LỜI CẢM ƠN Để hồn thành khóa luận này, bên cạnh cố gắng nỗ lực thân, em cũng nhận dẫn, giúp đỡ nhiệt tình giáo viên hướng dẫn Th.S Hàn Minh Phương, cùng với hỗ trợ từ phía Cơng ty cổ phần Cảnh Nước Em xin gửi lời cám ơn tới Khoa Hệ thống thông tin kinh tế Thương mại điện tử, Trường Đại học Thương mại, cám ơn các quý thầy khoa tận tình trùn đạt các kiến thức quý báu cho em suốt quá trình học tập tạo điều kiện tốt nhất cho em hồn thành đề tài khóa luận Em xin gửi lời cảm ơn tới cô Th.S Hàn Minh Phương – Giáo viên hướng dẫn tận tình bảo em suốt quá trình thực đề tài lời cảm ơn biết ơn sâu sắc nhất Bên cạnh kiến thức khoa học, cô giúp em nhận học về phong cách học tập, làm việc kinh nghiệm sống quý báu Bên cạnh đó, em cũng xin gửi lời cảm ơn tới các anh/chị thuộc Công ty cổ phần Cảnh Nước nhiệt tình giúp đỡ tạo mọi điều kiện cho em tìm hiểu các hoạt đợng thực tiễn bên công ty, cung cấp các tài liệu cần thiết để em thực tốt khóa luận Trong quá trình thực tập làm khóa luận dù cố gắng thời gian trình đợ hạn chế nên khơng thể tránh khỏi thiếu sót Em rất mong nhận ý kiến đóng góp, bổ sung ý kiến thầy, để khóa luận tốt nghiệp hồn chỉnh Em xin chân thành cảm ơn ! Sinh viên thực Phạm Thị My i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt ACL AES CNTT CMAC CPU CSDL DMZ Giải nghĩa tiếng anh Giải nghĩa tiếng việt Access Control Danh sách quản lý truy cập, Advanced Encryption Standard Cipher-based Message Authentication Code Central Processing Unit nhiệm vụ lọc gói tin Tiêu chuẩn mã hóa tiên tiến Cơng nghệ thơng tin Mã xác thực tin nhắn dựa mật mã Bộ xử lý trung tâm Cơ sở liệu Khu vực bảo mật thực ngăn Demilitarized Zone lưu lượng Internet cách xa HTTT LAN RDBMS SSL TCP/IP TMĐT VPN WLAN WEP WPA WPA2 hệ thống mạng cục bộ Hệ thống thông tin Local Area Network Mạng cục bộ Relational Database Management System Hệ thống quản lý sở liệu Secure Sockets Layer Giao thức an ninh thông tin mạng Transmission Control / Internet Protocol Bộ giao thức liên mạng Thương mại điện tử Virtual Private Network Mạng riêng ảo Wifi Local Area Network Mạng cục bộ không dây Wireless Encryption Protocol Giao thức mã hoá mạng không WiFi Protected Access dây WEP Giao thức mã hoá mạng không WiFi Protected Access II dây WPA Giao thức mã hoá mạng khơng dây WPA2 iii DANH MỤC BẢNG BIỂU, SƠ ĐỜ, HÌNH VE Hình 2.1: Sơ đồ cấu tổ chức Công ty cổ phần Cảnh Nước 22 Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước 23 Bảng 2.2: Bảng báo cáo kết quả kinh doanh công ty ba năm 2014-2016 24 Bảng 2.3: Bảng thông kê sơ bô vê trang thiết bi phong ban công ty 25 Hình 2.2 Cấu trúc mạng hình 26 Biêu đồ 2.1 Mức đô đảm bảo an toan bảo m ât HTTT công ty 29 Biêu đồ 2.2 Mức độ quan trọng phần HTTT công ty 30 Biêu đồ 2.3 Thách thức vê an toan bảo mật liệu đôi với công ty .31 Biêu đồ 2.4 Mức độ an toan, bảo mật thông tin công ty 32 Biêu đồ 2.5 Tần suất lưu liệu công ty 33 Biêu đồ 2.6 Giao thức bảo mât mạng không dây công ty 34 Biêu đồ2.7 Mức đô trang thiết bi phần cứng bảo m ât công ty 35 Hình 3.1: Chức liêt kê phần mêm đươc cai máy tnh Programs and Features 39 Hình 3.2: Chức tưởng lửa máy tnh 40 Hình 3.3: Chức thiết lâp câp nhât phần mêm va h ê điêu hanh Windows 41 Hình 3.4: Thiết bi đinh tuyến Cisco RV220W 42 Hình 3.5: Cấu hình điên hình .44 iv PHẦN I: PHẦN MỞ ĐẦU Lý lựa chọn đề tài nghiên cứu Trong tổ chức, doanh nghiệp việc thu thập nắm bắt thông tin vấn đề hết sức quan trọng Nó mợt yếu tố mang lại thành công cho tổ chức, cá nhân biết tận dụng khai thác Cùng với phát triển mạnh mẽ công nghệ nay, việc thu thập, xử lý thơng tin khá dễ dàng nhanh chóng Song song với phát triển này, cùng với cách quản lý nhân lực, tài sản nói chung tài sản thơng tin nói riêng tổ chức, phát triển các loại hình đánh cắp thơng tin, xâm nhập hệ thống thông tin (HTTT) trái phép, bao gồm bên nợi bợ bên ngồi tổ chức Có thể coi HTTT thành phần quan trọng doanh nghiệp, qút định mọi hoạt đợng hàng