1. Trang chủ
  2. » Luận Văn - Báo Cáo

(Luận văn tmu) một số giải pháp nhằm đảm bảo tính an toàn bảo mật trong hệ thống thông tin tại công ty tnhh ai việt nam

67 5 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Một Số Giải Pháp Nhằm Đảm Bảo Tính An Toàn Bảo Mật Trong Hệ Thống Thông Tin Tại Công Ty TNHH AI Việt Nam
Người hướng dẫn Th.S Đinh Thị Hà
Trường học Công ty TNHH AI Việt Nam
Chuyên ngành Hệ Thống Thông Tin Kinh Tế và Thương Mại Điện Tử
Thể loại khóa luận
Định dạng
Số trang 67
Dung lượng 834,39 KB

Cấu trúc

  • 1.1. Ý nghĩa và tầm quan trọng của đề tài (7)
  • 1.2. Mục tiêu và nhiệm vụ nghiên cứu (7)
  • 1.3. Đối tượng và phạm vi nghiên cứu của đề tài (8)
  • 1.4. Phương pháp nghiên cứu (9)
  • 1.5. Kết cấu khóa luận (10)
  • CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1 1.1. Cơ sở lý luận về hệ thống thông tin (11)
    • 1.1.1. Các khái niệm cơ bản (11)
    • 1.1.2. Vai trò của HTTT đối với doanh nghiệp (11)
    • 1.1.3. Tác động của HTTT đối với doanh nghiệp (12)
    • 1.2. Cơ sở lý luận về an toàn bảo mật (13)
      • 1.2.1. Một số khái niệm cơ bản (13)
      • 1.2.2. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp (14)
      • 1.2.3. Những yếu tố gây ảnh hưởng đến an toàn bảo mật trong hệ thống thông tin (15)
      • 1.2.4. Các hình thức tấn công hệ thống và các nguy cơ gây mất an toàn bảo mật (16)
      • 1.2.5. Các biện pháp phòng tránh (17)
    • 1.3. Tổng quan về tình hình nghiên cứu (18)
      • 1.3.1. Tình hình nghiên cứu trong nước (19)
      • 1.3.2. Tình hình thế giới (20)
  • CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM (22)
    • 2.1. Tổng quan về công ty TNHH AI Việt Nam (22)
      • 2.1.1. Thông tin cơ bản (22)
      • 2.1.2. Cơ cấu tổ chức (23)
      • 2.1.3. Lĩnh vực hoạt động của công ty TNHH AI Việt Nam (24)
      • 2.1.4. Tình hình hoạt động kinh doanh trong những năm gần đây (24)
    • 2.2. Thực trạng an toàn bảo mật trong hệ thống thông tin tại công ty TNHH AI Việt Nam (26)
      • 2.2.2. Về phần cứng (26)
      • 2.2.3. Phần mềm (29)
      • 2.2.4. Cơ sở dữ liệu (31)
      • 2.2.5. Quy trình đảm bảo an toàn bảo mật (32)
    • 2.3. Phân tích, đánh giá thực trạng ATBM trong HTTT của công ty TNHH AI Việt Nam (34)
      • 2.3.1. Phân tích thực trạng ATBM trong HTTT tại công ty TNHH AI Việt Nam (34)
      • 2.3.2. Đánh giá về thực trạng ATBM trong HTTT của công ty TNHH AI Việt Nam (39)
  • CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATBM CHO HTTT CỦA CÔNG TY TNHH AI VIỆT NAM 32 3.1. Định hướng phát triển vể đảm bảo an toàn hệ thống thông tin hiện nay (41)
    • 3.1.1. Định hướng phát triển chung (42)
    • 3.1.2. Định hướng phát triển của công ty (43)
    • 3.2. Giải pháp nâng cao an toàn bảo mật cho hệ thống thông tin công ty TNHH (43)
      • 3.2.1. Giải pháp phần cứng (44)
      • 3.2.2. Giải pháp phần mềm (55)
      • 3.2.3. Giải pháp quản lý cơ sở dữ liệu (57)
      • 3.2.4. Giải pháp đối với nguồn nhân lực (58)
    • 3.3. Một số kiến nghị đối với công ty (59)
  • KẾT LUẬN (61)
  • TÀI LIỆU THAM KHẢO (62)
  • PHỤ LỤC (63)

Nội dung

Ý nghĩa và tầm quan trọng của đề tài

Trong bối cảnh nền kinh tế phát triển nhanh chóng, thông tin và dữ liệu đóng vai trò then chốt trong mọi lĩnh vực, đặc biệt là kinh tế Việc ứng dụng công nghệ thông tin giúp tổ chức và cá nhân nắm bắt thông tin kịp thời, từ đó đưa ra các quyết định đúng đắn để phát triển Để tận dụng lợi thế này, doanh nghiệp cần xây dựng hệ thống thông tin hiệu quả và bảo đảm an toàn bảo mật Mất an toàn thông tin có thể dẫn đến tổn thất lớn, do đó, cần có giải pháp bảo mật để ngăn chặn rủi ro và rò rỉ dữ liệu Đối với các doanh nghiệp cung cấp dịch vụ CNTT như Công ty TNHH AI Việt Nam, việc bảo mật hệ thống là cực kỳ quan trọng để bảo vệ thông tin khách hàng và duy trì hoạt động kinh doanh Qua thời gian thực tập, tôi nhận thấy rằng mức độ bảo mật tại công ty chưa cao và cần cải thiện, vì vậy tôi quyết định nghiên cứu đề tài: “Một số giải pháp nhằm đảm bảo tính an toàn bảo mật trong hệ thống thông tin tại Công ty TNHH AI Việt Nam.”

Mục tiêu và nhiệm vụ nghiên cứu

Thông tin là tài sản quý giá của tổ chức và doanh nghiệp, và sự mất an toàn thông tin có thể gây tổn thất nghiêm trọng Với sự phát triển của Internet, việc truy cập thông tin dễ dàng cũng đồng nghĩa với nguy cơ tấn công ngày càng cao Nhiều cá nhân trong tổ chức không nhận thức được những hậu quả lớn từ việc này Do đó, đề tài khóa luận này được thực hiện nhằm mục tiêu nâng cao nhận thức và đề ra các giải pháp bảo mật thông tin hiệu quả.

- Tổng hợp và hệ thống lại một số lý thuyết liên quan đến an toàn dữ liệu và bảo mật hệ thống

- Phân tích và đánh giá thực trạng an toàn bảo mật trong HTTT tại Công ty TNHH AI Việt Nam

Dựa trên việc phân tích thực trạng an toàn bảo mật trong hệ thống thông tin của Công ty AI Việt Nam, bài viết đề xuất một số giải pháp và kiến nghị nhằm phòng chống và khắc phục các nguy cơ gây mất an toàn dữ liệu và bảo mật hệ thống cho công ty.

Phương pháp nghiên cứu

1.4.1 Phương pháp thu thập dữ liệu

Phương pháp nghiên cứu tài liệu là quá trình tìm hiểu và thu thập thông tin liên quan đến đề tài nghiên cứu thông qua việc sử dụng các văn bản, sách, báo, phương tiện thông tin và Internet.

Phương pháp sử dụng phiếu điều tra

- Nội dung: Bảng câu hỏi gồm 30 câu hỏi về các vấn đề liên quan trực tiếp đến an toàn bảo mật hệ thống thông tin của công ty.

- Cách thức tiến hành: Phiếu được phát cho 20 nhân viên trong công ty để thu thập ý kiến.

Mục đích của nghiên cứu này là thu thập thông tin chính xác về an toàn bảo mật hệ thống, dựa trên cái nhìn và trải nghiệm của các nhân viên trong công ty Việc lắng nghe ý kiến của nhân viên sẽ giúp xác định những điểm mạnh và yếu trong chính sách bảo mật hiện tại, từ đó nâng cao hiệu quả bảo vệ thông tin và hệ thống.

Phương pháp thu thập dữ liệu thứ cấp

Dữ liệu thứ cấp là các thông tin đã được thu thập và xử lý trước đó dùng cho các mục tiêu khác nhau của công ty.

Tài liệu nội bộ của công ty bao gồm báo cáo tài chính và báo cáo kết quả kinh doanh trong ba năm gần đây (2014, 2015, 2016), được cung cấp thông qua phòng kinh doanh và phòng hành chính, kế toán.

Tài liệu bên ngoài bao gồm thông tin được thu thập từ sách, tạp chí chuyên ngành, các công trình nghiên cứu khoa học và nhiều nguồn thông tin khác trên Internet.

Sau khi thu thập thông tin cần thiết, chúng ta tiến hành phân loại và hệ thống hóa dữ liệu sơ bộ Việc này giúp kiểm tra các thiếu sót và kịp thời bổ sung thông tin cần thiết để phục vụ cho quá trình xử lý và phân tích dữ liệu hiệu quả.

1.4.2 Phương pháp phân tích và xử lý dữ liệu

Sau khi thu thập đầy đủ tài liệu xác thực liên quan đến vấn đề nghiên cứu, chúng ta sẽ tiến hành xử lý và phân tích các tài liệu này bằng nhiều phương pháp khác nhau.

