADT chuyên cung cấp các sản phẩm về rượu vang và phụ kiện kết hợp với rượu Công ty do vẫn chưa có ý định tiến sâu vào thị trường thương mại điện tử và vẫn chủ yếu kinh doanh bằng phương pháp truyền thống nên vẫn chưa có sự đầu tư đúng mức cho vấn đề ATBM HTTTcủa mình. Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, tính nhất quán chưa cao
Do đó qua quá trình tìm hiểu và thực tập tại công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT em xin thực hiện đề tài khoá luận: “ Một số giải pháp nhằm nâng cao an toàn thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT ”.
Tổng quan vấn đề nghiên cứu
An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình, nghiên cứu chuyên sâu về vấn đề này Tuy nhiên, mỗi công trình nghiên cứu về những khía cạnh riêng của hệ thống thông tin, thương mại điện tử, …
-William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall [1]
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày nay Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hoá chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại.
-Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons [2]
Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên tắc , các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đó truy cập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất lượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet.
-Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,NXB Thống Kê [3]
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình.
-Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa [4]
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể.
-Ngày 2/3/2015, công ty Open Whisper Systems thông báo phát hành phiên bản 2.0 của ứng dụng Signal trên iOS Điều đặc biệt là phiên bản này cho phép người dùng gửi tin nhắn được mã hóa tại thiết bị đầu cuối một cách miễn phí tới người dùng Redphone và TextSecure (các ứng dụng Android mà Open Whisper Systems hỗ trợ, thực hiện việc mã hóa các cuộc gọi và tin nhắn) [5]
Trước đây, dịch vụ nhắn tin bảo mật giữa các nền tảng khác nhau thường bị tính phí theo tháng và người dùng cả hai đầu (gửi và nhận) đều phải trả tiền Signal và TextSecure độc đáo ở chỗ chúng dùng tính năng mã hóa chuyển tiếp: sinh các khóa tạm thời cho mỗi thông điệp, đồng thời vẫn cho phép gửi thông điệp không đồng bộ thông qua cơ chế đẩy các notification và "prekeys" Signal còn cho phép người dùng bật tính năng bảo mật màn hình để ngăn iOS chụp ảnh màn hình khi ứng dụng đang hoạt động.
Open Whisper Systems đã mở đường cho các ứng dụng bảo vệ tính riêng tư bằng cách tạo giao diện cho những người không biết nhiều về mã hóa cũng có thể sử dụng chúng Ngoài ra, họ còn chuyển ứng dụng của mình thành dạng nguồn mở để các chuyên gia có thể thẩm định và các ứng dụng nhắn tin khác có thể sử dụng lại Tháng 11/2014, phần mềm Whatsapp đã triển khai giao thức của Open Whisper Systems cho
500 triệu người dùng của hãng này Tuy nhiên, việc giao tiếp với người dùng iOS từ điện thoại Android vẫn là một thách thức lớn.
Việc mã hóa tin nhắn và các cuộc gọi đang được đặc biệt quan tâm trong thời gian gần đây, sau khi The Intercept công bố thông tin do Edward Snowden tiết lộ về việc NSA và GCHQ đã đánh cắp được hàng triệu khóa mã hóa của các thẻ SIM của Gemalto – nhà sản xuất SIM hàng đầu thế giới.
Thành công: Đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránh các tấn công gây mất an toàn thông tin cũng như biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay.
Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thương mại điện tử, hệ thống mạng hoặc website Vẫn chưa đi sâu nghiên cứu về nguy cơ mất an toàn HTTT, liên quan đến con người ( nhà quản trị mạng, nhân viên công nghệ thông tin )…
Khẳng định đề tài: “Một số giải pháp nhằm nâng cao an toàn thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT” không hề trùng lặp với bất kỳ đề tài nào đã nghiên cứu.
Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơ bản về an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp Từ đó, xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT để đưa ra những ưu nhược điểm Từ những đánh giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính an toàn bảo mật HTTT Giúp cho công ty nhận diện những nguy cơ và thách thức của vấn đề an toàn bảo mật HTTT Từ đó, có những giải pháp nâng cao tính an toàn bảo mật, ngăn chặn các nguy cơ tấn công HTTT hiện tại và tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
-Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT
-Đánh giá thực trạng an toàn bảo mật HTTT trong công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT dựa trên tài liệu thu thập được.
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mậtHTTT trong công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT.
