Nghiên cứu khoa học “Phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của công ty cổ phần Sao Mai”.

An toàn bảo mật thông tin đã và đang là vấn đề nóng bỏng đối với tất cả các doanh nghiệp trong và ngoài nước. Cùng với sự phát triển không ngừng của công nghệ thông tin và tình trạng thiếu hụt nhân sự, vấn đề bảo mật đang ngày càng trở nên phức tạp hơn, khiến cho các doanh nghiệp gặp phải không ít khó khăn trong việc phát hiện, ngăn chặn các cuộc tấn công vào chính hệ thống thông tin của mình. Để tăng cường bảo mật hệ thống thông tin cho doanh nghiệp, một trong những giải pháp quan trọng và cần thiết là thường xuyên theo dõi, kiểm tra nhằm phát hiện các lỗ hổng bảo mật trong hệ thống thông tin để kịp thời ngăn chặn các cuộc tấn công từ bên trong cũng như bên ngoài gây mất mát hay sai lệch thông tin, làm ảnh hưởng xấu tới hoạt động sản xuất kinh doanh của doanh nghiệp.

BÀI NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ SINH VIÊN

Giáo viên hướng dẫn: Ths Nguyễn Thị Hội

Bộ môn: Công nghệ thông tin

Khoa: Tin học Thương Mại

Các thành viên trong nhóm:

1 Nguyễn Văn Thông (Nhóm trưởng) – SDT: 01658135882 – Lớp K45S5

2 Phạm Thị Minh Thu – Lớp K45S3

3 Nguyễn Phương Thảo – Lớp K45S4

1 Tên đề tài: “Phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của công ty cổ phần Sao Mai”

2 Thời gian thực hiện: Từ tháng 09 năm 2011 đến tháng 02 năm 2012

DANH MỤC HÌNH ẢNH 4 

DANH MỤC TỪ VIẾT TẮT 5 

CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 6 

1 Tính cấp thiết của đề tài 6 

2 Xác lập và tuyên bố vấn đề nghiên cứu trong đề tài 6

3 Mục tiêu của đề tài……… 7

4 Các câu hỏi đặt ra khi nghiên cứu 7 

5 Phạm vi nghiên cứu của đề tài 7 

6 Ý nghĩa của nghiên cứu 7 

7 Kết cấu của báo cáo đề tài 8 

CHƯƠNG 2: CÁC KHÁI NIỆM LIÊN QUAN VÀ THỰC TRẠNG VỀ CÁC LỖ HỔNG BẢO MẬT TRONG HTTT CỦA CÔNG TY CỔ PHẦN SAO MAI 9 

A Tổng quan về an toàn và bảo mật thông tin doanh nghiệp 9 

1 Hệ thống thông tin 9 

2 An toàn bảo mật thông tin 10 

3 Lỗ hổng bảo mật và phát hiện lỗ hổng trong HTTT doanh nghiệp 13 

a) Khái niệm 13 

b) Một số lỗ hổng trong hệ thống thông tin của doanh nghiệp 14 

B Phát hiện các lỗ hổng bảo mật trong HTTT của công ty cổ phần Sao Mai 23 

I Thực trạng chung về tình hình bảo mật trong hệ thống thông tin của các doanh nghiệp tại Việt Nam 23 

1 Sự quan tâm của các doanh nghiệp Việt Nam tới vấn đề an toàn bảo mật 23 

2 Thực trạng ứng dụng CNTT trong kinh doanh và sản xuất 26 

II Thực trạng tình hình bảo mật trong HTTT của công ty cổ phần Sao Mai 27

1 Giới thiệu về công ty 27 

2 Tình hình ứng dụng công nghệ thông tin trong công ty cổ phần Sao Mai 30 

3 Thực trạng vấn đề bảo mật và một số lỗ hổng trong HTTT của công ty 31 

CHƯƠNG 3: PHƯƠNG PHÁP NGHIÊN CỨU VÀ CÁC KẾT QUẢ PHÂN TÍCH THỰC

TRẠNG VẤN ĐỀ NGHIÊN CỨU 34 

A Một số phương pháp dùng để nghiên cứu 34 

B Chi tiết về đánh giá tổng quan tình hình bảo mật của công ty qua phiếu điều tra 35 

I Đánh giá hệ thống thông tin của công ty 35 

II Về lỗ hổng phần cứng trong hệ thống thông tin của công ty 39 

III Về lỗ hổng phần mềm trong hệ thống thông tin công ty 40 

IV Lỗ hổng xuất phát từ yếu tố con người 41 

V Về giải pháp của công ty trong vấn đề an toàn bảo mật 42 

C Các kết luận rút ra từ phiếu điều tra 42 

CHƯƠNG 4: CÁC KẾT LUẬN, THẢO LUẬN VÀ ĐỀ XUẤT VỚI VẤN ĐỀ NGHIÊN CỨU……….……… 44

A Một số giải pháp đưa ra cho công ty 44 

I Xây dựng HTTT an toàn bảo mật từ nhân tố khách quan: Phần cứng, phần mềm 44 

II Xây dựng HTTT an toàn bảo mật từ nhân tố chủ quan: con người,cơ cấu tổ chức 45  

1 Xây dựng đồng bộ các nhóm giải pháp 45 

2 Áp dụng quy trình xây dựng một hệ thống thông tin an toàn cho doanh nghiệp 46 

B Các kết luận rút ra từ báo cáo nghiên cứu 47 

I Các vấn đề đạt được của báo cáo nghiên cứu 47 

II Các vấn đề mà báo cáo đặt ra cần tiếp tục nghiên cứu 48 

C Các đề xuất, kiến nghị với vấn đề nghiên cứu 49 

I Đề xuất, kiến nghị với ban giám đốc của công ty cổ phần Sao Mai 49 

II Đề xuất, kiến nghị với nhà nước và các cơ quan liên quan 50

TÀI LIỆU THAM KHẢO 52

PHỤ LỤC………53

DANH MỤC HÌNH ẢNH

Hình 2.1 Thông điệp của nhóm hacker SwaggSec trên Twitter sau khi tấn công máy chủ nội

bộ Foxconn

Hình 2.2 Cáp đồng trục

Hình 2.3 Cấu trúc sợi cáp quang

Hình 2.4 Sơ đồ bộ máy tổ chức CTCP Sao Mai

Hình 3.1 Tỉ lệ doanh nghiệp gặp lỗ hổng trong hệ thống thông tin

Hình 3.2 Bộ phận phụ trách HTTT của công ty

Hình 3.3 Nhận thức của nhân viên về mức độ an toàn của HTTT trong công ty (khảo sát từ

nhân viên CTCP Sao Mai)

Hình 3.4 Đánh giá mức độ nguy hiểm của lỗ hổng phần cứng đến HTTT (khảo sát từ nhân

viên của CTCP Sao Mai)

Hình 3.5 Mức độ hiểu biết về các lỗ hổng phần mềm (khảo sát từ nhân viên CTCP Sao

Mai)

Hình 3.6 Những hoạt động của nhân viên gây mất an toàn thông tin công ty

4 VNCERT Vietnam Computer Emergency Response Team Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam

5 IDG International Data Group Tập đoàn dữ liệu quốc tế

7 IT Information Technology Công nghệ thông tin

9 CEO Chief Executive Officer

Người lãnh đạo cao nhất trong một công ty hoặc một tổ chức, chịu trách nhiệm thực hiện hàng ngày các chính sách của hội đồng quản trị

