LỜI CẢM ƠN Qua thời gian học tập, rèn luyện trường Đại học Thương mại thực tập Công ty Cổ phần phát triển nguồn mở dịch vụ FDS em học hỏi tích luỹ nhiều kiến thức quý báu cho Được tiếp xúc với môi trường làm việc thực tế, học hỏi thêm nhiều kinh nghiệm Để hồn thành khóa luận tốt nghiệp nhờ bảo tận tình quý thầy, cô khoa Hệ thống thông tin kinh tế thương mại điện tử, hướng dẫn tận tâm Th.S Nguyễn Thị Hội giúp đỡ anh, chị cán viên chức Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Đồng thời, thơng qua khố luận, em xin tri ân đến tất thầy cô giáo dày công dạy dỗ chúng em suốt năm trường Đại Học Thương Mại Những giá trị mà cô thầy tạo tảng quan trọng cho việc cống hiến phấn đấu chúng em sau Với thời gian nghiên cứu kiến thức hạn chế nên khơng tránh khỏi sai sót q trình phân tích, đánh đưa đề xuất để hoàn thiện giải pháp đảm bảo an tồn thơng tin HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Vì thế, em mong nhận ý kiến đóng góp q thầy cơ, ban lãnh đạo cơng ty để khóa luận hồn thiện Sau cùng, em xin kính chúc q thầy anh chị dồi sức khỏe thành công sống Em xin chân thành cảm ơn Sinh viên thực Vũ Thị Nguyệt MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC CÁC TỪ VIẾT TẮT .iv DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ v PHẦN MỞ ĐẦU 1 Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Mục tiêu nhiệm vụ nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu đề tài Kết cấu khóa luận tốt nghiệp .3 CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THỐNG THÔNG TIN 1.1 Một số khái niệm .4 1.1.1 Khái niệm thông tin, hệ thống thông tin .4 1.1.2 Khái niệm liệu, an toàn liệu, bảo mật liệu an toàn bảo mật HTTT 1.2 Tổng quan tình hình nghiên cứu an tồn bảo mật HTTT .6 1.2.1 Tình hình nghiên cứu nước 1.2.2 Tình hình nghiên cứu nước 1.3 Các đặc trưng HTTT an toàn 1.4 Các nguy số giải pháp đảm bảo an tồn thơng tin HTTT .9 CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TỒN BẢO MẬT CỦA CƠNG TY FSD 13 2.1 TỔNG QUAN VÊ CÔNG TY FDS .13 2.1.1 Giới thiệu doanh nghiệp 13 2.1.2 Bộ máy tổ chức doanh nghiệp 13 2.1.3 Tình hình hoạt động kinh doanh công ty FDS .14 2.2 PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TỒN BẢO MẬT HTTT CỦA CÔNG TY FDS 16 2.2.1Thực trạng cơng tác an tồn bảo mật hệ thống thơng tin cơng ty FDS.16 2.2.2 Phần tích thực trạng ATBM cho HTTT công ty FDS qua phiếu điều tra 21 2.2.3 Đánh giá thực trạng an tồn bảo mật thơng tin cơng ty FDS 28 CHƯƠNG : ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY FDS 31 3.1 ĐỊNH HƯỚNG PHÁT TRIỂN ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY FDS 31 3.2 ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HTTT CỦA CÔNG TY FDS 31 3.2.1 Giải pháp cho an ninh mạng Firewall Safe@Office 31 3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security 33 3.2.3 Hệ quản trị CSDL Oracle Database 12c 35 3.2.4 Đào tạo nhân lực 36 3.2.5 Đảm bảo an toàn website 37 3.2.3.1 Khắc phục lỗ hổng XSS 37 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection 38 3.3 ĐIỀU KIỆN THỰC HIỆN GIẢI PHÁP .40 KẾT LUẬN 41 TÀI LIỆU THAM KHẢO 42 PHỤ LỤC DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt AI ATBM ATTT AVG CIA CNTT CSDL DMZ EAI HTTT IAM IPS IT ITU VNCERT VPN NXB WPA2 Diễn giải Artificial