ngày doanh nghiệp Nhưng cũng tầm quan trọng mà HTTT bị mất an tồn gây thiệt hại nặng nề cho doanh nghiệp Chính vậy, cần có giải pháp để nâng cao an tồn bảo mật cho HTTT doanh nghiệp Là mợt doanh nghiệp kinh doanh lĩnh vực bất động sản, việc đảm bảo an tồn thơng tin HTTT doanh nghiệp rất cần thiết, ảnh hưởng trực tiếp gián tiếp đến các hoạt động kinh doanh cơng ty Tuy nhiên, quá trình thực tập tìm hiểu Cơng ty cổ phần Cảnh Nước, em thấy cơng ty chưa có đầu tư mức cho vấn đề an toàn bảo mật hệ thống thơng tin Trong cơng ty xảy tình trạng thất lạc thơng tin liệu, hệ thống gặp cố, đồng bợ hóa thơng tin chưa cao Chính vậy, em xin thực đề tài khóa luận: “Một số giải pháp bảo mật cho HTTT Công ty cổ phần Cảnh Nước ” Mục tiêu nhiệm vụ nghiên cứu Mục tiêu nhiệm vụ nghiên cứu đề tài tập hợp hệ thống hóa mợt số lý thút về an toàn bảo mật HTTT, để từ xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật HTTT cơng ty Từ đánh giá phân tích này, đưa mợt số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính an tồn bảo mật HTTT doanh nghiệp Các mục tiêu cụ thể cần giải quyết đề tài: - Làm rõ sở lý luận về an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước - Đánh giá thực trạng an toàn bảo mật HTTT Công ty cổ phần Cảnh Nước dựa tài liệu thu thập Trên sở lý luận thực trạng đề các giải pháp nâng cao an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu đề tài: - Các vấn đề an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước - Một số giải pháp đưa để đảm bảo an toàn bảo mật HTTT doanh nghiệp - Hệ thống thông tin doanh nghiệp - Các sách phát triển đảm bảo an tồn bảo mật thông tin doanh nghiệp Là một đề tài nghiên cứu luận văn sinh viên nên phạm vi nghiên cứu đề tài giới hạn một doanh nghiệp khoảng thời gian ngắn hạn Cụ thể: Về không gian: Nội dung đề tài mang tính vi mơ, tập trung nghiên cứu tình hình an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước nhằm đưa một số giải pháp nâng cao an toàn bảo mật HTTT Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày các nhóm giải pháp, định hướng phát triển tương lai doanh nghiệp Phương pháp nghiên cứu 4.1 Phương pháp thu thập dữ liệu Thu thập liệu thứ cấp: Tìm hiểu các thơng tin về an tồn bảo mật HTTT qua Internet, qua các cơng trình nghiên cứu khoa học thực tài liệu sách báo có liên quan Thu thập liệu sơ cấp: • Phương pháp sử dụng phiếu điều tra: Nội dung: Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên cơng ty về hoạt đợng đảm bảo an tồn bảo mật HTTT bên doanh nghiệp Cách thức tiến hành: Phiếu điều tra phát cho 10 nhân viên cơng ty để thu thập liệu Mục đích: Nhằm thu thập thông tin về hoạt động an tồn bảo mật HTTT cơng ty, từ phân tích, đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu các hoạt đợng đảm bảo an tồn bảo mật HTTT Cơng ty cổ phần Cảnh Nước • Phương pháp vấn trực tiếp: Nội dung: Đưa mợt số câu hỏi về tình trạng mất an tồn bảo mật HTTT cơng ty vòng năm gần Cách thức tiến hành: Phỏng vấn riêng nhân viên công ty về hoạt động đảm bảo an toàn bảo mật HTTT bên doanh nghiệp Mục đích: Nhằm khảo sát ý kiến mợt cách trực quan nhất về hoạt đợng an tồn bảo mật HTTT doanh nghiệp 4.2 Phương pháp xử lý dữ liệu Từ liệu thu thập sau tiến hành điều tra vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thơng tin phù hợp với mục đích nghiên cứu đề tài Trong quá trình xử lý thông tin, ta cần chia thông tin làm hai phương pháp chính: - Phương pháp định lượng: Sử dụng phần mềm Excel nhằm phân tích, so sánh các nguồn thơng tin thu thập để có cái nhìn xác nhất về tình hình an tồn bảo mật HTTT doanh nghiệp - Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi vấn, phiếu điều tra các tài liệu thu thập Nợi dung khóa ḷn tốt nghiệp Nợi dung khóa luận gồm: Phần I: Phần mở đầu Phần II: Nội dung Chương 1: Cơ sở lý luận về vấn đề đảm bảo an tồn HTTT Chương 2: Phân tích, đánh giá thực trạng về vấn đề đảm bảo an toàn HTTT cho Công ty cổ phần Cảnh Nước Chương 