10 GSM Global System Mobile Communication Hệ thống truyền thông di động toàn cầu

13 ISMS Information Security Management System Hệ thống an toàn thông tin

CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI

1 Tính cấp thiết của đề tài

An toàn bảo mật thông tin đã và đang là vấn đề nóng bỏng đối với tất cả các doanh nghiệp trong và ngoài nước Cùng với sự phát triển không ngừng của công nghệ thông tin và tình trạng thiếu hụt nhân sự, vấn đề bảo mật đang ngày càng trở nên phức tạp hơn, khiến cho các doanh nghiệp gặp phải không ít khó khăn trong việc phát hiện, ngăn chặn các cuộc tấn công vào chính

hệ thống thông tin của mình Để tăng cường bảo mật hệ thống thông tin cho doanh nghiệp, một trong những giải pháp quan trọng và cần thiết là thường xuyên theo dõi, kiểm tra nhằm phát hiện các lỗ hổng bảo mật trong hệ thống thông tin để kịp thời ngăn chặn các cuộc tấn công từ bên trong cũng như bên ngoài gây mất mát hay sai lệch thông tin, làm ảnh hưởng xấu tới hoạt động sản xuất kinh doanh của doanh nghiệp

Kinh tế suy giảm khiến cho các doanh nghiệp cắt giảm tối đa chi phí, trong đó có chi phí dành cho bảo mật thông tin Tuy nhiên, theo các chuyên gia cảnh báo đây lại là một hướng đi rất sai lầm Hiện nay nạn tội phạm công nghệ cao đang ngày càng gia tăng trong bối cảnh kinh

tế thế giới chuyển biến theo hướng xấu đi Các doanh nghiệp đang đứng trước nguy cơ mất an toàn trong hệ thống thông tin của doanh nghiệp Chính vì vậy, việc phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của doanh nghiệp là điều vô cùng cần thiết và cấp bách nếu như doanh nghiệp không muốn bị tấn công và phải chịu những tổn thất khó lường

2 Xác lập và tuyên bố vấn đề nghiên cứu trong đề tài

- Dựa trên tình hình bảo mật trong hệ thống thông tin của doanh nghiệp, đề tài nghiên cứu đưa ra dự đoán về một số lỗ hổng hay gặp phải trong quá trình bảo mật hệ thống thông tin doanh nghiệp

- Đề tài nghiên cứu cũng đưa ra một số phương pháp phát hiện các lỗ hổng bảo mật trong

hệ thống thông tin của doanh nghiệp

- Bên cạnh đó, đề tài nghiên cứu cũng đưa ra một số giải pháp để khắc phục các lỗ hổng bảo mật trong bảo đảm an toàn hệ thống thông tin doanh nghiệp

3 Mục tiêu của đề tài

Báo cáo nghiên cứu sẽ giới thiệu các nguy cơ và một số lỗ hổng bảo mật mà hệ thống thông tin của doanh nghiệp thường gặp phải Đồng thời báo cáo nghiên cứu cũng sẽ đưa ra một số phương pháp phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của doanh nghiệp và một

số giải pháp để khắc phục các lỗ hổng bảo mật đã phát hiện được

4 Các câu hỏi đặt ra khi nghiên cứu

- Vai trò của bảo mật hệ thống thông tin trong sự phát triển doanh nghiệp?

- Vai trò của việc phát hiện các lỗ hổng bảo mật đối với sự phát triển của hệ thống thông tin doanh nghiệp Các lỗ hổng bảo mật trong hệ thống thông tin của doanh nghiệp hiện nay là gì?

- Những phương pháp có thể phát hiện các lỗ hổng bảo mật trong HTTT doanh nghiệp?

Có giải pháp gì để khắc phục các lỗ hổng bảo mật đó không?

5 Phạm vi nghiên cứu của đề tài

- Đối tượng nghiên cứu: Các lỗ hổng bảo mật trong hệ thống thông tin của các doanh nghiệp nói chung

- Phạm vi nghiên cứu: Hệ thống thông tin của Công ty cổ phần Sao Mai và một số doanh nghiệp có ứng dụng hệ thống thông tin trong việc xây dựng hệ thống thông tin của doanh nghiệp

6 Ý nghĩa của nghiên cứu

- Ý nghĩa lý luận: Dùng làm tài liệu tham khảo cho các doanh nghiệp trong vấn đề an toàn bảo mật hệ thống thông tin doanh nghiệp Đồng thời báo cáo nghiên cứu còn là cơ sở và là tài liệu để nghiên cứu các vấn đề liên quan khác Báo cáo nghiên cứu sẽ hệ thống hóa được các lỗ hổng và cách phát hiện lỗ hổng trong bảo mật hệ thống thông tin doanh nghiệp để từ đó làm cơ

sở để xây dựng các biện pháp đảm bảo an toàn hệ thống thông tin cho doanh nghiệp

- Ý nghĩa thực tiễn: Báo cáo nghiên cứu cho thấy được thực trạng các lỗ hổng bảo mật trong hệ thống thông tin doanh nghiệp và từ đó đưa ra các giải pháp giúp doanh nghiệp khắc

phục được các lỗ hổng bảo mật đó

7 Kết cấu của báo cáo đề tài

- Chương 1: Tổng quan nghiên cứu đề tài

- Chương 2: Các khái niệm liên quan và thực trạng về các lỗ hổng bảo mật trong hệ thống thông tin của công ty cổ phần Sao Mai

- Chương 3: Phương pháp nghiên cứu và các kết quả phân tích thực trạng vấn đề nghiên cứu

- Chương 4: Các kết luận, thảo luận và đề xuất với vấn đề nghiên cứu

CHƯƠNG 2: CÁC KHÁI NIỆM LIÊN QUAN VÀ THỰC TRẠNG

VỀ CÁC LỖ HỔNG BẢO MẬT TRONG HTTT CỦA CÔNG TY CỔ

Thông tin bao gồm nhiều giá trị dữ liệu và luôn mang một ý nghĩa nào đó

Hệ thống thông tin là tập hợp người, thủ tục và các nguồn lực để thu thập, xử lý, truyền và phát thông tin trong một tổ chức

Hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào máy tính (phần cứng, phần mềm) và các công nghệ thông tin khác

Hệ thống thông tin hiện đại bao gồm phần cứng, phần mềm, dữ liệu, con người, quy trình

xử lý và có các đặc điểm: Tổ chức lưu trữ, xử lý và truyền bá thông tin, cung cấp thông tin cho

tổ chức theo yêu cầu một cách chính xác và nhanh chóng Nhiệm vụ của hệ thống thông tin là thu thập thông tin từ môi trường ngoài, đưa thông tin ra ngoài (thông tin về giá cả, thị trường, sức lao động, nhu cầu hàng hóa), làm cầu nối liên lạc giữa các bộ phận của hệ kinh doanh, cung cấp thông tin cho hệ tác nghiệp, hệ quyết định (như thông tin phản ánh tình trạng nội bộ của cơ quan tổ chức trong hệ thống, thông tin về tình trạng hoạt động kinh doanh của hệ thống)

Hệ thống thông tin là một chức năng chính của doanh nghiệp tương tự như kế toán, tài chính, quản trị hoạt động, tiếp thị, quản trị nguồn nhân lực Hệ thống thông tin không chỉ góp phần quan trọng vào hiệu quả hoạt động, tinh thần và năng suất lao động nhân viên, phục vụ và đáp ứng thỏa mãn khách hang mà còn là một nguồn thông tin và hỗ trợ chính vô cùng cần thiết nhằm tăng hiệu quả việc ra quyết định của các cấp quản trị và các doanh nhân Hệ thống thông

tin là một yếu tố sống còn trong phát triển thị trường cạnh tranh, tăng cường lợi thế chiến lược của một tổ chức trên thị trường toàn cầu

Các thành phần của hệ thống thông tin:

- Phần cứng: Phần cứng là các bộ phận (vật lý) cụ thể của máy tính hay hệ thống máy tính, hệ thống mạng sử dụng làm thiết bị kỹ thuật hỗ trợ hoạt động trong HTTT

- Phần mềm: Phần mềm là một tập hợp các câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trình tự xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào đó