Intelligence Nghĩa tiếng việt Trí tuệ nhân tạo An tồn bảo mật An tồn thơng tin Một phần mềm diệt virus Anti- Virus Guard phát hành Avast Software Central Intelligence Agency Cơ quan tình báo Hoa Kỳ Cơng nghệ thông tin Cơ sở liệu Vùng mạng trung lập Demilitarized Zone mạng nội mạng internet Tích hợp ứng dụng doanh Enterprise Application Intergration nghiệp Hệ thống thông tin Phần mềm quản lý định danh Identity and Access Management kiểm soát truy câp Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập Information Technology Công nghệ thông tin International Telecomunication Hội Liên hiệp Viễn thông quốc Union tế VietNam Computer Emergency Trung tâm Ứng cứu khẩn cấp Response Teams máy tính Việt Nam Virtual Private Network Mạng riêng ảo Nhà xuất Truy cập bảo vệ không Wi-Fi protected access dây phiên DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ Bảng 2.3: Kết hoạt động kinh doanh Công ty năm 2016-2018 16 Bảng 2.2: Trang thiết bị phần cứng 18 Bảng 3.1: So sánh BKAV Pro Kaspersky® Small Office Security 34 Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2008 Oracle Database 12c Bảng 3.3: Chi phí thực giải pháp 40 Biểu đồ 2.1: Tường lửa doanh nghiệp sử dụng 23 Biểu đồ 2.2: Tính hiệu tường lửa sử dụng24 Biểu đồ 2.3: Đánh giá phần mềm Bkav Pro 25 Biểu đồ 2.4: Tần suất lưu liệu 26 Biểu đồ 2.5: Nhân viên chuyên trách CNTT 27 Biểu đồ 2.6: Thống kê số lần website bị khai thác lỗ hổng bảo mật Sơ đồ 2.1: Tổ chức máy quản lý công ty FDS 14 Hình 1.1: Các thành phần hệ thống thơng tin Hình 2.1: Logo cơng ty FDS 13 Hình 2.2: Giao diện đăng nhập HTTT Mobilink Enterprise Hình 2.3: Giao diện website FDS 21 Hình 3.1: Tường lửa Safe@Office Check Point 32 Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security Hình 3.3: Lỗi lỗ hổng bảo mật XSS37 Hình 3.4: Khắc phục lỗ hổng bảo mật XSS 38 Hình 3.5: Mơ q trình cơng vào lỗ hổng SQL injection 28 17 33 39 35 PHẦN MỞ ĐẦU Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Ở Việt Nam nguy an tồn thơng tin tăng lên đáng báo động Dựa báo cáo tổng hợp an ninh thông tin hãng bảo mật hàng đầu giớiKaspersky cho biết, năm 2017 có 35% người dùng Internet Việt Nam có khả bị cơng mạng, xếp thứ giới Hay theo số an ninh mạng (Cyber security Index) năm 2017 Liên hiệp Viễn thông quốc tế (ITU) cho biết Việt Nam đứng thứ 101/193, thấp Indonesia (vị trí thứ 70), Lào (vị trí thứ 77), Campuchia (vị trí thứ 92) Myanmar (vị trí thứ 100) Và hậu năm 2017, Việt Nam bị đe dọa 10.000 vụ công mạng, gây thiệt hại khoảng 12.300 tỷ đồng số liệu từ Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT Bkav cho biết Những số thống kê an tồn việc khai thác thơng tin người dùng Việt Nam Cùng với phát triển không gian mạng làm nảy sinh nhiều nguy cơ, thách thức an ninh quốc gia an tồn, lợi ích quan, doanh nghiệp cá nhân Công ty cổ phần phát triển nguồn mở dịch vụ FDS theo tìm hiểu biết cơng ty xảy vấn đề an tồn thơng tin dù khắc phục không đảm bảo tương lai không xảy vấn đề Trong đề tài với mong muốn giúp doanh nghiệp đạt hiệu cao vấn đề đảm bảo an tồn bảo mật thơng tin Em tập trung nghiên cứu sở lý luận lý thuyết an toàn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật cơng ty Để từ khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng thiếu an tồn thơng