Đối tượng và phạm vi nghiên cứu của đề tài
- Đối tượng của đề tài là vấn đề an toàn bảo mật thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT.
Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTT của công ty.
-Các chính sách phát triển đảm bảo ATBMthông tin trong công ty.
-Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của công ty.
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một công ty và trong giới hạn khoảng thời gian ngắn hạn Cụ thể:
-Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT tại công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT nhằm đưa ra một số giải pháp nâng cao an toàn bảo mật HTTT.
- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáo kinh doanh, số liệu được khảo sát từ năm 2014 giữa năm 2016, đồng thời trình bày các nhóm giải pháp, định hướng phát triển trong tương lai của công ty.
Phương pháp nghiên cứu của đề tài
1.5.1 Các phương pháp được sử dụng trong đề tài khoá luận
1.5.1.1 Phương pháp thu thập dữ liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phương pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện.
Phương pháp sử dụng phiếu điều tra:
- Nội dung: Bảng câu hỏi gồm 8 câu hỏi, các câu hỏi đều xoay quanh các hoạt động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối với công ty TNHH Thương Mại và Xuất NHập Khẩu ADT.
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty để thu thập ý kiến.
- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT.
Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty.
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty trong vòng 3 năm: 2014, 2015, 2016 được thu thập từ phòng hành chính,phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác.
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet.
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ các tài liệu đó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu.
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT
1.5.1.2 Phương pháp xử lý dữ liệu
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình hình nghiên cứu có liên quan đến trong đề tài Trong quá trình xử lý thông tin, ta cần chia thông tin ra làm hai phương pháp chính:
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu Người dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng vấn, phiếu điều tra và các tài liệu thu thập được.
Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luận nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công tyTNHH Thương Mại và Xuất Nhập Khẩu ADT, để từ đó đưa ra các giải pháp phù hợp.
- Xử lý số liệu bằng excel, phần mềm.
Kết cấu khóa luận
Khóa luận bao gồm ba phần:
Chương 1: Tổng quan về đề tài nghiên cứu.
Chương 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT của công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT.
Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBM thông tin trong HTTT tại công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT.
CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN THÔNG
Cơ sở lý luận
2.1.1 Một số khái niệm cơ bản
2.1.1.1 Khái niệm thông tin, HTTT, dữ liệu và CSDL
Thông tin là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu…
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử dụng Thông tin được coi như một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu.
Khái niệm hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.
Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng Dữ liệu có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng Dữ liệu qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác nhau của con người.
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh.
Cơ sở dữ liệu: tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên các phương tiện lưu trữ như đĩa từ, băng từ v v nhằm thỏa mãn các yêu cầu khai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng.
2.1.1.2 Khái niệm an toàn và bảo mật CSDL
Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm.
Một hệ thống thông tin được coi là an toàn( security) khi thông tin không bị làm hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản Bảo mật trở nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng các công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên (các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) và lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống)
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin.
+ Bí mật nghĩa (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.
+ Tính trọn vẹn (Integrity) là bảo vệ sự chính xác hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.
+ Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất an toàn
Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thông tin CSDL.
Vai trò của an toàn bảo mật thông tin trong công ty:
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các công ty Đối với mỗi công ty, thông tin có thể coi là tài sản vô giá.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của công ty.
Do vậy, đảm bảo ATTT công ty cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của công ty
2.1.2 Một số lý thuyết về ATTT
Tại buổi tọa đàm, các chuyên gia CNTT đã cùng nhau phân tích đánh giá về hàng loạt vụ tấn công có chủ đích nhằm vào các hệ thống có tên miền ".vn" gần đây Theo thống kê, có tới 40% số website tại Việt Nam đang tồn tại lỗ hổng an ninh mạng và trung bình mỗi tháng lại có hơn 300 Website của các doanh nghiệp, tổ chức trong nước bị tấn công, cứ 10 website thì có 1 website có thể bị tấn công Đó chỉ là "bề nổi", còn thực tế số lượng lớn hơn rất nhiều.
Thống kê của VNCERT thì cho thấy chỉ trong nửa đầu năm 2016, tổng số sự cố an ninh mạng được VNCERT ghi nhận đã là 127.630 sự cố (gồm 8.758 sự cố Phishing, 77.160 sự cố Deface và 41.712 sự cố Malware), gấp hơn 4 lần so tổng sự cố an ninh mạng được trung tâm này ghi nhận trong năm 2015 và gấp gần 6,5 lần số sự cố diễn ra trong năm 2014 Với thực trạng này, không chỉ người dùng, doanh nghiệp mà cả Chính phủ đã phải nhìn nhận vấn đề một cách nghiêm túc về vấn đề an toàn thông tin.
