TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU
Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
1.1.1 Tầm quan trọng của vấn đề nghiên cứu
Trong một nền kinh tế toàn cầu hóa như hiện nay thì an toàn và bảo mật thông tin được xem là sự sống còn đối với các doanh nghiệp Thế nhưng, không phải doanh nghiệp nào cũng nhận thức được tầm quan trọng của vấn đề đảm bảo an toàn và bảo mật thông tin trước những nguy cơ có thể xảy ra đối với doanh nghiệp của mình như việc rò rỉ thông tin , bị xâm nhập trái phép
An toàn và bảo mật thông tin trong việc chia sẻ dữ liệu văn bản từ trước đến nay luôn là vấn đề quan trọng đối với bất kỳ một doanh nghiệp nào Các thông tin trong các tài liệu văn bản khi được trao đổi trên mạng thường sẽ phảo đối mặt với những nguy cơ mất an toàn như: bị truy cập bất hợp pháp, sao chép, lưu trữ hoặc chuyển đến cho những người không được phép Nguy hiểm hơn là khi các tài liệu bị thay đổi nội dung trước khi được chuyển đến cho người nhận.
Bằng cách sử dụng các công nghệ, kỹ thuật đơn giản như bắt gói tin trên đường truyền, thâm nhận trực tiếp vào các máy tính chứa dữ liệu, văn bản quan trọng Những cá nhân có mục đích này lại là những người có hiểu biết về công nghệ thông tin hoặc nhwunxg người quản trị hệ thống, quản trị ứng dụng trong doanh nghiệp. Đối với các tài liệu có các thông tin bí mật, nhạy cảm liên quan đến chiến lược kinh doanh, các số liệu thông tin về nhân sự, tổ chức… khi trao đổi trong hệ thống mà không có một biện pháp nào để bảo vệ thì nguy cơ bị mất an toàn và bảo mật là vô cùng lớn và như vậy hậu quả của việc mất an toàn và bảo mật dữ liệu là không thể lường được Chính vì đó nên vấn đề bảo đảm được an toàn và bảo mật thông tin là vấn đề rất quan trọng đối với mỗi doanh nghiệp hiện nay Nó sẽ quyết định đến sự phát triển và bền vững của công ty trong nền kinh tế thị trường ngày nay.
1.1.2 Ý nghĩa của vấn đề nghiên cứu
1.1.2.1 Ý nghĩa về mặt nghiên cứu
Cùng với sự phát triển mạnh mẽ của CNTT thì vấn đề ATBM thông tin lại càng cần được quan tâm nhiều hơn trong mỗi doanh nghiệp Mức độ gặp rủi ro và mất an toàn cho dữ liệu càng cao và nghiêm trọng Vì vậy, việc đảm bảo ATBM có ý nghĩa rất quan trọng đối với sự phát triển bền vững cũng như uy tín của doanh nghiệp Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động sản xuất kinh doanh của doanh nghiệp, ảnh hưởng lớn đến uy tín và danh dự của doanh nghiệp.
1.1.2.2 Ý nghĩa về mặt thực tiễn
Công ty Cổ phần phát triển phần mềm ASIA là một công ty chuyên về lĩnh vực phần mềm và các giải pháp quản lý Do đó, việc đảm bảo ATBM thông tin là rất cần thiết Mặc dù ban lãnh đạo công ty đã quan tâm đến vấn đề ATBM thông tin nhưng tình trạng hệ thống thông tin bị tấn công vẫn xảy ra
Hiện nay, việc áp dụng một số giải pháp đảm bảo an toàn và bảo mật thông tin cho HTTT đang được công ty chú trọng và triển khai Vì vậy, đề tài “Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của Công ty Cổ phần phát triển phần mềm ASIA” là rất phù hợp với công ty hiện nay.
