Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến thứcem được học trên trường và sự lựa chọn của bản thân, em xin đưa ra đề tài trong bài khóa luận tốt nghiệp:
Trang 1LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được
sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Đỗ Thị Thu Hiền, cùng sự giúp
đỡ của Ban giám đốc và toàn thể nhân viên công ty cổ phần vật liệu xây dựng vàphòng cháy chữa cháy Vinaconex 2
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới Th.S Đỗ Thị Thu Hiền – Giáoviên hướng dẫn, người đã tận tình giúp đỡ em rất nhiều trong suốt quá trình làm khóaluận Đồng thời, em xin gửi lời cảm ơn tới các thầy cô trong nhà trường và các thầy côkhoa Hệ thống thông tin kinh tế và Thương mại điện tử trường Đại học Thương Mại
đã truyền thụ cho em những kiến thức quý báu trong suốt quá trình học tập để em có
đủ kiến thức hoàn thành tốt bài khóa luận này
Em cũng xin được gửi lời cảm ơn chân thành tới Ban giám đốc cũng như cácanh/chị làm việc tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháyVinaconex 2 vì sự quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thuthập tài liệu
Do thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bảnthân em còn hạn chế Vì vậy, khóa luận chắc chắn sẽ gặp phải nhiều sai sót Em kínhmong các thầy cô giáo trong khoa Hệ thống thông tin kinh tế và Thương mại điện tử,các anh/chị nhân viên trong công ty cổ phần vật liệu xây dựng và phòng cháy chữacháy Vinaconex 2 góp ý, chỉ bảo để khóa luận hoàn thiện hơn
Em xin chân thành cảm ơn!
Hà Nội, ngày 24 tháng 04 năm 2017
Sinh viên thực hiệnNguyễn Thị Văn
i
Trang 2MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
DANH MỤC BẢNG BIỂU iv
DANH MỤC TỪ VIẾT TẮT v
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN 1
1.1 Lí do lựa chọn đề tài 1
1.2 Tổng quan tình hình nghiên cứu 2
1.2.1 Tình hình nghiên cứu ngoài nước 2
1.2.2 Tình hình nghiên cứu trong nước 2
1.3 Mục tiêu nghiên cứu 3
1.4 Đối tượng và phạm vi nghiên cứu 3
1.5 Phương pháp nghiên cứu 4
1.5.1 Phương pháp thu thập dữ liệu 4
1.5.2 Phương pháp xử lí dữ liệu 4
1.5.3 Phương pháp nghiên cứu 4
1.6 Kết cấu khóa luận tốt nghiệp 4
CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA AN TOÀN HỆ THỐNG THÔNG TIN, NÂNG CAO TÍNH BẢO MẬT TẠI CÔNG TY CỔ PHẦN VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA CHÁY VINACONEX 2 6
2.1 Cơ sở lý luận về an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 6
2.1.1 Một số khái niệm cơ bản về an toàn bảo mật hệ thống thông tin 6
2.1.2 Cơ sở lý luận về đảm bảo an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 7
2.1.3 Các nguy cơ và hình thức tấn công trong hệ thống thông tin doanh nghiệp hiện nay 10
2.1.4 Vai trò của an toàn hệ thống thông tin, nâng cao tính bảo mật trong doanh nghiệp 17
2.1.5 Phân định nội dung nghiên cứu đề tài khóa luận 17
ii
Trang 32.2 Phân tích, đánh giá thực trạng của an toàn hệ thống thông tin, nâng cao tính bảo
mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 18
2.2.1 Tổng quan về công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vianconex 2 18
2.2.2 Phân tích thực trạng của an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 21
2.2.3 Đánh giá thực trạng về an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 30
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN TRONG HỆ THỐNG THÔNG TIN TẠI CÔNG TY CP VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA CHÁY VINACONEX 2 32
3.1 Định hướng phát triền an toàn cho HTTT của công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 32
3.1.1 Giải pháp phần cứng 32
3.1.2 Giải pháp phần mềm 32
3.1.3 Dữ liệu 32
3.1.4 Mạng 32
3.1.5 Con người 32
3.2 Đề xuất giải pháp nâng cao hiệu quả an toàn hệ thống thông tin 33
3.2.1 Giải pháp phần cứng 33
3.2.2 Đề xuất giải pháp phần mềm 36
3.2.3 Dữ liệu 39
3.2.4 Con người 43
3.2.5 Mạng 45
3.3 Một số kiến nghị 47
3.3.1 Kiến nghị với cơ quan nhà nước 47
3.3.2 Kiến nghị với công ty CP vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 48
KẾT LUẬN
DANH MỤC TÀI LIỆU THAM KHẢO
PHỤ LỤC
iii
Trang 4DANH MỤC BẢNG BIỂU
Biểu đồ 2.1 Các hình thức tấn công vào HTTT doanh nghiệp 11
Hình 2.1 Mô hình điện toán đám mây 13
Hình 2.2 Các tầng của đám mây 14
Hình 2.3 Tường lửa làm nhiệm vụ bảo vệ 15
Hình 2.4 Tường lửa mềm 16
Hình 2.5 Tường lửa cứng 16
Hình 2.6 Sơ đồ cơ cấu tổ chức công ty 19
Bảng 2.1 Bảng kết quả hoạt động kinh doanh của công ty (Đơn vị: VNĐ) 20
Biểu đồ 2.2 Chất lượng các thiết bị phần cứng 21
Biểu đồ 2.3: Các giải pháp bảo mật hệ thống thông tin trên phần cứng 22
Biểu đồ 2.4: Các thiết bị bảo mật bằng máy tính 22
Biểu đồ 2.5: Mức độ hài lòng của nhân viên trong công ty đối với các phần mềm ứng dụng 23
Biểu đồ 2.6 Cách thức đảm bảo ATTT được sử dụng 24
Biểu đồ 2.7: Tốc độ truy cập mạng của công ty 25
Biểu đồ 2.8: Cách thức lưu trữ CSDL được sử dụng trong công ty 26
Biểu đồ 2.9: Cách thức bảo vệ CSDL được sử dụng trong công ty 26
Biều đồ 2.10: Tần suất sao lưu CSDL của công ty 27
Biểu đồ 2.11: Ngân sách mà công ty dự định sẽ đầu tư cho công tác bảo mật thông tin và CSDL 27
