LỜI CẢM ƠN Trong trình nghiên cứu thực khóa luận tốt nghiệp, em nhận hướng dẫn nhiệt tình giáo viên hướng dẫn Th.S Đỗ Thị Thu Hiền, giúp đỡ Ban giám đốc tồn thể nhân viên cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Trước hết, em xin gửi lời cảm ơn sâu sắc tới Th.S Đỗ Thị Thu Hiền – Giáo viên hướng dẫn, người tận tình giúp đỡ em nhiều suốt q trình làm khóa luận Đồng thời, em xin gửi lời cảm ơn tới thầy cô nhà trường thầy cô khoa Hệ thống thông tin kinh tế Thương mại điện tử trường Đại học Thương Mại truyền thụ cho em kiến thức quý báu suốt trình học tập để em có đủ kiến thức hồn thành tốt khóa luận Em xin gửi lời cảm ơn chân thành tới Ban giám đốc anh/chị làm việc công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex quan tâm, ủng hộ hỗ trợ cho em trình thực tập thu thập tài liệu Do thời gian nghiên cứu khóa luận hạn hẹp, trình độ khả thân em hạn chế Vì vậy, khóa luận chắn gặp phải nhiều sai sót Em kính mong thầy cô giáo khoa Hệ thống thông tin kinh tế Thương mại điện tử, anh/chị nhân viên công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex góp ý, bảo để khóa luận hồn thiện Em xin chân thành cảm ơn! Hà Nội, ngày 24 tháng 04 năm 2017 Sinh viên thực Nguyễn Thị Văn 1 MỤC LỤC 2 MỤC BẢNG BIỂU 3 DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt ATBM ATTT CNTT CSDL HTTT IP LAN PC VND Diễn giải Internet Protocol Local Area Network Personal Computer Vietnamese Dong Giải thích An tồn bảo mật An tồn thơng tin Cơng nghệ thông tin Cơ sở liệu Hệ thống thông tin Giao thức Internet Mạng cục Máy tính cá nhân Đồng Việt Nam CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN 1.1 Lí lựa chọn đề tài Vấn đề đảm bảo bảo an toàn cho HTTT vấn đề quan trọng cân nhắc suốt trình thiết kế, thi công, vận hành bảo dưỡng HTTT Cũng tất hoạt động khác xã hội, từ người có nhu cầu lưu trữ xử lý thông tin, đặc biệt thông tin đc xem phần tư liệu sản xuất, nhu cầu bảo vệ thông tin ngày trở nên thiết Bảo vệ thơng tin bảo vệ tính bí mật tính tồn vẹn thơng tin Hơn nữa, thông tin người ghi nhớ hữu hạn óc nên cần phải có thiết bị lưu trữ thơng tin Nếu thiết bị lưu trữ khơng an tồn thơng tin lưu trữ bị đi, bị sai lệch tồn hay phần Khi tính tồn vẹn thơng tin khơng đảm bảo Khi máy tính sử dụng để xử lý thơng tin, hiệu xử lý thông tin nâng cao lên, khối lượng thông tin xử lý ngày lớn, kéo theo tầm quan trọng thơng tin đời sống xã hội ngày tăng Nếu trước đây, việc bảo vệ thông tin trọng vào vấn đề dùng chế phương tiện vật lý để bảo vệ thông tin theo nghĩa đen, sau, vấn đề bảo vệ thơng tin trở nên đa dạng phức tạp Đối với công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex vậy, theo tìm hiểu em biết cơng ty xảy vấn đề an tồn thơng tin dù khắc phục không đảm bảo rừng tương lai không xảy vấn đề Trong đề tài này, với mong muốn giúp doanh nghiệp đạt hiệu cao vấn đề đảm bảo an tồn bảo mật thơng tin Em tập trung nghiên cứu sở lý luận lý thuyết an tồn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật cơng ty Từ đó, khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng vấn đề công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Q trình nghiên cứu góp phần nâng cao nhận thức nhân viên cơng ty vấn đề an tồn bảo mật thông tin, trau dồi thêm thông tin cần thiết cho nhân viên phục vụ cho công việc vận hành quản lý vấn đề an tồn thơng tin ngày 5 Từ tầm quan trọng ý nghĩa việc nghiên cứu đề tài với kiến thức em học trường lựa chọn thân, em xin đưa đề tài khóa luận tốt nghiệp: “Một số giải pháp đảm bảo an tồn hệ thống thơng tin, nâng cao tính bảo mật cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 2” 1.2 Tổng quan tình hình nghiên cứu 1.2.1 Tình hình nghiên cứu ngồi nước • Bài báo “Computer security” tác giả Dieter Gollmann giới thiệu ngắn gọn an ninh mạng, an ninh máy tính Từ đưa chế thực thi khác vào bối cảnh với sách kiến trúc