1 LỜI CẢM ƠN Trong trình nghiên cứu thực khóa luận tốt nghiệp, em nhận hướng dẫn nhiệt tình giáo viên hướng dẫn Th.S Lê Thị Thu, giúp đỡ ban giám đốc tồn thể nhân viên cơng ty cổ phần truyền thông công nghệ iChip Trước hết, em xin gửi lời cảm ơn sâu sắc tới cô Th.S Lê Thị Thu– Giáo viên hướng dẫn giúp đỡ em có định hướng đắn thực khóa luận tốt nghiệp kỹ nghiên cứu cần thiết khác Em xin gửi lời cảm ơn chân thành tới Ban giám đốc anh/chị làm việc công ty cổ phần truyền thơng cơng nghệ iChip quan tâm, ủng hộ hỗ trợ cho em trình thực tập thu thập tài liệu Em xin gửi lời cảm ơn tới thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử động viên khích lệ mà em nhận suốt trình học tập hồn thành khóa luận Do thời gian nghiên cứu khóa luận hạn hẹp, trình độ khả thân em hạn chế Vì vậy, khóa luận chắn gặp phải nhiều sai sót Em kính mong giáo Lê Thị Thu, thầy giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử, anh/chị nhân viên công ty cổ phần truyền thông công nghệ iChip bảo để khóa luận có giá trị lý luận thực tiễn Em xin chân thành cảm ơn! Hà Nội, ngày 26 tháng năm 2017 Sinh viên thực Võ Thị Thu Trang 1 MỤC LỤC 2 DANH MỤC HÌNH VẼ - BẢNG BIỂU – SƠ ĐỒ HÌNH VẼ BẢNG BIỂU Bảng 2.1: Kết kinh doanh công ty năm 2014, 2015, 2016 Bảng 2.2 Trang, thiết bị phần cứng Biểu đồ 2.1 Chất lượng trang thiết bị phần cứng Biểu đồ 2.2: Các giải pháp bảo mật thông tin phần cứng Biểu đồ 2.3: Giải pháp bảo mật phần cứng Biểu đồ 2.4 Cách thức đảm bảo ATTT cho phần mềm Biểu đồ 2.5: Các giải pháp bảo mật cho phần mềm công ty Biểu đồ 2.6: Tốc độ truy cập mạng công ty Biểu đồ 2.7: Cácgiải pháp bảo mật mạng Biểu đồ 2.8: Tần suất lưu liệu Biểu đồ 2.9 : Các hình thức giao dịch chủ yếu khách hàng Biểu đồ 2.10 Trình độ CNTT nhân viên công ty Biểu đồ 2.11 Mức độ quan việc bảo mật website Biểu đồ 2.12 Thời gian công ty tiến hành bảo mật website Biểu đồ 2.13: Các phương thức bảo mật thông tin website 3 DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt ATBM ATTT CNTT CSDL HTTP HTTT LAN SSL WEP Thuật ngữ HyperText Transport Protocol Local Area Network Secure Sockets Layer Wireless Encryption Protocol 4 Giải nghĩa An toàn bảo mật An tồn thơng tin Cơng nghệ thơng tin Cơ sở liệu Giao thức truyền tải siêu văn Hệ thống thông tin Mạng cục Giao thức an ninh thơng tin mạng Giao thức mã hố mạng không dây CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa đề tài Thông tin liệu tài sản vô quý giá cần thiết lĩnh vực Việc nắm bắt thông tin, liệu cách nhanh chóng kịp thời giúp cá nhân tổ chức đưa cách giải đắn, giúp họ đứng vững phát triển trước thay đổi xã hội Trong kinh tế tồn cầu hóa vấn đề thơng tin xem sống doanh nghiệp Thông tin giúp doanh nghiệp đáp ứng nhu cầu khách hàng mà nâng cao lực sản xuất, giúp cho doanh nghiệp có đủ sức cạnh tranh với thị trường ngồi nước Nhưng tầm quan trọng mà thơng tin bị an tồn gây thiệt hại nặng nề cho doanh nghiệp Việc mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng cơng ty quan hệ với khách hàng Chính vậy, cần có giải pháp để nâng cao an tồn bảo mật thơng tin doanh nghiệp Cơng ty cổ phần truyền thông công nghệ iChip công ty hoạt động lĩnh vực cung cấp dịch vụ Marketing, tư vấn chiến lược truyền thông quảng bá; quảng cáo qua Facebook, Youtube; tổ chức kiện Vì vậy, thông tin liệu liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng… quan trọng Nó ảnh hưởng trực tiếp gián tiếp đến hoạt động kinh doanh sản xuất cơng ty Tuy nhiên, cơng ty chưa có đầu tư mức cho vấn đề an toàn bảo mật thơng tin Việc thu thập, xử lý sử dụng