LỜI CẢM ƠN Em vinh dự tự hào sinh viên khoa Hệ thống thơng tin kinh tế, trường Đại học Thương Mại Tại đây, em học tập, rèn luyện hoạt động môi trường động, môi trường giáo dục tiên tiến Em xin cám ơn thầy cô giáo khoa Hệ thống thơng tin kinh tế tận tình dạy bảo, giúp đỡ truyền đạt cho em khối kiến thức tảng kinh nghiệm sống, tư tưởng, tư làm hành trang cho em bước vào đời Và đặc biệt, em xin chân thành cám ơn PGS TS Đàm Gia Mạnh - người tận tình hướng dẫn, bảo để em hồn thành tốt khóa luận tốt nghiệp với đề tài: “Một số giải pháp đảm bảo an toàn bảo mật thông tin cho Công ty Cổ phần phát triển phần mềm ASIA” Em xin chân thành cảm ơn Ban Giám đốc toàn thể cán bộ, nhân viên Công ty Cổ phần phát triển phần mềm ASIA cung cấp số liệu, kinh nghiệm thực tế tạo điều kiện thuận lợi cho em suốt trình thực tập để em hồn thành tốt khóa luận Em xin chân thành cảm ơn! Sinh viên thực Lương Thị Thùy Dung i MỤC LỤC Trang LỜI CẢM ƠN .i MỤC LỤC ii Trang ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ .iv DANH MỤC BẢNG, BIỂU ĐỒ .iv PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1.2 Tổng quan vấn đề nghiên cứu .2 1.2.1 Tổng quan tình hình nghiên cứu Việt Nam 1.2.2 Tổng quan tình hình nghiên cứu giới 1.3 Mục tiêu nghiên cứu đề tài 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài 1.4.2 Phạm vi nghiên cứu đề tài .4 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu 1.5.2 Phương pháp nghiên cứu 1.6 Kế cấu khóa luận PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TỒN VÀ BẢO MẬT THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA 2.1 Về sở lý luận 2.1.1 Một số khái niệm an tồn bảo mật thơng tin 2.1.2 Đảm bảo an toàn bảo mật thông tin hệ thống thông tin 2.1.2.1 Các hình thức cơng 2.1.2.2 Các nguy an toàn bảo mật hệ thống thông tin Sơ đồ 2.1: Cơ cấu máy tổ chức công ty cổ phần phát triển phần mềm Asia .10 Bảng 2.1: Bảng tình hình tài cơng ty năm gần 12 Hình 2.1 Trang website cơng ty .12 Bảng 2.2: Bảng tình hình tài cơng ty năm gần 13 Bảng 2.3: Bảng danh sách loại phần cứng công ty .14 Biểu đồ 2.1 Các hình thức giao dịch chủ yếu cơng ty 17 Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứng bảo mật 17 Biểu đồ 2.3 Cách thức đảm bảo ATTT sử dụng 18 Biểu đồ 2.4 Cách thức bảo vệ CSDL Công ty 18 ii Biểu đồ 2.5 Trình độ hiểu biết nhân viên ATTT 19 Biểu đồ 2.6 Tần suất lưu liệu công ty 19 Biểu đồ 2.7 Nhận thức tầm quan trọng ATTT 20 Biểu đồ 2.8 Trở ngại phát triển ATTT công ty .20 PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THỐNG THƠNG TIN TẠI CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA 22 3.1 Định hướng giải pháp an tồn bảo mật thơng tin cho cơng ty .22 Hình 3.1: Tường lửa cho hệ thống mạng .23 iii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ DANH MỤC BẢNG, BIỂU ĐỒ Trang Bảng 2.1: Bảng tình hình tài cơng ty năm gần đây.Error: Reference source not found Bảng 2.2: Bảng tình hình tài cơng ty năm gần đây.Error: Reference source not found Bảng 2.3: Bảng danh sách loại phần cứng công ty Error: Reference source not found Biểu đồ 2.1 Các hình thức giao dịch chủ yếu công ty .Error: Reference source not found Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứng bảo mật Error: Reference source not found Biểu đồ 2.3 Cách thức đảm bảo ATTT sử dụng Error: Reference source not found Biểu đồ 2.4 Cách thức bảo vệ CSDL Công ty.Error: Reference source not found Biểu đồ 2.5 Trình độ hiểu biết nhân viên ATTT Error: Reference source not found Biểu đồ 2.6 Tần suất lưu liệu công ty Error: Reference source not found Biểu đồ 2.7 Nhận thức tầm quan trọng ATTT Error: Reference source not found Biểu đồ 2.8 Trở ngại