LỜI CẢM ƠN Hiện an tồn bảo mật thơng tin vấn đề quan tâm nhiều từ doanh nghiệp lớn tới doanh nghiệp vừa nhỏ, tổ chức hay người sử dụng cá nhân Tầm quan trọng an tồn bảo mật thơng tin phủ nhận Tuy nhiên doanh nghiệp đạt tiêu chí chuẩn HTTT an tồn bảo mật Trong khóa luận tốt nghiệp mình,em xin trình bày đề tài : “ Một số giải pháp bảo mật hệ thống thông tin cho Công ty cổ phần dịch vụ Tất Thành” Để hoàn thành khóa luận tốt nghiệp em xin gửi lời cảm ơn sâu sắc đến GVHD khóa luận Th.S Nguyễn Thị Hội thầy cô môn tận tình bảo giúp em bổ sung kiến thức lý thuyết thực tiễn Ngoài em xin gửi lời cảm ơn ban lãnh đạo tồn thể nhân viên Cơng ty cổ phần dịch vụ Tất Thành tạo điều kiện giúp đỡ em suốt trình thực tập làm khóa luận tốt nghiệp Trong suốt q trình thực tập thời gian làm khóa luận tốt nghiệp, em cố gắng tìm hiểu sâu, rõ ràng, sâu vào thực trạng HTTT quản lý công ty Tuy nhiên, trình độ lý luận kinh nghiệm thực tiễn hạn chế nên khóa luận khơng thể tránh khỏi thiếu sót, em mong nhận đóng góp thầy, để em học hỏi thêm nhiều kinh nghiệm hoàn thành tốt khóa luận tốt nghiệp Em xin chân thành cảm ơn i MỤC LỤC 3.2.1 Phân tích yêu cầu Firewall cho Công ty cổ phần dịch vụ Tất Thành 29 3.2.2 Chọn lựa giải pháp Firewall cho phù hợp với mạng máy tính công ty cổ phần dịch vụ Tất Thành .31 3.3.1 Lựa chọn giải pháp Firewall phần cứng Firewall phần mềm để xây dựng Firewall cho Công ty cổ phần dịch vụ Tất Thành 35 3.3.2 Cách cài đặt u cầu cấu hình Firewall cho Cơng ty cổ phần dịch vụ Tất Thành .37 ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ Bảng 2.1: Báo cáo kết kinh doanh Công ty cổ phần dịch vụ Tất Thành Bảng 2.2: Thống kê tần suất máy tính bị nhiễm virus Bảng 2.3: Số lần bị hacker công Bảng 2.4 : Khảo sát kiến thức nhân viên công ty vấn đề bảo mật thông tin Biểu đồ 2.1: Biều đồ tổng hợp doanh thu chi phí lợi nhuận Cơng ty cổ phần dịch vụ Tất Thành từ 2014-2016 Biểu đồ 2.2: Tỷ lệ tần suất máy tính bị nhiễm virus/năm Biểu đồ 2.3: Đánh giá tỷ lệ số lần bị hacker công mạng Biều đồ 2.4: Đánh giá kiến thức nhân viên vấn đề bảo mật thông tin iii DANH MỤC CÁC TỪ VIẾT TẮT STT 10 Từ viết tắt HTTT SQL CSDL TCP/IP Nghĩa tiếng việt Hệ thống thông tin Structured Query Language Ngôn ngữ truy vấn Cơ sở liệu Transmission Control Bộ giao thức DOS ISA Server Protocol / IP – Internet Protocol Denial of Service Tấn công từ chối dịch vụ Internet Security & Aceleration Bảo mật ứng dụng tăng tốc TCP UDP IP RAM Diễn giải Transmission Control Protocol User Datagram Protocol băng thông Giao thức điều khiển truyền vận Là giao thức Internet Protocol Random Acess Memory cốt lõi giao thức TCP/IP Địa máy tính Bộ nhớ truy cập ngẫu nhiên iv CHƯƠNG I : TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa vấn đề bảo mật cho HTTT doanh nghiệp 1.1.1 Tầm quan trọng vấn đề an toàn bảo mật HTTT doanh nghiệp Vấn đề đảm bảo an toàn cho HTTT nghững vấn đề quan trọng cân nhắc suốt trình thiết kế, thi công, vận hành bảo dưỡng HTTT doanh nghiệp Bảo vệ thơng tin bảo vệ tính bí mật tính tồn vẹn thơng tin Một số loại thơng tin có ý nghĩa chúng giữ kín giới hạn số đối tượng ví dụ thơng tin chiến lược kinh doanh doanh nghiệp Hệ thống thông tin thành phần thiết yếu quan, tổ chức, đem lại khả xử lý thông tin, hệ thống thông tin chứa nhiều điểm yếu Do máy tính phát triển với tốc độ nhanh để đáp ứng nhiều yêu cầu người dùng, phiên phát hành liên tục với tính thêm vào ngày nhiều, điều làm cho phần mềm không kiểm tra kỹ trước phát hành bên chúng chứa nhiều lỗ hổng dễ dàng bị lợi dụng Thêm vào việc phát triển hệ thống mạng, phân tán hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng tin tặc có nhiều mục tiêu công dễ dàng Song song với việc xây dựng hệ thống thông tin đại, đáp ứng nhu cầu quan, tổ chức cần phải bảo vệ hệ thống thơng tin, đảm bảo cho hệ thống hoạt động ổn định tin cậy Nếu trước đây, việc bảo vệ thông tin trú trọng vào vấn đề dùng chế phương tiện vật lý để bảo vệ thông tin theo nghĩa đen từ sau vấn đề bảo mật thông tin trở nên đa dạng phức