TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU
Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
1.1.1 Tầm quan trọng của vấn đề nghiên cứu
Website là thương hiệu của một doanh nghiệp, là nơi khách hàng có thể tìm thấy các thông tin về công ty Nói cách khác, website chính là bộ mặt của doanh nghiệp trên Internet, nhằm nâng tầm thương hiệu, tăng độ uy tín của doanh nghiệp, thu hút các khách hàng tiềm năng và là một kênh quan trọng để doanh nghiệp tiếp thị sản phẩm của mình tới mọi nơi trên thế giới.
Tuy nhiên, nếu thông tin trên website không được bảo mật an toàn, khách hàng sẽ thấy thiếu sự tin tưởng đối với doanh nghiệp Các thông tin trong các website thường sẽ phải đối mặt với những nguy cơ mất an toàn như: bị truy cập bất hợp pháp, sao chép, Nguy hiểm hơn là khi các thông tin trong website bị thay đổi nội dung trước khi được chuyển đến cho người nhận. Đối với các tài liệu có các thông tin bí mật, nhạy cảm liên quan đến chiến lược kinh doanh, các số liệu thông tin về nhân sự, tổ chức… khi trao đổi trong hệ thống mà không có một biện pháp nào để bảo vệ thì nguy cơ bị mất an toàn và bảo mật là vô cùng lớn và như vậy hậu quả của việc mất an toàn và bảo mật dữ liệu là không thể lường được Chính vì vậy, bảo đảm được an toàn và bảo mật website là vấn đề rất quan trọng đối với mỗi doanh nghiệp hiện nay Nó sẽ quyết định đến sự phát triển và bền vững của công ty trong nền kinh tế thị trường ngày nay.
1.1.2 Ý nghĩa của vấn đề nghiên cứu
1.1.2.1 Ý nghĩa về mặt nghiên cứu
Cùng với sự phát triển mạnh mẽ của CNTT thì vấn đề ATBM website lại càng cần được quan tâm nhiều hơn trong mỗi doanh nghiệp Mức độ gặp rủi ro và mất an toàn cho dữ liệu càng cao và nghiêm trọng Vì vậy, việc đảm bảo ATBM website có ý nghĩa rất quan trọng đối với sự phát triển bền vững cũng như uy tín của doanh nghiệp Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động sản xuất kinh doanh của doanh nghiệp, ảnh hưởng lớn đến uy tín và danh dự của doanh nghiệp.
1.1.2.2 Ý nghĩa về mặt thực tiễn
Công ty TNHH Việt Bis là một công ty chuyên về lĩnh vực bán hàng, cho thuê thiết bị văn phòng Do đó, việc đảm bảo ATBM thông tin là rất cần thiết Mặc dù ban lãnh đạo công ty đã quan tâm đến vấn đề ATBM thông tin nhưng tình trạng hệ thống thông tin bị tấn công vẫn xảy ra
Hiện nay, việc áp dụng một số giải pháp đảm bảo an toàn và bảo mật thông tin cho HTTT đang được công ty chú trọng và triển khai Vì vậy, đề tài “Một số giải pháp bảo mật cho website của công ty TNHH Việt Bis” là rất cần thiết cho hoạt động của công ty.
Tổng quan về tài liệu liên quan đến nội dung đề tài
Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về an toàn và bảo mật thông tin được ra đời như:
Bộ kinh nghiệm để tổ chức đảm bảo an toàn an ninh thông tin cho sản phẩm và doanh nghiệp ISO 27001 đã tạo ra một hệ thống theo dõi và duy trì như tính bảo mật thông tin, tính sẵn có của thông tin, tính chính xác của công ty Tài liệu này cũng nêu ra các hình thức tấn công website Em sẽ dùng tài liệu này vào Phần 2.1: Cơ sở lý luận của đề tài.
Tài liệu 2: Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống kê.