Phương pháp định tính là quá trình phân tích và tổng hợp thông tin thông qua phỏng vấn, phiếu điều tra và tài liệu thu thập được Đối với dữ liệu định lượng, bảng tính Excel được sử dụng để phân tích và làm rõ các thuộc tính, bản chất của sự vật hiện tượng, cũng như làm sáng tỏ các nguyên nhân của vấn đề Phương pháp này thường được áp dụng để tạo ra các bảng số liệu thống kê, biểu đồ và đồ thị, giúp trực quan hóa thông tin một cách hiệu quả.

Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for

SPSS là một phần mềm phân tích thống kê mạnh mẽ do SPSS Inc phát triển, hỗ trợ cả phân tích theo lô và không theo lô Phần mềm này cung cấp một hệ thống quản lý dữ liệu và phân tích thống kê trong môi trường đồ họa, với các trình đơn mô tả và hộp thoại đơn giản giúp người dùng thực hiện các công việc phân tích dễ dàng SPSS cho phép người dùng thực hiện các phân tích hồi quy, thống kê tần suất và xây dựng đồ thị một cách hiệu quả.

Kết cấu khóa luận

Ngoài lời cảm ơn, phần mở đầu, bài khóa luận bao gồm các chương như sau:

Chương 1: Cơ sở lý luận về an toàn và bảo mật thông tin

Chương 2: Thực trạng an toàn bảo mật hệ thống thông tin tại công ty TNHH AI Việt Nam

Chương 3: Định hướng phát triển và đề xuất phải pháp đảm bảo an toàn bảo mật hệ thống thông tin cho công ty TNHH AI Việt Nam h

CƠ SỞ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN 1 1.1 Cơ sở lý luận về hệ thống thông tin

Các khái niệm cơ bản

Trong bối cảnh nhu cầu trao đổi thông tin và dữ liệu ngày càng tăng cao và đa dạng, sự phát triển mạnh mẽ của điện tử viễn thông và công nghệ thông tin đã góp phần làm cho việc trao đổi này trở nên nhanh chóng và kịp thời hơn Điều này không chỉ nâng cao chất lượng mà còn tăng cường lưu lượng truyền tin.

Theo Bài giảng Hệ thống thông tin quản lý của trường Đại học Thương Mại:

Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.

Dữ liệu ban đầu chỉ là những giá trị thô, chưa có ý nghĩa rõ ràng đối với người sử dụng Tuy nhiên, khi trải qua quá trình xử lý, phân tích và đánh giá, dữ liệu này sẽ được chuyển hóa thành thông tin hữu ích, phục vụ cho nhiều mục đích khác nhau của con người.

Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như: văn bản, âm thanh hay hình ảnh.

Cơ sở dữ liệu là một tập hợp dữ liệu có tổ chức, được lưu trữ trên các phương tiện như đĩa từ và băng từ Nó phục vụ nhu cầu khai thác thông tin đồng thời từ nhiều người dùng và ứng dụng khác nhau.

Thông tin là sự hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….

Thông tin là kết quả của việc xử lý dữ liệu, mang lại ý nghĩa cụ thể cho người sử dụng Nó được xem như một sản phẩm hoàn chỉnh, phản ánh quá trình chuyển đổi từ dữ liệu thô thành thông tin có giá trị.

Hệ thống thông tin bao gồm phần cứng, phần mềm và mạng truyền thông, được thiết kế để thu thập, tái tạo, phân phối và chia sẻ dữ liệu, thông tin và tri thức, phục vụ cho các mục tiêu của tổ chức.

Vai trò của HTTT đối với doanh nghiệp

Hệ thống thông tin đóng vai trò trung gian quan trọng giữa các công ty và môi trường xã hội, nằm ở vị trí trung tâm của doanh nghiệp Nó hỗ trợ quá trình thu thập, xử lý và cung cấp thông tin một cách hiệu quả Vai trò của hệ thống thông tin được thể hiện rõ ràng qua hai khía cạnh: bên trong và bên ngoài doanh nghiệp.

Hệ thống thông tin đóng vai trò quan trọng trong việc thu thập dữ liệu từ môi trường bên ngoài và truyền tải thông tin từ doanh nghiệp ra bên ngoài Các loại thông tin được thu thập bao gồm giá cả, lực lượng lao động, thị hiếu người tiêu dùng, nhu cầu hàng hóa, lạm phát và các chính sách của chính phủ.

Hệ thống thông tin nội bộ của doanh nghiệp là cầu nối quan trọng giữa các bộ phận, giúp thu thập và cung cấp thông tin cần thiết cho các mục đích khác nhau Nó bao gồm thông tin về hoạt động sản xuất và kinh doanh trong năm, trình độ quản lý, chính sách nội bộ, mua sắm, xuất nhập khẩu hàng hóa, cùng với dữ liệu về bán hàng, doanh thu và tài chính.

Tác động của HTTT đối với doanh nghiệp

Hệ thống thông tin có ba tác động chính đối với doanh nghiệp:

Hệ thống thông tin đóng vai trò quan trọng trong việc nâng cao khả năng cạnh tranh cho doanh nghiệp bằng cách tối ưu hóa quy trình điều hành, giảm chi phí và giá thành sản phẩm Đồng thời, nó cũng giúp rút ngắn khoảng cách và tăng cường kết nối giữa doanh nghiệp với khách hàng và nhà cung cấp.

Hệ thống thông tin toàn diện hỗ trợ doanh nghiệp trong việc ra quyết định, cung cấp cái nhìn tổng quát về tình hình sản xuất, kinh doanh và tài chính Nhờ đó, các nhà quản trị có thể đưa ra những quyết định kinh doanh chính xác và hiệu quả hơn.

Hệ thống thông tin hỗ trợ lưu trữ và quản lý một lượng lớn dữ liệu quan trọng như thông tin khách hàng, nhà cung cấp, sản phẩm, giá bán, nhãn mác và chi phí Điều này giúp cải thiện hiệu quả thực hiện nghiệp vụ và các hoạt động kinh doanh, tiết kiệm thời gian và nâng cao tính trơn tru trong quy trình làm việc.

Hệ thống thông tin là công cụ quan trọng giúp doanh nghiệp phát triển, nâng cao giá trị thương hiệu và vị thế cạnh tranh trên thị trường, không chỉ ở Việt Nam mà còn quốc tế Do đó, nó đóng vai trò thiết yếu và không thể thiếu cho mỗi doanh nghiệp.

Cơ sở lý luận về an toàn bảo mật

1.2.1 Một số khái niệm cơ bản

Thông tin đóng vai trò quan trọng trong sự phát triển của công ty Trong thời đại công nghệ, việc bảo mật và an toàn thông tin là cần thiết để giảm thiểu rủi ro, đồng thời giúp công ty xây dựng các định hướng và chính sách phát triển hiệu quả.

An toàn thông tin được định nghĩa là trạng thái mà thông tin không bị hư hại, sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi những cá nhân không có quyền truy cập.

An toàn của hệ thống thông tin là đảm bảo mức độ an toàn tin học chấp nhận được Một hệ thống được coi là an toàn khi các sự cố không làm ngừng hoạt động chính của nó và được khắc phục kịp thời mà không gây thiệt hại nghiêm trọng cho chủ sở hữu.

Bảo mật thông tin không chỉ đảm bảo tính an toàn mà còn đóng vai trò quan trọng không kém Một hệ thống được coi là bảo mật khi tính riêng tư của nội dung thông tin được duy trì theo các tiêu chí đã định trong một khoảng thời gian nhất định.

Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn và tính sẵn sáng của thông tin

Hình 1.1: Tam giác bảo mật C.I.A

Tính bí mật là yếu tố quan trọng trong việc bảo vệ thông tin, đảm bảo rằng chỉ những người được cấp quyền mới có thể truy cập vào tài nguyên Việc giới hạn quyền truy cập giúp duy trì sự bảo mật và toàn vẹn của thông tin.

Tính toàn vẹn thông tin đảm bảo rằng chỉ những người được cấp quyền mới có thể xóa hoặc sửa đổi dữ liệu Điều này giúp duy trì độ chính xác của thông tin khi nó được lưu trữ hoặc truyền tải.

Tính sẵn sàng (Availability): Đảm bảo tính sẵn sàng của thông tin, thông tin có thể truy xuất bất cứ khi nào bởi những người được cấp quyền.

An toàn và bảo mật hệ thống thông tin đảm bảo hoạt động lưu thông và bảo vệ nội dung bí mật cho các thành phần của hệ thống ở mức độ chấp nhận được.

1.2.2 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

Thông tin là tài sản quý giá, quyết định sự phát triển và thành công của doanh nghiệp Quản lý thông tin thông qua hệ thống thông tin doanh nghiệp là điều cần thiết, vì vậy hệ thống này cần được bảo đảm an toàn tối ưu Đảm bảo an toàn và bảo mật thông tin là yếu tố quan trọng cho sự phát triển bền vững và lâu dài của doanh nghiệp.