Kết quả phân tích đánh giá thực trạng về vấn đề an toàn thông tin của công ty TNHH thương mại và xuất nhập khẩu ADT
2.2.1 Giới thiệu về Công tyTNHH thương mại và xuất nhập khẩu ADT
2.2.1.1 Thông tin cơ bản Được thành lập từ năm 2000, bắt đầu với 7 sản phẩm đến từ vùng Bourgogne - Dramont nước Pháp, đến nay ADT đã phát triển hàng trăm loại sản phẩm rượu vang cao cấp đến từ các hãng danh tiếng trên toàn Thế giới như: Les Grand Chais de France, DAD - Didier Absil Developpement, Chateaux Planeres Cộng hòa Pháp, Estban Martin, Santalba - với những vườn nho cổ hơn một trăm năm tuổi của Tây Ban Nha, Wine Trus Estate Australia, Robinson & Sincalair Nam Phi Hệ thống wine cellar & wine shop sẵn sàng cung cấp tới khách hàng các dịch vụ winestating chuyên nghiệp và các buổi tiệc thưởng thức rượu vang theo các chuyên đề như Wine is the love, wine with sex
- Công ty TNHH thương mại và xuất nhập khẩu ADT
- Địa chỉ: 73 Tôn Đức Thắng, Phường Quốc Tử Giám, Quận Đống Đa, Hà Nội
- Ngân hàng: BIDV sở giao dịch 1
- Tên giao dịch: ADT CO., LTD
- Giấy phép kinh doanh: 0101060189 Ngày cấp 19/01/2000
- Giám đốc: Nguyễn Thị Kim Dung
- Web: https://www.adtwine.vn
Sơ đồ 1: Cơ cấu bộ máy tổ chức Công ty TNHH thương mạivà xuất nhập khẩu ADT
( Nguồn: Tài liệu quản lý nội bộ công ty)
- Giám đốc: Là người đứng đầu đại diện theo pháp luật của công ty, là người quản lý, điều hành mọi hoạt động sản xuất kinh doanh Giám đốc có quyền bổ nhiệm, miễn nhiệm, cách chức các chức danh quản lý trong công ty, bảo vệ quyền lợi cho cán bộ nhân viên, quyết định lương và phụ cấp đối với người lao động trong công ty, phụ trách chung về vấn đề tài chính, đối nội, đối ngoại.
- Phó giám đốc: Là người quản lý các công việc tại công ty, thay thế giám đốc điều hành mọi công việc khi giám đốc đi vắng Tuy nhiên chịu trách nhiệm trước giám đốc về công việc được giao.
Như vậy, người trực tiếp lãnh đạo điều hành công ty là giám đốc, dưới giám đốc là phó giám đốc, dưới nữa là các phòng ban, mỗi phòng ban có nhiệm vụ cụ thể.
+ Phòng tài chính kế toán: Có nhiệm vụ làm các công việc thống kê - kế toán tài chính cho công ty, trợ giúp ban giám đốc trực tiếp chỉ đạo việc theo dõi tình hình tài chính, xác định nhu cầu về vốn, tình trạng luân chuyển vốn, tổ chức thực hiện công tác kế toán của công ty Theo dõi tình hình và sự biến động của các loại tài sản, tình hình kinh doanh, cung cấp thông tin kịp thời cho giám đốc và đóng góp ý kiến về hiệu quả hoạt động sản xuất kinh doanh, hợp nhất báo cáo tài chính công ty.
+ Phòng kinh doanh: Tìm kiếm và thuyết phục KH mới sử dụng sản phẩm của công ty, chăm sóc và giữ mối quan hệ với tập KH đã có, nhận và xử lý các đơn hàng, hợp đồng Phụ trách công tác xuất, nhập hàng hóa, phát triển thị trường, tiếp thu ý kiến và nhu cầu của KH để cải thiện, nâng cao chất lượng sản phẩm.
+ Phòng tổ chức hành chính-nhân sự: Phụ trách các vấn đề về nhân sự, tiền lương, các hoạt động văn hóa đoàn thể Tham mưu, cố vấn cho giám đốc về công tác quản lý và các phong trào hoạt động của công ty Có nhiệm vụ kê khai, làm các chứng từ của công ty.