Tổng quan về vấn đề nghiên cứu
1.2.1 Tổng quan về tình hình nghiên cứu ở Việt Nam
Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về an toàn và bảo mật thông tin được ra đời như: Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống kê.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT Cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong các công việc hằng ngày của mình.
Phan Đình Diệu (2002), Giáo trình “Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc Gia Hà Nội.
Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học có liên quan đến việc đảm bảo an toàn thông tin Hệ mật khóa đối xứng, hệ mật khóa công khai, chữ ký điện tử, ứng dụng và thực hành…Cuốn giáo trình đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm, mục tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránh các tấn công gây mất an toàn thông tin cũng như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay.
1.2.2 Tổng quan về tình hình nghiên cứu trên thế giới
William Stallings(2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày nay Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hài và những kẻ xâm hại.
Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào mạng Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất lượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet.
Mục tiêu nghiên cứu đề tài
Mục tiêu nghiên cứu đề tài này: Đưa ra cơ sở lý luận về an toàn và bảo mật hệ thống thông tin.
Tìm hiểu, phân tích và đánh giá thực của công ty.
Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mật thông tin có thể áp dụng với công ty.
Đối tượng và phạm vi nghiên cứu đề tài
1.4.1 Đối tượng nghiên cứu đề tài Đối tượng mà bài nghiên cứu hướng tới đó là vấn đề an toàn bảo mật HTTT tại Công ty cổ phần phát triển phần mềm ASIA, các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn và bảo mật HTTT của doanh nghiệp Các chính sách phát triển đảm bảo an toàn bảo mật (ATBM) thông tin trong công ty Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của doanh nghiệp.
1.4.2 Phạm vi nghiên cứu đề tài
Bài nghiên cứu sẽ tập trung trong phạm vi:
Về không gian: đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT tại
Công ty cổ phần phát triển phần mềm ASIA nhằm đưa ra một số giải pháp nâng cao an toàn bảo mật HTTT.
Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáo kinh doanh, số liệu khảo sát từ năm 2013 đến năm 2014 Đồng thời, trình bày các nhóm giải pháp, định hướng phát triển trong tương lai của công ty.
Phương pháp thực hiện đề tài
1.5.1 Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet và các bài báo Phân tích, tổng hợp các tài liệu có liên quan đến đề tài.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập
Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2013 –
2014, từ phiếu điều tra và tài liệu thống kê khác
Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán: Tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu.
Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông tin sau:
Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu Người dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị
Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có thể thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện Thường sử dụng để đưa ra các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.
Kế cấu của bài khóa luận
Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu tham khảo và phụ lục thì khóa luận gồm 3 phần:
Phần 1: Tổng quan về đề tài nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng vấn đề an toàn và bảo mật thông tin trong hệ thống thông tin của Công ty Cổ phần phát triển phần mềm ASIA.
Phần 3: Định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật thông tin trong hệ thống thông tin tại Công ty Cổ phần phát triển phần mềm ASIA.
CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA
Về cơ sở lý luận
2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật thông tin
Trong lịch sử tồn tại và phát triển, con người thường xuyên cần đến thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái niệm cơ bản, chung của nhiều khoa học Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,….), phù hợp với mục đích của người sử dụng Nói cách khác, thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng”.
Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”
Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhận được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”
* Khái niệm về Hệ thống thông tin:
Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ với nhau cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và cung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
* Khái niệm về Cơ sở dữ liệu
Cơ sở dữ liệu (viết tắt CSDL; tiếng Anh là database) được hiểu theo cách định nghĩa kiểu kĩ thuật thì nó là một tập hợp thông tin có cấu trúc Tuy nhiên, thuật ngữ này thường dùng trong công nghệ thông tin và nó thường được hiểu rõ hơn dưới dạng một tập hợp liên kết các dữ liệu, thường đủ lớn để lưu trên một thiết bị lưu trữ như đĩa hay băng Dữ liệu này được duy trì dưới dạng một tập hợp các tập tin trong hệ điều hành hay được lưu trữ trong các hệ quản trị cơ sở dữ liệu.