Giáo trình này đưa ra những kiến thức cơ bản liên quan đến an toàn dữ liệu trong thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT và các nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT Ngoài ra, trong giáo trình này cũng đề cập đến một số thông tin về các nguy cơ tấn công và phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp Tài liệu giới thiệu một số ứng dụng của công nghệ trong đảm bảo an toàn, bảo mật thông tin và các biện pháp khắc phục hậu quả phổ biến hiện nay Qua tài liệu này giúp em có cơ sở để đưa ra các lý thuyết về khái niệm an toàn thông tin
Tài liệu 3: Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài
“Bảo mật và an toàn thông tin trong thương mại điện tử, đại học Bách Khoa”
Luận văn đưa ra khái niệm, mục tiêu, yêu cầu an toàn thông tin cũng như các nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công Đề tài cũng đề cập đến các kỹ thuật chính của lĩnh vực bảo mật và an toàn thông tin trong thương mại điện tử. Luận văn này cũng đã đưa ra một số vấn đề mật mã và an ninh mạng, khám phá những vấn đề cơ bản của công nghệ và an ninh mạng Em dùng tài liệu này trong
Phần 2.1: Cơ sở lý luận của đề tài và Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.Tài liệu 4: William Stallings(2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày nay Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hài và những kẻ xâm hại Em dùng tài liệu này trong Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.
Tài liệu 5: Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào mạng Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất lượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet Phần3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.
1 1.3 Mục tiêu nghiên cứu đề tài
Mục tiêu nghiên cứu đề tài này: Đưa ra cơ sở lý luận về an toàn và bảo mật hệ thống thông tin Tìm hiểu vai trò của việc đảm bảo an toàn website cho doanh nghiệp.
Tìm hiểu, phân tích và đánh giá thực trạng vấn đề an toàn bảo mật website của doanh nghiệp.
Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mật website có thể áp dụng với doanh nghiệp như an toàn lưu trữ thông tin, CSDL, an toàn bảo mật đường truyền,
2 1.4 Đối tượng và phạm vi nghiên cứu đề tài
3 1.4.1 Đối tượng nghiên cứu đề tài Đối tượng mà bài nghiên cứu hướng tới đó là vấn đề an toàn bảo mật website tại công ty TNHH Việt Bis, các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn và bảo mật website của doanh nghiệp
Nghiên cứu các bài báo, sách, giáo trình, website,…về vấn đề an toàn bảo mật website Các chính sách phát triển đảm bảo an toàn bảo mật website trong công ty Các giải pháp ATBM trên thế giới áp dụng được cho website của doanh nghiệp.
4 1.4.2 Phạm vi nghiên cứu đề tài
Bài nghiên cứu sẽ tập trung trong phạm vi:
Về không gian: đề tài tập trung nghiên cứu tình hình an toàn bảo mật webite tại công ty TNHH Việt Bis nhằm đưa ra một số giải pháp nâng cao an toàn bảo mật website.
Về thời gian: Thời gian làm khóa luận trong 9 tuần, từ ngày 22/02/2017 đến
1.5 Phương pháp thực hiện đề tài
5 1.5.1 Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet và các bài báo Phân tích, tổng hợp các tài liệu có liên quan đến đề tài.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi
Phương pháp xử lý dữ liệu: Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2013 – 2014, từ phiếu điều tra và tài liệu thống kê khác phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán: Tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu.
Kết cấu của bài khóa luận
MẬT WEBSITE CỦA CÔNG TY TNHH VIỆT BIS
2.1 Cơ sở lý luận của đề tài
2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật website
* Khái niệm bảo mật website
Ngày nay, thuật ngữ website được sử dụng rất phổ thông, người người, nhà nhà đều có thể truy cập một website ở bất kì đâu có kết nối internet hoặc có kết nối sóng di động Với các doanh nghiệp, cá nhân thường xuyên tương tác với cộng đồng online thì website là công cụ tốt nhất và duy nhất giúp họ quảng bá hình ảnh, sản phẩm, thông tin, của mình Và từ đó các dịch vụ thiết kế web chuyên nghiệp ra đời nhằm đáp ứng điều đó.