thơng tin cơng ty rời rạc, tính quán chưa cao Xuất phát từ cần thiết đó, qua q trình tìm hiểu thực tập Công ty cổ phần truyền thông công nghệ iChip, em xin thực đề tài khóa luận “Một số giải pháp đảm bảo an tồn thông tin cho Công ty cổ phần truyền thông công nghệ iChip” 1.2 Tổng quan vấn đề nghiên cứu An tồn bảo mật thơng tin khơng phải vấn đề Trong năm qua,có nhiều giáo trình, cơng trình nghiên cứu khoa học, báo nghiên cứu giải pháp an tồn bảo mật thơng tin giúp cho doanh nghiệp, tổ chức đảm bảo an tồn thơng tin, liệu 1.2.1 Tình hình nghiên cứu nước - Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê Giáo trình đưa vấn đề liên quan đến an toàn liệu thương mại điện tử (TMĐT) khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy mát liệu, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an toàn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an tồn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh vận dụng thuận lợi công việc hàng ngày - Phan Đình Diệu (2002), Giáo trình “ Lý thuyết mật mã an tồn thơng tin”, Đại học Quốc gia Hà Nội Nội dung khái quát chung lý thuyết mật mã, cơng cụ tốn học có liên quan đến việc đảm bảo an tồn thơng tin Hệ mật khố đối xứng, hệ mật khố cơng khai; Chữ ký điện tử, ứng dụng thực hành - Theo Th.s Nguyễn Văn Hùng- Khoa HTTTQL trường Học viện Ngân hàng thực nghiên cứu khoa học “Các vấn đề bảo mật an toàn liệu ngân hàng thương mại sử dụng công nghệ điện toán đám mây” Các ngân hàng ngày gặp nhiều khó khăn việc lưu trữ, quản lý, khai thác số lượng lớn liệu họ tăng lên nhanh chóng theo ngày Sự đời công nghệ ĐTĐM với khả cung cấp sở hạ tầng không giới hạn để truy suất, lưu trữ liệu vị trí địa lý khác giải pháp tốt cho sở hạ tầng CNTT để ngân hàng xử lý vấn đề khó khăn Tuy nhiên hạn chế nghiên cứu nhiều thiếu sót nghiên cứu mang tính chất lý thuyết, chưa có nhiều thực nghiệm khuyến nghị an ninh bảo mật điện toán đám mây - Ngày 29/3/2016, Tổng cục An ninh (Bộ Công an) Tập đoàn liệu quốc tế Việt Nam (IDG Việt Nam) khai mạc Hội thảo- Triển lãm Quốc gia An ninh Bảo mật (Security World) 2016 với chủ đề “An tồn thơng tin, bảo mật sở liệu: Yêu cầu thiết kỷ nguyên số” Những năm gần đây, loại hình dịch vụ Internet ngày phát triển đa dạng, hầu hết liệu, thơng tin có trao đổi thơng qua không gian mạng Hội thảo xác định nguyên nhân chủ yếu chủ quan, hạn chế nhận thức, thiếu hụt đầu tư an ninh thông tin doanh nghiệp Hầu hết khơng có phận an ninh thông tin,nhân chuyên trách vị trí kiêm nhiệm phận CNTT 1.2.2 Tình hình nghiên cứu nước ngồi - Nicolas Sklavos and Xinmiao Zhang (3/2007), Wireless Securiry and Cryptography – Specifications and Implementations, CRC Press Cuốn sách đặc tả cài đặt bảo mật mạng không dây mật mã Liên lạc không dây trở thành phương thức quan trọng để hỗ trợ dịch vụ điện tử Trong giao thức không dây tương lai, mơi trường truyền thơng bảo mật đóng vai trò quan trọng Các hệ thống truyền thơng di động tươn lai lại nhu cầu đặc biệt với mật mã Trong tổng hợp vấn đề chủ chốt bao hàm để đạt tới hiệu suất mong muốn cài đặt an toàn, sách Wireless Security and Cryptography: Specifications and Implementations tập trung vào cách tiếp cận tích hợp thay cho bảo mật truyền thông không dây Nó phân tích cách tổng quan tầng bảo mật giao thức khơng dây trình bày đặc trưng hiệu suất cài đặt phần mềm phần cứng Cuốn sách trình bày phương pháp hiệu để thực lược đồ an toàn giao thức khơng dây với hiệu suất cao, phân tích xu hướng nghiên cứu đại cài đặt bảo mật giao thức không dây tương lai - William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt yếu tố cần thiết AES Các tính năng, thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hoá chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật - phần mềm độc hại kẻ xâm hại Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons Cuốn sách viết để phản ánh vai trò trung tâm hoạt động, nguyên tắc , thuật toán giao thức bảo mật Internet Đưa biện pháp khắc phục mối đe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việc đảm bảo an ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng Tồn vẹn thơng điệp cần thiết liệu bị thay đổi kẻ công thông qua đường truyền Internet Các tài liệu sách trình bày lý thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet Như vậy, vấn đề an tồn bảo mật thơng tin riêng ngày doanh nghiệp toàn xã hội quan tâm, nghiên cứu Qua hội thảo, nghiên cứu, báo, nhiều vấn đề an tồn thơng tin giải quyết, nhiều doanh nghiệp tìm hướng cho mình, lựa chọn cho giải pháp bảo mật thơng tin phù hợp giúp đảm bảo thông tin mật, nâng cao hiệu kinh doanh 1.3 Mục tiêu nghiên cứu Mục tiêu nghiên cứu đề tài tập hợp hệ thống hoá số lý thuyết an tồn bảo mật thơng tin Từ đó, xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật thơng tin để đưa ưu nhược điểm Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an tồn bảo mật thơng tin Giúp cho công ty nhận diện nguy thách thức vấn đề an toàn bảo mật thơng tin có giải pháp nâng cao tính an tồn bảo mật, ngăn chặn nguy công thông tin tương lai Các mục tiêu cụ thể cần giải đề tài: - Làm rõ sở lý luận an toàn bảo mật thông tin Công ty cổ phần truyền thông công nghệ iChip - Đánh giá thực trạng an tồn bảo mật thơng tin Cơng ty cổ phần truyền thông công nghệ iChip - Trên sở lý luận thực trạng đề giải pháp nâng cao an tồn bảo mật thơng tin Công ty cổ phần truyền thông công nghệ iChip 1.4 Đối tượng phạm vi nghiên cứu đề tài - Đối tượng đề tài vấn đề an tồn bảo mật thơng tin Cơng ty cổ phần truyền thông công nghệ iChip + Các giải pháp công nghệ giải pháp người để đảm bảo ATBM thơng tin doanh nghiệp + Các sách phát triển đảm bảo ATBM thông tin công ty + Các giải pháp ATBM thông tin giới áp dụng doanh nghiệp - Phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: + Về khơng gian: Nghiên cứu tình hình an tồn bảo mật thông tin nhằm đưa số giải pháp nâng cao an tồn bảo mật thơng tin Cơng ty cổ phần truyền thông công nghệ iChip + Về thời gian: Các hoạt động ATBM thông tin công ty thông qua báo cáo kinh doanh, số liệu khảo sát qua năm, năm 2014, 2015 2016 Đồng thời trình bày nhóm giải pháp, định hướng phát triển tương lai công ty 1.5 Phương pháp nghiên cứu đề tài 1.5.1 Phương pháp thu thập liệu Việc thu thập liệu cơng việc q trình nghiên cứu Phương pháp thu thập liệu cách thức thu thập liệu phân loại sơ tài liệu chứa đựng thông tin liên quan tới đối tượng nghiên cứu đề tài thực Phương pháp sử dụng phiếu điều tra: - Nội dung: Bảng câu hỏi câu hỏi liên quan tới thông tin chung doanh nghiệp, xoay quanh hoạt động đảm bảo ATBM thông tin triển khai hiệu hoạt động Công ty cổ phần truyền thông công nghệ iChip - Cách thức tiến hành: Bảng câu hỏi phát cho nhân viên công ty để thu thập ý kiến - Mục đích: Nhằm thu thập thơng tin hoạt động ATBM thông tin công ty để từ đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu hoạt động đảm bảo ATBM thông tin Công ty cổ phần truyền thông công nghệ iChip Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cấp thông tin thu thập xử lý trước mục tiêu khác công ty - Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh cơng ty vòng năm: 2014, 2015, 2016 thu thập từ phòng hành chính, phòng kế tốn cơng ty - Nguồn tài liệu bên ngồi: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan tới đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thơng tin cần thiết ta tiến hành phân loại sơ tài liệu Từ rút kết luận có cần thêm tài liệu bổ sung vào, đủ tiến hành bước xử lý liệu 1.5.2 Phương pháp xử lý liệu Sau phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật, ta tiến hành tổng hợp tài liệu, có nhìn tổng quan tồn cảnh cụ thể tình hình nghiên cứu có liên quan đến đề tài Trong trình xử lý thơng tin, ta cần chia thơng tin làm hai phương pháp chính: - Phương pháp định lượng: Dữ liệu sau thu thập đưa phân tích thơng qua việc sử dụng Microsoft Office Excel 2007 Từ rút số đánh giá thực trạng an toàn bảo mật thơng tin doanh nghiệp tính cấp thiết việc nâng cao tính an tồn bảo mật thơng tin - Phương pháp định tính: Phân tích, tổng hợp thơng tin thông qua câu hỏi vấn, phiếu điều tra tài liệu thu thập từ nguồn khác (Internet, tạp chí cơng nghệ ) Phương 10 mơ hình để làm mã bảo vệ.Khơng có vậy, phần mềm có chức sử dụng bàn phím ảo, khiến việc lấy cắp mật mã trở nên khó khăn hơn.Phần mềm bao gồm nhiều danh mục Lockers, Data Concealing, Tools Setting, với phần mềm hiển thị danh sách liệu mà bạn mở thời gian trước Bên cạnh chương trình cho phép bạn sử dụng thuật tốn khác để mã hóa 3DES, Blowfish, Cast128, Ice, RC2, RC4, Twofish, Thinice… Phần mềm cho phép bạn tạo phân vùng ảo ổ cứng để ẩn giấu liệu cá nhân vào đó.Sau che giấu, vùng liệu bí mật bị ẩn hồn tồn mà khơng để lại dấu vết nào, chưa tồn hệ thống Điều giúp A+ Folder Locker che giấu liệu an toàn Ngồi việc tạo phân vùng bí mật để ẩn giấu giữ liệu, A+ Folder Locker trang bị tính độc đáo ẩn giấu liệu vào bên file khác, file ảnh, file video hay file nhạc…Với cách thức này, thật khó để đốn bạn che giấu liệu đâu Có thể nói A+ Folder Locker phần mềm bảo mật miễn phí hiệu nay, phần mềm gồm hai Free Standard 3.2.3 Bảo mật liệu CSDL Hiện tại, liệu công ty lưu theo phương pháp: thủ công, lưu ổ đĩa thiết bị lưu trữ khác lưu vào hệ quản trị CSDL 3.2.3.1 Dữ liệu lưu trữ phương pháp thủ công Có nhiều nguyên nhân dẫn tới liệu lưu trữ phương pháp thủ công nhân tố khách quan hỏa hoạn, ẩm mốc, mối Do vậy, để đảm bảo vấn đề bảo mật liệu này, em có đề xuất cho cơng ty sau: - In tập tài liệu làm nhiều lưu vào tủ Chỉ có nhà quan trị người có đặc quyền theo hướng dẫn nhà quản - trị xem tài liệu Lưu trữ tài liệu theo phương pháp khoa học: lưu trữ theo vần, theo chuyên môn - Thường xuyên thu dọn kiểm tra tủ tài liệu để phát hiệ thiệt hại có 45 3.2.3.2 Dữ liệu lưu trữ ổ đĩa thiết bị lưu trữ khác a, Phân quyền người sử dụng đặt mật (password) cho file - Phân quyền người sử dụng + Thực nguyên tắc đặc quyền tối thiểu thiết lập sách cho việc ghi chép Có hai nguyên tắc đối ngược từ nhân viên có thê thiết lập sách truy cập mạng Đầu tiên, sách “mở tất cả”, giả thiết tất liệu có sẵn người trừ lãnh đạo cần phải hạn chế truy cập Thứ hai sách “đặc quyền tối thiểu” hoạt động giả thiêt tất liệu hạn chế mức tối đa trước người dùng họ trao quyề truy cập Các nhân viên không copy thơng tin quan trọng hay đưa nhà email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ kí nhân viên để xác nhân, khơng khó bắt buộc người dùng cơng ty thực tốt sách Các ngun tắc khơng viết khó có hiệu lực + Thiết lập đặc quyền hạn chế thẩm định truy cập Sự thi hành sách kĩ thuật tước bỏ lựa chọn việc có tn thủ theo hay khơng họ Do bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực nguyên tắc đặc quyền tối thiểu cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập truy cập vào lúc + Thực thi quản lý quyền Một số hành vi trộm cắp dũ liệu ngăn ngừa cách sử dụng phương pháp để giữ cho người không cần thiết không teruy cập vào liệu Cơng ty sử dụng tính Windows Rights Management Services (RMS) Information Rights Management (IRM) trog nhiều phiên Office 2003 Office 2007 để ngăn chặn người dùng chuyển tiếp, copy hay sử dụng sai thư tín điện tử tài liệu Office mà lãnh đạo gửi đến họ - Đặt mật cho file 46 Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiệp người không cấp quyền truy cập đến file hay nhân bên muốn xâm nhập để đánh cắp file Các phần mềm hữu ích có tính bảo mật cao giúp bảo vệ an tòan liệu cá nhân phù hợp với công ty là: + Folder Secure Folder 5.6 phần mềm hoàn toàn miễn phí cài đặt sử dụng đơn giản, nhanh chóng Để bảo mật tài liệu quan trọng, thao tác khóa việc truy cập mật mã giải pháp tối ưu Việc khóa mật mã thư mục chứa tài liệu, người dùng thấy thư mục xuất trước mắt, nhiên để sử dụng phải vượt qua tường bảo vệ mật đặt + SafeHouse Personal Edition SafeHouse Personal Edition bảo vệ tập tin thư mục quan trọng cách sử dụng mật mã hóa chúng Đây phần mềm hoàn hảo cho máy tính để bàn máy tính xách tay b, Mã hóa nén liệu: Mã hóa phương pháp tối ưu để giữ cho liệu an toàn, cho dù nhà quản trị truyền qua Internet, lưu máy chủ mạng qua an ninh sâ bay máy tính xách tay Việc mã hóa khơng cho phép (trừ nhà quan trị người nhận nó) đọc liệu cơng ty Các liệu cần mã hóa: - Mã hóa tồn ổ cứng Tồn nhân viên cơng ty có mật đăng nhập Windows máy tính Tuy nhiên có rủi ro xảy máy tính ổ cứng bị đánh cắp mật khơng bảo vệ an tồn Vì vậy, cần thực mã hóa đĩa cứng để bảo vệ liệu máy tính rơi vào tay kẻ xấu - Mã hóa ổ cứng lắp ngồi, ổ USB Mã hóa lưu lượng truy cập Internet Để giúp liệu nhạy cảm truyền đến/đi từ máy tính xách tay an tồn, tránh việc tin tặc chặn liệu nhà trị mã hóa liệu cách sử dụng mạng riêng ảo (VPN) 47 Mạng VPN an tồn bảo vệ lưu thơng mạng cung cấp riêng tư, chứng thực toàn vẹn liệu thơng qua giải thuật mã hố - Mã hóa thư Gmail Khi sử dụng Gmail, nhà quản trị soạn xem email chúng truyền qua kết nối HTTPS (Hypertext Transfer Protocol Secure) mã hóa Vì vậy, thơng tin khơng bị chặn Nguy bảo mật người khác truy cập tài khoản Giả pháp đặt mật giúp giảm thiểu rủi ro cho nguy - Mã hóa tài liệu Word, Excel PowerPoint Máy tính cơng ty sử dụng Office 2010 2013 Người quản tri mã hóa tài liệu Word, Excel PowerPoint theo cách: Nhấp File, chọn tab Infor sau nhấp nút Protect Document Cuối cùng, bấm vào Encry with Password chọn mộtt mật mạnh cho tập tin Bất muốn truy cập vào tập tin cần mật Đây phương pháp hữu hiệu để bảo mật an tồn thơng tin cho liệu công ty 3.2.3.3 Cơ sở liệu Thông tin coi tài sản CSDL không lưu trữ thơng itn có liên quan tới bí mật công ty mà chứa thông tin cá nhân (số điện thoại nhà riêng, địa gmail, ) chúng cần bảo vệ Các phương pháp để bảo vệ CSDL Công ty cổ phần truyền thông công nghệ iChip bao gồm: - Để bảo vệ liệu CSDL mức độ tập tin, chống lại truy cập trái phép vào tập tin CSDL, ta sử dụng hình thức mã hóa Tuy nhiên, giải pháp chưa cung cấp mức độ bảo mật truy cập đến CSDL mức độ bảng, cột dòng Mặt khác với giải pháp với quyền truy xuất CSDL truy cập vào tất liệu CSDL Điều phát sinh nguy cho phép đối tượng với quyền quản trị truy cập tất liệu quan trọng Thêm vào đó, giải pháp bị hạn chế khơng cho phép phân quyền khác cho người sử dụng CSDL Do giải pháp chưa đáp ứng cao nhu cầu bảo mật CSDL - Giải pháp đối nghịch với giải pháp mã hóa cấp tập tin nêu trên, giải vấn đề mã hóa mức ứng dụng Giải pháp xử lý mã hóa liệu trước 48 truyền liệu vào CSDL Những vấn đề quản lý khóa quyền truy cập hỗ trợ ứng dụng Truy vấn liệu đến CSDL trả kết liệu dạng mã hóa liệu giải mã ứng dụng Giải pháp giải vấn đề phân tách quyền an ninh hỗ trợ sách an ninh dựa vai trò Tuy nhiên, xử lý mã hóa tầng ứng dụng đòi hỏi thay đổi tồn diện kiến trúc ứng dụng, chí đòi hỏi ứng dụng phải viết lại Từ hai giải pháp nêu trên, dễ dàng nhận thấy giải pháp bảo mật CSDL tối ưu cần hỗ trợ yếu tố sau: - Hỗ trợ mã hóa mức liệu cấp bảng, cột, hàng - Hỗ trợ sách an ninh phân quyền truy cập đến mức liệu cột, hỗ trợ RBAC - Cơ chế mã hóa không ảnh hưởng đến ứng dụng Để thỏa mãn yếu tố trên, công ty cổ phần truyền thơng cơng nghệ iChip sử dụng mơ hình xây dựng tầng CSDL trung gian Trong mơ hình này, CSDL trung gian xây dựng ứng dụng CSDL gốc, CSDL trung gian có vai trò mã hóa liệu trước cập nhật vào CSDL gốc, đồng thời giải mã liệu trước cung cấp cho ứng dụng CSDL trung gian đồng thời cung cấp thêm chức quản lý khóa, xác thực người dùng cấp phép truy cập 3.2.4 Giải pháp đảm bảo an toàn mạng 3.2.4.1 Giải pháp cho hệ thống mạng Công ty cần xây dựng lại tồn hệ thống mạng theo mơ hình Client-Server Việc sử dụng mơ hình mạng ngang hàng Peer-to-Peer phòng ban làm nguy ATTT tăng lên Trong mơ hình Client-Server, thành phần xử lý ứng dụng hệ thống Client đưa yêu cầu cho phần mềm sở liệu máy Client, phần mềm kết nối với phần mềm sở liệu chạy Server.Phần mềm sở liệu Server truy nhập vào sở liệu gửi trả kết cho máy Client Mô hình mạng giúp hạn chế lượng thơng tin lưu chuyển mạng (thông tin chuyển tới địa yêu cầu), nguy ATTT giảm theo 3.2.4.2 Xây dựng mạng riêng ảo VPN Để thuận tiện cho nhân viên phải làm việc di động cung cấp thông tin cần thiết cho đối tác, khách hàng, Công ty nên xây dựng hệ thống mạng 49 riêng ảo(VPN) Đây mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Hình 3.2: Mạng riêng ảo VPN điển hình (Nguồn: https://quantrimang.com) Do quy mơ cơng ty không lớn yêu cầu làm việc xa khơng nhiều nên để tiết kiệm chi phí, cơng ty thiết lập mạng riêng ảo dựa chức sẵn có cung cấp hệ điều hành Window 3.2.4.3 Bật chế độ mã hóa WPA2 WPA2 (Wifi Protected Access 2) có sẵn cơng ty lắp Wifi WPA2 công nghệ sử dụng mã hóa AES/CCMP Cơng ty sử dụng dạng thức Enterprise phù hợp cho doanh nghiệp, phức tạp yêu cầu máy chủ ngoài, gọi RADIUS server, để kích hoạt nhận thực 802.1X WPA2 sử dụng giao thức TKIP (Temporal Key Intergrity Protocol) nhằm thay đổi khóa dùng AP user cách tự động q trình trao đổi thơng tin Hiện tại, thiết bị Wi-Fi thiết bị truy cập Wi-Fi công ty (máy tính xách tay, điện thoại thơng minh, máy tính bảng ) cơng ty hỗ trợ mã hóa WPA2 Do nên bật chế độ mã hóa lên (WPA2 Personal) 3.2.4.4 Ghi nhật kí, theo dõi, giám sát hệ thống - Ghi nhật kí 50 Giải pháp ghi lại phiên kết nối, phiên đăng nhập người dùng, tiến trình hoạt động giúp nhà quản trị mạng tìm lại dấu vết người dùng, hacker lỗi gây cho hệ thống trước Vì máy chủ Web, máy chủ Email máy chủ ứng dụng khác cần kích hoạt tính ghi nhật kí để quản lý thơng tin, nâng cao tính an toàn bảo mật Phần mềm mã nguồn mở Syslog-ng (http://www.balabit.com), SyslogAgent (http://syslogserver.com) giải pháp tốt Hệ thống giúp ghi lại cảnh báo, thông báo từ thiết bị phần cứng tường lửa, router, swich, từ máy chủ Web, Database hệ thồng khác - Theo dõi, giám sát Đây công việc thường xuyên quan