* Khái niệm về an toàn và bảo mật thông tin
An toàn thông tin: Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật thông tin: Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép; là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
2.1.2 Đảm bảo an toàn và bảo mật thông tin trong hệ thống thông tin
An toàn và bảo mật trong hệ thống thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp Do vậy, đảm bảo ATBM thông tin doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp Đây không phải vấn đề riêng của người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.
2.1.2.1 Các hình thức tấn công
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép.
Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất của tấn công trực tuyến là phishing Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.
Thực trạng về Công ty Cổ phần phát triển phần mềm ASIA
2.2.1 Giới thiệu chung về công ty
Tên công ty : Công ty Cổ phần phát triển phần mềm ASIA
Tên tiếng anh : ASIA software Địa chỉ :
Tại Hà Nội: 06, Phố Vũ Ngọc Phan, Quận Đống Đa
Tại Thành phố Đà Nẵng: 480-482 Trưng Nữ Vương, Quận Hải Châu
Tại TP.HCM: Số 730/126 Lê Đức Thọ, F15, Quận Gò Vấp
Website: http://asiasoft.com.vn/
Email: info@asiasoft.com.vn
Công ty Cổ phần phát triển phần mềm ASIA được thành lập năm 2001 với tên công ty ban đầu là Công ty Cổ phần đầu tư và phát triển phần mềm kế toán ASIA Với lĩnh vực kinh doanh chủ yếu là công nghệ thông tin, nguồn nhân lực và vận chuyển. Trong suốt quá trình xây dựng và phát triển, Công ty cổ phần Phát triển phần mềm ASIA luôn nỗ lực không ngừng để hoàn thiện hơn nữa sản phẩm và dịch vụ của mình, đáp ứng nhu cầu ngày càng cao của khách hàng.
Trải qua hơn 15 năm phát triển, với bề dày kinh nghiệm cũng như thấu hiểu mong muốn của khách hàng, công ty luôn đem lại sự hài lòng đến với khách hàng và vượt qua các đối thủ cạnh tranh để phát triển
Trong suốt hơn 15 năm tồn tại và phát triển, với định hướng chuyên nghiệp trong lĩnh vực phần mềm quản trị doanh nghiệp và cung cấp các giải pháp tổng thể đã khẳng định sức mạnh và uy tín của mình trên thị trường kinh doanh phần mềm đầy cạnh tranh Cùng với sự phát triển vững chắc qua thời gian đã được công ty khẳng định bằng những giải thưởng cao quý.
* Sơ đồ bộ máy tổ chức trong công ty:
Sơ đồ 2.1: Cơ cấu bộ máy tổ chức của công ty cổ phần phát triển phần mềm Asia
Chức năng của từng phòng ban:
Ban điều hành : Trong Ban điều hành, Giám đốc là người điều hành, quyết định các vấn đề liên quan đến hoạt động hàng ngày của công ty, chịu trách nhiệm trực tiếp về các vấn đề pháp lý, lợi nhuận của công Phó Giám đốc phụ trách các hoạt động của công ty, chịu trách nhiệm trước Giám đốc về việc thực hiện các quyền và nghĩa vụ được giao.
Phòng hành chính: chịu sự chỉ đạo trực tiếp của Giám đốc, là nơi thực hiện công tác hành chính: văn thư, lưu trữ, đảm bảo kỹ thuật văn phòng, phục vụ lễ tân, khách tiết, làm công tác thư ký, tổng hợp và tham mưu cho Giám đốc
Phòng nhân sự: là nơi tham mưu, giúp việc cho Giám đốc về công tác tổ chức, nhân sự, công tác lao động, tiền lương, thi đua khen thưởng, pháp chế, truyền thông và quan hệ công chúng của công ty.