Website được hiểu là trang thông tin điện tử Tại đó, website được lưu trữ bởi nhiều page (trang) khác nhau, chuyển hóa linh động dựa trên liên kết Mỗi Page (trang) của website chứa một thông tin, nội dung khác nhau nhằm mục đích đáp ứng nhu cầu tìm đọc tin tức, sản phẩm của người dùng
Bảo mật website là bảo vệ an toàn những thông tin trước những "tay" chuyên rình mò thông tin của người khác Bảo mật website bao gồm bảo mật thông tin, bảo mật cơ sở dữ liệu và đường truyền
* Khái niệm về dữ liệu
Trong lịch sử tồn tại và phát triển, con người thường xuyên cần đến thông tin và khái niệm “thông tin” đang trở thành khái niệm cơ bản Với sự bùng nổ thông tin như hiện nay, thông tin ngày càng trở thành nhu cầu cần thiết đối với con người Để đưa ra được khái niệm thông tin, trước hết ta cần hiểu như thế nào là dữ liệu?
CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO MẬT WEBSITE CỦA CÔNG TY TNHH VIỆT BIS
Cơ sở lý luận của đề tài
2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật website
* Khái niệm bảo mật website
Ngày nay, thuật ngữ website được sử dụng rất phổ thông, người người, nhà nhà đều có thể truy cập một website ở bất kì đâu có kết nối internet hoặc có kết nối sóng di động Với các doanh nghiệp, cá nhân thường xuyên tương tác với cộng đồng online thì website là công cụ tốt nhất và duy nhất giúp họ quảng bá hình ảnh, sản phẩm, thông tin, của mình Và từ đó các dịch vụ thiết kế web chuyên nghiệp ra đời nhằm đáp ứng điều đó.
Website được hiểu là trang thông tin điện tử Tại đó, website được lưu trữ bởi nhiều page (trang) khác nhau, chuyển hóa linh động dựa trên liên kết Mỗi Page (trang) của website chứa một thông tin, nội dung khác nhau nhằm mục đích đáp ứng nhu cầu tìm đọc tin tức, sản phẩm của người dùng
Bảo mật website là bảo vệ an toàn những thông tin trước những "tay" chuyên rình mò thông tin của người khác Bảo mật website bao gồm bảo mật thông tin, bảo mật cơ sở dữ liệu và đường truyền
* Khái niệm về dữ liệu
Trong lịch sử tồn tại và phát triển, con người thường xuyên cần đến thông tin và khái niệm “thông tin” đang trở thành khái niệm cơ bản Với sự bùng nổ thông tin như hiện nay, thông tin ngày càng trở thành nhu cầu cần thiết đối với con người Để đưa ra được khái niệm thông tin, trước hết ta cần hiểu như thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh sự vậy, hiện tượng trong thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,…), phù hợp với mục đích người sử dụng
Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhận được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”
Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”
*Khái niệm về Cơ sở dữ liệu
Cơ sở dữ liệu (viết tắt là CSDL) được hiểu theo cách định nghĩa kĩ thuật là một tập hợp thông tin có cấu trúc Thuật ngữ này thường dùng trong công nghệ thông tin và nó được hiểu rõ hơn dưới dạng một tập hợp liên kết các dữ liệu Dữ liệu này được duy trì dưới dạng một tập hợp các tập tin trong hệ điều hành hay lưu trữ trong các hệ quản trị cơ sở dữ liệu.
*Khái niệm về Hệ thống thông tin
Hệ thống thông tin là hệ thống bao gồm các yếu tố có quan hệ với nhau, chúng cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và cung cấp một cơ chế phản hồi để đạt được mục tiêu định trước.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển
*Khái niệm về an toàn và bảo mật thông tin
An toàn thông tin : Một hệ thống thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật thông tin: Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép; là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
*Khái niệm đường truyền Đường truyền: Là hệ thống các thiết bị truyền dẫn có dây hay không dây, dùng để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ Tùy theo tần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu Các đường truyền dữ liệu tạo nên cấu trúc của mạng.
2.1.2 Đảm bảo an toàn và bảo mật thông tin trong website Đối với mỗi doanh nghiệp, thông tin của website có thể coi là tài sản vô giá Xây dựng một hệ thống thông tin an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn và tác động không nhỏ đến việc giảm thiểu chi phí quản lý, hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh.
