LỜI CẢM ƠN Em vinh dự tự hào sinh viên khoa Hệ thống thơng tin kinh tế, trường Đại học Thương Mại Tại đây, em học tập, rèn luyện hoạt động môi trường động, môi trường giáo dục tiên tiến Em xin cám ơn thầy cô giáo khoa Hệ thống thơng tin kinh tế tận tình dạy bảo, giúp đỡ truyền đạt cho em khối kiến thức tảng kinh nghiệm sống, tư tưởng, tư làm hành trang cho em bước vào đời Và đặc biệt, em xin chân thành cám ơn ThS Nguyễn Thị Hội - người tận tình hướng dẫn, bảo để em hồn thành tốt khóa luận tốt nghiệp với đề tài: “Một số giải pháp bảo mật cho website công ty TNHH Việt Bis” Em xin chân thành cảm ơn Ban Giám đốc toàn thể cán bộ, nhân viên Công ty TNHH Việt Bis cung cấp số liệu, kinh nghiệm thực tế tạo điều kiện thuận lợi cho em suốt trình thực tập để em hồn thành tốt khóa luận Em xin chân thành cảm ơn! i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT .v PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu 1.1.1 Tầm quan trọng vấn đề nghiên cứu .1 1.1.2 Ý nghĩa vấn đề nghiên cứu 1.2 Tổng quan tài liệu liên quan đến nội dung đề tài 1.3 Mục tiêu nghiên cứu đề tài 1.4 Đối tượng phạm vi nghiên cứu đề tài .4 1.4.1 Đối tượng nghiên cứu đề tài .4 1.4.2 Phạm vi nghiên cứu đề tài 1.5.1 Phương pháp thu thập liệu 1.5.2 Phương pháp nghiên cứu 1.6 Kết cấu khóa luận .5 PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO MẬT WEBSITE CỦA CÔNG TY TNHH VIỆT BIS 2.1 Cơ sở lý luận đề tài .6 2.1.1 Một số khái niệm an toàn bảo mật website 2.1.2 Đảm bảo an toàn bảo mật thông tin website 2.1.2.2 Các nguy công vào website 10 2.2 Thực trạng an tồn bảo mật Cơng ty TNHH Việt Bis 12 2.2.1 Giới thiệu chung Công ty TNHH Việt Bis 12 2.2.3 Phân tích đánh giá an toàn bảo mật websie doanh nghiệp 16 PHẦN 3: GIẢI PHÁP, ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TỒN BẢO MẬT WEBSITE TẠI CƠNG TY TNHH VIỆT BIS 22 3.1 Định hướng giải pháp an tồn bảo mật website cho cơng ty 22 3.2 Giải pháp nâng cao an tồn bảo mật website cho cơng ty 22 3.2.1 An toàn bảo mật liệu website biện pháp phần cứng 22 ii 3.2.2 An toàn bảo mật website giải pháp phần mềm .26 3.2.3 An toàn bảo mật website giải pháp người 29 3.3 Một số kiến nghị 30 3.3.1 Điều kiện để áp dụng giải pháp 30 3.3.2 Kiến nghị với doanh nghiệp .30 KẾT LUẬN .31 DANH MỤC TÀI LIỆU THAM KHẢO PHỤ LỤC iii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Sơ đồ 2.1: Cơ cấu tổ chức cơng ty TNHH Việt Bis Hình 2.1 Trang website Cơng ty TNHH Việt Bis Bảng 2.1: Báo cáo kết kinh doanh công ty TNHH Việt Bis Bảng 2.3: Bảng danh sách loại phần cứng công ty Biểu đồ 2.1: Mức độ ứng dụng mơ hình HTTT Biểu đồ 2.2: Tỷ lệ nhân viên có sử dụng máy tính q trình làm việc Biểu đồ 2.3: Mức độ an tồn bảo mật thơng tin Biểu đồ 2.4: Mức độ ứng dụng TMĐT Biểu đồ 2.5: Tình hình bảo mật website cơng ty Hình 3.1: Tường lửa cho hệ thống mạng \ iv DANH MỤC TỪ VIẾT TẮT Từ viết tắt AES ATBM ATTT CNTT CSDL EFS HTTT LAN NXB SQL SSL TMĐT Diễn giải Advanced Encryption Standard Encrypting File System Local Area Network Structured Query Language Secure Socket Layer v Nghĩa tiếng Việt Chuẩn mã hóa nâng cao An tồn bảo mật An tồn thơng tin Công nghệ thông tin Cơ sở liệu Mã hóa file hệ thống Hệ thống thơng tin Mạng cục Nhà xuất Ngôn ngữ truy vấn cấu trúc Giao thức truyền thông Thương mại điện tử PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu 1.1.1 Tầm quan trọng vấn đề nghiên cứu Website thương hiệu doanh nghiệp, nơi