LỜI CẢM ƠN Trải qua bốn năm ngồi ghế giảng đường đại học để tiếp thu kiến thức kinh nghiệm quý báu mà thầy cô truyền đạt Thời điểm thời điểm quan trọng cho trình bốn năm đại học sinh viên, việc nghiên cứu kháo luận tốt nghiệp vô quan trọng với sinh viên, hội để sinh viên học cách làm việc, nghiên cứu chuyên nghiệp Lời đầu tiên, em xin chân thành cảm ơn giáo Đỗ Thị Thu Hiền tận tình hướng dẫn, dạy bảo em suốt thời gian thực đề tài để em hồn thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty cổ phần công nghệ quang điện tử ánh sáng thời đại Em xin bày tỏ lòng cảm ơn sâu sắc tới thầy giáo, đặc biệt thầy cô Khoa Hệ thống thông tin kinh tế Thương mại điện tử giảng dạy em suốt năm ngồi ghế giảng đường trường Đại học Thương Mại, giúp em trang bị kiến thức để làm tốt đề tài khóa luận vững bước vào tương lai Em xin chân thành cảm ơn quý Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại, ban lãnh đạo cơng ty tồn thể anh chị nhân viên công ty tạo điều kiện cho em tìm hiểu, nghiên cứu suốt trình thực tập để em hồn thành tốt khóa luận tốt nghiệp Mặc dù cố gắng hồn thành đề tài với tất nỗ lực thân, thời gian nghiên cứu hạn hẹp khả thân hạn chế Chính vậy, khóa luận em khơng thể tránh khỏi thiếu sót, kính mong thầy bảo, sửa chữa để em hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực Lại Thị Thu Trang MỤC LỤC DANH MỤC BẢNG BIỂU STT Tên bảng Bảng ngành nghề kinh doanh công ty cổ phần công nghệ quang điện tử ánh sáng thời đại Tình hình kinh doanh công ty qua năm 2014, 2015, 2016 Thực trạng sở vật chất có công ty Kết điều tra phần mềm công ty sử dụng Tìm hiểu số cố an tồn thơng tin hay gặp cơng ty Mức độ quan tâm lãnh đạo việc đảm bảo an tồn bảo mật thơng tin cho HTTT công ty Bảng thể mức độ đánh giá nhân viên chất lượng sử dụng phần mềm Bảng thể mức độ sử dụng biện pháp đảm bảo liệu nhân viên Trang 17 18 19 20 21 22 23 24 DANH MỤC HÌNH VẼ, SƠ ĐỒ STT Tên hình vẽ, sơ đồ Sơ đồ 1: Mơ hình cấu tổ chức Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại Biểu đồ 1: Đánh giá nhân viên cố an toàn bảo mật thông tin hay gặp công ty Biểu đồ 2: Biểu đồ thể mức độ quan tâm lãnh đạo cơng ty việc đảm bảo an tồn bảo mật cho HTTT công ty Biểu đồ 3: Đánh giá nhân viên chất lượng sử dụng phần mềm Biểu đồ 4: Biểu đồ thể tỉ lệ sử dụng biện pháp đảm bảo liệu nhân viên Trang 15 22 23 24 25 DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt TIMESLIGHT.,CORP HTTT CNTT CSDL ATBM CBNV Giải nghĩa TIMES LIGHT OPTOELECTRONIC TECHNOLOGY CORPORATION Hệ thống thông tin Công nghệ thông tin Cơ sở liệu An toàn bảo mật Cán nhân viên PHẦN MỞ ĐẦU Tầm quan trọng ý nghĩa vấn đề nghiên cứu Trong kinh tế tồn cầu hóa nay, công nghệ thông tin chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an tồn bảo mật thơng tin xem sống doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin ln đối mặt với nguy an tồn yếu tố bên bên doanh nghiệp Việc đảm bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Trong có Cơng ty Cổ phần cơng nghệ quang điện tử ánh sáng thời đại nói riêng với doanh nghiệp nói chung có biện pháp đảm bảo an tồn thơng tin, bảo vệ sống doanh nghiệp Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin công ty cổ phần công nghệ quang điện tử ánh sáng thời đại Mục tiêu nhiệm vụ nghiên cứu Hiện nay, hầu hết doanh nghiệp phải đối mặt với nguy an tồn thơng tin việc đảm bảo an tồn thơng tin lại khơng trọng, không thực thường xuyên Nguyên nhân phần lớn cán bộ, nhân viên không trọng tới việc bảo đảm an tồn thơng tin doanh nghiệp, không ý thức tầm quan trọng việc đảm bảo an tồn thơng tin doanh nghiệp, quy trình đảm bảo an tồn thơng tin chưa rõ ràng thống Do mục tiêu nghiên cứu đề