Do vậy, đảm bảo ATBM thông tin website cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp An toàn thông tin bao gồm các nội dung sau:
Thực trạng về an toàn bảo mật tại Công ty TNHH Việt Bis
2.2.1 Giới thiệu chung về Công ty TNHH Việt Bis
Tên công ty: Công ty TNHH Việt Bis
Ngành nghề kinh doanh: Cung cấp, cho thuê thiết bị máy văn phòng
Trụ sở công ty: Số 22 ngõ 521/37 Trương Định - Tân Mai - Hoàng Mai – Hà Nội Điện thoại: (04) 3538 0308
Công ty TNHH Việt Tâm được thành lập ngày 18 tháng 6 năm 2012 Sau hợp nhất với bộ phận phận kinh doanh thương mại (BU COM) thuộc công ty CP Đầu tư Thương mại và Dịch vụ B.I.S (thành lập tháng 9 năm 2010) và lấy tên " Công ty
Việt Bis đã, đang và sẽ phấn đấu để trở thành công ty dẫn đầu về công ty dẫn đầu về cung cấp máy in, mực in, máy văn phòng với nền tảng cốt lõi là dịch vụ.
Việt Bis luôn luôn thay đổi cách thức thực hiện dịch vụ để mang đến khách hàng sản phẩm có giá trị sử dụng phù hợp, kinh tế nhất Đồng thời, nâng cao thu nhập cho nhân viên với môi trường làm việc cạnh tranh và sáng tạo
*Sơ đồ bộ máy tổ chức trong công ty:
Ban lãnh đạo công ty
Phòng Hành Phòng Phòng Quản Phòng kỹ
Sơ đồ 2.1: Cơ cấu tổ chức công ty TNHH Việt Bis
(Nguồn: Phòng Hành chính – Nhân sự)
Chức năng của từng phòng ban:
Hội đồng quản trị là cơ quan quản lý cao nhất của công ty TNHH Việt Bis Đảm bảo hoạt động đúng nguyên tắc, chịu trách nhiệm trong việc điều hành công ty và sự nhất quán trong việc duy trì tiêu chí thích hợp trong tổ chức, quản lý Ban lãnh đạo công ty chịu trách nhiệm đưa ra các chiến lược cho toàn công ty về kế hoạch đầu tư, kinh doanh và xây dựng thương hiệu cho công ty trong thời gian ngắn hạn và tầm nhìn dài hạn.
Phòng Tài chính – Kế toán làm nhiệm vụ tổ chức hạch toán, kế toán, quy định quản lý nguồn vốn, quản lý việc sử dụng và luân chuyển các loại vốn trong hoạt động kinh doanh, đầu tư Phòng Hành chính – Nhân sự thực hiện tham mưu cho Hội đồng quản trị và Giám đốc công ty về vấn đề tổ chức bộ máy, quản trị nhân sự, quản trị văn phòng, an toàn và vệ sinh môi trường.
Phòng Quản lý sản xuất sẽ quản lý kế hoạch, kỹ thuật sản xuất, sử dụng máy móc, thiết bị trong hoạt động sản xuất kinh doanh, chịu trách nhiệm tổ chức kế hoạch sản xuất công ty giao Phòng kỹ thuật tiến hành kiểm tra, sửa chữa các thiết bị máy văn phòng
*Lĩnh vực kinh doanh của công ty:
- Cung cấp thiết bị máy văn phòng
- Cung cấp mực in, linh kiện tiêu hao cho thiết bị máy văn phòng
- Cung cấp dịch vụ cho thuê máy in, máy văn phòng
- Cung cấp dịch vụ chăm sóc máy in trọn gói
Hình 2.1 Trang website của Công ty TNHH Việt Bis
Công ty hiện đã có website để cung cấp, giới thiệu các sản phẩm của công ty. Website của công ty là nơi quảng bá, giới thiệu sản phẩm tới khách hàng Là diễn đàn để các khách hàng, đối tác và những người quan tâm có thể tham gia đóng góp, trao
Website của công ty cũng chính là địa chỉ liên lạc giúp khách hàng, đối tác tiếp cận sản phẩm một cách dễ dàng thông qua email hoặc chat trực tiếp với nhân viên kinh doanh và bộ phận CSKH của công ty trên website
2.2.2 Thực trạng chung về doanh nghiệp
2.2.2.1 Thực trạng về tình hình tài chính của công ty
Trải qua nhiều giai đoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở mức khá cao Dưới đây là bảng đánh giá tình hình tài chính kinh doanh của công ty 3 năm gần nhất: 2014, 2015, 2016.