3: Các kết luận đề xuất với vấn đề đảm bảo an tồn HTTT Cơng ty cổ phần Cảnh Nước PHẦN II: NỘI DUNG CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN 1.1 Những khái niệm 1.1.1 Khái niệm chung Theo [1] khái niệm liệu là: các giá trị phản ánh về vật, tượng thế giới khách quan Dữ liệu các giá trị thơ, chưa có ý nghĩa với người sử dụng Có thể mợt tập hợp các giá trị mà không biết liên hệ chúng Dữ liệu biểu diễn dưới nhiều dạng khác âm thanh, văn bản, hình ảnh, Theo [1] thơng tin là: ý nghĩa rút từ liệu thơng qua quá trình xử lý (phân tích, tổng hợp…), phù hợp với mục đích người sử dụng Thơng tin gồm nhiều giá trị liệu tổ chức cho mang lại mợt ý nghĩa cho một đối tượng cụ thể, một ngữ cảnh cụ thể Những thơng tin có giá trị thơng tin mang các đặc điểm sau: xác, xác thực; đầy đủ, chi tiết; rõ ràng (dễ hiểu); lúc, thường xuyên; thứ tự, có liên quan;… Theo [1] khái niệm hệ thống là: mợt tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ ràng buộc lẫn cùng hoạt động hướng tới một mục tiêu chung Phần tử vật chất phi vật chất: người, máy móc, thơng tin, liệu, phương pháp xử lý, quy tắc, quy trình xử lý Theo [1] hệ thống thơng tin xác định như: mợt tập hợp các thành phần tổ chức (người, thủ tục, các nguồn lực) để thu thập, xử lý, lưu trữ, truyền phát thông tin tổ chức Hệ thống thơng tin thủ cơng nếu dựa vào các công cụ giấy, bút Hệ thống thơng tin đại hệ thống tự đợng hóa dựa vào máy tính (phần cứng, phần mềm) các cơng nghệ thơng tin khác Theo [2] khái niệm an tồn thơng tin: Thơng tin coi an tồn thơng tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người không phép Bảo mật thông tin trì tính bí mật (Confidentiality), tính tồn vẹn (Integrity) tính sẵn sàng (Availability) thơng tin - Tính bảo mật (Confidentially): Đảm bảo có cá nhân cấp quyền mới phép truy cập vào hệ thống Đây yêu cầu quan trọng bảo mật thơng tin đối với các tổ chức doanh nghiệp thơng tin tài sản có giá trị hàng đầu, việc các cá nhân không cấp quyền truy nhập trái phép vào hệ thống làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản cơng ty bị xâm hại, dẫn đến phá sản - Tính tồn vẹn (Integrity): Đảm bảo thông tin trạng thái đúng, xác, người sử dụng ln làm việc với các thông tin tin cậy chân thực Chỉ các cá nhânđược cấp quyền mới phép chỉnh sửa thông tin Kẻ tấn cơng khơng có ý định đánh cắp thơng tin mà mong muốn làm cho thơng tin bị mất giá trị sử dụng cách tạo các thông tin sai lệch gây thiệt hại cho công ty - Tính sẵn sàng (Availabillity): Đảm bảo cho thơng tin trạng thái sẵn sàng phục vụ, bất cứ lúc người sử dụng hợp pháp có nhu cầu đều truy nhập vào hệ thống Có thể nói yêu cầu quan trọng nhất, thơng tin hữu ích người sử dụng cần dùng được, nếu yêu cầu đảm bảo yêu cầu cuối cùng khơng đảm bảo thơng tin cũng trở nên mất giá trị 1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp 1.1.2.1 Khái niệm phần mềm độc hại Phần mềm độc hại (Malware) bất kỳ loại phần mềm làm hại máy tính bạn, các phần mềm đợc hại tấn công nhiều phương pháp khác để xâm nhập vào hệ thống với các mục đích khác như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware), Virus: Là mợt chương trình máy tính tự chép lên đĩa, file khác mà người sử dụng không hay biết Thông thường virus máy tính mang tính chất phá hoại, gây lỗi thi hành, lệch lạc hay hủy liệu Chúng có các tính chất: Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa sang đĩa khác lây từ máy sang máy khác, tính phá hoại thông thường chúng tiêu diệt phá hủy các chương trình liệu (tuy nhiên cũng có mợt số virus khơng gây hại chương trình tạo với mục đích trêu đùa) Các nguồn phổ biến nhất để lây nhiễm virus ổ đĩa USB, Internet file đính kèm email Để ngăn chặn virus lây lan từ USB, bạn nên làm cho an tồn cách qt virus trước sử dụng máy tính Sâu máy tính (Worm): Là loại virus lây từ máy tính sang máy tính khác qua mạng, khác với loại virus truyền thống trước lây nợi bợ mợt máy tính lây sang máy khác