Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội

Kết cấu khóa luận...4 CHƯƠNG 2: CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI...5 2.1.. Tuy nhiên,

MỤC LỤC

MỤC LỤC i

DANH MỤC TỪ VIẾT TẮT iii

DANH MỤC BẢNG BIỂU iv

DANH MỤC HÌNH ẢNH v

CHƯƠNG 1: TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP 1

1.1 Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp 1

1.2 Tổng quan về vấn đề nghiên cứu 1

1.3 Mục tiêu của đề tài 3

1.4 Đối tượng và phạm vi nghiên cứu 3

1.5 Phương pháp thực hiện đề tài 3

1.6 Kết cấu khóa luận 4

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI 5

2.1 Cơ sở lý luận về hệ thống đảm bảo an toàn thông tin doanh nghiệp 5

2.1.1 Khái niệm cơ bản về đảm bảo an toàn thông tin 5

2.1.2 Hệ thống đảm bảo an toàn thông tin cho doanh nghiệp 7

2.1.3 Phân định nội dung nghiên cứu 14

2.2 Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công nghệ y dược Hà Nội 15

2.2.1 Giới thiệu về Công ty cổ phần công nghệ y dược Hà Nội 15

2.2.2 Khái quát về hoạt động kinh doanh của Công ty 18

2.2.3 Thực trạng về vấn đề an toàn thông tin của Công ty 19

CHƯƠNG 3: NGHIÊN CỨU VÀ ĐỀ XUẤT NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN CHO CÔNG TY CỔ PHẦN CÔNG NGHỆ Y DƯỢC HÀ NỘI 28

3.1 Định hướng phát triển đảm bảo an toàn thông tin cho công ty cổ phần công nghệ y dược Hà Nội 28

3.2 Đề xuất đảm bảo an toàn thông tin cho Công ty 28

3.2.2 Phần mềm 30

3.2.3 Cơ sở dữ liệu 33

3.2.4 Hệ thống mạng 34

3.2.5 Đào tạo nhân lực 35

3.3 Một số kiến nghị 36

KẾT LUẬN 38

TÀI LIỆU THAM KHẢO 39 PHỤ LỤC 40

DANH MỤC TỪ VIẾT TẮT

ATTT : An toàn thông tin

CNTT : Công nghệ thông tin

CSDL : Cơ sở dữ liệu

HTTT : Hệ thống thông tin

TMĐT : Thương mại điện tử

SET : An toàn giao dịch điện tử (Secure Electronic Transaction) SSL : Lớp ổ cắm an toàn (Secure Sockets Layer)

TLS : An ninh tầng giao vận (Transport Layer Security)

DANH MỤC BẢNG BIỂU

Biểu đồ 2.1: Các hình thức tấn công vào HTTT doanh nghiệp 9

Bảng 2.1: Cơ cấu doanh thu công ty năm 2010-2012 19

Biểu đồ 2.2: Các hình thức giao dịch chủ yếu của công ty 21

Biểu đồ 2.3: Mức độ trang bị thiết bị phần cứngbảo mật 22

Biểu đồ 2.4: Cách thức đảm bảo ATTT được sử dụng 22

Biểu đồ 2.5: Cách thức bảo vệ CSDL trong Công ty 23

Biểu đồ 2.6: Trình độ hiểu biết của nhân viên về ATTT 24

Biểu đồ 2.7: Tần suất sao lưu dữ liệu của công ty 24

Biểu đồ 2.8: Nhận thức về tầm quan trọng của ATTT 25

Biểu đồ 2.9: Trở ngại khi phát triển ATTT của công ty 25

DANH MỤC HÌNH ẢNH

Hình 2.1: Sơ đồ cơ cấu tổ chức của công ty 17

Hình 2.2: Quy trình thông tin trong quản lý kinh tế 20

Hình 3.1: Cisco RV016 Multi-WAN VPN Router 29

Hình 3.2: Cấu hình điển hình 30

CHƯƠNG 1

TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH

NGHIỆP 1.1 Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp

Thông tin đã trở thành một vấn đề sống còn đối với mọi lĩnh vực của đời sốngkinh tế - xã hội đặc biệt là trong lĩnh vực quản lý kinh tế Nó quyết định sự thành bạicủa các doanh nghiệp trên thương trường nếu họ biết sử dụng thông tin như thế nàosao cho đạt hiệu quả nhất Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thôngtin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúcđẩy nền kinh tế mở rộng và phát triển.Vì vậy, trong quá trình quản lý các cơ quan,doanh nghiệp phải thấy được vai trò của thông tin Nó không những giúp doanh nghiệpđáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất,giúp cho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước

Có thể coi thông tin như là linh hồn của doanh nghiệp, nó quyết định mọi hoạtđộng hàng ngày của doanh nghiệp Nhưng cũng chính vì tầm quan trọng đó mà khithông tin bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp

Là một doanh nghiệp mới thành lập, Công ty cổ phần công nghệ y dược Hà Nộivẫn chưa có sự đầu tư đúng mức cho vấn đề ATTT của mình Việc thu thập, xử lý và

sử dụng thông tin của Công ty vẫn còn rời rạc, chưa nhất quán và đặc biệt không đảm

bảo tính an toàn Do đó, bài nghiên cứu“Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội” đánh giá thực trạng ATTT đề xuất

một số giải pháp nhằm đảm bảo an toàn thông tin cho Công ty

1.2 Tổng quan về vấn đề nghiên cứu

 Tình hình nghiên cứu ở Việt Nam

Đã có khá nhiều những công trình nghiên cứu về vấn đề này:

 Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại

điện tử”, Nguyễn Tuấn Anh, Khoa CNTT, Đại học Bách Khoa.

Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo antoàn thông tin trong TMĐT như: mã hóa, chữ ký số…

Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo antoàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nóichung và đi sâu vào một doanh nghiệp cụ thể.

 Đồ án tốt nghiệp “Nghiên cứu đảm bảo an toàn thông tin bằng kiểm soát truy nhập”,

Đoàn Trọng Hiệp, Khoa CNTT, Đại học dân lập Hải Phòng

Đồ án giúp ta hiểu rõ hơn về các kĩ thuật, phương pháp và mô hình kiểm soáttruy nhập nhằm đảm bảo an toàn thông tin

Nhưng kết quả của đồ án chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại cácvấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức cụ thể nào

 Tình hình nghiên cứu trên thế giới

Từ những năm 1980, cùng với sự phát triển của CNTT trên thế giới, HTTT cũngbắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp Từ đó, vấn đề an ninh thông tinđược đặt ra Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:

 “Information Systems Security Desings Methods: Implications for Information

Sysytems Deverlopment” Richard Baskerville, School of Managerment,

Binghamton, New York (1993)

 “Information Systems Security Management in the New Millenium”, Gurpeet

Dhillon and James Backhouse, Spain

 “Management Planting Guidce for Information Systems Security Auditing”,

National State Auditors Association and the US General Accounting Office.Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới Các tàiliệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng đều hướng tớimục tiêu chung là xây dựng một HTTT an toàn

Tóm lại, dù ở Việt Nam hay trên thế giới, vấn đề an toàn thông tin cũng ngàycàng được quan tâm, chú ý nhiều hơn Những lỗ hổng bảo mật gia tăng từng ngàyđồng nghĩa với việc các công trình nghiên cứu về an toàn bảo mật thông tin cũng ngàycàng nhiều thêm Tuy vậy, mỗi nghiên cứu được đặt trong một hoàn cảnh khác nhau

và không tránh khỏi những thiếu sót, do đó, việc nghiên cứu đảm bảo an toàn thông tinvới điều kiện cụ thể tại Công ty công nghệ y dược hà nội thương là thực sự cần thiết

1.3 Mục tiêu của đề tài

 Đánh giá thực trạng vấn đề an toàn thông tin tại Công ty cổ phần công nghệ ydược Hà Nội

 Đề xuất một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần côngnghệ y dược Hà Nội, nhằm nâng cao năng lực hoạt động của Công ty, tăng niềm tincủa khách hàng đối với Công ty, từ đó nâng cao vị thế cạnh tranh của HKH trên thị trường

1.4 Đối tượng và phạm vi nghiên cứu

 Đối tượng nghiên cứu

Cần nghiên cứu hệ thống cơ sở lý luận về an toàn thông tin, về an toàn bảo mậtthông tin trong doanh nghiệp và tất cả các yếu tố có liên quan đến bảo mật của Công

ty cổ phần công nghệ y dược Hà Nội

 Phạm vi nghiên cứu

 Phạm vi về không gian

Nội dung của đề tài nghiên cứu của đề tài chỉ mang tính vi mô, hướng tới mộtdoanh nghiệp cụ thể - Công ty cổ phần công nghệ y dược Hà Nội, được đặt trong bốicảnh nền kinh tế với sự phát triển mạnh mẽ của CNTT