Bảng 2.1: Báo cáo kết quả kinh doanh của công ty TNHH Việt Bis Đơn vị tính: triệu đồng
Nội dung Năm Tăng/giảm (%)
(Nguồn: Báo cáo tài chính công ty giai đoạn 2014-2016)
Thông qua báo cáo kết quả kinh doanh của công ty giai đoạn 2014 – 2016, ta thấy tình hình hoạt động kinh doanh của công ty có sự chuyển biến khá mạnh Từ
2014 – 2016, doanh thu đã có sự tiến bộ đáng kể và lợi nhuận cũng được tăng lên mạnh mẽ.
Nguyên nhân là do năm 2014, công ty tập trung đầu tư nâng cao trang thiết bị,máy móc Cùng với đó, công ty áp dụng thêm nhiều hình thức quảng cáo hình ảnh, sản phẩm dịch vụ văn phòng nên tới năm 2015, 2016, doanh thu và lợi nhận của công ty tăng lên nhanh chóng so với các năm trước.
Có được những thành quả như vậy là nhờ sự nỗ lực của ban lãnh đạo, sự đồng tâm nhất trí phấn đấu của cán bộ công nhân viên Hơn nữa, trên đà phát triển công nghiệp hóa – hiện đại hóa là lợi thế cho công ty TNHH Việt Bis tiếp tục đầu tư và phát triển công ty trong lĩnh vực này để tạo nên những bước đột phá mới
2.2.2.2 Thực trạng về trang thiết bị cho công nghệ thông tin, hệ thống thông tin tại công ty
*Các loại phần cứng trong công ty
Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty
STT Tên Số lượng Mục đích sử dụng Năm Ghi chú
Dùng quản lý tất cả các máy client, user của các phòng ban có trong công ty,
Chạy hệ điều hành Windows 7 được cài đặt hệ điều hành hệ quản trị CSDL SQL Server 2008 Ngoài ra, trên server này còn được sử dụng làm file server.
Phục vụ cho các cán bộ nhân viên trong từng bộ phận công việc khác nhau.
Tất cả các máy client đều được chạy trên hệ điều hành windows 7 Trên đó cài đặt các ứng dụng văn phòng và những ứng dụng phục vụ cho nhu cầu của mỗi phòng ban.
3 Máy in 2 Phục vụ cho hoạt động Từ năm Các máy in canon NP- in ấn các tờ quảng cáo Phục vụ việc in ấn các tài liệu, hồ sơ, báo cáo của công ty.
FT-5632 được chia sẻ trên mạng phục vụ việc in ấn cho các phòng ban trong công ty.
Dùng để nối các máy tính trong công ty.
Dùng cho các máy trong hệ thống mạng kết nối ra được internet.
Dùng để ngăn chặn các đối tượng truy cập trái phép, giúp hệ thống an toàn và bảo mật thông tin.
Phần mềm Comodo Free Firewall
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)
*Các phần mềm ứng dụng và công cụ hỗ trợ
Qua quá trình tìm hiểu thông tin thì công ty hiện nay đang sử dụng các phần mềm sau:
Phần mềm hệ thống: Toàn công ty đang sử dụng hệ điều hành Window win 7.
Công ty có trang bị hệ thống tường lửa (cả về phần cứng và phần mềm) để tránh những sự tấn công, truy nhập trái phép nhằm mục đích xấu từ bên ngoài Bên cạnh đó công ty cũng có những quy trình và chính sách bảo mật cụ thể, thường xuyên
GIẢI PHÁP, ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN BẢO MẬT WEBSITE TẠI CÔNG TY TNHH VIỆT BIS
Định hướng giải pháp an toàn và bảo mật website cho công ty
Đảm bảo tính an toàn bảo mật thông tin, dữ liệu trong hệ thống: thông tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty,… nhằm làm tăng khả năng cạnh tranh và uy tín của công ty trên thị trường.