tạp Việc ứng dụng máy tính việc xử lý thông tin làm thay đổi dạng lưu trữ thông tin phương thức xử lý thông tin điều dễ dẫn đến nguy bị đánh cắp thơng tin cao Từ xuất u cầu bảo vệ an tồn thơng tin, hệ thống mạng, gồm chế kỹ thuật phù hợp với việc bảo vệ an tồn thơng tin chúng trao đổi thiết bị mạng Vì vậy, vấn đề an tồn bảo mật thơng tin doanh nghiệp quan trọng Để đảm bảo an tồn hệ thống thơng tin, khơng phải có giải pháp mà cần có người, quy trình cần áp dụng tiêu chuẩn an tồn để đảm bảo thơng tin doanh nghiệp ln truyền tải nhanh chóng, thuận tiện bảo mật Hiểu tầm quan trọng việc bảo mật, an tồn liệu doanh nghiệp nên Cơng ty cổ phần dịch vụ Tất Thành cần triển khai việc áp dụng biện pháp nhằm nâng cao tính bảo mật an tồn thơng tin, liệu Xuất phát từ cần thiết đó, em định lựa chọn đề tài: “Một số giải pháp bảo mật hệ thống thông tin cho Công ty cổ phần dịch vụ Tất Thành” làm đề tài khóa luận Với hy vọng giải pháp hiệu để giúp doanh nghiệp nâng cao tính bảo mật doanh nghiệp tương lai 1.1.2 Ý nghĩa vấn đề an toàn bảo mật HTTT doanh nghiệp Giúp cho công ty nhận diện nguy thách thức vấn đề an toàn bảo mật HTTT doanh nghiệp Từ đó, có giải pháp nâng cao tính an toàn bảo mật, ngăn chặn nguy công HTTT tương lai Ý nghĩa đề tài đưa lý luận đúc kết lại từ nhiều tài liệu khác nhau, đưa cách nhìn tổng quát thực trạng an toàn bảo mật doanh nghiệp Đồng thời định hướng, kiến nghị số giải pháp cho HTTT công ty giải pháp tốt chất lượng nhân sự, người, vấn đề an ninh mạng, giải pháp doanh nghiệp lớn thực Ý nghĩa thực tế công ty mong muốn giúp doanh nghiệp đạt hiệu cao vấn đề đảm bảo an tồn bảo mật thơng tin Đề tài tập chung nghiên cứu sở lý luận lý thuyết an tồn, bảo mật thơng tin nói chung an tồn bảo mật thơng tin HTTT quản lý nói riêng, đặc biệt yếu tố ảnh hưởng tiêu chí đo lường hiệu giải pháp đảm bảo an tồn, bảo mật HTTT để đánh giá xác thực trạng hiệu giải pháp cho công ty Từ khóa luận đưa biện pháp phù hợp nhằm khắc phục thực trạng vấn đề Công ty cổ phần dịch vụ Tất Thành 1.2 Tổng quan tài liệu liên quan đến nội dung đề tài Bảo mật HTTT khơng vấn đề xa lạ thời đại công nghệ số Ở Việt Nam năm gần không ngừng gia tăng số lượng người sử dụng internet, nguy an tồn bảo mật lớn Vì doanh nghiệp nước cố gắng đầu tư hoàn thiện lại HTTT để bảo mật tốt Đã có nhiều sách báo, cơng trình nghiên cứu vấn đề nhiên cơng trình nghiên cứu đề cập đến khía cạnh an tồn bảo mật mà chưa đề cập đến doanh nghiệp cụ thể Trong khóa luận em có sử dụng số tài liệu tham khảo sau: Tài liệu nước Đàm Gia Mạnh(2009), Giáo trình an tồn liệu thương mại điện tử, , NXB Thống Kê Giáo trình đưa vấn đề an toàn liệu thương mại điện tử Đưa hình thức cơng, với biện pháp phòng tránh cố chưa xảy rả cách khắc phục xảy rả cố Tài liệu trình bày vấn đề mã hóa liệu ứng dụng an toàn liệu thương mại điện tử, giải pháp đảm bảo an toàn liệu thương mại điện tử Điểm bật tài liệu trình bày từ lý thuyết chung tới nhận xét, đánh giá khách quan có tính chun sâu vấn đề Ở giáo trình em có sử dụng tham khảo phần nội dung: khái niệm thơng tin, HTTT, liệu, an tồn liệu cho mục 2.1 Một số khái niệm cho lý thuyết đề tài Trần Văn Dũng (2014), Giáo trình an tồn bảo mật thơng tin, nhà xuất Bách Khoa - Hà Nội Giáo trình gồm chương nêu tổng quan bảo mật, tóm tắt mã cổ điển, giới thiệu an toàn web, IP tóm tắt kẻ xâm nhập biện pháp phòng chống tường lửa Qua người đọc hình dung chung chủ đề nghiên cứu vấn đề Ở sách em có sử dụng tham khảo phần nội dung: chương kẻ xâm nhập tường lửa cho khóa luận Tài liệu nước ngồi William Stallings( 2005), Cryptography and network security principles and practices, Fourth edittion, Prentice Hall Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Cung cấp giải pháp đơn giản hoá AES (Advanced Encryption Standard) tính năng, thuật tốn, hoạt động mã hố, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hoá chứng thực, bao gồm phương pháp phòng tránh, mở rộng cập nhật phần mềm độc hại kẻ xâm hại Ở sách em có sử dụng tham khảo phần: 21.1 Types of