Biểu đồ 2.12: Trình độ về CNTT của nhân viên trong công ty 28
Biểu đồ 2.13: Các hình thức đào tạo CNTT cho nhân viên 29
Biều đồ 2.14: Nhận thức về tầm quan trọng của an toàn hệ thống thông tin 29
Biểu đồ 2.15 Các hình thức giao dịch chủ yếu của công ty 30
Bảng 3.1: Thông số kỹ thuật giữa máy chủ hiện tại và máy chủ đề xuất 33
Bảng 3.2: So sánh BKAV và Kaspersky® Small Office Security 2013 39
iv
Trang 5DANH MỤC TỪ VIẾT TẮT
v
Trang 6CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG
THÔNG TIN
1.1 Lí do lựa chọn đề tài
Vấn đề đảm bảo bảo an toàn cho các HTTT là một trong những vấn đề quantrọng được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡngHTTT
Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ
và xử lý thông tin, đặc biệt là khi thông tin đc xem như một phần của tư liệu sản xuất,thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết Bảo vệ thông tin là bảo vệtính bí mật và tính toàn vẹn của thông tin Hơn nữa, thông tin không phải luôn đượccon người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông tin.Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó sẽ bị mất đi, bị sai lệchtoàn bộ hay một phần Khi đó tính toàn vẹn của thông tin không còn được đảm bảo.Khi máy tính được sử dụng để xử lý thông tin, hiệu quả xử lý thông tin được nâng caolên, khối lượng thông tin được xử lý ngày càng lớn, kéo theo nó là tầm quan trọng củathông tin trong đời sống xã hội ngày càng tăng Nếu như trước đây, việc bảo vệ thôngtin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lý để bảo vệ thông tintheo đúng nghĩa đen, thì càng về sau, vấn đề bảo vệ thông tin đã trở nên đa dạng vàphức tạp hơn Đối với công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháyVinaconex 2 cũng vậy, theo tìm hiểu thì em biết được công ty đã từng xảy ra vấn đềmất an toàn thông tin dù đã khắc phục được rồi nhưng không đảm bảo rừng trongtương lai sẽ không xảy ra vấn đề này nữa
Trong đề tài này, với mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơntrong vấn đề đảm bảo an toàn bảo mật thông tin Em sẽ tập trung nghiên cứu cơ sở lýluận về lý thuyết an toàn bảo mật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánhgiá thực trạng vấn đề bảo mật của công ty Từ đó, bài khóa luận sẽ đưa ra một số giảipháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng của vấn đề tại công ty cổphần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 Quá trình nghiên cứucũng góp phần nâng cao nhận thức của nhân viên trong công ty về vấn đề an toàn vàbảo mật thông tin, trau dồi thêm những thông tin cần thiết cho nhân viên phục vụ chocông việc vận hành và quản lý vấn đề an toàn thông tin hằng ngày
Trang 7Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến thức
em được học trên trường và sự lựa chọn của bản thân, em xin đưa ra đề tài trong bài khóa
luận tốt nghiệp: “Một số giải pháp đảm bảo an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2”.
1.2 Tổng quan tình hình nghiên cứu
1.2.1 Tình hình nghiên cứu ngoài nước
Bài báo “Computer security” của tác giả Dieter Gollmann giới thiệu ngắn
gọn về an ninh mạng, an ninh máy tính Từ đó đưa ra các cơ chế thực thi khác nhauvào bối cảnh với các chính sách và kiến trúc CNTT quy định việc truy cập vào các tàinguyên được bảo vệ Bài báo sẽ đưa ra kết luận với nhận xét về việc đánh giá an ninh
Bài báo “A cryptographic checksum for Integrity protection” của tác giả
Frederick B.Cohen mô tả một kỹ thuật mật mã để xác minh tính toàn vẹn của thông tintrong các hệ thống máy tính Kỹ thuật này được dựa trên việc sử dụng mã hóa RSA hệmật lặp đi lặp lại
1.2.2 Tình hình nghiên cứu trong nước
Luận văn “Thiết kế tường lửa” của thạc sĩ Vũ Anh Tuấn khoa CNTT trường
đại học Thái Nguyên năm 2012 đã đưa ra phương pháp xây dựng tường lửa và đề xuấtnhiều tiện ích mới mà tường lửa đem lại, đề xuất một số quy trình xây dựng tường lửasao cho có hiệu quả nhất, đưa ra những hạn chế mà tường lửa không làm được Tuynhiên, báo cáo cũng chỉ dừng lại ở việc chỉ ra những hạn chế của tường lửa mà chưa
đề xuất được giải pháp nào để khắc phục vấn đề này
Đồ án “An ninh mạng và lỹ thuật tấn công mạng” của sinh viên Phạm Minh
Tuấn – Khoaquốc tế và đào tạo sau đại học trường Học viện bưu chính viễn thông đã
Trang 8chỉ ra được rất nhiều kiểu tấn công qua mạng và cách khắc phục Đồ án đã đi sâunghiên cứu về các lỗ hổng thường gặp trong bảo mật mạng và đã được nhiều giảngviên trong khoa đánh giá là một công trình nghiên cứu rất hay về vấn đề an ninh mạng,
có thể lấy làm tài liệu tham khảo cho những thế hệ sau
Đề tài nghiên cứu khoa học “Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và
nghiên cứu công nghệ IDS cứng và mềm
1.3 Mục tiêu nghiên cứu
Các mục tiêu cần giải quyết trong đề tài:
- Tập hợp và hệ thống hóa một số lý thuyết cơ bản về đảm bảo an toàn choHTTT bao gồm đảm bảo an toàn cho: phần cứng, phần mềm, CSDL, mạng và conngười
- Đánh giá phân tích thực trạng vấn đề đảm bảo an toàn cho HTTT của công ty
cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 để đưa ra những ưu,nhược điểm