tài là: - Đưa lý thuyết sở lý luận đảm bảo an tồn thơng tin - Trình bày, tìm hiểu, phân tích đánh giá thực trạng cơng ty đưa thiếu sót lỗ hổng HTTT doanh nghiệp dựa tài liệu, phiếu điều tra - Trên sở nghiên cứu thực trạng tình hình cơng ty, từ đưa số đề xuất, phòng chống khắc phục để ngăn chặn nguy an toàn bảo mật thơng tin áp dụng với cơng ty Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu đề tài Trong đề tài nghiên cứu đối tượng nghiên cứu đề tài là: - Hệ thống mạng máy chủ máy trạm công ty - Các phần cứng phần mềm sử dụng công ty - Cơ sở liệu lưu trữ máy chủ, máy trạm công ty - Nhân viên quản lý, yếu tố liên quan đến bảo mật, người công ty Từ đưa giải pháp cơng nghệ người để đảm bảo an tồn thơng tin doanh nghiệp 3.2 Phạm vi nghiên cứu đề tài Đề tài tập trung nghiên cứu phạm vi Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại, cụ thể: -Về mặt không gian: Dựa tài liệu thu thập công ty, phiếu điều tra tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an tồn bảo mật CSDL công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan cơng ty giai đoạn 2014- 2016 Các số liệu khảo sát q trình thực tập cơng ty Phương pháp nghiên cứu 4.1 Phương pháp thu thập liệu - Phương pháp thu thập liệu thứ cấp: Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra : thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thông tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập - Phương pháp thu thập liệu sơ cấp: Phương pháp quan sát: phương pháp ghi lại có kiểm sốt kiện hành vi ứng xử người Cụ thể với đề tài này, phương pháp quan sát nhằm ghi lại hoạt động, hành vi, kiện nhân viên, ban lãnh đạo Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại Phương pháp thường dùng kết hợp với phương pháp khác để kiểm tra chéo độ xác liệu thu thập Phương pháp phán đoán dùng để đưa dự báo, phán đoán tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà cơng ty hứng chịu 4.2 Phương pháp xử lí liệu Trong đề tài nghiên cứu em sử dụng phương pháp xử lý thông tin sau: - Dữ liệu sau thu thập đưa phân tích excel word.Từ biểu đồ hoàn thành sau nhập liệu vào ta có đánh giá cụ thể tình hình kinh doanh tình hình ứng dụng CNTT Công Ty Cổ Phần công nghệ quang điện tử ánh sáng thời đại - Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị Kết cấu khóa luận Ngồi lời cảm ơn, phần mở đầu, khóa luận gồm chương: CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA VẤN ĐỀ NGHIÊN CỨU CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT VẤN ĐỀ NGHIÊN CỨU CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU 1.1 Những khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin( HTTT), liệu sở liệu(CSDL) Thông tịn liệu tổ chức, doanh nghiệp sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có thân liệu Thơng tin liệu qua xử lí (phân tích, tổng hợp, thống kê) (PGS.TS Đàm Gia Mạnh, 2017, Giáo trình Hệ thống thơng tin quản lí, Nhà xuất Thống kê, Hà Nộ ) Hệ thống thông tin tập hợp phần cứng, phần mềm, sở liệu, mạng viễn thơng, người quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ truyền phát thông tin tổ chức, doanh nghiệp (PGS.TS Đàm Gia Mạnh, 2017, Giáo trình Hệ thống thơng tin quản lí, Nhà xuất Thống kê, Hà Nội) Dữ liệu kiện quan sát tượng vật lý giao dịch kinh doanh, liệu giá trị phản ánh vật tượng giới khách quan, bao gồm tập giá trị mà người dùng chưa biết liên hệ giá trị (PGS.TS Đàm Gia Mạnh, 2017, Giáo trình Hệ thống thơng tin quản lí, Nhà xuất Thống kê, Hà Nội) Cơ sở liệu (CSDL): tập hợp liệu tương quan có tổ chức lưu trữ phương tiện lưu trữ đĩa từ, băng từ v v nhằm thỏa mãn yêu cầu khai thác thông tin (đồng thời) nhiều người sử dụng nhiều chương trình ứng dụng (Bộ mơn Cơng nghệ thơng tin (2010), Bài giảng An tồn bảo mật thơng tin doanh nghiệp, Trường ĐH Thương Mại) 1.1.2 Khái niệm an toàn bảo mật CSDL Một hệ thống thông tin coi an tồn( security) thơng tin khơng bị làm hỏng hóc,khơng bị sửa đổi, thay đổi, chép xóa bỏ người khơng phép (Bộ mơn Cơng nghệ thơng tin (2010), Bài giảng An tồn bảo mật thông tin doanh nghiệp, Trường ĐH Thương Mại) Một hệ thống thơng tin an tồn cố xảy khơng thể làm cho hoạt động chủ yếu ngừng hẳn chúng khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu ( Bộ môn Công nghệ thông tin (2010), Bài giảng An tồn bảo mật thơng tin doanh nghiệp, Trường ĐH Thương Mại) Bảo mật hạn chế khả lạm dụng tài nguyên tài sản Bảo mật trở nên đặc biệt phức tạp quản lý, vận hành hệ thống thơng tin có sử dụng cơng cụ tin học, nơi xảy lan tràn nhanh chóng việc lạm dụng tài nguyên (các thơng tin di chuyển vơ hình mạng lưu trữ hữu hình vật liệu) lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, phần mềm quan người sở hữu hệ thống) (Bộ môn Công nghệ thông tin (2010), Bài giảng An tồn bảo mật thơng tin doanh nghiệp, Trường ĐH Thương Mại) Bảo mật thông tin trì tính bí mật, tính trọn vẹn tính sẵn sàng thơng tin + Bí mật nghĩa (Confidentially) đảm bảo thông tin tiếp cận người cấp quyền tương ứng + Tính trọn vẹn (Integrity) bảo vệ xác hồn chỉnh thông tin thông tin thay đổi người cấp quyền + Tính sẵn sàng (Availabillity) thông tin người quyền sử dụng truy xuất thơng tin họ cần (Bộ môn Công nghệ thông tin (2010), Bài giảng An tồn bảo mật thơng tin doanh nghiệp, Trường ĐH Thương Mại) Bảo mật CSDL việc bảo thông tin CSDL tránh truy cập trái phép đến CSDL, từ thay đổi hay suy diễn nội dung thông tin CSDL (Bộ mơn Cơng nghệ thơng tin (2010), Bài giảng An tồn bảo mật thông tin doanh nghiệp, Trường ĐH Thương Mại) 1.2 Một số lý thuyết vấn đề nghiên cứu 1.2.1 Các yêu cầu hệ thống thông tin an tồn Thơng tin tài sản vơ giá doanh nghiệp, rủi ro thơng tin doanh nghiệp gây thất tiền bạc, tài sản, người gây thiệt hại đến hoạt động kinh doanh sản xuất doanh nghiệp; ảnh hưởng đến uy tín phát triển doanh nghiệp lại vấn đề khó tránh khỏi Trong tổ chức, doanh nghiệp việc thu thập nắm bắt thông tin vấn đề quan trọng Nó yếu tố mang lại thành công cho tổ chức, cá nhân biết tận dụng khai thác Chính vậy, HTTT gọi an toàn đảm bảo u cầu sau: - Tính tin cậy: có người dùng có thẩm quyền truy nhập thơng tin Tính tồn vẹn: thơng tin sửa đổi người dùng có thẩm quyền Tính sẵn sàng: thơng tin truy nhập người dùng hợp pháp họ yêu cầu 10 Máy người sử dụng hệ thống CPU Intel or higher RAM 512GB HDD 20GB Network card 200 Mbps Software Os: Windowns Webserver: Internet Explorer 5.5 and above, Netscape 7.0 and above , Mozilla Firefox 1.4 and above, or Opera 7.21 and above Database : SQL server 2008 Các bước chuẩn bị nâng cấp máy chủ: Trước nâng cấp máy chủ cơng ty, đặc biệt phòng kỹ thuật phải bắt đầu với backup liệu thẩm định: Người quản trị không tạo thay đổi máy chủ, nâng cấp nhỏ, trước xác nhận có backup liệu chắn Bất thực thay đổi với máy chủ khơng có bảo đảm máy chủ quay trở lại làm việc Người quản trị không tạo nhiều thay đổi lúc: Bộ phận kỹ thuật Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại cần phải lưu ý vấn đề Một số cá nhân muốn hoàn tất nâng cấp cách đồng thời qua lần shut down máy điều khơng nên Vì có vấn đề xảy ra, người quản trị khó để tìm thành phần gây cố, cố xảy khâu Chính vậy, để tránh khó khăn khơng đáng có phận kỹ thuật công ty nên lưu ý, không nên tạo nhiều thay đổi lúc cho máy chủ Backup toàn liệu quan trọng cần thiết máy chủ: Người quản trị nên lưu liệu trước tiến hành nâng cấp tránh mát thông tin quan trọng công ty