An toàn bảo mật dữ liệu

Danh mục từ viết tắt CNTT Công nghệ thông tin HTTT Hệ thống thông tin TMĐT Thương mại điện tử CSDL Cơ sở liệu BKAV Bách khoa anti-virus IP Internet Protocol Giao thức mạng WLAN Wireless local area network Mạng cục không dây LAN Local area network Mạng cục VPN Virtual Private Network Mạng riêng ảo VNPT Vietnam Posts and Tập đoàn bưu viễn thông Telecommunications Việt Nam XSS Cross-Site Scripting Tấn công vào kịch site SQLI Structured Query Language Tiêm vào cấu trúc ngôn ngữ injection truy vấn DoS Denial of Service Tấn công từ chối dịch vụ HTML HyperText Markup Language Ngôn ngữ đánh dấu siêu văn WPA2 Wi-Fi protected access Truy cập bảo vệ không dây phiên WPA Wi-Fi protected access Truy cập bảo vệ không dây WEP Wired Equivalent Privacy Bảo mật tương đương có dây TCP Transmission Control Protocol Giao thức kiểm soát truyền vận LỜI MỞ ĐẦU Cùng với phát triển CNTT, công nghệ máy tính đặc biệt mạng internet ngày phát triển đa dạng phong phú Các dịch vụ internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi internet đa dạng nội dung hình thức, có nhiều thông tin cần bảo mật cao tính kinh tế, tính xác tin cậy Bên cạnh đó, hình thức phá hoại mạng ngày trở nên tinh vi phức tạp hơn, hệ thống, nhiệm vụ bảo mật đặt cho người quản trị quan trọng cần thiết Trong khóa luận tốt nghiệp này, em xin trình bày số yếu điểm mà doanh nghiệp gặp phải bảo mật thông tin giải pháp khắc phục yếu điểm Để thực hoàn thành khóa luận tốt nghiệp em xin gửi lời cảm ơn sâu sắc đến thầy Nguyễn Quang Trung – Giảng viên môn CNTT tận tình bảo hướng dẫn em suốt trình làm khóa luận tốt nghiệp Em xin bày tỏ lời cảm ơn sâu sắc đến toàn thể thầy cô giáo, ban lãnh đạo trường Đại học Thương Mại cho em môi trường học tập chuyên nghiệp suốt năm qua, kiến thức mà em nhận hành trang giúp em vững bước tương lai Ngoài ra, em xin gửi lời cảm ơn chân thành tới ban lãnh đạo Công ty cổ phần phần mềm EFFECT tạo điều kiện giúp đỡ em suốt trình thực tập làm khóa luận tốt nghiệp Mặc dù em cố gắng hoàn thành khóa luận tốt nghiệp phạm vi khả thân chắn không tránh khỏi thiếu sót Kính mong nhận bảo giúp đỡ quý thầy cô bạn để làm ngày hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực Nguyễn Thị Vân CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tính cấp thiết đề tài CNTT ngày phát triển mạnh mẽ ảnh hưởng lớn tới phát triển kinh tế xã hội hầu hết quốc gia giới Trong kinh tế toàn cầu hóa thông tin, liệu xem sống doanh nghiệp Nó giúp doanh nghiệp đáp ứng nhu cầu khách hàng mà nâng cao lực sản xuất, giúp cho doanh nghiệp có đủ sức cạnh tranh với thị trường nước Vì doanh nghiệp cần nhận thức tầm quan trọng vấn đề bảo mật thông tin nguy xảy từ việc rò rỉ thông tin, liệu nội doanh nghiệp Do nhu cầu tất yếu đòi hỏi doanh nghiệp phải áp dụng thành tựu CNTT vào việc xử lý thông tin để hiệu xử lý thông tin nâng cao lên khối lượng thông tin xử lý ngày lớn Tuy nhiên, việc lựa chọn giải pháp đảm bảo an toàn phù hợp cho HTTT doanh nghiệp không dễ dàng, đặt thách thức với hầu hết doanh nghiệp; đặc biệt doanh nghiệp vừa nhỏ Một giải pháp đắn tiền đề vững cho công việc sau Từ người có nhu cầu lưu trữ xử lí thông tin, đặc biệt thông tin xem phần tư liệu sản xuất, nhu cầu bảo vệ thông tin ngày trở nên cấp thiết Bảo vệ thông tin bảo vệ tính bí mật tính toàn vẹn thông tin Một số