Phòng kế toán: là nơi tổ chức bộ máy hạch toán kinh tế toàn công ty theo chế độ kế toán Nhà nước, quản lý sử dụng mọi nguồn vốn theo nguyên tắc đảm bảo vốn phục vụ sản xuất kinh doanh có hiệu quả
Phòng CSKH (chăm sóc khách hàng): Là nơi hỗ trợ, tham mưu, đề xuất các kế hoạch chăm sóc khách hàng nhằm tạo sự hài lòng cho khách hàng đối với sản phẩm dịch vụ của công ty Triển khai và thực hiện chiến lược chăm sóc khách hàng nhằm xây dựng hoạt động, chính sách chăm sóc khách hàng chuyên nghiệp
Phòng kinh doanh: là nơi tham mưu cho Giám đốc về các vấn đề liên quan đến công tác kinh doanh có sử dụng nguồn vốn của công ty Xây dựng và thực hiện kế hoạch khai thác để thu hồi vốn nhằm đảm bảo nguồn vốn và tối đa hóa lợi nhuận để triển khai các kế hoạch của công ty
Phòng kỹ thuật: là đơn vị thuộc bộ máy quản lý của công ty, có chức năng tham mưu cho Ban Giám đốc về công tác kỹ thuật, công nghệ, chất lượng sản phẩm Phối hợp với các phòng, ban chức năng để tham gia quản lý hoạt động sản xuất kinh doanh của công ty.
* Các lĩnh vực kinh doanh của công ty
Công ty cổ phần phát triển phần mềm ASIA chuyên cung cấp sản phẩm phần mềm quản trị doanh nghiệp và cung cấp các giải pháp quản lý tổng thể
Các dịch vụ tư vấn, triển khai, hỗ trợ phần mềm Đầu tư phát triển các sản phẩm phần mềm
Tư vấn và xây dựng hệ thống quản lý
Triển khai các hệ thống phần mềm ứng dụng
Hỗ trợ khách hàng trong suốt quá trình sử dụng phần mềm
Bảo hành và bảo trì sản phẩm đã cung cấp cho khách hàng.
Một số sản phẩm tiêu biểu của công ty:
Phần mềm kế toán theo yêu cầu, Phần mềm quản lý tổng thể doanh nghiệp, Phần mềm quản lý kho hàng, Phần mềm Quản lý bán hàng, Phần mềm Quản lý nhân sự, Phần mềm quản lý quan hệ khách hàng
* Tình hình tài chính của công ty Được thành lập từ năm 2001 với vốn điều lệ là 10 tỷ đồng Trải qua nhiều giai đoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở mức khá cao Dưới đây là bảng đánh giá tình hình tài chính kinh doanh của công ty 3 năm gần nhất : 2012, 2013,2014.
Bảng 2.1: Bảng tình hình tài chính của công ty 3 năm gần đây Đơn vị tính: đồng
Năm Doanh thu Lợi nhuận trước thuế Lợi nhuận sau thuế
(Nguồn : Phòng tài chính – kế toán )
Hình 2.1 Trang website của công ty
(Nguồn: http://asiasoft.com.vn/)
Công ty hiện có website để cung cấp, giới thiệu các sản phẩm của công ty. Website của công ty có chức năng Là nơi quảng bá giới thiệu sản phẩm của công ty, các sản phẩm phần mềm Là diễn đàn để các khách hàng, đối tác và những người quan tâm có thể tham gia đóng góp trao đổi ý kiến về các sản phẩm của công ty và các vấn đề có liên quan Là địa chỉ liên lạc giúp các khách hàng, đối tác có thể tiếp cận các sản phẩm liên hệ với công ty một cách dễ dàng thông qua địa chỉ email hoặc chat trực tiếp với nhân viên kinh doanh, CSKH của công ty trên website.
