THỰC TRẠNG CỦAAN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦNTHƯƠNG MẠI TỰ ĐỘNG HÓA NASACO

Nhưđã nêu ở phần 1.1 em lựa chọn đề tài:“Giải pháp an toàn bảo mật cơ sở dữ liệu của công ty cổ phầnthương mại tự động hóa NASACO” sẽ kế thừa và phát triển, phân tích rõ hơn các nguy cơ

LỜI CẢMƠN

Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sựhướng dẫn nhiệt tình của thầy hướng dẫnTh.s Nguyễn Quang Trung, cùng sự giúp đỡ của ban giám đốc và toàn thể nhân viên công ty cổ phần thương mại tự động hóa NASACO

Trước hết, em xin gửi lời cảmơn sâu sắc nhất tới giáo viên hướng dẫnTh.s Nguyễn Quang Trung Thầyđã giúp đỡ em có nhữngđịnh hướngđúng đắn khi thực hiện khóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác

Em cũng xin gửi lời cảmơn chân thành tới ban giám đốc cũng như những anh/chị làm việc tại công ty cổ phần thương mại tự động hóa NASACO vì sự quan tâm, ủng hộ

hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu

Em xin gửi lời cảmơn tới các thầy cô giáo trong khoa Hệ thống thông tin kinh tế

về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập và hoàn thành khóa luận này

Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu về vấn đề này còn nhiều giới hạn.Mặt khác, thời gian nghiên cứu khóa luận khá hạn hẹp, trìnhđộ và khả năng của bản thân em còn hạn chế.Vì vậy, khóa luận chắc chắn sẽ gặp nhiều sai sót Em kính mong thầyNguyễn Quang Trung, các thầy cô giáo trong khoa Hệ thống thông tin kinh tế, các anh/ chị nhân viên trong công ty cổ phần thương mại tự động hóa NASACO gópý, chỉ bảo để khóa luận có giá trị cả về lý luận và thực tiễn

Em xin chân thành cảmơn!

CHƯƠNG 1 : TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU

1.1 Tầm quan trọng, ý nghĩa của đề tài

Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vực nào,

từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thông tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chứcđưa ra được những quyết sáchđúngđắn, giúp họ đứng vững và phát triển trước sự thay đổi của xã hội

Ngày nay, với sự phát trển của công nghệ thông tin, Internet trở thành cấu nối chia sẻ kiến thức, thông tin giúp con người đến gần nhau hơn Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác, kịp thời, đầyđủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển Vì vậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy rõ được tầm quan trọng của hệ thống thông tin(HTTT) Nó không những giúp doanh nghiệpđápứng mọi nhu cầu của khách hàng hiệntại mà còn nâng cao được năng lực sản xuất, giúp cho các doanh nghiệp cóđủ sức cạnh tranh với thị trường trong và ngoài nước

Có thể coi HTTT là thành phần quan trọng của doanh nghiệp, nó quyếtđịnh mọi hoạt động hàng ngày của doanh nghiệp Nhưng cũng chính vì tầm quan trọngđó mà khi HTTT

bị mấtan toàn có thể gây thiệt hại nặng nề cho doanh nghiệp Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp

Công ty cổ phần thương mại tự động hóa NASACO là công ty phân phối,cung cấp, tíchhợp hệ thống: điện, điện tử, đo lường, tự động hoá của các hãng SIEMENS,ABB, OMRON, BALS, IFM,SCHNEIDER, DANFOSS, ENDRESS + HAUSE,MITSUBISHI, LG, DELTA …Tư vấn thiết kế, thi công lắp đặt, bảo dưỡng bảo trì vàchuyển giao công nghệ tự động hoá tiên tiến: PLC, DCS, SCADA

Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần thương mại tự động hóa NASACO em xin thực hiện đề tài khóa luận“Giải pháp an toàn bảo mật cơ sở dữ liệu củacông ty cổ phần thương mại tự động hóa NASACO”

1.2 Tổng quan vấn đề nghiên cứu.

An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình, nghiên cứu chuyên sâu về vấn đề này Tuy nhiên, mỗi công trình nghiên cứu về những khía cạnh riêng của hệ thống thông tin, thương mại điện tử,…

+ Nước ngoài:

- William Stallings (2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall.