phát triển ATTT công ty .Error: Reference source not found DANH MỤC SƠ ĐỒ, HÌNH VẼ Sơ đồ 2.1: Cơ cấu máy tổ chức công ty cổ phần phát triển phần mềm Asia 10 Bảng 2.1: Bảng tình hình tài công ty năm gần 12 Hình 2.1 Trang website cơng ty 12 Bảng 2.2: Bảng tình hình tài cơng ty năm gần 13 Bảng 2.3: Bảng danh sách loại phần cứng công ty .14 Biểu đồ 2.1 Các hình thức giao dịch chủ yếu công ty 17 Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứng bảo mật 17 iv Biểu đồ 2.3 Cách thức đảm bảo ATTT sử dụng 18 Biểu đồ 2.4 Cách thức bảo vệ CSDL Công ty 18 Biểu đồ 2.5 Trình độ hiểu biết nhân viên ATTT .19 Biểu đồ 2.6 Tần suất lưu liệu công ty 19 Biểu đồ 2.7 Nhận thức tầm quan trọng ATTT 20 Biểu đồ 2.8 Trở ngại phát triển ATTT công ty 20 Hình 3.1: Tường lửa cho hệ thống mạng 23 v DANH MỤC TỪ VIẾT TẮT Từ viết tắt AES ATBM ATTT CNTT CSDL EFS HTTP HTTT IETF Diễn giải Advanced Encryption Standard Encrypting File System HyperText Transport Protocol Internet Engineering Task Force Nghĩa tiếng Việt Tiêu chuẩn mã hóa tiên tiến An tồn bảo mật An tồn thơng tin Cơng nghệ thơng tin Cơ sở liệu Mã hóa file hệ thống Giao thức truyền tải siêu văn Hệ thống thông tin Lực lượng chuyên trách kỹ thuật liên mạng IMAP LAN NXB SPSS SQL SSL TLS TMĐT WEP WPS Internet Messaging Access Protocol Local Area Network Mạng cục Nhà xuất Statistical Package for Social Sciences Gói thống kê khoa học xã hội Structured Query Language Ngôn ngữ truy vấn cấu trúc Secure Socket Layer Giao thức truyền thông Transport Layer Security An ninh lớp vận tải Thương mại điện tử Wireless Encryption Protocol Giao thức mã hố mạng khơng dây Phương thức liên minh wifi Wifi Protected Access vi PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu 1.1.1 Tầm quan trọng vấn đề nghiên cứu Trong kinh tế tồn cầu hóa an tồn bảo mật thơng tin xem sống doanh nghiệp Thế nhưng, khơng phải doanh nghiệp nhận thức tầm quan trọng vấn đề đảm bảo an toàn bảo mật thơng tin trước nguy xảy doanh nghiệp việc rò rỉ thông tin , bị xâm nhập trái phép An tồn bảo mật thơng tin việc chia sẻ liệu văn từ trước đến vấn đề quan trọng doanh nghiệp Các thông tin tài liệu văn trao đổi mạng thường phảo đối mặt với nguy an toàn như: bị truy cập bất hợp pháp, chép, lưu trữ chuyển đến cho người không phép Nguy hiểm tài liệu bị thay đổi nội dung trước chuyển đến cho người nhận Bằng cách sử dụng công nghệ, kỹ thuật đơn giản bắt gói tin đường truyền, thâm nhận trực tiếp vào máy tính chứa liệu, văn quan trọng Những cá nhân có mục đích lại người có hiểu biết cơng nghệ thông tin nhwunxg người quản trị hệ thống, quản trị ứng dụng doanh nghiệp Đối với tài liệu có thơng tin bí mật, nhạy cảm liên quan đến chiến lược kinh doanh, số liệu thông tin nhân sự, tổ chức… trao đổi hệ thống mà khơng có biện pháp để bảo vệ nguy bị an tồn bảo mật vô lớn hậu việc an toàn bảo mật liệu khơng thể lường Chính nên vấn đề bảo đảm an toàn bảo mật thông tin vấn đề quan trọng doanh nghiệp Nó định đến phát triển bền vững công ty kinh tế thị trường ngày 1.1.2 Ý nghĩa vấn đề nghiên cứu 1.1.2.1 Ý nghĩa mặt nghiên cứu Cùng với phát triển mạnh mẽ CNTT vấn đề ATBM thơng tin lại cần quan tâm nhiều doanh nghiệp Mức độ gặp rủi ro an toàn cho liệu cao nghiêm trọng Vì vậy, việc đảm bảo ATBM có ý nghĩa quan trọng phát triển bền vững uy tín doanh nghiệp Rủi ro thơng tin gây thất thoát tiền bạc, tài sản, người gây thiệt hại đến hoạt động sản xuất kinh doanh doanh nghiệp, ảnh hưởng lớn đến uy tín danh dự doanh nghiệp 1.1.2.2 Ý nghĩa mặt thực tiễn Công ty Cổ phần phát triển phần mềm ASIA công ty chuyên lĩnh vực phần mềm giải pháp quản lý Do đó, việc đảm bảo ATBM thông tin cần