2.2.2 Thực trạng chung về doanh nghiệp
* Thực trạng về tình hình tài chính của công ty: Được thành lập từ năm 2001 với vốn điều lệ là 10 tỷ đồng Trải qua nhiều giai đoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở mức khá cao Dưới đây là bảng đánh giá tình hình tài chính kinh doanh của công ty 3 năm gần nhất : 2012, 2013,2014.
Bảng 2.2: Bảng tình hình tài chính của công ty 3 năm gần đây Đơn vị tính: đồng
Năm Doanh thu Lợi nhuận trước thuế Lợi nhuận sau thuế
( Nguồn : Phòng tài chính – kế toán )
ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN TẠI CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA
Định hướng giải pháp an toàn và bảo mật thông tin cho công ty
Đảm bảo tính ATBM thông tin, dữ liệu trong hệ thống: thông tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty,… nhằm làm tăng khả năng cạnh tranh và uy tín của công ty trên thị trường.
Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của công ty, giúp giảm bớt chi phí hoạt động cho công ty, tránh tuyệt đối sự xâm nhập bên trong cũng như bên ngoài.
Hoàn thiện hệ thống chữ ký số và xác thực chứng chỉ số.
Tổ chức các chương trình đào tạo cho nhân viên nhằm nâng cao kiến thức ATBM thông tin trong doanh nghiệp.
Giải pháp nâng cao an toàn và bảo mật thông tin cho hệ thống thông tin trong doanh nghiệp
3.2.1 An toàn và bảo mật thông tin bằng các biện pháp phần cứng
Trong thời đại công nghệ phát triển như hiện nay, doanh nghiệp nào cũng sử dụng Internet, chính điều đó đã tạo điều kiện rất dễ xâm nhập ăn cắp dữ liệu, mà hơn hết các dữ liệu cá nhân hay doanh nghiệp là tài sản vô cùng quý giá quyết định số mạng của cả một doanh nghiệp hay một tổ chức nào đó
Công ty Cổ phần phát triển phần mềm ASIA cũng vậy, do đó cần có các giải pháp hiệu quả để hệ thống máy tính của khách hàng luôn luôn được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá
Sử dụng tường lửa cho phần cứng (Fire wall)
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó.
Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng
Công ty có sử dụng tường lửa Firewall (theo phiếu điều tra có 10/50 phiếu sửa dụng) để đảm bảo an toàn và bảo mật thông tin, tuy nhiên việc sử dụng Firewall của phần mềm có sẵn trên Windows chưa đáp ứng và sử dụng hiệu quả cho công ty.
Hình 3.1: Tường lửa cho hệ thống mạng
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall
Trước khi một gói tin Internet đến máy tính, thì Firewall phần cứng sẽ giám sát các gói tin và kiểm tra xem nó đến từ đâu Nó cũng kiểm tra nếu địa chỉ IP hoặc tiêu
Tường lửa phần cứng được được thiết kế để tối ưu cho firewall, có khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng còn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.
Firewall của Cisco: Đối với các dòng sản phẩm firewall của Cisco - dòng sản phẩm được rất nhiều doanh nghiệp có quy mô hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và giá thành phù hợp Cisco mới đây đã giới thiệu một thế hệ firewall hoàn toàn mới tên gọi first threat-focused Next-Generation Firewall (NGFW) được thiết kế đặc biệt có khả năng phát hiện và ngăn chặn các cuộc tấn công Thế hệ firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phòng thủ nhằm bảo vệ hệ thống mạng cho người dùng.
Thế hệ Firewall mới của Cisco cũng được tích hợp tính năng kiểm soát ứng dụng, hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.