loại thông tin có ý nghĩa chúng giữ kín giới hạn số đối tượng ví dụ thông tin chiến lược kinh doanh Đây tính bí mật thông tin Hơn hữu hạn óc người nên cần phải có thiết bị lưu trữ thông tin Nếu thiết bị lưu trữ không an toàn thông tin lưu trữ bị đi, bị sai lệch toàn hay phần Khi tính toàn vẹn thông tin không đảm bảo Trong trình thực tập công ty Cổ phần phần mềm EFFECT em có thời gian tìm hiểu hoạt động nghiệp vụ công ty Được tiếp cận sâu quy trình lưu trữ xử lý thông tin công ty Công ty Cổ phần phần mềm EFFECT công ty chuyên cung cấp phần mềm kế toán quản trị phần mềm quản trị doanh nghiệp Vì vậy, thông tin, liệu khách hàng phần mềm khách hàng có ý nghĩa sống công ty Nó ảnh hưởng trực tiếp đến hoạt động sản xuất kinh doanh công ty Tuy nhiên, công ty chưa trọng vấn đề đảm bảo an toàn thông tin lưu trữ xử lý Do với mong muốn giúp đội ngũ nhân viên công ty phần nâng cao nhận thức kiến thức an toàn bảo mật thông tin em định đề xuất đề tài khóa luận: “Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin Công ty Cổ Phần phần mềm EFFECT” Được đồng ý Hội đồng Khoa Hệ Thống Thông Tin Kinh Tế giảng viên hướng dẫn Thạc sĩ Nguyễn Quang Trung em tiến hành nghiên cứu thực đề tài với mong muốn phục vụ cho việc quản lí đảm bảo an toàn thông tin công ty Cổ phần phần mềm EFFECT Đề tài chứa nhiều thông tin, để lãnh đạo công ty định phục vụ cho trình phát triển công ty 1.2 Tổng quan vấn đề nghiên cứu An toàn bảo mật hệ thống thông tin vấn đề mới, có nhiều công trình nghiên cứu vấn đề Tuy nhiên công trình nghiên cứu khía cạnh riêng an toàn liệu thương mại điện tử, bảo mật liệu HTTT kế toán quản trị,… 1.2.1 Tài liệu nước William stalling, Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2011 Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Trình bày thuật toán mã hóa mã hóa khóa đối xứng, mã hóa cổ điển, mã hóa khối, mã hóa tiên tiến tiêu chuẩn mã hóa tiên tiến Cuốn sách nói hàm băm thuật toán mã hóa khóa công khai, chữ ký số an ninh mạng: ứng dụng xác thực an ninh thư điện tử, IP an ninh, bảo mật web hệ thống an ninh cho hệ thống thông tin bao gồm phương pháp phòng tránh, mở rộng cập nhật phần mềm độc hại kẻ xâm hại Điểm thành công sách đưa hầu hết vấn đề giải pháp vấn đề an toàn, bảo mật hệ thống thông tin Trình bày từ đến nâng cao Tính ứng dụng tài liệu cao nội dung trình bày cụ thể Và điều kiện nay, mà vấn đề giải pháp bảo mật liên tục lỗi thời, sách - dù xuất từ năm 2011 đến nay, nội dung sách gần nguyên giá trị Tuy nhiên điểm tồn sách đưa có giải pháp phần mềm độc hại tường lửa vấn đề an ninh mạng việc xuất vấn đề an ninh cho hệ thống thông tin xảy hàng ngày Nên áp dụng giải pháp sách đảm bảo an toàn bảo mật cho hệ thống thông tin doanh nghiệp cụ thể 1.2.2 Tài liệu nước Đàm Gia Mạnh, Giáo trình an toàn liệu thương mại điện tử, Đại học Thương Mại, 2009 Giáo trình đưa vấn đề an toàn liệu TMĐT bao gồm đại cương an toàn liệu TMĐT, mô hình đảm bảo an toàn liệu Đưa hình thức công, với biện pháp phòng tránh cố chưa xảy cách khắc phục xảy cố Tài liệu trình bày vấn đề mã hóa liệu ứng dụng an toàn liệu TMĐT, giải pháp đảm bảo an toàn liệu TMĐT Ưu điểm tài liệu trình bày từ đến nâng cao Bao gồm khái niệm khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy mát liệu, hình thức công TMĐT Từ giúp người kinh doanh thương mại điện tử có nhìn tổng thể hoạt