Cuốn sách nói về vấn đề mật mã vàan ninh mạng hiện nay, khám phá những vấn đề

cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua các ứng dụng thực tếđã được triển khai thực hiện vàđược sử dụng ngày nay Cung cấp giải phápđơn giản hóa AES (Advanced Encryption Standard) cho phép ngườiđọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng

thực.Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềmđộc hài và những kẻ xâm hại

- Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons

Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mật Internet.Đưa ra các biện pháp khắc phục các mốiđe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việcđảm bảoan ninh Internet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào mạng.Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet.Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất lượng.Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ

sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet

- Phan Đình Diệu (2002), Giáo trình “Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc Gia Hà Nội.

Nội dung chính là khái quátchung về lý thuyết mật mã, các công cụ toán học có liên quan đến việcđảm bảo an toàn thông tin Hệ mật khóa đối xứng, hệ mật khóa công khai, chữ kýđiện tử, ứng dụng và thực hành…

Thành công: Đãđưa ra những vấnđề cơ bản liên quan đến: Khái niệm, mục tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công Bên cạnhđó, các đề tài còn đề cập đến phương pháp phòng tránh các tấn công gây mấtan toàn thông tin cũng như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay

Tồn tại: Các đề tài chủ yếuđi sâu nghiên cứu vềan toàn dữ liệu trong thương mạiđiện

tử, hệ thống mạng hoặcwebsite Vẫn chưađi sâu nghiên cứu về nguy cơ mất an toàn HTTT, liên quan đến con người( nhà quản trị mạng, nhân viên CNTT,…)

Một số đề tài nghiên cứu xây dựng hệ thống lưu trữ và quản lý tài liệu Nghiên cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao Sử dụng cho mục đích xây dựng các dịch vụ lưu trữ, tìm kiếm hồ sơ, tài liệu cho các tổ chức hoặc cá nhân thông quaInternet Các luận văn nghiên cứu về mật mã và các vấn đề ATTT trên cơ sở nghiên cứu các phương pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử dụng khoá công khai Các tính chất của chữ ký số trong việc bảo đảm ATBMTT Sử dụng thuật toán mã hoá RSA và thuật toán băm MD5 để xây dựng ứng dụng chữ ký số tích hợp trên

MSWORD

Đề tài nghiên cứu khoa học “ Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và nghiên cứu công nghệ IDS cứng và mềm

Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện

tử”, Vũ Anh Tuấn, Khoa CNTT, Đại học Thái Nguyên

Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo

ATBMTT trong TMĐT như: mã hóa, chữ ký số….Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo ATBMTT trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATBMTT nói chung và đi sâu vào một doanh nghiệp cụ thể

Đề tài “Tìm hiểu thực trạng bảo mật và an toàn mạng tại Việt Nam giai đoạn 2006- 2009, Đại học An Giang, “Tìm hiểu vấn đề bảo mật mạng Lan” của Nguyễn Thị Thúy, ĐHDL Hải Phòng, “Bảo mật cho mạng máy tính và các ứng dụng Web” của Đỗ

Trường Thọ, Đại học Bách Khoa Hà Nội, “Bảo mật dữ liệu trong mạng Wimax” của ĐanHồng Sơn.

Luận văn “Nghiên cứu bảo mật Web Services” của Nguyễn Thị Thanh Thủy, Đại học Công nghệ- ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn Trọng Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ liệu điện tử” của Đào Thọ Thu Hường

Ngoài ra còn có luận văn “Tìm hiểu an toàn và bảo mật trên mạng”

Các luận văn này đã đem đến cho người đọc những hiểu biết nhất định về an toàn

và bảo mật thông tin, đưa ra những nguyên nhân chủ quan cũng như khách quan dẫn đến việc rò rỉ thông tin trong doanh nghiệp Qua đó giúp doanh nghiệp hiểu rõ hơn về hệ thống thông tin của mình và đưa ra những giải pháp khắc phục Tuy nhiên, khoa học công nghệ nói chung và CNTT nói riêng luôn có những bước phát triển từng phút, từng giây Nhờ đó trình độ con người cũng được nâng cao, nhu cầu của doanh nghiệp cũng lớnhơn rất nhiều Chính vì thế, những giải pháp này dường như chưa thể đầy đủ và đáp ứng được yêu cầu bảo mật hiện nay Hơn nữa, kết quả của những tài liệu kể trên kết chỉ là tìmhiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơquan hay tổ chức cụ thể nào