malicious software (loại phần mềm độc hại), 21.3 Virus countermeasures ( phương pháp phòng chống virus) cho khóa luận Chuẩn ISO/IEC 27001: 2013 Cuốn sách ISO/IEC 27001:2013 có nêu yêu cầu hệ thống quản lý an tồn thơng tin Thời gian cần thiết, điều kiện để xây dựng hệ thống quản lý an tồn thơng tin có hiệu lực hiệu Ở sách em có sử dụng tham khảo phần: ISO/IEC 27001 (Information Security Management System – ISMS) tiêu chuẩn quy định yêu cầu việc xây dựng áp dụng hệ thống quản lý an tồn thơng tin nhằm đảm bảo tính bảo mật (confidentiality), tính nguyên vẹn (integrity) tính sẵn sàng (availability) tài sản thơng tin tổ chức 1.3 Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu đề tài hệ thống hoá số khái niệm an tồn bảo mật HTTT, thu thập thơng tin nghiên cứu phương pháp khác để xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật HTTT Công ty Cổ phần dịch vụ Tất Thành để đưa ưu, nhược điểm Để từ đưa số kiến nghị đề xuất, số giải pháp cho HTTT công ty giải pháp tốt chất lượng nhân sự, người, vấn đề an ninh mạng cho phù hợp nhằm nâng cao tính an tồn bảo mật HTTT Giúp cho công ty nhận diện nguy thách thức vấn đề an toàn bảo mật HTTT doanh nghiệp Từ đó, có giải pháp nâng cao tính an tồn bảo mật, ngăn chặn nguy công HTTT tương lai Các mục tiêu cụ thể cần giải đề tài, cần làm rõ sở lý luận an tồn bảo mật HTTT cơng ty Để từ đánh giá thực trạng an toàn bảo mật HTTT công ty đưa điểm mạnh, vấn đề hạn chế Trên sở lý luận thực trạng đề giải pháp đảm bảo an toàn bảo mật cho HTTT, thuận lợi khó khăn triển khai giải pháp Công ty cổ phần dịch vụ Tất Thành 1.4 Đối tượng phạm vi nghiên cứu 1.4.1 Đối tượng nghiên cứu Theo [1], đối tượng nghiên cứu: Là chất vật hay tượng cần xem xét làm rõ vấn đề nghiên cứu Là đề tài nghiên cứu khóa luận sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp khoảng thời gian ngắn Đối tượng nghiên cứu khóa luận: Các báo cáo, viết, sách, tạp chí liên quan đến đề tài an tồn bảo mật hệ thống thông tin doanh nghiệp Đối tượng nghiên cứu đề tài hệ thống thơng tin, phận đại diện công ty cổ phần dịch vụ Tất Thành 1.4.2 Phạm vi nghiên cứu Theo [1], phạm vi nghiên cứu đối tượng nghiên cứu khảo sát phạm vi định mặt thời gian, không gian lĩnh vực nghiên cứu Phạm vi thời gian: Đề tài phân tích hoạt động an toàn bảo mật HTTT doanh nghiệp Đề tài thực khoảng thời gian quy định làm khóa luận nhà trường ( 27/02/2017 – 30/04/2017) Phạm vi không gian: Nghiên cứu thực trạng hoạt động an tồn bảo mật HTTT quản lý Cơng ty cổ phần dịch vụ Tất Thành Phạm vi nội dung: Nội dung xoay quanh hoạt động an toàn bảo mật HTTT công ty để xác định ưu nhược điểm hoạt động Đồng thời phân tích thực trạng triển khai, thuận lợi, khó khăn, đánh giá hiệu có đề xuất cụ thể nằm nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty 1.5 Các phương pháp áp dụng thực đề tài Bài thực dựa hai phương pháp nghiên cứu là: Phương pháp điều tra để khảo sát vấn đề an toàn bảo mật HTTT công ty cổ phần dịch vụ Tất Thành nhằm phát lỗ hổng công ty công tác quản lý, sau phương pháp sử lý liệu sử dụng lý luận để xem xét lại thành hoạt động an toàn bảo mật thông tin khứ nghiên cứu để rút kết luận bổ ích cho thực tiễn khoa học 1.5.1 Phương pháp thu thập liệu Dữ liệu thu thập từ nhiều nguồn khác sau xử lý Nguồn liệu bên bao gồm: Các báo cáo kết hoạt động kinh doanh công ty gần Nguồn tài liệu bên ngồi bao gồm: Từ cơng trình nghiên cứu khoa học, giáo trình, tạp chí năm gần có nội dung liên quan đến đề tài a Phương pháp tìm kiếm thu thập liệu, tài liệu có liên quan Theo [1], phương pháp tìm kiếm thu thập liệu, tài liệu có liên quan phương pháp dựa nguồn thơng tin sơ cấp thứ cấp thu thập từ tài liệu nghiên cứu trước để xây dững sở luận để chứng minh giả thuyết Qua trình tìm hiểu đề tài, em xác định tài liệu cần thiết phục vụ cho đề tài Đối tượng phương pháp số liệu thống kê, trình độ nhân viên quan, thơng tin phần mềm đã, tiến hành triển khai sử dụng, sở vật chất Ngồi sách, viết báo liên quan đến đề tài em tìm kiếm mạng thư viện nhà trường Cách