thiết Mặc dù ban lãnh đạo công ty quan tâm đến vấn đề ATBM thơng tin tình trạng hệ thống thông tin bị công xảy Hiện nay, việc áp dụng số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT cơng ty trọng triển khai Vì vậy, đề tài “Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty Cổ phần phát triển phần mềm ASIA” phù hợp với công ty 1.2 Tổng quan vấn đề nghiên cứu 1.2.1 Tổng quan tình hình nghiên cứu Việt Nam Các cơng trình nghiên cứu an tồn bảo mật thơng tin nước có chuyển biến tích cực, nhiều cơng trình nghiên cứu, sách tài liệu khoa học an tồn bảo mật thơng tin đời như: Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống kê Giáo trình đưa vấn đề liên quan đến an toàn liệu thương mại điện tử (TMĐT) khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT Cũng nguy mát liệu, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an tồn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh vận dụng thuận lợi cơng việc ngày Phan Đình Diệu (2002), Giáo trình “Lý thuyết mật mã an tồn thơng tin”, Đại học Quốc Gia Hà Nội Nội dung khái quát chung lý thuyết mật mã, công cụ tốn học có liên quan đến việc đảm bảo an tồn thơng tin Hệ mật khóa đối xứng, hệ mật khóa cơng khai, chữ ký điện tử, ứng dụng thực hành…Cuốn giáo trình đưa vấn đề liên quan đến: Khái niệm, mục tiêu, u cầu an tồn thơng tin, nguy gây an tồn thơng tin, hình thức cơng Bên cạnh đó, đề tài đề cập đến phương pháp phòng tránh cơng gây an tồn thơng tin biện pháp khắc phục hậu thông dụng, phổ biến 1.2.2 Tổng quan tình hình nghiên cứu giới William Stallings(2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt yếu tố cần thiết AES Các tính năng, thuật tốn, hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật phần mềm độc hài kẻ xâm hại Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons Cuốn sách viết vấn đề phản ánh vai trò trung tâm hoạt động, nguyên tắc, thuật toán giao thức bảo mật Internet Đưa biện pháp khắc phục mối đe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việc đảm bảo an ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng Các tài liệu sách trình bày lý thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet 1.3 Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu đề tài này: Đưa sở lý luận an toàn bảo mật hệ thống thơng tin Tìm hiểu, phân tích đánh giá thực công ty Trên sở nghiên cứu thực trạng tình hình cơng ty, từ đưa số đề xuất, phòng chống khắc phục để ngăn chặn nguy an tồn bảo mật thơng tin áp dụng với công ty 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài Đối tượng mà nghiên cứu hướng tới vấn đề an tồn bảo mật HTTT Cơng ty cổ phần phát triển phần mềm ASIA, giải pháp công nghệ giải pháp người để đảm bảo an toàn bảo mật HTTT doanh nghiệp Các sách phát triển đảm bảo an tồn bảo mật (ATBM) thông tin công ty Các giải pháp ATBM giới áp dụng cho HTTT doanh nghiệp 1.4.2 Phạm vi nghiên cứu đề tài Bài nghiên cứu tập trung phạm vi: Về không gian: đề tài tập trung nghiên cứu tình hình an tồn bảo mật HTTT Cơng ty cổ phần phát triển phần mềm ASIA nhằm đưa số giải pháp nâng cao an toàn bảo mật HTTT Về thời gian: Các hoạt động ATBM HTTT công ty thông qua báo cáo kinh doanh, số liệu khảo sát từ năm 2013 đến năm 2014 Đồng thời, trình bày nhóm giải pháp, định hướng phát triển tương lai công ty 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra : thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thông tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2013 – 2014, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán dùng để đưa dự báo, phán đốn: Tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà cơng ty hứng chịu