Máy tính phát triển nhanh chóng để đáp ứng nhu cầu người dùng, dẫn đến việc các phiên bản phần mềm được phát hành liên tục với nhiều tính năng mới nhưng không được kiểm tra kỹ, gây ra nhiều lỗ hổng bảo mật Hệ thống mạng và sự phân tán thông tin giúp người dùng dễ dàng truy cập, nhưng cũng tạo cơ hội cho tin tặc tấn công Những yếu tố này khiến doanh nghiệp gặp khó khăn trong việc đảm bảo an toàn thông tin.

Việc xây dựng hệ thống thông tin hiện đại cần đi đôi với việc bảo vệ và đảm bảo hoạt động ổn định, tin cậy cho hệ thống đó An toàn và bảo mật thông tin là yếu tố thiết yếu trong mọi cơ quan, tổ chức, đóng vai trò quan trọng cho sự phát triển bền vững của doanh nghiệp Đối với mỗi doanh nghiệp, thông tin được xem như tài sản vô giá.

Xây dựng hệ thống thông tin an toàn là yếu tố then chốt giúp quản lý trở nên rõ ràng và minh bạch Một môi trường thông tin an toàn không chỉ giảm thiểu chi phí quản lý và hoạt động doanh nghiệp mà còn nâng cao uy tín của doanh nghiệp Điều này tạo điều kiện thuận lợi cho việc hội nhập vào môi trường thông tin, đồng thời giảm thiểu rủi ro về mất mát tài sản, con người và thiệt hại đến hoạt động sản xuất kinh doanh Do đó, đảm bảo an toàn thông tin doanh nghiệp là một hoạt động quan trọng trong sự phát triển bền vững của doanh nghiệp.

1.2.3 Những yếu tố gây ảnh hưởng đến an toàn bảo mật trong hệ thống thông tin doanh nghiệp

1.2.3.1 Các mối đe dọa đến hệ thống thông tin trong doanh nghiệp

Phá hoại: Đây là hoạt động nhằm phá hoạt các phần cứng hoặc phần mềm trên hệ thống.

Tài sản thông tin và dữ liệu có thể bị thay đổi trái phép khi không tuân thủ các quy định bảo mật hoặc do các cuộc tấn công từ tin tặc, dẫn đến việc dữ liệu bị can thiệp và biến đổi.

Can thiệp xảy ra khi tài sản bị truy cập bởi những cá nhân không có thẩm quyền, dẫn đến việc tài khoản hoặc mật khẩu bị đánh cắp, hoặc bị mạo danh để chiếm quyền truy cập và can thiệp vào hệ thống.

1.2.3.2 Các nhân tố tác động đến an toàn bảo mật hệ thống Để đánh giá một HTTT cần xét đến nhiều yếu tố bên trong và bên ngoài hệ thống Tuy nhiên, cần xét đến hai nhân tố chính mang tính quyết định hơn cả là con người và công nghệ.

Con người là yếu tố quan trọng nhất trong hệ thống, đóng vai trò khởi tạo, phát triển và duy trì hoạt động của nó Ngoài người dùng hệ thống, tin tặc cũng là một yếu tố cần lưu ý, vì họ lợi dụng lỗ hổng bảo mật để đánh cắp và thay đổi thông tin cũng như dữ liệu.

Tổng quan về tình hình nghiên cứu

Thực trạng an toàn thông tin tại Việt Nam và trên thế giới ngày càng phức tạp và nguy hiểm, với các cuộc tấn công mạng ngày càng tinh vi và có quy mô lớn Mục tiêu tấn công đã chuyển từ cá nhân sang các tập đoàn kinh tế lớn và các hệ thống thông tin quan trọng của quốc gia Đây là vấn đề toàn cầu thu hút sự quan tâm của nhiều nhà nghiên cứu Nhiều công trình nghiên cứu đã được thực hiện nhằm tìm ra các giải pháp cho các lỗ hổng trong hệ thống và nâng cao an ninh mạng Dưới đây là một số tên tuổi tiêu biểu đã đóng góp cho sự phát triển của an toàn bảo mật hệ thống.

1.3.1 Tình hình nghiên cứu trong nước Đơn vị: %

Sơ đồ 1.1: Chỉ số an toàn thông tin giai đoạn 2013-1017

(Nguồn: Cục an toàn thông tin)

Trong năm năm qua, chỉ số an toàn thông tin đã tăng từ 37,3% vào năm 2013 lên 59,9% vào năm 2016, mặc dù năm 2017 ghi nhận sự giảm nhẹ 5,7% so với năm trước Điều này cho thấy an toàn thông tin đang được chú trọng không chỉ bởi các tổ chức và doanh nghiệp mà còn bởi các nhà nghiên cứu Dưới đây là một số công trình nghiên cứu tiêu biểu trong thời gian gần đây.

PGS TS Nguyễn Tùng Hưng (2016) đã trình bày một báo cáo khoa học về mô hình huấn luyện, đào tạo và nghiên cứu an toàn, an ninh thông tin trong môi trường mạng tại Hội thảo Ngày An toàn Thông tin năm 2016 Nội dung báo cáo nhấn mạnh tầm quan trọng của việc nâng cao nhận thức và kỹ năng trong lĩnh vực an ninh mạng, nhằm đảm bảo an toàn thông tin trong bối cảnh công nghệ ngày càng phát triển.

Báo cáo khoa học trình bày một hệ thống ảo hóa mô phỏng đầy đủ các mạng lưới của cơ quan, tổ chức và doanh nghiệp quan trọng, bao gồm máy chủ, máy trạm, thiết bị mạng, thiết bị điều khiển công nghiệp cùng các hệ thống CNTT và phòng vệ an ninh mạng Ngoài ra, báo cáo còn đề xuất giải pháp an ninh mạng và phân tích hoạt động của mã độc, cung cấp cái nhìn sâu sắc về vấn đề an ninh mạng hiện tại Tuy nhiên, một số nội dung vẫn chưa phù hợp với điều kiện phát triển và công nghệ hiện tại của nước ta, điều này có thể được xem như những dự án dài hạn nhằm nâng cao an ninh mạng tại Việt Nam.

Nguyễn Minh Quang (2012) đã thực hiện một luận văn thạc sĩ nghiên cứu về các giải pháp an toàn và bảo mật thông tin trong giao dịch thương mại điện tử Nghiên cứu này được thực hiện tại Học viện Công nghệ Bưu chính Viễn thông, nhằm nâng cao hiểu biết về các biện pháp bảo vệ thông tin trong môi trường trực tuyến.

Bài luận văn này phân tích chi tiết về chữ ký số trong thương mại điện tử, nhấn mạnh các phương pháp bảo mật và kỹ thuật nhằm đảm bảo an toàn trong giao dịch Mặc dù đã cung cấp thông tin về chữ ký điện tử, bài viết vẫn còn hạn chế ở một số khía cạnh của thương mại điện tử, chưa đi sâu vào việc đảm bảo an toàn thông tin trong các giao dịch.

- Lê Trung Thành và các tác giả (2014), Bài giảng an toàn và bảo mật thông tin, Đại học Tài Nguyên và Môi Trường.

Bài giảng cung cấp kiến thức cơ bản về an toàn bảo mật thông tin, bao gồm mã hóa và thiết lập an ninh mạng, đồng thời phân tích các nguy cơ tấn công và biện pháp bảo vệ thông tin trong quá trình truyền thông Nội dung cũng giúp các doanh nhân và doanh nghiệp áp dụng các biện pháp bảo vệ hệ thống máy tính và mạng khỏi xâm nhập từ bên ngoài Tuy nhiên, giáo trình vẫn còn hạn chế khi chưa đi sâu vào các khía cạnh nâng cao và chưa trình bày rõ ràng về việc ứng dụng thực tiễn của an toàn và bảo mật thông tin.

1.3.2 Tình hình thế giới Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông tin nói chung Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh nghiệp lớn nhỏ, các tổ chức, chính phủ.

Các công trình nghiên cứu tiêu biểu:

- Charlie Kaufman (2016), Netwwork security: Priviate communication in a public world, Hội thảo RSA Conference US 2016.

Bài nghiên cứu này cung cấp hướng dẫn cập nhật về an ninh mạng và Internet, tập trung vào các mối đe dọa bảo mật hiện tại Nó bao quát mọi khía cạnh của bảo mật thông tin, từ các nguyên tắc cơ bản đến các kỹ thuật mã hóa và xác thực nâng cao Bài báo cũng đề cập đến việc sử dụng dịch vụ email và web an toàn, cùng với các tiêu chuẩn bảo mật mới nổi như Tiêu chuẩn mã hóa nâng cao (AES), IPsec, SSL, Tiêu chuẩn PKI và bảo mật Web.

- James Kurose, Keith Ross, Computer networking: A Top- Down Approach, Hội thảo Defcam 2014.

Mạng máy tính: Nghiên cứu giới thiệu phương pháp tiếp cận từ trên xuống, phân lớp mạng máy tính từ lớp ứng dụng đến lớp vật lý Phương pháp này dựa trên truyền thống phân lớp “từ trên xuống”, tập trung vào Internet và các vấn đề cơ bản quan trọng của mạng Công trình cung cấp nền tảng vững chắc cho những ai quan tâm đến khoa học máy tính và kỹ thuật điện mà không cần kiến thức sâu về lập trình hay toán học.

KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM

Tổng quan về công ty TNHH AI Việt Nam

Tên doanh nghiệp: Công ty TNHH AI Việt Nam

Tên giao dịch: AI VIET NAM CO.,LTD

Mã số thuế: 0101511882 Địa chỉ: 118C, Hoàng Quốc Việt, Cầu Giấy, Hà Nội. Điện thoại: 04 22466776

Công ty TNHH AI Việt Nam, trước đây là công ty TNHH Trí Tuệ Nhân Tạo, được thành lập vào ngày 24/10/2003, chuyên cung cấp giải pháp CNTT hỗ trợ quản lý nhà nước và doanh nghiệp AI Việt Nam hợp tác với nhiều đối tác lớn, bao gồm các bộ như Bộ Nội vụ, Bộ Nông nghiệp và Phát triển Nông thôn, Bộ Giáo dục, cùng với các doanh nghiệp hàng đầu như Tập đoàn FPT, Tập đoàn VNPT, Ngân hàng VIB, BIDV và VietinBank.

Chặng đường mà AI Việt Nam đã đạt được trong 15 năm vừa qua:

Năm 2003: Thành lập công ty TNHH Trí Tuệ Nhân Tạo (nay là công ty AI Việt

Năm 2007, tôi đạt giải nhất cuộc thi Nhân Tài Đất Việt với đề tài "Giải pháp học trực tuyến và thi trực tuyến của AI Việt Nam ứng dụng cho việc nâng cao chất lượng đào tạo" Tôi cũng hợp tác triển khai các kênh truyền hình và cổng thông tin du lịch cùng Tổng cục du lịch Việt Nam, đồng thời cung cấp nhân lực cho các công ty phần mềm như FPT Software, CMC và Vietsoftware.

Năm 2010-2011: Tiếp tục mở rộng hợp tác và kinh doanh; Cung cấp hệ thống kiến thức đến cộng đồng qua kênh: www.kienthucviet.vn

Năm 2014, chúng tôi đã đạt được kỷ niệm chương về ứng dụng công nghệ thông tin trong công tác bảo tồn và phát huy bản sắc dân tộc, đồng thời nhận Giải thưởng Chu Văn An vì sự phát triển văn hóa giáo dục Việt Nam Chúng tôi cũng tiếp tục triển khai các dự án và gói thầu với các đối tác.

Năm 2015, doanh nghiệp đã được VINASA bình chọn là một trong 40 doanh nghiệp CNTT hàng đầu tại Việt Nam và nằm trong top 15 doanh nghiệp cung cấp giải pháp phần mềm cùng dịch vụ CNTT hàng đầu quốc gia.

Năm 2016 - nay: Tiếp tục mở rộng kinh doanh, hợp tác với các đối tác trong và ngoài nước; Chú trọng phát triển đào tạo trực tuyến.

Sơ đồ cơ cấu tổ chức tại công ty TNHH AI Việt Nam

Sơ đồ 2.1: Sơ đồ cơ cấu tổ chức công ty TNHH AI Việt Nam

Trong đó, mỗi khối, phòng ban có chức năng cụ thể như sau:

Tổng giám đốc là người đứng đầu và đại diện theo pháp luật của công ty, chịu trách nhiệm quản lý và điều hành mọi hoạt động sản xuất kinh doanh Giám đốc có quyền bổ nhiệm, miễn nhiệm và cách chức các chức danh quản lý trong công ty, đồng thời bảo vệ quyền lợi cho cán bộ nhân viên Ngoài ra, Tổng giám đốc còn quyết định lương và phụ cấp cho người lao động, và đảm nhiệm trách nhiệm chung về vấn đề tài chính, đối nội và đối ngoại của công ty.

Các phó tổng giám đốc: Là người giúp việc cho giám đốc, quản lý các khối công việc mà mình đảm nhận

Khối sản xuất phần mềm có nhiệm vụ phát triển phần mềm theo yêu cầu của đối tác, đảm bảo chất lượng sản phẩm và thực hiện các dịch vụ hỗ trợ như chuyển giao và bảo trì.

Khối đào tạo và sản xuất nội dung: Đảm nhận nhiệm vụ đào tạo trực tuyến và đào tạo trực tiếp Sản xuất nội dung và thiết kế.

Khối dự án chịu trách nhiệm quản lý các dự án và gói thầu, bao gồm lập kế hoạch, tổ chức thực hiện, giám sát và quản lý để đảm bảo không xảy ra sai phạm Đội ngũ cam kết thực hiện đúng yêu cầu của đối tác, phù hợp với ngân sách và hoàn thành đúng thời hạn.

Chăm sóc và duy trì mối quan hệ với các đối tác cũ là rất quan trọng trong kinh doanh truyền thông Đồng thời, việc tìm kiếm và thuyết phục khách hàng mới cũng cần được ưu tiên Đấu thầu và nhận các gói thầu, dự án cho công ty là một phần không thể thiếu trong chiến lược phát triển Ký kết hợp đồng và tiếp thu, xử lý các ý kiến, yêu cầu từ khách hàng sẽ giúp nâng cao chất lượng dịch vụ và sự hài lòng của khách hàng.

Phòng truyền thông đóng vai trò quan trọng trong việc biên tập thông tin công ty, tổ chức sự kiện và hỗ trợ kinh doanh Qua việc phân tích và đánh giá, phòng truyền thông giúp thu hút khách hàng và xây dựng mối quan hệ bền vững.

Ban tài chính kế toán chịu trách nhiệm thống kê và theo dõi tình hình tài chính của công ty, xác định vốn và biến động của các loại tài sản Đồng thời, ban cũng giám sát tình hình kinh doanh để đưa ra những ý kiến đóng góp cho giám đốc nhằm nâng cao hiệu quả hoạt động kinh doanh.

Ban nhân sự đóng vai trò quan trọng trong việc quản lý nhân viên, bao gồm các vấn đề liên quan đến tuyển dụng và đào tạo Ngoài ra, bộ phận này cũng chịu trách nhiệm về tiền lương và thuế, cũng như các vấn đề liên quan đến bảo hiểm xã hội và trợ cấp đời sống cho nhân viên.

Văn phòng: Các hoạt động đoàn thể, giấy tờ, chứng từ liên quan đến hoạt động của công ty.

2.1.3 Lĩnh vực hoạt động của công ty TNHH AI Việt Nam

Công ty TNHH AI VIệt Nam hoạt động trong lĩnh vực CNTT với các hướng chính:

- Chuyên cung cấp các giải pháp hỗ trợ cho công tác quản lý trong nhà nước và doanh nghiệp.

- Đào tạo phát triển nội dung.

2.1.4 Tình hình hoạt động kinh doanh trong những năm gần đây

Trong những năm gần đây, AI Việt Nam đã phát triển mạnh mẽ và khẳng định vị thế vững chắc trên thị trường, đặc biệt trong lĩnh vực công nghệ thông tin Số lượng khách hàng của các công ty AI ngày càng tăng, bao gồm cả các đối tác từ các cơ quan nhà nước và các tập đoàn lớn trong nước cũng như quốc tế.

Bảng 2.1: Bảng thống kê doanh thu

(Nguồn: Phòng kinh doanh- AI Việt Nam)

Tổng doanh thu qua các năm có sự biến động lớn, đặc biệt vào năm 2015, khi doanh thu giảm 8 tỷ 519 triệu đồng, tương đương 14,93% so với năm 2014 Tuy nhiên, lợi nhuận sau thuế lại tăng nhẹ, đạt 2 tỷ đồng, cho thấy sự ổn định trong khả năng sinh lợi của doanh nghiệp.

Trong năm 2015, giá trị tăng lên 711 triệu đồng, tức là tăng 51 triệu đồng, tương ứng với tỷ lệ 1,92% so với năm trước Sự biến động này phản ánh sự thay đổi mạnh mẽ về giá cả trên thị trường công nghệ trong giai đoạn 2014-2015.

Sau giai đoạn khó khăn trên thị trường, công ty đã phục hồi và đạt tổng doanh thu 58 tỷ 928 triệu đồng vào năm 2016, tăng 3,24% so với năm trước.

Thực trạng an toàn bảo mật trong hệ thống thông tin tại công ty TNHH AI Việt Nam

Công ty AI Việt Nam, chuyên gia công và sản xuất phần mềm, đã đầu tư mạnh mẽ vào trang thiết bị cần thiết cho hoạt động sản xuất và cung cấp dịch vụ CNTT Hàng năm, công ty chi khoảng 135 triệu đồng để sửa chữa, bảo dưỡng và nâng cấp hệ thống thiết bị, đảm bảo hiệu quả trong kinh doanh.

Tất cả nhân viên trong công ty đều sở hữu kiến thức vững vàng về CNTT phù hợp với vị trí công việc của mình Ngoài bằng cấp đại học, mỗi nhân viên còn có chứng chỉ chuyên môn riêng, như nhân viên kỹ thuật kiểm thử cần chứng chỉ ISTQB, nhân viên IT yêu cầu chứng chỉ CNTT, và nhân viên hành chính-văn phòng cần có chứng chỉ tin học.

