LỜI CẢM ƠN Trong trình nghiên cứu thực khóa luận tốt nghiệp, em nhận hướng dẫn nhiệt tình giáo viên hướng dẫn Th.S Hàn Minh Phương, giúp đỡ ban giám đốc tồn thể nhân viên Cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm Trước hết, em xin gửi lời cảm ơn sâu sắc tới cô Th.S Hàn Minh Phương – Giáo viên hướng dẫn giúp đỡ em có định hướng đắn thực khóa luận tốt nghiệp kỹ nghiên cứu cần thiết khác Em xin gửi lời cảm ơn chân thành tới ban giám đốc anh/chị làm việc Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm quan tâm, ủng hộ hỗ trợ cho em trình thực tập thu thập tài liệu Em xin gửi lời cảm ơn tới thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử động viên khích lệ mà em nhận suốt trình học tập hồn thành khóa luận Trong q trình nghiên cứu đề tài, rỗ lực, cố gắng nhiên khơng tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp từ thầy/cô giáo, từ nhân viên Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm để hồn thiện khóa luận tốt nghiệp Em xin chân thành cảm ơn! Sinh viên thực Trương Thị Thanh Nhàn i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC BẢNG BIỂU, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT v PHẦN I: PHẦN MỞ ĐẦU 1 Lý lựa chọn đề tài nghiên cứu .1 Mục tiêu nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Nội dung khóa luận tốt nghiệp PHẦN II: NỘI DUNG CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT 1.1 Những khái niệm bản 1.1.1 Khái niệm chung 1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp .8 1.2 Một số sở lý luận về an toàn bảo mật HTTT doanh nghiệp 10 1.2.1 Hình thức tấn cơng HTTT 10 1.2.2 Các nguy mất ATTT HTTT 12 1.2.3 Các giải pháp đảm bảo ATTT HTTT 12 1.2.4 Quy trình đảm bảo ATTT cho HTTT 17 1.3 Tổng quan tình hình nghiên cứu 19 1.3.1 Tình hình nghiên cứu nước 19 1.3.2 Tình hình nghiên cứu thế giới .20 CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT CHO CÔNG TY TNHH THƯƠNG MẠI DỊCH VỤ DU LỊCH ĐĂNG TÂM 21 2.1 Tổng quan về doanh nghiệp tình hình hoạt động kinh doanh của doanh nghiệp 21 2.1.1 Giới thiệu chung về công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 21 2.1.2 Quá trình hình thành phát triển Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 21 ii 2.1.3 Cơ cấu tổ chức Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 22 2.1.4 Các ngành nghề kinh doanh Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 23 2.1.5 Chiến lược kinh doanh định hướng phát triển .24 2.2 Thực trạng vấn đề đảm bảo an toàn HTTT cho Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 25 2.2.1 Thực trạng về điều kiện ứng dụng AT & BM HTTT Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 25 2.2.2 Các nhân tố ảnh hưởng đến an toàn bảo mật HTTT Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 28 2.2.3 Kết đạt thông qua điều tra khảo sát 30 2.2.4 Đánh giá về an tồn bảo mật hệ thống thơng tin công ty TNHH thương mại dịch vụ du lịch Đăng Tâm .34 CHƯƠNG 3: CÁC ĐỀ XUẤT VỚI CÔNG TY VÀ KIẾN NGHỊ VỚI CÁC TỔ CHỨC CẤP CAO HƠN VỀ CÁC GIẢI PHÁP PHÁT TRIỂN, HOÀN THIỆN VẤN ĐỀ NGHIÊN CỨU .37 3.1 Đề xuất với công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 37 3.1.1 Giải pháp phần cứng 37 3.1.2 Giải pháp phần mềm 44 3.2.3 Giải pháp nguồn nhân lực 50 3.2 Kiến nghị với các tổ chức cấp cao 51 KẾT LUẬN 53 TÀI LIỆU THAM KHẢO PHỤ LỤC iii DANH MỤC BẢNG BIỂU, HÌNH VẼ BẢNG BIỂU Bảng 2.1 Thống kế nhân viện Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 22 Bảng 2.2 Số lượng phần cứng thiết bị 25 Bảng 2.3 Các phần mềm ứng dụng công ty 26 SƠ ĐỒ Sơ đồ 2.1 Mơ hình tổ chức máy hoạt động Cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm 22 HÌNH VẼ Hình 1.1: Thành phần Hệ thống thông tin Hình 1.2: Các thuộc tính thơng tin Hình 1.3: Phần mềm độc hại Hình 2.1: Mức độ quan trọng thành phần HTTT 30 Hình 2.2: Các nhân tố bên ngồi ảnh hưởng tới hoạt động HTTT 31 Hình 2.3: Các nhân tố bên ảnh hưởng tới hoạt động HTTT 31 Hình 2.4: Hệ thống Công ty bị công hay chưa? 32 Hình 