động kinh doanh Giáo trình đào sâu nghiên cứu kiểu công phổ biến cách khắc phục cố, phương pháp mã hóa liệu, ứng dụng chữ ký điện tử biện pháp đảm bảo an toàn liệu, giúp nhà kinh doanh có nhìn toàn diện vận dụng thuận lợi vào doanh nghiệp Tuy nhiên, giáo trình nghiên cứu an toàn liệu lĩnh vực thương mại điện tử, không tập trung nghiên cứu vào lĩnh vực khác an toàn bảo mật hệ thống thông tin Vũ Văn Trường , Luận văn thạc sĩ với đề tài: “Nghiên cứu giải pháp đảm bảo an toàn cho trung tâm tích hợp liệu Cục Đăng Kiểm Việt Nam”, Khoa HTTT, Đại Học Công nghệ, Đại học Quốc gia Hà Nội Luận văn đưa số công cụ phương pháp, mô hình nhằm đảm bảo an toàn bảo mật CSDL như: phương pháp mã hóa, chữ ký số, mô hình clientserver, bảo mật đường truyền, bảo mật CSDL chỗ… Tuy nhiên, nội dung nghiên cứu luận văn dừng lại việc đảm bảo an toàn bảo mật CSDL cho Trung tâm tích hợp liệu Cục Đăng Kiểm Việt Nam không bao quát toàn vấn đề an toàn bảo mật nói chung việc thiết lập bảo vệ CSDL riêng lẻ chưa đồng server CSDL Nguyễn Hữu Hiền, Luận văn với đề tài: “ Phương pháp bảo mật WLAN”, Khoa CNTT, Học viện bưu viễn thông Trong công trình nghiên cứu phương pháp bảo mật WLAN sinh viên Nguyễn Hữu Hiền tập trung phân tích rõ ràng có chiều sâu vấn đề bảo mật mạng không dây wireless Công trình nghiên tập trung yếu điểm bảo mật mạng không dây đưa nhiều giải pháp khắc phục hay tốt Mặc dù công trình nghiên cứu có số hạn chế đưa giải pháp trước mắt chưa đưa giải pháp lâu dài bối cảnh công nghệ phát triển vũ bão Trên số tài liệu nghiên cứu an ninh thông tin giới nước Các tài liệu xuất phát từ cá nhân, tổ chức từ nước khác hướng tới mục tiêu chung xây dựng HTTT an toàn Và em lựa chọn đề tài: “Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin Công ty Cổ Phần phần mềm EFFECT” kế thừa phát triển, phân tích rõ nguy gây an toàn liệu HTTT Để từ đưa giải pháp nhằm khắc phục, nâng cao an toàn bảo mật liệu cho HTTT công ty 1.3 Mục tiêu cần giải đề tài Mục tiêu nghiên cứu đề tài hệ thống hoá số lý thuyết đảm bảo an toàn thông tin, liệu HTTT Bằng phương pháp nghiên cứu khác thu thập sở liệu, xử lý liệu…từ xem xét đánh giá phân tích thực trạng vấn đề đảm bảo an toàn thông tin, liệu cho HTTT để đưa ưu nhược điểm Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an toàn thông tin, liệu cho HTTT Giúp cho công ty nhận diện nguy thách thức vấn đề đảm bảo an toàn thông tin, liệu cho HTTT Từ đó, có giải pháp nâng cao tính an toàn bảo mật, ngăn chặn nguy công liệu tương lai Các mục tiêu cụ thể cần giải đề tài: - Hệ thống hóa sở lý luận lý thuyết an toàn bảo mật cho HTTT chung doanh nghiệp - Từ phân tích, đánh giá thực trạng an toàn bảo mật liệu công ty Cổ phần Cổ phần phần mềm EFFECT dựa tài liệu thu thập - Trên sở lý luận thực trạng đề giải pháp an toàn bảo mật thông tin cho HTTT công ty Cổ phần phần mềm EFFECT 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu Đối tượng đề tài là: +Hệ thống mạng + Các phần cứng phần mềm sử dụng công ty + Cơ sở liệu lưu trữ + Con người Quá trình nghiên cứu có sử dụng giáo trình, giảng, sách báo, tài liệu luận văn tài liệu khác có liên quan 1.4.2 Phạm vi nghiên cứu Là đề tài nghiên cứu luận văn sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: • Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn liệu cho HTTT công ty Cổ phần phần mềm EFFECT