Sử dụng các phần mềm hỗ trợ như Firewall của Cisco, sử dụng các giải pháp bảo mật đường truyền,…nhằm tránh tuyệt đối sự xâm nhập bên trong cũng như bên ngoài.
Tổ chức các chương trình đào tạo cho nhân viên nhằm nâng cao kiến thứcATBM thông tin trong doanh nghiệp.
Giải pháp nâng cao an toàn và bảo mật website cho công ty
3.2.1 An toàn và bảo mật dữ liệu website bằng các biện pháp phần cứng
Trong thời đại công nghệ phát triển như hiện nay, doanh nghiệp nào cũng sử dụng Internet, chính điều đó đã tạo điều kiện rất dễ xâm nhập ăn cắp dữ liệu, mà hơn hết các dữ liệu là tài sản vô cùng quý giá quyết định số mạng của doanh nghiệp
Do đó cần có các giải pháp hiệu quả để hệ thống máy tính của khách hàng luôn luôn được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
Sử dụng tường lửa cho phần cứng (Fire wall)
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó.
Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng
Công ty có sử dụng tường lửa Firewall để đảm bảo an toàn và bảo mật thông tin, tuy nhiên việc sử dụng Firewall của phần mềm có sẵn trên Windows chưa đáp ứng và chưa hiệu quả cho bảo mật website của công ty.
Hình 3.1: Tường lửa cho hệ thống mạng
Tường lửa phần cứng được được thiết kế để tối ưu cho firewall, có khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.
Firewall của Cisco: Đối với các dòng sản phẩm firewall của Cisco - dòng sản phẩm được rất nhiều doanh nghiệp có quy mô hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và giá thành phù hợp Cisco mới đây đã giới thiệu một thế hệ firewall hoàn toàn mới tên gọi first threat-focused Next-Generation Firewall (NGFW) firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phòng thủ nhằm bảo vệ hệ thống mạng cho người dùng.
Thế hệ Firewall mới của Cisco cũng được tích hợp tính năng kiểm soát ứng dụng, hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.
Theo Cisco, thiết bị firewall mới của hãng là một thiết bị duy nhất được thể kết hợp tường lửa, tính năng kiểm soát ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn công Điều này có nghĩa là thiết bị của hãng sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà còn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Trong bối cảnh hiện tại với các cuộc tấn công vào các hệ thống điều khiển/ngành công nghiệp và sự phát triển của các băng nhóm tội phạm mạng tinh vi, các tổ chức cần phải chủ động để có thể kiểm soát từng thay đổi dù rất nhỏ từ môi trường nhằm có những biện pháp bảo vệ tức thời Các thiết bị phần cứng Cisco ASA with FirePOWER Services thực sự là một bước tiến bộ trong thị trường NGFW, giúp tăng cường bảo vệ theo thời gian thực từ data center, hệ thống mạng cho đến từng thiết bị đầu cuối của khách hàng.
Cisco cho biết, khách hàng có thể chọn mua các thiết bị firewall Cisco ASA mới kèm giấy phép FirePOWER; hoặc các khách hàng đang sở hữu các firewall ASA5500-X hay 5585-X series có thể mua thêm giấy phép sử dụng FirePOWER cho hệ thống của mình.
Một môi trường cấu hình chung làm đơn giản hóa công việc quản lý và làm giảm chi phí đào tạo, trong khi thiết bị phần cứng chung của họ sản phẩm này làm giảm chi phí dự phòng
Sử dụng giao thức bảo mật đường truyền SSL Để bảo mật website, việc sử dụng các giải pháp bảo mật đường truyền là vô cùng cần thiết Vì vậy, để nâng cao hơn vấn đề bảo mật CSDL công ty nên chú trọng giải pháp bảo mật đường truyền để tranh mất mát giữ liệu trong quá trình lưu trữ, truyền và nhận dữ liệu.