- Từ thực trạng đã phân tích để đề xuất những giải pháp tối ưu, hiệu quả nhất đểđảm bảo an toàn cho HTTT của công ty cổ phần vật liệu xây dựng và phòng cháy chữacháy Vinaconex 2
1.4 Đối tượng và phạm vi nghiên cứu
- Về thời gian: Các hoạt động an toàn bảo mật hệ thống thông tin của công tythông qua các báo cáo tài chính kinh doanh, số liệu khảo sát từ năm 2014 đến năm
2016, đồng thời trình bày các nhóm giải pháp, định hướng phát triển trong tương laicủa công ty
Trang 101.5 Phương pháp nghiên cứu
1.5.1 Phương pháp thu thập dữ liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phươngpháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứađựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài
- Sử dụng phiếu điều tra: Xây dựng các phiếu điều tra từ đối tượng là nhân viên công ty về những nội dung phục vụ cho bài nghiên cứu
- Tìm hiểu các thông thông qua internet, qua các tài liệu sách báo liên quan đến
an toàn bảo mật hệ thống thông tin
- Phỏng vấn ban giám đốc và bộ phận kỹ thuật của công ty: Lập ra danh mục các câu hỏi và khảo sát ý kiến của mọi người để phục vụ cho việc đánh giá trình độ nguồn nhân lực trong quá trình nghiên cứu
- Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của đề tài để tham khảo và đưa
ra định hướng, giải quyết tốt mục tiêu đề ra
1.5.2 Phương pháp xử lí dữ liệu
Từ những dữ liệu thu thập được, sau khi tiền hành phỏng vấn và thu thập tài liệu
sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục đích nghiên cứu của đề tài
1.5.3 Phương pháp nghiên cứu
- Phương pháp nghiên cứu định tính: Quan sát, phỏng vấn các nhân viên của công ty, nắm bắt một cách chủ quan tình hình an toàn bảo mật thông tin trên mọi mặt của doanh nghiệp Từ đó, có thể phân tích và tổng hợp thông tin đã có
- Phương pháp nghiên cứu định lượng: Lập phiếu điều tra, sau đó tổng hợp lại, từ
đó đưa ra được cái nhìn chính xác hơn về tình hình của công ty
1.6 Kết cấu khóa luận tốt nghiệp
Khóa luận gồm 3 chương:
Chương 1: Tổng quan về vấn đề an toàn bảo mật hệ thống thông tin
Chương 2: Cơ sở lý luận và phân tích, đánh giá thực trạng của an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2
Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả an toàn thông
Trang 11tin, dữ liệu tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
Trang 12CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA AN TOÀN HỆ THỐNG THÔNG TIN, NÂNG CAO TÍNH BẢO MẬT TẠI CÔNG TY CỔ PHẦN VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA
CHÁY VINACONEX 2
2.1 Cơ sở lý luận về an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.1.1 Một số khái niệm cơ bản về an toàn bảo mật hệ thống thông tin
Mạng máy tính là một tập hợp các máy tính được kết nối với nhau bởi đườngtruyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lạivới nhau (Theo [3])
Mạng máy tính có hai đặc trưng cơ bản: Đường truyền và cấu trúc Đường truyền
là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để chuyển các tín hiệuđiện tử từ máy tính này đến máy tính khác Các tín hiệu điện tử đó biểu thị các giá trị
dữ liệu dưới dạng các xung nhị phân Tất cả các tín hiệu được truyền giữa các máytính đều thuộc một dạng sóng điện từ Tùy theo tần số của sóng điện từ có thể dùngcác đường truyền vật lý khác nhau để truyền các tín hiệu Các đường truyền dữ liệu tạonên cấu trúc của mạng
Dữ liệu là những con số, ký tự hay hình ảnh phản ánh về sự vật hay hiện tượngtrong thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sửdụng (Theo [2])
Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phântích, tổng hợp, ), phù hợp với mục đích của người sử dụng Có thể nói cách khác,thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người
sử dụng (Theo [2])
Hệ thống thông tin là một tập hợp và sự kết hợp của các phần cứng, phần mềm
và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức (Theo [3])
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh
Trang 13Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hànghơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
Website là một tập hợp các trang web bao gồm văn bản, hình ảnh, video, flash, thường chỉ nằm trong một tên miền hoặc tên miền phụ Trang web được lưu trữ trênmáy chủ web có thể truy cập thông qua Internet (Theo [4])
Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng Internet –nơi giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cungcấp, Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giaodịch với khách hàng, đối tác trên Internet
An toàn hệ thống thông tin: thông tin được coi là an toàn khi thông tin đókhông bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi ngườikhông được phép (Theo [1])
Bảo mật thông tin: là ngăn chặn các truy cập không được phép, hạn chế tối đacác sai sót của người dùng, đảm bảo các thông tin không bị mất hoặc bị thay đổi ngoài
ý muốn, không tiết lộ nội dung dữ liệu, chương trình xử lý (Theo [3])
2.1.2 Cơ sở lý luận về đảm bảo an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.1.2.1 Các đặc trưng của một hệ thống thông tin bảo mật.