Nhưđã nêu ở phần 1.1 em lựa chọn đề tài:“Giải pháp an toàn bảo mật cơ sở dữ liệu của công ty cổ phầnthương mại tự động hóa NASACO” sẽ kế thừa và phát triển, phân tích rõ hơn các nguy cơ gây mất an toàn HTTT Để từđóđưa ra các giải pháp nhằm khắc phục, nâng cao an toàn và bảo mật HTTT trong công ty

1.3 Mục tiêu nghiên cứu của đề tài.

Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hóa một số lý thuyết cơ bản về

an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau nhưthu thập các

cơ sở dữ liệu sơ cấp và thứ cấp Từ đó, xem xétđánh giá phân tích thực trạng vấn đềan toàn bảo mật HTTT đểđưa ra nhữngưu nhượcđiểm Từ nhữngđánh giá phân tích này, đưa

ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tínhan toàn bảo mật HTTT Giúp cho công ty nhận diện được những nguy cơ và thách thức của vấn đềan toàn bảo mật HTTT Từ đó, có những giải pháp nâng cao tínhan toàn bảo mật, ngăn chặn các nguy

cơ tấn công HTTT hiện tại và tương lai

Các mục tiêu cụ thể cần giải quyết trong đề tài:

- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty cổ phần thương mại tựđộng hóa NASACO

- Đánh giá thực trạng an toàn bảo mật HTTT trong công ty cổ phần thương mại tự động hóa NASACO dựa trên tài liệuthu thập được.

- Trên cơ sở lý luân và thực trạng đề ra các giải pháp nâng cao an toàn bảo mật HTTTtrong công ty cổ phần thương mại tự động hóa NASACO

1.4 Đối tượng và phạm vi nghiên cứu của đề tài.

- Đối tượng của đề tài là vấn đềan toàn bảo mật HTTT tại công ty cổ phần thương mại

tự động hóa NASACO

- Các giải pháp công nghệ và giải pháp con người đểđảm bảo ATBM HTTT của doanh nghiệp

- HTTT của doanh nghiệp

- Các chính sách phát triểnđảm bảoan toàn bảo mật (ATBM) thông tin trong công ty

- Các giải pháp ATBM trên thế giớiáp dụng được cho HTTT của doanh nghiệp

Là một đề tài nghiên cứu luận văn của sinh viên nên phạmvi nghiên cứu của đề tài chỉmang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong một thời gian ngắn hạn,

cụ thể:

- Về không gian: Đề tài tập trung nghiên cứu tình hìnhan toàn bảo mật HTTT tại công

ty cổ phần thương mại tự động hóa NASACO nhằmđưa ra một số giải pháp nâng cao an toàn bảo mật HTTT

- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáo kinh doanh, số liệu khảo sát từ năm 2011 đến năm 2014, đồng thời trình bày các nhóm giải pháp, định hướng phát triển trong tương lai của công ty

1.5 Phương pháp nghiên cứu của đề tài.

1.5.1 Khái niệm phương pháp nghiên cứu.

Phương pháp là phạm trù trung tâm của phương pháp luận nghiên cứu khoa học, phương pháp không chỉ là vấn đề lý luận mà còn vấn đề cóý nghĩa thực tiễn to lớn bởi vì chính phương pháp quyếtđịnh thành công của mọi nghiên cứu khoa học

Bản chất của phương pháp nghiên cứu khoa học chính là việc con người sử dụng một cách có quy luật vận động như một phương tiện để khám phá chính đối tượng đó

(DươngTriệu Thống, Phương pháp nghiên cứu khoa học giáo dục và tâm lý, NXB Thống

Kê, 2007)

1.5.2 Các phương pháp được sử dụng trong đề tài khóa luận.

1.5.2.1 Phương pháp thu thập dữ liệu.

Việcthu thập dữ liệu là công việc đầu tiên trong quá trình nghiên cứu Phương phápthu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu

chứađựng các thông tin liên quan đến đối tượng nghiên cứu của đề tài mình thực hiện

Phương pháp sử dụng phiếuđiều tra:

- Nội dung: Bảng câu hỏi gồm20 câu hỏi, các câu hỏi đều xoay quanh các hoạt động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối với công ty cổ phần thương mại tự động hóa NASACO

- Cách thức tiến hành: Bảng câu hỏi sẽ được gửi cho 10 nhân viên trong công ty đểthu thậpý kiến