SSL (Secure Sockets Layer) là một giao thức (protocol) cho phép bạn truyền đạt thông tin một cách bảo mật và an toàn qua mạng SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên toàn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường internet được an toàn., là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máy chủ Web server và trình duyệt (browser) Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên toàn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường internet được an toàn.Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền Để bảo vệ những thông tin mật trên mạngInternet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
Xác thực: Đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng
Một số kiến nghị
3.3.1 Điều kiện để áp dụng giải pháp
Giải pháp đảm bảo an toàn và bảo mật website của công ty bao gồm giải pháp phần cứng, giải pháp phần mềm và giải pháp con người Để thực hiện được các giải pháp này, công ty cần phải có cơ sở hạ tầng phù hợp hơn, nguồn nhân lực chất lượng cao hơn để có thể hoàn thành tốt công việc đảm bảo an toàn và bảo mật website của công ty.
3.3.2 Kiến nghị với doanh nghiệp
Trực tiếp tìm hiểu và thực hiện nghiên cứu về hoạt động kinh doanh công ty, hoạt động an toàn bảo mật website của trung tâm nói riêng, tôi xin đưa ra một vài kiến nghị với trung tâm để giúp trung tâm có thể hoàn thiện công tác an toàn bảo mật website Đó là: Nhanh chóng đầu tư thêm cơ sở hạ tầng máy móc phục vụ cho tất cả các hoạt động trong công ty Đầu tư thêm một số thiết bị bảo mật, phần mềm chuyên dụng trong lĩnh vực đảm bảo an ninh mạng, xây dựng các mô hình mạng an toàn là những việc cần thiết.
Mở các chiến dịch trang bị và nâng cao nguồn nhân lực cho mình Một mặt tự đào tạo cho nhân viên trong công ty, cần thúc đẩy trang bị thêm kiến thức an toàn bảo mật thông tin cho nhân viên hoặc gửi đi đào tạo tại các website, các doanh nghiệp lớn hơn Đào tạo nhân lực trong công ty
Công ty cần chú ý đến việc đào tạo và nâng cao kiến thức và kỹ năng CNTT cho nhân viên về CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu và thực tế, công ty cần nâng cao các kỹ năng mềm cho nhân viên như: Kỹ năng giao tiếp ngoại ngữ, kỹ năng tư duy và làm việc độc lập, kỹ năng làm việc theo nhóm
Ngày nay, với sự phát triển của công nghệ thông tin, website đã trở thành cầu nối chia sẻ, quảng bá sản phẩm của công ty đến gần hơn với khách hàng Các công ty có cơ hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh và chia sẻ thông tin Vì vậy, việc đảm bảo và nâng cao an toàn bảo mật website tại các doanh nghiệp được quan tâm hàng đầu.
Công ty TNHH Việt Bis đang phát triển, với việc mở rộng kinh doanh và tăng số lượng chi nhánh Cho nên vấn đề an toàn bảo mật website đối với công ty là rất quan trọng và cần thiết Công ty đã có có các giải pháp đảm bảo an toàn bảo mật website. Tuy nhiên, các giải pháp an toàn bảo mật của công ty chưa đồng bộ, vẫn còn một số lỗ hổng dẫn đến các nguy cơ bị tấn công Cho nên em đã đề xuất các giải pháp như: nâng cao việc lưu trữ và mã hoá dữ liệu, bảo mật đường truyền, sử dụng các phần mềm ngăn chặn các nguy cơ tấn công dữ liệu, nâng cấp hệ thống máy chủ trong công ty. Với đề tài “Một số giải pháp bảo mật cho website của công ty TNHH Việt Bis” là một đề tài đòi hỏi sự nghiên cứu lâu dài cả về mặt lý luận và thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng và kinh nghiệm về lĩnh vực này Là một sinh viên thực tập, do đó tầm hiểu biết, kinh nghiệm còn hạn chế, vì vậy trong khóa luận còn thiếu nhiều thiếu sót Kính mong các thầy giáo, cô giáo góp ý chỉnh sửa, bổ sung cho khóa luận của em hoàn chỉnh hơn.
Một lần nữa, em xin chân thành cảm ơn quý công ty, cảm ơn ThS Nguyễn ThịHội đã giúp đỡ tận tình và tạo điều kiện thuận lợi để em có thể hoàn thành tốt bài khóa luận tốt nghiệp
DANH MỤC TÀI LIỆU THAM KHẢO
[1] Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê.
[2] Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.
[3] Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons.
[4]William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005.