Một HTTT bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảmbảo được 3 đặc trưng sau:
(1) Tính bí mật của thông tin
(2) Tính toàn vẹn của thông tin
(3) Tính khả dụng của thông tin
Ba đặc trưng này liên kết lại và được xem như là mô hình tiêu chuẩn của các hệthống thông tin bảo mật Mô hình này được sử dụng rộng rãi trong nhiều ngữ cảnh vànhiều tài liệu khác nhau và được gọi tắt là mô hình CIA
(1) Tính bí mật, một số loại thông tin có giá trị đối với một đối tượng xác định
khi chúng không phổ biến cho đối tượng khác Tính bí mật của thông tin là tính giớihạn về đối tượng được quyền truy xuất thông tin Đối tượng truy xuất có thể là conngười, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, spywware,worn, Thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép (Theo[3])
Trang 14Tùy theo tính chất của thông tin mà mức độ bí mật của chúng sẽ khác nhau Đểđảm bảo tính bí mật của thông tin, ngoài các phương tiện vật lý như nhà xưởng, thiết
bị lưu trữ, dịch vụ bảo vệ thì công cụ bảo vệ trong phần mềm được xem là công cụ bảo
vệ thông tin hữu hiệu nhất trong môi trường máy tính
Sự bí mật của thông tin phải xem xét ở hai yếu tố là sự tồn tại của thông tin vànội dung của thông tin đó Đôi khi, sự tồn tại của thông tin có ý nghĩa cao hơn
(2) Tính toàn vẹn của thông tin: Thông tin chỉ được xóa hoặc sửa bởi những đối
tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữhay truyền đi (Theo [3])
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi
dữ liệu và ai là người không được phép thay đổi dữ liệu Dữ liệu trên thực tế có thể viphạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết
Một số trường hợp tính toàn vẹn của thông tin bị phá vỡ:
Thay đổi giao diện trang chủ của một website
Chặn đứng và thay đổi gói tin được gửi qua mạng
Chỉnh sửa trái phép các file được lưu trữ trên máy tính
Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đếnthông tin bị sai lệch
Tính toàn vẹn được xét trên 2 khía cạnh: Tính nguyên vẹn của nội dung thông tin
và tính xác thực của nguồn gốc thông tin Sự toàn vẹn về nguồn gốc thông tin trongmột số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo không thể chối cãi của hệthống thông tin Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành hailoại: cơ chế ngăn chặn và cơ chế phát hiện Cơ chế ngăn chặn có chức năng ngăn cảncác hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin Các cơ chếphát hiện chỉ thực hiện chức năng giám sát và thông báo khi có các thay đổi diễn ratrên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ thống
Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộhay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác của thôngtin và cả mức độ tin cậy của thông tin Các yếu tố như nguồn gốc thông tin, cách thứcbảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định
độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin Vì vậy,việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức tạp
Trang 15(3) Tính khả dụng của thông tin: là tính sẵn sàng của thông tin cho các nhu cầu
truy xuất hợp lệ Nghĩa là thông tin được truy xuất bởi những người được phép vào bất
cứ khi nào họ muốn (Theo [3])
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thốngtồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệthống thông tin nào Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệuquả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra Tính khả dụng được xem
là nền tảng của một hệ thống bảo mật Khi hệ thống không sẵn sàng thì việc đảm bảohai đặc trưng còn lại (tính bí mật và tính toàn vẹn) sẽ trở nên vô nghĩa
Hiện nay, các hình thức tấn công từ chối dịch vụ DOS và DDOS được đánh giá
là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra nhữngthiệt hại lớn và đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu Các hình thức tấncông này đều nhằm vào tính khả dụng của hệ thống
Hiểu rõ 3 mục tiêu của bảo mật là bước căn bản đầu tiên trong quá trình xây dựngmột hệ thống thông tin an toàn nhất có thể Tuy nhiên hiện nay, một số nghiên cứu đanghướng tới và đưa ra các mô hình mới cho việc mô tả các hệ thống an toàn Theo đó, môhình CIA không mô tả được đầy đủ các yêu cầu an toàn của hệ thống mà cần phải địnhnghĩa lại một mô hình khác với các đặc tính của thông tin cần được đảm bảo như: tính khảdụng, tính tiện ích, tính toàn vẹn, tính xác thực, tính bảo mật và tính sở hữu
2.1.2.2 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật hệ thống thông tin trong doanh nghiệp.
Một hệ thống thông tin hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ
cả môi trường bên trong và môi trường bên ngoài, môi trường vi mô và môi trường vĩ
mô Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo antoàn và bảo mật hệ thống thông tin trong doanh nghiệp đó là:
- Yếu tố con người
- Yếu tố công nghệ
Về yếu tố con người: con người luôn là trung tâm của tất cả các hệ thống bảomật, bởi vì tất cả các cơ chế, các kỹ thuật được áp dụng để đảm bảo an toàn hệ thốngđều có thể dễ dàng bị vô hiệu hóa bởi con người trong chính hệ thống đó
Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọichung là những người xâm nhập Tuy nhiên, những người bên trong hệ thống, nhữngngười có điều kiện tiếp cận với hệ thống lại là những người có khả năng tấn công hệ
Trang 16thống cao nhất Đó có thể là một nhân viên đang bất mãn và muốn phá hoại, hoặc chỉ
là một người thích khám phá và chứng tỏ mình Các tấn công gây ra bởi các đối tượngnày thường khó phát hiện và gây thiệt hại nhiều hơn so với các tấn công từ bên ngoài
Những người không được đào tạo về an toàn hệ thống cũng là nơi tiềm ẩn cácnguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra antoàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư mục
an toàn, ghi mật khẩu lên bàn làm việc,
Về yếu tố công nghệ, công nghệ là yếu tố tạo nên nền móng cho các hoạt
động sản xuất kinh doanh của doanh nghiệp Công nghệ thông tin đang có khuynhhướng mở ra không gian rộng rãi hơn cho các doanh nghiệp Vì thế ứng dụng côngnghệ thông tin đang tạo ra những cơ hội mới với những nguyên tắc mới Công nghệthông tin như một thách thức, đồng thời cũng là công nghệ quan trọng phổ biến nhấtgiúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập vào nền kinh tế toàn cầu