CNTT quy định việc truy cập vào tài nguyên bảo vệ Bài báo đưa kết luận với nhận xét việc đánh giá an ninh hệ thống mạng máy tính • Bài báo “Manage component specific access control with differentiation and composition” tác giả Zhiqing Liu giới thiệu cách trực tiếp sách kiểm sốt truy cập Để hệ thống đảm bảo an tồn việc kiểm sốt quyền truy cập khơng có thiếu sót Vì mà báo trình bày bối cảnh chi tiết cách tiếp cận hệ thống người, khác biệt cụ thể sách kiểm sốt truy cập tĩnh truy cập động, thành phần cấu hình sách kiểm sốt truy cập tĩnh, truy cập động • Bài báo “A cryptographic checksum for Integrity protection” tác giả Frederick B.Cohen mô tả kỹ thuật mật mã để xác minh tính tồn vẹn thơng tin hệ thống máy tính Kỹ thuật dựa việc sử dụng mã hóa RSA hệ mật lặp lặp lại 1.2.2 Tình hình nghiên cứu nước • Luận văn “Thiết kế tường lửa” thạc sĩ Vũ Anh Tuấn khoa CNTT trường đại học Thái Nguyên năm 2012 đưa phương pháp xây dựng tường lửa đề xuất nhiều tiện ích mà tường lửa đem lại, đề xuất số quy trình xây dựng tường lửa cho có hiệu nhất, đưa hạn chế mà tường lửa không làm Tuy nhiên, báo cáo dừng lại việc hạn chế tường lửa mà chưa đề xuất giải pháp để khắc phục vấn đề • Đồ án “An ninh mạng lỹ thuật công mạng” sinh viên Phạm Minh Tuấn – Khoaquốc tế đào tạo sau đại học trường Học viện bưu viễn thơng nhiều kiểu công qua mạng cách khắc phục Đồ án sâu nghiên cứu 6 lỗ hổng thường gặp bảo mật mạng nhiều giảng viên khoa đánh giá cơng trình nghiên cứu hay vấn đề an ninh mạng, lấy làm tài liệu tham khảo cho hệ sau • Đề tài nghiên cứu khoa học “Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học Việt Nam” Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao nghiên cứu công nghệ IDS cứng mềm 1.3 Mục tiêu nghiên cứu • Các mục tiêu cần giải đề tài: - Tập hợp hệ thống hóa số lý thuyết đảm bảo an toàn cho HTTT bao gồm đảm bảo an toàn cho: phần cứng, phần mềm, CSDL, mạng người - Đánh giá phân tích thực trạng vấn đề đảm bảo an tồn cho HTTT cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex để đưa ưu, nhược điểm - Từ thực trạng phân tích để đề xuất giải pháp tối ưu, hiệu để đảm bảo an toàn cho HTTT công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 1.4 Đối tượng phạm vi nghiên cứu • Đối tượng: - Vấn đề an tồn bảo mật cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex - Giải pháp đảm bảo cho HTTT công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex • Phạm vi nghiên cứu: - Về khơng gian: Đề tài tập trung nghiên cứu tình hình an tồn hệ thống thơng tin cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex để từ đưa giải pháp nâng cao tính bảo mật hệ thống thơng tin - Về thời gian: Các hoạt động an toàn bảo mật hệ thống thông tin công ty thông qua báo cáo tài kinh doanh, số liệu khảo sát từ năm 2014 đến năm 2016, đồng thời trình bày nhóm giải pháp, định hướng phát triển tương lai công ty 7 1.5 Phương pháp nghiên cứu 1.5.1 Phương pháp thu thập liệu Việc thu thập liệu công việc trình nghiên cứu Phương pháp thu thập liệu cách thức thu thập liệu phân loại sơ tài liệu chứa đựng thông tin liên quan tới đối tượng nghiên cứu đề tài - Sử dụng phiếu điều tra: Xây dựng phiếu điều tra từ đối tượng nhân viên công ty nội dung phục vụ cho nghiên cứu - Tìm hiểu thơng thơng qua internet, qua tài liệu sách báo liên quan đến an toàn bảo mật hệ thống thông tin - Phỏng vấn ban giám đốc phận kỹ thuật công ty: Lập danh mục câu hỏi khảo sát ý kiến người để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu - Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng, giải tốt mục tiêu đề 1.5.2 Phương pháp xử lí liệu Từ liệu thu thập được, sau tiền hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thơng tin phù hợp với mục đích nghiên cứu đề tài 1.5.3 Phương pháp nghiên cứu - Phương pháp nghiên cứu định tính: Quan sát, vấn nhân viên cơng ty, nắm