đem chương trình nhiễm virus sang máy Chúng thường sử dụng các lỗ hổng bảo mật một mạng lưới để trốn bên máy tính tḥc mạng mà không cần can thiệp người dùng Chúng phá hủy tất các máy tính mạng vòng vài phút Sự khác biệt mợt loại virus worms việc worms thực chép qua mạng mợt chương trình đợc lập riêng, virus lây lan thơng qua các phương tiện khác thiết bị trùn thơng di đợng, chúng gắn với các chương trình khác Mợt số ví dụ tiếng worms sâu Iloveyou, Conficker,… Nếu hệ thống mạng máy tính dính worms, bạn nên ngắt kết nối tất các máy tính mạng đó, sau qt tồn bợ với mợt phần mềm chống virus tốt, kết nối chúng trở lại với mạng chắn khơng dấu vết worms, nếu không worms tự tái tạo lại khởi đợng lại tồn bợ chu kỳ Ngựa Trojan/Backdoor: Trojan một mối đe dọa nguy hiểm nhất với máy tính Chúng mợt mã đợc ẩn bên mợt phần mềm hữu ích bí mật kết nối đến máy chủ đợc hại chạy nền nên bạn không hề hay biết Trojan thường sử dụng để điều khiển hồn tồn máy tính từ xa Nếu máy tính bị nhiễm trojan, bạn nên ngắt kết nối Internet không kết nối lại cho đến trojan loại bỏ hồn tồn Tường lửa phát các hoạt đợng đáng ngờ trojan Windows Firewall một tường lửa rất có sẵn Windows, bạn sử dụng các công cụ nâng cao kèm phần mềm diệt virus Kaspersky Internet Security Chỉ cần nhớ trojan cài đặt tự động virus, chúng cần phải cài đặt người sử dụng Bạn phải rất cẩn thận cài đặt chạy bất kỳ chương trình nào, nên chạy cơng cụ cung cấp từ nguồn mà bạn tin tưởng Máy tính sau cài đặt lại rất chứa các nguy tiềm ẩn mất an tồn thơng tin, cần có mợt số lưu ý để thiết lập máy tính mới an tồn chống lại các nguy bị tấn công sau: Bước 1: Tạo các mật mạnh Ngay quá trình thiết lập cấu hình máy tính, các tài khoản người sử dụng cần tạo với mật có đợ phức tạp nhất định Người dùng máy tính khơng nên đặt các mật quá ngắn quá dễ đoán Mợt mật an tồn thường gồm các loại ký tự sau: ký tự hoa, ký tự thường; ký tự chữ số; ký tự đặc biệt (@#$%) Bước 2: Tháo gỡ các chương trình khơng cần thiết Sau cài lại máy, máy tính thường chứa các chương trình quảng cáo, giới thiệu dùng thử các phần mềm Các phần mềm chứa sẵn các nguy mất an tồn thơng tin Do đó, người dùng cần tháo bỏ các chương trình khơng cần thiết máy tính quá trình thiết lập ban đầu Sử dụng chức Programs and Features để liệt kê các phần mềm cài sẵn máy tính: Ấn vào biểu tượng Start góc hình bên trái, vào mục Control Panel > Programs > Programs and Features Hình 3.1: Chức liệt kê các phần mềm được cài máy tính Programs and Features 39 Bước 3: Kích hoạt chức tường lửa bảo vệ cá nhân máy tính Để đảm bảo an tồn an ninh mạng, cần kích hoạt phần mềm tường lửa trước kết nối đến bất kỳ mạng máy tính (Internet/Wifi/LAN…) Trên hệ điều hành Windows, kích hoạt tường lửa cách truy cập chức Firewall Control Panel: Start > Control Panel > System and Security > Windows Firewall > Turn Windows Firewall on or off, sau chọn các lựa chọn “Turn on…” các tùy chọn bên dưới để kích hoạt Hình 3.2: Chức tưởng lửa máy tính Bước 4: Nâng cấp các phần mềm hệ điều hành Windows Hệ điều hành máy tính sau cài đặt lại phiên cũ chưa vá lỗi bảo mật Do đó, người sử dụng cần thiết lập chế độ tự động nâng cấp thực nâng cấp cho hệ điều hành các phần mềm khác: Start > Control Panel > System and Security > Windows Update > Change settings Trong các tùy chọn về nâng cấp, người sử dụng tùy chọn theo nhu cầu 40 Hình 3.3: Chức thiết lập cập nhật các phần mềm và hệ điều hành Windows Bước 5: Cài đặt phần mềm diệt virus Phần mềm diệt virus lớp lá chắn quan trọng việc bảo vệ người sử dụng khỏi các mã đợc virus Do đó, cần có chương trình diệt virus để bảo vệ người dùng các hoạt động người sử dụng máy tính 3.2.2 Nâng cấp hệ thớng an toàn an ninh mạng công ty Nếu hệ thống mạng bảo vệ mức bất cứ mợt máy tính có hỗ trợ truy cập khơng dây hay có dây nằm vùng phủ sóng thiết bị phát sóng đều kết nối để truy cập Internet Do hầu hết các phiên phần mềm dựa vào TCP/IP Microsoft đều