Theo Cisco, thiết bị firewall mới của hãng là một thiết bị duy nhất được thể kết hợp tường lửa, tính năng kiểm soát ứng dụng với khả năng phòng chống xâm nhập và phát hiện các cuộc tấn công Điều này có nghĩa là thiết bị của hãng sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà còn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Trong bối cảnh hiện tại với các cuộc tấn công vào các hệ thống điều khiển/ngành công nghiệp và sự phát triển của các băng nhóm tội phạm mạng tinh vi,các tổ chức cần phải chủ động để có thể kiểm soát từng thay đổi dù rất nhỏ từ môi trường nhằm có những biện pháp bảo vệ tức thời Các thiết bị phần cứng Cisco ASA with FirePOWER Services thực sự là một bước tiến bộ trong thị trường NGFW, giúp tăng cường bảo vệ theo thời gian thực từ data center, hệ thống mạng cho đến từng thiết bị đầu cuối của khách hàng.
Cisco cho biết, khách hàng có thể chọn mua các thiết bị firewall Cisco ASA mới kèm giấy phép FirePOWER; hoặc các khách hàng đang sở hữu các firewall ASA 5500-X hay 5585-X series có thể mua thêm giấy phép sử dụng FirePOWER cho hệ thống của mình.
Một môi trường cấu hình chung làm đơn giản hóa công việc quản lý và làm giảm chi phí đào tạo, trong khi thiết bị phần cứng chung của họ sản phẩm này làm giảm chi phí dự phòng Hiện tại, Cisco chiếm khoảng 1/4 thị phần sản phẩm Firewall trên thị trường.
Giải pháp bảo mật đường truyền
Trong thời đại CNTT phát triển, mọi dữ liệu, thông tin đều được gửi qua đường truyền mạng để gửi và nhận dữ liệu một cách nhanh chóng Theo phiếu điều tra thu thập được, có tới 40% phiếu quản lí email gửi và nhận để bảo mật thông tin cho khách hàng Vì vậy, để nâng cao hơn vấn đề bảo mật CSDL Công ty nên chú trọng giải pháp bảo mật đường truyền để tranh mất mát giữ liệu trong quá trình lưu trữ, truyền và nhận dữ liệu
Dưới đây là một số giao thức bảo mật đường truyền mà Công ty có thể áp dụng tùy thuộc vào mức chi trả đầu tư cho HTTT của công ty:
Giao thức WEP- Wired Equivalent Privacy.
Một số kiến nghị
3.3.1 Điều kiện để áp dụng giải pháp
Công ty cần phải có cơ sở hạ tầng phù hợp hơn, nguồn nhân lực chất lượng cao hơn để có thể hoàn thành tốt công việc đảm bảo an toàn và bảo mật thông tin của công ty.
3.3.2 Kiến nghị với doanh nghiệp
Trực tiếp tìm hiểu và thực hiện nghiên cứu về hoạt động kinh doanh công ty, hoạt động an toàn bảo mật thông tin của trung tâm nói riêng, tôi xin đưa ra một vài kiến nghị với trung tâm để giúp trung tâm có thể hoàn thiện công tác an toàn bảo mật thông tin Đó là:
Nhanh chóng đầu tư thêm cơ sở hạ tầng máy móc phục vụ cho tất cả các hoạt động trong công ty Đầu tư thêm một số thiết bị bảo mật, phần mềm chuyên dụng trong lĩnh vực đảm bảo an ninh mạng, xây dựng các mô hình mạng an toàn là những việc cần thiết.
Mở các chiến dịch trang bị và nâng cao nguồn nhân lực cho mình Một mặt tự đào tạo cho nhân viên trong công ty, cần thúc đẩy trang bị thêm kiến thức an toàn bảo mật thông tin cho nhân viên hoặc gửi đi đào tạo tại các website, các doanh nghiệp lớn hơn Đào tạo nhân lực trong công ty
Công ty cần chú ý đến việc đào tạo và nâng cao kiến thức và kỹ năng CNTT cho nhân viên về CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu và thực tế, công ty cần nâng cao các kỹ năng mềm cho nhân viên như: Kỹ năng giao tiếp ngoại ngữ, kỹ năng tư duy và làm việc độc lập, kỹ năng làm việc theo nhóm.