nhằm đưa số giải pháp đề đảm bảo an toàn thông tin, liệu cho HTTT • Về thời gian: Do điều kiện thời gian không cho phép nên em thu thập đầy đủ thông tin tất hoạt động doanh nghiệp, đề tài đề cập đến hoạt động an toàn thông tin, liệu cho HTTT công ty thông qua báo cáo kinh doanh, số liệu khảo sát từ năm 2012 đến năm 2014, đồng thời trình bày nhóm giải pháp, định hướng phát triển tương lai công ty 1.5 Phương pháp thực đề tài 1.5.1 Các phương pháp thu thập thông tin Phương pháp nghiên cứu tài liệu: - Nội dung: Nghiên cứu tài liệu quy trình lưu trữ xử lý thông tin công ty Cổ phần phần mềm EFFECT Các tài liệu đề tài luận văn, chuyên đề khác nghiên cứu vấn đề liên quan tới đề tài - Cách thức tiến hành: Dữ liệu thu thập từ nhiều nguồn khác xử lý + Nguồn tài liệu bên trong: báo cáo kết hoạt động kinh doanh công ty năm gần + Nguồn tài liệu bên ngoài: từ công trình nghiên cứu khoa học, tạp chí, sách báo, năm có liên quan tới đề tài Phương pháp sử dụng phiếu điều tra: - Nội dung: Bảng câu hỏi xoay quanh vấn đề an toàn bảo mật công ty Những câu hỏi đặt để đánh giá thực trạng triển khai hoạt động đảm bảo an toàn bảo mật, từ đề xuất số giải pháp có tính khả thi hỗ trợ hoạt động an toàn bảo mật HTTT quản lý công ty - Cách thức tiến hành: Trong khoảng thời gian làm khóa luận, em tiến hành phát 10 phiếu điều tra trắc nghiệm cho nhân viên phận công ty để thu thập thông tin thực trạng vấn đề an toàn thông tin trình lưu trữ xử lý thông tin công ty Cổ phần phần mềm EFFECT - Mục đích: Nhằm thu thập thông tin hoạt động an toàn bảo mật HTTT công ty từ đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu hoạt động an toàn bảo mật Phương pháp vấn chuyên gia: - Nội dung: Gồm câu hỏi mở để vấn trực tiếp chuyên gia quản lý công ty - Cách thức tiến hành: Phỏng vấn cá nhân - Mục đích: Thu thập thông tin chuyên sâu chi tiết hoạt động đảm bảo an toàn bảo mật HTTT quản lý công ty 1.5.2 Phương pháp phân tích xử lý số liệu : Phương pháp định lượng: phương pháp nghiên cứu mà liệu thu thập số lượng (number) Công cụ thường sử dụng phương pháp khảo sát phiếu điều tra Sử dụng phần mềm thống kê phân tích số liệu Phương pháp định tính: phương pháp nghiên cứu mà liệu thu thập không mô tả số lượng Phỏng vấn công cụ thường sử dụng phương pháp Phỏng vấn đưa câu hỏi với người đối thoại để thu thập thông tin - Quy trình thực quy trình khảo sát câu hỏi vấn - Dữ liệu tập hợp bảng Excel mô biểu đồ, sơ đồ đặc trưng Trong phương pháp nêu phương pháp nghiên cứu tài liệu, phương pháp dử dụng phiếu điều tra khảo sát phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài 1.6 Kết cấu khóa luận Khóa luận gồm chương chính: − Chương 1: Tổng quan vấn đề an toàn bảo mật hệ thống thông tin − Chương 2: Cơ sở lí luận thực trạng vấn đề an toàn bảo mật hệ thống thông tin − Chương 3: Giải pháp bảo mật định hướng phát triển hệ thống thông tin có lỗi XSS Để khắc phục ta mã hóa ký tự đặc biệt HTML với hàm htmlentities() Mã nguồn chỉnh sửa lại sau: Hình 3.3 Khắc phục lỗ hổng bảo mật XSS Ngoài để Bảo vệ thực cách hạn chế tên miền đường dẫn để chấp nhận cookie, thiết lập chúng HttpOnly, sử dụng SSL không lưu trữ liệu bí mật cookie Có thể vô hiệu hóa việc sử dụng Script cách an toàn từ trang web khách hàng 3.2.2.2 Khắc phục lỗ hổng bảo mật SQL Injection Cơ chế công SQL injection – SQLI cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt công nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hoàn toàn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thông tin cá nhân Hình 3.4 Mô trình công vào lỗ hổng SQL injection Cách phòng chống SQL injection: Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng không tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình công ty phải xem lại mã nguồn website công ty điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mô hình tham số hóa, làm liệu đầu vào…… Ngoài phải xem biện pháp bảo vệ từ mức tảng hệ thống như: • Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng • Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phòng cho tình xấu kẻ xâm nhập công vào database: − Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database − Hủy bỏ quyền Public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa − Sử dụng thuật toán mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database − Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác − Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể công cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo − Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.2.3 Giải pháp bảo vệ mạng không dây(wifi) Giải pháp mã hóa theo giao thức WPA2 Hiện công ty sử dụng giao thức WEP bảo mật mạng wifi WEP không phù hợp bộc lộ nhiều yếu điểm sau: − WEP sử dụng khóa cố định chia sẻ Access Point (AP) nhiều người dùng (users) với IV ngẫu nhiên 24 bit Do đó, IV sử dụng lại nhiều lần Bằng cách thu thập thông tin truyền đi, kẻ công có đủ thông tin cần thiết để bẻ khóa WEP dùng − Một khóa WEP biết, kẻ công giải mã thông tin truyền thay đổi nội dung thông tin truyền Do WEP không đảm bảo confidentiality integrity Việc sử dụng khóa cố định chọn người sử dụng thay đổi (tức có nghĩa khóa WEP không tự động thay đổi) làm cho WEP dễ bị công WEP cho phép người dùng (supplicant) xác minh (authenticate) AP AP xác minh tính xác thực người dùng Nói cách khác, WEP không cung ứng mutual authentication − Hiện nay, Internet sẵn có công cụ có khả tìm khóa WEP AirCrack, AirSnort, WepCrack, WepAttack, WepCrack, WepLab, … Giao thức WPA2 đời có khả khắc phục toàn yếu điểm mà WEP để lại WPA2 (Wireless Protected Acess II) chuẩn đời sau WPA kiểm định lần ngày 1/9/2004 WPA2 National Institute of Standards and Technology (NIST) khuyến cáo sử dụng WPA2 có cấp độ bảo mật cao tương tự chuẩn WPA, nhằm bảo vệ cho người dùng người quản trị tài khoản liệu Nhưng thực tế WPA2 cung cấp hệ thống mã hóa mạnh so với WPA, nhu cầu tập đoàn doanh nghiệp có quy mô lớn WPA2 sử dụng nhiều thuật toán để mã hóa liệu TKIP, RC4, AES vài thuật toán khác Những hệ thống sử dụng WPA2 tương thích với WPA Vậy nên việc chuyển đổi sang giao thức WPA2 lựa chọn cần thiết để tăng khả bảo mật mạng wifi công ty Việc cài đặt giao thức WPA2 dễ dàng Trong trình cấu hình Acess Point, mục Security có phần Network Authentication ta chon WPA2 – PSK hình Sau chọn xong ấn Apply xong Hình3.5 Bước đặt giao thức WPA2 cho bảo mật Wireless Acess Point 3.2.4 Sử dụng mạng riêng ảo VPN Hiện công ty Cổ phần phần mềm EFFECT sử dụng hệ thống Private Network Private Network hệ thống mạng LAN sử dụng địa IP để chia sẻ liệu node kết nối với Cùng với phát triển ngày lớn mạnh công ty hệ thống mạng Private Network bộc lộ nhiều yếu điểm