2.5: Các hình thức cơng mà tổ chức gặp phải gì? 32 Hình 2.6: Mục tiêu HTTT quản lý thời gian tới .33 Hình 2.7: Mức độ an tồn, bảo mật thơng tin cơng ty 34 Hình 3.1: Tường lửa cho hệ thống mạng .38 Hình 3.2: Cho phép người dùng bên truy cập vào dịch vụ bên tường lửa Windows 48 Hình 3.3: Chọn chương trình bạn muốn add 49 iv DANH MỤC TỪ VIẾT TẮT Từ viết tắt Diễn giải AES Advanced Encryption Standard ATTT CNTT CPU Central Processing Unit CSDL CSIRT Computer Security Incident Nghĩa tiếng Việt Tiêu chuẩn mã hóa tiên tiến An tồn thông tin Công nghệ thông tin Bộ xử lý trung tâm Cơ sở liệu Nhóm ứng cứu cố máy tính Response Team DN DES DOS EFS HTTT HDD HĐH HTTP IETF HyperText Transport Protocol Doanh nghiệp Tiêu chuẩn mã hố liệu Tấn cơng từ chối dịch vụ Mã hóa file hệ thống Hệ thống thơng tin Ổ cứng Hệ điều hành Giao thức truyền tải siêu văn Internet Engineering Task Force Lực lượng chuyên trách kỹ Data Encryption Standard Denial of Service Encrypting File System Hard Disk Drive thuật liên mạng IMAP LAN NXB SPSS SSL SQL TMĐT TNHH WEP WPS Internet Messaging Access Protocol Local Area Network Statistical Package for Social Sciences Secure Socket Layer Structured Query Language Mạng cục Nhà xuất Gói thống kê khoa học xã hội Wireless Encryption Protocol Giao thức truyền thông Ngôn ngữ truy vấn cấu trúc Thương mại điện tử Trách nhiệm hữu hạn Giao thức mã hố mạng khơng Wifi Protected Access dây Phương thức liên minh wifi v PHẦN I: PHẦN MỞ ĐẦU Lý lựa chọn đề tài nghiên cứu Trong kinh tế tồn cầu hóa nay, CNTT chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an tồn bảo mật thơng tin xem sống doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin đối mặt với nguy an toàn yếu tố bên bên ngồi doanh nghiệp Việc đảm bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Tuy nhiên, trình thực tập tìm hiểu cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm, em thấy công ty chưa có đầu tư mức cho vấn đề an tồn bảo mật hệ thống thơng tin Trong cơng ty xảy tình trạng thất lạc thông tin liệu, hệ thống gặp cố, đồng hóa thơng tin chưa cao Chính vậy, em định thực đề tài khóa luận: “Mợt số giải pháp đảm bảo an tồn cho HTTT của Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm” Mục tiêu nghiên cứu Hiện nay, hầu hết doanh nghiệp phải đối mặt với nguy ATTT việc đảm bảo an tồn thơng tin lại khơng trọng, khơng thực thường xuyên Nguyên nhân phần lớn cán bộ, nhân viên không trọng tới việc bảo đảm ANTT doanh nghiệp, không ý thức tầm quan trọng việc đảm bảo an tồn thơng tin doanh nghiệp, quy trình đảm bảo an tồn thơng tin chưa rõ ràng thống Do mục tiêu nghiên cứu đề tài là: - Đưa lý thuyết sở lý luận đảm bảo an tồn thơng tin - Trình bày, tìm hiểu, phân tích đánh giá thực trạng cơng ty đưa thiếu sót lỗ hổng HTTT doanh nghiệp dựa tài liệu, phiếu điều tra - Trên sở nghiên cứu thực trạng tình hình cơng ty, từ đưa số đề xuất, phòng chống khắc phục để ngăn chặn nguy an tồn bảo mật thơng tin áp dụng với công ty Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu Trong đề tài nghiên cứu đối tượng nghiên cứu đề tài là: Hệ thống thông tin cửa doanh nghiệp Các vấn đề an tồn bảo mật HTTT cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm Một số giải pháp đưa để đảm bảo an toàn bảo mật HTTT doanh nghiệp 3.2 Phạm vi nghiên cứu - Về không gian: Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan cơng ty giai đoạn 2014- 2015 Các số liệu khảo sát trình thực tập cơng ty Phương pháp nghiên cứu 4.1 Phương pháp thu thập dữ liệu ❖ Thu thập liệu thứ cấp: Tìm hiểu thơng tin an toàn bảo mật HTTT qua Internet, qua cơng trình khoa học thực tài liệu sách báo có liên quan ❖ Thu thập liệu sơ cấp: ● Phương pháp sử dụng phiếu điều tra: - Nội dung: Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên công ty hoạt động đảm bảo an toàn bảo mật HTTT bên doanh nghiệp - Cách thức tiến hành: Phiếu điều tra phát cho 10 nhân viên công ty để thu thập liệu - Mục đích: Nhằm thu thập