1 LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn thầy giáo Nguyễn Quang Trung hướng dẫn tận tình, bảo em suốt thời gian thực đề tài để em hồn thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin công ty Cổ phần cấp nước Sơn Tây Em xin bày tỏ lòng cảm ơn sâu sắc tới thầy cô giáo, đặc biệt Khoa Hệ Thống Thông Tin Kinh Tế giảng dạy em suốt bốn năm ngồi ghế giảng đường trường Đại học Thương Mại, giúp em trang bị kiến thức để làm tốt đề tài khóa luận vững bước vào tương lai Em xin gửi lòng biết ơn sâu sắc đến quý công ty Cổ phần cấp nước Sơn Tây, ban lãnh đạo cơng ty tồn thể nhân viên công ty tạo điều kiện cho em tìm hiểu, nghiên cứu suốt trình thực tập cơng ty để em hồn thành khóa luận tốt nghiệp Mặc dù cố gắng hoàn thành luận văn với tất nỗ lực thân, thời gian nghiên cứu hạn hẹp, trình độ khả thân hạn chế Vì vậy, khóa luận chắn khơng tránh khỏi thiếu sót, kính mong thầy giáo Nguyễn Quang Trung, thầy cô giáo khoa Hệ Thống Thơng Tin Kinh Tế tận tình bảo để em hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC SƠ ĐỒ, BẢNG BIỂU, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT v PHẦN 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI .1 1.1 Tầm quan trọng, ý nghĩa đề tài nghiên cứu 1.2 Tổng quan tình hình nghiên cứu 1.2.1 Tổng quan tình hình nghiên cứu Việt Nam ……………………………2 1.2.2 Tổng quan tình hình nghiên cứu giới ……………………………3 1.3 Mục tiêu nghiên cứu đề tài 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài……………………………………………6 1.4.2 Phạm vi nghiên cứu đề tài………………………………… …………6 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu………………………………………………7 1.5.2 Phương pháp phân tích xử lý liệu……………………………………8 1.6 Kết cấu khóa luận PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY 2.1 Cơ sở lý luận 2.1.1 Một số khái niệm an toàn bảo mật liệu………………… 2.1.2 Một số lý thuyết an toàn bảo mật liệu cho HTTT…….……11 2.2 Kết phân tích thực trạng an tồn bảo mật Cơng ty Cổ phần cấp nước Sơn Tây .13 2.2.1 Thực trạng chung doanh nghiệp 13 2.2.2 Phân tích thực trạng bảo mật hệ thống 16 2.3 Đánh giá an tồn bảo mật hệ thống thơng tin công ty Cổ phần cấp nước Sơn Tây 23 2.3.1 Ưu điểm 23 2.3.2 Nhược điểm 23 PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN VÀ BẢO MẬT HTTT CỦA CƠNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY 25 3.1 Định hướng phát triển an tồn bảo mật thơng tin hệ thống thông tin công ty cổ phần cấp nước Sơn Tây 25 3.1.1 Định hướng phát triển chung 25 3.1.2 Định hướng phát triển công ty 26 3.2.Giải pháp nâng cao an toàn bảo mật cho hệ thống thông tin công ty………………………………………………………… ………………………26 3.2.1 Giải pháp đầu tư trang thiết bị phần cứng……………………………….27 3.2.2 Giải pháp đầu tư phần mềm .35 3.2.3 Quản lý sở liệu 43 3.2.4 Nâng cấp hệ thống mạng 44 3.2.5 Nâng cao trách nhiệm kiến thức người dùng 45 3.3 Một số kiến nghị với doanh nghiệp 46 KẾT LUẬN 49 DANH MỤC TÀI LIỆU THAM KHẢO 50 PHỤ LỤC DANH MỤC SƠ ĐỒ, BẢNG BIỂU, HÌNH VẼ Sơ đồ 1.2: Sơ đồ tổ chức cấu công ty 13 Bảng 2.1 Bảng tổng hợp sản lượng doanh thu 15 Bảng 2.2: Bảng tổng hợp sản lượng theo mức giá 15 Biểu đồ 2.1: Biểu đồ thể mức độ quan tâm lãnh đạo việc áp dụng CNTT, HTTT, TMĐT 19 Biểu đồ 2.2: Đánh giá chất lượng sử dụng phần mềm 20 Biểu đồ 2.3: Biểu đồ thể tần suất cập nhật thông tin website hợp lý 21 Biểu đồ 2.4: Biểu đồ thể tỉ lệ biện pháp bảo đảm liệu .22 Biểu đồ 2.5: Biểu đồ thể tỉ lệ người sử dụng phần mềm bảo mật 22 Hình 3.1: Cisco RV016 Multi-WAN VPN Router 27 Hình 3.2: Tường lửa cho hệ thống mạng .29 Hình 3.3: Cho phép người dùng bên