CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU
Những khái niệm cơ bản
An toàn thông tin: Thông tin được coi là an toàn khi thông tin đó không bị làm hỏng hóc, không bị sửa đổi thay đổi, sao chép hoặc xóa bỏ bởi người không được phép (Bài giảng môn: An toàn và bảo mật Thông tin doanh nghiệp , Đại học
Bảo mật thông tin: Là ngăn chặn các truy cập không được phép, hạn chế tối đa các sai sót của người dùng, đảm báo các thông tin không bị mất hoặc bị thay đổi ngoài ý muốn, không tiết lộ nội dung dữ liệu, chương trình xử lý (Giáo trình mạng máy tính, 2008, NXB Thông tin và Truyền thông).
Hệ thống thông tin: Là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ thống mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo và phân phối, chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức (Giáo trình mạng máy tính ,2008, NXB Thông tin và Truyền thông).
Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo được ba đặc trưng sau:
+ Tính bí mật của thông tin
+ Tính toàn vẹn của thông tin
+ Tính sẵn sàng của thông tin
Ba đặc trưng có mối liên hệ mật thiết với nhau được xem như là mô hình tiêu chuẩn của các hệ thống thông tin bảo mật hay nói cách khác đây là ba thành phần cốt yếu của hệ thống thông tin bảo mật.
Tính bí mật của thông tin
Là thông tin chỉ được phép truy cập bởi những đối tượng (người, chương trình máy tính ) được cấp phép
Một số cách thức để đảm bảo tính bí mật của thông tin:
+ Khóa kín và niêm phong thiết bị.
+ Sử dụng mật khẩu hay đặc điểm về sinh trắc để xác thực.
+ Sử dụng firewall để ngăn chặn truy cập trái phép.
+ Mã hóa thông tin sử dụng.
Tính toàn vẹn của thông tin Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa, hoặc sửa đổi bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.
Một số trường hợp tính toàn vẹn của thông tin bị phá vỡ :
+ Thay đổi giao diện trang chủ của một website.
+ Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu dẫn đến thông tin bị sai lệch.
Tính sẵn sàng của thông tin
Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần thiết Điều đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ.
1.1.2 Khái niệm một số biện pháp, công nghệ an toàn bảo mật thông tin 1.1.2.1 Khái niệm về phân quyền người dùng trong an toàn bảo mật thông tin
Người dùng là những người được quyền đăng nhập và sử dụng tài nguyên của hệ thống dữ liệu trong phạm vi quyền hạn của mình.
Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống dữ liệu theo những yêu cầu khác nhau. Tùy theo vai trò khác nhau của người dùng mà họ được cấp quyền khác nhau để khai thác cơ sở dữ liệu.
Bảng phân quyền truy cập cũng là dữ liệu của cơ sở dữ liệu, được tổ chức và xây dựng như những dữ liệu khác Điểm khác biệt duy nhất là nó được quản lý chặt chẽ, không giới thiệu công khai và chỉ có những người quản trị hệ thống mới có thể truy cập, bổ sung, sửa.
1.1.2.2 Khái niệm về xác thực
Quá trình xác thực bao gồm việc tiếp nhận thông tin xác thực từ phía thực thể rồi phân tích thông tin và dữ liệu lưu trữ để xác minh xem thực sự thông tin đó có liên kết với thực thể.
1.1.2.3 Khái niệm về mã hóa thông tin
Là việc sử dụng các kỹ thuật thích hợp để biến đổi một bản thông điệp có ý nghĩa thành một dãy mã ngẫu nhiên để liên lạc với nhau giữa người gửi và người nhận mà người ngoài cuộc có thể có được sự hiện hữu của dãy mã ngẫu nhiên đó nhưng khó có thể chuyển thành bản thông điệp ban đầu nếu không có “khóa” để giải mã của thông điệp.
Là quá trình chuyển đổi thông tin có thể đọc được (gọi là bản rõ) thành thông tin khó thể đọc được theo cách thông thường (gọi là bản mã).
Mã hóa là phương pháp để biến thông tin (phim ảnh, văn bản, hình ảnh ) từ định dạng bình thường sang dạng thông tin không thể hiểu được nếu không có phương tiện giải mã.
1.1.2.4 Khái niệm về tường lửa
Tường lửa là đặt cầu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua một máy được chỉ định.
Tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm trong mạng nội bộ xuất ra ngoài internet mà không được cho phép. Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley.
1.1.2.5 Khái niệm về phần mềm mã độc, virut
"Phần mềm độc hại" là bất kỳ loại phần mềm nào được thiết kế để gây hại máy tính Phần mềm độc hại có thể lấy cắp thông tin nhạy cảm từ máy tính, làm chậm máy tính hay thậm chí gửi email giả mạo từ tài khoản email của người dùng mà người dùng không biết Dưới đây là một số loại phần mềm độc hại phổ biến.
- Vi rút: Là một chương trình có thể có các khả năng:
+ Tự nhân lên sau một thời gian.
+ Tự kích hoạt tại một thời điểm.
+ Tự phá hủy một số định dạng file.
+ Tự di chuyển đến các thư mục và máy tính khác theo thông điệp gửi.
- Sâu máy tính: Một chương trình máy tính độc hại gửi bản sao của chính nó đến các máy tính khác thông qua mạng
- Phần mềm gián điệp: Phần mềm độc hại thu thập thông tin từ mọi người mà họ không biết.
- Phần mềm quảng cáo: Phần mềm tự động phát, hiển thị hoặc tải xuống quảng cáo trên máy tính
- Ngựa Trojan: Một chương trình phá hoại giả vờ là một ứng dụng hữu ích nhưng gây hại máy tính hoặc đánh cắp thông tin của bạn sau khi được cài đặt. Không có khả năng tự nhân bản.
1.1.2.6 Khái niệm về công nghệ mạng riêng VPN ảo
Một số cơ sở lý luận
1.2.1 Các nguy cơ và hình thức tấn công trong hệ thống thông tin của doanh nghiệp
1.2.1.1 Các nguy cơ mất an toàn thông tin trong hệ thống thông tin
Có thể chia nguy cơ mất an toàn thông tin làm 2 loại:
Nguy cơ mất an toàn thông tin ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất ), hỏng vật lý, mất điện Đây là những nguyên nhân khách quan khó dự đoán trước, khó tránh được nhưng đó không phải là nguy cơ chính của việc mất an toàn thông tin.
- Nguy cơ từ bên trong
+ Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ thống thông tin ). + Nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành.
+ Nguy cơ trong quy trình, chính sách an ninh bảo mật
+ Nguy cơ do yếu tố con người: vân hành, đạo dức nghề nghiệp.
Theo EMC thống kê 11/2013 hơn 71% các tổ chức cho phép nhân viên dùng thiết bị di động khi làm việc Trên thế giới có hơn 2 tỷ chiếc smartphone đang hoạt động Trong đó có 68,8% dùng Android, 18,8% dùng Apple, 4,5% dùng RIM, và 5,8% dùng OS khác, trong khi đó Malware tấn công vào OS thì có đến 79% tấn công vào Android, 19% vào Symbian và 2% vào các OS khác.
- Nguy cơ từ môi trường bên ngoài
Nguy cơ từ hạ tầng năng lượng, truyền thông, thảm họa từ thiên nhiên hoặc con người.
Các doanh nghiệp càn lớn càng là mục tiêu của nhiều đối tượng tấn công từ trong nước và quốc tế.
1.2.1.2 Các hình thức tấn công trong hệ thống thông tin của doanh nghiệp
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép Vi phạm tính toàn vẹn, tính sẵn sàng của dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấn công thụ động rất khó phát hiện và rất khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau Loại tấn công này có hai dạng đó là tấn công trực tuyến và tấn công ngoại tuyến Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp tài sản nạn nhân Tấn công thụ động hay gặp trong các môi trường truyền thông, quảng bá.
- Phương thức thực hiện của tấn công thụ động
+ Bằng các thiết bị phần cứng: Các thiết bị bắt sóng wifi để tóm những gói tin được truyền trong vùng phủ sóng
+ Các chương trình phần mềm: Chương trình packet sniff nhằm bắt các gói tin được truyền qua lại trong mạng LAN.
- Các kiểu tấn công thụ động
+ Nghe trộm đường truyền: Kẻ nghe lén sẽ bằng một cách nào đó xen ngang được quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra được những thông tin quan trọng.