Lực lượng nhân viên của công ty chủ yếu là những người có trình độ cao và được đào tạo bài bản, đặc biệt là khối kỹ thuật, nơi tất cả nhân viên cần có chứng chỉ năng lực Tuy nhiên, công ty hiện chưa có bộ phận chuyên trách về an toàn bảo mật thông tin, dẫn đến việc an ninh thông tin bị ảnh hưởng nghiêm trọng do thiếu đội ngũ phụ trách Điều này khiến trách nhiệm về an ninh không thuộc về cá nhân hay tổ chức cụ thể nào, dẫn đến ý thức trách nhiệm của nhân viên chưa cao Do đó, việc nâng cao nhận thức về an toàn bảo mật và đào tạo cho nhân viên về các biện pháp bảo vệ hệ thống là rất cần thiết, cùng với việc thành lập đội ngũ chuyên môn về an toàn bảo mật hệ thống thông tin.

- Hệ thống máy chủ, máy trạm

Công ty đã đầu tư đầy đủ thiết bị phần cứng để tối ưu hóa sản xuất và cung cấp dịch vụ công nghệ thông tin Hàng năm, ngân sách khoảng 100 triệu đồng được dành cho việc thay mới, bảo trì và nâng cấp cơ sở hạ tầng CNTT và HTTT Số lượng thiết bị trung bình trong mỗi phòng ban đảm bảo hiệu quả trong công việc.

STT Tên thiết bị Số lượng

Số lượng cần bổ sung/thay thế

1 Máy tính để bàn 12 Khá 4

2 Máy tính xách tay 8 Tốt 2

Bảng 2.2: Bảng thống kê số lượng thiết bị phần cứng trung bình trong mỗi phòng ban

(Nguồn: Kết quả xử lý phiếu điều tra)

Hệ thống máy chủ: Số lượng máy chủ 2 cái được cài đặt hệ điều hành linux.

Dell's PowerEdge servers are ideal for file storage for workstations, internet sharing on LAN networks, printer server functionality, and hosting small websites These servers are equipped with Intel Xeon 3400 series processors and run on Microsoft Windows Server.

2008 R2, cung cấp những tính năng cần thiết cho hoạt động của công ty.

Công ty đã trang bị hệ thống máy trạm cho các phòng ban với máy tính để bàn Acer Veriton X480, sở hữu cấu hình mạnh mẽ bao gồm bộ vi xử lý Intel Dual Core E8400 (3.0GHz, 800MHz FSB, 2MB Cache), RAM 4GB DDR3 và ổ cứng SATA 160GB.

Ngoài ra, các máy tính cá nhân là do các nhân viên tự chuẩn bị.

Việc trang bị phần cứng đã hỗ trợ công việc, nhưng chi phí nâng cấp thiết bị vẫn chưa hợp lý Kinh phí hạn hẹp gây khó khăn trong việc thay đổi lắp đặt Mặc dù hệ thống máy tính hoạt động ổn định, nhưng hiệu quả công việc chưa tối ưu do thiết bị cũ và tình trạng quá nhiệt Điều này dẫn đến lỗi máy và treo máy, ảnh hưởng đến quá trình xử lý dữ liệu và đe dọa an toàn bảo mật thông tin, gây ra nguy cơ hỏng hóc và mất mát dữ liệu.

Công ty sử dụng mạng LAN (Local Area Network) với cấu trúc vật lý bus, đảm bảo hiệu suất và kết nối ổn định Máy chủ được đặt ở vị trí an toàn, chỉ cho phép những người có quyền truy cập Hiện tại, công ty đang sử dụng switch TP-Link để quản lý và tối ưu hóa lưu lượng mạng.

STT Tên mạng Tốc độ Kết nối WAN, Internet

1 LAN hữu tuyến (Kết nối dây) Cao Có

2 LAN vô tuyến (Kết nối không dây) Cao Có

Bảng 2.3: Tình hình sử dụng mạng trong công ty

Hình 2.1: Sơ đồ mạng trong công ty

Mạng LAN của công ty được thiết kế theo mô hình server-client, bao gồm một Active Directory (AD) chính và một AD phụ để đảm bảo tính dự phòng Trong trường hợp AD chính gặp sự cố, AD phụ sẽ đảm nhận nhiệm vụ của nó Hệ thống còn có một File server kết nối với một switch chính, từ đó phân phối kết nối đến các switch của các phòng ban trong công ty.

Mô hình lắp đặt thiết bị mạng của công ty hợp lý, nhưng tình trạng tắc nghẽn và quá tải do thiết bị kết nối cũ gây ra là vấn đề nghiêm trọng Việc sử dụng lâu dài dẫn đến hiện tượng nóng và phát sinh sự cố mạng, làm khó khăn cho công việc Hơn nữa, điều này tạo ra nguy cơ lớn cho hệ thống thông tin, nếu kẻ xấu lợi dụng được lỗ hổng này.

Dữ liệu nội bộ trong công ty được chia sẻ qua mạng LAN với hệ thống phân quyền chặt chẽ Nhân viên chỉ có quyền truy cập thông tin liên quan đến công việc cá nhân, trong khi cán bộ cấp cao được cấp quyền truy cập cao hơn tùy theo vị trí Các thư mục lưu trữ sẽ được phân quyền theo địa chỉ IP của máy tính trong công ty, đảm bảo an toàn và bảo mật thông tin.

Việc nhân viên truy cập internet từ mạng nội bộ mà không có sự quản lý hay nhắc nhở có thể dẫn đến rủi ro lộ thông tin cá nhân và tài khoản mạng nội bộ Khi người dùng chuyển mạng mà không đăng xuất, thông tin cá nhân của họ dễ bị đe dọa, ảnh hưởng nghiêm trọng đến an toàn hệ thống thông tin Sự cố đáng tiếc đã xảy ra vào năm 2016 cho thấy tầm quan trọng của việc bảo vệ thông tin trong môi trường làm việc.

Công ty đã trang bị ổ cứng và thẻ nhớ cho nhân viên để sao lưu dữ liệu Tuy nhiên, việc sử dụng thiết bị ngoài công ty mà không được quản lý có thể gây ra rủi ro, như việc mang virus từ các thiết bị sao lưu vào máy tính, dẫn đến nguy cơ mất mát dữ liệu.

Bao gồm phần mềm hệ thống và phần mềm ứng dụng.

Công ty hiện đang sử dụng các phiên bản hệ điều hành Windows từ 2007 trở lên, cùng với hệ điều hành Linux và Mac OS X Việc lựa chọn hệ điều hành phù hợp sẽ phụ thuộc vào từng vị trí công việc cụ thể nhằm tối ưu hóa hiệu suất làm việc.

STT Phần mềm Tên phần mềm Nguồn gốc Nhu cầu nâng cấp/thay thế

1 Công cụ soạn thảo văn bản Microsoft Office

2 Kế toán-tài chính MISA 2012 MISA.JSC Có

3 Quản lý nhân sự AI-HRM AI Việt Nam Không

4 Quản lý quan hệ khách hàng AI- CCOS AI Việt Nam Không

5 Quản lý HTTT và CSDL AI- MIS DB AI Việt Nam Không

Bảng 2.4: Thống kê các phần mềm ứng dụng đang được sử dụng tại công ty

AI Việt Nam là công ty chuyên gia công phần mềm, mang lại nhiều tiện ích trong sản xuất và sử dụng phần mềm nội bộ Việc nâng cấp và điều chỉnh theo yêu cầu trở nên dễ dàng, giúp giảm thiểu tình trạng quá tải hệ thống và lỗ hổng an ninh Điều này không chỉ tiết kiệm chi phí mà còn nâng cao độ an toàn bảo mật cho hệ thống thông tin.

Hiện tại, công ty đang sử dụng hệ thống quản lý thông tin và CSDL AI- MIS

Phân tích, đánh giá thực trạng ATBM trong HTTT của công ty TNHH AI Việt Nam

2.3.1 Phân tích thực trạng ATBM trong HTTT tại công ty TNHH AI Việt Nam

Công ty đã triển khai nhiều chính sách bảo mật thông tin, bao gồm việc sử dụng ổ cứng an toàn, thực hiện sao lưu dữ liệu liên tục, đồng bộ hóa lên mạng, cài đặt phần mềm diệt virus cho tất cả máy tính, thiết lập hệ thống tường lửa và cảnh báo truy cập trái phép.

Hệ thống cửa mã hóa bằng sinh trắc vân tay và thẻ từ để ra-vào công ty.

Sau khi điều tra tại công ty thu được kết quả và xử lý qua SPSS chúng ta thu được kết quả như sau:

Mức độ quan tâm của lãnh đạo công ty đối với việc đảm bảo ATBM cho HTTT

Mức độ sử dụng biện pháp đảm bảo dữ liệu

Bảng 2.5: Bảng mức độ quan tâm của lãnh đạo đối với việc ATBM cho HTTT

Biểu đồ 2.1: Mức độ quan tâm của lãnh đạo đối với ATBM cho HTTT

(Nguồn: Kết quả xử lý phiếu điều tra bằng SPSS)

Dữ liệu cho thấy các nhà lãnh đạo công ty đã nhận thức được tầm quan trọng của việc bảo vệ an toàn và bảo mật hệ thống thông tin, tuy nhiên mức độ quan tâm vẫn chưa cao Chỉ 60% lãnh đạo cho rằng an toàn bảo mật là cần thiết, nhưng chưa coi là đặc biệt quan trọng Đáng chú ý, chỉ 20% lãnh đạo nhận thức đúng về vấn đề này, trong khi một số khác vẫn xem việc bảo mật là bình thường và không quá quan trọng Điều này đặt ra thách thức cho công ty trong việc nâng cao nhận thức về an toàn bảo mật thông tin để có thể triển khai các biện pháp và chính sách hiệu quả hơn.