hỗ trợ SSL (Secure Socket Layer) nên cơng ty sử dụng giao thức mạng an tồn phổ biến cho hệ thống mạng có dây Mạng Internet doanh nghiệp tình trạng thả nổi, chưa có kiểm soát chặt chẽ, các nhân viên tự truy cập Internet rất dễ làm cho máy tính bị nhiễm virus, phần mềm độc hại Bên cạnh các rủi ro về thất thoát thơng tin, Internet lấy rất nhiều tiền bạc doanh nghiệp giờ làm việc các nhân viên lại tâm vào đọc báo điện tử, chơi game, download, facebook, twitter, … thay làm việc Giải pháp hữu hiệu nhất cho tình trạng doanh nghiệp nên triển khai sử dụng thiết bị bảo mật "Cisco RV220W" Cisco: 41 Hình 3.4: Thiết bị định tuyến Cisco RV220W - Cisco RV220W cung cấp khả phát sóng khơng dây với băng thơng rộng giúp nâng cao suất hoạt động cho doanh nghiệp việc truy cập nhanh tới các tập tin lớn cũng các ứng dụng đa phương tiện nhân viên - Bảo mật cao cho kết nối từ xa: Ngồi khả cung cấp kết nối băng thơng rợng, thiết bị định tún Cisco RV220W mang tới cho doanh nghiệp khả bảo mật cao khả kết nối từ xa Cisco RV220W hỗ trợ giao thức bảo mật cho các kết nối từ xa gồm IP Security (IPsec) Secure Sockets Layer (SSL) VPN IP Security (IPsec) VPN cho phép kết nối các văn phòng với mà không quan tâm tới khoảng cách vật lý các văn phòng Secure Sockets Layer (SSL) VPN cung cấp khả bảo mật các kết nối từ xa thơng qua bất cứ trình duyệt web hay mợt ứng dụng định Đặc biệt thiết bị định tuyến cung cấp khả truy cập mở rợng có kiểm soát cho các doanh nghiệp, đối tác kinh doanh hay đối tượng khác mà không ảnh hưởng tới các liệu quan trọng doanh nghiệp - Thiết lập dễ dàng: Người sử dụng dễ dàng thiết lập cấu hình cho thiết bị định tuyến Cisco RV220W thông qua giao diện với hỗ trợ trình thuật sĩ (Wizard) Bên cạnh đó, để tối ưu khả bảo vệ hệ thống mạng liệu, thiết bị định tuyến Cisco RV220W tích hợp thêm tính bảo mật mức doanh nghiệp tùy chọn thêm tính bảo mật lọc web Các tính thiết bị định tuyến Cisco RV220W: Cung cấp hiệu suất cao với kết nối có dây Gigabit kết nối không dây chuẩn N băng thông rộng, tốc độ cao cho việc truyền nhận liệu Tích hợp thiết bị chuyển mạch cổng tốc độ Gigabit 42 Cho phép người sử dụng lựa chọn băng tần phát sóng chuẩn g (2.4Ghz) hay chuẩn a (5.0 Ghz) cho việc chống nhiễu, giúp cải thiện hiệu suất cho việc kết nối khơng dây Cung cấp khả truy cập an tồn kết nối các văn phòng, cho phép nhân viên làm việc từ xa thông qua giao thức VPN với giao thức bảo mật IPSec SSL Cung cấp hệ thống tường lửa mạnh, các kết nối với mạng riêng ảo (VLAN) hệ thống bảo mật không dây mạnh mẽ giúp bảo vệ hệ thống mạng doanh nghiệp Ngoài ra, thiết bị cho phép khách hàng tùy chọn tính bảo mật Cisco ProtectLink Web giúp bảo vệ hệ thống máy chủ web Thiết bị định tuyến Cisco RV220W cung cấp giao diện quản lý trực quan thơng qua trình duyệt web với các trình thuật sĩ cho các việc cài đặt cũng thiết lập cấu hình Khi cài đặt thiết bị, doanh nghiệp nên chọn cài giao thức WPA2 (WiFi Protected Access II) thay thế cho WPA dùng trước để tăng cường mức độ bảo mật cho hệ thống mạng không dây doanh nghiệp Giao thức WPA2 có các ưu điểm sau: Mức đợ bảo mật cải tiến, lỗ hổng khá hạn chế, kẻ tấn cơng phải có mật truy cập vào wifi bảo mật mới tấn công mạng nội bộ doanh nghiệp Sử dụng mã hóa khối, có hỗ trợ mã hóa dòng Sử dụng CCMP/AES (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) để tính mã MIC, có đợ tin cậy cao nhất 43 Hình 3.5: Cấu hình điển hình Vì nguồn ngân sách hạn hẹp quy mơ cơng ty nhỏ nên Cisco RV220W coi giải pháp bảo mật hữu hiệu nhất cho doanh nghiệp thời điểm 3.2.3 Một số biện pháp phòng chống mã độc Sử dụng thư điện tử thận trọng: Mã đợc lây nhiễm vào máy tính người sử dụng thơng qua các tệp tin đính kèm thư điện tử Các tệp tin thường đính kèm các thư điện tử người lạ gửi đến nạn nhân thư điện tử giả mạo quan tổ chức Do đó, người sử dụng khơng nên mở các tệp tin đính kèm thư điện tử nhận từ mợt người lạ mợ người có địa thư điện tử giống với