Kiểm tra ghi kỹ lưỡng sau thực thay đổi: Khi nâng cấp máy chủ, không thừa nhận tất thứ hoạt động tốt máy chủ hoạt động trở lại khơng hiển thị lỗi Kiểm tra file ghi, báo cáo lỗi, hoạt động backup kiện quan trọng khác cách tỉ mỉ hết 3.2.1.2 Giải pháp bảo mật trang thiết bị 35 Một cách phổ biến mà cá nhân hay hacker dùng để mang thông tin liệu khỏi tổ chức copy vào thiết bị lưu trữ Các ổ USB ngày có giá thành rẻ dễ che dấu, dung lượng lưu trữ ngày cao Ngồi người dùng copy file liệu sang thiết bị iPod MP3 player, vào đĩa CD, DVD cách sử dụng ổ ghi Để tránh tình trạng liệu kiểu này, Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại cần hạn chế vĩnh viễn cài đặt thiết bị USB cách gỡ bỏ tất cổng vật lý Ngoài biện pháp vật lý nói trên, cơng ty sử dụng phần mềm để vơ hiệu hóa việc sử dụng thiết bị ngồi máy tính cá nhân toàn mạng cách sử dụng Group Policy Group Policy: Ngăn chặn người dùng cài đặt thiết bị Ngăn chặn người dùng cài đặt thiết bị danh sách ngăn cấm Nếu thiết bị khơng có danh sách người dùng cài đặt • Từ chối việc đọc ghi người dùng vào thiết bị tháo rời, sử dụng thiết bị dễ cầm tay ổ ghi CD, DCD, ổ đĩa mềm, ổ cứng mở rộng thiết bị cầm tay khác điện thoại thơng minh Pocket PC • Cho phép người dùng cài đặt thiết bị danh sách cho phép Nếu thiết bị khơng liệt kê danh sách người dùng khơng thể cài đặt • • Một số lợi ích cơng ty đạt sử dụng Group Policy: Giảm rủi ro việc trộm liệu: làm khó khăn việc copy trái phép liệu công ty máy tính người dùng khơng thể cài đặt thiết bị khơng phép hỗ trợ cho phương tiện tháo rời Ví dụ, người dùng khơng thể cài đặt ổ CD-R họ khơng thể ghi liệu vào đĩa CD Lợi loại trừ tên trộm liệu song tạo hàng rào chắn việc lấy liệu trái phép Công ty qiảm rủi ro việc trộm liệu cách sử dụng Group Policy để từ chối truy cập ghi người dùng thiết bị tháo rời Người quản trị cơng ty có quyền cho phép truy cập nhóm thiết bị sử dụng Group Policy • Giảm chi phí hỗ trợ: Người quản trị công ty bảo đảm người dùng cài đặt thiết bị mà bàn trợ giúp bạn đào tạo trang bị để hỗ trợ Lợi giảm chi phí hỗ trợ lộn xộn • Thực cài đặt Group Policy công ty gồm giai đoạn: Giai đoạn 1: từ 10/1/2018 đến 24/1/2018 (2 tuần), cài đặt thử nghiệm máy chủ cơng ty Cơng ty có tất máy chủ, lúc người quản trị cài đặt máy chủ theo dõi , giám sát đánh giá hiệu Group Policy cơng ty • Giai đoạn 2: 24/1/2018 đến 30/1/2018, cài đặt sử dụng máy trạm máy • laptop có cơng ty 36 3.2.1.3 Giao thức bảo mật đường truyền - Giao thức WEP- Wired Equivalent Privacy Giao thức WEP có chức đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ mạng nối cáp truyền thống WEP cung cấp bảo mật cho liệu mạng không dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4 Thuật tốn RC4 cho phép chiều dài khóa thay đổi lên đến 256bit Hiện nay, đa số thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit 128 bit Đối với Công ty cổ phần công nghệ quang điện tử ánh sáng thời đại có quy mơ vừa, hệ thống thơng tin chưa phức tạp cơng ty sử dụng WEP có độ dài khóa từ 64 bit trở lên để đảm bảo an tồn bảo mật cho thơng tin công ty Do WEP sử dụng RC4, thuật tốn sử dụng phương thức mã hóa dòng, nên cần chế đảm bảo hai liệu giống không cho kết giống sau mã hóa hai lần khác Đây yếu tố quan trọng vấn đề mã hóa liệu nhằm hạn chế khả suy đốn khóa Hacker Khi cài đặt, sử dụng RC4 giá trị Initialization Vector (IV) công ty cần lưu ý vấn đề sau: IV gây nên vấn đề va chạm, dễ dàng phát IV bẻ khóa WEP, cơng thụ động phát triển gây khó khăn cho người bảo mật liệu Vì vậy, sử dụng WEP nhân viên phòng cần sử dụng kết hợp WEP giải pháp khác, gia tăng mức độ bảo mật cho WEP việc sử dụng khóa WEP có độ dài từ 64 bit trở