tin Công ty cổ phần phát triển nguồn mở dịch vụ FDS Q trình nghiên cứu góp phần nâng cao nhận thức nhân viên công ty vấn đề an toàn bảo mật, trau dồi thêm thông tin cần thiết cho nhân viên phục vụ công việc vận hành quản lý HTTT doanh nghiệp Từ thực trạng tình hình an ninh thơng tin công ty, thấy tầm quan trọng ý nghĩa việc nghiên cứu đề tài, với kiến thức em học trường tìm hiểu thân em xin lựa chọn đề tài: ‘‘Một số giải pháp đảm bảo an toàn bảo mật thông tin HTTT công ty Cổ phần phát triển nguồn mở dịch vụ FDS” Mục tiêu nhiệm vụ nghiên cứu Qua nghiên cứu tài liệu tìm hiểu, phân tích thực trạng đảm bảo an tồn bảo mật thơng tin Cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS” thực nhiệm vụ sau: trình bày khái niệm ATBM thông tin khái niệm thông tin, HTTT, ATBM , HTTT bảo mật,… để từ có nhìn tổng quát đối tượng tìm hiểu khóa luận Mục tiêu thứ hai từ số liệu tìm hiểu thực tế nghiên cứu phân tích thực trạng doanh nghiệp Từ đó, dựa thực trạng lý thuyết an tồn bảo mật thơng tin HTTT nói chung, khóa luận đưa số giải pháp nhằm nâng cao hiệu an toàn bảo mật thông tin cho HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Đối tượng phạm vi nghiên cứu Là đề tài nghiên cứu khóa luận sinh nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: Về không gian: đưa giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp định hướng phát triển tương lai Phương pháp nghiên cứu đề tài 4.1 Khái niệm phương pháp nghiên cứu Phương pháp nghiên cứu cách thức, đường, phương tiện thu thập, xử lý thông tin khoa học (số liệu, kiện) nhằm làm sáng tỏ vấn đề nghiên cứu để giải nhiệm vụ nghiên cứu cuối đạt mục đích nghiên cứu Nói cách khác: Phương pháp nghiên cứu khoa học phương thức thu thập xử lý thông tin khoa học nhằm mục đích thiết lập mối liên hệ quan hệ phụ thuộc có tính quy luật xây dựng lý luận khoa học Có hai loại phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo công ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt doanh nghiệp - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình cơng ty 4.2 Các phương pháp sử dụng khóa luận 4.2.1 Phương pháp thu thập số liệu - Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên công ty nội dung phục vụ cho nghiên cứu - Tìm hiểu thơng tin an toàn bảo mật thương mại điện tử qua Internet, qua tài liệu sách báo liên quan đến an toàn bảo mật HTTT - Phương pháp vấn: vấn ban Giám đốc phận IT công ty Phương pháp trưng cầu ý kiến bảng hỏi: lập danh mục câu hỏi khảo sát ý kiến nhân viên ban Giám đốc cơng ty để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu - Phương pháp chuyên gia: Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng giải tốt mục tiêu đề - Trong phương pháp nêu phương pháp nghiên cứu tài liệu phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài 4.2.2 Phương pháp xử lý liệu: Từ liệu thu thập sau tiến hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thông tin phù hợp với mục đích nghiên cứu đề tài  Phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo cơng ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thơng tin mặt doanh nghiệp - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình cơng ty Kết cấu khóa luận tốt nghiệp Khóa luận chia thành ba phần chính: Chương 1: Cơ sở lí luận an tồn