thức thu thập: Đến công ty xin số liệu thông tin liên quan đến đề tài Sử dụng internet, bảng tra cứu sách tham khảo thư viện để tìm kiếm b Phương pháp sử dụng phiếu điều tra Theo [1], phương pháp sử dụng phiếu điều tra phương pháp đơn giản, sử dụng bảng câu hỏi có sẵn khảo sát nhóm đối tượng để thu thập thông tin cần thiết Nội dung : Bảng câu hỏi xoay quanh vấn đề an tồn bảo mật cơng ty Những câu hỏi đặt để đánh giá thực trạng triển khai hoạt động đảm bảo an tồn bảo mật, từ đề xuất số giải pháp có tính khả thi hỗ trợ hoạt động an tồn bảo mật HTTT cơng ty Cách thức tiến hành: Bảng câu hỏi phát trực tiếp cho nhân viên nhân viên điền thông tin để thu thập ý kiến c Phương pháp vấn Theo [1], phương pháp vấn phương pháp thu thập thơng tin dựa sở q trình giao tiếp lời nói có tính đến mục đích đặt Trong vấn vấn nêu câu hỏi theo chương trình định sẵn dựa sở luật số lớn toán học Bảo vệ Zero-hour ngăn chặn bùng phát im lặng từ việc truy cập hệ thống trước chương trình an ninh khác, phát mối đe dọa Kiểm soát ứng dụng che chắn hệ điều hành bạn khởi động, trước hầu hết sản phẩm bảo mật chí tải Khởi động khởi đầu bảo vệ cho hệ điều hành chúng khởi động, trước sản phẩm bảo mật chí tải b Các lớp bổ sung Nhiều lớp bảo vệ tiên tiến cung cấp bảo mật vượt trội Các lọc chống thư rác giúp lọc email khó chịu nguy hiểm Bảo vệ máy tính khơng dây giúp bạn tránh khỏi hacker, kẻ trộm danh tính mối đe dọa trực tuyến khác kết nối với mạng mà khơng có bảo đảm Tự động An ninh Mạng Không dây phát mạng không dây tự động áp dụng thiết lập bảo vệ tường lửa an toàn DefenseNet ™ cung cấp cập nhật bảo mật thời gian thực, đồng thời đáp ứng nhanh chóng để phá vỡ mối đe dọa thúc đẩy liệu đe dọa từ hàng triệu người dùng - bảo vệ máy tính khỏi cơng 3.2.3 Giải pháp quản lý liệu Để việc quản lý thông tin liệu tốt hơn, chuyên nghiệp cơng ty phải đưa tồn liệu quản lý microsoft vào hệ thống quản trị liệu Có phương án triển khai : mua phần mềm quản lý liệu cho công ty Đưa thông tin liệu vào hệ quản trị sở liệu SQL Triển khai phần mềm cho doah nghiệp IMC.ERP: phần mềm phù hợp với doanh nghiệp có quy mơ vừa nhỏ Hỗ trợ doanh nghiệp việc quản lý vấn đề tài kế tốn, liệu cốt lõi quan trọng doanh nghiệp; giúp doanh nghiệp quản lý nhân với đầy đủ thơng tin nhân viên Ngồi IMC.ERP tích hợp module chuyên quản lý bán hàng, theo dõi báo giá, đơn hàng, tiến độ đồng thời giúp quản lý thông tin khách hàng Với ưu điểm nêu IMC.ERP hợp lý với cơng ty Tuy nhiên với chi phí cho việc triển khai phần mềm tốn phải thời gian để đào tạo nhân làm quen sử dụng phần mềm nhiều so với việc triển khai đưa thông tin liệu vào hệ quản trị sở liệu SQL 33 Việc triển khai đưa thông tin liệu vào hệ quản trị sở liệu SQL dễ thực vì: cơng ty có đội ngũ nhân viên cơng nghệ thơng tin có chun mơn hiểu biết SQL tốt Hiện công ty sử dụng SQL ( 2012) việc chuyển liệu từ microsoft sang SQL dễ dàng thuận tiện hơn, quản trị liệu đơn giản Đồng thời tiết kiệm chi phí cho doanh nghiệp Để việc lưu chuyển liệu thông tin thuận lợi phòng ban có liên quan cần phối hợp với phòng kỹ thuật để thực giải pháp 3.2.4 Giải pháp người Để đảm bảo an tồn hệ thống thơng tin, Cơng ty cổ phần dịch vụ Tất Thành phải có giải pháp thích hợp mà cần có người, để thực quy trình cần áp dụng tiêu chuẩn an toàn Sự kết hợp yếu tố để vận hành, quản trị nâng cấp hệ thống an toàn hơn, điều xuất phát từ sách bảo mật tổ chức doanh nghiệp a Ưu tiên cho quản trị Hiện công ty có số lượng nhân viên mảng IT lớn, chưa có nhân viên đào tạo hay chuyên quản lý phụ trách mảng an tồn HTTT cho doanh nghiệp Chính doanh nghiệp cần tuyển dụng đào tạo nâng cao trình độ chun mơn an tồn bảo mật HTTT cho nhân viên công ty Việc tuyển dụng nhân viên chuyên phụ trách mảng an toàn bảo mật chưa thật phù hợp với điều kiện công ty Bởi điều kiện nguồn vốn quy mơ doanh nghiệp dạng nhỏ nên việc tuyển dụng nhân viên khơng phù hợp Vì doanh nghiệp nên sử dụng giải pháp: đào tạo nâng cao trình độ cho một vài nhân viên IT để họ có trình độ cao hơn, quản lý tốt