lên gia tăng số lượng gói liệu Hacker cần phải có để phân tích IV, gây khó khăn kéo dài thời gian giải mã khóa WEP - Giao thức IPsec IP SEC sử dụng nhằm cung cấp bảo mật liệu đường truyền mạng lưới (LAN, INTERNET…) Người quản trị cấu hình IP SEC cách thiết lập luật giao tiếp máy Các luật gọi IP SEC Policy Chúng xác định loại giao thức mã hóa, loại kí số (digital sign), loại dung hai phương pháp Giai đoạn 1: thiết lập giao tiếp máy chủ công ty Giai đoạn 2:thiết lập giao tiếp máy chủ máy trạm, máy trạm với 37 IP SEC cung cấp khả bảo mật sau: • Chứng thực lẫn trước hai hệ thống giao tiếp với • Bảo đảm tính bí mật cho gói (packet) : IP SEC bao gồm hai loại gói Encapsulating Security Payload (ESP): mã hóa, chứng thực (kí số) Authentication Header (AH): chứng thực (kí số) mà khơng mã hóa Bảo tồn việc truy cập: Khi gói gửi đến, hệ thống kiểm tra các • ký số, ký số khơng trùng, q trình chứng thực khơng thành cơng Hệ thống tự động xóa bỏ packet tầng IP ESP mã hóa địa nguồn địa đích đặt phần payload gói Ngăn chặn kiểu công dùng lại: (Replay attack): Cả ESP AH sử dụng • chuỗi số thay đổi Giả sử có attacker bắt gói IP SEC, giả dạng gói để tìm cách thâm nhập vào hệ thống Khi đó, chuỗi số mà attacker dùng không hệ thống chấp nhận Cách thức hoạt động IPsec: + Giai đoạn 1: đàm phán tạo tunnel (đường ngầm liệu): Hai hệ thống giao tiếp với nhau, trước tiên, chúng trao đổi với • phương thức Authentication Việc đàm phát thông qua module Internet Key Exchange (IKE) IKE • kết hợp hai giao thức: Internet Security Association and Key Management Protocol (ISAKMP) Oakley Key Determination Protocol Nếu phương thức khác (ví dụ bên dùng mã hóa Kerberos, bên • dùng chuỗi text) việc đàm phán kết thúc khơng thành công Nhân viên sử dụng cần lưu ý hai hệ thống sử dụng chuỗi có nội dung khác coi hai phương thức đàm phát khác Khi không thành công, việc kết nối hai hệ thống coi kết thúc Lúc này, dùng chương trình bắt gói để theo dõi, ta thấy gói • ISAKMP mà khơng thấy gói chứa liệu AH, ESP Khi việc đàm phán thành công, IKE tạo tunnel để dùng cho việc trao đổi giữ liệu hai hệ thống + Giai đoạn 2: trao đổi liệu: Trong giai đoạn này, hai hệ thống sử dụng “đường ngầm” tạo giai đoạn để trao đổi giữ liệu Trong giai đoạn này, module IP SEC Driver nằm tầng Network chịu trách nhiệm mã hóa liệu truyền 38 39 3.2.2 An tồn bảo mật thơng tin biện pháp phần mềm 3.2.2.1 Sử dụng hình thức mã hóa Hiện cơng ty sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa liệu cơng ty, kỹ thuật mã hóa có nhiều ưu điểm nhiên có số hạn chế công ty nên sử dụng thêm số biện pháp, phương pháp khác - Sử dụng mã hóa file hệ thống (EFS-Encrypting File System) Khi liệu mã hóa EFS truy cập sử dụng tài khoản thực lệnh mã hóa Mặc dù người dùng khác nhìn thấy file liệu đó, khơng thể mở – cho dù tài khoản Administrator EFS sử dụng kết hợp mã hóa đối xứng bất đối xứng cho bảo mật thực thi Để mã hóa file với EFS, người dùng hay cụ thể nhân viên cơng ty phải có giấy phép EFS, tạo Windows Certification Authority, hay giấy phép tự phân khơng có Certificate Authority mạng Các file EFS mở tài khoản người dùng mã hóa chúng, hay tác nhân khôi phục chuyên dụng Với Windows XP hay Windows 2003 định tài khoản người dùng khác phân quyền để truy cập vào file mã hóa EFS Người quản trị công ty hay nhân viên sử dụng cần lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file - Sử dụng chữ ký điện tử (Public Key Infrastructure) Một chữ ký điện tử Public Key Infrastructure (PKI) hệ thống quản lý cặp Private Key Public Key, giấy phép số Do khóa giấy phép phát hành cơng cụ nhóm ba đáng tin cậy nên bảo mật tảng giấy phép mà hệ thống cung cấp mạnh Như