khách hàng tìm thấy thơng tin cơng ty Nói cách khác, website mặt doanh nghiệp Internet, nhằm nâng tầm thương hiệu, tăng độ uy tín doanh nghiệp, thu hút khách hàng tiềm kênh quan trọng để doanh nghiệp tiếp thị sản phẩm tới nơi giới Tuy nhiên, thông tin website không bảo mật an toàn, khách hàng thấy thiếu tin tưởng doanh nghiệp Các thông tin website thường phải đối mặt với nguy an toàn như: bị truy cập bất hợp pháp, chép, Nguy hiểm thông tin website bị thay đổi nội dung trước chuyển đến cho người nhận Đối với tài liệu có thơng tin bí mật, nhạy cảm liên quan đến chiến lược kinh doanh, số liệu thông tin nhân sự, tổ chức… trao đổi hệ thống mà khơng có biện pháp để bảo vệ nguy bị an tồn bảo mật vơ lớn hậu việc an toàn bảo mật liệu khơng thể lường Chính vậy, bảo đảm an toàn bảo mật website vấn đề quan trọng doanh nghiệp Nó định đến phát triển bền vững công ty kinh tế thị trường ngày 1.1.2 Ý nghĩa vấn đề nghiên cứu 1.1.2.1 Ý nghĩa mặt nghiên cứu Cùng với phát triển mạnh mẽ CNTT vấn đề ATBM website lại cần quan tâm nhiều doanh nghiệp Mức độ gặp rủi ro an toàn cho liệu cao nghiêm trọng Vì vậy, việc đảm bảo ATBM website có ý nghĩa quan trọng phát triển bền vững uy tín doanh nghiệp Rủi ro thơng tin gây thất tiền bạc, tài sản, người gây thiệt hại đến hoạt động sản xuất kinh doanh doanh nghiệp, ảnh hưởng lớn đến uy tín danh dự doanh nghiệp 1.1.2.2 Ý nghĩa mặt thực tiễn Công ty TNHH Việt Bis công ty chuyên lĩnh vực bán hàng, cho thuê thiết bị văn phòng Do đó, việc đảm bảo ATBM thơng tin cần thiết Mặc dù ban lãnh đạo công ty quan tâm đến vấn đề ATBM thơng tin tình trạng hệ thống thông tin bị công xảy Hiện nay, việc áp dụng số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT công ty trọng triển khai Vì vậy, đề tài “Một số giải pháp bảo mật cho website công ty TNHH Việt Bis” cần thiết cho hoạt động công ty 1.2 Tổng quan tài liệu liên quan đến nội dung đề tài Các cơng trình nghiên cứu an tồn bảo mật thơng tin nước có chuyển biến tích cực, nhiều cơng trình nghiên cứu, sách tài liệu khoa học an toàn bảo mật thông tin đời như: Tài liệu 1: ISO/IEC 27001:2013 Bộ kinh nghiệm để tổ chức đảm bảo an tồn an ninh thơng tin cho sản phẩm doanh nghiệp ISO 27001 tạo hệ thống theo dõi trì tính bảo mật thơng tin, tính sẵn có thơng tin, tính xác công ty Tài liệu nêu hình thức cơng website Em dùng tài liệu vào Phần 2.1: Cơ sở lý luận đề tài Tài liệu 2: Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống kê Giáo trình đưa kiến thức liên quan đến an toàn liệu thương mại điện tử (TMĐT) khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT nguy mát liệu, hình thức cơng TMĐT Ngồi ra, giáo trình đề cập đến số thông tin nguy cơng phương pháp đảm bảo an tồn cho hệ thống thông tin doanh nghiệp Tài liệu giới thiệu số ứng dụng công nghệ đảm bảo an tồn, bảo mật thơng tin biện pháp khắc phục hậu phổ biến Qua tài liệu giúp em có sở để đưa lý thuyết khái niệm an tồn thơng tin Tài liệu 3: Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử, đại học Bách Khoa” Luận văn đưa khái niệm, mục tiêu, u cầu an tồn thơng tin nguy gây an tồn thơng tin, hình thức cơng Đề tài đề cập đến kỹ thuật lĩnh vực bảo mật an tồn thơng tin thương mại điện tử Luận văn đưa số vấn đề mật mã an ninh mạng, khám phá vấn đề công nghệ an ninh mạng Em dùng tài liệu Phần 2.1: Cơ sở lý luận đề tài Phần 3: Giải pháp, định hướng phát triển đề xuất giải pháp nâng cao hiệu an tồn