vấn đề an toàn bảo mật HTTT cho doanh nghiệp b Mở lớp đào tạo, tuyên truyền nâng cao ý thức cho nhân viên Việc bảo mật HTTT cho doanh nghiệp không xuất phát từ phía Khơng cần người quản trị giỏi giải vấn đề Vì doanh nghiệp quản lý thông tin liệu microsoft cần phải nâng cao ý thức, trách nhiệm nhân viên công ty vấn đề Trú trọng đến quy trình, huấn luyện, phân quyền truy cập Mở lớp đào tạo kỹ chuyên môn để nhân viên nhận thức rõ trách nhiệm nghĩa vụ vấn đề chung công ty Bộ phận ATTT công ty yêu cầu nhân viên phải nhập mật 34 có độ dài ký tự (bao gồm chữ số) phải có ký tự đặc biệt Dù hầu hết nhân viên không thoải mái phải làm điều này, họ thích để trống mật gõ đại địa nhà, ngày sinh vào, nhiên cách thức bảo mật cần thiết Nhân viên phận di chuyển công ty phải quét vân tay vào thiết bị kiểm tra đặt trước cửa ra/vào khu vực Điều giúp cho phận ATTT kiểm tra số lượt người ra/vào, phân quyền số khu vực hạn chế (VD: dành cho lãnh đạo) 3.3 Một số kiến nghị 3.3.1 Lựa chọn giải pháp Firewall phần cứng Firewall phần mềm để xây dựng Firewall cho Công ty cổ phần dịch vụ Tất Thành Lựa chọn giải pháp Firewall phần cứng Firewall phần mềm để xây dựng Firewall cho Công ty cổ phần dịch vụ Tất Thành Việc thiết lập Firewall cho hệ thống cần dựa vào yếu tố sau: ● Xác định tài nguyên cần bảo vệ Ví dụ như: Máy trạm Máy chủ Các thiết bị mạng: Bộ định tuyến (Router), Getway, Repeater… Các máy chủ đầu cuối Các chương trình phần mềm sử dụng Cáp mạng Thông tin lưu trữ tệp liệu ● Nghiên cứu vấn đề sau: Bảo vệ tài nguyên khỏi bị phá hoại Xác suất nguy đe doạ Mức độ quan trọng nguồn tài nguyên công ty Các biện pháp thực để bảo vệ liệu cơng ty với thời gian nhanh nhất, đỡ tốn Có phương án, sách kiểm tra an ninh mạng định kì ● Nhận dạng mối đe doạ công Truy nhập trái phép: Việc sử dụng tài nguyên công ty mà không cho phép trước bị coi truy cập trái phép 35 Nguy để lộ thông tin: Việc để lộ thông tin mối đe dọa Cần phải xác định rõ giá trị hay độ nhạy cảm thông tin, liệu lưu trữ máy Ở mức hệ thống việc để lọt mật truy nhập hệ thống tạo thuận lợi cho việc truy nhập trái phép tương lai Từ chối dịch vụ: Các mạng dùng để kết nối nguồn tài ngun có giá trị máy tính sở liệu cung cấp dịch vụ mà quan dựa vào Nếu dịch vụ không sẵn sàng dẫn đến ảnh hưởng công việc kinh doanh đơn vị Rất khó đốn trước hình thức từ chối dịch vụ, liệt kê số ví dụ từ chối dịch vụ: Hệ thống máy bị dừng gói tin kẻ phá hoại Mạng bị dừng bị tràn lưu lượng Các thiết bị bảo vệ mạng bị phá hỏng Các điểm truy nhập: Điểm truy nhập mà người sử dụng trái phép vào hệ thống Nếu ta có nhiều điểm truy nhập làm tăng nguy cho mạng Các hệ thống có cấu hình khơng đúng: Những kẻ đột nhập vào mạng chúng thường cố gắng phá hoại máy chủ mạng Các máy tính chủ đóng vai trò Server Telnet mục tiêu phổ biến Nếu máy tính chủ khơng cấu hình cách xác hệ thống dễ bị phá hoại Virus: Khi độ phức tạp phần mềm tăng lên độ phức tạp Virus hệ thống tăng Có lẽ khơng có phần mềm mà khơng bị nhiễm Virus Các Virus an toàn biết đến cách rộng rãi phương pháp phổ biến để truy nhập trái phép Nếu việc cài đặt hệ thống mở biết đến cách rộng rãi kẻ đột nhập dùng điểm yếu chương trình chạy chế độ ưu tiên để truy nhập hệ thống chế độ đặc quyền Các mối đe doạ từ bên ngoài: Những người thường truy nhập trực tiếp phần mềm máy tính mạng nhiều so với phần cứng Nếu người định phá hoại người tạo mối đe doạ đáng kể cho an toàn mạng Nếu người tiếp cận dễ dàng với hệ thống hệ thống dễ bị phá hoại Người phá hoại dễ dàng chạy giải mã giao thức nắm bắt phần mềm để phân tích lưu lượng giao thức Hầu hết ứng dụng TCP/IP (Telnet, FTP) có chế xác minh yếu mật chuyển dạng văn rõ nghĩa 36 An toàn vật lý: Nếu máy tính khơng an tồn mặt vật lý chế an tồn phần mềm dễ dàng bị bỏ qua Trong trường hợp máy trạm DOS, WINDOWS khơng có chế bảo vệ phần mềm Đối với hệ điều hành Unix người quản lý ổ đĩa vật lý dễ bị đánh tráo, để hệ thống chế độ đặc quyền máy trạm coi bị bỏ khơng Hay nói cách khác kẻ đột nhập tạm dừng máy tính lại đưa trở lại chế độ ưu đãi sau lấy chương trình Trojan-hores vào thực hành vi khác nhằm làm cho hệ thống trở nên rộng mở phục vụ vụ công tương lai 3.3.2 Cách cài đặt yêu cầu cấu hình Firewall cho Công ty cổ phần dịch vụ Tất Thành 3.3.2.1 Tìm hiểu phần mềm ISA Server 2006 Firewall Theo [8], Phần mềm tường lửa máy khách (Firewall client) phần mềm cài đặt hệ điều hành Windows nhằm cung cấp bảo mật khả truy cập nâng cao Trong số sản phẩm tường lửa (firewall) thị trường ISA Server 2006 Microsoft nhiều người sử dụng yêu thích khả bảo vệ hệ thống mạnh mẽ với chế quản lý linh hoạt ISA Server 2006 Firewall có hai phiên Standard Enterprise phục vụ cho môi trường khác ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ chia sẻ băng thơng cho cơng ty có quy mơ vừa nhỏ Với phiên xây dựng Firewall để kiểm soát luồng liệu vào hệ thống mạng nội công ty, kiểm sốt q trình truy cập người dùng theo giao thức, thời gian nội dung nhằm ngăn chặn việc kết nối vào trang web có nội dung khơng thích hợp • Cho phép kiểm định dựa nhóm người dùng người dùng riêng lẻ cho tất ứng dụng Winsock cách sử dụng giao thức TCP UDP • Cho phép người dùng thông tin ghi lại file ghi tường lửa ISA • Cung cấp hỗ trợ nâng cao ứng dụng mạng gồm giao thức phức hợp có u cầu đến kết nối thứ cấp • Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính • Cho phép bạn đưa máy chủ yêu cầu giao thức phức hợp mà không cần hỗ trợ lọc ứng dụng • Cơ sở hạ tầng định tuyến mạng suốt tường lửa máy khách 37 • Cho phép thẩm định dựa nhóm người dùng người dùng riêng biệt ứng dụng Winsock sử dụng giao thức TCP UDP Ngồi tính bảo mật thơng tin trên, ISA 2006 có hệ thống đệm (cache) giúp kết nối Internet nhanh thông tin trang web lưu sẵn RAM đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống Do mà sản phẩm Firewall có tên gọi Internet Security & Aceleration (bảo mật tăng tốc Internet) ISA Server 2006 Enterprise sử dụng mơ hình mạng lớn, đáp ứng u cầu truy xuất người dùng bên hệ thống 3.3.2.2 Yêu cầu cấu hình để cài đặt ISA Server ●Yêu cầu cài đặt: ISA 2006 phải cài đặt hệ thống phần cứng phần mềm sau: Phần cứng tối thiểu: CPU: 500MHz RAM: 256MB Hard Disk: phân vùng NTFS, >=150MB dung lượng trống Máy có card mạng Phần mềm: Windows 2000 server, SP4 Windows 2003 server Sau thiết lập đảm bảo đầy đủ thông tin cần thiết trên, tiến hành cài đặt ISA Server 2006 Standard máy tính dùng làm Firewall cho Cơng ty cổ phần dịch vụ Tất Thành 38 KẾT LUẬN Hiện nay, vấn đề an tồn bảo mật thơng tin vấn đề nhức nhối doanh nghiệp Càng ngày hình thức cơng vào hệ thống ngày tinh vi, đại, nguy hiểm có quy mơ lớn An tồn hệ thống ln bị đe dọa nguy công tiềm ẩn bên hệ thống Chỉ sai lầm nhỏ dẫn đến hậu khơn lường.Vì an tồn thơng tin đóng vai trò quan trọng cần quan tâm lớn từ phía cơng ty.Việc thường xun cập nhật cơng nghệ có sách đầu tư đắn dài vào an toàn bảo mật làm cho hệ thống trở nên an tồn vững từ hệ thống hoạt động tốt đẩy mạnh hiệu công việc Các âm mưu công luôn đe dọa, nguy hiểm táo bạo Công ty cổ phần dịch vụ Tất Thành nhận thức nguy hiểm hậu phải nhận bị cơng vào hệ thống Cơng ty có sách đầu tư vào an toàn bảo mật cho hệ thống Với dự án xây dựng tường lửa thời gian tới hy mọng mang lại độ an tồn cho hệ thống cơng ty Sau tháng tìm hiểu, nghiên cứu thực tập Công ty cổ phần dịch vụ Tất Thành, phương pháp sử dụng phiếu khảo sát, vấn trực tiếp xử lý kết phần mềm Excel, em tìm hiểu thực trạng ứng dụng cơng nghệ thơng tin an tồn bảo mật hệ thống thông tin kinh tế công ty, đưa tồn nguyên nhân tồn Và từ đó, đưa số mơ phần mềm tường lửa phù hợp với cơng ty nhằm nâng cao tính an tồn bảo mật cho thông tin, liệu lưu trữ cơng ty Q trình nghiên cứu giúp em ơn tập tổng hợp lại kiến thức an tồn bảo mật có kiến thức thực tế qua q trình thực tập Cơng ty cổ phần dịch vụ Tất Thành Mặc dù em có nhiều cố gắng điều kiện thời gian có hạn hạn chế kiến thức thân nên trình thực đề tài khơng tránh khỏi sai sót Do đó, em mong thầy nhận xét đóng góp ý kiến để khóa luận em hoàn thiện tốt 39 DANH MỤC TÀI LIỆU THAM KHẢO [1].Giáo trình Phương pháp nghiên cứu khoa học, Đại Học Thương Mại [2] Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống Kê [3] Nguyễn Khanh Văn (2012), Giáo trình sở an tồn thơng tin, NXB Bách Khoa Hà Nội [4] Nguyễn Việt Anh (2013), ‘Điện toán đám mây Việt Nam’, Thebusiness, truy cập ngày 08/03/2014, http://www.thebusiness.vn/cong-nghe/dien-toan-dam-maytai-viet-nam-p674.html [5] http://www.pcmag.com/article2/0,2817,1597146,00.asp [6] https://www.zonealarm.com/software/firewall/ [7].https://forums.comodo.com/news-announcements-feedback-cis/comodointernet-security-703154594132-released-t103246.0.html [8] https://quantrimang.com/tim-hieu-ve-isa-firewall-client-phan-1-37791 [9] Burns & Grove (1987) – giáo trình Phương pháp nghiên cứu khoa học, Đại Học Thương Mại PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT TÌNH HÌNH ỨNG DỤNG, BẢO MẬT HTTT TRONG CÔNG TY CỔ PHẦN DỊCH VỤ TẤT THÀNH Nhằm phục vụ cho việc làm báo cáo thực tập đề tài khóa luận, em tiến hành điều tra nhân viên cơng ty tính bảo mật HTTT Công ty cổ phần dịch vụ Tất Thành Em cam kết giữ bí mật thơng tin riêng công ty dùng thông tin cung cấp tạo phiếu điều tra cho mục đích khảo sát tổng hợp làm khóa luận Rất mong nhận hợp tác thành viên công ty Em xin chân thành cảm ơn! I.THÔNG TIN CHUNG VỀ DOANH NGHIỆP Tên doanh nghiệp: Công ty cổ phần dịch vụ Tất Thành Địa trụ sở chính: Phòng 2104, Tòa 24T2, đường Hồng Đạo Thúy, quận Cầu Giấy, Hà Nội Thông tin liên hệ người điền phiếu: Họ tên: Nam/Nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: Điện thoại: Email: Trình độ thân(học vấn): 4.Năm thành lập doanh nghiệp: Số lượng nhân viên: □ Dưới 30 người □ Từ 30-100 người □ Từ 100-300 người □ Trên 300 người Loại hình doanh nghiệp □ Công ty TNHH □ Công ty cổ phần □ Doanh nghiệp tư nhân □ Công ty hợp danh Tên website thương mại điện tử thức doanh nghiệp: Các sản phẩm dịch vụ mà doanh nghiệp phát triển website doanh nghiệp( chọn nhiều mục) □ Dữ liệu tiện ích □ Dịch vụ trực tuyến □ Thiết bị điện tử □ Thiết kế website □ Phần mềm □ Dịch vụ khác □ Khác(nêu cụ thể) Hiện doanh nghiệp sử dụng hệ thống thông tin từ năm nào? 10 Website doanh nghiệp bạn xây dựng cách nào? □ Tự xây dựng cơng cụ miễn phí □ Tự xây dựng chức yahoo, facebook, zing, □ Thuê doanh nghiệp nước chuyên thiết kế website □ Doanh nghiệp tự thiết kế xây dựng website □ Cách khác ( mô tả) 11 Từ lúc đưa vào khai thác đến doanh nghiệp có thay đổi website ( chọn nhiều mục) □ Nâng cấp số chức □ Thay đổi số biểu mẫu □ Thay đổi cách thức khai thác □ Thay đổi phương pháo quản trị □ Thay quản trị CSDL □ Không thay đổi □ Đang ngừng hoạt động □ Thay đổi hồn tồn website □ Lí khác( Mô tả) 12 Đánh giả khả quản trị CSDL doanh nghiệp bạn? □ Độ chuyên nghiệp thấp □ Độ chuyên nghiệp thấp □ Độ chuyên nghiệp cao □ Độ chuyên nghiệp cao □ Độ chuyên nghiệp cao 13.Kiến thức nhân viên bảo mật thông tin □ Dưới 10% □ Từ 50-80% □ Từ 10-30% □ Từ 80-100% □ Từ 30-50% II HỆ THỐNG THÔNG TIN DOANH NGHIỆP VÀ CÁC VẤN ĐỀ BẢO MẬT 1.Công việc kinh doanh doanh nghiệp thay đổi doanh nghiệp bạn có hệ thống quản trị thông tin hiệu hơn? □ Sẽ mở rộng quy mô □ T/Hiện thêm nhiều C/N website □ Thêm khả toán □ Tăng thêm số lượng mặt hàng □ Thêm dịch vụ hỗ trợ khách hàng □ Tiện dụng tốn □ Khác ( mơ tả) Theo bạn phần mềm diệt virus doanh nghiệp bạn hoạt động hiệu hay chưa? □ Rất hiệu □ Hiệu □ Trung bình, xảy tượng công, nhiễm virus □ Kém thường xun cơng Hiện doanh nghiệp bạn có bảo mật thông tin đối tượng kinh doanh( chọn nhiều đối tượng) □ Bảo mật CSDL phần mềm, website □ Bảo mật CSDL hóa đơn, hợp đồng □ CSDL đại lý DN □ CSDL thơng tin khách hàng □ CSDL phòng ban □ CSDL lương nhân viên □ CSDL danh mục khuyến □ CSDL danh mục quảng cáo □ CSDL nhân viên Khác ( mô tả) Đánh giá khả quản trị bảo mật thông tin doanh nghiệp bạn? □ Độ chuyên nghiệp cao □ Độ chuyên nghiệp cao □ Độ chuyên nghiệp cao □ Độ chuyên nghiệp thấp □ Độ chuyên nghiệp thấp Bạn có nghĩ doanh nghiệp bạn chưa khai thác hết hiệu bảo mật thông tin doanh nghiệp kinh