- Hệ thống mạng: Mạng máy tính là một tập hợp các máy tính độc lập được kết nối với nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó

- Dữ liệu: Cơ sở dữ liệu là một tập hợp dữ liệu có tổ chức, có liên quan được lưu trữ trên các thiết bị lưu trữ thứ cấp (băng từ, đĩa từ…) để có thể thỏa mãn nhu cầu khai thác thông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng với nhiều mục đích khác nhau

- Con người: Cong người là chủ thể điều hành và sử dụng HTTT của doanh nghiệp Con người trong HTTT chia thành 2 nhóm chính: những người sử dụng HTTT trong công việc, những người xây dựng và bảo trì HTTT

2 An toàn bảo mật thông tin

An toàn thông tin: Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép, hoặc xóa bỏ bởi những người không được phép Các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và các sự cố đó

sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu Bảo mật hệ thống: Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin Trong đó: tính bí mật là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng, tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền, tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần HTTT được coi là bảo

mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định

Các yếu tố cần xem xét trong bảo mật hệ thống thông tin:

- Yếu tố công nghệ: Công nghệ là một yếu tố không thể thiếu trong bảo mật hệ thống thông tin Những sản phẩm như Firewall, phần mềm chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành…đang được con người sử dụng và khai thác tối ưu các công dụng của nó nhằm ngăn chặn các nguy cơ từ bên trong cũng như bên ngoài, bảo vệ tính an toàn của thông tin ở từng mức: mức vật lý, mức hệ điều hành, mức mạng, mức dữ liệu,…Ngày nay sự phát triển của công nghệ khiến cho các phần mềm bảo mật không ngừng được nâng cao cả về chất lượng và giá thành Tuy nhiên sự phát triển của công nghệ cũng tiềm ẩn những nguy cơ như các cuộc tấn công vào các sản phẩm kỹ thuật số, điện thoại di động…diễn ra khắp nơi và gây thiệt hại lớn về tài chính cho doanh nghiệp, công nghệ điện toán đám mây khiến cho việc bảo vệ an toàn bảo mật thông tin ngày càng gay go Do đó, doanh nghiệp cần quan tâm đúng mức đối với các sản phẩm công nghệ mới phục vụ cho bảo mật thông tin, khi cần thiết phải có sự đầu tư thích hợp nhằm nâng cao tính an toàn, bảo mật cho hệ thống thông tin của mình Đồng thời doanh nghiệp cần có những hiểu biết nhất định để có các biện pháp nhằm ngăn chặn nguy cơ mất an toàn thông tin từ các sản phẩm công nghệ khác

- Yếu tố con người: bao gồm những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình Theo nhận định của các chuyên gia tại Hội nghị Lãnh đạo an ninh thông tin (CSO) được Sở TT&TT TP.HCM phối hợp cùng VNCERT và Tập đoàn dữ liệu quốc tế IDG tổ chức vừa qua tại TP.HCM, môi trường mạng ngày càng nguy hiểm và tội phạm công nghệ tấn công với mục đích chính là để kiếm tiền Vì thế, để đảm bảo an toàn trong an ninh bảo mật, con người là yếu tố quan trọng và đóng vai trò quyết định An toàn thông tin phải bắt đầu từ con người, cần có sự phối hợp giữa các bên liên quan, cũng như nâng cao nhận thức của mỗi người về những hiểm họa do lỗ hổng bảo mật gây

ra Chiến lược đầu tư vào con người là chiến lược quan trọng nhất và nó quyết định đến sự an toàn của doanh nghiệp

Các yêu cầu của an toàn hệ thống thông tin:

- Tính bí mật: dữ liệu của người sử dụng luôn được bảo vệ, không bị xâm phạm bởi những người không được phép

- Tính toàn vẹn: dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu

- Tính tin cậy: thông tin người dùng nhận được là chính xác

HTTT trong doanh nghiệp có thể gặp các rủi ro từ bên thứ ba Kiểu truy cập đưa cho các tổ chức này là vấn đề hết sức quan trọng Có hai kiểu truy cập là: truy cập vật lý (phòng máy, tủ tài liệu ) và truy cập logic (cơ sở dữ liệu, các HTTT) Tổ chức thứ 3 có thể được quyền truy cập với một số lý do Ví dụ, tổ chức thứ 3 là cung cấp dịch vụ cho tổ chức và không có trụ sở nhưng có thể được quyền truy cập logic cũng như truy cập vật lý, như:

- Các nhân viên hỗ trợ phần cứng và phần mềm, những người cần truy cập mức hệ thống hoặc các chức năng ứng dụng mức thấp;

- Các đối tác hoặc các liên doanh, những người có thể trao đổi thông tin, truy cập hệ thống thông tin hoặc chia sẻ cơ sở dữ liệu

Thông tin có thể gặp rủi ro từ việc truy cập của tổ chức thứ 3 cùng với vấn đề quản lý an toàn thiếu chặt chẽ Tại đó, có yêu cầu nghiệp vụ để liên kết với tổ chức thứ 3 tiến hành thực hiện việc xác định các thủ tục cho các quy tắc quản lý nhất định Nó cần được đưa vào danh mục kiểu truy cập được yêu cầu, giá trị của thông tin, các quy tắc đã thuê tổ chức thứ 3 cũng như các vấn đề liên quan đến vấn đề an toàn thông tin tổ chức của sự truy cập này

Ngoài ra, để đảm bảo an toàn và bảo mật HTTT, DN cần chú ý đến các hoạt động như:

- Các tài sản công được sử dụng vào việc xử lý thông tin kinh doanh nhạy cảm và có tính quyết định cần được đưa vào vùng an toàn, được bảo vệ bởi vành đai an toàn đã định sẵn, với các rào cản về bảo mật cũng như các quy tắc truy cập Chúng cần được bảo vệ về mặt vật lý từ các sự truy cập bất hợp pháp, sự phá hủy cũng như sự can thiệp trái phép

- Đối với những thiết bị không có nhu cầu sử dụng nữa, việc loại bỏ thiết bị này cần được đảm bảo một cách an toàn Các thông tin nhạy cảm có thể bị dò rỉ ra bên ngoài nếu một cá nhân bất cẩn trong việc loại bỏ thiết bị

- Thông tin có thể gặp các nguy cơ truy cập bất hợp pháp, lợi dụng hoặc bị làm sai lệch trong quá trình truyền tải vật lý, ví dụ như trường hợp gửi qua dịch vụ bưu điện hoặc qua người đưa thư…

An toàn bảo mật có vai trò quan trọng đối với sự phát triển bền vững của mỗi doanh nghiệp Trong suốt quá trình hình thành và phát triển, thông tin là tài sản vô giá đối với mỗi doanh nghiệp Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, cong người và gây thiệt hại đến hoạt động sản xuất kinh doanh, ảnh hưởng tới uy tín và sự phát triển của doanh nghiệp song lại là vấn đề rất khó tránh khỏi Bởi vậy, an toàn bảo mật không phải là công việc của riêng người làm công nghệ thông tin mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp

3 Lỗ hổng bảo mật và phát hiện lỗ hổng trong HTTT doanh nghiệp

a) Khái niệm

Lỗ hổng bảo mật là những yếu kém trên hệ thống hoặc ẩn chứa trong một dịch vụ nào đó,

mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp

Nguyên nhân gây ra các lỗ hổng bảo mật là khác nhau: do lỗi bản thân hệ thống, do phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp,… Mức độ ảnh hưởng của các lỗ hổng là khác nhau: có lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ, có lỗ hổng ảnh hưởng sâu sắc tới toàn bộ hệ thống

VD: Nguồn tin từ Electronista cho hay một nhóm hacker tự xưng là SwaggSec đã công bố

dữ liệu từ máy chủ nội bộ của Foxconn mà nhóm đã đột nhập vào Dữ liệu này bao gồm cả tên

sử dụng và mật khẩu các cán bộ quản lý, thậm chí cả Giám đốc điều hành Cuộc tấn công có thể