bảo mật website cơng ty TNHH Việt Bis Tài liệu 4: William Stallings(2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt yếu tố cần thiết AES Các tính năng, thuật tốn, hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật phần mềm độc hài kẻ xâm hại Em dùng tài liệu Phần 3: Giải pháp, định hướng phát triển đề xuất giải pháp nâng cao hiệu an toàn bảo mật website công ty TNHH Việt Bis Tài liệu 5: Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons Cuốn sách viết vấn đề phản ánh vai trò trung tâm hoạt động, nguyên tắc, thuật toán giao thức bảo mật Internet Đưa biện pháp khắc phục mối đe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việc đảm bảo an ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng Các tài liệu sách trình bày lý thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet Phần 3: Giải pháp, định hướng phát triển đề xuất giải pháp nâng cao hiệu an toàn bảo mật website công ty TNHH Việt Bis 1.3 Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu đề tài này: Đưa sở lý luận an toàn bảo mật hệ thống thơng tin Tìm hiểu vai trò việc đảm bảo an toàn website cho doanh nghiệp Tìm hiểu, phân tích đánh giá thực trạng vấn đề an toàn bảo mật website doanh nghiệp Trên sở nghiên cứu thực trạng tình hình cơng ty, từ đưa số đề xuất, phòng chống khắc phục để ngăn chặn nguy an tồn bảo mật website áp dụng với doanh nghiệp an toàn lưu trữ thơng tin, CSDL, an tồn bảo mật đường truyền, 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài Đối tượng mà nghiên cứu hướng tới vấn đề an tồn bảo mật website cơng ty TNHH Việt Bis, giải pháp công nghệ giải pháp người để đảm bảo an toàn bảo mật website doanh nghiệp Nghiên cứu báo, sách, giáo trình, website,…về vấn đề an tồn bảo mật website Các sách phát triển đảm bảo an tồn bảo mật website công ty Các giải pháp ATBM giới áp dụng cho website doanh nghiệp 1.4.2 Phạm vi nghiên cứu đề tài Bài nghiên cứu tập trung phạm vi: Về không gian: đề tài tập trung nghiên cứu tình hình an tồn bảo mật webite cơng ty TNHH Việt Bis nhằm đưa số giải pháp nâng cao an toàn bảo mật website Về thời gian: Thời gian làm khóa luận tuần, từ ngày 22/02/2017 đến 25/04/2017 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra : thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thông tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Phương pháp xử lý liệu: Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2013 – 2014, từ phiếu điều tra tài liệu thống kê khác phương pháp phán đoán dùng để đưa dự báo, phán đốn: Tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà công ty hứng chịu 1.5.2 Phương pháp nghiên cứu Mỗi phương pháp xử lý thông tin có ưu nhược điểm riêng chúng đề tài nghiên cứu sử dụng phương pháp xử lý thông tin sau: Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences) SPSS phần mềm cung cấp hệ thống quản lý liệu phân tích thống kê môi trường đồ họa, sử dụng trình đơn mơ tả hộp thoại đơn giản để thực hầu hết công việc thống kê phân tích số liệu Người dùng dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị Phương pháp định tính: Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị 1.6 Kết cấu khóa luận Ngồi danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu tham khảo phụ lục khóa luận gồm phần: Phần 1: Tổng quan đề tài nghiên cứu Phần 2: Cơ sở lý luận thực trạng vấn đề an toàn bảo mật website Công ty TNHH Việt Bis Phần 3: Giải pháp, định