+ Phân tích lưu lượng: Dựa vào sự thay đổi của lưu lượng của luồng thông tin truyền trên mạng nhằm xác định được một số thông tin có ích Rất hay dùng trong do thám Sử dụng khi dữ liệu đã bị mã hóa mà không giải mã được.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện Tấn công chủ động là loại tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
- Các loại hình tấn công chủ động
+ Giả mạo người gửi: Các thông báo giả mạo để lấy user và pass để xâm nhập vào máy chủ của hệ thống nhằm phá hủy dữ liệu.
+ Thay đổi nội dung thông điệp: Chặn thông điệp trên đường truyền, thay đổi nội dung và tiếp tục gửi cho người nhận.
+ Tấn công lặp lại: Kẻ tấn công bắt và lưu thông điệp lại một thời gian, đến một thời điểm thích hợp gửi lại cho bên nhận và bên nhận khó phát hiện.
+ Tấn công từ chối dịch vụ (Dos – Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn đến không thể cung cấp dịch vụ hoặc phải ngưng hoạt động Dos lợi dụng sự yếu kém trong mô hình bắt tay
3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
+ Phishing: Một loại tấn công phi kỹ thuật Đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi.
Phishing là một cách thức mà kẻ xấu sử dụng để lừa lấy những thông tin cá nhân như mật khẩu hay tài khoản ngân hàng.
+ Tấn công bằng virut, trojan, sâu máy tính.
Tấn công HTTT trên thực tế thường là sử dụng virut, trojan để ăn cắp thông tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kĩ thuật Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng.
1.2.2 Quy trình đảm bảo an toàn thông tin cho hệ thống thông tin Để đảm bảo an toàn thông tin cho hệ thống thông tin thì doanh nghiệp cần thực hiện các bước:
Bước 1: Thành lập bộ phận chuyên trách về vấn đề bảo mật
Bất kỳ kế hoạch bảo mật nào cũng cần sự hỗ trợ trên nhiều phương diện khác nhau, nếu nó muốn thành công Một trong những phương thức tốt nhất để có thể được sự hỗ trợ là nên thiết lập một bộ phận chuyên trách về vấn đề bảo mật Bộ phận này sẽ chịu trách nhiệm trước công ty về các công việc bảo mật.
Mục đích trước tiên của bộ phận này là gây dựng uy tín với khách hàng Hoạt động của bộ phận này sẽ khiến cho khách hàng cảm thấy yên tâm hơn khi làm việc hoặc sử dụng các dịch vụ của công ty.
Tổng quan tình hình nghiên cứu
1.3.1 Tình hình nghiên cứu trong nước
Vấn đề mất an toàn thông tin đang là mối e ngại lớn đối với Việt Nam Vào ngày 17-18/10/2014 thì không chỉ bị cướp tên miền, hack và xóa nội dung của nhiều website do VCCorp đầu tư hoặc quản lý hạ tầng kỹ thuật Trong một vài năm trở lại đây thì tình hình nghiên cứu về vấn đề an toàn bảo mật thông tin cho các doanh nghiệp, tổ chức trong nước diễn ra khá nhiều như một số công trình:
- Luận văn về an toàn, bảo mật thông tin: “ Giải pháp nhằm nâng cao bảo mật HTTT quản trị tại công ty cổ phần công nghệ cao” của sinh viên Nguyễn Hữu Dũng – Khoa Thương mại điện tử - Đại học Thương Mại (2009) Luận văn đưa ra được lý thuyết và một số giải pháp nhưng các giải pháp vẫn đang ở mức khái quát chưa cụ thể.
- Đồ án “Tìm hiểu về virut máy tính và cách phòng chống ” của sinh viên Lê Văn Hưng khoa Tin học trường Đại học Bách Khoa Hà Nội Trong công trình nghiên cứu này tác giả đưa ra một số phân tích cơ bản đối với mảng kiến thức hệ thống , các nguyên tắc thiết kế, hoạt động của các loại virut máy tính và từ đó đưa ra phương pháp phòng tránh, phát hiện và phân tích đối với một số loại virut máy tính.
- Đồ án “An ninh mạng và kỹ thuật tấn công mạng” của Phạm Minh Tuấn khoa quốc tế và đào tạo sau đại học trường Học viện Bưu chính viễn thông Trong công trình nghiên cứu này thì tác giả đã chỉ ra rất nhiều kiểu tấn công qua mạng và cách khắc phục Tác giả đã đi sâu nghiên cứu về các lỗ hổng thường gặp trong bảo mật mạng.