Dưới số giao thức bảo mật đường truyền mà Cơng ty áp dụng tùy thuộc vào mức chi trả đầu tư cho HTTT công ty: Giao thức WEP- Wired Equivalent Privacy WEP thiết kế để đảm bảo tính bảo mật cho mạng không dây đạt mức độ mạng nối cáp truyền thống WEP cung cấp bảo mật cho liệu mạng không dây qua phương thức mã hóa Đối với Cơng ty Cổ phần phát triển phần mềm ASIA nên sử dụng WEP có độ dài khóa 128 bit Do WEP sử dụng RC4, thuật tốn sử dụng phương thức mã hóa dòng, nên cần chế đảm bảo hai liệu giống không cho kết giống sau mã hóa hai lần khác Đây yếu tố quan trọng vấn đề mã hóa liệu nhằm hạn chế khả suy đốn khóa Hacker Giải pháp WEP tối ưu kết hợp WEP giải pháp khác, gia tăng mức độ bảo mật cho WEP việc sử dụng khóa WEP có độ dài 128 bit gia tăng số lượng gói liệu Hacker cần phải có để phân tích IV, gây khó khăn kéo dài thời gian giải mã khóa WEP Giao thức SSL SSL (Secure Sockets Layer) giao thức (protocol) cho phép bạn truyền đạt thơng tin cách bảo mật an tồn qua mạng SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền môi trường internet an tồn., tiêu chuẩn cơng nghệ bảo mật, truyền thơng mã hố máy chủ Web server trình duyệt (browser) Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư toàn vẹn SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền môi trường internet an toàn Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web server có kiểm sốt đường liệu hay kiểm sốt liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an toàn: 25 Xác thực: đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng Mã hố: đảm bảo thông tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận Tồn vẹn liệu: đảm bảo thơng tin khơng bị sai lệch phải thể xác thơng tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thơng tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser Được phát triển Netscape, ngày giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin client server Tổ chức IETF (Internet Engineering Task Force ) chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP (Internet Messaging Access Protocol) FTP (File Transport Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: Xác thực server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn certificate public ID server có giá trị cấp phát CA (certificate authority) danh sách CA đáng tin cậy client Điều quan trọng người dùng 26 Xác thực Client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem certificate public ID server có giá trị hay khơng cấp phát CA (certificate authority) danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp Mã hoá kết nối: Tất thông tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngồi ra, tất liệu gửi kết nối SSL mã hố bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu ( thuật tốn băm – hash algorithm) Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Sử dụng thuật toán mã hoá xác thực DES (Data Encryption Standard) SSL thuật toán mã hố có chiều dài khố 56 bit Khi client server trao đổi thông tin giai đoạn bắt tay (handshake), họ xác định mã hoá mạnh sử dụng chúng phiên giao dịch SSL 3.2.2 An tồn bảo mật thơng tin giải pháp phần mềm Sử dụng phần mềm diệt virut Virus (đại diện chung cho tất chương trình tự động cài vào máy tính mà không phép người sử dụng worm, malware, trojan…), xâm nhập, đe dọa đến độ an tồn thơng tin, liệu lưu trữ máy tính gây nguy hỏng hóc phần cứng Để đảm bảo an toàn cho liệu lưu máy tính, cần phải ngăn chặn xâm nhập loại virus Với đa số phần mềm miễn phí sử dụng máy tính ln có nguy xuất lỗ hổng Hacker ln tìm cách để cơng vào lỗ hổng cách tạo đoạn mã độc, vậy, máy tính ln đứng trước nguy bị virus công Công