thơng tin hoạt động an tồn bảo mật HTTT cơng ty, từ phân tích, đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu hoạt động đảm bảo an tồn bảo mật HTTT cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm ● Phương pháp vấn trực tiếp: - Nội dung cách thức tiến hành: Phỏng vấn riêng nhân viên công ty hoạt động đảm bảo an toàn bảo bảo mật HTTT bên doanh nghiệp - Mục đích: Nhằm khảo sát ý kiến cách trực quan hoạt động an toàn bảo mật HTTT doanh nghiệp 4.2 Phương pháp xử lý dữ liệu Từ liệu thu thập sau tiến hành quan sát, điều tra, vấn thu thập tài liệu chọn lọc, phân tích, đánh giá tổng hợp để chọn thông tin phù hợp với mục đích nghiên cứu đề tài.Trong q trình xử lý thông tin, ta cần chia thông tin làm hai phương pháp chính: - Phương pháp định lượng: Sử dụng phần mềm excel nhằm phân tích, so sánh nguồn thơng tin thu thập để có nhìn xác tình hình an tồn bảo mật HTTT doanh nghiệp - Phương pháp định tính: Tiến hành chọn lọc, phân tích, tổng hợp liệu thu thập thông qua câu hỏi vấn, phiếu điều tra nhằm chọn thông tin phù hợp với mục đích sử dụng nội dung nghiên cứu Nội dung khóa luận tốt nghiệp Nội dung khóa luận gồm phần chính: Phần I: Phần mở đầu Phần II: Nội dung Chương 1: Cơ sở lý luận vấn đề đảm bảo an toàn HTTT Chương 2: Phân tích, đánh giá thực trạng vấn đề đảm bảo an tồn HTTT cho Cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm Chương 3: Các kết luận đề xuất với vấn đề đảm bảo an tồn HTTT Cơng ty TNHH thương mại dịch vụ du lịch Đăng Tâm PHẦN II: NỘI DUNG CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT 1.1 Những khái niệm bản 1.1.1 Khái niệm chung Thông tin ý nghĩa rút từ liệu thơng qua q trình xử lý (phân tích, tổng hợp…), phù hợp với mục đích người sử dụng Thơng tin gồm nhiều giá trị liệu tổ chức cho mang lại ý nghĩa cho đối tượng cụ thể, ngữ cảnh cụ thể Từ thấy thông tin coi sản phẩm hồn chỉnh thu sau q trình xử lý liệu Những thơng tin có giá trị thơng tin mang đặc điểm sau: xác, xác thực; đầy đủ, chi tiết; rõ ràng (dễ hiểu); lúc, thường xuyên; thứ tự, có liên quan;…( theo [2]) Hình 1.1: Thành phần của Hệ thống thông tin Hệ thống tập hợp có tổ chức gồm nhiều phần tử có mối quan hệ ràng buộc lẫn hoạt động hướng tới mục tiêu chung Phần tử vật chất phi vật chất: người, máy móc, thơng tin, liệu, phương pháp xử lý, quy tắc, quy trình xử lý (theo [2]) - HTTT tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức (theo [1]) Các tổ chức sử dụng HTTT với nhiều mục đích khác Trong việc quản trị nội bộ, HTTT giúp đạt thông hiểu nội bộ, thống hành động, trì sức mạnh tổ chức, đạt lợi cạnh tranh Với bên ngồi, hệ thống thơng tin giúp nắm bắt nhiều thông tin khách hàng cải tiển dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển (theo [1]) - Có thể hiểu HTTT hệ thống mà mối liên hệ thành phần mối liên hệ hệ thống khác trao đổi thông tin Các thành phần HTTT gồm: Phần cứng, phần mềm, mạng, liệu người + Phần cứng: Là phận (vật lý) cụ thể máy tính hệ thống máy tính, hệ thống mạng sử dụng làm thiết bị kỹ thuật hỗ trợ hoạt động hệ thống thống thông tin Phần cứng thiết bị hữu hình,có thể nhìn thấy, cầm nắm + Phần mềm: Là tập hợp câu lệnh việt nhiều ngôn ngữ lập trình theo thứ tự để thực chức giải tốn Phần mềm ý tưởng trừu tượng, thuật toán, thị… + Mạng: mạng máy tính tập hợp máy tính độc lập kết nối với thông qua đường truyền vật lý tuân theo quy ước truyền thông Các thành phần mạng bao gồm: • Các hệ thống đầu cuối: Kết nối với tạo thành mạng, máy tính thiết bị khác Nói chung ngày nhiều loại thiết bị có khả kết nối vào mạng máy tính điện thoại di dộng, PDA, tivi • Mơi trường truyền: Là nơi thao tác truyền thơng thực qua Mơi trường truyền loại dây dẫn (dây cáp ), song điện từ (đối với mạng khơng dây) • Giao thức truyền thông: Là quy tắc quy định cách trao đổi liệu thực thể + Dữ liệu: Dữ liệu giá trị phản ánh vật, tượng giới khách quan Dữ liệu giá trị thơ, chưa có ý nghĩa với người sử dụng Có thể tập hợp giá trị mà liên hệ chúng (theo [3]) Dữ liệu biểu diễn nhiều dạng khác âm thanh, văn bản, hình ảnh,… • CSDL hệ thống thơng tin có cấu trúc lưu trữ thiết bị lưu trữ thông tin thứ cấp (như băng đĩa, đĩa từ,…) để thỏa mãn yêu cầu khai thác thông tin đồng thời nhiều người sử dụng hay nhiều chương trình ứng dụng với nhiều mục đích khác nhau.