ngồi truy cập vào dịch vụ bên tường lửa Windows 41 Hình 3.4: Chọn chương trình bạn muốn thêm .42 DANH MỤC TỪ VIẾT TẮT Từ viết tắt ATTT CP CNTT CPU CSDL DN DES DOS EFS HTTT HDD HĐH HTTP Diễn giải IETF Internet Engineering Task Force IMAP LAN NXB Internet Messaging Access Protocol Local Area Network SPSS SQL SSL TMĐT WEP WPS Central Processing Unit Data Encryption Standard Denial of Service Encrypting File System Hard Disk Drive HyperText Transport Protocol Statistical Package for Sciences Structured Query Language Secure Socket Layer Wireless Encryption Protocol Wifi Protected Access Social Nghĩa tiếng Việt An tồn thơng tin Cổ phần Cơng nghệ thông tin Bộ xử lý trung tâm Cơ sở liệu Doanh nghiệp Tiêu chuẩn mã hoá liệu Tấn cơng từ chối dịch vụ Mã hóa file hệ thống Hệ thống thông tin Ổ cứng Hệ điều hành Giao thức truyền tải siêu văn Lực lượng chuyên trách kỹ thuật liên mạng Mạng cục Nhà xuất Gói thống kê khoa học xã hội Ngơn ngữ truy vấn cấu trúc Giao thức truyền thông Thương mại điện tử Giao thức mã hố mạng khơng dây Phương thức liên minh wifi PHẦN 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1 Tầm quan trọng, ý nghĩa đề tài nghiên cứu Trong kinh tế toàn cầu hóa nay, cơng nghệ thơng tin chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an tồn bảo mật thơng tin xem sống doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin đối mặt với nguy an toàn yếu tố bên bên ngồi doanh nghiệp Việc đảm bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Trong có cơng ty Cơng ty cổ phần cấp nước Sơn Tây nói riêng với doanh nghiệp nói chung có biện pháp đảm bảo an tồn thơng tin, bảo vệ sống doanh nghiệp Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: “Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty cổ phần cấp nước Sơn Tây” 1.2 Tổng quan tình hình nghiên cứu 1.2.1 Tổng quan tình hình nghiên cứu Việt Nam Trong tình hình cơng trình nghiên cứu an tồn bảo mật thơng tin trong nước có chuyển biến tích cực, nhiều cơng trình nghiên cứu, sách tài liệu khoa học an tồn bảo mật thơng tin đời như: Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê Giáo trình đưa vấn đề liên quan đến an toàn liệu TMĐT khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy an toàn liệu TMĐT, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an tồn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh vận dụng thuận lợi công việc hàng ngày Bộ mơn Cơng nghệ thơng tin (2014), Bài giảng an toàn bảo mật hệ thống thông tin, Đại học Nha Trang Bài giảng đưa số vấn đề an tồn bảo mật thơng tin việc khắc phục, bảo vệ thông tin trình truyền thơng tin mạng bảo vệ hệ thống máy tính, mạng máy tính, khỏi xâm nhập phá hoại từ bên giúp cho nhà kinh doanh doanh nghiệp áp dụng cho hệ thống Vũ Anh Tuấn, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an toàn thông tin thương mại điện tử”, Đại học Thái Nguyên, 2008 Luận văn đưa số cơng cụ phương pháp nhằm đảm bảo an tồn thơng tin TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu luận văn dừng lại việc đảm bảo an tồn thơng tin TMĐT khơng bao qt tồn vấn đề ATTT nói chung sâu vào doanh nghiệp cụ thể Nguyễn Thị Thúy, Luận văn tìm hiểu “Thực trạng bảo mật an tồn mạng Việt Nam giai đoạn 2006- 2009”, Đại học An Giang Luận văn đưa vấn đề liên quan đến: Khái niệm , mục tiêu, u cầu an tồn thơng tin, nguy gây an tồn thơng tin, hình thức cơng Bên cạnh đó, đề tài đề cập đến phương pháp phòng tránh cơng gây an tồn thơng tin biện pháp khắc phục hậu thông dụng, phổ biến Tuy nhiên đề tài chủ yếu sâu nghiên cứu an toàn liệu