sau: − Hệ thống mạng Private Network phù hợp với văn phòng, công ty có toàn máy tính, thiết bị mạng nơi Chính hệ thống mạng Private Network không phù hợp theo lộ trình phát triển mà ban lãnh đạo công ty đề công ty mở thêm chi nhánh địa bàn Hà Nội mở thêm chi nhánh tỉnh, thành phố lớn Đà Nẵng, Hải Phòng, − Nếu Private Network triển khai nhiều vị trí khác phận quản trị phải mua thêm đường truyền cố định – Dedicate, để đảm bảo trình truyền liệu thông suốt trình hoạt động Điều làm tăng chí phí hàng năm công ty làm giảm khả cạnh tranh công ty với đối thủ thị trường VPN (Virtual Private Network) giải pháp tốt giải vấn đề đặt hệ thống mạng công ty sử dụng VPN mạng ảo, xây dựng sở mạng có sẵn Nó biết truyền đường hầm, luồng liệu mã hóa thiết lập trì bên kết nối bình thường không mã hóa VPN mở rộng mạng nội an toàn đến người sử dụng từ xa Vì vậy, người dùng không dây từ xa tồn lúc mạng Mạng không dây sẵn có, đường hầm VPN tạo để kết nối khách hàng từ xa đến mạng nội bộ, làm cho tất tài nguyên mạng nội sẵn có Hình 3.6 Minh họa mạng riêng ảo cho công ty tương lai Lợi ích VPN mang lại: − Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 2040% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% − Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, băng cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối từ xa văn phòng, vị trí quốc tế, người truyền thông, người dùng điện thoại di động, người hoạt động kinh doanh bên yêu cầu kinh doanh đòi hỏi − Tăng tính bảo mật: Các liệu quan trọng che giấu người quyền truy cập cho phép truy cập người dùng có quyền truy cập − Hỗ trợ giao thức mạng thông dụng TCP/IP − Bảo mật địa IP: Bởi thông tin gửi VPN mã hoá địa bên mạng riêng che giấu sử dụng địa bên Internet 3.2.5 Giải pháp trình độ nguồn nhân lực Trong trình thực tập Công ty Cổ phần phần mềm EFFECT làm điều tra khảo sát thống kê vấn đề trình độ hiểu biết nhân viên công ty lĩnh vực bảo mật thông tin sau: Biểu đồ 3.7 Khảo sát kiến thức nhân viên công ty lĩnh vực bảo mật thông tin (Nguồn: Thông tin phiếu điều tra) Qua biểu đồ thống kê cho thấy tỉ lệ nhân viên có kiến thức vấn đề bảo mật thông tin Công ty Cổ phần phần mềm EFFECT thấp Trong bảo mật thông tin vấn đề quan trọng ngành công nghệ thông tin khắp quốc gia giới Việt Nam không nằm số Điều đặt vấn đề công ty cần có sách đào tạo nguồn nhân lực thật tốt để phục vụ cho lĩnh vực an toàn bảo mật thông tin công ty Giải pháp cho vấn đề công ty cần có sách cho nhân viên học để bổ sung kiến thức Song song với việc sách tuyển dụng công ty thời gian tới cần đưa vấn đề bảo mật vào tiêu chí đánh giá tuyển dụng công ty Để đạt nguồn nhân lực chất lượng cao công ty phải nhanh chóng thực giải pháp để đáp ứng nhu cầu phát triển ngày cao xã hội KẾT LUẬN Sau thời gian cố gắng nỗ lực hết mình, em hoàn thành xong khóa luận Trong trình thực tập công ty Cổ phần phần mềm EFFECT, nhận thấy hệ thống thông tin mà doanh nghiệp sử dụng tồn số nhược điểm, đặc biệt vấn đề an toàn bảo mật thông tin trình lưu trữ xử lý thông tin Từ thực trạng em đưa số giải pháp nâng cao tính an toàn bảo mật thông tin cho HTTT công ty Bài khóa luận trình bày thực trạng vấn đề an toàn bảo mật thông tin công ty Cổ phần phần mềm EFFECT số giải pháp nâng cao tính an toàn bảo mật thông tin cho hệ thống thông tin doanh nghiệp giúp hệ thống thông tin công