(theo [3]) • Hệ quản trị CSDL phần mềm chuyên dụng giải tốt tất vấn đề đặt cho CSDL: Tính chủ quyền, chế bảo mật hay phân quyền hạn khai thác CSDL, giải tranh chấp trình truy nhập liệu… certificate public ID server có giá trị hay khơng cấp phát CA (certificate authority) danh sách CA đáng tin cậy server không Điều quan trọng nhà cung cấp Ví dụ ngân hàng định gửi thơng tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận Mã hoá kết nối: Tất thông tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngồi ra, tất liệu gửi kết nối SSL mã hố bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu ( thuật tốn băm – hash algorithm) Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Các thuật toán mã hoá xác thực SSL sử dụng bao gồm: - DES (Data Encryption Standard): Là thuật tốn mã hố có chiều dài khoá 56 bit - 3-DES (Triple-DES): Là thuật toán mã hố có độ dài khố gấp lần độ dài khoá mã hoá DES - DSA (Digital Signature Algorithm): Là phần chuẩn xác thực số được phủ Mỹ sử dụng - KEA (Key Exchange Algorithm) thuật toán trao đổi khoá phủ Mỹ sử dụng - MD5 (Message Digest algorithm) phát thiển Rivest - RSA: thuật tốn mã hố cơng khai dùng cho q trình xác thực mã hố liệu Rivest, Shamir, and Adleman phát triển - RSA key exchange: Là thuật toán trao đổi khoá dùng SSL dựa thuật toán RSA - RC2 and RC4: Là thuật toán mã hoá phát triển Rivest dùng cho RSA Data Security 43 - SHA-1 (Secure Hash Algorithm): Là thuật tốn băm phủ Mỹ sử dụng Khi client server trao đổi thông tin giai đoạn bắt tay (handshake), họ xác định mã hố mạnh sử dụng chúng phiên giao dịch SSL 3.1.2 Giải pháp phần mềm 3.1.2.1 Sử dụng hình thức mã hố Hiện cơng ty sử dụng kỹ thuật mã hóa khóa cơng khai để mã hóa liệu cơng ty, kỹ thuật mã hóa có nhiều ưu điểm nhiên có số hạn chế công ty nên sử dụng thêm số biện pháp, phương pháp khác: - Sử dụng mã hóa file hệ thống (EFS-Encrypting File System) Trong số phần lớn người sử dụng, hẳn biết Windows XP, Windows phiên hệ điều hành – Windows tích hợp sẵn dịch vụ bảo mật liệu dành cho người dùng đơn giản vô hiệu vài thao tác thiết lập Đó Encrypted File Service hay gọi tắt EFS EFS thực chất dịch vụ bảo mật tích hợp sẵn Windows kể từ phiên XP Một liệu mã hóa EFS truy cập sử dụng tài khoản thực lệnh mã hóa Mặc dù người dùng khác nhìn thấy file liệu đó, khơng thể mở – cho dù tài khoản Administrator Chúng ta sử dụng phương pháp mã hóa tích hợp tảng giấy phép để bảo vệ file thư mục riêng biệt lưu trữ phân vùng định dạng NTFS Thao tác mã hóa file thư mục đơn giản, cần click vào nút Advanced tab General trang thuộc tính Properties Lưu ý khơng thể sử dụng kết hợp mã hóa EFS nén NTFS EFS sử dụng kết hợp mã hóa đối xứng bất đối xứng cho bảo mật thực thi Để mã hóa file với EFS, người dùng phải có giấy phép EFS, tạo Windows Certification Authority, hay giấy phép tự phân Certificate Authority mạng Các file EFS mở tài khoản người dùng mã hóa chúng, hay tác nhân khơi phục chun dụng Với Windows XP hay Windows 2003 định tài khoản người dùng khác phân quyền để truy cập vào file mã hóa EFS 44 Lưu ý EFS sử dụng để bảo vệ liệu ổ đĩa Nếu gửi file mã hóa EFS qua mạng sử dụng Sniffer (trình phân tích liệu) để đánh cắp họ đọc liệu file - Sử dụng công cụ mã hóa ổ đĩa Trong số phiên Windows Vista, Windows 7, Windows Server 2008 Windows Server 2008 R2 tích hợp cơng cụ mã hóa ổ đĩa mạnh có tên BitLocker Mặc định, cơng cụ sử dụng mã hóa AES (Advanced Encryption Standard) vận hành theo chế độ Ngồi sử dụng nhiều cơng cụ mã hóa ổ đĩa nhóm ba khác cho phép mã hóa tồn ổ đĩa Khi mã hóa tồn ổ đĩa, người dùng khơng thể truy cập vào liệu Dữ liệu mã hóa tự động ghi vào ổ đĩa này, tự động giải mã trước tải vào nhớ Một số cơng cụ tạo vùng lưu trữ vơ hình bên phân vùng, sau hoạt động ổ đĩa ẩn bên ổ đĩa Những người dùng khác thấy liệu ổ đĩa ngồi Những cơng cụ mã hóa ổ đĩa sử dụng để mã hóa ổ đĩa di động Một số cho phép tạo mật chủ với mật phụ với quyền thấp để cấp cho người dùng khác, Whole Disk Encryption, Drive Crypt, … - Nâng cấp hệ thống website Việc đảm bảo an toàn liệu doanh nghiệp thông tin khách hàng đưa lên hàng đầu, vấn đề nâng cấp website giải pháp mà doanh nghiệp cần có biện pháp hiệu để tránh xâm nhập vào hệ thống với mục đích đánh cắp Nâng cấp máy chủ công ty lên Windows server 2008 để phù hợp với ứng dụng hệ thống mới, cấu hình cao phù hợp với tình hình phát triển công ty - Sử dụng chữ ký điện tử (Public Key Infrastructure) Một chữ ký điện tử Public Key Infrastructure (PKI) hệ thống quản lý cặp Private Key Public Key, giấy phép số Do khóa giấy phép phát hành cơng cụ nhóm ba đáng tin cậy nên bảo mật tảng giấy phép mà hệ thống cung cấp mạnh 45 Chúng ta bảo mật liệu muốn chia sẻ với người khác cách mã hóa liệu với Public Key người chia sẻ Tất người dùng mạng thấy liệu này, nhiên người dùng có Private Key tương ứng với Public Key giải mã Cơng ty nên sử dụng dịch vụ chữ ký số Tập đồn Viễn thơng Qn đội Viettel với mức giá 990,000 đồng/ năm nhà cung cấp uy tín việt nam với sở vật chất mạnh ổn định, nhà cung cấp dịch vụ chứng thực chữ ký số cho phép Việt Nam 3.1.2.2 Thực Sao lưu phục hồi liệu kịp thời thường xuyên Mục đích việc backup-restore liệu để đưa hệ thống trở lại trạng thái trước gặp cố Nguyên nhân cố gây ảnh hưởng đến liệu thuộc dạng sau: + Nguyên nhân khách quan: Sự cố xảy ý muốn, người biết trước được, thường thảm họa (VD: thiên tai, cháy nổ…) Do cần cất giữ xa + Nguyên nhân chủ quan: Sự cố xảy thao tác khơng xác người (ví dụ: lỗi phần cứng, lỗi phần mềm, thao tác nhầm…) Do cần cất giữ vị trí cho thuận lợi cho việc phục hồi liệu, không thiết phải lưu trữ nơi xa Hiện công ty cần thực backup theo chu kỳ tháng lần, thời gian backup liệu lâu công ty nên backup liệu thường xuyên khoảng tuần lần để đảm bảo liệu công ty không bị thất lạc Lượng liệu bị hệ thống bị đánh sập hồn tồn Cơng ty sử dụng tiện ích backup tích hợp hệ điều hành Windows (ntbackup.exe) để thực tiến trình backup bản, ngồi ra, sử dụng Wizard Mode để đơn giản hóa tiến trình tạo khơi phục file backup, hay cấu hình thủ công cài đặt backup lên lịch thực tác vụ backup để tự động hóa tác vụ Data backup việc tạo liệu gốc, cất giữ nơi an toàn Và lấy sử dụng (restore) hệ thống gặp cố Sao lưu (backup) liệu cách tốt để bảo vệ liệu máy tính 46 3.1.2.3 Bảo mật liệu truyền qua mạng Wifi Dữ liệu mà gửi qua mạng Wifi dễ bị tác động so với gửi qua mạng Ethernet Tin tặc không cần phải truy cập vật lý tới mạng hay thiết bị đó, người dùng sử dụng laptop kích hoạt Wifi ăng ten thu phát sóng mạnh đánh cắp liệu hay đột nhập vào mạng truy cập vào liệu lưu trữ mạng điểm truy cập Wifi khơng cấu hình bảo mật Chúng ta nên gửi lưu trữ liệu mạng Wifi mã hóa Để mã hóa mạng Wifi, tốt nên sử dụng Wifi Protected Access (WPS), mạnh nhiều so với Wired Equivalent Protocol (WEP) 3.1.2.4 Sử dụng tường lửa cho phần mềm (Firewall) Firewall mềm: Là Firewall cài đặt máy chủ (Server) Đặc điểm Firewall mềm - Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức - Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) - Firewal mềm kiểm tra nội dung gói tin (thơng qua từ khóa) Tường lửa phần mềm tính bổ sung cần xem xét Firewall có sẵn Windows Từ Windows XP, Windows Vista phiên Windows nay, hãng Microsoft tích hợp sẵn tường lửa cá nhân hệ điều hành người dùng cá nhân Điều khác biệt tường lửa Windows so với hai phiên Windows trước ta tắt hay mở tường lửa cho kiểu kết nối Ví dụ tắt tường lửa với kết nối gia đình hay nơi làm việc (Home or work network location), mà giữ nguyên tường lửa kết nối nơi công cộng (Public network location) quán Cafe Wifi… Trong phiên trước, việc