bắt cách chủ quan tình hình an tồn bảo mật thơng tin mặt doanh nghiệp Từ đó, phân tích tổng hợp thơng tin có - Phương pháp nghiên cứu định lượng: Lập phiếu điều tra, sau tổng hợp lại, từ đưa nhìn xác tình hình cơng ty 1.6 Kết cấu khóa luận tốt nghiệp Khóa luận gồm chương: Chương 1: Tổng quan vấn đề an toàn bảo mật hệ thống thông tin Chương 2: Cơ sở lý luận phân tích, đánh giá thực trạng an tồn hệ thống thơng tin, nâng cao tính bảo mật cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu an tồn thơng 8 tin, liệu cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 9 CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA AN TỒN HỆ THỐNG THƠNG TIN, NÂNG CAO TÍNH BẢO MẬT TẠI CÔNG TY CỔ PHẦN VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA CHÁY VINACONEX 2.1 Cơ sở lý luận an tồn hệ thống thơng tin, nâng cao tính bảo mật cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 2.1.1 Một số khái niệm an toàn bảo mật hệ thống thơng tin • Mạng máy tính tập hợp máy tính kết nối với đường truyền theo cấu trúc thơng qua máy tính trao đổi thơng tin qua lại với (Theo [3]) Mạng máy tính có hai đặc trưng bản: Đường truyền cấu trúc Đường truyền hệ thống thiết bị truyền dẫn có dây hay khơng dây dùng để chuyển tín hiệu điện tử từ máy tính đến máy tính khác Các tín hiệu điện tử biểu thị giá trị liệu dạng xung nhị phân Tất tín hiệu truyền máy tính thuộc dạng sóng điện từ Tùy theo tần số sóng điện từ dùng đường truyền vật lý khác để truyền tín hiệu Các đường truyền liệu tạo nên cấu trúc mạng • Dữ liệu số, ký tự hay hình ảnh phản ánh vật hay tượng giới khách quan Dữ liệu giá trị thơ, chưa có ý nghĩa với người sử dụng (Theo [2]) • Thơng tin ý nghĩa rút từ liệu thông qua trình xử lý (phân tích, tổng hợp, ), phù hợp với mục đích người sử dụng Có thể nói cách khác, thông tin liệu xử lý cho thực có ý nghĩa với người sử dụng (Theo [2]) • Hệ thống thơng tin tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tạo, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức ( Theo [3]) Các tổ chức sử dụng hệ thống thơng tin với nhiều mục đích khác Trong việc quản trị nội bộ, hệ thống thông tin giúp đạt thông hiểu nội bộ, thống hành động, trì sức mạnh tổ chức, đạt lợi cạnh tranh 10 10 Cách thức tốt để đảm bảo cho việc bảo mật thông tin ổ đĩa thiết bị lưu trữ khác công ty bao gồm: • Phân quyền người sử dụng đặt mật khẩu cho file - Phân quyền người sử dụng: + Thực nguyên tắc đặc quyền tối thiếu thiết lập sách cho việc ghi chép Có hai nguyên tắc đối ngược mà từ nhân viên cơng ty thiết lập sách truy cập mạng Đầu tiên, sách “mở tất cả”, giả thiết tất liệu có sẵn người trừ lãnh đạo cần phải hạn chế truy cập Thứ hai, sách “đặc quyền tối thiểu”, hoạt động giả định tất liệu hạn chế mức tối đa trước người dùng trừ họ trao quyền truy cập Sau đó, giống sách “cần biết” trung tâm tình báo phủ, trừ người dùng có nhu cầu cấp thiết cần phải truy cập vào file cụ thể, khơng họ khơng truy cập Cần phải làm rõ điều rằng, nhân viên không copy thơng tin quan trọng hay mang nhà, email mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Các ngun tắc khơng viết khó có hiệu lực Các sách cần phải cụ thể có ví dụ cho bị cấm Các nhân viên khơng hiểu họ khơng giải thích cách tường tận, chẳng hạn việc email tài liệu công ty danh nghĩa đính kèm đến bên ngồi mạng vi phạm sách copy tài liệu vào USB nói chuyện bên ngồi cơng ty + Thiết lập đặc quyền hạn chế thẩm định truy cập Không thể phụ thuộc vào sách để bảo vệ liệu Ban lãnh đạo nói với nhân viên họ không nên thực hiện, cách thức tránh việc số họ thực sai trái tắc trách Sự thi hành sách mang tính kỹ thuật tước bỏ lựa chọn việc có tn theo hay khơng họ Do bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc 40 40 Ví dụ như, cấp quyền “Read only” để tránh người dùng thay đổi file liệu quan trọng Ngoài lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề cơng ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server + Thực thi quản lý quyền Một số hành vi trộm cắp liệu ngăn ngừa cách sử dụng phương pháp để giữ cho người không cần thiết không truy cập vào liệu Tuy nhiên, có vấn đề xảy hành vi trộm cắp đến từ người cần trao quyền truy cập Cơng ty sử dụng tính Windows Right Management (IRM) nhiều phiên Office 2003 Office 2007 để ngăn chặn người dùng chuyển tiếp, copy hay sử dụng sai thư tín điện từ tài liệu Office (các file Word, Excel PowerPoint) mà lãnh đạo gửi đến họ - Đặt mật khẩu cho file Đây giải pháp đặt mật khẩu cho file liệu nhằm hạn chế quyền truy cập hay can thiệp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file Một số phần mềm hữu ích, phù hợp với tất vả người có tính bảo mật cao như: Folder, SafeHouse Personal Edition, All File Locker Pro • Mã hóa nén liệu Mã hóa cách tuyệt vời để giữ cho liệu an toàn, cho dù cơng ty truyền qua Internet, lưu máy chủ mang qua an ninh sân bay máy tính xách tay Việc mã hóa khơng cho phép (trừ chủ thông tin người nhận nó) đọc liệu cơng ty Các liệu cần mã hóa: - Mã hóa tồn ổ cứng Có thể tồn nhân viên có mật khẩu đăng nhập Windows máy tính mật khẩu khơng thực bảo vệ liệu đánh cắp máy tính ổ cứng họ Tên trộm cần cắm ổ đĩa bạn vào máy tính khác truy cập liệu trực tiếp Nếu có thơng tin quan trọng, cần thực mã hóa đĩa cứng để bảo vệ liệu máy tính rơi vào tay kẻ xấu 41 41 - Mã hóa ổ cứng lắp ngồi, ổ USB - Mã hóa lưu lượng truy cập Internet Đơi cơng ty muốn mã hóa lưu lượng Internet đi/đến Nếu cơng ty mạng wifi khơng an tồn, tin tặc chặn liệu chứa thơng tin quan trọng truyền đến/đi từ máy tính xách tay Để làm liệu trờ nên vơ dụng tin tặc, cơng ty mã hóa liệu cách sử dụng mạng riêng ảo - Mã hóa thư Gmail Khi sử dụng Gmail, bảo mật email nơi khác chút thư lưu trữ máy chủ Google khơng phải máy tính cá nhân Khi nhân viên công ty soạn xem email, chúng truyền qua kết nối HTTPS mã hóa, nhà quản trị khơng phải lo lắng việc bị chặn Nguy bảo mật với Gmail người khác truy cập vào tài khoản nhân viên Có thể giảm thiểu nguy thông qua việc đặt mật khẩu - Mã hóa tài liệu Word, Excel PowerPoint Nhân viên mã hóa tài liệu theo cách: Nhấp file, chọn tab Info sau nhấp nút Protect Document Cuối cùng, bấm vào Encrypt with Password chọn mật khẩu mạnh cho tập tin Bất muốn truy cập tập tin cần mật khẩu 3.2.3.3 Cơ sở liệu Sử dụng hình thức mã hóa - Giải pháp để bảo vệ liệu CSDL mức độ tập tin, chống lại truy cập trái phép vào tập tin CSDL hình thức mã hóa Tuy nhiên, giải pháp chưa cung cấp mức độ bảo mật truy cập đến CSDL mức độ bảng, cột dòng Mặt khác với giải pháp với quyền truy xuất CSDL truy cập vào tất liệu tỏng CSDL Điều phát sinh nguy cho phép đối tượng với quyền quản trị truy cập tất liệu quan trọng Thêm vào đó, giải pháp bị hạn chế khơng cho phép phân quyền khác cho người sử dụng CSDL Do giải pháp chưa đáp ứng cao nhu cầu bảo mật CSDL - Giải pháp thứ hai, đối nghịch với giải pháp mã hóa cấp tập tin nêu trên, giải vấn đề mã hóa mức ứng dụng Giải pháp xử lý mã hóa liệu trước truyền liệu vào CSDL Những vấn đề quản lý khóa quyền truy cập hỗ 42 42 trợ ứng dụng Truy vấn liệu đến CSDL trả kết liệu dạng mã hóa liệu giải mã ứng dụng Giải pháp giải vấn đề phân tách quyền an ninh hỗ trợ sách an ninh dựa vai trò Tuy nhiên, xử lý mã hóa tầng ứng dụng đòi hỏi thay đổi toàn diện kiến trúc ứng dụng, chí đòi hỏi ứng dụng phải viết lại Đây vấn đề đáng kể cho công ty có nhiều ứng dụng chạy nhiều CSDL khác công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Từ hai giải pháp nêu trên, dễ dàng nhận thấy giải pháp bảo mật CSDL tối ưu cần hỗ trợ yếu tố sau: - Hỗ trợ mã hóa mức liệu cấp bảng, cột, hàng - Hỗ trợ sách an ninh phân quyền truy cập đến mức liệu cột, hỗ trợ RBAC -Cơ chế mã hóa khơng ảnh hưởng đến ứng dụng Để thỏa mãn yếu tố