trọng nhà quản trị mạng cơng ty việc phòng chống hiệu trước cố xuất Việc giám sát gồm: + Phát hệ thống mạng có nhiều virus phát tán + Giám sát máy tính mạng LAN môi trường Internet + Phát hacker dùng công cụ nghe mật khẩu, quét lỗi hệ thống ứng dụng + Thống kê số lượng kết nối, session lưu lujwownjg bất thường hệ thống mạng 3.2.4.5 Các giải pháp khác - Ẩn tên mạng (SSID) Mỗi mạng Wi-Fi có tên mạng (SSID) khác biệt nhau, số thiết bị Wi-Fi hỗ trợ lúc SSID khác Giải pháp giúp bảo mật mạng Wifi mức cho Công ty cổ phần truyền thông công nghệ iChip Nên ẩn SSID nhằm - tránh người lạ dò tìm, thường xuyên để ý tới mạng Wi-Fi công ty Giới hạn việc cấp phát địa IP động Việc cấp phát địa IP động DHCP (Dynamic Host Configuration Protocol) từ thiết bị Wi-Fi giúp việc kết nối mạng Wi-Fi trở nên dễ dàng Tuy nhiên để tăng cường khả bảo mật mạng Wi-Fi cơng ty nên thiết lập cho lượng đại IP cấp phát tự động vừa đủ số thiết bị phép truy cập mạng Wi-Fi 3.2.5 Giải pháp người Theo thống kê an ninh mạng CERT (Computer Emergency Response Team- http://www.cert.com) cho thấy có khoảng 70% số trường hợp thơng tin bị thất có liên quan tới yếu tố người Do đó, yếu tố người để nhằm nâng cao tính bảo mật thơng tin cho Công ty cổ phần truyền thông công nghệ iChip vơ quan trọng 51 Cơng ty có phận CNTT với trình độ hiểu biết ATTT nhân viên hạn chế, cơng ty cổ phân truyền thông công nghệ iChip cần xây dụng phận quản trị HTTT với kế hoạch đào tạo, nâng cao hiểu biết ATBM thông tin cho nhân viên Công ty nên chọn đến nhân viên tiêu biểu để đưa đào tạo chuyên sâu ATTT tạo thành phận quản trị , đồng thời mời chuyên viên an ninh thơng tin đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên Cơng ty Ngồi việc nâng cao kiến thưc chuyên môn, công ty cần phát triển kĩ khác cho nhân viên như: kĩ giao tiếp ngoại ngữ, kĩ tư làm việc độc lập, kĩ làm việc nhóm Mặt khác, Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATTT Cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng Tất thông tin kháchhàng, đối tác hay thông tin nội cơng ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính không mang khỏi công ty Giáo dục đạo đức cho nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán , nhân viên 3.2.6 Đối với Website Công ty cổ phần truyền thông công nghệ iChip cần ý tới giải pháp ATTT với website trước truy cập, công khai thác liệu khiến website bị nhiễm độc gây nguy hiểm khơng cho người sở hữu trang web mà khách truy cập Các biệc pháp sử dụng để nâng cao an tồn bảo mật thơng tin cho website công ty là:  Sử dụng mật mạnh Mật mạnh tảng giúp tăng cường bảo mật cho hệ thống máy chủ Mật khộng bắt buộc thay đổi sau xảy cố mà cần phải thay đổi thường xuyên, tốt định kì tháng lần 52 Mật an tồn phải tích hợp chữ, số kí hiệu đặc biệt phải đảm bảo dễ nhớ để ghi lại mật vảo sổ hay máy tính, khơng sử dụng mật cho nhiều tài khoản khác email, tài khoản ngân hàng Để tạo mật mạnh cần phải đủ khó cho chương trình máy tính muốn phá Cần tạo mật dài với đội dài từ mười ký tự trở lên phức tạp sử dụng ký tự hoa, ký tự thường, số biểu tượng ví dụ dấu ngạch ngang mật Ví dụ cho việc đặt mật mạnh "Bighouse $ 123", mật vừa có chữ in hoa, chữ thường, biểu tượng số Với cách đặt mật nhân viên dễ nhớ từ sử dụng phổ biến, biểu tượng quen thuộc số liên tục Hoặc đặt mật theo dạng "3o(t&gSp&3hZ4#t9", mật dạng chuỗi ngẫu nhiên mạnh khó đốn  Kiểm tra mã nguồn website thường xuyên Website công khai cho tất người truy cập, phải thường xuyên giám sát, kiểm tra mã nguồn Trong trường hợp phát tập tin bất