Yếu tố công nghệ bao gồm những sản phẩm như Firewall, phần mềm phòngchống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng nhưtrình duyệt Internet và phần mềm nhận Email từ máy trạm
2.1.3 Các nguy cơ và hình thức tấn công trong hệ thống thông tin doanh nghiệp hiện nay
2.1.3.1 Các nguy cơ mất an toàn thông tin trong hệ thống thông tin hiện nay
Về nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từcác hiện tượng khách quan như thiên tai ( lũ lụt, song thần, động đất,…) hỏng vật lý,mất điện,… Đây là những nguyên nhân khách quan, khó dựđoán trước, khó tránh đượcnhưng đó lại không phải là nguy cơ chính gây ra việc mất ATTT
Về nguy cơ có chủ đích: Nguy cơ mất ATTT có chủ đích thường là xuất phát
từ con người Các hacker điều khiển với mục đích đánh cắp thông tin có sẵn của hệthống Đây là nguy cơ chính và quan trọng gây ra việc hệ thống của các công ty, doanhnghiệp bị tấn công, mất an toàn thông tin và ảnh hưởng rất lớn đến hoạt động của tổchức
Hai hình thức tấn công vào hệ thống thông tin phổ biến hiện nay là tấn công từchối dịch vụ DDOS/DOS và sử dụng virus tấn công thông qua lỗ hổng bảo mật Tấncông từ chối dịch vụ DDOS/DOS là dạng tấn công nhằm ngăn chặn người dùng hợppháp truy cập vào các tài nguyên mạng Nó là mối đe dọa thường trực đối với hệ thống
Trang 17và máy chủ của các tổ chức bởi nó rất khó phát hiện và khó phòng chống hiệu quả do
số lượng các host bị điều khiển tham gia tấn công thường rất lớn và nằm rải rác ởnhiều nơi Tấn công từ chối dịch gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đườngtruyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, nguyhiểm hơn là có thể khiến cả hệ thống ngừng hoạt động Virus máy tính là một chươngtrình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đốitượng lây nhiễm khác Virus máy tính do con người tạo ra nên chúng hoạt động và pháhoại theo những gì mà chủ nhân của nó nhắm tới Virus có thể tàn phá nặng nề dữ liệu,
ổ đĩa và hệ thống Và nguy hiểm hơn là chúng có thể ăn cắp các thông tin như mậtkhẩu, hòm thư, thông tin thẻ tín dụng hay các thông tin quan trọng khác để phục vụnhu cầu của con người
Ngoài hai hình thức tấn công phổ biến trên, hệ thống thông tin trong doanhnghiệp còn bị tấn công theo kiểu tấn công deface website, DNS attack và một số hìnhthức tấn công khác
28
19 11
13 4
25
Các hình thức tấn công vào HTTT doanh nghiệp hiện nay
DDOS Disperse Virus Deface Website Phishing DNS attack Other
Biểu đồ 2.1 Các hình thức tấn công vào HTTT doanh nghiệp hiện nay
(Nguồn: Bộ thông tin và truyền thông – VNCERT năm 2013)
Cùng với sự phát triển của xã hội và sự bùng nổ công nghệ thông tin thì nguy
cơ mất an toàn hệ thống thông tin cũng ngày càng gia tăng Nguy cơ mất an toàn hệthống thông tin ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 5 trong tổng số
10 nước có nguy cơ mất an toàn hệ thống thông tin cao nhất trong năm 2013 dựa trêncác báo cáo tổng hợp về an ninh hệ thống của nhiều hãng bảo mật nước ngoài nhưMcAffe, Checkpoint, Theo đánh giá của các chuyên gia, tội phạm công nghệ cao
Trang 18đang gia tăng với xu hướng có tính quốc tế rõ rệt Việc tấn công hệ thống thông tin củacác cơ quan, công ty, doanh nghiệp liên tục xảy ra Ngoài ra số lượng lớn các vụ tấncông gây thiệt hại về kinh tế nhưng rất khó ước tính đã trở thành mối đe dọa cho sựcạnh tranh, phát triển của nền kinh tế
Ngoài các nguy cơ đến từ môi trường bên ngoài kể trên, vấn đề an toàn hệthống thông tin của doanh nghiệp còn phải đối mặt với các nguy cơ xuất phát từ chínhnội bộ các doanh nghiệp như do yếu tố kỹ thuật (thiết bị mạng, máy chủ, ), nguy cơ
do lập kế hoạch triển khai, thực thi, vận hành, nguy cơ trong quy trình, chính sách anninh bảo mật, nguy cơ do yếu tố con người tác động vào
sử dụng mạng Internet
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo ATTT,chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có kết nốimạng Internet
Công ty cũng nên dùng một số biên pháp công nghệ để đảm bảo an toàn hệ thốngthông tin như sử dụng công nghệ bảo mật đường truyền, công nghệ điện toán đámmây, hoặc dùng tường lửa
Công nghệ bảo mật đường truyền là quá trình mật mã dữ liệu khi truyền đikhỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được Hầuhết các hệ thống mã hóa máy tính thuộc 1 trong 2 loại là mã hóa sử dụng khóa riênghoặc mã hóa sử dụng khóa công khai
Trang 19 Công nghệ điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, haycòn biết đến với tên gọi “Điện toán máy chủ ảo”) là mô hình máy tính dựa trên nềntảng phát triển của Internet.
Hình 2.1: Mô hình điện toán đám mây
Điện toán đám mây là sự nâng cấp từ mô hình máy chủ mainframe sang môhình cleint-server Cụ thể, người dùng sẽ không còn phải có các kiến thức về chuyênmục để điều khiển các công nghệ, máy móc và cơ sở hạ tầng, mà các chuyên gia trong
“đám mây” của các hãng cung cấp sẽ giúp thực hiện điều đó
Thuật ngữ “đám mây” ở đây là lối nói ẩn dụ chỉ mạng Internet và như một liêntưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó Ở mô hình điện toán này,mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các
“dịch vụ”, cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cungcấp nào đó “trong đám mây” mà không cần phải có các kiến thức, kinh nghiệm vềcông nghệ đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệđó
Tài nguyên, dữ liệu, phần mềm và các thông tin liên quan đều được chứa trêncác server Nói một cách đơn giản nhất, “ứng dụng điện toán đám mây” chính lànhững ứng dụng trực tuyến trên Internet Trình duyệt là nơi ứng dụng hiện hữu và vậnhành, còn dữ liệu được lưu trữ và xử lý ở máy chủ của nhà cung cấp ứng dụng đó
Có 3 kiểu hình thành điện toán đám mây là công cộng, riêng tư và lai
- Các đám mây công cộng có sẵn cho công chúng hoặc một nhóm ngành nghềlớn và do một tổ chức bán các dịch vụ đám mây sở hữu và cung cấp Một đám mâycông cộng là cái mà người ta hình dung là đám mây theo nghĩa thông thường, đó là cáctài nguyên được cung cấp động trên Internet bằng cách sử dụng các ứng dụng web từ
Trang 20một nhà cung cấp bên thứ ba cung cấp các tài nguyên chia sẻ và gửi hóa đơn tính cướctrên cơ sở tính toán việc sử dụng.