ty sử dụng chủ yếu phần mềm diệt virut (50%) để đảm bảo an toàn bảo mật liệu Tuy nhiên việc sử dụng phần mềm miễn phí chưa đảm bảo đạt hiệu việc, cần kết hợp việc sử dụng phần mềm diệt virut miễn 27 phí với việc mua phần mềm quyền tùy thuộc vào mức độ chi trả Công ty Hay việc sử dụng chức phân quyền hệ thống NTFS, Công ty nên phân quyền lại cho user limited để ngăn chặn virus Các thư mục bản: Hệ thống windows chia làm khu vực bản: Thư mục windows: chứa mã thực thi hệ điều hành Thư mục programs file: chứa mã thực thi chương trình Thư mục documents and setting: chứa liệu cấu hình người dùng Ở chế độ mặc định, user limited không phép ghi vào thư mục windows program file Vì vậy, cần config thêm cho user limited không thực thi file exe, com… thư mục My document and setting Các thư mục khác: Thư mục gốc: Cấu hình lại cho thư mục gốc ổ đĩa ghi, khơng chạy Vì thư mục (windows, program file…) cấu hình độc lập với thư mục gốc nên việc cấu hình lại thư mục gốc khơng ảnh hưởng đến thư mục Các thư mục khác: có số thư mục đặc biệt thường dùng để hỗ trợ cho trình cài đặt thư mục c:\windows\temp… Tuy nằm C:\windows user limited phép ghi file vào thư mục Đây điểm yếu hệ thống, phải cấu hình lại với thư mục để user limited phép ghi file không phép thực thi file Các ổ đĩa ngồi máy tính: việc khóa user có tác dụng ngăn chặn virus đến từ internet ngăn mã độc web, mail gửi tới mà chưa ngăn chặn ổ đĩa hệ thống đĩa share mạng LAN, USB, CD, DVD Để có hệ thống an tồn hơn, cần có biện pháp kèm như: + Khóa user tồn máy mạng LAN + Có sách an tồn việc dùng USB đóng tất USB disk (việc đóng khơng ảnh hưởng đến thiết bị dùng USB khác máy in, webcam…), sử dụng CD, DVD có nguồn gốc rõ ràng, có quyền, khóa autorun hệ thống… Khơng nên thực phân quyền lại cho nhóm administrator ảnh hưởng đến việc cài đặt chương trình Hệ thống có tác dụng sử dụng user limited khóa, hồn tồn khơng có tác dụng sử dụng user chưa khóa 28 Sử dụng phương pháp mã hóa Hiện nay, cơng ty sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa liệu, kỹ thuật mã hóa có nhiều ưu điểm Tuy nhiên, có số hạn chế cơng ty nên sử dụng thêm số biện pháp, phương pháp khác để nâng cao hiệu việc đảm bảo an tồn bảo mật thơng tin truyền nhận liệu Sử dụng mã hóa hệ thống tập tin (EFS-Encrypting File System) Trong số phần lớn người sử dụng chúng ta, hẳn bạn biết Windows XP, Windows phiên hệ điều hành – Windows tích hợp sẵn dịch vụ bảo mật liệu dành cho người dùng đơn giản vô hiệu vài thao tác thiết lập Đó Encrypted File Service hay gọi tắt EFS EFS thực chất dịch vụ bảo mật tích hợp sẵn Windows kể từ phiên XP Một liệu mã hóa EFS truy cập sử dụng tài khoản thực lệnh mã hóa Mặc dù người dùng khác nhìn thấy file liệu đó, khơng thể mở – cho dù tài khoản Administrator Chúng ta sử dụng phương pháp mã hóa tích hợp tảng giấy phép để bảo vệ file thư mục riêng biệt lưu trữ phân vùng định dạng NTFS Thao tác mã hóa file thư mục đơn giản, cần click vào nút Advanced tab General trang thuộc tính Properties Lưu ý sử dụng kết hợp mã hóa EFS nén NTFS EFS sử dụng kết hợp mã hóa đối xứng bất đối xứng cho bảo mật thực thi Để mã hóa file với EFS, người dùng phải có giấy phép EFS, tạo Windows Certification Authority, hay giấy phép tự phân khơng có Certificate Authority mạng Các file EFS mở tài khoản người dùng mã hóa chúng, hay tác nhân khôi phục chuyên dụng Với Windows XP hay Windows 2003 định tài khoản người dùng khác phân quyền để truy cập vào file mã hóa EFS Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file 29 Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file Sử dụng cơng cụ mã hóa ổ đĩa Trong số phiên Windows