tắt mở tường lửa ảnh hưởng đến toàn kết nối máy tính Để tắt hay mở tường lửa, chọn menu Start, gõ vào tìm kiếm lệnh từ khóa “Firewall” chọn ứng dụng Windows Firewall Ở menu cạnh trái, chọn mục Turn Windows Firewall On or Off Người dùng thường tắt tính tường lửa mặc định Windows cài chương trình tường lửa chuyên dụng khác 47 Hình 3.2: Cho phép người dùng bên truy cập vào dịch vụ bên tường lửa Windows Mặc định, tường lửa Windows có danh sách ứng dụng mà người dùng bên ngồi tự xun qua firewall để truy cập vào bên Trong cửa sổ Windows Firewall trên, bên cạnh trái, chọn mục Allow a program or feature through Windows Firewall Trong cửa sổ danh sách ứng dụng vừa ra, đánh dấu chọn cạnh trái ứng dụng hay tính phép người dùng bên ngồi sử dụng mà không bị tường lửa ngăn cản Thao tác bỏ dấu chọn loại ứng dụng khỏi tính Chúng ta định mở tường lửa cho ứng dụng chọn với dạng kết nối mạng nào, Home/Work hay Public Nếu ứng dụng định chia thông qua tường lửa, chúng sẵn danh sách mặc định bấm vào nút Allow another program Sau đó, chọn chương trình phép truy cập thơng qua tường lửa danh sách, nhấn nút Browse để lựa chọn tập tin thư mục đĩa cứng Trong phần Network Connection Types, chọn đánh dấu mục Home/Work Public tương tự 48 Hình 3.3: Chọn chương trình bạn muốn add Khi mua tường lửa phần mềm cần phần mềm có tính bổ sung Đây số tính cần cân nhắc mua hàng Lưu ý số tính liệt kê phần mềm "khuyến mãi" cung cấp với tường lửa Chúng không thiết gắn sẵn phần mềm Phần mềm diệt virut: Hiện virus có mặt khắp nơi việc có phần mềm diệt virus có ý nghĩa quan trọng sống Nhiều nhà sản xuất tường lửa cung cấp phần mềm diệt virus Một số chí cung cấp nhiều gói đặc biệt (hoặc giảm giá) bạn mua hai Phầm mềm ngăn chặn cửa sổ bật lên (pop-up): Một phần phiền hà Internet số lượng quảng cáo vơ hạn Có quảng cáo banner (ảnh quảng cáo tĩnh/động trang web), quảng cáo pop-up quảng cáo popunder (cửa sổ bật xuống) Một phần mềm ngăn chặn quảng cáo tốt giảm đáng kể số pop-up không mong muốn Chương trình chống gián điệp: Bạn chưa nghe nói trước đây, phần mềm gián điệp phần mềm bắt đầu phát sinh nguy hiểm Internet Một chương trình gián điệp tự nhúng vào máy tính bạn gửi thông tin cá nhân trở lại nơi xuất phát Nó đơn giản trang web mà bạn ghé thăm, xảo quyệt ghi giao dịch ngân hàng bạn Một gói phần mềm chống gián điệp tốt chẩn đoán gỡ bỏ phần mềm gián điệp từ máy tính bạn 49 3.2.3 Giải pháp nguồn nhân lực Trong thời đại phát triển CNTT nay, công ty nên trang bị kiến thức an toàn bảo mật cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an tồn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật HTTT cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng HTTT Kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật HTTT cho cơng ty Cần phải làm rõ điều rằng, nhân viên không copy thơng tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Nguồn nhân lực cơng ty chưa có kiến thức chuyên sâu an toàn bảo mật HTTT Để thực giải pháp để nâng cao an tồn bảo mật HTTT cho cơng ty cơng ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Ban lãnh đạo nhân viên công ty nên nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm sốt người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp cơng ty có quy định việc đeo thẻ vào làm việc nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục công ty nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc 50 Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề công ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.2 Kiến nghị với các tở chức cấp cao Hồn thiện môi trường hành lang pháp lý hoạt động an toàn bảo mật DN: Nhà nước ban hành số nghị định nhằm đảm bảo an tồn thơng tin nói chung như: Nghị định số 90/2008/NĐ – CP chống thư rác, nghị định 97/2008/NĐ – CP Chính phủ quản lý, cung cấp sử dụng dịch vụ intetnet thông tin điện tử innetnet, định số 63/QĐ – TTg quy hoạch phát triển “An tồn thơng tin số” quốc gia đến năm 2020 Tuy nhiên