- Các đám mây riêng tư tồn tại bên trong tường lửa của công ty bạn và do tổchức của bạn quản lý Chúng là các dịch vụ đám mây do bạn tạo ra và kiểm soát trongdoanh nghiệp của mình Các đám mây riêng tư cũng cung cấp nhiều lợi ích tương tựnhư các đám mây công cộng – sự khác biệt chủ yếu là tổ chức của bạn chịu tráchnhiệm thiết lập và duy trì đám mây đó
- Các đám mây lai là một sự kết hợp của đám mây công cộng và riêng tư khi
sử dụng các dịch vụ có trong cả hai vùng công cộng và riêng tư Các trách nhiệm quản
lý được phân chia giữa các nhà cung cấp dịch vụ đám mây công cộng và chính doanhnghiệp Khi sử dụng một đám mây lai, các tổ chức có thể xác định các mục tiêu và yêucầu của các dịch vụ được tạo ra và có được chúng dựa vào sự lựa chọn thích hợp nhất
Điện toán đám mây gồm 3 tầng: Tầng cơ sở hạ tầng, tầng giữa và tầng trêncùng
- Tầng cơ sở hạ tầng là nền tảng của đám mây Nó gồm có các tài sản vật lý –các máy chủ, các thiết bị mạng, các ổ đĩa lưu trữ Cơ sở hạ tầng là một dịch vụ (IaaS)
có các nhà cung cấp
- Tầng giữa là nền tảng của hệ thống Nó cung cấp cơ sở hạ tầng của ứngdụng Nền tảng hệ thống là một dịch vụ (PaaS) cung cấp sự truy cập đến các hệ điềuhành và các dịch vụ có liên quan
- Tầng trên cùng là tầng ứng dụng Tầng mà hầu hết mọi người thường xemnhư là đám mây Các ứng dụng chạy ở đâu và được cung cấp theo yêu cầu của nhữngngười dùng Phần mềm là một dịch vụ (SaaS) có các nhà cung cấp như Google Pack.Google Pack bao gồm các ứng dụng, các công cụ có thể sử dụng được qua Internetnhư Gmail, Docs và nhiều hơn nữa
Hình 2.2 Các tầng của đám mây
Trang 21Tại các quốc gia phát triển trên thế giới, điện toán đám mây được sử dụng ưa chuộng và phổ biến Từ năm 2009 trở lại đây, công nghệ này không có nhiều thay đổi
về mặt khái niệm cũng như lợi ích cơ bản mà nó mang lại cho các doanh nghiệp, song lại có sự thay đổi lớn trên khía cạnh thị trường và xu hướng ứng dụng của các doanh nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ
Tường lửa (Thuật ngữ tiếng Anh: Firewall) là rào chắn mà một số cá nhân, tổchức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tinkhông mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thôngtin bảo mật nằm trong mạng nội bộ xuất ra ngoài Internet mà không được cho phép
Tường lửa là một thiết bị phần cứng hoặc một phần mềm hoạt động trong mộtmôi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách anninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngănlửa trong các tòa nhà
Hình 2.3: Tường lửa làm nhiệm vụ bảo vệ
Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng
có độ tin cậy khác nhau Các vùng tin cậy điển hình bao gồm mạng Internet và mạngnội bộ Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tincậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựatrên nguyên tắc quyền tối thiểu
Tường lửa không chỉ là một dạng phần mềm mà nó còn có thể là phần cứngchuyên dụng trong các mạng doanh nghiệp
- Tường lửa mềm là những tường lửa được cài đặt trên máy chủ (Server) Và
nó có các đặc điểm như tính linh hoạt cao (có thể thêm bớt các quy tắc, các chứcnăng), hoạt động ở tầng Applycation, có thể kiểm tra được nội dung của gói tin (thông
Trang 22qua các từ khóa) Một số tường lửa mềm thông dụng như Zone Alarm, Microsoft ISAServer 2006, Norton Firewall,
Hình 2.4: Tường lửa mềm
- Tường lửa cứng là những tường lửa được tích hợp trên thiết bị định tuyến(Router) Trước khi một gói tin Internet đến máy tính, thì Firewall phần cứng sẽ giámsát các gói tin và kiểm tra xem nó đến từ đâu Nó cũng kiểm tra nếu địa chỉ IP hoặctiêu đề có thể tin cậy được Sau khi kiểm tra, gói tin sẽ đến máy tính Nó ngăn chặn bất
kỳ liên kết nào có hành vi nguy hiểm dựa trên các thiết lập Firewall hiện tại trong thiết
bị Firewall về phần cứng thường không cần phải có rất nhiều cấu hình Hầu hết cácquy tắc được xây dựng và được xác định trước, dựa trên những quy tắc trong xâydựng, lọc gói được thực hiện Nó có các đặc điểm: không được linh hoạt như tườnglửa mềm (không thể thêm chức năng, thêm quy tắc), hoạt động ở tầng thấp là tầngNetwork và tầng Transport, không thể kiểm tra nội dung của một gói tin Một số tườnglửa cứng thông dụng như NAT, Cisco ASA 5500,
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồimáy chủ, máy trạm
Trang 23Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trungbiên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng.Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lênbất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động nhanh chậm khácthường, cần thực hiện các bước cơ bản:
Bước 1: Ngắt kết nối máy chủ ra khỏi mạng
Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ(phục vụ cho công tác phân tích)
Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệthống hoạt động
2.1.4 Vai trò của an toàn hệ thống thông tin, nâng cao tính bảo mật trong doanh nghiệp
An toàn bảo mật HTTT có vai trò quan trọng đối với sự phát triển bền vững củacác doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minhbạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đếnviệc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín củadoanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lànhmạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức Rủi ro về thôngtin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinhdoanh sản xuất của doanh nghiệp Do vậy, đảm bảo An toàn bảo mật HTTT doanhnghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển củadoanh nghiệp Đây không phải vấn đề riêng của người làm CNTT mà là của mọi cánhân và đơn vị trong tổ chức doanh nghiệp
2.1.5 Phân định nội dung nghiên cứu đề tài khóa luận
Với đề tài khóa luận: “Một số giải pháp đảm bảo an toàn hệ thống thông tin, nângcao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Vinaconex 2”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về an toàn hệ thống
thông tin, thực trạng và giải pháp an toàn hệ thống thông tin, nâng cao tính bảo mậtcho công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2
Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:
Nghiên cứu tổng quan về vấn đề an toàn hệ thống thông tin trong doanh nghiệp
Trang 24 Nghiên cứu về các nguy cơ mất an toàn hệ thống thông tin doanh nghiệp, cácbiện pháp phòng tránh và khắc phục hậu quả.