1.3.2 Tình hình nghiên cứu trên thế giới
Man Young Rhee (2003), Internet Security, Crytographic principles,algorithms and protocol-John Wiley & Son.
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mật internet Đưa ra các biện pháp khắc phục, các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh internet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ tấn công thông qua đường truyền internet Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mật internet được thông qua một cách nghiêm ngặt , kỹ lưỡng và chất lượng.
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TNHH
Tổng quan về công ty
2.1.1 Giới thiệu về công ty
Công ty TNHH Kosca Development Việt Nam chuyên xây dựng các tòa nhà dự án các loại, các công ty doanh nghiệp, và tham gia đấu thầu nhiều công trình xây dựng Địa chỉ trụ sở công ty đặt tại A8-BT1, khu đô thị mới Mỹ Đình 2, Quận Nam
- Công ty TNHH Kosca Development Việt Nam có mã số thuế 0106654933 được cấp vào ngày 02/10/2014, cơ quan thuế đang quản lý là Cục thuế thành phố
- Lĩnh vực kinh tế: Kinh tế tư nhân.
- Loại hình kinh tế: Công ty trách nhiệm hữu hạn một thành viên ngoài Nhà Nước.
- Loại hình tổ chức: Tổ chức kinh tế sản xuất kinh doanh dịch vụ, hàng hóa.
Quá trình hình thành và phát triển công ty
Công ty TNHH Kosca Development Việt Nam được thành lập ngày 06/11/2014 do ông Kim Young Ig làm giám đốc Ngày đầu thành lập doanh nghiệp có 50 nhân viên, qua quá trình phát triển cho đến ngày nay số lượng nhân viên đã tăng lên đáng kể 130 nhân viên Tuy mới thành lập và đang trên đà phát triển nhưng công ty Kosca đã không ngừng lớn mạnh Từ một công ty đơn ngành, ngày nay công ty đã trở thành một công ty đa ngành, đa sản phẩm Những ngày đầu công ty rất nhiều lĩnh vực như: Xây dựng dân dụng và công nghiệp, xây dựng các công trình kết cấu hạ tầng phức tạp và quy mô lớn như Lotte Center, Sam Sung Ngoài ra công ty còn đầu tư kinh doanh bất động sản và sản xuất vật liệu xây dựng.
Công ty đã tham gia hợp tác với nhiều công ty khác của Bộ Quốc Phòng để thực hiện xây dựng các công trình trọng điểm của đất nước như nhà máy thủy điện, các tòa nhà của Đại học Quốc Gia Hà Nội Bên cạnh đó công ty còn tham gia xây dựng các công trình giao thông quan trọng điểm như quốc lộ 5, quốc lộ 1A, tuyến đường cao tốc và các sản phẩm của công ty đều hoàn thành với chất lượng cao và giữ được chữ tín trên thị trường.
2.1.2 Cơ cấu tổ chức của công ty
Công ty TNHH Kosca Development Việt Nam gồm 130 nhân viên có trình độ đại học trở lên, 100% nhân viên đều biết sử dụng máy tính.
Sơ đồ tổ chức của doanh nghiệp
Sơ đồ 1.1: Cơ cấu tổ chức của doanh nghiệp
+ 1 tổng giám đốc điều hành công ty.
Phòng phát triển dự án
Phòng quản lý hợp đồng Phòng tổ chức thi công Phòng kế toán Phòng quản lý nhân sựTổng giám đốc
+ 30 nhân viên làm việc trong phòng phát triển dự án.
+ 25 nhân viên làm trong phòng quản lý hợp đồng.
+ 50 nhân viên làm việc trong phòng tổ chức thi công.
+ 3 nhân viên làm việc trong phòng kế toán.
+ 20 nhân viên làm việc trong phòng quản lý nhân sự.