- Mụcđích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công

ty để từđóđánh giá thực trạng triển khai vàđưa ra những giải pháp đứng đắn để nâng cao hiệu quả của các hoạt độngđảm bảo ATBM HTTT trong công ty cổ phần thương mại tự động hóa NASACO

Phương phápthu thập dữ liệu thứ cấp:

Dữ liệu thứ cập là những thông tin đã đượcthu thập và xử lý trướcđây vì các mục tiêu khác nhau của công ty

- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh củacông ty trong vòng 3 năm: 20011, 2012, 2013 đượcthu thập từ phòng hành chính, kế toán, phòng nhân sự của công ty, từ phiếuđiều tra phỏng vấn và các tài liệu thống kê khác

- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet

Sau khi đãthu thập đầyđủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ các tài liệuđó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào, nếuđủ rồi thì tiến hành bước xử lý dữ liệu

Phương pháp này được sử dụng cho chương của khóa luận đểthu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại công ty cổ phần thương mại tự động hóa NASACO.

1.5.2.2 Phương pháp xử lý dữ liệu.

Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật,

ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan hoàn cảnh và cụ thể về tình

hìnhnghiên cứu có liên quan đến trong đề tài Trong quá trình xử lý thông tin, ta cần chia thông tin ra làm hai phương pháp chính:

- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences)

SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê trong một môi trường đồ họa, sử dụng các trìnhđơn mô tả và các hộp thoạiđơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu Người dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…

- Phương phápđịnh tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng vấn, phiếuđiều tra và các loại tài liệuthu được

Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khóa luận nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công ty cổ phần thương mại tự động hóa NASACO, để từđóđưa ra các giải pháp phù hợp

1.6 Kết cấu của khóa luận.

Khóa luận bao gồm 3 phần:

Phần 1: Tổng quan về đề tài nghiên cứu

Phần 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT của công ty

cổ phần thương mại tự động hóa NASACO

Phần 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBM thông tin trong HTTT tại công ty cổ phần thương mại tự động hóa NASACO

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦAAN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ

PHẦNTHƯƠNG MẠI TỰ ĐỘNG HÓA NASACO.

2.1 Cơ sở lý luận ATBM thông tin trong HTTT

2.1.1 Một số khái niệm cơ bản

 Khái niệm thông tin.

Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến thông tin Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái niệm cơ bản, chung của nhiều khoa học.Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?

Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng

“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,….), phù hợp với mục đích của người sử dụng Nói cách khác, thông tin là

những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng”

Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan

hệ, là dữ liệu đã được xử lý để trở nên hữu ích

Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể

 Đối tượng khai thác và sử dụng thông tin.

Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết định

Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết định của bản thân mình Vì vậy, mọi thành viên trong xã hội con người cần khai thác và

sử dụng thông tin để phục vụ cho cuộc sống của mình

Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt động của

cá nhân và đơn vị mình Trước đây người ta hiểu rằng thông tin chỉ nhằm để phục vụ cho các công việc quản lý điều hành của người lãnh đạo Gần đây người ta nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyết định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động Trong hoạt động tác nghiệp, thông tin cầnđược sử dụng bởi các nhân viên; trong hoạt động quản lý, điều hành, thông tin cần được

sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp cao trong việc đề ra các quyết định

về chiến lược hoạt động của tổ chức

 Vai trò của thông tin.

Trong cuộc sống con người, mọi hoạt động đều không thể thiếu vai trò của thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định một công việc Chúng ta thống nhất với nhau một quan điểm rằng: Vai trò của thông tin trong đời sống xã hội là

vô cùng quan trọng, nó thúc đẩy tiến trình phát triển của mọi lĩnh vực Nhờ có thông tin

mà người lãnh đạo có thể đưa ra những quyết định kinh doanh đúng đắn và mang tính sống còn Một đất nước văn minh thì nhất định công nghệ thông tin cũng phát triển hiện đại Xã hội càng phát triển thì vai trò của thông tin càng trở nên quan trọng, là yếu tố hàng đầu làm nên sức cạnh tranh kinh tế, chính trị và văn hóa của một quốc gia Thông tin là sức mạnh, là tiền bạc vì nó có một vị thế tiên phong trong bối cảnh cạnh tranh toàn cầu hiện nay

Trong việc kinh doanh, chính mảng thông tin sẽ tạo ra nhiều lợi nhuận nhất cho các doanh nghiệp, vì nó cung cấp một cổng vào ngay lập tức cho khách hàng hay cho cácđối tác tiềm năng Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền kinh tế thị trường Có thể nói rằng, doanh nghiệp cần thông tin như cá cần nước.Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ mất

đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ trở nên thiếu tin cậy Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro

2.1.2 Đảm bảo ATBMTT trong doanh nghiệp.