Nghiên cứu thực trạng vấn đề an toàn bảo mật hệ thống thông tin trong Công ty
Đưa ra các giải pháp nhằm đảm bảo an toàn hệ thống thông tin cho Công ty
2.2 Phân tích, đánh giá thực trạng của an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.2.1 Tổng quan về công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vianconex 2.
2.2.1.1 Thông tin chung về doanh nghiệp.
- Tên công ty: Công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháyVinaconex 2
- Tên giao dịch quốc tế: VINACONEX2 FIRE PREVENTION ANDCONSTRUCTION MATERIALS JOINT STOCK COMPANY
- Tên viết tắt: VINACONEX 2 FCM JSC
- Vốn điều lệ: 8.000.000.000 đồng
- Mã số thuế: 0104346228
- Mã số doanh nghiệp: 0104346228 cấp ngày 24 tháng 12 năm 2009 do Sở Kếhoạch & đầu tư Thành phố Hà Nội cấp
- Loại hình doanh nghiệp: Công ty cổ phần
- Địa chỉ: Tầng 2, tòa nhà D, KĐT Kim Văn, Kim Lũ, Phường Đại Kim, QuậnHoàng Mai, Thành Phố Hà Nội
- Điện thoại: 0435558155
Vinaconex 2 chính thức hoạt động trên thị trường năm 2009 Trong giai đoạnđầu, công ty chủ yếu sản xuất và kinh doanh vật liệu xây dựng Năm 2010, công ty đã
mở rộng quy mô kinh doanh về hoạt động xây dựng,lắp ráp Đến nay, vinaconex 2 đã
có gần 100 cán bộ nhân viên với chuyên gia trong và ngoài nước, nhân viên được đàotạo chuyên môn hóa cao
- Công ty hoạt động với các lĩnh vực kinh doanh chính:
+ Sản xuất và kinh doanh vật liệu xây dưng như: Sản xuất và kinh doanh bê tôngthương phẩm; khai thác và sản xuất đá
+ Kinh doanh phương tiện và Thi công lắp đặt thiết bị phòng cháy chữa cháy
Trang 25+ Xây dựng các công trình dân dụng, công nghiệp, giao thông đường bộ.
+ Lắp đặt hệ thống điện, hệ thống cấp thoát nước và lắp đặt xây dựng khác
2.2.1.2 Cơ cấu tổ chức công ty
Hình 2.6 Sơ đồ cơ cấu tổ chức công ty
Đại hội đồng cổ đông: thảo luận và phê chuẩn những chính sách dài hạn và
ngắn hạn về phát triển của Công ty, quyết định về cơ cấu vốn, bầu ra bộ máy quản lý
và điều hành các hoạt động sản xuất kinh doanh của Công ty
Hội đồng quản trị: xây dựng các kế hoạch sản xuất kinh doanh, xây dựng cơ
cấu tổ chức, quy chế quản lý Công ty
Ban kiểm soát: giám sát, kiểm tra tính hợp lý hợp pháp trong điều hành hoạt
động của Công ty, đánh giá kết quả hoạt động sản xuất kinh doanh của Công ty mộtcách khách quan
Ban giám đốc: Gồm có Tổng giám đốc điều hành và phó tổng giám đốc phụ
trách kinh doanh và giám đốc phụ trách kỹ thuật
Phòng nhân sự: Phụ trách các vấn đề về nhân sự, tiền lương, các hoạt động văn
hóa đoàn thể Tham mưu, cố vấn cho giám đốc về công tác quản lý và các phong tràohoạt động của doanh nghiệp Có nhiệm vụ kê khai, làm các chứng từ của công ty
Phòng tài chính kế toán
Là bộ phận quản lý toàn bộ thu chi của công ty, đảm bảo đầy đủ chi phí cho hoạtđộng kinh doanh, lương thưởng cho nhân viên, Lập phiếu thu chi đầy đủ cho cáchoạt động theo quy định của công ty, lưu trữ đầy đủ, chính xác
Đại hội cổ đông
Ban giám đốc
Phòng nhân
sự chính kế toánPhòng tài
Phòng kinh doanh
Phòng kỹ thuật
Trang 26Ghi chép, cập nhật nhanh chóng chính xác tình hính biến động tài chính trong công
ty Lập báo cáo tài chính hàng tháng, hàng quý, hàng năm để báo cáo ban giám đốc.Phối hợp với phòng nhân sự để trả lương, thưởng cho nhân viên hàng tháng đầy
đủ kịp thời Theo dõi quá trình chuyển tiền qua ngân hàng, lập và lưu trữ các chứng từ
Phòng kỹ thuật
Chịu trách nhiệm trong công tác xây dựng, tiếp nhận chuyển giao và quản lýcác dịch vụ - ứng dụng website, wapsite, ứng dụng chạy trên web đã triển khai kinhdoanh, thực hiện các chương trình nghiên cứu phát triển dịch vụ, áp dụng công nghệtiên tiến trong xây dựng phần mềm, dịch vụ, website cũng như ứng dụng mới đáp ứngnhu cầu sử dụng của khách hàng, khắc phục lỗi phát sinh trong quá trình kinh doanh
2.2.1.3 Tình hình hoạt động kinh doanh trong 3 năm gần đây
Bảng 2.1 Bảng kết quả hoạt động kinh doanh của công ty (Đơn vị: VNĐ)
(Nguồn: Báo cáo tài chính các năm)
1 Doanh thu thuần 3.322.767.223 4.044.632.000 4.988.933.210
2 Chi phí kinh doanh 1.432.234.000 1.630.290.089 1.901.470.568
3 Lợi nhuận trước thuế 1.900.533.223 2.441.341.911 3.087.462.642
4 Lợi nhuận sau thuế 1.482.415.914 1.953.073.529 2.469.970.114
Phân tích kết quả hoạt động kinh doanh
Tình hình kinh doanh của công ty trong 3 năm gần đây nhìn chung khá tốt Cácchỉ tiêu doanh thu thuần, lợi nhuận trước thuế, lợi nhuận sau thuế đều tăng so với nămtrước Cụ thể doanh thu thuần năm 2015 tăng 721.864.777 VNĐ so với cùng kỳ năm
2014, nghĩa là tăng 21,7% Năm 2016 tăng 944.301.210 VNĐ so với năm 2015,tăng23,3% Sau 2 năm từ 2014 đến 2016, lợi nhuận sau thuế đã tăng mức đáng kể là987.554.200 VNĐ, tương đương 66,6% Như vậy, lợi nhuận của công ty tăng mạnhqua các năm Điều này cho thấy Vinaconex 2 đã có kế hoạch chiến lược kinh doanh
Trang 27khá tốt Để duy trì ổn định mức tăng trưởng này và nâng cao doanh thu, công ty cầntheo dõi tình hình hoạt động hằng ngày và đề ra các chiến thuật, chiến lược hợp lý, ổnđịnh.