trên, công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex sử dụng mơ hình xây dựng tầng CSDL trung gian Trong mơ hình này, CSDL trung gian xây dựng ứng dụng CSDL gốc, CSDL trung gian có vai trò mã hóa liệu trước cập nhật vào CSDL gốc, đồng thời giải mã liệu trước cung cấp cho ứng dụng CSDL trung gian đồng thời cung cấp thêm chức quản lý khóa, xác thực người dùng cấp phép truy cập Giải pháp cho phép tạo thêm nhiều chức bảo mật cho CSDL Tuy nhiên mơ hình CSDL trung gian đòi hỏi xây dựng môt ứng dụng CSDL tái tạo tất chức CSDL gốc 3.2.4 Con người Ban lãnh đạo công ty cần đưa quy định rõ ràng cụ thể việc quản lý sử dụng thông tin nội công ty q trình làm việc máy tính cá nhân nhân viên Đồng thời, đưa hình thức xử phạt nghiêm khắc hành vi vi phạm an tồn thơng tin gây rò rỉ, mát, đảo lộn CSDL công ty dẫn tới ảnh hưởng đến trình hoạt động kinh doanh công ty 3.2.4.1 Giáo dục tuyên truyền công tác bảo mật cho HTTT công ty 43 43 - Tổ chức khóa học an tồn bảo mật hệ thống thông tin cho nhân viên, đồng thời cử nhân viên học khóa đào tạo doanh nghiệp an toàn bảo mật - Phổ biến quy định, điều luật: + Luật an tồn thơng tin tới năm 2020 Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam ban hành + Quyết định 1359/QĐ-BNV Ban hành quy chế bảo mật, bảo đảm an tồn, an ninh thơng tin + Luật công nghệ thông tin theo Nghị số 67/2006/QH11 + Ngày 7/4/2014, phủ ban hành Nghị định số 25/2014/NĐ-CP quy định phòng chống tội phạm vi phạm pháp luật khác có sử dụng cơng nghệ cao Nghị định quy định hoạt động phòng ngừa, phát hiện, xử lý tội phạm vi phạm pháp luật khác có sử dụng cơng nghệ cao, hợp tác quốc tế phòng chống tội phạm vi phạm pháp luật khác có sử dụng cơng nghệ cao, trách nhiệm quan tổ chức, doanh nghiệp cá nhân phòng, chống tội phạm vi phạm pháp luật khác có sử dụng cơng nghệ cao Nghị định có hiệu lực thi hành từ ngày 25/05/2014 + Ngày 11/3, Hà Nội, Bộ thông tin truyền thơng tổ chức hội thảo góp ý dự thảo Luật An tồn thơng tin Dự thảo Luật An tồn thơng tin gồm chương 59 điều quy định nội dung liên quan đến đảm bảo an tồn thơng tin, bảo vệ thơng tin cá nhân, mật mã dân sự, tiêu ch̉n an tồn thơng tin, nghiên cứu phát triển nguồn nhân lực an toàn thơng tin, quản lý nhà nước an tồn thơng tin, quyền nghĩa vụ tổ chức, cá nhân tham gia hoạt động an tồn thơng tin Luật áp dụng tổ chức, cá nhân nước nước ngồi trực tiếp tham gia có liên quan đến hoạt động an tồn thơng tin Việt Nam - Các nhân viên nhà quản trị cần có nhận thức đắn tầm quan trọng việc đảm bảo an tồn thơng tin để từ chấp hành tốt quy định cơng ty vấn đề đảm bảo an tồn thơng tin tự xây dựng cho thân giải pháp hữu hiệu để phòng tránh nguy an tồn thông tin 3.2.4.2 Đào tạo nhân lực về CNTT Hiện nay, nguồn nhân lực cơng ty chưa có kiến thức chuyên sâu an toàn bảo mật CSDL Để thực giải pháp nâng cao an toàn bảo mật CSDL cho 44 44 công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 2, công ty cần ý đến việc đào tạo nâng cao kiến thức , kỹ CNTT cho nhân viên Cụ thể, để nâng cao đào tạo nhân lực CNTT, việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: kỹ giao tiếp, kỹ ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm, 3.2.5 Mạng Mạng có vai trò quan trọng với công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Nó giúp cơng ty thuận tiện việc kinh doanh, tìm hiểu công việc Nhưng thuận lợi lại chứa nhiều mối nguy hiểm tiềm ẩn như: virus, hacker, có chứa cơng nghệ cao Vì vậy, sau em xin đề xuất số biện pháp nhằm bảo mật mạng cho công ty: 3.2.5.1 Hệ thống tường lửa đa tầng Hệ thống tường lửa hệ thống kiểm soát truy nhập mạng Internet mạng nội Tường lửa có hai loại: phần cứng phần mềm Mỗi loại có ưu điểm khác Phần cứng có hiệu ổn định, khơng phụ thuộc vào hệ điều hành, virus, mã độc, ngăn chặn tốt giao thức tầng mạng mơ hình tham chiếu TCP/IP Phần mềm linh hoạt cấu hình giao