hướng phát triển đề xuất giải pháp nâng cao hiệu an toàn bảo mật website công ty TNHH Việt Bis PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TỒN VÀ BẢO MẬT WEBSITE CỦA CƠNG TY TNHH VIỆT BIS Trong bối cảnh với công vào hệ thống điều khiển/ngành công nghiệp phát triển băng nhóm tội phạm mạng tinh vi, tổ chức cần phải chủ động để kiểm sốt thay đổi dù nhỏ từ mơi trường nhằm có biện pháp bảo vệ tức thời Các thiết bị phần cứng Cisco ASA with FirePOWER Services thực bước tiến thị trường NGFW, giúp tăng cường bảo vệ theo thời gian thực từ data center, hệ thống mạng thiết bị đầu cuối khách hàng Cisco cho biết, khách hàng chọn mua thiết bị firewall Cisco ASA kèm giấy phép FirePOWER; khách hàng sở hữu firewall ASA 5500-X hay 5585-X series mua thêm giấy phép sử dụng FirePOWER cho hệ thống Một mơi trường cấu hình chung làm đơn giản hóa cơng việc quản lý làm giảm chi phí đào tạo, thiết bị phần cứng chung họ sản phẩm làm giảm chi phí dự phòng Sử dụng giao thức bảo mật đường truyền SSL Để bảo mật website, việc sử dụng giải pháp bảo mật đường truyền vơ cần thiết Vì vậy, để nâng cao vấn đề bảo mật CSDL công ty nên trọng giải pháp bảo mật đường truyền để tranh mát giữ liệu trình lưu trữ, truyền nhận liệu Giao thức SSL SSL (Secure Sockets Layer) giao thức (protocol) cho phép bạn truyền đạt thông tin cách bảo mật an toàn qua mạng SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền môi trường internet an tồn., tiêu chuẩn cơng nghệ bảo mật, truyền thơng mã hố máy chủ Web server trình duyệt (browser) Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư tồn vẹn SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền môi trường internet an toàn Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web server có kiểm sốt đường liệu hay kiểm sốt liệu có thâm 24 nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an toàn: Xác thực: Đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng Mã hố: Đảm bảo thông tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận Tồn vẹn liệu: Đảm bảo thơng tin khơng bị sai lệch phải thể xác thông tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thơng tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser Được phát triển Netscape, ngày giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin client server Tổ chức IETF (Internet Engineering Task Force ) chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP (Internet Messaging Access Protocol) FTP (File Transport Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: Xác thực server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn 25 certificate public ID server có giá trị cấp phát CA (certificate authority) danh sách CA đáng tin cậy client Điều quan trọng người dùng Xác thực Client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem certificate public ID server có giá trị hay khơng cấp phát CA (certificate authority) danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp Mã hoá kết nối: Tất thông tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngồi ra, tất liệu gửi kết nối SSL mã hố bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu ( thuật tốn băm – hash algorithm) Giao thức SSL bao gồm giao thức con: Giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Sử dụng thuật toán mã hoá xác thực DES (Data Encryption Standard) SSL thuật toán mã hoá có chiều dài khố 56 bit Khi client server trao đổi thông tin