đã tận dụng lỗ hổng bảo mật của trình duyệt Internet Explorer chưa được cập nhập trên một máy chủ của Foxconn

Hình 2.1: Thông điệp của nhóm hacker SwaggSec trên Twitter

sau khi tấn công máy chủ nội bộ Foxconn

b) Một số lỗ hổng trong hệ thống thông tin của doanh nghiệp

 Lỗ hổng phần cứng

- Lỗi tràn bộ nhớ đệm

Trong các lĩnh vực an ninh máy tính và lập trình, một lỗi tràn bộ nhớ đệm hay gọi tắt là lỗi tràn bộ đệm là một lỗi lập trình có thể gây ra một ngoại lệ truy nhập bộ nhớ máy tính và chương trình bị kết thúc, hoặc khi người dùng có ý phá hoại, họ có thể lợi dụng lỗi này để phá

vỡ an ninh hệ thống

Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu vượt ra ngoài biên của một bộ nhớ đệm có chiều dài cố định Kết quả là dữ liệu đó sẽ đè lên các vị trí bộ nhớ liền kề Dữ liệu bị ghi đè có thể bao gồm các bộ nhớ đệm khác, các biến và dữ liệu điều khiển luồng chạy của chương trình (program flow control)

Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quả sai Các lỗi này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt để thực thi các đoạn mã phá hoại hoặc để làm cho chương trình hoạt động một cách không như mong đợi Bằng cách

đó, các lỗi tràn bộ đệm gây ra nhiều lỗ hổng bảo mật (vulnerability) đối với phần mềm và tạo

cơ sở cho nhiều thủ thuật khai thác (exploit) Nhiều kỹ thuật đa dạng với nhiều ưu nhược điểm

đã được sử dụng để phát hiện hoặc ngăn chặn hiện tượng tràn bộ đệm Cách đáng tin cậy nhất

để tránh hoặc ngăn chặn tràn bộ đệm là sử dụng bảo vệ tự động tại mức ngôn ngữ lập trình Tuy nhiên, loại bảo vệ này không thể áp dụng cho mã thừa kế (legacy code), và nhiều khi các ràng buộc kỹ thuật, kinh doanh hay văn hóa lại đòi hỏi sử dụng một ngôn ngữ không an toàn Các phương pháp thông dụng hiện nay là: lựa chọn ngôn ngữ lập trình, sử dụng các thư viện an toàn, chống tràn bộ nhớ đệm trên stack, bảo vệ không gian thực thi, ngẫu nhiên hóa sơ đồ không gian địa chỉ và kiểm tra sâu đối với gói tin

- Lỗ hổng liên quan đến đường cáp nối, đường truyền

Cáp đồng trục: Cáp đồng trục là kiểu cáp đầu tiên được dùng trong các LAN, được chế tạo gồm một dây đồng ở trung tâm được bao bọc bởi một vật liệu cách li là chất điện môi không dẫn điện, chung quanh chất điện môi được quấn bằng dây bện kim loại vừa dùng làm dây dẫn vừa bảo vệ khỏi sự phát xạ nhiễm điện từ Ngoài cùng lại là một lớp vỏ bọc làm bằng chất không dẫn điện (thường là PVC, PE) Dây đồng trục có hai loại, loại nhỏ và loại to Dây cáp đồng trục được thiết kế để truyền tin cho bǎng tần cơ bản hoặc bǎng tần rộng Tuy nhiên việc

sử dụng cáp đồng trục có thể bị nghe lén trên đường truyền hay tín hiệu truyền bị phát hiện và thu trộm bởi người khác Khi truyền dữ liệu, việc đứt cáp truyền cũng có thể gây mất mát thông tin

Hình 2.2: Cáp đồng trục

Cáp quang: Cáp sợi quang bao gồm một dây dẫn trung tâm (là một hoặc một bó sợi thủy tinh có thể truyền dẫn tín hiệu quang) được bọc một lớp vỏ bọc có tác dụng phản xạ các tín hiệu trở lại để giảm sự mất mát tín hiệu Bên ngoài cùng là lớp vỏ plastic để bảo vệ cáp Cáp quang chỉ truyền sóng ánh sáng (không truyền tín hiệu điện) với băng thông rất cao nên không gặp các

sự cố về nhiễu hay bị nghe trộm Cáp dùng nguồn sáng laser, diode phát xạ ánh sáng Cáp quang không thể bị bẻ cong nên các sự cố trong việc nối cáp tạo lỗ hổng trong đường truyền cũng là một nguy cơ khiến thông tin có thể bị mất mát hay đánh cắp khi truyền

Hình 2.3: Cấu trúc sợi cáp quang

Cuối tháng 8 năm ngoái, việc trao đổi, liên lạc thông tin từ Việt Nam ra nước ngoài qua mạng Internet bị chậm, nghẽn mạng bởi tuyến cáp quang biển AAG (Asia America Gateway) lại bị đứt Phía Công ty Viễn thông Viettel (Viettel Telecom) cho hay, sự cố đứt cáp này sẽ khiến tất cả lưu lượng của các nhà cung cấp dịch vụ viễn thông tại Việt Nam hoạt động trên

tuyến AAG sẽ bị ảnh hưởng, trong đó có đơn vị này Thuê bao của một số hãng khác sử dụng

hệ thống cáp quang Liên Á thông qua EVN Telecom cũng bị tác động tương tự

- Thiết bị USB:

Gồm 2 loại phổ biến là thẻ nhớ USB và máy MP3 Chúng sử dụng flash memory, đây là

bộ nhớ kiểu EEPROM (Electrically Erasable Programmable Read-Only Memory) Thiết bị USB là phương tiện lây lan virus chủ yếu, dễ dàng đánh cắp dữ liệu

Để hạn chế sử dụng thiết bị USB có thể thực hiện các biện pháp như: không sử dụng các loại thẻ nhớ cắm vào máy tính, USB bằng BIOS, USB bằng hệ điều hành (di chuyển file Winnt\DriverCache\i386\DRIVER.CAB đi nơi khác), USB bằng phần mềm

- Một số lỗi phần cứng khác

Trong quá trình làm việc với máy tính, người dùng thường hay gặp những lỗi như bad ổ cứng, hỏng cơ ổ cứng, chết RAM Những lỗi này không trực tiếp dẫn tới các lỗ hổng bảo mật, nhưng nếu không được khắc phục kịp thời sẽ gây ảnh hưởng không nhỏ đến dữ liệu trong máy Lúc đó, dữ liệu không phải bị đánh cắp hay sửa đổi mà có khả năng mất sạch, không thể phục hồi vì những lỗi như trên

 Lỗ hổng phần mềm

- Lỗ hổng trong mã chương trình

Tội phạm mạng thường sử dụng lỗ hổng trong mã chương trình để truy cập vào dữ liệu và tài nguyên trên máy tính bị lỗi bảo mật Các chương trình độc hại được thiết kế đặc biệt để khai thác lỗ hổng, được gọi là kỹ thuật exploit, đang ngày càng phổ biến nhanh chóng

Điển hình như sâu Stuxnet khét tiếng, vốn không chỉ khai thác một mà đến 4 lỗ hổng cùng lúc trong hệ điều hành Windows, là một trong những minh chứng rõ ràng nhất về việc sử dụng

kỹ thuật exploit ngày càng phổ biến của tội phạm mạng

Chuyên viên phân tích virus của Kaspersky Lab, Vyacheslav Zakorzhevsky nhận xét:

"Trước đây, tội phạm chủ yếu nhắm mục tiêu vào các lỗ hổng bảo mật trong hệ điều hành