2.1.3 Khái quát hoạt động kinh doanh của công ty
Tình hình hoạt động của doanh nghiệp trong hai năm gần nhất
Bảng 1.1 Tình hình hoạt động của doanh nghiệp hai năm gần đây (Nguồn: Báo cáo tài chính công ty năm 2014,2015) Đơn vị: VNĐ
STT Chỉ tiêu Năm 2014 Năm 2015
2.1.4 Lĩnh vực hoạt động kinh doanh của doanh nghiệp
Công ty xây dựng có vốn đầu tư 100% vốn đầu tư nước ngoài chuyên thi công sơn nước, chống thấm, chống cháy tại các tòa nhà, khu công nghiệp tại Việt Nam ( Lotte Center, Samsung Bắc Ninh, Samsung Thái Nguyên ) Công ty chuyên liên kết với các nhà thầu thi công lớn, nhận dự án thi công.
Công ty TNHH Kosca Development Việt Nam có đội ngũ kỹ thuật viên dày dặn kinh nghiệm trong việc thi công các công trình như xây dựng và lắp đặt các công trình dân dụng nhà máy, khách sạn cao cấp, đội ngũ nhân viên dịch vụ cung cấp vật liệu chống thấm thiết bị xây dựng cho các công trình, các dự án lớn trong nước một cách tốt nhất.
Là một công ty có đầy đủ khả năng về kỹ thuật và tài chính để tư vấn và thiết kế, lắp đặt thi công, bảo hành thỏa mãn nhu cầu của khách hàng cũng như tham gia các dự án thầu trong và ngoài nước Trong suốt quá trình hình thành và phát triển, đén nay công ty TNHH Kosca đã khẳng định được thương hiệu của mình, có chỗ đứng vững chắc trên thị trường xây dựng Đã tham gia xây dựng và lắp đặt trên địa bàn các thành phố lớn ở Việt Nam như Hà Nội, thành phố Hồ Chí Minh, Bắc Ninh, Thái Nguyên Các công trình do công ty thi công đều đạt chất lượng tốt và đúng tiến độ, giá cả hợp lý và có tính thẩm mỹ cao Trong thi công Kosca với đội ngũ cán bộ chuyên nghiệp cao, được tổ chức tốt nên đã sử dụng thành thạo công nghệ và ứng dụng công nghệ thông tin và nhiều biện pháp kỹ thuật tiên tiến vào xây dựng.
Phân tích, đánh giá thực trạng an toàn bảo mật thông tin cho hệ thống thông tin của công ty TNHH Kosca Development Việt Nam
2.2.1 Phân tích thực trạng an toàn bảo mật thông tin cho hệ thống thông tin của công ty TNHH Kosca Development Việt Nam
Bảng 2.1 Thiết bị phần cứng (Nguồn: Thống kê phiếu điều tra)
STT Tên thiết bị Số lượng
Hệ điều hành mà doanh nghiệp sử dụng là: Unix, Windows NT. Đối với các ngành nghề nói chung và ngành tư vấn thiết kế xây dựng nói riêng có thể nói, công nghệ thông tin mở ra nhiều triển vọng to lớn trong việc đổi mới các phương pháp nghiên cứu và các hình thức thực hiện, triển khai công việc, nâng cao năng suất, chất lượng, đổi mới toàn diện công tác thiết kế kiến trúc quy hoạch. Chính vì điều này mà công ty TNHH Kosca luôn ứng dụng công nghệ thông tin trong hoạt động của mình Doanh nghiệp ứng dụng được phần mềm Autodesk để thiết kế kiến trúc và xây dựng Nhờ có bộ ứng dụng này mà công ty TNHH Kosca đã rút ngắn được thời gian chỉnh sửa và trao đổi thông tin trong công việc thiết kế Bên cạnh đó doanh nghiệp còn ứng dụng phần mềm thiết kế trực tuyến trong công việc thiết kế của mình nhằm cho việc trình bày các bản thiết kế trở nên sinh động hơn, tiết kiệm được nhiều thời gian hơn so với cách làm việc trước đây. Những khả năng mới mẻ và ưu việt này của CNTT&TT đã nhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập, cách tư duy và quan trọng hơn cả là cách ra quyết định của con người.
Doanh nghiệp áp dụng phần mềm ERP để quản lý tổng thể DN, trong đó phần hoạch định nguồn lực là phần cơ bản Việc áp dụng phần mềm giúp cho nâng cao hiệu quả hoạt động và hiệu quả quản lý toàn diện của doanh nghiệp, làm tự động hoá các tác nghiệp của đội ngũ nhân viên ERP chỉ là một phần mềm duy nhất và các module của nó thực hiện các chức năng tương tự như các phần mềm quản lý rời rạc, nhưng các module này còn làm được nhiều hơn thế trong môi trường tích hợp, các module có mối quan hệ chặt chẽ với nhau Các module ERP phục vụ tốt cho các phòng ban trong doanh nghiệp, nó giải quyết mối quan hệ giữa các phòng ban khi mô phỏng tác nghiệp của đội ngũ nhân viên theo quy trình Thông tin được luân chuyển tự động giữa các bước của quy trình và được kiểm soát chặt chẽ.