giai đoạn bắt tay (handshake), họ xác định mã hoá mạnh sử dụng chúng phiên giao dịch SSL 3.2.2 An toàn bảo mật website giải pháp phần mềm Sử dụng phương pháp mã hóa Hiện nay, cơng ty sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa liệu, kỹ thuật mã hóa có nhiều ưu điểm Tuy nhiên, có số hạn chế công ty nên sử dụng thêm số biện pháp, phương pháp khác để nâng cao hiệu việc đảm bảo an toàn bảo mật thông tin truyền nhận liệu Sử dụng mã hóa hệ thống tập tin (EFS-Encrypting File System) Trong số phần lớn người sử dụng chúng ta, hẳn bạn biết Windows XP, Windows phiên hệ điều hành – Windows tích hợp sẵn dịch vụ bảo mật liệu dành cho người dùng đơn giản vô hiệu vài thao tác thiết lập Đó Encrypted File Service hay gọi tắt EFS 26 EFS thực chất dịch vụ bảo mật tích hợp sẵn Windows kể từ phiên XP Một liệu mã hóa EFS truy cập sử dụng tài khoản thực lệnh mã hóa Mặc dù người dùng khác nhìn thấy file liệu đó, khơng thể mở – cho dù tài khoản Administrator Chúng ta sử dụng phương pháp mã hóa tích hợp tảng giấy phép để bảo vệ file thư mục riêng biệt lưu trữ phân vùng định dạng NTFS Thao tác mã hóa file thư mục đơn giản, cần click vào nút Advanced tab General trang thuộc tính Properties Lưu ý sử dụng kết hợp mã hóa EFS nén NTFS EFS sử dụng kết hợp mã hóa đối xứng bất đối xứng cho bảo mật thực thi Để mã hóa file với EFS, người dùng phải có giấy phép EFS, tạo Windows Certification Authority, hay giấy phép tự phân khơng có Certificate Authority mạng Các file EFS mở tài khoản người dùng mã hóa chúng, hay tác nhân khôi phục chuyên dụng Với Windows XP hay Windows 2003 định tài khoản người dùng khác phân quyền để truy cập vào file mã hóa EFS Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file Sử dụng cơng cụ mã hóa ổ đĩa Trong số phiên Windows Vista, Windows 7, Windows Server 2008 Windows Server 2008 R2 tích hợp cơng cụ mã hóa ổ đĩa mạnh có tên BitLocker Mặc định, cơng cụ sử dụng mã hóa AES (Advanced Encryption Standard) vận hành theo chế độ Ngoài sử dụng nhiều cơng cụ mã hóa ổ đĩa nhóm ba khác cho phép mã hóa tồn ổ đĩa Khi mã hóa tồn ổ đĩa, người dùng truy cập vào liệu Dữ liệu mã hóa tự động ghi vào ổ đĩa này, tự động giải mã trước tải vào nhớ Một số cơng cụ tạo 27 vùng lưu trữ vơ hình bên phân vùng, sau hoạt động ổ đĩa ẩn bên ổ đĩa Những người dùng khác thấy liệu ổ đĩa ngồi Những cơng cụ mã hóa ổ đĩa sử dụng để mã hóa ổ đĩa di động Một số cho phép tạo mật chủ với mật phụ với quyền thấp để cấp cho người dùng khác, Whole Disk Encryption, Drive Crypt, … Thực lưu phục hồi liệu kịp thời thường xuyên Việc lấy liệu khỏi máy tính lưu vị trí an toàn nhằm tránh việc liệu bị hư hỏng phần cứng, bất cẩn người sử dụng (xóa nhầm, format đĩa cứng…) thiên tai, hỏa hoạn cần thiết quan trọng Công ty thực backup theo chu kỳ tháng lần, thời gian backup liệu lâu công ty nên backup liệu thường xuyên khoảng tuần lần để đảm bảo liệu công ty không bị thất lạc Lượng liệu bị hệ thống bị đánh sập hoàn toàn Tuy nhiên, việc backup liệu phải đảm bảo các yếu tố sau: - Có kế hoạch backup định kỳ: Kế hoạch phải đảm bảo lưu đủ liệu cần thiết, lưu thời điểm, hạn chế thấp mát liệu - An toàn liệu: Các liệu backup phải mã hóa cách phòng trường hợp liệu rơi vào tay kẻ xấu khơng bị lộ bí mật - An ninh việc cất giữ: Việc di chuyển lưu trữ liệu backup phải an toàn, tránh để thất lạc đường di chuyển nơi lưu trữ - Cách ly với môi trường đặt máy: liệu backup cần lưu