người mà quen biết Ngồi ra, dùng chương trình diệt virus để dò qt tệp tin đính kèm trước đọc nội dung Cẩn thận truy cập các trang web mạng Internet: Chỉ cần truy cập vào một trang web độc hại người dùng bị lây nhiễm mã đợc vào máy tính Các trang web thường dụ dỗ người sử dụng truy cập thông qua các liên kết gửi qua mạng xã hợi, thư điện tử hay tin nhắn Vì vậy, người sử dụng cần thật thận trọng truy cập vào các trang web lạ gửi đến từ người khác quá trình sử dụng các dịch vụ mạng Internet Hầu hết các trình duyệt Internet cảnh báo các trang web độc hại, nhiên người dùng phải cảnh giác cho dù trình duyệt Internet không cảnh báo 44 Không tải các phần mềm bẻ khóa, chương trình ứng dụng khơng rõ nguồn gốc mạng về máy: Các phần mềm đợc hại tồn tạo các phần mềm bẻ khóa, phần mềm miễn phí hay có trả phí khơng tải từ trang web thức nhà phát triển Các phần mềm thường đính kèm virus, mã đợc kích hoạt người dùng chạy các phần mềm Vì vậy, khơng nên tải các phần mềm từ các diễn đàn, mạng xã hội mà người dùng khơng rõ nguồn gốc Cách tốt nhất để phòng chống mã đợc tải phần mềm trang web nhà sản xuất để tránh trường hợp tải phiên “giả mạo” kèm sẵn mã độc 3.2.4 Sơ bộ quy trình đánh giá kết quả cho các công cụ an toàn bảo mật HTTT Bước 1: Xác định đối tượng cần đảm bảo an toàn bảo mật Đối tượng HTTT cần phải bảo vệ thơng tin hệ thống Chính cơng ty cần phân loại thơng tin mợt cách xác, thơng tin có mức đợ bảo mật cao số lượng người phép biết sử dụng thông tin ngược lại Việc xác định mức độ quan trọng thông tin giúp cho cơng ty có sách, cơng cụ hợp lý để hỗ trợ, kiểm soát độ bảo mật cho các thông tin Bước 2: Xác định mục tiêu an tồn, bảo mật Ở bước đòi hỏi nhạy bén người quản trị HTTT việc: - Phát các lỗ hổng bảo mật HTTT, dự đoán trước các nguy tấn cơng để có các biện pháp phòng ngừa kịp thời - Ngăn chặn hành đợng gây mất an tồn, bảo mật thơng tin từ bên bên vào HTTT cơng ty - Mợt HTTT an tồn bảo mật phải đảm bảo yêu cầu: Tính sẵn sàng, tính bảo mật tính tồn vẹn Để đạt yêu cầu này, người quản trị HTTT cần thực mợt chu trình liên tục theo thời gian các biện pháp phòng chống, triển khai thiết bị phần mềm đảm bảo an toàn bảo mật Bước 3: Xác định các loại tấn công Cần xác định rõ các loại tấn công vào HTTT công ty để từ lựa chọn cơng cụ chuẩn xác nhất nhằm đảm bảo an tồn bảo mật HTTT Có loại tấn cơng chính: - Kỹ thuật tấn cơng xã hợi (Social Engineering Attacks): Kẻ tấn công lợi dụng bất cẩn hay tin người công ty để lấy thông tin 45 xác nhận quyền truy nhập người dùng truy nhập hệ thống vào thơng tin - Tấn cơng phần mềm (Software Attacks): Loại nhằm vào các ứng dụng, hệ điều hành, các giao thức Mục đích để phá hủy vơ hiệu hóa chúng để đạt quyền truy nhập vào hệ thống khai thác thông tin Loại tấn cơng dùng đợc lập kết hợp với một số loại khác - Tấn công phần cứng (Hardware Attacks): Nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng,… mục đích để phá hủy phần cứng vơ hiệu hóa phần mềm, sở cho tấn công từ chối dịch vụ (Dos) Bước 4: Lựa chọn cơng cụ an tồn, bảo mật: Người quản trị HTTT cần vạch rõ sơ đồ đường thơng tin để từ đưa các biện pháp bảo mật thích hợp điểm nút hay lớp mà hacker dễ tấn công đường Trong các lớp mơ hình TCP/IP thường tiến hành các phương pháp bảo mật mang tính kết hợp các lớp: Lớp 1: Tại có các sách lọc gói tin các router kết nối tới nhà cung cấp dịch vụ, sử dụng các ACL, Firewall, IPS tích hợp phần mềm IOS để bước đầu ngăn chặn các dịch vụ không cần thiết Lớp 2: Sử dụng NIPS (Network IPS) để quan sát liệu vào Internet, có dấu hiệu mất an tồn lập tức thông báo cho trung tâm quản lý trường hợp khẩn cấp khóa các kết nối lại Lớp 3: Tại sử dụng bức tường lửa cho phép ngăn cách làm vùng DMZ (Demilitarized Zone), Outside, Inside Các Server công cộng thuộc vùng DMZ bảo vệ rất nghiêm ngặt Lớp 4: Đây lớp bảo vệ cuối cùng sử dụng NIPS (Network-based Intrusion Prevention) HIPS (Host-based Intrusion Prevention) cài các