 Phạm vi về thời gian

Quá trình nghiên cứu sẽ được thực hiện dựa trên tình hình hoạt động của công

ty trong ba năm gần đây (từ 2010 đến 2012)

1.5 Phương pháp thực hiện đề tài

Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số phươngpháp đã được sử dụng như sau:

 Thu thập và phân tích số liệu thứ cấp ở Công ty, bằng những phiếu điều tra,bảng câu hỏi, hồ sơ lưu trữ, internet

 Phỏng vấn trực tiếp ít nhất mười người trong công ty bao gồm các nhà quản

lý và nhân viên về tình hình an toàn thông tin trong công ty

 Điều tra gián tiếp thông qua mẫu phiếu điều tra từ mười tới mười lăm câu hỏigửi tới các phòng ban trong công ty

 Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo an toàn thông tin choCông ty.

 Xử lý số liệu bằng excel, phần mềm

1.6 Kết cấu khóa luận

Cấu trúc khóa luận gồm 3 chương:

Chương 1: Tổng quan về đảm bảo ATTT trong doanh nghiệp

Chương 2: Cơ sở lý luận về đảm bảo ATTT doanh nghiệp và Thực trạng về vấn đềATTT trong Công ty cổ phần công nghệ y dược Hà Nội

Chương 3: Nghiên cứu và đề xuất giải pháp an toàn thông tin cho Công ty cổ phầncông nghệ y dược Hà Nội

CHƯƠNG 2

CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG

CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI

2.1 Cơ sở lý luận về hệ thống đảm bảo an toàn thông tin doanh nghiệp

2.1.1 Khái niệm cơ bản về đảm bảo an toàn thông tin

a Thông tin trong doanh nghiệp

 Khái niệm thông tin

Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?

Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trongthế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng

“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,

tổng hợp…), phù hợp với mục đích của người sử dụng Nói cách khác, thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng” (Bài

giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại).

Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nốiquan hệ, là dữ liệu đã được xử lý để trở nên hữu ích

Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận đượcliên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể

 Đối tượng khai thác và sử dụng thông tin

Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết định

Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết địnhcủa bản thân mình Vì vậy, mọi thành viên trong xã hội con người cần khai thác và sử dụngthông tin để phục vụ cho cuộc sống của mình

Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảmbảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạtđộng của cá nhân và đơn vị mình Trước đây người ta hiểu rằng thông tin chỉ nhằm đểphục vụ cho các công việc quản lý điều hành của người lãnh đạo Gần đây người ta

nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyếtđịnh của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động Trong hoạt độngtác nghiệp, thông tin cần được sử dụng bởi các nhân viên; trong hoạt động quản lý,điều hành, thông tin cần được sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp.Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấpcao trong việc đề ra các quyết định về chiến lược hoạt động của tổ chức.

 Vai trò của thông tin

Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nềnkinh tế thị trường Có thể nói rằng, doanh nghiệp cần thông tin như cá cần nước

Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽmất đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chínhxác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽtrở nên thiếu tin cậy Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyếtđịnh kinh doanh kịp thời, hợp lý và ít rủi ro

b Đảm bảo an toàn thông tin

 An toàn thông tin

Thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửađổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép

Thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủyếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đếnmức độ nguy hiểm cho chủ sở hữu [1]

 Bảo mật thông tin

Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin

 Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người đượccấp quyền tương ứng

 Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tinchỉ được thay đổi bởi những người được cấp quyền

 Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có thểtruy xuất thông tin khi họ cần

Thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin đượcđảm bảo theo đúng tiêu chí trong một thời gian xác định.