Thương mại điện tử, hệ thống mạng Vẫn chưa sâu nghiên cứu nguy an toàn HTTT, liên quan đến người ( nhà quản trị mạng, nhân viên công nghệ thông tin )… ThS Nguyễn Tiến Đức (2002),“Tình hình an ninh thơng tin Việt Nam tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ thông tin Việt Nam Ở đây, tác giả nêu cách tổng qt tình hình an ninh thơng tin Việt Nam tiếp cận tiêu chuẩn tổ chức, doanh nghiệp nói chung, đặc biệt doanh nghiệp hoạt động lĩnh vực Công nghệ thông tin ( CNTT) thời điểm giới đánh giá mức độ an toàn thơng tin doanh nghiệp Việt Nam yếu Tuy nhiên, đề tài chưa nghiên cứu đến khả ứng dụng thực tế quy trình xây dựng hệ thống an ninh bảo mật vào doanh nghiệp cụ thể Cùng quy trình triển khai ISO 27001 ứng với doanh nghiệp có mức độ phạm vi áp dụng khác 1.2.2 Tổng quan tình hình nghiên cứu giới Ở Việt Nam nói riêng Thế giới nói chung, có khơng người quan tâm nghiên cứu đưa phương hướng giải pháp đảm bảo an toàn bảo mật thơng tin nói chung Cơng nghệ thơng tin ngày phát triển dẫn đến nhiều hình thức tinh vi, tiểu sảo, nhiều công đánh cắp liệu vào website doanh nghiệp lớn nhỏ, tổ chức, phủ… Hay gần vụ công vào trang thông tin điện tử Cơ quan tình báo Trung ương Mỹ CIA Interpol, gây hậu đặc biệt nghiêm trọng Các số liệu thống kê thực tế cho thấy công mạng ngày mạnh mẽ hơn, chuyên nghiệp ngày khó khăn để ngăn chặn William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Kiểm tra thực hành an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Các chương trình mã hóa sử dụng rộng rãi dựa liệu Encryption Standard (DES) thông qua vào năm 1977 Cục Tiêu chuẩn Quốc gia, Viện Tiêu chuẩn Công nghệ (NIST), tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46) Đối với DES, liệu mã hóa khối 64bit sử dụng chìa khóa 56-bit Các thuật tốn biến đổi 64-bit đầu vào loạt bước vào đầu 64-bit Các bước tương tự, với phím, sử dụng để đảo ngược mã hóa DES với việc sử dụng rộng rãi Nó chủ đề nhiều tranh cãi liên quan đến bảo mật DES Để đánh giá chất tranh cãi, nhanh chóng xem lại lịch sử DES Tính ngăn chặn chế độ thuật toán, mã hoá hoạt động, bao gồm chế độ CMAC (Cipher-based Message Authentication Code) để xác thực chế độ mã hoá chứng thực Bao gồm phương pháp giải quyết, mở rộng cập nhật phần mềm độc hại kẻ xâm hại Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results Bài báo trình bày kết từ dự án nghiên cứu thực tập trung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp (Enterprise Information Security), dự án phần chương trình nghiên cứu toàn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research Programme (EARP) EARP khai thác phần cấu trúc doanh nghiệp cách tiếp cận để quản lý tổng danh mục hệ thống thông tin cơng ty Các bên liên quan Cấu trúc Doanh nghiệp CIO (Chief Information Officer) chịu trách nhiệm quản lý phát triển hệ thống thông tin doanh nghiệp Mục tiêu tổng thể chương trình nghiên cứu cung cấp chức CIO với công cụ phương pháp dựa cấu trúc để lập kế hoạch định liên quan đến hệ thống thơng tin tồn doanh nghiệp Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons Cuốn sách viết vấn đề phản ánh vai trò trung tâm hoạt động, nguyên tắc, thuật toán giao thức bảo mật Internet.Đưa biện pháp khắc phục mốiđe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việcđảm bảoan ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng.Tồn vẹn thơng điệp cần thiết liệu bị thay đổi kẻ công thông qua đường truyền Internet.Các tài liệu sách trình bày lý thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng.Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet * Các luận văn báo đem đến cho người đọc hiểu biết định an tồn bảo mật thơng tin, đưa nguyên nhân chủ quan khách quan dẫn đến việc rò rỉ thơng tin doanh nghiệp Qua giúp doanh nghiệp hiểu rõ hệ thống thơng tin đưa giải pháp khắc phục Tuy nhiên, khoa học cơng nghệ nói chung CNTT nói riêng ln có bước phát triển phút, giây Nhờ trình độ người nâng cao, nhu cầu doanh nghiệp lớn nhiều Chính thế, giải pháp dường chưa thể đầy đủ đáp ứng yêu cầu bảo mật Hơn nữa, kết tài liệu kể kết tìm hiểu, nghiên cứu tài liệu để hệ thống lại vấn đề không vào ứng dụng quan hay tổ chức cụ thể Như vậy, theo hiểu biết nghiên cứu thân, đề tài: “ Một số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin Công ty cổ phần cấp nước Sơn Tây” khơng trùng lặp với đề tài trước 1.3 Mục tiêu nghiên cứu đề tài Hiện nay, hầu hết doanh nghiệp phải đối mặt với nguy an tồn thơng tin việc đảm bảo an tồn thơng tin lại khơng trọng, không thực thường xuyên Nguyên nhân phần lớn cán bộ, nhân viên không trọng tới việc bảo đảm an tồn thơng tin doanh nghiệp, không ý thức tầm quan trọng việc đảm bảo an tồn thơng tin doanh nghiệp, 42 trước, việc tắt mở tường lửa ảnh hưởng đến tồn kết nối máy tính Để tắt hay mở tường lửa, bạn chọn menu Start, gõ vào tìm kiếm lệnh từ khóa “Firewall” chọn ứng dụng Windows Firewall Ở menu cạnh trái, bạn chọn mục Turn Windows Firewall On or Off Người dùng thường tắt tính tường lửa mặc định Windows cài chương trình tường lửa chuyên dụng khác Hình 3.3: Cho phép người dùng bên ngồi truy cập vào dịch vụ bên tường lửa Windows Mặc định, tường lửa Windows có danh sách ứng dụng mà người dùng bên ngồi tự xuyên qua firewall để truy cập vào bên Trong cửa sổ Windows Firewall trên, bên cạnh trái, bạn chọn mục Allow a program or feature through Windows Firewall Trong cửa sổ danh sách ứng dụng vừa ra, bạn đánh dấu chọn cạnh trái ứng dụng hay tính phép người dùng bên sử dụng mà khơng bị tường lửa ngăn cản Thao tác bỏ dấu chọn loại ứng dụng khỏi tính Bạn định mở tường lửa cho ứng dụng chọn với dạng kết nối mạng nào, Home/Work hay Public Nếu ứng dụng bạn định chia thông qua tường lửa, chúng khơng có sẵn danh sách mặc định này, bạn bấm vào nút Allow another program Sau bạn chọn chương trình phép truy cập thơng qua tường lửa danh 43 sách, nhấn nút Browse để lựa chọn tập tin thư mục đĩa cứng Trong phần Network Connection Types, bạn chọn đánh dấu mục Home/Work Public tương tự Hình 3.4: Chọn chương trình bạn muốn thêm Khi bạn mua tường lửa phần mềm bạn cần phần mềm có tính bổ sung Đây số tính cần cân nhắc bạn mua hàng Lưu ý số tính liệt kê phần mềm "khuyến mãi" cung cấp với tường lửa Chúng không thiết gắn sẵn phần mềm Phần mềm diệt virut: Hiện virus có mặt khắp nơi việc có phần mềm diệt virus có ý nghĩa quan trọng sống Nhiều nhà sản xuất tường lửa cung cấp phần mềm diệt virus Một số chí cung cấp nhiều gói đặc biệt (hoặc giảm giá) bạn mua hai Phầm mềm ngăn chặn cửa sổ bật lên (pop-up): Một phần phiền hà Internet số lượng quảng cáo vơ hạn Có quảng cáo banner (ảnh quảng cáo tĩnh/động trang web), quảng cáo pop-up quảng cáo popunder (cửa sổ bật xuống) Một phần mềm ngăn chặn quảng cáo tốt giảm đáng kể số pop-up khơng mong muốn Chương trình chống gián điệp: Bạn chưa nghe nói trước đây, phần mềm gián điệp phần mềm bắt đầu phát sinh nguy hiểm Internet 44 Một chương trình gián điệp tự nhúng vào máy tính bạn gửi thơng tin cá nhân trở lại nơi xuất phát Nó đơn giản trang web mà bạn ghé thăm, xảo quyệt ghi giao dịch ngân hàng bạn Một gói phần mềm chống