2.2.2 Phân tích thực trạng của an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.2.2.1 Trang thiết bị phần cứng
Hệ thống máy chủ:Số lượng máy chủ 1 cái được cài đặt hệ điều hành Linux Máychủ PowerEdge của Dell, dòng máy này rất thích hợp làm máy chủ chứa file cho cácmáy trạm, chia sẻ internet trên mạng LAN, làm máy dịch vụ in (printer server) hoặclàm hosting cho website nhỏ cũng như những mạng khác Dòng máy này được gắn bộ
vi xử lý Inter Xeon 3400 series và hệ điều hành Microsoft Windows Server 2008 R2,cung cấp những tính năng cần thiết cho hoạt động của công ty
Toàn bộ nhân viên trong công ty đều được trang bị 1 máy tính để bàn hoặc máytính xách tay có kết nối mạng Internet cáp quang tốc độ cao của FPT
Máy in:Công ty trang bị hệ thống 2 máy in lazer A4 2 mặt và 5 máy scan A4phục vụ cho việc in ấn, photo nghiệp vụ giữa các phòng ban trong doanh nghiệp
Biểu đồ 2.2 Chất lượng các thiết bị phần cứng
(Nguồn: Phiếu điều tra)
Các thiết bị phần cứng của doanh nghiệp được đánh giá có chất lượng cao, đáp ứng yêu cầu công việc Đa phần người sử dụng đánh giá rằng chất lượng các thiết bị rất tốt và hoạt động tương đối ổn định
Hiện nay, công ty đã có những giải pháp bảo mật thông tin trên phần cứng như sau:
Trang 28Biểu đồ 2.3: Các giải pháp bảo mật hệ thống thông tin trên phần cứng
(Nguồn: Phiếu điều tra)
Công ty đã chú trọng đến việc bảo mật thông tin trên phần cứng, nhưng vẫnchưa đi sâu và tập trung vào một biên pháp chuyên sâu cụ thể
Các thiết bị bảo mật bằng phần cứng
Trang 29- Sử dụng các phần mềm tin nhắn nhanh ( yahoo messenger, skype,…)
- Công ty đã và đang sử dụng các phềm mềm như Office 2010, Office 2013…tại các phòng ban công ty
- Phần mềm kế toán MISA- giúp doanh nghiệp quản lí tình hình của doanh nghiệp,góp phần giảm thiểu các thao tác thủ công trong kế toán, xây dựng một cái nhìn bao quát
về các chỉ tiêu thông qua bảng biểu sơ đồ, qua đó giúp nhân viên kế toán cũng như cácnhà quản trị quản lý tình hình hoạt động kinh doanh của công ty được tốt hơn
- Phần mềm bảo mật: phần mềm diệt virus Bkav có bản quyền được cài đặt trênnhiều máy tính chủ chốt của công ty và đặt mật khẩu cho một số dữ liệu quan trọnghoặc cho các máy tính chứa nhiều dữ liệu quan trọng
- Công ty đang sử dụng Teamviewer 10 để điều khiển các máy tính trong cùng mộtphòng ban, giúp phòng kỹ thuật có thể điều hành, giám sát, kiểm tra được hoạt động củacác máy tính trong công ty, tránh trường hợp xuất dữ liệu cấm của công ty ra ngoài
Ngoài ra DN còn mua một số phần mềm hỗ trợ khác như phầm mềm tự do mã nguồn mở FOSS: tích hợp FOSS để xây dựng kiến trúc mạng của Công ty
Mức độ hài lòng của nhân viên trong công ty đối với các phần mềm ứng dụng:
Rất hài lòng Hài lòng Bình thường Chưa hài lòng Không quan tâm
Biểu đồ 2.5: Mức độ hài lòng của nhân viên trong công ty đối với các phần mềm
ứng dụng
(Nguồn: Phiếu điều tra)
Với các phần mềm ứng dụng hiện có phần nào đã đáp ứng được các hoạt động của nhân viên trong công ty Việc cài đặt đơn giản và các phần mềm có giao diện thân
Trang 30thiện, việc sử dụng đơn giản đối với người sử dụng nên khối lượng công việc giảm đi đáng kể.
Cách thức đảm bảo an toàn thông tin được sử dụng
2.2.2.3 Cơ sở hạ tầng HTTT trong doanh nghiệp
Công ty sử dụng mạng cáp quang chất lượng cao của VNPT Mạng sử dụng làmạng nội bộ và mạng LAN, WAN, WIFI Tổng băng thông kết nối Internet lên tới100Mbps Các máy trạm được bố trí theo kiểu hình sao đảm bảo việc hỏng hóc củamỗi máy cá nhân không ảnh hướng đến toàn hệ thống Hệ thống này bao gồm cáccổng máy quét nhanh cho việc thu thập thông tin về việc mở cổng trên máy tính từ xa,hiển thị các thông tin như người dùng đăng nhập, các nhóm toàn cầu và địa phương,chính sách mật khẩu, địa chỉ MAC, tên DNS, chia sẻ các nguồn lực, mở các tập tin,dịch vụ và các quá trình, TC và UDP và thồng kê mạng
Thiết bị phần cứng của mạng bao gồm: các máy tính PC, máy tính cá nhân,đường truyền vật lý Máy chủ được đặt tại FPT, các máy tính có cấu hình mạnh đượckết nối Internet băng thông rộng ADSL