Nhận thức được tầm quan trọng và lợi ích của công nghệ thông tin đem lại nên doanh nghiệp luôn cập nhật và ứng dụng được các phần mềm tiên tiến nhất để phục vụ cho hoạt động công việc của mình.
Một số phần mềm ứng dụng khác mà doanh nghiệp sử dụng là: Soạn thảo văn bản, excel, kế toán tài chính
Doanh nghiệp sử dụng mạng không dây và sử dụng mạng của ba hãng: FPT, Viettel, VNPT, kết nối mô hình mạng LAN, được bố trí theo kiểu hình sao Vì vậy, việc hỏng hóc của mỗi máy tính cá nhân không ảnh hưởng đến toàn bộ hệ thống. Tuy nhiên doanh nghiệp chưa chú ý đến việc thay đổi mật khẩu cho hệ thống mạng.
2.2.1.4 Cơ sở dữ liệu và quản trị cơ sở dữ liệu
Phương thức thu nhập, lưu trữ, phân phối dữ liệu, thông tin của doanh nghiệp?
Phương thức thu thập thông tin doanh nghiệp
Công ty TNHH Kosca Development Việt Nam hoạt động trong lĩnh vực xây dựng nên thông tin cần thu thập chủ yếu là thông tin về khách hàng, nhu cầu khách hàng, đối thủ cạnh tranh của doanh nghiệp, chính sách Nhà Nước ban hành Thông tin thu được có thể tập hợp được từ các nguồn báo chí, mạng internet, tiến hành các cuộc điều tra khảo sát
Việc thu thập thông tin cần được tiến hành nhanh chóng và chính xác để có thể cung cấp kịp thời cho ban lãnh đạo giúp cho lãnh đạo ra quyết định một cách hợp lý và chính xác nhất.
Phương thức lưu trữ thông tin
Doanh nghiệp lưu trữ thông tin dưới nhiều hình thức: Lưu trữ bộ nhớ, ổ cứng ngoài, lưu trữ trực tuyến, lưu trữ gắn mạng (NAS).
Phương thức phân phối thông tin doanh nghiệp
Phương thức phân phối thông tin trong doanh nghiệp: Doanh nghiệp có nhiều hình thức phân phối thông tin của mình, có thể viết lên bảng thông báo của doanh nghiệp khi cấp trên muốn truyền đạt thông tin tới nhân viên của mình trong công ty.Hoặc nếu muốn truyền đạt thông tin với bên ngoài doanh nghiệp có thể sử dụng truyền thông, muốn mọi người biết nhiều hơn về doanh nghiệp của mình thì doanh nghiệp có thể sử dụng hình thức quảng cáo, marketing, hoặc trên các phương tiện đại chúng.
Hệ quản trị cơ sở dữ liệu, cách thức quản trị cơ sở dữ liệu của doanh nghiệp
Hệ quản trị cơ sở dữ liệu của doanh nghiệp là phần mềm cung cấp môi trường thuận lợi và hiệu quả để tạo lập lưu trữ và khai thác thông tin của cơ sở dữ liệu Doanh nghiệp sử dụng ngôn ngữ:
+ SQL Server: Là một hệ thống quản lý cơ sở dữ liệu mạnh và đầy đủ các tính năng, có thể chạy trên môi trường cơ sở dữ liệu lớn.
+ Access: Là một hệ quản trị cơ sở dữ liệu quan hệ trợ giúp cho nhân viên có thể lưu trữ thông tin dữ liệu bên ngoài vào máy tính dưới dạng các bảng và có thể tính toán, xử lý trên dữ liệu trong các bảng đã lưu trữ.