+ Phòng thiết kế: Phụ trách giúp KH trong việc trang trí, các phụ kiện về rượu và giúp KH nếu có nhu cầu am hiểu tìm hiểu về từng loại rượu riêng biệt.
2.2.1.3 Các lĩnh vực kinh doanh của Công ty
Rượu – Nhập Khẩu và Phân Phối Rượu
May Mặc - Quần Áo Thời Trang
• Giày dép nữ thời trang
• Quần áo nữ thời trang
2.2.1.4 Tình hình hoạt động của công ty trong 3 năm gần nhất
Bảng 1.1: Kết quả kinh doanh ba năm gần đây từ năm 2014-2016
(Nguồn: Phòng tài chính kế toán)
2.2.1.5 Hạ tầng CNTT, HTTT của Công ty
Bảng 1.2: Thống kê sơ bộ về trang thiết bị.
STT Nhãn hiệu Cấu hình Loại máy Số lượng
- Bộ vi xử lý – CPU: Intel Core i5 (2 Core) 2.5Ghz Boost to 3.1 Ghz
- Bộ nhớ trong - RAM: 8Gb DDR3 1600Mhz
- Ổ đĩa cứng – HDD: 256Gb SSD
- Bộ vi xử lý đồ họa: Intel HD Graphics 4000
- Kích cỡ màn hình: 13,3” WSVGA (2560*1600)
- 2GB DDR3 Bus 1600Mhz, 500GB
- Kiểu Máy in: Laser đa chức năng.
- Tốc độ in: 27 trang /phút.
- Chức năng: In, Scan, Copy, Fax.
- Khay giấy tự động : 250 tờ
- Kết nối: USB 2.0 High Speed.
- 2.40GHz/1066MHz/12MB, 1x4 GB PC3-
10600 DDR3-1333 LP/288GB, SR M1015 RAID 0, 1, 10,Optional RAID 5
- O/Bay HS 2.5in SATA/SAS
(Nguồn: Phòng tài chính kế toán)
2.2.2 Phân tích thực trạng lý số liệu điều tra a) Khái quát về vấn đề xử lý thông tin trong Công ty
Nguồn thu thập thông tin
Thông tin rất quan trọng đối với công ty, do đó thông tin trong công ty cần phải được thu thập từ nhiều nguồn khác nhau nhằm đảm bảo tính đúng đắn và khách quan nhất.
Các nguồn thu thập thông tin của công ty:
Điều tra, nghiên cứu thị trường: phòng kinh doanh của công ty là bộ phận chủ chốt trong việc điều tra, nghiên cứu thị trường để đưa ra những dự báo và lập kế hoạch trong thời gian tới.
Báo, đài, các phương tiện truyền thông, mạng Internet
Thông tin từ các đối tác - khách hàng, nhà cung ứng: trước khi thực hiện giao dịch luôn có sự trao đổi giữa công ty với đối tác, từ đó hình thành nên nguồn thông tin của công ty.
Thông tin nội bộ công ty - thông tin từ ban giám đốc, các phòng ban: là thông tin, báo cáo tình hình hoạt động hàng ngày của công ty, là những chỉ thị từ ban giám đốc xuống các phòng ban.
Các nguồn khác: thông tin truyền miệng, quyết định, chỉ thị của các cơ quan hành chính…
Quy trình của thông tin
Thông tin trong quản lý kinh tế được tuân theo quy trình sau:
Thu thập Chọn lọc Xử lý
Bảo quảnThông tin vào
Hình 2.1 Quy trình thông tin trong quản lý kinh tế
(Nguồn: Bài giảng Tổ chức HTTT thông tin TT&TM, ĐH Thương mại)
Tại Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT, việc thu thập, chọn lọc, xử lý, phân loại và lưu trữ thông tin được thực hiện bởi phòng kinh doanh.
Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quan đến hoạt động của Công ty thông qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những thông tin nhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm thu gọn và giảm số lượng thông tin cần xử lý.
Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máy chủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm Ban giám đốc sẽ đưa ra quyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ công ty. Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm vụ của từng phòng, nhằm phục vụ hoạt động một cách hiệu quả nhất Do đó, mọi nhân viên trong Công ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếm thông tin phục vụ cho công việc của mình. b) Kết quả phân tích và xử lý dữ liệu điều tra
ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO AN TOÀN THÔNG TIN CHO CÔNG
Định hướng phát triển nâng cao an toàn thông tin cho công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT
Ở nước ta, khoảng mười năm trở lại đây thì công nghệ thông tin không còn xa lạ, và ngày càng được ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống xã hội, đặc biệt là lĩnh vực quản lý.