nói trên, Cơng ty Cổ phần công nghệ quang điện tử ánh sáng thời đại có quy mơ vừa, hệ thống thơng tin khơng phức tạp cơng ty sử dụng dịch vụ chữ ký số Tập đồn Viễn thơng Qn đội Viettel với mức giá 990,000 đồng/ năm phù hợp nhà cung cấp uy tín việt nam với sở vật chất mạnh ổn định, nhà cung cấp dịch vụ chứng thực chữ ký số cho phép Việt Nam 40 3.2.2.2 Thực lưu phục hồi liệu thường xuyên Mục đích việc backup-restore liệu để đưa hệ thống trở lại trạng thái trước gặp cố Nguyên nhân cố gây ảnh hưởng đến liệu gồm nguyên nhân khách quan chủ quan Hiện công ty cần thực backup theo chu kỳ tháng lần, thời gian backup liệu lâu công ty cần backup liệu thường xuyên khoảng tuần lần để đảm bảo liệu công ty không bị thất lạc Lượng liệu bị hệ thống bị đánh sập hồn tồn Cơng ty sử dụng tiện ích backup tích hợp hệ điều hành Windows (ntbackup.exe) để thực tiến trình backup bản, ngồi ra, sử dụng Wizard Mode để đơn giản hóa tiến trình tạo khơi phục file backup, hay cấu hình thủ cơng cài đặt backup lên lịch thực tác vụ backup để tự động hóa tác vụ Data backup việc tạo liệu gốc, cất giữ nơi an toàn Và lấy sử dụng (restore) hệ thống gặp cố Sao lưu (backup) liệu cách tốt để bảo vệ liệu máy tính 3.2.2.3 Sử dụng phần mềm bảo mật Hiện nay, thị trường công nghệ Việt Nam phần mềm bảo mật Kaspersky sử dụng phổ biến cho doanh nghiệp Với Kaspersky, Công ty cổ phần công nghệ quang điện tử ánh sáng thời đại sử dụng trọn sản phẩm Kaspersky Small Office Security (5PC +1Fileserver) cho Server máy trạm Kaspersky Small Office Security cung cấp bảo vệ máy tính tồn diện chống lại nhiều mối đe dọa bảo mật thông tin, công mạng lừa đảo, thư rác Chức khác thành phần bảo vệ có sẵn phần Kaspersky Small Office Security cung cấp bảo vệ toàn diện Dưới số chức Kaspersky Small Office Security: - Bảo vệ thời gian thực khỏi mối đe dọa từ Internet Quản lý bảo mật tập trung cho máy chủ máy trạm Chống virus cho tập tin Bảo vệ thời gian thực cho hoạt động kinh doanh Chống virus cho thư điện tử, web Khơng yều cầu phải có chun mơn IT Cách cài đặt: - Đến máy tính công ty, sử dụng source cài đặt cung cấp CD để tiến hành cài đặt Tải source cài đặt tại: Http://www.kaspersky.com/downloads_small_office_security Các bước cài đặt chọn theo tùy chỉnh mặc định 41 3.2.3 Biện pháp khắc phục từ người Trong thời đại phát triển CNTT nay, công ty cần trang bị kiến thức an toàn bảo mật cho nhân viên lẽ nhân viên ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an toàn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm soát nội chặt chẽ đề quy định riêng an toàn bảo mật CSDL cho công ty Cần phải làm rõ điều rằng, nhân viên không copy thông tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Nguồn nhân lực cơng ty chưa có kiến thức chun sâu an toàn bảo mật CSDL Để thực giải pháp để nâng cao an toàn bảo mật CSDL cho công ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Ban lãnh đạo nhân viên công ty cần nắm nội dung quy định liên quan đến vấn đề an toàn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm soát người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp cơng ty có quy định việc đeo thẻ vào làm việc nhân viên công ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục công ty nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề cơng ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server 42 Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.3 Một số kiến nghị với công ty - Đào tạo nhân lực công ty Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngồi việc nâng cao kiến thức chun mơn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATBM HTTT Cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin khách hàng Tất thông tin khách hàng, đối tác hay thông tin nội công ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận Đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an tồn bảo mật thơng tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chun mơn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện công việc máy có hỗ trợ tin cậy từ phía nhân viên - Đầu tư trang thiết bị Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư phần mềm bảo mật cho công ty, Kaspersky small office security Hiện thị trường có sản phẩm Kaspersky small office security cho1 máy chủ 10 máy trạm 2.900.000 VNĐ Các trang thiết bị công nghệ thông tin phải kiểm tra thường xuyên, khắc phục lỗi trục trặc nhanh chóng kịp thời, thiết lập hệ thống camera nơi làm việc để thoi dẽo việc vào, sử dụng thiết bị máy chủ công ty Quản lý truy cập từ điện thoại, máy tính bên ngồi vào hệ thống mạng cơng ty, Quản lý việc gửi, nhận email, tải file lên Internet chia sẻ qua mạng xã hội, sử dụng thiết bị lưu trữ di động CBNV để tránh copy liệu làm lây lan virus vào hệ thống, thiết lập quy định lưu, lưu trữ liệu phương thức khắc phục có cố xảy Quản lý thiết bị lưu trữ thông tin quan trọng (máy 43 chủ, ổ cứng di động, ) cần mang Lập danh sách phần mềm phép cài đặt, sử dụng máy tính cá nhân cơng ty KẾT LUẬN Hiện CNTT vào đời sống, vào doanh nghiệp với phương thức hoạt động hoàn toàn mẻ, sáng tạo nhanh chóng, tiết kiệm nhiều thời gian, cơng sức mà khơng xác, làm cho cơng việc thuận lợi phát triển lên nhiều Công nghệ thông tin ứng dụng giúp cơng ty phân tích, lữu trữ thông tin liệu để phục vụ cho việc điều hành định kinh doanh Tuy nhiên vấn đề mát liệu, liệu bị ăn cắp vấn đề mà công ty tổ chức lo lắng Cho nên việc đảm bảo nâng cao an toàn bảo mật liệu quan tâm hàng đầu Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại phát triển, với việc mở rộng quy mô kinh doanh, vấn đề an toàn bảo mật liệu công ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an toàn bảo mật liệu Tuy nhiên giải pháp an toàn vào bảo mật cơng ty chưa đồng triệt để Có nhiều lỗ hổng đẫn đến nguy bị cơng liệu Trong báo cáo khóa luận này, nêu lên số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin cơng ty, nhiên với trình độ thời gian có hạn đề tài chắn nhiều vấn đề thiếu sót cần sửa chữa bổ sung Em mong nhận xem xét đóng góp ý kiến từ thầy cô Một lần nữa,em xin chân thành cảm ơn quý Công ty, cảm ơn cô Đỗ Thị Thu Hiền giúp đỡ tận tình tạo điều kiện thuận lợi cho em trình nghiên cứu, hồn thiện khóa luận tốt nghiệp Em xin chân thành cảm ơn! 44 TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thơng tin quản lí, Trường ĐH Thương Mại [2] Bộ mơn Cơng nghệ thơng tin (2014), Bài giảng an tồn bảo mật hệ thống thông tin, Đại học Nha Trang [3] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [4] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, , Đại học Bách Khoa [5] William Stallings, Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 [6] http://security.org.vn/2018/vi/trang-chu/ [7] https://trungduc1104.wordpress.com/2014/04/12/ipsec-ip-security-la-gi/ [8] http://ictnews.vn/cntt/bao-mat/cuc-an-toan-thong-tin-ra-cong-cu-giup-nguoidung-kiem-tra-email-co-bi-lo-mat-khau-162959.ict [9] http://antoanthongtin.vn/Detail.aspx?NewsID=83958c26-4cee-42a8-88f400187f5da533&CatID=dd03bec9-f8bc-4092-95e4-5951a9723142 PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT VIỆC PHÁT HIỆN CÁC LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN CÔNG NGHỆ QUANG ĐIỆN TỬ ÁNH SÁNG THỜI ĐẠI (Lưu ý: Em cam kết giữ bí mật thơng tin riêng công ty dùng thông tin cung cấp phiếu điều tra cho mục đích làm khóa luận tốt nghiệp) A