 Các phương pháp đảm bảo ATTT

 Thiết lập và cấu hình hệ thống máy chủ an toàn

 Thiết lập và cấu hình cơ sở dữ liệu an toàn; cài đặt các ứng dụng bảo vệ…

 Thiết lập cơ chế sao lưu và phục hồi và một số biện pháp kỹ thuật chống tấncông từ chối dịch vụ (DDoS)

Trong đó, việc thiết lập, cấu hình hệ thống máy chủ và cơ sở dữ liệu an toàn làrất quan trọng trong việc đảm bảo ATTT vì sẽ giúp giảm thiểu hay tránh các lỗi có thểdẫn đến khả năng bị tấn công

2.1.2 Hệ thống đảm bảo an toàn thông tin cho doanh nghiệp

a Khái quát về an toàn thông tin trong doanh nghiệp

Thống kê cho thấy tại Việt Nam năm 2009 đã có 1.037 website đã bị hacker tấncông Trong khi đó việc không đầu tư xứng đáng cho bảo mật thông tin cũng đặt doanhnghiệp trước nguy cơ lớn về mất an toàn thông tin Theo khảo sát, tỷ lệ chi cho bảo mậtthông tin từ ngân sách IT của ngành công nghệ là 22,6%, dược 16,4%, dịch vụ tài chính16,3%, dịch vụ công cộng 15,2%, dịch vụ chăm sóc sức khỏe và năng lượng 12,9% Mặtkhác, một trong những nguyên nhân khiến các doanh nghiệp bị rò rỉ thông tin nhiều nhấtnhưng lại khó đề phòng nhất, chính là từ nội bộ doanh nghiệp Có tới 65% doanh nghiệpgặp các vấn đề về bảo mật thông tin là do bị tấn công bởi chính nhân viên nội bộ Có thểthấy rằng, bên cạnh những lợi ích từ sự phát triển công nghệ thông tin, các tổ chức vàdoanh nghiệp cũng đồng thời phải đối diện với cuộc chiến cam go nhằm bảo vệ thông tintrong kinh doanh

Báo cáo “Hiện trạng An toàn thông tin trong các tổ chức doanh nghiệp Việt Nam2011” cho thấy, có tới 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn

để ứng phó với những cuộc tấn công máy tính Ba công nghệ được dùng nhiều nhất vẫn làphần mềm chống virus, tường lửa và bộ lọc chống thư rác.  Những công nghệ chuyên sâuhoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số… có tỷ

lệ sử dụng thấp hơn hẳn (khoảng 20-30%) Đặc biệt, những công nghệ bảo mật cấp cao

như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học… mớiđược ứng dụng rất hạn chế tại VN (dao động quanh ngưỡng 5%).

b Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá

An toàn bảo mật giúp cho việc quản lý thông tin trở nên rõ ràng, minh bạchhơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việcgiảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanhnghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh.Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức

Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệthại đến hoạt động kinh doanh sản xuất của doanh nghiệp

Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quantrọng trong sự nghiệp phát triển của doanh nghiệp

c Các nguy cơ mất an toàn thông tin trong doanh nghiệp

Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:

 Nguy cơ ngẫu nhiên

Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quannhư thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là nhữngnguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải lànguy cơ chính của việc mất ATTT

 Nguy cơ có chủ định

(Nguồn: Bộ thông tin và truyền thông-VNCERT)

Biểu đồ 2.1 Các hình thức tấn công vào HTTT doanh nghiệp.

Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTTcũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng tađang đứng trong nhóm những nước có nguy cơ mất ATTT cao nhất Theo đánh giácủa các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc

tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công tythương mại điện tử liên tục xảy ra Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại

về kinh tế nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, pháttriển của nền kinh tế

Một cuộc khảo sát đối với 300 doanh nghiệp về ATTT tính từ tháng 1-2010 đếntháng 6-2012 cho thấy có 33% doanh nghiệp cho hay họ đã phát hiện sự cố tấn công

an ninh mạng, giảm 1% so với năm 2009 Tuy nhiên, 29% doanh nghiệp không thểbiết được hệ thống mạng của mình có bị tấn công hay không Trong số cuộc tấn công

an ninh mạng được phát hiện, có 27,5% do Trojan hay Rootkit, 42% là do virus hayworm Hầu hết các doanh nghiệp nhận định rằng, động cơ tấn công để thu lợi bất chínhtăng lên gấp 3 lần so với năm trước 40% doanh nghiệp ước tính mức độ thiệt hại lớnnhất do các sự cố gây ra là từ virus

Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp Trên thực

tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từchính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật (thiết bị mạng, máy chủ,

HTTT…); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trong quytrình, chính sách an ninh bảo mật, nguy cơ do yếu tố con người (vận hành, đạo đứcnghề nghiệp)

d Các phương pháp phòng tránh và khắc phục

 Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuậtnhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải

Để phòng tránh nguy cơ mất ATTT, trước hết, doanh nghiệp cần bố trí nhân lực

để tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT vàngăn chặn, khắc phục kịp thời các sự cố ATTT trên mạng máy tính Đặc biệt, cần bốtrí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho cácHTTT, lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo,phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơmất ATTT khi sử dụng mạng Internet

Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảoATTT, chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân cókết nối mạng Internet

 Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuậtnhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó

Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồimáy chủ, máy trạm

Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trungbiên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng

Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tănglên bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khácthường cần thực hiện các bước cơ bản sau:

 Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng

 Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ(phục vụ cho công tác phân tích)

 Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để

hệ thống hoạt động

e Các thành phần cơ bản của hệ thống đảm bảo an toàn thông tin

 Phần cứng

Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy

tính như là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi

xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổDVD,

Dựa trên chức năng và cách thức hoạt động người ta còn phân biệt phầncứng ra thành:

 Thiết bị nhập (Input): Các bộ phận thu nhập dữ liệu hay mệnh lệnh như là

bàn phím, chuột

 Thiết bị xuất (Output): Các bộ phận trả lời, phát tín hiệu, hay thực thi lệnh ra

bên ngoài như là màn hình, máy in, loa

 Thiết bị xử lý (Processing Device): Các thiết bị xử lý dữ liệu, thông tin như

bộ vi xử lý CPU, bo mạch chủ Mainboard

 Thiết bị lưu trữ (Storage Device): Các thiết bị dùng để lưu trữ dữ liệunhư ROM, RAM, ổ cứng (HDD) và các thiết bị lưu trữ ngoài như thẻ nhớ, USB, ổcứng ngoài…

 Phần mềm

Phần mềm (tiếng Việt còn được gọi là nhu liệu; tiếng Anh: software) là một tậphợp những câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tựxác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào đó

Theo phương thức hoạt động, phần mềm được chia thành hai loại:

 Phần mềm hệ thống: dùng để vận hành máy tính và các phần cứng máy tính, ví

dụ như các hệ điều hành máy tính Windows XP, Linux, Unix, các thư viện động (còngọi là thư viện liên kết động - DLL) của hệ điều hành, các trình điều khiển (driver),phần sụn(firmware) và BIOS Đây là các loại phần mềm mà hệ điều hành liên lạc vớichúng để điều khiển và quản lý các thiết bị phần cứng

 Phần mềm ứng dụng: để người sử dụng có thể hoàn thành một hay nhiều côngviệc nào đó, ví dụ như các phần mềm văn phòng (Microsoft Offices, FoxPro, ), phầnmềm doanh nghiệp, phần mềm giáo dục, cơ sở dữ liệu, phần mềm trò chơi, chươngtrình tiện ích, hay các loại phần mềm ác tính

 Bộ chuyển mạch mạng (Switch): thiết bị cho khả năng kết nối các hệ thốngđầu cuối và chuyển mạch dữ liệu trong nội bộ của một mạng.

 Bộ định tuyến mạng (Router): thiết bị kết nối các mạng nhỏ lại với nhau và

có khả năng lựa chọn đường đi của dữ liệu giữa các mạng

 Cơ sở dữ liệu

CSDL là một bộ sưu tập rất lớn về các loại dữ liệu tác nghiệp, bao gồm các loại

dữ liệu âm thanh, tiếng nói, chữ viết, văn bản, đồ hoạ, hình ảnh tĩnh hay hình ảnhđộng được mã hoá dưới dạng các chuỗi bit và được lưu trữ dưới dạng File dữ liệutrong các bộ nhớ của máy tính Cấu trúc lưu trữ dữ liệu tuân theo các quy tắc dựa trên

lý thuyết toán học

CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng Bất kỳ người

sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truynhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay tương tác màkhông phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên đó

 Con người

Đối với một hệ thống đảm bảo ATTT doanh nghiệp, con người luôn có vai tròrất quan trọng Có thể coi con người như là não bộ của hệ thống, điều hành mọi hoạtđộng của hệ thống Một hệ thống được xây dựng nhằm mục đích đảm bảo ATTT, dùcho các thành phần cơ bản trên có được đầu tư nhiều đến đâu mà yếu tố con ngườikhông đáp ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể phát huy

Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằmthực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu

ra mong muốn

 Yêu cầu của hệ thống đảm bảo ATTT doanh nghiệp

 Yêu cầu về các thiết bị phần cứng

Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax,thiết bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sửdụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết

bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãngO2Micro’s SifoML,…

 Yêu cầu về phần mềm

Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phầnkhông thể thiếu đối với hoạt động của doanh nghiệp Để đảm bảo ATTT, các phầnmềm đó phải sạch, tức là không chứa virus, mã độc, spyware Ngoài ra, đó phải là cácphần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuấtnhằm giảm bót các nguy cơ từ lỗ hổng bảo mật

Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việccài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phầnmềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mãhóa dữ liệu, phần mềm chống thư rác…

 Yêu cầu về mạng

Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xâydựng các mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hayKerberos

Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế

sử dụng mô hình mạng ngang hàng Khi thiết lập các dịch vụ trên môi trường mạngInternet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của

hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và cácdịch vụ không cần thiết

Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu nhằmtăng cường công tác bảo mật

 Yêu cầu về cơ sở dữ liệu

Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhấtcho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máychủ cơ sở dữ liệu

Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệuhóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dungnhư: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,

Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin Tổ chức cấp phát tàinguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc

 Yêu cầu về con người

Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức vềATTT Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo

an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụcho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính

về phòng, chống các nguy cơ mất ATTT khi sử dụng mạng Internet

2.1.3 Phân định nội dung nghiên cứu

Với đề tài: “Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATTT,

thực trạng và giải pháp ATTT cho Công ty cổ phàn công nghệ y dược Hà Nội

Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:

 Nghiên cứu tổng quan về vấn đề ATTT trong doanh nghiệp

 Nghiên cứu về các nguy cơ mất ATTT doanh nghiệp, các biện pháp phòngtránh và khắc phục hậu quả

 Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty

 Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty

2.2 Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công nghệ y dược Hà Nội.

a Quá trình hình thành

 Loại hình doanh nghiệp: công ty cổ phần

 Quá trình thành lập

Tên đơn vị viết bằng Tiếng Việt: Công ty cổ phần công nghệ y dược hà nội.

Địa chỉ trụ sở: Số 15, Ngõ 178/49 Phố Thái Hà Q Đống Đa Thành phố Hà Nội

Số điện thoại: 04.38571199;0913210292

Fax: 04.38571199

Bộ Tài chính cấp giấy chứng nhận đủ tiêu chuẩn và điều kiện hoạt động kinh số10/TC/GCN ngày 18/06/2008 được Uỷ ban nhân dân thành phố Hà Nội cấp phépthành lập theo giấy phép số 3633/GP-UB ngày 01/8/2008 và sở kế hoạch và đầu tưthành phố Hà Nội cấp giấy chứng nhận đăng ký kinh doanh số 055051 ngày12/8/2008

Quy mô Công ty

Bao gồm một giám đốc và hai phó giám đốc, có 80 nhân viên làm việc trong 6phòng ban Các phòng ban bao gồm:

Khu nghiệp

vụ

Phòng kỹ thuật

Phòng chăn sóc khách hàng

Khu kinh tế Phòng kế toán

Giám

Phó giám đốc

Khu kinh doanh

Phòng kinh doanh

Hình 2.1 Sơ đồ cơ cấu tổ chức của công ty

 Chức năng các phòng ban tại doanh nghiệp

- Ban giám đốc: Điều hành hoạt động của công ty và hỗ trợ phát triển hệ thống

phân phối,phát triển thị trường Với các quyền hạn triển khai thực hiện chiến lược,điều hành hoạt động và quyết định về nhân sự

- Phòng phát triển kinh doanh: Nghiên cứu, đánh giá thị trường địa phương, đề

xuất phát triển sản phẩm và kênh phân phối Là đầu mối triển khai các chương trình,

kế hoạch kinh doanh Đầu mối tổ chức và phát triển các kênh bán hàng, quản lý hệthống đại lý, tổ chức thực hiện đào tạo đại lý Trực tiếp quản lý và phát triển kênh bánhàng Đầu mối triển khai các chương trình marketing… Có quyền hạn thu thập thôngtin về khách hàng từ các phòng nghiệp vụ, đàm phán với các kênh bán hàng, đối tác,đại lý về chính sách bán hàng

- Phòng kinh doanh: Khai thác các nghiệp vụ, thực hiện các dịch vụ khách

hàng, chăm sóc khách hàng Thực hiện các chương trình xúc tiến bán hàng và chínhsách bán hàng Tiếp nhận thông tin phản hồi từ khách hàng và cung cấp các phòng liênquan Xây dựng và quản lý mạng lưới đại lý của phòng

- Phòng tài chính kế toán: Vận hành bộ máy kế toán và quản lý chứng từ.