việc áp dụng nghị định muộn thời gian nghị định bắt đầu có hiệu lực Đặc biệt thiếu văn thi hành nghị định mà DN thường bối rối việc áp dụng nghị định vào hoạt động DN Chính mà nhà nước cần đẩy mạnh việc cụ thể hóa nghị định văn hướng dẫn thi hành nghị định cách rõ ràng mạch lạc Nhà nước cần hồn thiện định chung mang tính tổng thể liên quan đến hoạt động an toàn bảo mật HTTT Những quy định hướng dẫn cụ thể để DN khơng lúng túng phải đối diện với vấn đề phát sinh từ thực tế an tồn bảo mật thơng tin Việt Nam Đẩy mạnh tuyên truyền nâng cao nhận thức DN an toàn bảo mật HTTT, để an toàn bảo mật HTTT vào nhận thức DN cần có chiến dịch tuyên truyền hiệu Thay việc để DN tự tìm hiểu an tồn bảo mật HTTT nhà nước cần có hoạt động tun truyền an tồn bảo mật thơng tin để DN hiểu lợi ích chương trình đảm bảo an tồn bảo mật HTTT mang lại Nhà nước cần có kế hoạch tuyên truyền thường xuyên phương tiện thông tin đại chúng, thông qua website phủ, hội nghị, buổi tọa đàm,… Đầu tư phát triển sở hạ tầng: Nhà nước cần có dự án ưu tiên phục vụ mục tiêu phát triển an tồn thơng tin số quốc gia với ngân sách chi tiêu tương ứng 51 - Về Cục an tồn thơng tin quốc gia Bộ Văn hóa – Thơng tin Truyền thông, giai đoạn từ đến năm 2020 cần ưu tiên số giải pháp sau:  Có trách nhiệm hướng dẫn, điều phối cho hoạt động thông tin phạm vi tồn quốc; thành lập nhóm ứng cứu cố máy tính (CSIRT – Computer Security Incident Response Team) quan đơn vị liên kết CSIRT thành mạng lưới toàn quốc nhằm ứng phó kịp thời xảy cố an tồn thơng tin  Tăng cường công tác đạo, giám sát hướng dẫn phối hợp chặt chẽ với DN triển khai thực  Tăng cường đầu tư phát triển hạ tầng viễn thông, internet có cơng nghệ đại, chất lượng tốt tạo điều kiện cho phát triển công cụ đảm bảo an tồn bảo mật thơng tin HTTT  Từng bước đổi hệ thống lệ phí, phí cấp phép, sử dụng tài nguyên viễn thông internet theo nguyên tắc: Đảm bảo sử dụng hiệu quả, tránh lãng phí thất thoát tài nguyên đồng thời đảm bảo phù hợp với chi phí sản xuất, kinh doanh DN + Đào tạo nguồn nhân lực cho an toàn bảo mật HTTT, để đẩy mạnh chương trình an tồn bảo mật HTTT nhu cầu nguồn nhân lực am hiểu CNTT có trình độ chun mơn cần thiết Do đó, thời gian tới cơng tác đào tạo nguồn nhân lực cho an tồn bảo mật HTTT cần:  Đẩy mạnh tiến độ chương trình dự án phát triển nguồn nhân lực CNTT, quản trị HTTT phủ phê duyệt  Mở rộng, tăng tiêu tuyển sinh đào tạo chuyên ngành CNTT, TMĐT trường đại học, cao đẳng, trung học chuyên nghiệp Khuyến khích cá nhân, tổ chức, DN nước mở lớp đào tạo CNTT, HTTT TMĐT - Đối với Bộ Giáo Dục Đào Tạo cần tạo điều kiện khuyến h ch trường đại học, cao đẳng, trung học chuyên nghiệp mở chuyên ngành giảng dạy an toàn bảo mật thơng tin, HTTT Đồng thời tham gia vào q trình soạn thảo tài liệu giảng dạy an toàn bảo mật thông tin, HTTT với trường Xây dựng hoàn thiện chế hỗ trợ DN việc ứng dụng triển khai an tồn thơng tin nói chung an tồn bảo mật HTTT nói riêng Phát triển cơng nghệ hỗ trợ an tồn bảo mật HTTT sở khuyến khích chuyển giao cơng nghệ từ nước ngồi Trên sở nhà nước cần ban hành sách, biện pháp khuyến khích đầu tư phát triển CNTT phục vụ hoạt động đảm bảo an toàn bảo mật HTTT 52 KẾT LUẬN Ngày nay, CNTT vào đời sống vào doanh nghiệp với phương thức hoạt động hoàn toàn mẻ, sáng tạo nhanh chóng, tiết kiệm nhiều thời gian, cơng sức mà khơng xác, làm cho công việc thuận lợi phát triển lên nhiều Đặc biệt, đánh dấu bước ngoặt việc áp dụng tin học vào hệ thống thơng tin, doanh nghiệp thu thập, xử lý, phổ biến thơng tin, cách nhanh chóng, xác có hiệu Bên cạnh cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Tuy nhiên vấn đề mát liệu, liệu bị ăn cắp vấn đề mà công ty tổ chức lo lắng Cho nên việc đảm bảo nâng cao an toàn bảo mật liệu quan tâm hàng đầu Công ty TNHH thương mại dịch vụ du lịch Đăng tâm phát triển, vấn đề an toàn bảo mật liệu công ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an tồn bảo mật HTTT Tuy nhiên giải pháp an