Mức độ quan trọng của các thành phần trong HTTT của công ty

Mức độ quan trọng Trị số %

Bảng 2.6: Mức độ quan trọng của các thành phần trong HTTT

Yếu tố con người đóng vai trò quan trọng nhất trong toàn hệ thống, chiếm 30%, tiếp theo là phần cứng, phần mềm và cơ sở dữ liệu với 20%, trong khi mạng chỉ chiếm 10% Điều này cho thấy ban lãnh đạo công ty nhận thức rõ ràng về tầm quan trọng của việc tuyển dụng nhân viên hệ thống, yêu cầu quy trình xét tuyển nghiêm ngặt hơn để đảm bảo an toàn cho hệ thống thông tin, nhờ vào đội ngũ nhân viên có đạo đức nghề nghiệp tốt.

Mức độ đáp ứng của cơ sở hạ tầng CNTT đối với việc đảm bảo ATBM cho HTTT của công ty

Bảng 2.7: Mức độ đáp ứng của cơ sở hạ tầng CNTT đối với ATBM hệ thống

Rất tốt Tốt Khá Trung Bình Kém

Rất tốt Tốt Khá Trung bình Kém

Biểu đồ 2.2: Mức độ đáp ứng của cơ sở hạ tầng CNTT với ATBM hệ thống

(Nguồn: Kết quả xử lý phiếu điều tra)

Mặc dù các chỉ số đánh giá cơ sở hạ tầng CNTT về an toàn bảo mật chưa cao, nhưng vẫn ở mức chấp nhận được Hệ thống công nghệ hiện tại đã đủ khả năng duy trì và đảm bảo an toàn bảo mật Với mức đánh giá từ 8/10, đây là con số đáng tin cậy cho sự đáp ứng của công nghệ thông tin.

Mức độ an toàn, bảo mật thông tin trong công ty

Mức độ đánh giá Trị số %

Bảng 2.8: Mức độ an toàn bảo mật thông tin

Mức độ an toàn bảo mật thông tin trong doanh nghiệp hiện chưa cao, với 3 người đánh giá ở mức trung bình và 1 người cho rằng mức độ bảo mật yếu Điều này xuất phát từ các vấn đề về hệ thống mạng trong công ty, khiến nhân viên gặp khó khăn trong việc truy cập và chuyển nhận các gói tin, dẫn đến tình trạng mất gói tin Tình hình này ảnh hưởng nghiêm trọng đến việc đảm bảo an toàn thông tin, do đó, cần sự chú ý từ bộ phận lãnh đạo của công ty.

Các phương pháp, cách thức lưu trữ thông tin cho khách hàng

Phương pháp, cách thức Trị số %

Tài liệu đặc tả hệ thống 2 20%

Hệ quản trị cơ sở dữ liệu 4 40%

Bảng 2.9: Các phương pháp, cách thức lưu trữ thông tin cho khách hàng

Hệ quản trị cơ sở dữ liệu Email

Tài liệu đặc tả hệ thống Server máy chủ

Biểu đồ 2.3: Các phương pháp bảo mật thông tin cho khách hàng

(Nguồn: Kết quả xử lý phiếu điều tra)

Việc quản lý thông tin khách hàng chủ yếu dựa vào hệ quản trị cơ sở dữ liệu, chiếm 40%, tuy không cao nhưng vẫn đảm bảo an toàn trước nguy cơ trộm cắp và rò rỉ thông tin Ngược lại, việc trao đổi và quản lý qua email chiếm tới 30%, tạo ra rủi ro lớn về an ninh dữ liệu Do đó, ban lãnh đạo cần hạn chế việc sử dụng email để trao đổi và lưu trữ thông tin khách hàng nhằm bảo vệ tính bảo mật.

Các hình thức sao lưu

Biện pháp Mức độ sử dụng Trị số %

Sao lưu lên đám mây 3 30%

Bảng 2.10: Các hình thức sao lưu

Sao lưu dữ liệu vào ổ cứng giúp đảm bảo an toàn cao hơn, chỉ bị mất mát khi có nguyên nhân vật lý can thiệp, nhưng lại tốn không gian bộ nhớ Đồng bộ dữ liệu lên mạng mang lại nhiều tiện ích, nhưng dễ bị xâm nhập và đánh cắp Phương pháp bảo mật dữ liệu mà công ty lựa chọn đã được thực hiện để giảm thiểu rủi ro.

Tần suất sao lưu dữ liệu

Tần suất Mức độ Trị số %

Bảng 2.11: Tần suất sao lưu dữ liệu

Dữ liệu của công ty được sao lưu từ 1 đến 3 tháng một lần, tùy thuộc vào loại dữ liệu Các dữ liệu nghiệp vụ được sao lưu hàng tháng, giúp cập nhật nhanh chóng, trong khi dữ liệu tổng hợp và báo cáo được sao lưu từ bốn đến sáu tháng một lần Mặc dù việc sao lưu theo quý là hợp lý, công ty nên xem xét tăng tần suất sao lưu cho dữ liệu nghiệp vụ để giảm thiểu thiệt hại trong trường hợp xảy ra sự cố an toàn thông tin Việc này đảm bảo tính lưu trữ đầy đủ và bảo vệ thông tin hiệu quả.

2.3.2 Đánh giá về thực trạng ATBM trong HTTT của công ty TNHH AI Việt Nam

Qua quá trình thu thập và phân tích kết quả phiếu điều tra, chúng ta nhận thấy tình hình an toàn bảo mật thông tin hệ thống của công ty TNHH AI Việt Nam đang gặp một số thách thức cần được cải thiện.

Công ty đã có bộ phận chuyên trách về CNTT, cũng có kiến thức về ATBM HTTT trong doanh nghiệp.

Kiến thức về hệ thống thông tin (HTTT) và an toàn bảo mật (ATBM) của nhân viên trong công ty hiện nay không đồng đều, với một số bộ phận có trình độ còn thấp, dẫn đến nguy cơ mất an toàn thông tin cho doanh nghiệp Công ty chưa tổ chức khóa đào tạo về an toàn bảo mật, cũng như chưa nâng cao ý thức của nhân viên về việc bảo vệ hệ thống thông tin Để đáp ứng quy mô ngày càng mở rộng và phát triển, công ty cần chú trọng hơn vào việc đào tạo và nâng cao nhận thức của toàn bộ nhân viên về ATBM cho hệ thống thông tin của mình.

Cơ sở hạ tầng CNTT hiện tại đang hoạt động ổn định và đáp ứng tốt các yêu cầu công việc Điều này tạo điều kiện thuận lợi cho việc xây dựng hệ thống đảm bảo an toàn bảo mật thông tin cho công ty.

Công ty cần đầu tư mạnh mẽ hơn vào hạ tầng CNTT, vì hệ thống máy tính hiện tại, mặc dù vẫn hoạt động, nhưng đã lỗi thời Việc này không chỉ làm giảm hiệu suất làm việc mà còn tạo điều kiện thuận lợi cho virus xâm nhập vào máy tính và hệ thống.

Phần mềm nghiệp vụ là những phần mềm bản quyền do công ty sản xuất, giúp tránh rủi ro từ phần mềm miễn phí có thể chứa virus và mã độc Việc mua bản quyền phần mềm không chỉ đảm bảo an toàn mà còn giúp công ty nhận được các bản cập nhật về nguy cơ an toàn thông tin và các bản vá lỗi từ nhà sản xuất Công ty đã triển khai nhiều phần mềm bảo mật như FireWall và giao thức WEP để ngăn chặn truy cập và khai thác dữ liệu trái phép Ngoài ra, công ty cũng chú trọng bảo vệ máy tính khỏi virus bằng cách cài đặt phần mềm diệt virus cho các máy tính trong các phòng ban.

Ngoài phần mềm nghiệp vụ, việc nhân viên tải các phần mềm ứng dụng từ internet mà không qua nguồn kiểm chứng rõ ràng có thể dẫn đến nguy cơ chứa virus và mã độc, xâm nhập vào hệ thống máy tính và mạng của công ty.

Về phần mềm bảo mật công ty chưa cập nhật các phần mềm bảo mật mới, tính năng toàn diện và phù hợp với công ty.

Mạng của công ty được thiết kế và lắp đặt một cách khoa học bởi bộ phận kỹ thuật, đảm bảo tất cả máy tính và phòng ban đều được kết nối Internet và mạng LAN Điều này giúp việc truy cập dữ liệu trở nên dễ dàng và nhanh chóng Công ty cũng đã triển khai các phần mềm bảo mật để ngăn chặn các hành vi truy cập và khai thác dữ liệu trái phép.

ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATBM CHO HTTT CỦA CÔNG TY TNHH AI VIỆT NAM 32 3.1 Định hướng phát triển vể đảm bảo an toàn hệ thống thông tin hiện nay

Định hướng phát triển chung

Để nâng cao hiệu quả đảm bảo an toàn bảo mật thông tin doanh nghiệp, cần triển khai một số giải pháp sơ bộ liên quan đến phần cứng, phần mềm và con người.

- Nâng cấp máy chủ và hệ thống máy tại tổ chức, doanh nghiệp.

- Bảo mật bằng chính sách đối với trang thiết bị.

- Thiết kế hệ thống mạng phù hợp

- Thiết lập giao thức bảo mật đường truyền

- Sử dụng các phần mềm bảo mật, các phần mềm phòng chống virus.

- Không sử dụng các phần mềm không chính thống dưới mọi hình thức

- Mã hóa các công cụ làm việc với CSDL và các ổ đĩa liên quan

Quản lý cơ sở dữ liệu

- Tổ chức nguồn tài nguyên

- Tổ chức quản lý tài khoản h

- Phân quyền người dùng một cách hợp lý.

- Đầu tư đào tạo nhận thức về tầm quan trọng của an toàn bảo mật thông tin và các cách bảo mật thông tin.

- Đào tạo đội ngũ chuyên biệt chuyên quản lý hệ thống và bảo mật CSDL.

Định hướng phát triển của công ty

Theo như chính sách ban hành, công ty đặt ra các mục tiêu cụ thể cho việc đảm bảo an toàn bảo mật như sau:

Để tăng cường tính cạnh tranh và uy tín trên thị trường, công ty cần đảm bảo an toàn và bảo mật cho hệ thống thông tin, đồng thời bảo vệ tính bí mật của cơ sở dữ liệu, bao gồm thông tin nội bộ, khách hàng và đối tác.

Xây dựng và nâng cấp hệ thống thông tin (HTTT) nhằm hỗ trợ các nghiệp vụ của công ty là cần thiết để rút ngắn thời gian và nâng cao năng suất làm việc, đồng thời giảm thiểu tổn thất về tài chính và nguồn nhân lực.

Tổ chức quản lý cơ sở dữ liệu là cần thiết để đảm bảo an toàn và bảo mật cho dữ liệu của công ty, từ đó giảm thiểu rủi ro và ngăn chặn thất thoát thông tin quan trọng.

Tổ chức các buổi đào tạo cho nhân viên là cách hiệu quả để nâng cao kiến thức về an toàn bảo mật Những buổi training này giúp tăng cường ý thức bảo vệ an toàn hệ thống, từ đó giảm thiểu rủi ro và nâng cao hiệu quả làm việc.

Công ty đã đặt ra các mục tiêu nhằm tăng cường an toàn bảo mật cho hệ thống Bài khóa luận này sẽ phân tích sâu và đề xuất một số giải pháp để đạt được những mục tiêu đó.

Giải pháp nâng cao an toàn bảo mật cho hệ thống thông tin công ty TNHH

Trong thời đại công nghệ thông tin phát triển nhanh chóng, việc truyền, tiếp nhận và lưu trữ dữ liệu trở nên dễ dàng hơn bao giờ hết Tuy nhiên, điều này cũng kéo theo nguy cơ xâm nhập và trộm cắp dữ liệu, đặc biệt là dữ liệu quan trọng của các doanh nghiệp, quyết định sự phát triển và thành bại của họ Công ty TNHH AI Việt Nam cũng không nằm ngoài vòng xoáy này, vì vậy cần thiết phải triển khai các giải pháp bảo mật hệ thống thông tin nhằm đảm bảo an toàn dữ liệu và ngăn ngừa các rủi ro không đáng có.

3.2.1.1 Giải pháp đối với các trang thiết bị

Một trong những cách phổ biến để lấy thông tin ra khỏi tổ chức là sao chép vào thiết bị lưu trữ ngoài như ổ USB và thẻ nhớ, có giá thành rẻ và dung lượng cao Dữ liệu cũng có thể được chuyển sang iPod, MP3 player hoặc đĩa CD, DVD thông qua ổ ghi Để ngăn chặn tình trạng mất dữ liệu, Công ty TNHH AI Việt Nam cần hạn chế cài đặt thiết bị USB bằng cách gỡ bỏ cổng vật lý Công ty cũng có thể sử dụng phần mềm để vô hiệu hóa việc sử dụng thiết bị ngoài trên máy tính cá nhân hoặc toàn bộ mạng thông qua Group Policy, cho phép chỉ cài đặt thiết bị trong danh sách cho phép Phần mềm này còn từ chối việc đọc và ghi dữ liệu từ các thiết bị có thể tháo rời, giúp giảm rủi ro mất trộm dữ liệu và tiết kiệm chi phí hỗ trợ cho công ty.

Nhiều doanh nghiệp vừa và nhỏ tại Việt Nam chưa chú trọng đến bảo mật thông tin, dẫn đến việc nhân viên tự do truy cập Internet mà không kiểm soát Điều này không chỉ gây ra rủi ro về thất thoát thông tin mà còn làm giảm năng suất lao động do nhân viên thường xuyên bị phân tâm bởi các hoạt động như đọc báo, chơi game và sử dụng mạng xã hội Hơn nữa, việc sử dụng Internet không an toàn có thể khiến máy tính bị nhiễm virus và phần mềm độc hại, gây gián đoạn công việc Để khắc phục tình trạng này, Công ty TNHH AI Việt Nam nên triển khai các thiết bị bảo mật như Cisco RV016, với các tính năng nổi bật như kiểm tra trạng thái gói tin, lọc URL, lọc nội dung và lọc web.

Để đảm bảo sự phát triển bền vững, hệ thống thông tin cần luôn sẵn sàng cung cấp thông tin 24/7, vì vậy máy chủ đóng vai trò quan trọng trong hoạt động của doanh nghiệp Tại công ty TNHH AI Việt Nam, máy chủ đã được đưa vào sử dụng từ năm 2003, nhưng với sự phát triển nhanh chóng của công nghệ thông tin hiện nay, công ty cần nâng cấp hệ thống máy chủ để đảm bảo an toàn và bảo mật cho hệ thống thông tin.

Trước khi nâng cấp máy chủ, người quản trị cần sao lưu toàn bộ dữ liệu quan trọng để tránh mất mát thông tin Sau khi nâng cấp, việc kiểm tra bản ghi là rất cần thiết; không nên chỉ dựa vào việc máy chủ hoạt động trở lại mà bỏ qua việc xem xét các file bản ghi, báo cáo lỗi, hoạt động backup và các sự kiện quan trọng khác một cách kỹ lưỡng.

Thực hiện sao lưu và phục hồi dữ liệu thường xuyên

Mục đích của việc sao lưu và khôi phục dữ liệu là đưa hệ thống về trạng thái ban đầu trước khi xảy ra sự cố Sự cố ảnh hưởng đến dữ liệu có thể xuất phát từ các nguyên nhân khách quan hoặc chủ quan.

Hiện nay, công ty cần thực hiện sao lưu dữ liệu hàng tháng, nhưng thời gian này quá lâu, do đó cần tăng tần suất sao lưu lên một tuần một lần để bảo vệ dữ liệu khỏi mất mát Nếu hệ thống bị sập hoàn toàn, lượng dữ liệu mất mát sẽ rất lớn Công ty đang sử dụng tiện ích sao lưu tích hợp trong Windows (ntbackup.exe) cho các tiến trình sao lưu cơ bản Ngoài ra, có thể sử dụng chế độ Wizard Mode để đơn giản hóa việc tạo và khôi phục các file sao lưu, hoặc cấu hình thủ công các cài đặt và lên lịch tự động cho tác vụ sao lưu.

Sao lưu dữ liệu là quá trình tạo bản sao của dữ liệu gốc và lưu trữ chúng ở một vị trí an toàn, nhằm khôi phục khi hệ thống gặp sự cố Đây là phương pháp hiệu quả nhất hiện nay để bảo vệ dữ liệu trên máy tính.

-Hệ thống phân quyền truy cập

Hệ thống phân quyền truy cập của công ty được chia thành ba loại: quyền truy cập trên phân hệ, quyền truy cập nâng cao và quyền truy cập vào phần thiết lập cấu hình Quyền truy cập trên phân hệ bao gồm các chức năng cơ bản như chỉ đọc, thêm mới, sửa đổi và xóa thông tin Quyền truy cập nâng cao cho phép người dùng xử lý dữ liệu trùng lặp và xem dữ liệu thuộc sở hữu của mình Cuối cùng, quyền truy cập vào phần thiết lập cấu hình cho phép người dùng thiết lập và thay đổi cấu hình quản lý truy cập cũng như phân quyền cho các người dùng khác.