THÔNG TIN CHUNG VỀ DOANH NGHIỆP Tên doanh nghiệp ……… ……………………………………………………… Trụ sở doanh nghiệp …………………………………………………… Năm thành lập doanh nghiệp: Thông tin liên hệ người điền phiếu Họ tên: Nam/Nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: ……………………………………………………………… Điện thoại: ……………………… Email: …………………………………………… Trình độ thân: …………………………………………………………… Số lượng nhân viên Dưới 30 người Từ 30 – 100 người Vốn điều lệ (VND): Dưới tỷ Từ 5- 10 tỷ Từ 1-5 tỷ Từ 10- 50 tỷ Loại hình doanh nghiệp Cơng ty THHH Công ty Cổ phần Doanh nghiệp tư nhân Công ty hợp danh Loại hình khác Ngành nghề kinh doanh Thiết bị đèn Led chiếu sáng Thương mại, dịch vụ Ngành sản xuất khác (Nếu có ghi cụ thể): B HẠ TẦNG KỸ THUẬT CNTT Máy trạm: Máy chủ: Máy in:……….chiếc Máy chiếu:…… Máy photocopy:……chiếc Máy laptop:……chiếc Máy scan:…….chiếc Máy quét vân tay:……chiếc Số lượng cán có đại học cao đẳng CNTT trở lên: người - Phần cứng:……………người - Phần mềm:…………….người 10 Công ty có HTTT ( tự động) hay chưa? Nếu có áp dụng mơ hình nào? Có Chưa Mạng cục quan (LAN) có hệ thống an ninh mạng chưa? (tường lửa, phòng chống virus, bảo mật, v.v…): Đã có Chưa có Mạng cục quan (LAN) có hệ thống an tồn liệu chưa? Đã có Chưa có Nếu có, cho biết tên giải pháp bảo mật an toàn liệu? Băng từ Tủ đĩa SAN NAS DAS Giải pháp khác (nêu rõ) Công ty sử dụng phần mềm nào? Hệ điều hành Windows Hệ điều hành khác Phần mềm Văn phòng MS Office Phần mềm quản lý nhân Phần mềm tài kế tốn Phần mềm quản lý khách hàng Phần mềm khác (ghi rõ) 11 Đơn vị thường hay gặp cố an tồn thơng tin Thơng tin bị thất lạc Thông tin bị thay đổi Hệ thống gặp cố Hệ thống bị công 12 Những ngun nhân dẫn đến an tồn thơng tin công ty Sử dụng thiết bị chép khơng an tồn Vơ tình để lộ password, thơng tin quan trọng Thói quen sử dụng Webmail Truy cập trái phép HTTT DN Khác 13 Dữ liệu đơn vị Lưu trữ tập trung Lưu trữ phân tán Cả hai 14 Dữ liệu tổ chức Trong CSDL Tập tin riêng rẽ Cả hai 15 Phần mềm sử dụng bạn có hài lòng với khơng ? C Rất tốt Tốt Khá Trung bình Kém 16 Các biện pháp mà anh chị thường sử dụng để đảm bảo an tồn thơng tin? Sử dụng ổ cứng Sao lưu liên tục Phân quyền sử dụng Duy trì kiểm tra, giám sát Khác…… CƠ SỞ NHÂN LỰC HỆ THỐNG THÔNG TIN, CNTT Số lượng cán có đại học, Đại học CNTT:…………………… người Tỷ lệ nhân viên thành thạo kỹ tin học Dưới 5% Từ 5% - 20% Từ 20% - 50% Từ 50% - 80% Trên 80% Tỷ lệ nhân viên tham gia vào công việc quản trị HTTT (quản trị mạng, liệu…) Dưới 5% Từ 5% - 20% Từ 20% - 50% Từ 50% - 80% Trên 80% Cơng ty có hình thức đào tạo CNTT cho nhân viên? Mở lớp đào tạo Gửi nhân viên học Đào tạo chỗ theo nhu cầu công việc Không đào tạo Trong hoạt động hệ thống ứng dụng đơn vị với HTTT doanh nghiệp có đồng hay khơng? Đồng Khơng đồng Ý kiến khác Yêu cầu doanh việc ứng dụng CNTT HTTT cho hoạt động doanh nghiệp ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… D TÌNH HÌNH SẢN XUẤT KINH DOANH Cơng ty có tham gia sàn thương mại điện tử khơng? Có Khơng Đánh giá mức độ hài lòng khách hàng với doanh nghiệp? Rất hài lòng Hài lòng Bình thường Khơng hài lòng ... sau thời gian thực tập công ty em định chọn đề tài: Một số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin công ty cổ phần công nghệ quang điện tử ánh sáng thời đại Mục tiêu nhiệm vụ nghiên... việc đảm bảo an toàn bảo mật thông tin Nguồn nhân lực công ty: Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại Công ty hàng đầu hoạt động lĩnh vực kinh doanh sản phẩm đèn Led chiếu sáng. .. đạo công ty việc đảm bảo an toàn bảo mật cho HTTT công ty Lãnh đạo công ty quan tâm tới vấn đề an tồn bảo mật thơng tin có số phòng ban chủ quan chưa thực coi trọng vấn đề thông tin công ty Công