toàn vào bảo mật công ty chưa đồng triệt để Có nhiều vấn đề mà cơng ty gặp phải đẫn đến nguy nghiêm trọng HTTT cơng ty Trong khóa luận giải mục tiêu đề mục 2, phần I đề tài này, nhiên với trình độ thời gian có hạn làm chắn nhiều vấn đề thiếu sót Em mong xem xét đóng góp ý kiến của quý thầy cô Mong thời gian tới, công ty làm tốt hoạt động giao dịch thương mại dịch vụ mình, giúp cho doanh nghiệp ngày phát triển, đủ sức cạnh tranh với nhiều thương hiệu có uy tín ngành Một lần nữa,em xin chân thành cảm ơn cô Hàn Minh Phương ban lãnh đạo, anh chị công ty TNHH thương mại dịch vụ du lịch Đăng Tâm giúp đỡ tận tình tạo điều kiện thuận lợi cho em q trình nghiên cứu, hồn thiện khóa luận tốt nghiệp! Em xin chân thành cảm ơn! 53 TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thơng tin quản lí, Trường ĐH Thương Mại [2] Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn bảo mật hệ thống thông tin, Đại học Nha Trang [3] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [4] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, , Đại học Bách Khoa [5] https://tailieu.vn [6] https://quantrimang.com/ PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT HỆ THỐNG THÔNG TIN TẠI DOANH NGHIỆP Lưu ý: Em xin cam kết thông tin cung cấp phiếu điều tra sử dụng cho mục đích nghiên cứu, khơng có mục đích thương mại Cam kết khơng tiết lộ thơng tin phiếu khảo sát cho bên thứ ba Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp cách khoanh tròn vào đáp án mà anh/ chị lựu chọn Tên doanh nghiệp: Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm Địa trụ sở chính: Số 32 Lê Thái Tổ, Phường Hàng Trống, Quận Hoàn Kiếm, Hà Nội A: Thông tin người điền phiếu Họ tên: Vị trí cơng tác: B: Câu hỏi điều tra Câu 1: Hiện cơng ty có gặp vấn đề an tồn bảo mật HTTT khơng ? a Khơng b Thỉnh thoảng c Thường xuyên Câu 2: Theo anh/chị, thành phần quan trọng HTTT ? a Phần cứng b Phần mềm c Con người d Mạng e Cơ sở liệu Câu 3: Theo anh/chị, nhân tố bên ảnh hưởng tới hoạt động HTTT nhất? a Chính sách – Pháp luật b Kinh tế c Văn hóa – Xã hội d Cơng nghệ thông tin Câu 4: Theo anh/chị, nhân tố bên ảnh hưởng tới hoạt động HTTT nhất? a Ngân sách dành cho HTTT b Lập kế hoạch ứng dụng HTTT c Người thực kế hoạch d Phối hợp phòng ban Câu 5: Hệ thống Công ty bị công hay chưa? a Khơng biết b Khơng bị cơng c Có bị cơng hơng rõ số lần d Có bị công theo dõi đầy đủ Câu 6: Các hình thức cơng mà cơng ty hay gặp phải gì? a Khơng gặp phải cơng b Phá hoại liệu hay HTTT (ví dụ: cố tình xóa liệu quan trọng,…) c Thay đổi diện mạo, nội dung website (trang chủ) d Tấn công từ chối dịch vụ (DOS) e Các kiểu công làm suy giảm hiệu mạng (gây tải mạng) f HTTT nhiễm phải virut hay worm (những mã độc hại, malware tự lây lan) g Xâm nhập HTTT người HTTT h Xâm nhập HTTT người bên Câu 7: Mục tiêu HTTT thời gian tới: a Cải thiện dịch vụ khách hàng b Đạt lợi cạnh tranh tránh bất lợi cạnh tranh c Hỗ trợ cho chức kinh doanh cốt lõi d Tác động đến DN thông qua đổi e Cải thiện liên lạc nội bên ngồi f Cải thiện quản lý thơng tin g Cải thiện chất lượng sản phẩm h Nâng cao hiệu cỗng việc cho nhân viên Câu 8: Theo anh/chị, cơng ty có biện pháp để đảm bảo an tồn HTTT khơng? a Có b Khơng Câu 9: Các giải pháp mà công ty đưa để đảm bảo an toàn cho HTTT nào? a Rất tốt b Tốt c Trung bình d Yếu Người lập phiếu Trương Thị Thanh Nhàn ... đề tài là: Hệ thống thông tin cửa doanh nghiệp Các vấn đề an toàn bảo mật HTTT công ty TNHH thương mại dịch vụ du lịch Đăng Tâm Một số giải pháp đưa để đảm bảo an toàn bảo mật HTTT doanh nghiệp... ngành nghề kinh doanh Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm Hiện tại, Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm sử dung nhiều ngành nghề kinh doanh với mục đích giúp cho khách... về công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 21 2.1.2 Quá trình hình thành phát triển Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm 21 ii 2.1.3 Cơ cấu tổ chức Công ty TNHH