Ra đời và phát triển trong bối cảnh đó, Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT cần phải xác định những bước đi đúng đắn trong việc ứng dụng CNTT của mình để theo kịp những bước phát triển vượt bậc của xã hội.
Trong thời gian tới, Công ty định hướng tập trung phát triển các lĩnh vực kinh doanh nhằm:
- Đẩy mạnh tiếp thị, tìm kiếm các hợp đồng lớn.
- Tìm kiếm một số đối tác chiến lược lớn, mở rộng phạm vi phục vụ tới thị trường các nước lân cận.
- Mở rộng quy mô công ty trong 5 năm tới, xây dựng thêm 2 chi nhánh hoạt động trên các địa bàn khác.
- Mức tăng trưởng hàng năm đạt từ 25%-30% so với cùng kì.
Công ty định hướng phát triển HTTT với các mục tiêu cụ thể:
- Đảm bảo tính ATBM đối với mọi thông tin, dữ liệu trong hệ thống: thông tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty,… nhằm làm tăng khả năng cạnh tranh và uy tín của công ty trên thị trường.
Dựa trên những định hướng của ban lãnh đạo Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT, khóa luận sẽ đưa ra một số giải pháp nhằm hướng tới mục tiêu mà công ty đã đề ra.
Đề xuất giải pháp đảm bảo an toàn thông tin cho Công ty
3.2.1 Giải pháp nâng cấp thiệt bị về phần cứng
Hầu hết các công ty vừa và nhỏ của Việt Nam đều chưa chú ý tới bảo mật, do đó mạng kết nối Internet trong công ty được thả nổi và các nhân viên được tự do truy cập Internet mà không bị kiểm soát Bên cạnh các rủi ro về thất thoát thông tin, thì Internet còn lấy đi rất nhiều tiền bạc của công ty do trong giờ làm việc các nhân viên lại chú tâm vào đọc báo điện tử, chơi game, download, facebook, twitter…thay vì làm việc. Bên cạnh đó Internet thường xuyên gây ra tình trạng ngưng trệ công việc do máy tính bị nhiễm virus, phần mềm độc… Để tránh tình trạng này, Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT nên triển khai thiết bị bảo mật "cisco RV016 " của cisco :
Hình 3.1 Cisco RV016 Multi-WAN VPN Router Với các chức năng:
• An ninh mạnh: Cung cấp khả năng kiểm tra trạng thái gói tin (SPI) bức tường lửa và mã hóa phần cứng;
• Công suất cao, hiệu suất cao khả năng IPsec VPN;
• Web dịch vụ bảo mật dựa trên đám mây Tùy chọn Cisco ProtectLink cung cấp lọc URL động và bảo vệ mối đe dọa web;
• Tường lửa SPI, từ chối dịch vụ (DoS), bóng của cái chết, lũ lụt SYN, tấn công mặt đất, IP giả mạo, thông báo qua email cho hacker tấn công;
• Quy tắc truy cập : Lên đến 50 mục;
• Cổng chuyển tiếp :Lên đến 30 mục;
• Cổng kích hoạt : Lên đến 30 mục;
• Ngăn chặn: Java, cookies, ActiveX, HTTP proxy;
• Lọc nội dung : Chặn URL tĩnh hoặc chặn từ khóa;
• Lọc web: Tùy chọn dịch vụ Web bảo mật dựa trên đám mây của Cisco ProtectLink;
• Quản lý an toàn: HTTPS, tên người dùng / mật khẩu, mật khẩu phức tạp;
• VPN: khả năng kết nối giữa các chi nhánh và người dùng ở xa tới trụ sở chính.
Hình 3.2 Cấu hình điển hình Với quy mô Công ty hiện nay có thể coi sản phẩm này là thiết bị bảo mật khá toàn diện với chi phù hợp và phù hợp với thực trạng Công ty cổ phần công nghệ y dược Hà Nội
3.2.2 Giải pháp nâng cấp thiết bị về phần mềm a) Phần mềm mã hóa
Mã hóa dữ liệu là một trong những cách cơ bản nhất mà người dùng thường sử dụng để bảo vệ thông tin trên máy tính Người sử dụng cần tiến hành mã hóa các thông tin, dữ liệu quan trọng mà mình không muốn bất kỳ người dùng nào khác có thể đọc được Phần mềm mã hóa thì Công ty nên sử dụng GiliSoft File Lock Pro vì các chức nưng nổi trội:
• Ẩn dữ liệu: GiliSoft File Lock Pro có thể ẩn các tập tin, thư mục cá nhân và ổ đĩa của bạn, làm cho chúng trở nên “hoàn toàn vô hình” đối với người dùng và chương trình.