ty hoạt động tốt Danh mục tài liệu tham khảo [1] Thư viện trực tuyến: http://vi.wikipedia.org/ http://vi.wikipedia.org/wiki/SQL_injection http://vi.wikipedia.org/wiki/WPA2 [2] Tài liệu trực tuyến: http://www.tailieu.vn http://www.slideshare.net/ [3] Phạm Thị Quế (2008), Giáo trình mạng máy tính, Nhà xuất Thông tin Truyền thông [4] TS Nguyễn Ngọc Cương, TS Phạm Ngọc Lãng , giáo trình mạng truyền liệu, NXB Thông tin truyền thông [5]Giáo trình an toàn bảo mật, NXB Đại học Bách Khoa [6] Hồ Văn Canh, Nguyễn Viết Thế (2010), Nhập môn phân tích thông tin có bảo mật, Nhà xuất Thông tin Truyền thông [7] Nguyễn Xuân Dũng (2011), Bảo mật thông tin mô hình ứng dụng, Nhà xuất Thống kê, Hà Nội [8] Giáo trình an toàn liệu, NXB Đại học Thương Mại PHỤ LỤC PHIẾU ĐIỀU TRA TẠI CÔNG TY CỔ PHẦN PHẦN MỀM EFFECT (Lưu ý: Em cam kết giữ bí mật thông tin riêng công ty dùng thông tin cung cấp phiếu điều tra cho mục đích làm khóa luận tốt nghiệp) I-THÔNG TIN NGƯỜI ĐƯỢC PHỎNG VẤN Họ tên:………………………………… Chức vụ công tác:………………………… II-THÔNG TIN CHUNG 1.Tên doanh nghiệp:………………………………………………………… 2.Địa trụ sở chính:………………………………………………………… 3.Điện thoại:………………………………………………………………… 4.Email:……………………………………………………………………… 5.Website:…………………………………………………………………… 6.Tổng giám đốc/giám đốc:………………………………………………… 7.Tổng số nhân viên(NV):………………………………… III- CÁC CÂU HỎI PHỎNG VẤN 1.Tổng số thiết bị tin học công ty: STT Tên trang thiết bị Máy chủ Máy tính để bàn Máy tính xách tay Máy in ,máy fax Máy chiếu Số lượng Các phần mềm mà doanh nghiệp sử dụng: Nhãn hiệu STT Loại phần mềm Hệ điều hành Soạn thảo văn Mức độ đáp ứng yêu Có nhu cầu nghiệp vụ cầu thay Có sử dụng Tốt Khá TB thế, nâng cấp (Microsoft Office Quản lý nhân Kế toán, tài Quản lý quan hệ khách hàng (CRM) Phần mềm hỗ trợ lập trình Phần mềm quản lý dự án Khác  Mạng dây 3.Kết nối internet:  Wifi  Không 4.Anh(chị) cho biết số lần máy tính công ty bị nhiễm virus năm sau? Năm Số lần 2012 2013 2014 5.Anh(chị) cho biết số lần công ty bị hacker công năm sau? Năm Số lần Thời gian khắc phục 2012 2013 2014 6.Anh(chị) cho biết số lần máy tính công ty bị công qua mạng không dây(wifi) có dây? Năm Mạng không dây(wifi) Mạng có dây 2012 2013 2014 7.Anh(chị) cho biết số lần website bị công qua lỗ hổng bảo mật? Năm XSS SQL injection Khác 2012 2013 2014 8.Anh(chị) đánh giá tốc độ truy cập mạng công ty?  Rất tốt  Tốt  Khá  Trung bình  Yếu Anh(chị) đánh giá mức độ an toàn bảo mật hệ thống mạng nội bộ?  Rất tốt  Tốt  Khá  Trung bình  Kém 10 Việc lưu liệu công ty thực thường xuyên không?  Rất thường xuyên  Thường xuyên  Thỉnh thoảng  Ít  Không 11.Anh(chị( đánh giá mức độ an toàn liệu, thông tin?  An toàn  Không an toàn  Không biết 12 Công ty sử dụng giải pháp bảo vệ phần mềm liệu nào?  Thực lưu & phục hồi liệu  Mã hóa nén liệu  Sử dụng phần mềm diệt virut  Giải pháp khác  Không có giải pháp 13 Anh(chị) cho biết số nhân viên có chuyên môn vấn đề bảo mật thông tin? Năm Số nhân viên có chuyên môn bảo mật thông tin 2012 2013 2014 14 Công ty có cán chuyên trách quản trị HTTT không?  Có  Không Nếu có cán quản trị HTTT làm công việc ? A Xử lý lỗi hệ thống B Cấp quyền truy cập cho user C Quản trị HT phần cứng HT mạng D Tất công việc 15 Thách thức lớn an toàn bảo mật liệu công ty gì?  Nhân lực  Ngân sách  Chính sách công ty  Số lượng nhân viên  Hạ tầng công nghệ thông tin