2.2.1.5 Kết quả đạt được thông qua điều tra và khảo sát
Qua quá trình phát phiếu điều tra cho thấy công ty TNHH Kosca Development Việt Nam có triển khai quy chế nội bộ về đảm bảo an toàn thông tin cho hệ thống thông tin từ đó ta thấy được doanh nghiệp đã nhận thức được tầm quan trọng của việc đảm bảo an toàn thông tin cho doanh nghiệp mình để tránh gây ra thiệt hại cho công ty.
Nguồn gốc của những phần mềm cài đặt trên máy tính
Câu hỏi: Những phần mềm anh (chị) cài đặt trên hệ thống máy tính có được mua bản quyền hay có nguồn gốc rõ ràng hay không?
Bảng 2.1: Nguồn gốc của phần mềm
Nguồn gốc phần mềm Lựa chọn Tỷ lệ (%)
Biểu đồ 2.1: Nguồn gốc của phần mềm cài đặt trên máy tính
Có bản quyền Không có bản quyền
(Nguồn: Thống kê phiếu điều tra)
Từ kết quả trên cho thấy đa số những phần mềm nhân viên trong công ty sử dụng là những phần mềm không có bản quyền, nguồn gốc không rõ ràng chiếm 67% Phần mềm có bản quyền chỉ chiếm 33%.
Mức độ xảy ra việc mất an toàn thông tin trong doanh nghiệp
Câu hỏi: Anh (chị) cho biết việc mất an toàn thông tin trong doanh nghiệp có thường xuyên xảy ra không?
Bảng 2.2 Mức độ xảy ra việc mất an toàn thông tin trong doanh nghiệp
Mức độ xảy ra việc mất an toàn thông tin trong doanh nghiệp
Theo kết quả thu được từ phiếu điều tra đa số nhân viên được điều tra cho rằng việc mất an toàn thông tin trong doanh nghiệp xảy ra thường xuyên chiếm 60%, ở mức độ bình thường chiếm 27% và 13% tỷ lệ người cho rằng hệ thống ít khi xảy ra việc mất an toàn thông tin.
Chất lượng cơ sở hạ tần trong doanh nghiệp
Câu hỏi: Theo anh/chị hệ thống cơ sở hạ tầng của doanh nghiệp có đủ chất lượng để đáp ứng trong quá trình làm việc không ?
Thống kê kết quả phiếu điều tra cho thấy 60% tỷ lệ số nhân viên được điều tra cho rằng cơ sở hạ tầng trong doanh nghiệp không đáp ứng đủ chất lượng, 40% tỷ lệ người chọn cơ sở hạ tầng đáp ứng đủ chất lượng Từ đó cho thấy công ty nên có những hướng giải quyết phù hợp về cơ sở hạ tầng trong doanh nghiệp để đạt được hiệu quả cao nhất trong công việc.
2.2.1.3 Các loại hình tấn mà doanh nghiệp gặp phải trong 3 năm 2014,
Câu hỏi: Trong ba năm 2014, 2015, 2016 doanh nghiệp đã gặp phải loại hình tấn công nào ?
2.2 Biểu đồ hình thức tấn công mà tổ chức gặp phải
Sự xâm nhập hệ thống từ người bên ngoài vào mạng bên trong
Xâm nhập hệ thống bởi người trong doanh nghiệp
Hệ thống bị nhiễm trojan, mã độc không tự lây lan được
Hệ thống bị nhiễm phải virut hay worm
(Nguồn: Thống kê phiếu điều tra)
Có rất nhiều rủi ro mà hệ thống thông tin của doanh nghiệp có thể gặp phải.
Từ kết quả thu được từ phiếu điều tra thì hệ thống bị nhiễm virut hay worm chiếm tỷ lệ phần trăm cao nhất 35%, hệ thống bị nhiễm trojan, mã độc không tự lây lan được chiếm 30%, chiếm 20% tấn công từ chối dịch vụ, sự xâm nhập hệ thống từ người bên ngoài vào mạng bên trong chiếm 10%, và rủi ro hệ thống ít gặp phải nhất là xâm nhập hệ thống bởi người trong doanh nghiệp chiếm 5% Kết quả trên cho thấy người trong doanh nghiệp có nhận thức và trình độ cao trong việc bảo mật thông tin cho hệ thống thông tin của doanh nghiệp mình Nhưng hệ thống thông tin của doanh nghiệp thường bị nhiễm virut, trojan Vì vậy doanh nghiệp nên có những biện pháp cụ thể để bảo vệ hệ thống.