Vista, Windows 7, Windows Server 2008 Windows Server 2008 R2 tích hợp cơng cụ mã hóa ổ đĩa mạnh có tên BitLocker Mặc định, cơng cụ sử dụng mã hóa AES (Advanced Encryption Standard) vận hành theo chế độ Ngồi sử dụng nhiều cơng cụ mã hóa ổ đĩa nhóm ba khác cho phép mã hóa tồn ổ đĩa Khi mã hóa tồn ổ đĩa, người dùng khơng thể truy cập vào liệu Dữ liệu mã hóa tự động ghi vào ổ đĩa này, tự động giải mã trước tải vào nhớ Một số công cụ tạo vùng lưu trữ vơ hình bên phân vùng, sau hoạt động ổ đĩa ẩn bên ổ đĩa Những người dùng khác thấy liệu ổ đĩa ngồi Những cơng cụ mã hóa ổ đĩa sử dụng để mã hóa ổ đĩa di động Một số cho phép tạo mật chủ với mật phụ với quyền thấp để cấp cho người dùng khác, Whole Disk Encryption, Drive Crypt, … Nâng cấp hệ thống website Việc đảm bảo an toàn liệu doanh nghiệp thông tin khách hàng đưa lên hàng đầu, vấn đề nâng cấp website giải pháp mà doanh nghiệp cần có biện pháp hiệu để tránh xâm nhập vào hệ thống với mục đích đánh cắp Sử dụng chữ ký điện tử (Public Key Infrastructure) Một chữ ký điện tử Public Key Infrastructure (PKI) hệ thống quản lý cặp Private Key Public Key, giấy phép số Do khóa giấy phép phát hành cơng cụ nhóm ba đáng tin cậy nên bảo mật tảng giấy phép mà hệ thống cung cấp mạnh Chúng ta bảo mật liệu muốn chia sẻ với người khác cách mã hóa liệu với Public Key người chia sẻ Tất người dùng mạng thấy liệu này, nhiên người dùng có Private Key tương ứng với Public Key giải mã 30 Nâng cấp phần cứng Công ty sử dụng ổ cứng (16%) để đảm bảo an toàn bảo mật liệu Tuy nhiên, phần cứng cơng ty có bị lỗi khả phục hồi kém, tùy vào ngân sách chi đầu tư cho CNTT, q trình sử dụng có nhiều liệu tài liệu thông tin cần lưu trữ… Với dung lượng hạn chế đáp ứng nhu cầu bạn, ổ cứng sử dụng lâu, cũ kỹ hoạt động chậm chạp… Đó lúc nghĩ đến việc nâng cấp ổ cứng cho máy tính Thực lưu phục hồi liệu kịp thời thường xuyên Việc lấy liệu khỏi máy tính lưu vị trí an tồn nhằm tránh việc liệu bị hư hỏng phần cứng, bất cẩn người sử dụng (xóa nhầm, format đĩa cứng…) thiên tai, hỏa hoạn cần thiết quan trọng Công ty thực backup theo chu kỳ tháng lần, thời gian backup liệu lâu công ty nên backup liệu thường xuyên khoảng tuần lần để đảm bảo liệu công ty không bị thất lạc Lượng liệu bị hệ thống bị đánh sập hoàn toàn Tuy nhiên, việc backup liệu phải đảm bảo các yếu tố sau: - Có kế hoạch backup định kỳ: Kế hoạch phải đảm bảo lưu đủ liệu cần thiết, lưu thời điểm, hạn chế thấp mát liệu - An toàn liệu: Các liệu backup phải mã hóa cách phòng trường hợp liệu rơi vào tay kẻ xấu không bị lộ bí mật - An ninh việc cất giữ: Việc di chuyển lưu trữ liệu backup phải an toàn, tránh để thất lạc đường di chuyển nơi lưu trữ - Cách ly với môi trường đặt máy: liệu backup cần lưu trữ địa điểm cách xa với nơi đặt máy Nếu lưu nhà, tất có hỏa hoạn hay thiên tai, địch họa Cơng ty sử dụng tiện ích backup tích hợp hệ điều hành Windows (ntbackup.exe) để thực tiến trình backup bản, ngồi ra, sử dụng Wizard Mode để đơn giản hóa tiến trình tạo khơi phục file backup, hay cấu hình thủ cơng cài đặt backup lên lịch thực tác vụ backup để tự động hóa tác vụ 31 Data backup việc tạo liệu gốc, cất giữ nơi an toàn Và lấy sử dụng (restore) hệ thống gặp cố Sao lưu (backup) liệu cách tốt để bảo vệ liệu máy tính Bảo mật liệu truyền qua mạng wifi Cơng nghệ thông tin ngày phát triển, việc truyền nhận thông tin liệu sử dụng chủ yếu qua mạng, Cơng ty khơng sử dụng nhiều mạng dây, mà thay vào chủ yếu sử dụng Wifi cho máy tính xách tay máy tính cá nhân cơng ty Dữ liệu gửi qua mạng Wifi dễ bị tác động so với gửi qua mạng Ethernet Tin tặc không cần phải truy cập vật lý tới mạng hay thiết bị đó, người