gián điệp tốt chẩn đoán gỡ bỏ phần mềm gián điệp từ máy tính bạn 3.2.3 Quản lý sở liệu Hiện tại, Công ty cổ phần cấp nước Sơn Tây sử dụng hệ quản trị CSDL SQL Server với tính như: mã hóa suốt hiệu quả, khả giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL cơng cụ sách, khả tích hợp với System Center, lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng Tuy hệ quản trị có nhiều chức trội để đảm bảo mục tiêu ATTT, công ty cần quan tâm tới số vấn đề sau:  Tổ chức quản lý tài nguyên Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, tuyệt đối khơng chia sẻ tồn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục nên sử dụng mật để bảo vệ thông tin Bên cạnh việc bảo mật liệu mềm máy tính, cơng ty ln phải ý tới tính an tồn bảo mật liệu cứng như: báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất… Các tài liệu việc bảo quản cẩn thận tủ hồ sơ cơng ty cần lưu để lưu trữ máy chủ CSDL công ty  Tổ chức quản lý tài khoản Các tài khoản định danh người dùng hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thơng tin tháng lần thông qua công cụ hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, công chức, viên chức chuyến công tác, chấm dứt hợp đồng lao động 45  Thiết lập cấu hình sở liệu an tồn  Ln cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu;  Gỡ bỏ sở liệu không sử dụng;  Có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật ký CSDL với nội dung như: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi,  Quản lý đăng nhập hệ thống Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống Hệ thống tự động khóa tài khoản lập tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa (quay số, internet, ), đăng nhập có chức quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật 3.2.4 Nâng cấp hệ thống mạng Đối phó với vấn nạn an toàn liệu nay, giao thức bảo mật sử dụng giải pháp quan trọng hàng đầu Do hầu hết phiên phần mềm dựa vào TCP/IP Microsoft hỗ trợ SSL nên Cơng ty sử dụng giao thức mạng an tồn mà phổ biến Tiếp đến, Cơng ty cần xây dựng lại toàn hệ thống mạng theo mơ hình Client-Server Việc sử dụng mơ hình mạng ngang hàng Peer-to-Peer phòng ban làm nguy ATTT tăng lên Trong mơ hình Client-Server, thành phần xử lý ứng dụng hệ thống Client đưa yêu cầu cho phần mềm sở liệu máy Client, phần mềm kết nối với phần mềm sở liệu chạy Server Phần mềm sở liệu Server truy nhập vào sở liệu gửi trả kết cho máy Client Mơ hình mạng giúp hạn chế lượng thông tin lưu chuyển mạng (thông tin chuyển tới địa yêu cầu), nguy ATTT giảm theo Ngồi ra, để thuận tiện cho nhân viên đơi phải làm việc di động cung cấp thông tin cần thiết cho đối tác, khách hàng, Công ty nên xây dựng hệ thống mạng riêng ảo(VPN) Đây mạng riêng sử dụng hệ thống mạng công 46 cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Do quy mô công ty không lớn yêu cầu làm việc xa không nhiều nên để tiết kiệm chi phí, cơng ty thiết lập mạng riêng ảo dựa chức sẵn có đực cung cấp hệ điều hành Window 3.2.5 Nâng cao trách nhiệm kiến thức người dùng Trong thời đại phát triển CNTT nay, công ty nên trang bị kiến thức an toàn bảo mật cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an tồn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật CSDL cho cơng ty Cần phải làm rõ điều rằng, nhân viên không copy thơng tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Để thực giải pháp để nâng cao an tồn bảo mật CSDL cho cơng ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Ban lãnh đạo nhân viên công ty nên nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm sốt người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp cơng ty có quy định việc đeo thẻ vào làm việc nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục 47 công ty nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề cơng ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.3 Một số kiến nghị với doanh nghiệp Theo ông Vũ Quốc khánh, Giám đốc VNCERT – Bộ Thông tin Truyền thơng, an ninh bảo mật thơng tin mạng Việt Nam nhiều thách thức, đặc biệt nguồn nhân lực có trình độ (thường phải cao) thiếu trầm trọng, đầu tư cho lĩnh vực nhỏ giọt, nói quan tâm chưa tầm Đảm bảo ATBM HTTT công ty cổ phần Cấp nước Sơn Tây công việc riêng người quản trị HTTT công ty mà tồn nhân viên cơng ty có trách nhiệm bảo vệ thông tin, HTTT tài sản sống doanh nghiệp điều phải xem thành phần văn hóa kinh doanh công ty Dưới số kiến nghị chung nhằm thúc đẩy việc đảm bảo ATBM HTTT: - Đẩy mạnh tuyên truyền nâng cao nhận thức doanh nghiệp ATBM HTTT - Đầu tư phát triển sở hạ tầng - Đào tạo nguồn nhân lực cho ATBM HTTT: Để đẩy mạnh chương trình ATBM HTTT nhu cầu nguồn nhân lực am hiểu CNTT có trình độ chun mơn cần thiết 48 - Cập nhật trang thiết bị phần cứng, phần mềm để thích ứng với giải pháp an tồn bảo mật thơng tin hệ thống mạng doanh nghiệp - Các trang thiết bị công nghệ thông tin phải kiểm tra thường xuyên, khắc phục lỗi trục trặc nhanh chóng kịp thời - Đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động cơng ty Là người trực tiếp tìm hiểu thực nghiên cứu hoạt động kinh doanh công ty cổ phần Cấp nước Sơn Tây, hoạt động an tồn bảo mật thơng tin doanh nghiệp nói riêng, xin đưa vài kiến nghị để giúp doanh nghiệp hồn thiện cơng tác an tồn bảo mật thơng tin Đó là: - Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an tồn việc cần thiết - Mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an toàn bảo mật thông tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chun mơn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện công việc máy có hỗ trợ tin cậy từ phía nhân viên Ngồi ra, để bảo vệ an ninh mạng an tồn thơng tin, doanh nghiệp, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước Ngày quy mô khả lan rộng nguy bảo mật khơng gói gọn quốc gia - Đào tạo nhân lực công ty Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chuyên môn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm 49 cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện cơng việc máy có hỗ trợ tin cậy từ phía nhân viên Cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật HTTT cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng liệu Kiểm soát nội chặt chẽ đề quy định riêng an tồn bảo mật HTTT cho cơng ty Đề nghị tăng thêm số lượng nhân viên CNTT, nhân viên CNTT có trình độ đại học phải có kinh nghiệm ATBM HTTT Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng, nghiêm khắc xử lí trường hợp vi phạm 50 KẾT LUẬN Hiện CNTT vào đời sống, vào doanh nghiệp với phương thức hoạt động hoàn toàn mẻ, sáng tạo nhanh chóng, tiết kiệm nhiều thời gian, cơng sức mà khơng xác, làm cho cơng việc thuận lợi phát triển lên nhiều Đặc biệt, đánh dấu bước ngoặt việc áp dụng tin học vào hệ thống quản lý, doanh nghiệp thu thập, xử lý, phổ biến thông tin, cách nhanh chóng, xác có hiệu Bên cạnh cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Tuy nhiên vấn đề mát liệu, liệu bị ăn cắp vấn đề mà công ty tổ chức lo lắng Cho nên việc đảm bảo nâng cao an toàn bảo mật liệu quan tâm hàng đầu Mặc dù vậy, giải pháp an toàn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công