Server Hệ thống phát tấn công các hệ điều hành cho phép có thơng báo cho quản trị mạng đóng băng các kết nối trường hợp khẩn cấp Bước 5: Hoạch định ngân sách an toàn, bảo mật Việc công ty dành ngân sách cho chương trình đảm bảo an tồn bảo mật HTTT ảnh hưởng tới việc lựa chọn các công cụ an toàn bảo mật cho phù hợp với quy mô ngân sách công ty Người quản trị HTTT phải tính 46 toán với chi phí thấp nhất đạt mục tiêu mà cơng ty đề Có phương pháp xác định ngân sách dành cho hoạt động đảm bảo an tồn bảo mật HTTT mà các cơng ty thường áp dụng là: - Xác định theo tỷ lệ phần trăm doanh thu: có nghĩa ngân sách dành cho hoạt đợng an tồn bảo mật HTTT phụ thuộc vào biến động mức tiêu thụ năm công ty - Cân cạnh tranh: Xác định ngân sách ngang với mức chi các công ty cạnh tranh khác - Căn cứ vào mục tiêu nhiệm vụ phải hoàn thành: Phương pháp đòi hỏi người quản trị HTTT phải xác định mục tiêu cụ thể chiến dịch đảm bảo an tồn bảo mật HTTT sau ước tính chi phí các hoạt đợng cần thiết để đạt mục tiêu - Theo khả tài cơng ty: Phương pháp thường khơng có hiệu cao khả tài doanh nghiệp thường không ổn định, bỏ qua ảnh hưởng hoạt đợng đảm bảo an tồn bảo mật HTTT đối với mức doanh thu mà công ty có Cơng ty cổ phần Cảnh Nước nên lựa chọn phương pháp xác định theo tỷ lệ phần trăm doanh thu để phù hợp với tình hình công ty Bước 6: Đánh giá hiệu chương trình an tồn bảo mật Sau thực kế hoạch đảm bảo an toàn bảo mật HTTT, người quản trị hệ thống phải đo lường tác đợng đến tổng thể hoạt đợng cơng ty thế Điều đòi hỏi người quản trị phải đánh giá tác động các công cụ đảm abro an toàn bảo mật HTTT trước sau áp dụng mang lại thuận lợi hay khó khăn gì, tác đợng tích cực hay tiêu cực đến hoạt động doanh nghiệp… Người quản trị cần thu thập thông tin về phản ứng các cấp lãnh đạo, các cá nhân nhân viên công ty,… để làm sở đánh giá tác đợng chương trình Để có lượng thông tin đầy đủ, người quản trị HTTT cần thu thập thông tin định lượng doanh thu, chi phí,… thơng tin khơng định lượng mức đợ hài lòng, thoải mái nhân viên, mức đợ thu nhập, lưu trữ, phản hồi thông tin hệ thống để có cái nhìn tồn diện về HTTT trước sau áp dụng chương trình đảm bảo an toàn bảo mật HTTT 47 3.3 Các kiến nghị với các tổ chức cấp cao Ngành CNTT Việt Nam cần phải có phát triển đợt phá nữa, mạnh mẽ so với 20 năm trước đây, cần phải tận dụng lợi thế cuộc cách mạng công nghiệp lần thứ 4, khai thác thế mạnh về trí lực người Việt Nam, đưa CNTT đến mọi nơi lãnh thổ Việt Nam, kể nông thôn vùng sâu, vùng xa để đưa Việt Nam phát triển bền vững, thoát khỏi tình trạng mất an tồn an ninh CNTT Phải có chế, sách thiết thực hỗ trợ các doanh nghiệp CNTT về thị trường, về tiếp cận các nguồn lực, kể nguồn nhân lực nguồn tài (thuế, tín dụng,…) để tạo điều kiện cho doanh nghiệp phát triển thị trường nước Tăng cường phổ biến tri thức khoa học công nghệ tồn xã hợi thơng qua việc sử dụng các phương tiện truyền thông Người dân Việt Nam phải trang bị kiến thức về CNTT an toàn CNTT để ngăn chặn các nguy xấu xảy từ tin tặc, hacker để góp phần làm cho Việt Nam phát triển nhanh Bộ Thông tin Trùn thơng Việt Nam cần nhanh chóng hồn thiện ban hành dự thảo Tiêu chuẩn “Yêu cầu về an tồn HTTT theo cấp đợ” để các doanh nghiệp dựa vào sử dụng giải pháp có chi phí khơng quá lớn mà mang lại hiệu cao 48 KẾT LUẬN Ngày với phát triển bùng nổ công nghệ thông tin, hầu hết các thông tin các tổ chức, cá nhân đều lưu trữ hệ thống máy tính Cùng với phát triển tổ chức đòi hỏi ngày cao mơi trường hoạt đợng cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua mạng Việc mất mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài ngun thơng tin, tài chính, danh tiếng tổ chức, cá nhân Công nghệ thông tin trùn thơng đóng vai trò ngày quan trọng cuộc sống hàng ngày người, làm biến đổi sâu sắc cách thức làm việc, giải trí, các nguyên tắc tiến hành kinh doanh…Vì để đảm bảo an tồn thơng tin cần phải tìm hiểu, nghiên cứu các nguy mất an