Microsoft Windows Tuy nhiên trong vài năm gần đây, hacker đã chuyển trọng tâm vào những sản phẩm như Adobe Flash Player và Adobe Reader"

Do vậy một sản phẩm mới có tên Adobe Updater đã được phát hành để thực hiện một chức năng tương tự như của Windows Update, nhằm tự động tải về và cài đặt bản vá lỗi cho các chương trình cài đặt trên máy tính của người dùng Hiện nay, công cụ Java của Sun cũng đã trở thành mục tiêu của tấn công khai thác lỗ hổng bảo mật Sun cũng đang cố gắng giải quyết tình hình cập nhật bản vá của mình

Một lỗ hổng khác nằm trong dịch vụ Windows Print Spooler của Windows Stuxnet sử dụng lỗ hổng này để gửi các đoạn mã độc đến thực thi ở các máy tính từ xa Nhờ chức năng của

lỗ hổng này, sự lây nhiễm sẽ được mở rộng đến các máy tính sử dụng chung một máy in hay chia sẻ việc truy cập vào một máy in Nếu một trong các máy tính này đang kết nối vào một mạng thì các máy tính khác trong mạng cũng sẽ bị nhiễm

- Lỗ hổng do không cập nhật phần mềm

Theo báo cáo bảo mật Microsoft Security intelligence, 90% lỗ hổng bảo mật xuất hiện do không cập nhật phần mềm cho máy Công nghệ thông tin đang phát triển từng phút từng giây, các hacker, virus cũng theo đó phát triển từng ngày Các công ty phần mềm luôn theo sát thị trường và mục đích của người dùng, điều tra nghiên cứu để phát triển sản phẩm của mình tốt

hơn, ưu việt hơn và an toàn hơn Nếu người dùng bỏ qua bước cập nhật phiên bản mới, có thể

họ đã vô tình rút ra một viên gạch trên bức tường bảo mật của mình

- Lỗ hổng từ các phần mềm xâm nhập qua web

Virus, phần mềm gián điệp… thường được đính kèm thư điện tử, ảnh cũng là một trong những phương tiện chính để tin tặc có thể xâm nhập vào máy tính của nạn nhân

Spyware (phần mềm gián điệp): Chuyên thu thập các thông tin từ các máy chủ qua mạng Internet mà không có nhận thức của chủ máy Spyware được cài đặt một cách bí mật như là một

bộ phận kèm theo của các chương trình Freeware (phần mềm miễn phí) và Shareware (phần mềm chia sẻ) mà người dung máy tính có thể đưa về từ Internet Một khi đã cài đặt, spyware điều phối hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (như của những tay hacker) Spyware cũng thu thập tin tức về địa chỉ email và ngay

cả mật khẩu cũng như là số thẻ tín dụng Mốt số spyware nổi tiếng: WildTangent, Xupiter, DoubleClick… Một số biểu hiện của spyware là làm chậm máy tính, máy tính bị đóng băng hoặc khởi động lại thường xuyên, thêm thanh công cụ hoặc menu mới cho trình duyệt, tạo shortcut mới trên desktop, thay đổi trang web mặc định, xuất hiện nhiều cửa sổ quảng cáo Để phòng chống spyware, người sử dụng cần tránh xa các trang web đen, nơi luôn cung cấp các tập tin ảnh hay phim ngắn miễn phí Nếu bạn tải các hình ảnh hay đoạn phim này, spyware sẽ theo

đó để xâm nhập vào máy của bạn Hãy dùng phần mềm chống spyware, quét thường xuyên để loại bỏ spyware Khởi động lại máy và chạy kiểm tra lại lần nữa sau mỗi lần lại bị nhiễm spyware mới để chống sự tái nhiễm

Virus: là một chương trình có khả năng tự nhân lên sau một thời gian, tự kích hoạt tại một thời điểm, tự phá hủy một số định dạng file, tự di chuyển đến các thư mục và máy tính khác theo thông điệp gửi nhằm mục đích lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng (liên tục khởi động lại máy, xóa file trên đĩa cứng, cài đặt các chương trình lấy cắp thông tin, làm đầy đĩa cứng, chỉnh sửa cấu hình bảo mật, format đĩa cứng)

Ví dụ: Virus “xrobot” xuất hiện 09/04/2006, lây lan nhanh qua yahoo Messenger trên trang

thứ 2 trường Đại học Kinh tế quốc dân Hà Nội hồi tháng 04/2006 Xrobot được phát tán lên mạng Internet vào khoảng 3 giờ chiều ngày 09/04/2006, và đến ngày 10/04/2006 đã có tới khoảng 10.000 máy tính bị nhiễm

 Lỗ hổng liên quan đến yếu tố con người

- Nguy cơ từ nhân viên sa thải

Các công ty và doanh nghiệp trên toàn thế giới đang đua nhau sa thải nhân viên, kiến tạo lại

bộ máy sản xuất nhằm giảm chi phí nhưng có nhiều vấn đề mà doanh nghiệp cần phải chú ý Khi những nhân viên làm lâu năm ra đi thì có thể một số thông tin quan trọng của công ty cũng

ra đi theo Đó có thể là những thông tin kinh doanh quan trọng của doanh nghiệp mà các hãng đối thủ đang thèm muốn

Theo nhận định của Symantec, dưới tác động của khủng hoảng tài chính, nguy cơ mất dữ liệu từ nhân tố bên trong ngày càng tăng cao Bản nghiên cứu của Viện Ponemon do Symantec tài trợ, công bố thực tế rằng 59% nhân viên đã nghỉ việc hoặc bị đề nghị nghỉ việc đang lấy cắp

dữ liệu; và 79% trong số này biết rằng họ không được phép Cũng theo đó, chỉ 15% các tổ chức tiến hành kiểm tra lại những văn bản và tài liệu bị đánh cắp

Với việc sa thải nhân viên thì các doanh nghiệp có thể sẽ phải đối đầu với nguy cơ một số thông tin quan trọng của mình có thể bị tiết lộ cho các đối thủ cạnh tranh Khi mà chính các đối thủ cạnh tranh lại là người tiếp nhận những nhân viên mà công ty đã sa thải thì rất có thể chính những người nhân viên này sẽ sử dụng những thông tin mà mình biết và có được về doanh nghiệp để giúp các đối thủ cạnh tranh gây ra những cản trở và khó khăn cho doanh nghiệp Đây vừa là một nguy cơ lại vừa là một lỗ hổng rất lớn trong hệ thống thông tin của doanh nghiệp mà xuất phát từ yếu tố con người Nếu doanh nghiệp không có các biện pháp để phòng tránh và ngăn ngừa thì đây sẽ là một lỗ hổng vô cùng tai hại và sẽ gây ra những hậu quả, những thiệt hại rất lớn mà doanh nghiệp có thể không lường hết trước được Khi mà các thông tin quan trọng của doanh nghiệp bị tiết lộ sẽ làm ảnh hưởng đến hoạt động kinh doanh cũng như các chiến lược mà công ty đã đề ra rất có thể dẫn đến bị phá sản Các đối thủ cạnh tranh khi mà có được những thông tin quan trọng về doanh nghiệp thì họ có thể đi trước để biến chiến lược kinh

doanh của doanh nghiệp thành chiến lược của mình và khi đó rất có thể doanh nghiệp sẽ phải đứng trước bờ vực phá sản