trữ địa điểm cách xa với nơi đặt máy Nếu lưu ngơi nhà, tất có hỏa hoạn hay thiên tai, địch họa Cơng ty sử dụng tiện ích backup tích hợp hệ điều hành Windows (ntbackup.exe) để thực tiến trình backup bản, ngồi ra, sử dụng Data backup việc tạo liệu gốc, cất giữ nơi an toàn Và lấy sử dụng (restore) hệ thống gặp cố Sao lưu (backup) liệu cách tốt để bảo vệ liệu máy tính 28 Bảo mật liệu truyền qua mạng wifi Công nghệ thông tin ngày phát triển, việc truyền nhận thông tin liệu sử dụng chủ yếu qua mạng, cơng ty khơng sử dụng nhiều mạng dây, mà thay vào chủ yếu sử dụng Wifi cho máy tính xách tay máy tính cá nhân cơng ty Dữ liệu gửi qua mạng Wifi dễ bị tác động so với gửi qua mạng Ethernet Tin tặc không cần phải truy cập vật lý tới mạng hay thiết bị đó, người dùng sử dụng laptop kích hoạt Wifi ăng ten thu phát sóng mạnh đánh cắp liệu hay đột nhập vào mạng truy cập vào liệu lưu trữ mạng điểm truy cập Wifi khơng cấu hình bảo mật Vì để đảm bảo an tồn bảo mật thơng tin cơng ty nên trọng việc bảo mật liệu truyền qua Wifi Chúng ta nên gửi lưu trữ liệu mạng Wifi mã hóa Để mã hóa mạng Wifi, tốt nên sử dụng Wifi Protected Access (WPS), mạnh nhiều so với Wired Equivalent Protocol (WEP) 3.2.3 An toàn bảo mật website giải pháp người Trong thời đại phát triển CNTT nay, công ty nên trang bị kiến thức an toàn bảo mật cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an tồn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm soát nội chặt chẽ đề quy định riêng an toàn bảo mật CSDL cho công ty Cần phải làm rõ điều rằng, nhân viên không copy thông tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Ban lãnh đạo nhân viên công ty nên nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm sốt người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp công ty có quy định việc đeo thẻ vào làm việc nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục công ty 29 nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề công ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.3 Một số kiến nghị 3.3.1 Điều kiện để áp dụng giải pháp Giải pháp đảm bảo an toàn bảo mật website công ty bao gồm giải pháp phần cứng, giải pháp phần mềm giải pháp người Để thực giải pháp này, công ty cần phải có sở hạ tầng phù hợp hơn, nguồn nhân lực chất lượng cao để hồn thành tốt cơng việc đảm bảo an tồn bảo mật website công ty 3.3.2 Kiến nghị với doanh nghiệp Trực tiếp tìm hiểu thực nghiên cứu hoạt động kinh doanh cơng ty, hoạt động an tồn bảo mật website trung tâm nói riêng, tơi xin đưa vài kiến nghị với trung tâm để giúp trung tâm hồn thiện cơng tác an tồn bảo mật website Đó là: Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an tồn việc cần thiết Mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an tồn bảo mật thơng tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn Đào tạo nhân lực công ty Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm KẾT LUẬN 30 Ngày nay, với phát triển công nghệ thông tin, website trở thành cầu nối chia sẻ, quảng bá sản phẩm công ty đến gần với khách hàng Các công ty có hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh chia sẻ thơng tin Vì vậy, việc đảm bảo nâng cao an toàn bảo mật website doanh nghiệp quan tâm hàng đầu Công ty TNHH Việt Bis phát triển, với việc mở rộng kinh doanh tăng số lượng chi nhánh Cho nên vấn đề an toàn bảo mật website công ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an