thức tầng ứng dụng mơ hình TCP/IP Ví dụ, tường lửa tầng thứ loại bỏ hầu hết kiểu công trực diện vào hệ thống máy chủ web, máy chủ mail kiểu công phân tán (DDOS), tức hacker dùng công cụ tạo yêu cầu truy xuất tới máy chủ từ nhiều máy tính khác mạng với tần suất cao để nhằm làm cho máy chủ tải dẫn tới ngừng phục vụ Nhưng hacker khơng dừng lại đó, chúng vượt qua hệ thống tường lửa tầng thứ với gói tin hợp lệ để vào hệ thống mạng LAN Bằng giao thức tầng ứng dụng chúng lại đạt mục đích Chính triển khai hệ thống tường lửa phần mềm hỗ trợ làm gia tăng tính bảo mật cho toàn mạng Trong trường hợp hệ thống tường lửa gặp cố hệ thống lại kiểm sốt Hiện nay, hình thức cơng người có ý đồ xấu ngày nhiều tinh vi Ví dụ đơn vi tự cài đặt công cụ (Enthereal, Cain & abel ) máy tính làm việc máy tính xách tay để tiến hành nghe hay quét trực tiếp lên máy chủ, từ lấy tài khoản email, Web, FTP, SQL server nhằm thay 45 45 đổi điểm thi, tiền học phí nộp, thay đổi lịch cơng tác, Các hình thức cơng kiểu hệ thống tường lửa khơng thể phát Giải pháp hữu hiệu cho thực trạng xây dựng hệ thống IDS/IPS (Intrusion Detection System/Intrusion prevention system) IDS/IPS hệ thống bảo mật vô quan trọng, có khả phát công dựa vào dấu hiệu thiết lập sẵn đoạn mã độc hại, bất thường giao thông mạng, đồng thời loại bỏ chúng trước gây hại cho hệ thống 3.2.5.2 Xây dựng hệ thống cập nhật, sửa lỗi tập trung Công đoạn hacker tiến hành công khảo sát hệ thống đích để tìm lỗi hệ điều hành, dịch vụ, ứng dụng chúng chưa cập nhật website nhà cung cấp Thực trạng công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex cho thấy việc sử dụng sản phẩm phần mềm cập nhật vá lỗi, có riêng lẻ máy tính cá nhân, hội cho hacker dùng công cụ để khai thác lỗ hổng bảo mật Để cập nhật vá lỗi cho tất máy tính tồn hệ thống qua Internet thời gian tốn nhiều băng thông đường truyền không thống Giải pháp xây dựng hệ thống tự động cập nhật từ nhà cung cấp Internet máy chủ từ máy chủ này, triển khai cho tất máy khách toàn mạng Hệ thống WSUS (Windows Server Update Services) Microsoft cập nhật vá lỗi cho hệ điều hành Windows cơng ty mà cập nhật vá lỗi cho tất sản phẩm khác hãng bao gồm Internet Explorer, SQL server, Office, Mail, máy chủ Web, 3.2.5.3 Giải pháp mã hóa liệu đường truyền Dữ liệu máy chủ, máy tính cá nhân cơng ty chưa an tồn khơng mã hóa nội dung kể đường truyền Dữ liệu đọc bởi: - Người dùng đăng nhập thành cơng vào máy tính - Hacker dùng phần mềm capture (bắt) thông tin đường truyền - Tại máy chủ máy tính có lưu trữ liệu quan trọng, có liệu cần chia sẻ, thiết bị lưu trữ cần thiết phải tiến hành mã hóa nội dung, điều đảm bảo 46 46 có thiết bị lưu trữ, máy tính, người cơng khơng thể giải mã liệu Vì vậy, giải pháp Ipsec cho công ty triển khai hệ thống máy chủ máy người dùng thiết bị mạng phải cấu hình 3.2.5.4 Hệ thống chống virus Để cải thiện tốc độ xử lý tường lửa, cơng ty kích hoạt tính lọc cao cấp tường lửa (tường lửa vị trí phải xử lý lưu lượng lớn) Khi chương trình quét virus cài đặt nhằm phát ngăn chặn đoạn mã độc, chương trình gián điệp, email có tệp virus đính kèm, Nhưng để công ty đầu tư khối lượng lớn chương trình virus cho tất máy tính tồn quan kinh phí đầu tư cao Để phù hợp với số lượng ngân sách mà công ty đầu tư cho việc đảm bảo an toàn HTTT, giảm chi phí quyền, cơng ty triển khai mơ hình chống virus chủ-khách Hiện có nhiều hãng tiếng Norton, Kaspersky, Trend micro triển khai theo mơ hình Lợi ích triển khai hệ thống là: - Chi phí giảm nhiều so với cài đặt máy khách - Việc cập nhật phiên máy tính dễ dàng, nhanh chóng hiệu cao Dựng “hàng rào” bảo mật cho mạng wifi giúp hạn chế người lạ chiếm dụng băng thơng Internet mà giúp đảm bảo an tồn liệu cho cơng ty Trước tiên, công ty cần đăng nhập vào định tuyến không dây (router) hay thiết bị truy cập không dây (Access Point – AP) – gọi tắt