doanh? □ Luôn □ Thỉnh thoảng □ Thỉnh thoảng khơng quan tâm □ Khi DN khơng có lợi nhuận □ Khi chậm trả lương nhân viên □ HIếm nghĩ đến □ Khác Bạn đánh giá mức độ bảo mật, tiếp cận thông tin, tài liệu doanh nghiệp bạn ? □ Rất dễ □ Có thể □ Tương đối dễ □ Khó □ Khơng thể Để tiếp cận sử dụng thông tin doanh nghiệp bạn, theo bạn phải có trình độ kỹ công nghệ thông tin hay không? □ Không cần thiết □ Cần thiết □ Đôi cần thiết □ Rất cần thiết □ Khá cần thiết 10.Bạn đánh giá vai trò bảo mật thơng tin doanh nghiệp quảng bá thông tin doanh nghiệp website bảo mật thông tin khách hàng? □ Rất quan trọng □ Đôi quan trọng □ Quan trọng □ Không quan trọng □ Không cần 11 Bạn cho điểm đánh giá trang web,các phần mềm quản lý bảo mật thông tin làm việc doanh nghiệp ( thang 1-10, 10: tốt, tốt đầy đủ chức năng, nghèo nàn đơn điệu) điểm 12.Theo bạn chất lượng tự quản trị bảo mật thông tin doanh nghiệp nhân viên doanh nghiệp bạn là? □ Rất tốt □ Tốt □ Bình thường □ Khơng tốt □ Kém 13 Khi doanh nghiệp bị đánh cắp thông tin doanh nghiệp khách hàng, ảnh hưởng đến việc kinh doanh uy tín doanh nghiệp bạn nào? □ Ảnh hưởng nghiêm trọng □ Không đáng kể □ Ảnh hưởng xấu đến uy tín làm rối loạn việc kinh doanh □ hồn tồn khơng ảnh hưởng □ Ý kiến riêng 14 Nguyên nhân chủ yếu dẫn đến việc bị đánh cắp thông tin doanh nghiệp □ Các hệ thống bảo mật lỏng lẻo, chưa liên kết chặt chẽ với □ Do doanh nghiệp không để ý quan tâm nhiều đến vấn đề bảo mật □ Trình độ nhân viên chưa đáp ứng nhu cầu quản trị bảo mật □ Không tin tưởng nhân viên □ Lý khác 15 : Theo bạn phần mềm bảo mật doanh nghiệp có thực hiệu quả, an toàn hay chưa? □ Kém □ An tồn □ Trung bình □ Rất an tồn □ Khá an toàn 16 Mức độ quan trọng việc ứng dụng CNTT, HTTT vào công việc quản lý liệu việc kinh doanh doanh nghiệp? □ Dưới 10% □ Từ 50-80% □ Từ 10-30% □ Từ 80-100% □ Từ 30-50% III.PHẦN CỨNG 1.Hiên doanh nghiệp bạn sử dụng máy tính hay thiết bị phục vụ cho việc kinh doanh phát triển? □ Máy tính để bàn □ Laptop □ Ipad □ Smartphone □ Khác 2.Mức độ trang thiết bị, máy tính có hoạt động tốt hiệu hay khơng? □ Rất tốt □ Trung bình □ Tốt □ Rất □ Ổn định Số lần hệ thống máy tính cơng ty bị nhiễm virus qua năm? Năm 2014 2015 2016 Số lần bị nhiễm virus/năm Doanh nghiệp có máy chủ Doanh nghiệp có máy desktop IV.PHẦN MỀM Hiện doanh nghiệp bạn có sử dụng chương trình bảo mật cho CSDL thông tin doanh nghiệp?( chọn nhiều mục) □ Diệt virus □ Tường lửa □ Phân quyền người sử dụng □ Phần mềm bảo vệ □ Sử dụng thiết bị vật lý □ Mã hóa hệ mã hóa riêng □ Sử dụng chữ kí điện tử □ Khác ( mơ tả) Doanh nghiệp bạn sử dụng hệ quản trị CSDL nào? ( chọn nhiều mục) □ Microsoft access □ SQL server □ My SQL □ Foxpro □ Oracle □ PostgreSQL □ Informix □ DB2 □ Khác ( mô tả) Các phần mềm doanh nghiệp sử dụng có quyền hay khơng □ Hoàn toàn quyền □ Một số phần mềm không sử dụng quyền : Word, excel □ Hồn tồn khơng quyền Các phần mềm đưa vào sử dụng, cài đặt có đảm bảo an tồn, kiểm tra kỹ hay khơng? □ Khơng qua kiểm tra □ Ít kiểm tra □ Ln ln kiểm tra Đánh giá mức độ an tồn bảo mật thông tin doanh nghiệp? □ Rất □ Tốt □ Khơng tốt □ Rất tốt □ Bình thường Chất lượng mạng nội bộ, internet có tốt hay khơng? □ Kém □ Tốt □ Trung bình □ Rất tốt □ Ổn định Số lần HTTT bị hacker công qua năm Năm Số lần 2014 2015 2016 Mức độ an toàn phương pháp quản lý liệu □ Rất hiệu □ Hiệu □ Trung bình, xảy rò rỉ thơng tin doanh nghiệp □ Kém thường xuyên bị thông tin HẾT ... HTTT Công ty cổ phần dịch vụ Tất Thành Tại Công ty cổ phần dịch vụ Tất Thành vấn đề bảo mật có nhiều yếu điểm cần khắc phục, thời đại công nghệ thơng tin phát triển mạnh việc bảo mật HTTT cho. .. biện pháp nhằm nâng cao tính bảo mật an tồn thơng tin, liệu Xuất phát từ cần thiết đó, em định lựa chọn đề tài: Một số giải pháp bảo mật hệ thống thông tin cho Công ty cổ phần dịch vụ Tất Thành ... trạng an tồn bảo mật HTTT Cơng ty cổ phần dịch vụ Tất Thành qua số liệu thu thập 2.2.4.1 Đánh giá chung Hệ thống thông tin, hệ thống mạng Công ty cổ phần dịch vụ Tất Thành gồm 32 máy tính để bàn