- Nguy cơ từ trình độ của người lao động

Trong các công ty, doanh nghiệp thì có rất nhiều nhân viên và những người lao động Việc trang bị kến thức về công nghệ thông tin là vô cùng cần thiết và quan trọng đối với những người lao động trong doanh nghiệp Đặc biệt yếu tố công nghệ thông tin là vô cùng cần thiết và quan trọng đối với các nhân viên mà thường xuyên sử dụng đến máy tính trong công việc Tuy nhiên điều này chưa được đánh giá đúng mức về vai trò và tầm quan trọng của công nghệ thông tin trong kinh doanh Nhân viên trong công ty thì được tiếp cận và làm việc với rất nhiều hệ thống thông tin trong doanh nghiệp cho dù trình độ của họ thì lại không đảm bảo và cũng không được quan tâm đúng mức Có rất nhiều nhân viên không biết hoặc không quan tâm đến tình trạng bảo mật trong hệ thống thông tin của doanh nghiệp nhưng lại được giao nhiệm vụ quản lý hay thường xuyên tiếp cận với hệ thống thông tin của doanh nghiệp Chính công việc này đã tạo ra những nguy cơ, những thiệt hại rất lớn đối với doanh nghiệp Nếu như những con người này trong quá trình thao tác với hệ thống thông tin của doanh nghiệp do không hiểu biết hay cố tình làm rò rỉ thông tin của doanh nghiệp thì sẽ gây ra những thiệt hại vô cùng to lớn cho hoạt động kinh doanh của doanh nghiệp Các thông tin rò rỉ có thể là những chiến lược, những định hướng kinh doanh của doanh nghiệp thì sẽ là vô cùng tai hại khi mà đối thủ cạnh tranh biết được thông tin đó và rất có thể doanh nghiệp sẽ rơi xuống bờ vực phá sản

- Nguy cơ đến từ những thói quen sử dụng Webmail (Gmail, Yahoo!, Mail)

Trong doanh nghiệp thì những nhân viên đều có các địa chỉ Mail hay Yahoo! Mọi người đều biết và hiểu được tầm quan trọng của những phương tiện này trong hoạt động sản xuất, kinh doanh Nhờ có những phương tiện như Mail, Yahoo! mà nhân viên làm việc hiệu quả với tốc độ nhanh hơn Tuy nhiên bên cạnh những mặt tích cực mà nó đem lại đã khiến cho mọi người chỉ biết đến những tính năng tốt của nó mà lại không để ý đến những nguy cơ xuất phát

từ nó có thể gây ra nguy hại cho hoạt động sản xuất kinh doanh Thói quen chung của mọi người là sử dụng Mail hay Yahoo! rất nhiều ngay cả khi làm việc tại công ty Đây là một lỗ

Mail hay Yahoo! trở thành một thói quen mà người nhân viên sử dụng không để ý thì rất có thể những thông tin quan trọng của doanh nghiệp sẽ bị các Hacker tấn công và lấy đi Các Hacker

có thể biến những địa chỉ Mail hay Yahoo! của mình thành trung gian để rùi từ đó xâm nhập vào hệ thống thông tin của doanh nghiệp

Với nguy cơ đến từ những thói quen sử dụng Webmail (Mail, Yahoo!, Gmail) thì rất có thể

sẽ gây ra những thiệt hại lớn đối với doanh nghiệp Khi mà các Hacker biến những địa chỉ Mail hay Yahoo! thành những trung gian để tấn công vào hệ thống thông tin của doanh nghiệp thì nó

sẽ lấy đi những thông tin quan trọng liên quan đến hoạt động kinh doanh của doanh nghiệp Khi

mà các thông tin quan trọng của công ty lọt vào tay của đối thủ cạnh tranh thì doanh nghiệp sẽ phải chịu những tổn thất vô cùng lớn và rất có thể đứng trước nguy cơ bờ vực phá sản

- Nguy cơ đến từ điện thoại thông minh truy cập trái phép mạng Wi-Fi

Điện thoại thông minh đã tạo ra một trong những nguy hiểm lớn nhất đối với bảo mật doanh nghiệp, phần lớn là bởi chúng quá phổ biến và bởi một số nhân viên không thể không sử dụng các thiết bị cá nhân ở nơi làm việc – ngay cả khi cấp trên của họ có những biện pháp được thiết lập hoàn hảo nhằm ngăn cấm họ sử dụng những thiết bị này

Chuyên gia bảo mật Robert Hansen, CEO của công ty tư vấn bảo mật Internet SecTheory nói: “Sự nguy hiểm nằm ở chỗ điện thoại di động là “nhà” của 3 thiết bị – Bluetooth, Wi-Fi và GSM Nhân viên sử dụng các loại điện thoại thông minh cá nhân này tại nơi làm việc có thể sẽ trở thành đường dẫn “giới thiệu” cho các vụ tấn công”

Nếu chúng ta sử dụng một thiết bị điện thoại thông minh có thể mở rộng mạng không dây, thì theo Hansen: “Ai đó tại một điểm đỗ xe nào đó có thể sử dụng thiết bị “bắn tỉa” Bluethooth nhằm đọc Bluetooth trong khoảng cách một dặm, kết nối với một chiếc điện thoại thông minh

và cuối cùng là kết nối với mạng không dây của một doanh nghiệp” Bluetooth là một cổng mở cho phép hacker có thể truy cập mạng Wi-Fi rồi truy cập mạng của doanh nghiệp

Hacker ẩn náu tại một điểm nào đó có thể sử dụng thiết bị “bắn tỉa” Bluetooth, để có thể đọc Bluetooth từ khoảng cách một dặm và kết nối trái phép vào mạng không dây của một doanh nghiệp

B Phát hiện các lỗ hổng bảo mật trong HTTT của công ty cổ phần Sao Mai

I Thực trạng chung về tình hình bảo mật trong hệ thống thông tin của các doanh nghiệp tại Việt Nam

1 Sự quan tâm của các doanh nghiệp Việt Nam tới vấn đề an toàn bảo mật

- Bảo mật thời kỳ suy thoái

Kinh tế suy giảm khiến cho các doanh nghiệp cắt giảm tối đa chi phí, trong đó có chi phí dành cho bảo mật thông tin Tuy nhiên, các chuyên gia tại Security World 2009 cảnh báo rằng đây là hướng đi rất sai lầm Cũng theo các chuyên gia này, nạn tội phạm công nghệ cao đang ngày càng gia tăng trong bối cảnh kinh tế thế giới chuyển biến theo hướng xấu Đích ngắm chủ yếu của giới tội phạm này là hệ thống mạng, cơ sở dữ liệu của các công ty thuộc lĩnh vực tài chính, ngân hàng, thanh toán trực tuyến để kiếm tiền bất hợp pháp Chính vì vậy, việc bảo đảm

an toàn thông tin, bảo đảm hoạt động sản xuất kinh doanh sẽ là vấn đề sống còn của các doanh nghiệp trong thời kỳ này

Theo hãng bảo mật McAfee, có ba nguy cơ chính dẫn đến tình trạng rò rỉ thông tin, xâm nhập hệ thống bất hợp pháp, đó là cắt giảm chi phí, sao nhãng hệ thống an ninh, gia tăng tội phạm công nghệ cao và từ chính nhân viên trong công ty

Theo Bà Elaine Lee - chuyên gia phân tích cao cấp IDC Malaysia, khi kinh tế sụt giảm thì các doanh nghiệp đang cố gắng giảm thiểu các khoản chi tiêu nhưng cần phải đánh giá được thứ tự ưu tiên các nhu cầu bảo mật để đầu tư một cách hiệu quả và hợp lý nhất Có như vậy mới tối ưu hóa được chi phí dành cho bảo mật trong nguồn ngân sách bị cắt giảm mà vẫn đảm bảo

an toàn thông tin và ổn định hoạt động kinh doanh của doanh nghiệp

Trong năm 2009, IDC nhận định ngân sách dành cho bảo mật sẽ giảm dần ở các mức độ khác nhau đối với từng thị trường do chịu ảnh hưởng của môi trường kinh tế Song ngân sách dành cho bảo mật thông tin vẫn lớn hơn các lĩnh vực khác của công nghệ thông tin vì các yêu