dùng sử dụng laptop kích hoạt Wifi ăng ten thu phát sóng mạnh đánh cắp liệu hay đột nhập vào mạng truy cập vào liệu lưu trữ mạng điểm truy cập Wifi khơng cấu hình bảo mật Vì để đảm bảo an tồn bảo mật thơng tin Công ty nên trọng việc bảo mật liệu truyền qua Wifi Chúng ta nên gửi lưu trữ liệu mạng Wifi mã hóa Để mã hóa mạng Wifi, tốt nên sử dụng Wifi Protected Access (WPS), mạnh nhiều so với Wired Equivalent Protocol (WEP) 3.2.3 Biện pháp khắc phục từ người Trong thời đại phát triển CNTT nay, công ty nên trang bị kiến thức an toàn bảo mật cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an toàn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm sốt nội chặt chẽ đề quy định riêng an toàn bảo mật CSDL cho công ty Cần phải làm rõ điều rằng, nhân viên không copy thơng tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Nguồn nhân lực cơng ty chưa có kiến thức chuyên sâu an toàn bảo mật CSDL Để thực giải pháp để nâng cao an toàn bảo mật CSDL cho công ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên 32 Ban lãnh đạo nhân viên công ty nên nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm sốt người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp công ty có quy định việc đeo thẻ vào làm việc nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục công ty nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề cơng ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.3 Một số kiến nghị 3.3.1 Điều kiện để áp dụng giải pháp Công ty cần phải có sở hạ tầng phù hợp hơn, nguồn nhân lực chất lượng cao để hồn thành tốt cơng việc đảm bảo an tồn bảo mật thông tin công ty 3.3.2 Kiến nghị với doanh nghiệp Trực tiếp tìm hiểu thực nghiên cứu hoạt động kinh doanh công ty, hoạt động an tồn bảo mật thơng tin trung tâm nói riêng, tơi xin đưa vài kiến nghị với trung tâm để giúp trung tâm hồn thiện cơng tác an tồn bảo mật thơng tin Đó là: 33 Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mô hình mạng an tồn việc cần thiết Mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an tồn bảo mật thơng tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn Đào tạo nhân lực công ty Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm 34 KẾT LUẬN Ngày nay, với phát triển công nghệ thông tin, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp người đến gần Các cơng ty có hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh chia sẻ thơng tin Bên cạnh đó, cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích,lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Vì vậy, việc đảm bảo nâng cao an tồn bảo mật thơng tin HTTT doanh nghiệp quan tâm hàng đầu Công ty cổ phần phát triển phần mềm ASIA phát triển, với việc mở rộng kinh doanh, tăng số lượng chi nhánh Cho nên vấn đề an toàn bảo mật HTTT công ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an toàn bảo mật HTTT Tuy nhiên, giải pháp an tồn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công HTTT Cho nên em đề xuất giải pháp như: Việc quản trị nâng cao nhận thức cho nhân viên, nâng cao việc lưu trữ mã hoá liệu, sử dụng phần mềm ngăn chặn nguy công liệu, nâng cấp hệ thống máy chủ công ty Với đề tài “Một số giải pháp đảm bảo an tồn bảo mật thơng tin cho Cơng ty Cổ phần phát triển phần mềm ASIA” đề tài đòi hỏi nghiên cứu lâu dài mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng kinh nghiệm lĩnh vực Là sinh viên thực tập, tầm hiểu biết, kinh nghiệm hạn chế, khóa luận thiếu nhiều thiếu sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hồn chỉnh Một lần nữa, em xin chân thành cảm ơn quý công ty, cảm ơn PGS.TS Đàm Gia Mạnh giúp đỡ tận tình tạo điều kiện