• Khóa dữ liệu: Bảo vệ các tập tin/thư mục/ổ đĩa bị khóa không bị truy cập. Người dùng không thể mở, đọc, chỉnh sửa, di chuyển, xóa, sao chép, đổi tên các tập tin/thư mục được bảo vệ mà không cần mật khẩu Các tập tin và thư mục con trong một thư mục bị khóa cũng được bảo vệ.
• Mã hóa dữ liệu: Chương trình có thể mã hóa bất kỳ tập tin và thư mục nào.
• Mã hóa di động: Gói và mã hóa một thư mục thành một file thực thi (exe file) với thuật toán mã hóa AES Bạn có thể mã hóa những dữ liệu quan trọng bằng phương pháp này, và sau đó gửi nó qua mạng hoặc các phương tiện khác để sử dụng trên máy tính mà không cần Gili File Lock Pro.
• Xóa an toàn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn dữ liệu nhạy cảm từ ổ đĩa cứng của bạn bằng cách ghi đè lên nó nhiều lần với các mẫu lựa chọn cẩn thận. Không ai có thể phục hồi dữ liệu bị xóa từ ổ đĩa cứng của bạn nếu bạn xóa nó an toàn. b) Phần mềm bảo mật
Triển khai phần mềm bảo mật với các tính năng chống virus, mã độc, thư rác trên các máy chủ, các thiết bị di động trong mạng để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms, ) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình quét virus của công ty trên máy chủ và các máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần.
Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT có thể sử dụng sản phẩm Bitdefender SBS Security cho Server và các máy lưu trữ dữ liệu chính ở mỗi phòng ban.
Bitdefender SBS Security một số tính năng đặc biệt như:
• Kiểm soát truy cập web và các ứng dụng
Giúp duy trì hiệu suất làm việc của nhân viên Công ty có thể kiểm soát những người sử dụng mạng xã hội hoặc các trang web chơi game trong giờ làm việc, hạn chế tải tập tin, quản lý Internet và truy cập ứng dụng của nhân viên Báo cáo chi tiết việc sử dụng mạng máy tính nhanh chóng và dễ dàng.
• Bảo vệ thời gian thực cho các hoạt động kinh doanh
Là một giải pháp bảo vệ đủ mạnh để đáp ứng nhu cầu bảo mật cho hoạt động kinh doanh của công ty Có thể chọn khi nào và bao lâu thì công ty nên sao chép dự phòng các dữ liệu kinh doanh có giá trị, các thông tin nhạy cảm được lưu trữ và chuyển giao an toàn trong các tập tin mã hóa, mật khẩu bảo vệ, chạy tiện ích quản lý các mật khẩu được tạo ra Và sử dụng các công nghệ tiên tiến để các dữ liệu nhạy cảm không thể phục hồi lại khi được xóa.
• Bảo vệ thời gian thực khỏi các mối đe dọa từ Internet
Với cơ sở dữ liệu phần mềm độc hại mạnh mẽ, được cập nhật thường xuyên và khả năng bảo vệ thời gian thực, điều này có giá trị rất lớn trong việc bảo vệ an toàn dữ liệu cho doanh nghiệp ngay cả khi xuất hiện các mối đe dọa mới nhất Có thể ẩn các quá trình quét để không làm phiền nhân viên trong quá trình làm việc, giúp họ tập trung vào công việc và đạt hiệu quả tốt nhất.
• Quản lý bảo mật tập trung cho máy chủ và máy trạm của bạn
Giao diện mạnh mẽ nhưng đơn giản giúp bảo vệ hệ thống mạng công ty một cách đơn giản Có thể quản lý và thiết lập bảo vệ toàn bộ hệ thống từ một máy tính, cho phép thực hiện quét virus và sao lưu, hoặc kiểm tra gia hạn bản quyền khi cần.
Bitdefender SBS Security đã được thiết kế đặc biệt để cung cấp tính năng bảo vệ hàng đầu thế giới cho mạng Công ty mà không cần đến một chuyên viên IT Vì vậy hệ thống mạng của Công ty vẫn sẽ được bảo vệ mà không cần phải tốn thời gian.