bảo mật thông tin hệ thống thông tin Chương 2: Cơ sở lý luận thực trạng an toàn bảo mật thông tin Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Chương 3: Định hướng phát triển đề xuất giải pháp an toàn bảo mật hệ thống thông tin công ty FDS CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TỒN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN 1.1 Một số khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin Theo [2] Thông tin liệu tổ chức, doanh nghiệp sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có liệu Thơng tin liệu qua xử lý (phân tích, tổng hợp, thống kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể người sử dụng Thơng tin gồm nhiều giá trị liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho vật tượng cụ thể ngữ cảnh Theo [2] Hệ thống thông tin tập hợp phần cứng, phần mềm, sở liệu, mạng viễn thông, người quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ truyền phát thông tin tổ chức, doanh nghiệp Hệ thống thông tin hỗ trợ việc định, phân tích tình hình, lập kế hoạch, điều phối kiểm soát hoạt động tổ chức, doanh nghiệp Hệ thống thông tin thủ cơng dựa vào công cụ thủ công giấy, bút, thước, tủ hồ sơ,… hệ thống thơng tin đại hệ thống tự động hóa dựa vào mạng máy tính thiết bị công nghệ khác Hệ thống thông tin bao gồm thành phần (còn gọi năm nguồn lực hay năm nguồn tài ngun) trình bày hình: Hình 1.1: Các thành phần hệ thống thơng tin 3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security Hiện công ty sử dụng phần mềm diệt virus quyền dành cho doanh nghiệp: antivirus (BKAV) dành cho máy chủ máy phòng ban hầu hết nơi chứa liệu quan trọng vào Tuy nhiên, phần mềm diệt virus BKAV công ty không đáp ứng việc đảm bảo an tồn thơng tin Do cơng ty sử dụng Kaspersky doanh nghiệp nhỏ vừa Việt Nam sử dụng phổ biến Công ty sử dụng trọn sản phẩm Kaspersky® Small Office Security cho Sever, máy bàn máy tính cá nhân lại nên sử dụng Kaspersky Anti-Virus Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security - Tính Kaspersky® Small Office Security: + Kỹ thuật bảo vệ chủ động có hỗ trợ cơng nghệ điện toán đám mây bảo vệ thời gian thực khỏi mối đe dọa từ Internet + Quản lý bảo mật tập trung cho máy chủ máy trạm + Kiểm soát truy cập web ứng dụng + Quét tìm lỗ hổng bảo mật cố vấn cách khắc phục + Tự động phát khôi phục khỏi nguy lây nhiễm phần mềm độc hại + Sửa chữa file hỏng bị virus phá + Khả phát virus: Virus máy tính, Trojans, Worms, Keyloggers, , chống phần mềm gián điệp phần mềm quảng cáo Ngồi tính vượt trội Bkav, Kaspersky® Small Office Security có ưu điểm: 3.2.3 35 Bảng 3.1: So sánh BKAV Pro Kaspersky® Small Office Security Tên phần mềm BKAV Pro Kaspersky® Small Office Security 2013 Tính Nhiều tính Rất nhiều tính cao cấp Dung lượng - Còn trống 100MB ổ cứng (tùy thuộc vào CSDL) - CD-ROM (Nếu cài đặt chương trình từ CD) - Kết nối Interner - Microsoft Internet Exploer 5.0 cao - Microsoft Windows Installer 1.0 - Còn trống 1GB ổ cứng (tùy thuộc vào CSDL) - CD-ROM (nếu cài đặt chương trình từ CD) - Kết nối Internet - Microsoft Internet Exploer 6.0 cao -Microsoft Windows Installer 2.0 Thời gian quét virus ngày/lần ngày/lần Độ ổn đinh Không ổn định, hay đột với Ổn đinh, hoạt động tốt với phần phần mềm khác, đặc biệt với phần mềm