Nhìn chung, doanh nghiệp có co hẹp chi phí để vượt qua cơn suy thoái kinh tế thì vẫn phải chú trọng đến vấn đề bảo mật Vì sự mất an toàn trong bảo mật thông tin không những làm cho doanh nghiệp tăng chi phí mà đôi khi còn làm ngừng trệ hoạt động sản xuất kinh doanh của doanh nghiệp đó

- Bảo mật trong thời kỳ kinh tế toàn cầu hóa

Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sự sống còn đối với các doanh nghiệp Thế nhưng, rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình Theo một số liệu thống kê về vấn đề bảo mật thông tin của Tổ chức chứng nhận TÜVRheinland Việt Nam cho biết, mỗi năm có trên 15.000 hồ sơ của các bệnh viện bị tìm thấy trong thùng rác, 30.000 mật khẩu của các tài khoản Internet bị công bố trên mạng, 25 người từ phòng phát triển kinh doanh của công ty này chuyển sang công

ty đối thủ, các ngân hàng phải trả hàng triệu USD do bị tấn công vào hệ thống giao dịch nghiệp

vụ và 300.000 số tài khoản tín dụng cá nhân bị trộm, một số bị công bố trên Web

Theo một cuộc khảo sát về vấn đề bảo mật thông tin của Tổ chức nghiên cứu thị trường

EY, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật

Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tin mang lại như vừa nêu thì chưa có sự đầu tư cân xứng cho bảo mật thông tin Chỉ có ngành công nghệ là chi khoảng 22,6% từ ngân sách IT cho bảo mật thông tin, còn các ngành khác thì

tỷ lệ lần lượt là: dược (16,4%), dịch vụ tài chính (16,3%), dịch vụ công cộng (15,2%), dịch vụ chăm sóc sức khỏe và năng lượng (12,9%)

Trong quản lý bảo mật thông tin hiện nay, vấn đề được đặt ra là Bảo mật thông tin là một thách thức trong quản lý hay vấn đề về kỹ thuật, công nghệ? Ông Hans-Joachim Roderfeld cho rằng thực chất 80% sẽ thuộc về quản lý Vấn đề quản lý phải được hiểu bao gồm các chính sách bảo mật thông tin, vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về

bảo mật thông tin, hoạch định đảm bảo việc kinh doanh liên tục Chỉ có 20% là vấn đề kỹ thuật gồm hệ thống, công cụ, cấu trúc…

- An ninh mạng

An ninh mạng là vấn đề được thế giới đặc biệt chú trọng từ lâu Dù vậy tại Việt Nam, nhiều doanh nghiệp vẫn chưa thật sự quan tâm và đầu tư đúng mức để bảo đảm an toàn cho chính mình và người sử dụng

Theo khảo sát gần 300 doanh nghiệp mới được công bố giữa tháng 11/2010 vừa qua của Chi hội An toàn thông tin (ATTT) phía Nam (VNISA), có đến 65% doanh nghiệp khảo sát trả lời không tuân theo chuẩn các An toàn thông tin quốc tế Đây là xu hướng đáng lo ngại chứng

tỏ sự hiểu biết về chuẩn, về ích lợi khi áp dụng chuẩn An toàn thông tin của doanh nghiệp Việt Nam còn yếu Bên cạnh đó, hơn 2/3 doanh nghiệp không có hoặc không biết có hay không quy trình để phản ứng lại các cuộc tấn công máy tính

Theo VNISA, điều này cho thấy sự chủ quan của doanh nghiệp, vì vậy thiệt hại sẽ rất nặng

nề nếu các cuộc tấn công máy tính thực sự xảy ra Nguy hiểm hơn là trên 50% tổ chức được khảo sát cho biết họ không có hoặc không biết có bắt tay vào việc xây dựng quy trình phản ứng hay không Con số này tăng cao so với năm 2009 (chỉ 38%)

Theo ông Ngô Văn Dũng - Giám đốc bộ phận an ninh mạng Công ty hệ thống thông tin FPT - nhận thức của doanh nghiệp Việt Nam hiện nay về các vấn đề an ninh mạng chưa hoàn toàn đầy đủ do thường mới chỉ nhìn được một góc của vấn đề an ninh mạng Ví dụ đa phần đều cho rằng các hiểm họa mất an ninh mạng là xuất phát từ ngoài Internet mà quên mất rằng hiểm họa mất an ninh mạng có thể xuất hiện từ ngay bên trong hệ thống mạng nội bộ, hay từ ngay những người sử dụng thông thường

Theo ông Nguyễn Minh Đức - Giám đốc bộ phận an ninh mạng Công ty an ninh mạng BKAV - nhận thức của nhiều doanh nghiệp về an ninh mạng hiện nay tuy có tăng với những năm trước nhưng từ nhận thức đến hành động vẫn còn khoảng cách khá lớn Việc đầu tư vào thiết bị và giải pháp của doanh nghiệp chưa đồng bộ và chưa đầy đủ như chỉ đầu tư mua phần

mềm, chương trình ngăn chặn bức tường lửa mà quên đầu tư vào nhân sự vận hành và sử dụng

hệ thống

Tương tự, ông Phan Thanh Sơn - Giám đốc kỹ thuật của Cisco Việt Nam nhận xét: “Các doanh nghiệp hàng đầu Việt Nam đầu tư hằng năm khoảng 8-10% tổng đầu tư vào công nghệ thông tin và an toàn thông tin Vậy các doanh nghiệp khác thì sao? Tôi cho rằng các doanh nghiệp khác cần đầu tư đúng mức và chú trọng hơn vào vấn đề con người và quy trình thực hiện an toàn thông tin để đảm bảo an toàn cho mình”

2 Thực trạng ứng dụng CNTT trong kinh doanh và sản xuất

- Thực trạng áp dụng công nghệ thông tin

Việc nhanh chóng đưa ứng dụng công nghệ thông tin vào quá trình tự động hoá trong sản xuất kinh doanh là vấn đề đang luôn được quan tâm bởi lẽ công nghệ thông tin có vai trò rất lớn trong các hoạt động kinh tế, sản xuất kinh doanh, bán hàng, xúc tiến thương mại, quản trị doanh nghiệp Tuy nhiên, vẫn còn rất nhiều câu hỏi cần đặt ra xung quanh việc ứng dụng trên

Ban chỉ đạo công nghệ thông tin quốc gia đã làm một cuộc khảo sát việc ứng dụng công nghệ thông tin tại 217 doanh nghiệp và những con số có được đã khiến mọi người không khỏi bất ngờ Hiện các doanh nghiệp Việt Nam mới chỉ đầu tư khoản chi phí rất nhỏ bé là 0,05- 0,08% doanh thu cho công nghệ thông tin, trong khi ở Mỹ con số trung bình là 1,5% Chính sách đầu tư cho công nghệ thông tin của doanh nghiệp còn nhiều bất cập Đa phần doanh nghiệp chỉ đầu tư một lần cho hệ thống thông tin và nâng cấp các ứng dụng, do đó đầu tư đã thấp và hiệu quả của nó còn thấp hơn

Cuộc khảo sát còn cho thấy đến thời điểm này vẫn có những doanh nghiệp chưa có một ứng dụng công nghệ thông tin nào Khối doanh nghiệp nhà nước còn 10%, trong khi các thành phần doanh nghiệp khác thì có đến 60% chưa đưa công nghệ thông tin vào công việc của mình 40% doanh nghiệp chưa dám đầu tư mạnh vào công nghệ thông tin vì không đủ nhân viên có trình độ để quản lý và khai thác Các doanh nghiệp tuy đã có nhận thức bước đầu về tầm quan trọng của công nghệ thông tin nhưng số lượng các doanh nghiệp có thể khai thác được sâu khả năng của công nghệ thông tin mới chỉ dừng lại ở con số ít ỏi Một doanh nghiệp phát biểu:

“Nhiều nơi đã dùng máy tính làm các loại văn bản từ khá lâu, nhưng máy tính có thể ứng dụng được vào công việc gì nữa và làm như thế nào để thật sự hiệu quả, thì có lẽ đến 80% vẫn rất lúng túng” Không có gì đáng ngạc nhiên khi chương trình quan trọng nhất, được sử dụng rộng rãi nhất trong các doanh nghiệp là quản lý tài chính, kế toán Khoảng 88% số doanh nghiệp áp dụng công nghệ thông tin có sử dụng phần mềm kế toán tài chính, nhưng ngay cả đối với những doanh nghiệp đã ứng dụng công nghệ thông tin, chỉ có khoảng 20% các phần mềm thoả mãn được yêu cầu của họ

- Nguyên nhân của thực trạng

Nói đến doanh nghiệp thì có nhiều loại doanh nghiệp: doanh nghiệp lớn, doanh nghiệp vừa, doanh nghiệp nhỏ…Thực tế qua khảo sát cho thấy nhiều doanh nghiệp lớn đã bước đầu chú trọng đến vai trò của công nghệ thông tin trong công tác sản xuất kinh doanh, công tác quản lý cũng như trong bán hàng Còn các doanh nghiệp nhỏ và vừa, do chưa thực sự thấy được lợi ích lớn lao của công nghệ thông tin, chưa làm quen được với hình thức kinh doanh trong môi trường thương mại điện tử, chưa có am hiểu về công nghệ thông tin với một tầm nhìn chiến lược nên chưa có sự quan tâm cần thiết Các vấn đề khác có liên quan đến doanh nghiệp là họ thiếu kiến thức và thời gian để tiếp thu kiến thức, thiếu kỹ năng quản lý, sợ tăng trưởng và ưa những triển vọng ngắn hạn, ít hướng ra bên ngoài mà điều đó có nghĩa là họ không nhận thấy những tín hiệu của môi trường, cho đến khi nhận ra thì đã quá muộn; khả năng tài chính yếu nên đầu tư thấp và không có phương tiện đào tạo công nhân ở tại công ty Hơn nữa, tại Việt Nam, môi trường công nghệ thông tin chưa thuận lợi để các doanh nghiệp có thể áp dụng, hạ tầng kỹ thuật cho phát triển công nghệ thông tin còn hạn chế

II Thực trạng tình hình bảo mật trong HTTT của công ty cổ phần Sao Mai

1 Giới thiệu về công ty

- Ngày thành lập: 10 tháng 06 năm 2005

- Tên công ty: CÔNG TY CỔ PHẦN ĐẦU TƯ THƯƠNG MẠI XUẤT NHẬP KHẨU SAO MAI

- Tên giao dịch: SAO MAI IMPORT EXPORT TRADING INVESTMENT JOINT STOCK COMPANY

- Tên viết tắt: SAO MAI IMEXCO.,JSC

- Vốn điều lệ: 1.200.000.000 đồng (Một tỷ hai trăm triệu Việt Nam đồng)

- Lĩnh vực kinh doanh của doanh nghiệp

Công ty Cổ phần Đầu tư Thương mại Xuất nhập khẩu Sao Mai - Saomai Audio ra đời với mong muốn củng cố sự chuyên nghiệp các giải pháp về Âm Thanh – Ánh Sáng Đồng thời không ngừng tìm kiếm và khai thác các sản phẩm để phục vụ cho sự chuyên nghiệp đó Như chúng ta đã biết bước nhảy vọt từ Analog sang công nghệ Digital là xu thế chung cho toàn thế giới và Âm Thanh cũng không nằm ngoài vòng xoáy đó Từ những năm 1874 nhà nghiên cứu người Đức E.W.Siemens đã cho ra đời chiếc loa đầu tiên lắp trong Radio và trải qua hàng trăm năm, bây giờ chúng ta đã thấy sự phát triển của công nghệ là vô tận

Bằng niềm đam mê tìm kiếm sự phù hợp về chất lượng và giá thành Sao Mai quyết định hợp tác với một hãng Âm Thanh đã có bề dày thương hiệu trên thế giới đó chính là OHM –

Anh (www.ohm.co.uk) Sao mai cũng đã được chứng nhận làm đại diện độc quyền OHM tại

Việt Nam Đối với Sao Mai, sự chuyên nghiệp không chỉ là những khối loa đồ sộ, những dàn Line Arrays lớn mà những thiết bị của Karaoke, Studio,Cinema cũng nằm trong chiến lược của Sao Mai qua sự chọn lọc để cung cấp

Ngoài ra Sao Mai còn là đại diện tại Miền Bắc của Công ty TNHH Bảo Dương - Bảo Dương là công ty đã có bề dày kinh nghiệm về Âm thanh – Ánh sáng từ những năm 80 Ngày nay Bảo Dương là nhà cung cấp các giải pháp về Âm thanh – Ánh sáng số một tại Việt Nam Rất may mắn Sao Mai đã được kế thừa các thành tựu về mặt kỹ thuật, đặc biệt là sự đảm bảo về hàng hóa cung cấp

Với 6 năm đồng hành và phát triển Sao Mai và Bảo Dương đã được công nhận là nhà phân phối chính thức tại Việt Nam với các hãng Âm thanh – Ánh sáng nổi tiếng thế giới như: Hãng Nexo (Pháp), Hãng Behringer (Đức), Hãng Ampli Camco (Đức), Hãng Optimus (Tây Ban Nha), Hãng Pioneer (Nhật)

 Cung cấp các sản phẩm mới với chất lượng tốt nhất cho khách hàng

 Cung cấp dịch vụ chăm sóc khách hàng tốt nhất vượt quá mong đợi của khách hàng

 Mang lại các giá trị về vật chất và tinh thần tốt nhất cho các thành viên trong công

ty và cho cộng đồng xã hội

- Giá trị cốt lõi: “Tin cậy – Hợp tác – Cùng phát triển”

- Cơ cấu tổ chức trong công ty

 Năm 2005: < 15 cán bộ nhân viên

 Năm 2008: < 18 cán bộ nhân viên

 Năm 2009: > 20 cán bộ nhân viên

 Năm 2010 – hiện tại: tổng số nhân viên > 22 cán bộ nhân viên

Ban Giám Đốc

Phòng kinh doanh

(7 người)

Tổ kinh doanh thiết bị ánh sáng

(3 người)

Hình 2.4: Sơ đồ bộ máy tổ chức CTCP Sao Mai

2 Tình hình ứng dụng công nghệ thông tin của công ty cổ phần Sao Mai

Ngay từ khi mà công ty được thành lập thì Ban giám đốc công ty đã nhận thấy rõ vai trò và tầm quan trọng của việc ứng dụng công nghệ thông tin vào trong hoạt động sản xuất kinh doanh Công ty đã xác định rất rõ về việc cần thiết phải đầu tư các trang thiết bị công nghệ thông tin trong hoạt động kinh doanh của mình Khi mới được thành lập thì công ty cũng đã trang bị cho mỗi phòng ban là một máy tính, một máy photo và các thiết bị kết nối mạng khác Với việc xác định đúng tầm quan trọng của áp dụng công nghệ thông tin vào trong kinh doanh thì doanh nghiệp đã gặt hái được cho mình những thành công nhất định Trong những năm gần đây thì tình hình kinh doanh của doanh nghiệp gặp rất nhiều những thuận lợi cũng một phần là nhờ vào việc công ty đã trang bị đầy đủ các thiết bị công nghệ thông tin Với việc ứng dụng công nghệ thông tin vào trong kinh doanh ngay từ sớm đã giúp cho doanh nghiệp xây dựng cho mình một hệ thống thông tin thông suốt và ổn định qua các phòng ban Nhờ có hệ thống thông tin này mà tất cả các nhân viên, các phòng ban có thể nhanh chóng tiếp nhận công việc của