Mỗi nhân viên được phân quyền truy cập khác nhau dựa trên chức vụ của họ, với hầu hết các nhân viên trong một phòng có quyền truy cập tương tự đến dữ liệu công việc Khi tạo phòng ban mới, cần chỉ định quyền truy cập cho tất cả nhân viên, với quyền mặc định thừa kế từ phòng ban cha, nhưng cần điều chỉnh cho phù hợp với yêu cầu an toàn thông tin doanh nghiệp Đối với người dùng mới trong phòng ban, họ sẽ tự động nhận quyền truy cập mặc định, nhưng có thể điều chỉnh quyền hạn để phù hợp với nhu cầu cụ thể của từng người dùng.

- Giao thức bảo mật đường truyền

Giao thức WEP - Wired Equivalent Privacy

Giao thức WEP đảm bảo tính bảo mật cho mạng không dây tương đương với mạng nối cáp truyền thống thông qua mã hóa dữ liệu bằng thuật toán đối xứng RC4 Thuật toán này cho phép sử dụng chiều dài khóa thay đổi, tối đa lên đến 256 bit, với các tùy chọn phổ biến là 40bit, 64bit và 128bit Đối với Công ty TNHH AI Việt Nam, hệ thống thông tin không quá phức tạp nên công ty chọn sử dụng WEP với chiều dài khóa từ 64bit trở lên để đảm bảo an toàn bảo mật cho thông tin.

WEP sử dụng thuật toán RC4, một phương thức mã hóa dòng, yêu cầu một cơ chế đảm bảo rằng hai dữ liệu giống nhau sẽ cho ra kết quả khác nhau khi mã hóa hai lần Điều này rất quan trọng trong việc mã hóa dữ liệu để giảm thiểu khả năng hacker suy đoán khóa.

Khi sử dụng RC4 với giá trị Initialization Vector (IV), công ty cần chú ý rằng việc sử dụng cùng một IV có thể dẫn đến vấn đề va chạm, làm lộ IV và dễ dàng bẻ khóa WEP Hơn nữa, tấn công thụ động ngày càng phát triển, gây khó khăn cho việc bảo mật dữ liệu.

Để nâng cao bảo mật khi sử dụng WEP, nhân viên cần kết hợp WEP với các giải pháp bảo mật khác Việc sử dụng khóa WEP có độ dài từ 64 bit trở lên sẽ tăng cường mức độ an toàn, giúp gia tăng số lượng gói dữ liệu mà hacker cần phân tích IV, từ đó gây khó khăn và kéo dài thời gian giải mã khóa WEP.

IPsec là một giải pháp bảo mật dữ liệu hiệu quả trên mạng LAN và Internet Người quản trị có thể cấu hình IPsec thông qua việc thiết lập các chính sách giao tiếp, được gọi là IPsec Policy Những chính sách này xác định các loại giao thức cần được mã hóa, các giao thức cần được ký số, và những giao thức sử dụng cả hai phương pháp bảo mật này.

Giai đoạn 1: thiết lập giao tiếp giữa 2 máy chủ của công ty

Giai đoạn 2: thiết lập giao tiếp giữa máy chủ và các máy trạm, và giữa các máy trạm với nhau.

IPSEC cung cấp các khả năng bảo mật sau:

- Chứng thực lẫn nhau trước và cả trong khi hai hệ thống giao tiếp với nhau.

Một số kiến nghị đối với công ty

Đảm bảo an toàn bảo mật thông tin hệ thống (ATBM HTTT) tại Công ty TNHH AI Việt Nam không chỉ là trách nhiệm của người quản trị hệ thống, mà là nhiệm vụ của tất cả nhân viên Mỗi cá nhân cần ý thức bảo vệ thông tin và hệ thống thông tin như một tài sản thiết yếu của doanh nghiệp Điều này cần được coi là một phần quan trọng trong văn hóa kinh doanh của công ty.

Dưới đây là một số kiến nghị chung nhằm thúc đẩy việc đảm bảo ATBM HTTT:

- Đầu tư trang thiết bị và các phần mềm hỗ trợ

Để nâng cao hiệu quả hoạt động, công ty cần nhanh chóng đầu tư vào cơ sở hạ tầng máy móc và phần mềm bảo mật Hiện tại, bộ sản phẩm Kaspersky Small Office Security cho 1 máy chủ và 10 máy trạm có giá 3.230.000 VNĐ, là lựa chọn phù hợp để bảo vệ dữ liệu và hệ thống của công ty.

Các trang thiết bị công nghệ thông tin cần được kiểm tra thường xuyên và khắc phục lỗi kịp thời Việc thay thế các thiết bị cũ, như máy tính và thiết bị kết nối không còn hiệu quả, là rất quan trọng Hệ thống camera tại nơi làm việc nên được thiết lập để theo dõi hoạt động ra vào, đồng thời sử dụng các máy chủ để quản lý dữ liệu Ngoài ra, cần quản lý truy cập từ điện thoại và máy tính bên ngoài vào hệ thống mạng của công ty để đảm bảo an toàn thông tin.

Quản lý việc gửi, nhận email và chia sẻ file qua mạng xã hội là rất quan trọng để bảo vệ dữ liệu Cần sử dụng thiết bị lưu trữ di động của nhân viên một cách an toàn nhằm tránh việc sao chép dữ liệu hoặc lây lan virus vào hệ thống Hơn nữa, thiết lập quy định về sao lưu và lưu trữ dữ liệu, cũng như phương thức khắc phục sự cố là cần thiết Đối với các thiết bị lưu trữ thông tin quan trọng như máy chủ và ổ cứng di động, cần có biện pháp quản lý khi mang ra ngoài Cuối cùng, lập danh sách phần mềm được phép cài đặt và sử dụng trên máy tính cá nhân của công ty là một bước quan trọng trong việc đảm bảo an toàn thông tin.

-Đào tạo nhân lực trong công ty

Công ty cần chú trọng đào tạo nhân viên về công nghệ thông tin (CNTT), không chỉ nâng cao kiến thức chuyên môn mà còn phát triển các kỹ năng mềm Những kỹ năng quan trọng bao gồm giao tiếp ngoại ngữ, tư duy độc lập và khả năng làm việc nhóm Việc này sẽ giúp nhân viên cải thiện hiệu suất làm việc và đáp ứng tốt hơn với yêu cầu công việc.

Công ty cần thực hiện nghiêm túc các chính sách và quy định về an toàn bảo mật thông tin hệ thống thông tin (ATBM HTTT) đối với nhân viên Việc quản lý nhân viên một cách chặt chẽ và yêu cầu ký thỏa thuận bảo mật thông tin khách hàng là rất quan trọng Tất cả thông tin của khách hàng, đối tác và thông tin nội bộ của công ty phải được bảo mật, và mọi nhân viên đều phải ký thỏa thuận này để đảm bảo sự an toàn cho dữ liệu.

Để đảm bảo an toàn bảo mật cho hệ thống thông tin, công ty cần thành lập một bộ phận chuyên trách và đào tạo toàn bộ nhân viên Việc trang bị kiến thức về an toàn thông tin có thể thực hiện thông qua các khóa đào tạo tại doanh nghiệp lớn hoặc hình thức online Khi tuyển dụng, công ty nên yêu cầu ứng viên có kiến thức chuyên môn sâu về an toàn bảo mật, đặc biệt là những người tốt nghiệp ngành CNTT và HTTT quản lý Điều này không chỉ giúp công ty nâng cao năng lực bảo mật mà còn tạo điều kiện thuận lợi cho hoạt động của toàn bộ bộ máy.

Ngày đăng: 17/11/2023, 06:34

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
1. Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội Sách, tạp chí
Tiêu đề: Bài giảng Hệ thống thông tin quản lý
Tác giả: Bộ môn Công nghệ thông tin
Năm: 2010
2. Bộ môn công nghệ thông tin, Bài giảng an toàn bà bảo mật thông tin, Đại học Nha Trang Sách, tạp chí
Tiêu đề: Bài giảng an toàn bà bảo mật thông tin
3. Đàm Gia Mạnh (2009), Giáo trình An toàn dữ liệu trong Thương mại điện tử, Nhà xuất bản Thống kê, Hà Nội Sách, tạp chí
Tiêu đề: Giáo trình An toàn dữ liệu trong Thương mại điện tử
Tác giả: Đàm Gia Mạnh
Nhà XB: Nhà xuất bản Thống kê
Năm: 2009
4. Nguyễn Thị Hội, Bài giảng an toàn bảo mật thông tin doanh nghiệp, bộ môn Công nghệ Thông tin, khoa Hệ Thống Thông Tin Kinh Tế, trường đại học Thương Mại Sách, tạp chí
Tiêu đề: Bài giảng an toàn bảo mật thông tin doanh nghiệp
5. Giáo trình mạng máy tính và truyền thông, Đại học Thương Mại 6. Giáo trình an toàn và bảo mật thông tin, Đại học Bách Khoa Hà Nội Sách, tạp chí
Tiêu đề: Giáo trình mạng máy tính và truyền thông", Đại học Thương Mại6. "Giáo trình an toàn và bảo mật thông tin
9. Tài liệu trong công ty: Báo cáo kết quả kinh doanh năm 2014 – 2016, tài liệu về cơ cấu tổ chức.h Sách, tạp chí
Tiêu đề: Tài liệu trong công ty: "Báo cáo kết quả kinh doanh năm 2014 – 2016, tài liệu vềcơ cấu tổ chức

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w