toàn bảo mật website Tuy nhiên, giải pháp an tồn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công Cho nên em đề xuất giải pháp như: nâng cao việc lưu trữ mã hoá liệu, bảo mật đường truyền, sử dụng phần mềm ngăn chặn nguy công liệu, nâng cấp hệ thống máy chủ công ty Với đề tài “Một số giải pháp bảo mật cho website công ty TNHH Việt Bis” đề tài đòi hỏi nghiên cứu lâu dài mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng kinh nghiệm lĩnh vực Là sinh viên thực tập, tầm hiểu biết, kinh nghiệm hạn chế, khóa luận thiếu nhiều thiếu sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hồn chỉnh Một lần nữa, em xin chân thành cảm ơn quý công ty, cảm ơn ThS Nguyễn Thị Hội giúp đỡ tận tình tạo điều kiện thuận lợi để em hồn thành tốt khóa luận tốt nghiệp 31 DANH MỤC TÀI LIỆU THAM KHẢO [1] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [2] Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa [3] Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons [4]William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 PHỤ LỤC PHIẾU ĐIỀU TRA TÌNH HÌNH ỨNG DỤNG CNTT TRONG CƠNG TY TNHH VIỆT BIS Nhằm phục vụ cho việc báo cáo thực tập định hướng đề tài khóa luận tới, em tiến hành phát phiếu điều tra anh (chị) nhân viên cơng ty tình hình ứng dụng CNTT công ty Em cam kết giữ bí mật thơng tin riêng cơng ty dùng thông tin cung cấp phiếu điều tra nhằm khảo sát tổng hợp làm khóa luận Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời việc tích vào đáp án Rất mong nhận hợp tác anh (chị)! Em xin chân thành cảm ơn! A THÔNG TIN CHUNG VỀ DOANH NGHIỆP Tên doanh nghiệp: Địa trụ sở chính: Thơng tin liên hệ người điền phiếu: Họ tên:……………………… Nam/Nữ:………Năm sinh:… Dân tộc:……………………….Quốc tịch:………………………………… Vị trí cơng tác:……………………………………………………………… Điện thoại:…………………… Email:……………………………………… Trình độ thân:…………………………………………………………… Năm thành lập doanh nghiệp:…………… Số lượng nhân viên: Vốn điều lệ (VND):  Dưới tỷ  Từ 1-5 tỷ  Từ 5- 10 tỷ  Từ 10- 50 tỷ  Từ 50- 200 tỷ  Trên 200 tỷ Loại hình doanh nghiệp theo hình thức sở hữu: (chỉ đánh dấu ô)   Cổ phần Doanh nghiệp liên doanh với nước   Đầu tư nước  Trách nhiệm hữu hạn    Công ty hợp danh Doanh nghiệp tư nhân Nhà nước Khác (Xin nêu rõ) Số lượng nhân viên  Dưới 30 người  Từ 30 – 100 người  Từ 100 – 300 người  Trên 300 người 10 Tên website thương mại điện tử thức doanh nghiệp: ………………………………………………………………………………… 11 Các sản phẩm dịch vụ bán website doanh nghiệp ( chọn nhiều mục)?  Thiết bị điện, điện  Dịch vụ trực tuyến  Máy in, máy photocopy, linh kiện  Bất động sản máy in  Điện tử, điện lạnh gia dụng  Thời trang, giày dép 12 Doanh nghiệp có xuất nhập sản phẩm khơng?  Có  Khơng B HẠ TẦNG KỸ THUẬT CNTT Số lượng máy trạm công ty: (chiếc) Số lượng máy chủ: (chiếc) Tổng số máy tính có kết nối Internet băng rộng:……….(chiếc) Máy tính thường sử dụng loại máy tính gì?  Laptop  Máy tính để bàn Mạng cục quan (LAN) có hệ thống an ninh mạng chưa? (tường lửa, phòng chống virus, bảo mật, v.v…):  Đã có  Chưa có Mạng cục quan (LAN) có hệ thống an toàn liệu chưa? (như định kỳ ghi liệu vào thiết bị: Tủ/ổ cứng/ băng, đĩa từ/SAN/NAS):  Đã có  Chưa có Cơng ty sử dụng phần mềm nào?  Hệ điều hành Windows  Hệ điều hành khác Phần mềm Văn phòng MS Office Phần mềm văn phòng khác   Phần mềm tài kế tốn  Phần mềm quản lý nhân  Phần mềm quản lý công văn, giấy tờ  Phần mềm quản trị dự án  Phần mềm quản lý khách hàng, ERP  Phần mềm chuyên ngành  Phần mềm khác (ghi rõ) …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Các phần mềm công ty sử dụng mua hay tự sản xuất?  