kế toán mềm kế toán Khả bảo vệ Bảo vệ chưa toàn diện: >90% Bảo vệ hiệu quả: >99% Giá thành cho tất máy tính 10.465.000đồng/năm 10.465.000đồng/năm (Nguồn: Theo điều tra cá nhân) Theo bảng so sánh tính giá Kaspersky® Small Office Security 2013 có nhiều tính vượt trội, khắc phục số lỗi cố hữu mà Bkav chưa khắc phục lỗi xung đột phần mền khả bảo mật đánh giá cao hơn, giá thành hai sản phẩm tương đương, Như vậy, sử dụng Kaspersky® Small Office Security phù hợp với yêu cầu doanh nghiệp hỗ trợ với nhiều tính vượt trội 36 3.2.3 Hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL doanh nghiệp dùng SQL Server 2008 không đáp ứng yêu cầu lưu liệu thường xuyên nay, việc nâng cấp liệu tương lai công ty Đề xuất giải pháp cho vấn đề này, doanh nghiệp sử dụng hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL doanh nghiệp dùng SQL Server 2008 không đáp ứng yêu cầu lưu liệu thường xuyên nay, việc nâng cấp liệu tương lai công ty Đề xuất giải pháp cho vấn đề này, doanh nghiệp sử dụng hệ quản trị CSDL Oracle Database 12c Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2008 Oracle Database 12c Tên phần mềm Hệ quản trị CSDL SQL Server 2008 Ngôn ngữ Sử dụng Transact SQL ( T-SQL ), phần mở rộng SQL phát triển Sybase Microsoft sử dụng Kiểm soát giao SQL Server thực thi (execute ) dịch commit command/task cách riêng lẻ điều gây khó khăn khơng thể rollback lại thay đổi có lỗi gặp phải trình thực Tổ chức đối SQL Server tổ chức tất đối tượng sở tượng, table, view, store liệu proceduce, theo tên sở liệu (database names) Một user đăng nhập cấp quyền truy cập vào Database cụ thể tất đối tượng có Database Ngồi ra, SQL Server Database private không chia sẻ file disk server 37 Hệ quản trị CSDL Oracle Database 12c Oracle sử dụng Procedural Language/SQL ( PL/SQL ) PL/SQL phức tạp lại có tiềm mạnh mẽ Các truy vấn thực thi lệnh phát hành, thay đổi thực nhớ (RAM) chưa commit lệnh COMMIT tay thực Sau COMMIT, lệnh bắt đầu transaction mới, trình bắt đầu lại Điều cho thấy tính linh hoạt cao hỗ trợ kiểm soát lỗi tốt Oracle Oracle, tất đối tượng sở liệu (database objects) nhóm Schema, tập hợp đối tượng sở liệu tất đối tượng sở liệu chia sẻ tất Schema người dùng Độ tương thích SQL tương thích với Window Oracle cài Window, Linux, Unix, … Lưu trữ liệu Dữ liệu lớn 1GB SQL Các doanh nghiệp có nhiều Server gặp phải vấn đề truy suất hệ thống, hệ thống cần có chậm liên thơng với hệ thống nên sử dụng Oracle Giá thành 10.465.000đồng/năm 10.465.000đồng/năm (Nguồn: Theo điều tra cá nhân) 3.2.4 Đào tạo nhân lực Do trình độ hiểu biết ATTT nhân viên chưa cao, Cơng ty cần có kế hoạch đào tạo, nâng cao hiểu biết ATTT cho nhân viên Công ty nên chọn nhân viên tiêu biểu để đưa đào tạo chuyên sâu ATTT, đồng thời mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên Công ty Mặt khác, Công ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATTT Cơng ty: - Quản lí nghiêm vấn đề đảm bảo giữ bí mật thơng tin khách hàng nhân viên Tất thông tin khách hàng, đối tác hay thông tin nội cơng ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận - Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính không mang khỏi công ty - Tuyên truyền nâng cao ý thức ATTT cho tất nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên - Đào tạo kỹ thuật phòng thủ, chống cơng (Phân tích mã độc, phòng chống mã độc phần mềm gián điệp; Giám sát phân tích hệ thống dò qt lỗ hổng bảo mật; Điều tra, thu thập thông tin cố chứng điện tử; Giám sát thông tin…) - Đào tạo kỹ thuật bảo vệ an toàn hệ thống ứng dụng (Mã hóa, thám mã, che dấu bảo mật nội dung thông tin, Chữ ký số, nhận dạng, xác thực; Tích hợp hệ thống ATTT; Tư vấn thiết kế xây dựng hệ thống mạng an toàn; Lập trình đảm bảo an tồn, Đảm bảo an tồn giao dịch điện tử; Đảm bảo an toàn sở liệu ) 38 - Thường xuyên đưa tin ATTT website nội công cụ truyền thơng nội - Có kế hoạch chuẩn bị trước cho cố an tồn thơng tin, ban lãnh đạo thủ trưởng đơn vị có trách nhiệm đạo kịp thời, áp dụng biện pháp để khắc phục hạn chế thiệt hại Ngồi Cơng ty cần ý tới giải pháp ATTT giao dịch TMĐT như: an toàn chứng thực điện tử, an tồn thư tín điện tử, an tồn mạng riêng ảo, Firewall, Honeypot hệ thống phát xâm nhập, kĩ thuật thăm dò… 3.2.5 Đảm bảo an tồn website 3.2.3.1 Khắc phục lỗ hổng XSS Bản chất lỗi XSS khơng kiểm sốt kỹ liệu nhập đầu vào, biện pháp hiệu kiểm tra kỹ liệu nhập vào từ người dùng, chặn từ khóa nguy hiểm, chấp nhận liệu hợp lệ Một cách khác hay sử dụng mà khơng cần kiểm sốt đầu vào từ người dùng mã hố kí tự đặc biệt trước in website, gây nguy hiểm cho người sử dụng Ví dụ thẻ đổi thành <script>, in hình định dạng mà không gây nguy hiểm cho người sử dụng Ta xem ví dụ sau: Hình 3.3: Lỗi lỗ hổng bảo mật XSS 39 Ta thấy đoạn code biến $row["content"] in trực tiếp mà không qua xử lý Trường content nhập vào từ người dùng nên đoạn code chắn có lỗi XSS Để khắc phục ta mã hóa ký tự đặc biệt HTML với hàm htmlentities() Mã nguồn chỉnh sửa lại sau: Hình 3.4: Khắc phục lỗ hổng bảo mật XSS Ngồi để Bảo vệ thực cách hạn chế tên miền đường dẫn để chấp nhận cookie, thiết lập chúng HttpOnly, sử dụng SSL không lưu trữ liệu bí mật cookie Có thể vơ hiệu hóa việc sử dụng Script cách an toàn từ trang web khách hàng 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection Cơ chế công SQL injection – SQLI cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt công nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thơng tin cá nhân 40 Hình 3.5: Mơ q trình cơng vào lỗ hổng SQL injection Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng khơng tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình cơng ty phải xem lại mã nguồn website công ty điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mơ hình tham số hóa, làm liệu đầu vào…Ngồi phải xem biện pháp bảo vệ từ mức tảng hệ thống như:  Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng  Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phòng cho tình xấu kẻ xâm nhập công vào database: 41  Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database  Hủy bỏ quyền Public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa  Sử dụng thuật tốn mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database  Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác  Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể cơng cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo  Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.3 ĐIỀU KIỆN THỰC HIỆN GIẢI PHÁP Để thực hóa giải pháp đề xuất, em xin trình bày điều