thuận lợi để em hồn thành tốt khóa luận tốt nghiệp 35 DANH MỤC TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thơng tin quản lí, Trường ĐH Thương Mại [2] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [3] Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, , Đại học Bách Khoa [4] Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons [5]William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 36 PHỤ LỤC: PHIẾU ĐIỀU TRA TẠI CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA (Lưu ý: Em cam kết giữ bí mật thơng tin riêng công ty dùng thông tin cung cấp phiếu điều tra cho mục đích làm khóa luận tốt nghiệp) Đề tài: Một số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin Công ty Cổ phần Phát triển phần mềm ASIA HẠ TẦNG KỸ THUẬT CNTT Số lượng máy trạm: (chiếc) Số lượng máy chủ: (chiếc) Tổng số máy tính có kết nối Internet băng rộng:……….(chiếc) Số lượng cán có đại học cao đẳng CNTT trở lên: người - Phần cứng:……………người - Phần mềm: + Dịch vụ: …………….người + Phát triển phần mềm: ………… người Tần xuất lưu liệu Công ty tháng lần tháng lần tháng lân Công ty sử dụng phần mềm nào? Hệ điều hành Windows Phần mềm Văn phòng MS Office Phần mềm tài kế tốn lâu Hệ điều hành khác Phần mềm quản lý nhân Phần mềm quản lý khách hàng Phần mềm khác (ghi rõ) ………………………………………… ………… Chất lượng sử dụng phần mềm này: Rất tốt Khá Kém Tốt Trung bình Các phần mềm công ty sử dụng mua hay tự sản xuất? Mua Tự sản xuất Cơng ty có dự định đầu tư, nâng cấp sở hạ tầng CNTT không? Đầu tư nào? 10 Hiện công ty sử dụng phương pháp, cách thức để bảo mật thông tin cho khách hàng? Quản lý email Quản lý website Quản lí server máy chủ Quản lý hệ CSDL Khác 11 Khả lưu trữ hệ quản trị CSDL SQL server 2008 có đáp ứng nhu cầu Công ty không? Đáp ứng tốt Đáp ứng nhu cầu Đáp ứng nhu cầu Đáp ứng Chưa đáp ứng nhu cầu 12 Tần suất cập nhật thông tin website hợp lý? Hằng ngày Hằng tuần Hàng tháng Thỉnh thoảng 13 Hiện công ty có sử dụng giải pháp an tồn bảo mật thông tin nào? Sao lưu phục hồi liệu kịp thời thường xuyên Sử dụng giải pháp mã hóa Phần mềm diệt virut Sử dụng tường lửa Firewall Phầm mềm khác 14 Tần số rủi ro Công ty gặp phải an tồn thơng tin nào? Rủi ro phần mềm Rủi ro phần cứng Rủi ro liệu Rủi ro mạng Rủi ro người 15 Việc đảm bảo an toàn bảo mật CSDL thực thường xuyên không? Thường xun Thỉnh thoảng Bình thường Ít Khơng 16 Khó khăn việc ứng dụng CNTT, HTTT, TMĐT cơng ty Trình độ nhân lực khơng đáp ứng Cơng ty khơng có sở vật chất để đáp ứng Nhân sách khơng cho phép 17 Các hình thức đào tạo CNTT, HTTT, TMĐT doanh công ty: Mở lớp đào tạo Đào tạo chỗ theo nhu cầu công việc Cử nhân viên học Không đào tạo 18 Mức độ quan tâm lãnh đạo doanh nghiệp việc ứng dụng CNTT, HTTT, TMĐT: Rất quan tâm Quan tâm mức Quan tâm mức bình thường Ít quan tâm Khơng quan tâm 19 Biện pháp đảm bảo liệu cho doanh nghiệp Sử dụng ổ cứng Sao lưu liên tục Đồng lên mạng Khơng sử dụng biện pháp 20 Độ an tồn bảo mật máy tính doanh nghiệp Sử dụng phần mềm quyền Không sử dụng phần mềm quyền Xin chân thành cảm ơn Ông(Bà) tham gia vào điều tra! ... vấn đề an tồn bảo mật HTTT Công ty cổ phần phát triển phần mềm ASIA, giải pháp công nghệ giải pháp người để đảm bảo an toàn bảo mật HTTT doanh nghiệp Các sách phát triển đảm bảo an tồn bảo mật (ATBM)... bảo mật thơng tin cho HTTT cơng ty trọng triển khai Vì vậy, đề tài Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty Cổ phần phát triển phần mềm ASIA phù hợp với công ty. .. TỒN VÀ BẢO MẬT THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA 2.1 Về sở lý luận 2.1.1 Một số khái niệm an tồn bảo mật thơng tin 2.1.2 Đảm bảo an toàn bảo mật thông tin