thiết bị wifi Với router, cơng ty nhận IP cấp phát từ thiết bị, với AP, thông thường, cần thiết lập địa IP máy tính lớp địa IP AP Sau biết địa tài khoản truy cập thiết bị username, password, cơng ty đăng nhập vào thiết bị wifi 3.3 Một số kiến nghị 3.3.1 Kiến nghị với quan nhà nước • Tiếp tục nghiên cứu hồn thiện Luật Giao dịch điện tử, Luật Cơng nghệ thông tin, nghị định, văn hướng dẫn áp dụng luật Nhà nước cho phù hợp, đáp ứng yêu cầu hội nhập với điều luật quốc tế • Tăng cường ngân sách đầu tư cho hoạt động an tồn bảo mật thơng tin quốc gia, song song với việc đào tạo kiến thức an tồn bảo mật thơng tin cần thiết Qua 47 47 cần trọng cơng tác đào tạo đội ngũ cán đủ đạo đức tư cách, am hiểu hoạt động lĩnh vực công nghệ thông tin • Đầu tư phát triển sở hạ tầng: Nhà nước cần có dự án ưu tiên phục vụ mục tiêu phát triển an tồn thơng tin quốc gia với ngân sách tiêu tương ứng • Hợp tác tích cực với quốc gia có trình độ phát triển CNTT đại nhằm tranh thủ giúp đỡ, hỗ trợ mặt kinh nghiệm xây dựng thực thi sách pháp luật liên quan tới an tồn bảo mật thơng tin, tắt đón đầu việc nắm bắt cơng nghệ đại an tồn bảo mật nói chung 3.3.2 Kiến nghị với công ty CP vật liệu xây dựng phòng cháy chữa cháy Vinaconex • Ban lãnh đạo nên có sách đào tạo chun sâu chuyên môn liên quan đến CNTT cho nhân viên cách: mở buổi hội thảo để nâng cao nhận thức bảo mật thông tin doanh nghiệp cho nhân viên công ty, thiết lập phận chuyên trách vấn đề bảo mật • Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an tồn việc cần thiết • Các trang thiết bị công nghệ thông tin phải thường xuyên kiểm tra, khắc phục lỗi kịp thời • Cập nhật giải pháp bảo mật thơng tin tức thời có hiệu tối ưu với ngân sách, đặc điểm công ty 48 48 KẾT LUẬN Ngày nay, CNTT có bước phát triển mạnh mẽ mang lại lợi ích to lớn doanh nghiệp giúp cho doanh nghiệp định đắn trình hoạt động kinh doanh, góp phần đưa doanh nghiệp ngày phát triển Tuy nhiên với tinh vi hình thức cơng nhằm đánh cắp thơng tin quý giá doanh nghiệp mang lại tổn thất sản xuất kinh doanh doanh nghiệp Do đó, việc đảm bảo an tồn bảo mật cho HTTT quan tâm hàng đầu doanh nghiệp Bằng việc nghiên cứu vấn đề an tồn HTTT, nâng cao tính bảo mật doanh nghiệp, cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex cải thiện đáng kể tồn doanh nghiệp việc nâng cao mức độ an toàn bảo mật HTTT, đồng thời tăng cường tính liên kết phòng ban doanh nghiệp với nhà quản lý Khóa luận tốt nghiệp đưa sở lý luận an tồn bảo mật cho HTTT cơng ty, trình bày thực trạng an tồn bảo mật HTTT công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Từ đề xuất số giải pháp cần thiết thời điểm công ty, để góp phần đảm bảo an tồn cho HTTT cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex Mặc dù hoàn thành mục tiêu nghiên cứu đề tài, thời gian có hạn hạn chế mặt kiến thức nên tránh khỏi thiếu sót Trong thời gian tới, em tiếp tục nghiên cứu, bổ sung giải pháp phát triển để đáp ứng nhu cầu bảo mật thông tin công ty DANH MỤC TÀI LIỆU THAM KHẢO A.Tài liệu tham khảo Tiếng Việt [1] Bài giảng An tồn bảo mật thơng tin doanh nghiệp, Bộ mơn CNTT, Đại học Thương Mại [2] Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương Mại [3] Giáo trình Mạng máy tính, 2008, NXB Thơng tin truyền thông [4] Bài giảng Thiết kế triển khai Website, Bộ môn CNTT, Đại học Thương Mại B Tài liệu tham khảo Tiếng Anh [5] Dieter Gollmann, Computer Security, John Wiley & Sons, Inc [6].Frederick B Cohen, A Cryptographic Checksum for Integrity Protection, Computers and Security [7].Zhiqing Liu, Manage Component-Specific Access Control Differentiation and Composition, Retrieved April 2005, from Indiana University C Tài liệu tham khảo Website [8] http://www.bkav.com.vn [9] http://www.kaspersky.nst.com.vn - Website Kaspersky toàn cầu [10] http://www.pielab.com.vn [11] http://www.voer.edu.vn with