HTTT Trong báo cáo, em giải mục tiêu đề mục 1.3 đề tài với giải pháp như: Việc quản trị nâng cao nhận thức cho nhân viên, nâng cao việc lưu trữ mã hoá liệu, sử dụng phần mềm ngăn chặn nguy công liệu, nâng cấp hệ thống máy chủ công ty, nhiên với trình độ thời gian có hạn đề tài chắn nhiều vấn đề thiếu sót Em mong xem xét đóng góp ý kiến của quý thầy cô Mong thời gian tới, công ty làm tốt hoạt động giao dịch thương mại điện tử mình, giúp cho doanh nghiệp ngày phát triển, đủ sức cạnh tranh với nhiều thương hiệu có uy tín ngành Một lần nữa,em xin chân thành cảm ơn quý công ty, cảm ơn thầy Nguyễn Quang Trung giúp đỡ tận tình tạo điều kiện thuận lợi cho em q trình nghiên cứu, hồn thiện khóa luận tốt nghiệp Em xin chân thành cảm ơn! 51 DANH MỤC TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thông tin quản lí, Trường ĐH Thương Mại [2] Bộ mơn Cơng nghệ thơng tin (2014), Bài giảng an tồn bảo mật hệ thống thông tin, Đại học Nha Trang [3] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [4] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa [5] Vũ Anh Tuấn, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Thái Nguyên, 2008 [6] Nguyễn Thị Thúy, Luận văn tìm hiểu “Thực trạng bảo mật an toàn mạng Việt Nam giai đoạn 2006- 2009”, Đại học An Giang [7] ThS Nguyễn Tiến Đức (2002),“Tình hình an ninh thông tin Việt Nam tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ thông tin Việt Nam [8] William Stallings, Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 [9] Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results [10] Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons [9] http://netadmin.vnu.edu.vn/ Trung tâm ứng dụng công nghệ thông tin [10] http://capnuocsontay.vn/ Website Công ty cổ phần cấp nước Sơn Tây PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT VIỆC PHÁT HIỆN CÁC LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY THÔNG TIN CHUNG: Tên doanh nghiệp: ……………………………………………… Địa trụ sở chính: ………………………………………………… Thơng tin liên hệ người điền phiếu: Họ tên: Nam/ nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: Địa chỉ: I) Hệ thống thông tin doanh nghiệp 1) Số lượng nhân viên: 2) Vốn điều lệ (VND): 3) Tổng số máy tính: - Tổng số máy chủ: - Tổng số máy để bàn: - Tổng số máy xách tay: 4) Tổng số máy tính có kết nối Internet băng rộng: 5) Tổng số đơn vị trực thuộc tham gia mạng diện rộng doanh nghiệp(nếu có): 6) Các ứng dụng triển khai trụ sở doanh nghiệp: - Quản lý văn điều hành công việc: - Tin học văn phòng: - Quản lý tài - kế toán: - Quản lý nhân - tiền lương: - Quản lý tài sản: - Quản lý kho - vật tư: - Quản lý khách hàng (CRM): - Quản lý nhà cung cấp, đối tác (SCM): - Quản lý hoạch định nguồn lực doanh nghiệp (ERP): - Thư điện tử nội bộ: - Khác (liệt kê chi tiết) : 7) Theo anh/chị cơng ty có áp dụng cơng nghệ thông tin vào hoạt động sản xuất kinh doanh hay khơng? Có Khơng 8) Theo anh/chị phòng ban cơng ty có trang bị đầy đủ máy tính thiết bị cơng nghệ thơng tin phục vụ cho hoạt động sản xuất kinh doanh không? Có Khơng 9) Theo anh/chị cơng ty có quan tâm đầu tư cho việc xây dựng hệ thống thông tin an tồn bảo mật hay khơng? Có Khơng 10) Theo anh/chị, hệ thống thơng tin doanh nghiệp có lỗ hổng bảo mật khơng? Có Khơng 11) Mức độ quan tâm tới vấn đề an toàn bảo mật doanh nghiệp: Rất quan tâm Ít quan tâm Khơng quan tâm Quan tâm Khá quan tâm 12) Hệ thống thông tin doanh nghiệp phụ trách? Phòng CNTT phụ trách Giám đốc phụ trách Th ngồi Khơng có phận phụ trách Một phận khác phụ trách 13) Theo anh/chị