ATBMTT có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phíquản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.Rủi ro về thông tin có thể gây thất thoát tiền bạc,tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh

nghiệp.Do vậy, đảm bảo ATBMTT doanh nghiệp cũng có thể coi là một hoạt động quan

trọng trong sự nghiệp phát triển của doanh nghiệp Đây không phải vấn đề riêng của người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.

 An toàn thông tin( ATTT).

Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và bên bán theo hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng Bên mua và bên bán không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng như tài sản.Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên thứ ba biết được Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừa đảo

Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin bị lộ

Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết Vậy ta cần tìm hiểu thế nào là ATTT?

Một HTTT được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép ATTT là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát Các nguy cơ tiềm

ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý…

Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến cho chủ sở hữu ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng

Trên thực tế không thể đảm bảo an toàn 100%, nhưng có thể giảm bớt các rủi ro không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn Những sản phẩm Anti-virus, Firewalls và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người

Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm.

Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình

Theo ISO 17799, ATTT là khả năng bảo vệ đối với môi trường thông tin kinh tế

xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia.Thông qua các chính sách về ATTT, lãnh đạo thể hiện ý chí

và năng lực của mình trong việc quản lý HTTT ATTT được xây dựng trên nền tảng một

hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàn cầu Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất

Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của HTTT và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra Việc nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng trên Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong các chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện chặt chẽ Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công

2.1.3 Các nguy cơ và hình thức tấn công trong HTTT doanh nghiệp.

2.1.3.1 Các nguy cơ mất ATTT trong HTTT

Xéttheo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:

- Nguy cơ ngẫu nhiên

Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan nhưthiên tai ( lũ lụt, song thần, động đất,…) hỏng vật lý, mấtđiện,… Đây là những nguyên nhân khách quan, khó dựđoán trước, khó tránh được nhưngđó lại không phải là nguy cơ chính gây ra việc mất ATTT

- Nguy cơ có chủđịch

Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp (Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2013)

Cùng với sự phát triển của xã hội, sự bùng nổ CNTT thì nguy cơ mất ATTT cũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm 2013 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài như McAfee, Kaspersky hay CheckPoint… Theo đánh giá của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, E-Banking, các công ty thương mạiđiện tử liên tục xảy ra.Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế nhưng rất khó ước tính trở thành mốiđe dọa cho sự cạnh tranh, phát triển của nền kinh tế

Vina phía Nam đã thực hiện một cuộc khảo sát đối với 300 doanh nghiệp về ATTT cho thấy có 33% doanh nghiệp cho hay họđã phát hiện sự cố tấn công an ninh mạng, giảm 1% so với năm 2013 Tuy nhiên, có 29%doanh nghiệp không thể biết đượchệthống mạng của mình có bị tấn công hay không Trong số cuộc tấn công an ninh mạng được phát hiện, có 27,5% do Trojan hay Rootkit, 42% là do virus hay worm Hầu hết các doanh nghiệp nhậnđịnh rằng, động cơ tấn công đểthu lợi bất chính tăng lên gấp 3 lần so với năm trước 40% doanh nghiệp ước tính mức độ thiệt hại lớn nhất do các sự cố gây ra

là từ virus

Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp Trên thực tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát chính nội tại các doanh nghiệp như: nguy cơ do yếu tố kĩ thuật( thiết bị mạng, máy chủ, HTTT,

…), nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trong quy trình, chính sách an ninh bảo mật,…, nguy cơ do yếu tố con người ( vận hành, đạo đức nghề nghiệp)

quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các HTTT, lập kếhoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiếnthức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mất ATTT khi sửdụng mạng Internet.

Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo ATTT,chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có kết nốimạng Internet

Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật nhằmphục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó

Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồimáy chủ, máy trạm

Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trung biênbản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng

Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lênbất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác thường cầnthực hiện các bước cơ bản sau:

• Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng

• Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ chocông tác phân tích)

• Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạtđộng

2.1.3.3 Yêu cầu của hệ thống đảm bảo ATTT doanh nghiệp.

Yêu cầu về các thiết bị phần cứng

Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax, thiết

bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử dụng cácthiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết bị tối ưumạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng O2Micro’sSifoML,…

Yêu cầu về phần mềm

Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phầnkhông thể thiếu đối với hoạt động của doanh nghiệp Để đảm bảo ATTT, các phần mềm

đó phải sạch, tức là không chứa virus, mã độc, spyware Ngoài ra, đó phải là các phầnmềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất nhằm giảmbót các nguy cơ từ lỗ hổng bảo mật

Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việccài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phầnmềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã hóa

dữ liệu, phần mềm chống thư rác…

Yêu cầu về mạng

Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây dựngcác mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hayKerberos

Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sửdụng mô hình mạng ngang hàng Khi thiết lập các dịch vụ trên môi trường mạng Internet,chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thốngthông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụkhông cần thiếtĐối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩunhằm tăng cường công tác bảo mật

Yêu cầu về cơ sở dữ liệu

Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất cho

hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ

sở dữ liệu

Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu hóaquá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nộidung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,

Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin Tổ chức cấp phát tàinguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc

Yêu cầu về con người

Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức vềATTT Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo antoàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ cho độingũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng,chống các nguy cơ mất ATTT khi sử dụng mạng Internet.

2.1.4Phân định nội dung nghiên cứu

Với đề tài: “Giải pháp an toàn bảo mật cơ sở dữ liệu của công ty thương mại tự động hóa NASACO”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATTT, thực

trạng và giải pháp ATTT cho Công ty cổ phần thương mại tự động hóa NASACO

Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:

• Nghiên cứu tổng quan về vấn đề ATTT trong doanh nghiệp

• Nghiên cứu về các nguy cơ mất ATTT doanh nghiệp, các biện pháp phòng tránh và khắcphục hậu quả

• Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty

• Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty

2.2 Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của công ty cổ phần thương mại tự động hóa NASACO.

2.2.1 Tổng quan về công ty cổ phần thương mại tự động hóa NASACO.

2.2.1.1 Thông tin chung về doanh nghiệp.

- Tên doanh nghiệp: Công ty cổ phần thương mại tự động hóa NASACO

- Tên viết tắt: NASACO

- Ngày thành lập:

- Địa chỉ: Số 12, Ngõ162/28, Đường Khương Đình, P.Hạ Đình, Q.Thanh Xuân, Hà Nội

- Email: nasaco.vnn@gmail.com

- Điện thoại: 0435576176 Fax: 04 3557 6315

- Tổng giám đốc: Nguyễn Hải Nam

2.2.1.2 Sơ đồ tổ chức và tình hình nhân sự.

Giám Đốc

Phó Giám Đốc Trưởng phòng kế toán Trưởng phòng kỹ thuật

Sơ đồ 2.1: Cơ cấu tổ chức của công ty

(Nguồn:Website công ty)

2.2.2 Tình hình hoạt động kinh doanh của công ty cổ phần thương mại tự động hóa NASACO.

• Phân phối,cung cấp, tích hợp hệ thống: điện, điện tử, đo lường, tự động hoá của các hãng SIEMENS, ABB, OMRON, BALS, IFM,SCHNEIDER, DANFOSS, ENDRESS + HAUSE, MITSUBISHI, LG, DELTA …

• Tư vấn thiết kế, thi công lắp đặt, bảo dưỡng bảo trì và chuyển giao công nghệ tự động hoá tiên tiến: PLC, DCS, SCADA

• sửa chữa vỉ mạch điện tử CN - Công suất như: biến tần, PLC, Servo- driver, máy CNC, NC, các dây chuyền công nghiệp…

DỊCH VỤ SAU BÁN HÀNG:

• Toàn bộ các sản phẩm và dịch vụ do NASACO cung cấp đều có chế độ bảo hành miễn phí theo nhà sản xuất hoặc theo quy định của công ty Nasaco Các thiết bị hưhỏng sẽ được sửa chữa, thay thế, đổi mới bằng vật tư của chính hãng Sau thời gian bảo hành nếu quý khách có nhu cầu NASACO sẽ tiếp tục ký kết dịch vụ bảo trì, đào tạo và chuyển giao công nghệ Điện - Tự động hoá…