tồn thơng tin như: nguy về vật lý, về phầm mềm độc hại,…và sử dụng các biện pháp bảo vệ hệ thống thông tin một cách an tồn như: sử dụng các sách, các kỹ thuật an tồn thơng tin các phần mềm diệt virus Đối với Công ty cổ phần Cảnh Nước kinh doanh lĩnh vực bất động sản nên việc bảo mật thông tin HTTT vô cùng cần thiết Công ty thực các công tác nâng cấp xây dựng HTTT nhằm đảm bảo an tồn liệu bảo mật thơng tin, hiệu chưa cao nguồn nhân lực cho phòng cơng nghệ hạn chế, nhân viên cơng ty chưa có ý thức cao việc đảm bảo an tồn bảo mật HTTT Chính vậy, việc nâng cao kiến thức về an toàn, bảo mật cho người dùng điều cần thiết Với đề tài “Một số giải pháp bảo mật cho HTTT Công ty cở phần Cảnh Nước” mợt đề tài đòi hỏi nghiên cứu lâu dài về mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rợng kinh nghiệm về lĩnh vực Là một sinh viên thực tập, tầm hiểu biết, kinh nghiệm hạn chế, khóa luận thiếu nhiều thiếu sót Kính mong các thầy giáo, giáo góp ý chỉnh sửa, bổ sung để khóa luận em hồn chỉnh 49 DANH MỤC TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2014), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại, Hà Nợi [2] Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu thương mại điện tử, NXB Thống Kê, Hà Nợi [3] PGS.TS Ngũn Bình (2006), Lý thút thơng tin, Học viện Cơng nghệ bưu viễn thơng [4] Nguyễn Hữu Dũng (2009), Luận văn đề tài: Giải pháp nhằm nâng cao bảo mật HTTT quản trị tại công ty cổ phần công nghệ cao, Khoa Thương mại điện tử, Trường Đại học Thương mại [5] Website: http://www.bkav.com.vn/ [6] Website: https://quantrimang.com/ PHỤ LỤC PHIẾU ĐIỀU TRA Xin chào anh/chị Em sinh viên thực tập thuộc trường Đại học Thương mại Hiện em thực tập tìm hiểu về thực trạng cơng ty Kính mong anh/chị dành thời gian trả lời giúp em mợt số phát biểu sau Xin lưu ý khơng có câu trả lời sai, tất ý kiến trả lời đều có giá trị hữu ích cho việc nghiên cứu em Em rất mong nhận hỗ trợ nhiệt tình các anh/chị Tên doanh nghiệp : CÔNG TY CP CẢNH NƯỚC Địa trụ sở chính: Tầng 10, tòa nhà Pacific Place, 83B Lý Thường Kiệt, phường Trần Hưng Đạo, quận Hoàn Kiếm, TP Hà Nợi THƠNG TIN NGƯỜI ĐIỀN PHIẾU Họ tên:…………………………………………… Nam/nữ… Vị trí cơng tác: ……………………… I HẠ TẦNG KỸ THUẬT CNTT: Tổng số máy tính :……chiếc Số lượng máy trạm cơng ty (bao gồm máy tính để bàn, xách tay):…… chiếc Cấu hình máy trạm :………………………………………………… Số lượng máy chủ :…………………………………………………………… Cấu hình máy chủ :…………………………………………………………… Kết nối mạng nợi bợ: a Có b Không II HẠ TẦNG NHÂN LỰC HTTT: Câu 1: Số nhân viên CNTT có đáp ứng chức quản lý về CNTT hay khơng ? a Có b Khơng Câu 2: Việc đảm bảo an tồn bảo mật HTTT thực thường xuyên không? a Rất thường xuyên b Thường xuyên c Thỉnh thoảng d Không bao giờ Câu 3: Mức độ quan trọng các thành phần HTTT công ty thế nào? a Phần cứng b Phần mềm c Mạng d Con người e Cơ sở liệu Câu 4: Thách thức lớn nhất về an toàn bảo mật liệu đối với cơng ty gì? a Ngân sách b Nhân lực Câu Mức đợ an tồn, bảo mật thơng tin công ty? a Rất tốt b Tốt c Trung bình d Yếu Câu 6: Tần suất lưu liệu công ty? a tháng lần b tháng lần c tháng lần d Lâu Câu 7: Hiện nay, công ty sử dụng giao thức để bảo mật mạng không dây? a Giao thức WEP b Giao thức WPA c Giao thức WPA2 d Không rõ Câu 8: Anh/chị hay đưa nhận xét về mức độ trang thiết bị phần cứng bảo mật công ty? a Khá đầy đủ b Còn thiếu c Khơng rõ ... toàn bảo mật HTTT Công ty cổ phần Cảnh Nước - Một số giải pháp đưa để đảm bảo an toàn bảo mật HTTT doanh nghiệp - Hệ thống thông tin doanh nghiệp - Các sách phát triển đảm bảo an tồn bảo mật. .. phát thông tin tổ chức Hệ thống thơng tin thủ công nếu dựa vào các công cụ giấy, bút Hệ thống thông tin đại hệ thống tự đợng hóa dựa vào máy tính (phần cứng, phần mềm) các công nghệ thông. .. dung thông tin thông tin lưu chuyển mạng 1.2.4 Quy trình xây dựng hệ thống thông tin an toàn Để đảm bảo an tồn bảo mật cho HTTT, cần xây dựng sách bảo mật chế bảo mật Chính sách bảo mật