Hướng dẫn thực hiện các văn bản quy định TCKT của Nhà nước và Tổng công ty.Kiểm tra, kiểm soát việc chấp hành chế độ thu chi tài chính của các phòng Thực hiệnthu chi và hạch toán thu chi theo quy định Xác nhận, đối chiếu, đôn đốc thu hồi công

nợ Lập báo cáo quyết toán Quản lý giá trị trên sổ sách tài sản, quỹ tiền mặt, tiền gửingân hàng, quản lý hóa đơn, ấn chỉ Quyền hạn quyết định về nghiệp vụ tài chính kếtoán theo chính sách của TCT và quy định của Nhà nước

- Phòng tổng hợp: Thực thi chính sách nhân sự (cơ cấu tổ chức, tuyển dụng, đào

tạo, đánh giá KQCV, trả lương) Thực hiện các nghĩa vụ và chế độ chính sách ngườilao động Dịch vụ hậu cần, vận chuyển, văn thư lưu trữ, lễ tân, thi đua khen thưởng,hành chính quản trị, hệ thống thông tin Quản lý về hiện vật tài sản, dụng cụ, công cụ,văn phòng phẩm Quan hệ chính quyền, địa phương Quyền hạn quyền đề xuất tổ chứcthực hiện các công tác nhân sự, hành chính Quyền yêu cầu các phòng cung cấp thôngtin về nhân sự Quyền thay mặt công ty giao dịch với cơ quan chính quyền địa phương

- Phòng chăm sóc khách hàng :Cung cấp thông tin sản phẩm, chính sách cho

khách hàng Nhận phản hồi và thông tin tổn thất, giải đáp thắc mắc khách hàng Thựchiện hoạt động chăm sóc khách hàng, điều tra nhu cầu khách hàng Khai thác nghiệp

vụ và thực hiện công tác bồi thường Có quyền hạn yêu cầu các phòng liên quan cungcấp thông tin về sản phẩm và giải đáp khiếu nại khách hàng

- Phòng kỹ thuật : cấp phép quyền truy xuất thông tin trong HTTT của doanh

nghiệp, chịu trách nhiệm bảo mật thông tin, ngoài ra còn phụ trách lắp ráp bảo trì cácthiết bị máy móc chuyển giao công nghệ cho các khách hàng

2.2.2 Khái quát về hoạt động kinh doanh của Công ty

a Các lĩnh vực hoạt động kinh doanh

Hiện nay, thị trường hoạt động chủ yếu của công ty vẫn là thị trường trong nướcvới các lĩnh vực như:

 Cung cấp máy móc, thiệt bị điện, điện tử, tin học, thiết bị văn phòng, trường học;

 Cung cấp, lắp đặt, hỗ trợ kỹ thuật, sửa chữa, bảo dưỡng, bảo trì máy móc,thiết bị điện tử, tin học, viễn thông;

 Cung cấp cáp quang, cáp đồng và các phụ kiện dành cho mạng ngoại vi;

 Thiết kế, tạo lập trang chủ Internet, thiết kế hệ thống mạng máy tính thíchhợp với phần cứng, phần mềm và công nghệ truyền thông, thiết kế tạo mẫu in;

 Cung cấp dịch vụ tư vấn và chuyển giao công nghệ trong lĩnh vực điện tử, tinhọc, viễn thông;

 Chuyên cung cấp các loại thuốc ngoại nhập , các thực phẩm chức năng chônglão hóa

 Bán các thiết bị máy móc y tế được sử dụng rộng rãi trong các bệnh việncũng như các phòng khám tư nhân (máy chụp xquang, máy nội soi, máy siêu âm );

 Cho thuê các thiết bị công nghệ hỗ trợ điều trị bệnh trong các bệnh việnphòng khám;

 Cung cấp các thiết bị hỗ trợ điều trị tại nhà

b Tình hình hoạt động

Doanh thu với các sản phẩm, hoạt động kinh doanh chính trong 3 năm gần đây(bảng 2.1) chủ yếu đến từ năm lĩnh vực kinh doanh chính của doanh nghiệp bao gồm:

 Thiết bị tổng đài, mạng LAN, mạng viễn thong

 Thiết bị điện tử, tin học, thiết bị văn phòng, trường học