hệ thống thơng tin doanh nghiệp an toàn nào? Rất an toàn An tồn Khá an tồn Khơng an tồn Kém an tồn 14) Hệ thống thông tin doanh nghiệp đầu tư trang thiết bị nào? Thường xuyên đầu tư Hiếm đầu tư Thỉnh thoảng đầu tư Không đầu tư 15) Hệ thống thông tin doanh nghiệp bị công hay chưa? Bị cơng nhiều Chưa bị cơng Ít bị công Không thể bị công 16) Theo anh/chị hệ thống thơng tin doanh nghệp có cần bảo vệ an tồn hay khơng? Có Khơng II) Về lỗ hổng phần cứng hệ thống thông tin doanh nghiệp Anh/chị có biết lỗ hổng phần cứng hệ thống thông tin doanh nghiệp? Biết rõ Biết chút Biết Không biết Theo anh/chị doanh nghiệp xảy cố phần cứng làm ảnh hưởng đến hệ thống thông tin doanh nghiệp? Cháy nổ thiết bị phần cứng máy tính Hỏng RAM liệu Thiên tai, bão lũ lụt gây hỏng phần cứng Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần cứng hệ thống thông tin doanh nghiệp hay không? Rất cần Khá cần thiết Cần thiết Khơng cần thiết Ít cần thiết Theo anh/chị lỗ hổng phần cứng gây nguy hiểm đến hệ thống thông tin doanh nghiệp? Rất nguy hiểm Ít nguy hiểm Nguy hiểm Khơng nguy hiểm Khá nguy hiểm III) Về lỗ hổng phần mềm hệ thống thơng tin doanh nghiệp Anh/chị có biết lỗ hổng phần mềm hệ thống thông tin doanh nghiệp? Rất biết Khá biết Biết Không biết Theo anh/chị doanh nghiệp xảy cố phần mềm làm ảnh hưởng đến hệ thống thông tin doanh nghiệp? Không cập nhật phần mềm diệt Virus thường xuyên Phần mềm sử dụng bị lỗi Hệ điều hành máy tính gặp cố Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần mềm hệ thống thông tin doanh nghiệp hay không? Rất cần Ít cần thiết Khá cần thiết Khơng cần thiết Theo anh/chị lỗ hổng phần mềm gây nguy hiểm đến hệ thống thông tin doanh nghiệp? Rất nguy hiểm Ít nguy hiểm Nguy hiểm Không nguy hiểm Khá nguy hiểm IV) Lỗ hổng xuất phát từ yếu tố người Theo anh/chị người có ảnh hưởng đến mức độ an tồn hệ thống thơng tin doanh nghiệp khơng? Có Khơng Theo anh/chị người có tầm quan trọng hệ thống thông tin doanh nghiệp? Rất quan trọng Ít quan trọng Quan trọng Khơng quan trọng Khá quan trọng Tình hình nhân công ty nào? Gia tăng liên tục Không tăng Thỉnh thoảng tăng Sa thải liên tục Theo anh/chị nhân viên cơng ty am hiểu an tồn hệ thống thơng tin doanh nghiệp? Rất am hiểu Ít am hiểu Khơng am hiểu Khá am hiểu Theo anh/chị hoạt động nhân viên gây an tồn thơng tin doanh nghiệp? Sử dụng thiết bị chép khơng an tồn Truy cập trái phép hệ thống thơng tin doanh nghiệp Thói quen sử dụng Webmail (Mail, Yahoo!, Gmail) Hoạt động khác V) Về giải pháp doanh nghiệp vấn đề an toàn bảo mật Theo anh/chị doanh nhiệp có biện pháp để khắc phục lỗ hổng an tồn bảo mật hay khơng? Có Khơng Các giải pháp mà doanh nghiệp đưa để đảm bảo an tồn thơng tin cho hệ thống nào? Rất tốt Khá tốt Tốt Không tốt Vấn đề khác (Phần tùy chọn): Anh/chị có giải pháp hay kiến nghị với doanh nghiệp để đảm bảo an tồn hệ thống thơng tin doanh nghiệp? Anh/chị có đề xuất hay kiến nghị với quan liên quan (nhà nước) để đảm bảo an tồn thơng tin doanh nghiệp? Người điền phiếu ... PHÁP ĐẢM BẢO AN TOÀN VÀ BẢO MẬT HTTT CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TỒN VÀ BẢO MẬT CHO HỆ THỐNG THƠNG TIN CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN... VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN VÀ BẢO MẬT HTTT CỦA CƠNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY 25 3.1 Định hướng phát triển an tồn bảo mật thơng tin hệ thống thông tin công ty cổ phần cấp. .. tin, bảo vệ sống doanh nghiệp Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty cổ phần cấp nước Sơn Tây