Mua  Tự sản xuất Mức độ quan tâm lãnh đạo ứng dụng CNTT hoạt động sản xuất kinh doanh?  khơng quan tâm  bình thường  quan tâm 10 Đánh giá mức độ an tồn bảo mật thơng tin cơng ty  Rất tốt  Không tốt  Tốt  Rất khơng tốt  Bình thường 11 Tình hình bảo mật website công ty nào?  Rất tốt  Không tốt  Tốt  Rất không tốt  Bình thường C QUẢN TRỊ CSDL TRONG DOANH NGHIỆP Doanh nghiệp bạn sử dụng hệ quản trị CSDL nào? ( chọn nhiều mục)  Microsoft Access  SQL Server  My SQL  Foxpro  Oracle  PostgresSQL  Informix  DB2  Khác…………… Hệ quản trị CSDL doanh nghiệp bạn sử dụng có quyền hay khơng?  Có  Khơng Hiện doanh nghiệp bạn có sử dụng chương trình bảo mật cho CSDL doanh nghiệp?  Diệt virus  Tường lửa  Phân quyền người sử dụng  Phần mềm bảo vệ  Sử dụng thiết bị vật lý  Mã hóa chức hệ quản trị  Mã hóa hệ mã hóa riêng  Sử dụng chữ ký điện tử  Khác………………… Đánh giá khả quản trị CSDL doanh nghiệp bạn?  Độ chuyên nghiệp cao  Độ chuyên nghiệp cao  Độ chuyên nghiệp cao  Độ chuyên nghiệp thấp  Độ chuyên nghiệp thấp Bạn đánh giá mức độ tiếp cận thông tin, tài liệu doanh nghiệp bạn:  Rất dễ  Có thể  Tương đối dễ  Có thể khó  Khơng thể  Ý kiến khác Bạn đánh giá vai trò bảo mật CSDL quảng bá thông tin doanh nghiệp website?  Quan trọng  Đôi quan trọng  Rất quan trọng  Không quan trọng D CƠ SỞ NHÂN LỰC CNTT Số lượng cán hoạt động lĩnh vực CNTT: - Phần cứng:……………người - Phần mềm: + Dịch vụ: …………….người + Phát triển phần mềm: ………… người Số lượng cán có đại học cao đẳng CNTT trở lên: người Cơng ty có hình thức đào tạo CNTT cho nhân viên?  Mở lớp đào tạo  Gửi nhân viên học  Đào tạo chỗ theo nhu cầu công việc  Không đào tạo Công ty có cán chun trách, phòng ban chun trách CNTT khơng ?  Có (Số lượng …………)  Không Nhu cầu nguồn nhân lực CNTT?  khơng có nhu cầu  bình thường  nhu cầu lớn  khác 6.Tiêu chí tuyển nhân viên Hệ thống : Tốt nghiệp Cử nhân chuyên ngành CNTT ngành có liên quan  Có kinh nghiệm mail postfix, mail relay, loadbalancing, cluster  Có kỹ viết tài liệu hệ thống, báo cáo với cấp công việc định kỳ việc phát sinh giao  Có khả đọc hiểu tài liệu tiếng Anh  Có thể làm việc độc lập, chịu áp lực cao công việc  Khác………………………………………………………………………… 7.Tỷ lệ nhân viên có sử dụng máy tính q trình làm việc  Dưới 10%  Từ 50-80%  Từ 10-30%  Từ 80-100%  Từ 30-50 E TÌNH HÌNH ỨNG DỤNG CNTT 1.Mức độ ứng dụng mơ hình HTTT tự động công ty  Dưới 10%  Từ 50-80%  Từ 10-30%  Từ 80-100%  Từ 30-50% 2.Khối lượng công việc cần dùng tới mạng máy tính  Dưới 10%  Từ 50-80%  Từ 10-30%  Từ 80-100%  Từ 30-50% 3.Mức độ ứng dụng TMĐT doanh nghiệp  Dưới 10%  Từ 50-80%  Từ 10-30%  Từ 80-100%  Từ 30-50% Người lập phiếu (Ký ghi rõ họ tên) Hoa Ngô Thị Hoa ... bị công xảy Hiện nay, việc áp dụng số giải pháp đảm bảo an toàn bảo mật thông tin cho HTTT công ty trọng triển khai Vì vậy, đề tài Một số giải pháp bảo mật cho website công ty TNHH Việt Bis ... tồn bảo mật website công ty TNHH Việt Bis, giải pháp công nghệ giải pháp người để đảm bảo an toàn bảo mật website doanh nghiệp Nghiên cứu báo, sách, giáo trình, website, …về vấn đề an tồn bảo mật. .. động công ty 21 PHẦN 3: GIẢI PHÁP, ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN BẢO MẬT WEBSITE TẠI CÔNG TY TNHH VIỆT BIS 3.1 Định hướng giải pháp an tồn bảo mật website cho