PHIẾU ĐIỀU TRA TẠI CÔNG TY CỔ PHẦN VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA CHÁY VINACONEX (Lưu ý: Em cam kết giữ bí mật thơng tin riêng cơng ty dùng thông tin cung cấp phiếu điều tra cho mục đích khảo sát tởng hợp về trạng CNTT công ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 2.) A.THƠNG TIN CHUNG Số lượng máy trạm công ty (Bao gồm máy tính để bàn xách tay): Số lượng máy chủ: .chiếc 3.Mạng nội doanh nghiệp có máy? [] 20 máy [] Không kết nối mạng nội Mạng Internet công ty kết nối nào? [] Cáp quang [] ADSL [] Dùng chung với công ty khác [] Dial -up [] Không kết nối Đánh giá tốc dộ truy cập mạng công ty? [] Rất tốt [] Tốt [] Khá [] Trung bình [] Yếu Trong công ty, phần mềm sử dụng phổ biến? [] Hệ điều hành Windows tay [] Phần mềm chấm cơng dấu vân [] Phần mềm văn phòng MS Office [] Phần mềm kế toán Misa [] Phần mềm quản lý nhân tờ [] Phần mềm quản lý công văn, giấy [] Phần mềm khác (ghi rõ) Tỷ lệ nhân viên khối văn phòng sử dụng máy tính thướng xuyên cho công việc? [] Dưới 5% [] Từ 5% - 20% [] Từ 20% - 50% []Từ 50% - 80% [] Trên 80% B THÔNG TIN RIÊNG Cơng ty có hình thức đào tạo CNTT cho nhân viên? [] Mở lớp đào tạo [] Gửi nhân viên học [] Đào tạo chỗ theo nhu cầu cơng việc [] Tổ chức học nhóm [] Khơng đào tạo HTTT cơng ty có giải pháp bảo mật nào? [] Cơ chế dự phòng phục hồi liệu thống [] Dò tìm phát lỗ hổng hệ [] Mã hóa thông tin [] Sử dụng phần mềm diệt virus [] Chưa có Cơng ty có giải pháp bảo mật phần cứng nào? [] Sử dụng lớp Firewall bên máy chủ [] Giải pháp khác (ghi rõ) [] Sử dụng Firewall bảo vệ hệ thống [] Khơng có giải pháp Hiệu biện pháp đảm bảo ATTT cho phần cứng? [] Rất tốt [] Tốt []Bình thường [] Kém Cơng ty sử dụng giải pháp bảo vệ phần mềm liệu nào? [] Sử dụng phần mềm diệt virus liệu [] Thực lưu phục hồi [] Mã hóa nén liệu [] Giải pháp khác [] Khơng có giải pháp Mức độ hài lòng nhân viên cơng ty phần mềm ứng dụng? [] Rất hài lòng [] Bình thường [] Hài lòng [] Chưa hài lòng [] Khơng quan tâm Cách thức đảm bảo ATTT sử dụng [] Phần mềm diệt virus [] Phần mềm mã hóa [] Mạng riêng ảo (VPN) [] Giao thức mạng (SSL, SET, TLS) [] Phần mềm khác (ghi rõ) Đánh giá mức độ an tồn bảo mật cơng ty [] Rất tốt [] Tốt [] Khá [] Trung bình [] Yếu Công ty sử dụng phương pháp lưu trữ liệu nào? [] Sử dụng điện toán đám mây [] Lưu vào máy chủ [] Lưu vào máy tính cá nhân [] Lưu trữ thủ cơng [] Khơng lưu trữ [] Khác (ghi rõ) 10 Đánh giá chất lượng phần cứng công ty? [] Tốt [] Khá [] Trung bình [] Yếu 11 Doanh nghiệp có cán chun trách CNTT hay khơng? [] Có đội ngũ chun gia [] Có phòng kỹ thuật phụ trách [] Chỉ có cán phụ trách [] Khơng có cán [] Không biết 12 Nhu cầu cán CNTT doanh nghiệp nào? [] Đủ [] Thừa [] Thiếu [] Không biết 13 Cách thức bảo vệ CSDL sử dụng công ty? [] Phân quyền NSD [] Mã hóa tài liệu [] Đặt password [] Tất 14 Trình độ CNTT nhân viên công ty [] Tốt [] Khá [] Trung bình [] Kém 15.Việc đào tạo nhân viên CNTT [] Rất quan tâm [] Chưa quan tâm [] Quan tâm [] Không quan tâm 16 Các thiết bị bảo mật phần cứng [] Firewall phần cứng [] Đĩa mềm [] Ổ USB [] Các thiết bị khác [] Khơng có thiết bị 17 Ngân sách mà công ty dự định đầu tư cho công tác bảo mật thông tin CSDL? [] 50 triệu Người tham gia ... THƠNG TIN, NÂNG CAO TÍNH BẢO MẬT TẠI CÔNG TY CỔ PHẦN VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA CHÁY VINACONEX 2.1 Cơ sở lý luận an tồn hệ thống thơng tin, nâng cao tính bảo mật cơng ty cổ phần vật liệu. .. luận đảm bảo an toàn hệ thống thơng tin, nâng cao tính bảo mật cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 2.1.2.1 Các đặc trưng hệ thống thông tin bảo mật Một HTTT bảo mật hệ. .. luận: Một số giải pháp đảm bảo an tồn hệ thống thơng tin, nâng cao tính bảo mật cơng ty cổ phần vật liệu xây dựng phòng cháy chữa cháy Vinaconex 2”, mục tiêu cụ thể đặt làm rõ vấn đề an tồn hệ thống