• NASACO luôn có các giải pháp công nghệ tự động hoá cung cấp, lắp đặt cho nhiều ngành, địa phương trong cả nước,đóng góp tích cực vào quá trình công nghiệp hóa - hiện đại hóa đất nước

Bảng 2.1: Tình hình kết quả hoạt động kinh doanh của NASACO

(Nguồn:Phòng tài chính & kế toán)

Nhìn vào bảng số liệu về kế quả hoạt động kinh doanh của công ty cổ phầnthương mại

tự động hóa NASACO cho ta thấy từ năm 2011 đến năm 2013 lợi nhuận sau thuế tăng mạnh, từ 1.2 tỷ đồng (năm 2011) lên 1.7 tỷ đồng (năm 2013)

2.2.3 Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong công ty cổ

phần thương mại tự động hóa NASACO.

(Nguồn:Thu thập qua khảo sát doanh nghiệp)

Hệ thống máy chủ: Số lượng máy chủ 2 cái được cài đặt hệ điều hành linux Máy

chủ PowerEdge của Dell, dòng máy này rất thích hợp làm máy chủ chứa file cho các máytrạm, chia sẻ internet trên mạng LAN, làm máy dịch vụ in(printer server) hoặc làm

hosting cho website nhỏ cũng như những mạng khác Dòng máy này được gắn bộ vi xử

lý Inter Xeon 3400 series và hệ điều hành Microsoft Windows Server 2008 R2, cung cấp những tính năng cần thiết cho hoạt động của công ty

Hệ thống máy trạm, máy tính xách tay: Công ty trang bị 30 máy nhãn hiệu

Samsung Syncmaster743NX với các thông số kĩ thuật: Inter® pentiun® dual CPU, T3400 @2,16GHZ, 0,99 GB of RAM

Máy in: Công ty trang bị hệ thống 4 máy in lazer A4 2 mặt và 20 máy scan A4

phục vụ cho việc in ấn, photo nghiệp vụ giữa các phòng ban trong doanh nghiệp

2.2.3.2 Trang thiết bị phần mềm.

Ngoài phần mềm văn phòng Microsoft office, phần mềm diệt virus BKAV, hệ điều hành windows công ty còn trang bị một số phần mềm sau:

-Phần mềm spack: Cũng như Yahoo! Skype, Spack là hệ thống chat nội bộ cho

phép chat theo nhóm, chia sẽ dữ liệu, chia sẻ màn hình, lưu lại lịch sử các cuộc trò

chuyện một cách dễ dàng, nhanh chóng

Phần mềm spack này đặc biệt hữu ích với những công ty lớn, có nhiều bộ phần, chi nhánh, phòng ban.Với việc sử dụng chính tài khoản Email của công ty để đăng nhập

hệ thống và hiển thị tài khoản của tất cả nhân viên NASACO

Công ty đã yêu cầu mọi nhân viên làm việc tại các phòng ban trong công ty sử dụng phần mềm này để trao đổi công việc hằng ngày

-Phần mềm kế toán doanh nghiệp MISA SMI.NET: Là một phần mềm kế toán khá

phổ biến và hữu ích do công ty cổ phần MISA xây dựng và được áp dụng cho hầu hết cácdoanh nghiệp

Góp phần giảm thiểu các thao tác thủ công trong kế toán, xây dựng một cái nhìn bao quát về các chỉ tiêu thông qua bảng biếu sơ đồ, qua đó giúp nhân viên kế toán cũng như các nhà quản trị quản lý tình hình hoạt động kinh doanh của công ty được tốt hơn

-Phần mềm quản lý nhân sự tiền lương CIS-HR: quản lý một cách có hiệu quả

nguồn nhân lực hiện có và liên hệ chặt chẽ, chia sẻ thông tin quản trị nguồn nhân lực trong toàn doanh nghiệp Là công cụ tối ưu cho hoạt động quản trị, kiểm soát nguồn lực

và hỗ trợ ra quyết định bằng các báo cáo phân tích số liệu đa dạng, kịp thời ở mọi thời điểm

2.2.3.3 Cơ sở hạ tầng HTTT trong doanh nghiệp.

Mạng Internet: Công ty sử dụng mạng của cả 3 hãng là: FPT, viettel và VNPT kết

nối theo mô hình mạng LAN, tổng băng thông kết nối Internet lên tới 100Mbps.Các máy