kiến kinh tế sau: Bảng 3.3: Chi phí thực giải pháp Tên giải pháp Giải pháp cho an ninh mạng Firewall Safe@Office Thiết bị/ Khóa học Số lượng Tổng tiền (đồng) Firewall Safe@Office 55.000.000 Phần mềm diệt virus Kaspersky® Small Office Security Kaspersky® Small Office Security 35 10.465.000 Hệ quản trị CSDL Oracle Database 12c Oracle Database 12c 270.480.000 Khóa bảo mật mạng cho doanh nghiệp – NIS (Network khóa học 17.500.000 Đào tạo nhân lực 42 Infastructure Security) (Nguồn: Theo điều tra cá nhân) KẾT LUẬN Những năm gần ngành Cơng nghệ thơng tin có bước phát triển mạnh mẽ Việt Nam, mở giới cho phát triển không bị giới hạn không gian Cùng với phát triển cơng nghệ thơng tin vấn đề an tồn bảo mật thơng tin vấn đề trọng quan tâm từ phủ, doanh nghiệp, tổ chức đến cá nhân Khơng nằm ngồi mối quan tâm cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS không ngừng đầu tư hồn thiện vấn đề an tồn bảo mật thơng tin cho cơng ty Bài khóa luận tốt nghiệp trình bày giải pháp cho vấn đề bảo mật an ninh thơng tin cho cơng ty là: giải pháp cho an ninh mạng Firewall, đổi phần mềm diệt virus hệ quản trị CSDL, đề xuất sách đào tạo nguồn nhân lực thật tốt để phục vụ cho việc an tồn bảo mật thơng tin công ty Với số giải pháp cần thiết tiêu biểu đề xuất em hi vọng đóng góp ý kiến cá nhân vấn đề giải ATBM thông tin công từ xây dựng cơng ty ngày vững mạnh phát triển Khoán luận kết học tập, nghiên cứu trình vận dụng doanh nghiệp giúp em ôn tập tổng hợp lại kiến thức an tồn bảo mật có kiến thức thực tế qua trình thực tập Công ty cổ phần phát triển nguồn mở dịch vụ FDS Mặc dù em cố gắng điều kiện thời gian hạn chế kiến thức thân nên trình thực đề tài khơng tránh khỏi sai sót Kính mong q thầy cơ, đóng góp ý kiến nhận xét để khóa luận em hoàn thiện Một lần nữa, em xin chân thành cảm ơn Công ty Cổ phần phát triển nguồn mở dịch vụ FDS, cảm ơn thầy cô khoa Hệ thống thông tin kinh tế Thương mại điện tử đặc biệt Giảng viên Ths Nguyễn Thị Hội tận tâm dạy tạo điều kiện thuận lợi để em thực hoàn thành khóa luận tốt nghiệp 43 TÀI LIỆU THAM KHẢO [1] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống kê [2] Đàm Gia Mạnh (2017), Giáo trình Hệ thống thơng tin quản lý, Đại học Thương mại [3] Đàm Gia Mạnh (2010), Mạng máy tính truyền thơng, NXB Thơng tin Truyền thông [4] Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition [5] Michael E Whitman Herbert J Mattord, Principles of Information Security, Fourth Edition [6] https://quantrimang.com/bao-mat-wi-fi-lua-chon-giai-phap-nao-18709 [7] https://securitybox.vn 44 PHỤ LỤC PHIẾU ĐIỀU TRA TRẮC NGHỆM TÌNH HÌNH BẢO MẬT CHO HTTT CỦA CƠNG TY FDS 1) Tơi cam kết giữ bí mật thơng tin riêng công ty dùng thông tin cung cấp tại phiếu điều tra cho mục đích khảo sát tổng hợp trạng bảo mật hệ thống thông tin công ty FDS 2) Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp bằng cách khoanh vào chỗ trống Tên doanh nghiệp: Công ty cổ phần phát triển nguồn mở dịch vụ FDS Địa trụ sở chính: Số 4, ngõ Tôn Thất Thuyết, Cầu Giấy, Hà Nội Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ : Năm sinh: Vị trí cơng tác: Đánh giá trang thiết bị phần cứng công ty nay: Rất đầy đủ Đầy đủ Khá đầy đủ Chưa đầy đủ Không có ý kiến Đánh giá trang thiết bị phần mềm công ty nay: Rất đầy đủ Chưa đầy đủ Khá đầy đủ Khơng có ý kiến Đầy đủ Anh/chị đánh quan tâm ban lãnh đạo công ty đến vấn đề bảo mật thông tin? Chưa quan tâm Khá quan tâm Bình thường Quan tâm Rất quan tâm Doanh nghiệp anh/chị sử dụng loại tường lửa (Firewall) nào? Tường lửa có sẵn Window Sản phẩm tường lửa Check Point Sản phẩm tường lửa Juniper Netscreen Sản phẩm tường lửa SonicWALL Khác Anh/chị đánh giá tính hiệu tường lửa doanh nghiệp sử dụng? Chưa tốt Khá tốt Tốt Rất tốt Khơng có ý kiến Anh/chị đánh giá khả diệt virus tính tương thích phần mềm diệt virus BKAV Pro với HTTT doanh nghiệp nay? Chưa tốt Khá tốt Tốt Rất tốt Khơng có ý kiến Cơng ty sử dụng phương pháp lưu trữ thông tin nào? Sử dụng điện toán đám mây Dropbox Lưu trữ thủ tục Lưu trữ thông tin file excel Không lưu trữ Theo anh/chị đánh giá nguồn nhân lực chuyên trách CNTT công ty đáp ứng nhu cầu công việc? Khơng có ý kiến Đã áp ứng đủ Chưa đáp ứng đủ Quá nhiều Bình thường Anh/ chị đánh giá mức sử dụng công cụ đảm bảo ATTT nhân viên công ty? Không thành thạo Khơng có ý kiến Khá thành thạo Thành thạo Rất thành thạo 10 Theo anh/chị doanh nghiệp sử dụng mạng cho hệ thống máy tính doanh nghiệp? Mạng cục (LAN) Mạng diện rộng (WAN) Mạng dùng chung Không biết 11 Thông tin hệ thống doanh nghiệp bị công chưa? Có Khơng Nếu có theo anh/chị thành phần mục tiêu cơng đó? Trang thiết bị phần cứng Website Phấn mềm Con người Hệ điều hành Mạng Chi tiết số công lỗ hổng bị khai thác? 12 Theo anh/chị hoạt động người làm ảnh hưởng đến an tồn thơng tin hệ thống thơng tin doanh nghiệp? Sử dụng thiết bị, trang web chép khơng an tồn Truy cập trái phép hệ thống thông tin Không sử dụng diệt virut cho máy cá nhân Hoạt động khác doanh nghiệp 13 Anh/chị đánh giá thứ tự tác nhân gây an tồn bảo mật thơng tin HTTT doanh nghiệp từ 1->5 theo mức độ ảnh hưởng tăng dần: Trang thiết bị phần cứng Mạng Phấn mềm Con người Hệ điều hành 14 Anh/chị cho biết phần mềm doanh nghiệp sử dụng có quyền hay khơng? Khơng Có 15 Theo nhận định anh/chị vấn đề phần cứng dễ gây an toàn thông tin HTTT doanh nghiệp nay? Nhiệt độ, độ ẩm, nguồn nước Trang thiết bị phần cứng lâu đời gặp nhiều trục trặc Cháy nổ thiết bị phần cứng Hỏng RAM liệu Không biết 16 Anh/chị cho biết doanh nghiệp sử dụng hệ quản trị CSDL đây? SQL Server PostgreSQL MySQL SQlite Oracle MongoDB 17 Anh/chị cho biết tần suất lưu liệu doanh nghiệp? Theo Theo ngày Theo tháng Khơng có ý kiến Theo tuần 18 Theo anh/chị việc mở lớp đào tạo kiến thức CNTT doanh nghiệp có cần thiết hay khơng? Có Khơng Anh/chị có đề xuất hay kiến nghị đảm bảo ATTT cho hệ thống chúng ta? ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………… ………………… ... thông tin Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Chương 3: Định hướng phát triển đề xuất giải pháp an toàn bảo mật hệ thống thông tin công ty FDS CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TỒN BẢO MẬT... số giải pháp nâng cao tính an tồn bảo mật thông tin công ty Cổ phầnphát triển nguồn mở dịch vụ FDS tập trung vào việc đánh giá đưa giải pháp nâng cao hiệu hoạt động đảm bảo an toàn bảo mật HTTT. .. trạng an tồn bảo mật thơng tin cơng ty FDS 28 CHƯƠNG : ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY FDS 31 3.1 ĐỊNH HƯỚNG PHÁT TRIỂN ATBM THÔNG TIN TRONG HTTT CỦA