thường phải tiến hành kiểm tra Trojan/Backdoor tin tặc cài vào hệ thồng website Việc kiểm tra mã nguồn thực cách sau: - Kiểm tra thủ cơng: + Kiểm tra footer website có ghi thơng tin website hay mã nguồn + Nhìn đường dẫn url website đoạn mã nguồn + Xem tổng quan giao diện lướt qua viết, phần bình luận + Đi sâu vào code kiểm tra phần từ ( Ctrl U ) quan sát đặt class, đường dẫn đến file js, css thư mục - Dùng tool Sử dụng công cụ Builtwith Builtwith công cụ mạnh dùng để kiểm tra mã nguồn website Nó sâu vào chi tiết trang web bao gồm: server, hệ thống quản trị, framework, chức tích hợp, thông tin template sử dụng ngôn ngữ code 53  Sao lưu liệu thường xuyên Dữ liệu phần quan trọng hệ thống website Dữ liệu bị tin tặc xâm nhập xóa mật thiên tai, hỏa hoạn, lũ lụt… thực chứng minh nhiều doanh nghiệp toàn liệu, thiệt hại kinh tế lớn khơng thực quy trình lưu liệu Do đó, cơng việc phải đưa vào danh sách cơng việc thường xun, có phân cơng nhân thực Để ngăn chặn điều xảy ra, người dùng cần có phương pháp thích hợp để bảo vệ máy chủ máy tính kết nối với tài khoản máy chủ  Quan tâm đến bảo mật máy tính: Rất nhiều malware độc hại công vào trang web phát tán cách lây nhiễm vào máy tính Vì vậy, vấn đề an ninh máy chủ chứa trang web khía cạnh quan trọng việc bảo mật website Giữ cho máy chủ ln tình trạng an tồn khơng bị nhiễm độc nâng cao mức độ an toàn tránh công malware  Tăng cường mức độ bảo mật máy chủ: Nếu sở hữu hệ thống máy chủ, người dùng cần ý đến cấu hình máy để bảo đảm mức độ an tồn Hoạt động để tăng cường bảo mật máy chủ gồm phần sau: • Loại bỏ tất phần mềm khơng sử dụng • Vơ hiệu hóa tất dịch vụ module khơng cần thiết • Thiết lập sách phù hợp cho người dùng nhóm • Thiết lập quyền truy cập/hạn chế truy cập vào tập tin thư mục định • Vơ hiệu hóa việc duyệt thư mục trực tiếp • Thu thập tập tin ghi nhận hoạt động, thường xuyên kiểm tra hoạt động đáng ngờ Sử dụng mã hóa giao thức an tồn • Khi website có lỗ hổng, tội phạm mạng dễ dàng xâm nhập, công khai thác liệu khiến website bị nhiễm độc gây nguy hiểm không cho chủ sở hữu trang web mà cho khách truy cập Sau website khử độc, quản trị viên chủ quan không quan tâm đến lỗ hỗng thường xuyên website dễ dàng bị nhiễm độc trở lại lúc Sự thật khơng có 54 cách loại bỏ mối đe dọa hoàn toàn Tuy nhiên, nhà quản trị,c chủ sở hữu trang web người sử dụng Internet nâng cao tính an tồn cách thực theo quy tắc bảo mật giữ cho website, máy tính người dùng khơng bị nhiễm độc thời điểm Công ty cổ phần truyền thông công nghệ iChip hoạt động cung cấp dịch cụ Marketing, Digital Marketing, Direct Marketing, cung cấp bán dịch vụ liên quan Ngoài ra, iChip đại diện ủy quyền thức sàn thương mại điện tử lớn giới Alibaba Việt Nam Vì việc đảm bảo an tồn thơng tin cho Website công ty quan trọng Các biện pháp mà công ty nên áp dụng là: nên mã hóa liệu, khơng lưu thơng tin mật, có cách hướng dẫn cho khách hàng tạo mật mạnh giao dịch, thiết lập hệ thống cảnh báo website phát hành động đáng ngờ giao dịch trực tuyến khách hàng, kiểm tra website công ty lưu liệu cách thường xuyên 3.3 Một số đề xuất, kiến nghị an tồn hệ thơng thơng tin công ty cổ phần truyền thông công nghệ iChip 3.3.1 Các kiến nghị với nhà nước - Tiếp tục nghiên cứu hồn thiện mơi trường hành lang pháp lý hoạt động an toàn bảo mật thông tin doanh nghiệp - Đẩy mạnh tuyên truyền nâng cao nhận thức doanh nghiệp ATBM thông tin doanh nghiệp - Đầu tư phát triển sở hạ tầng: Nhà nước cần có dự án ưu tiên phục vụ mục tiêu phát triển an tồn thơng tin số quốc gia với ngân sách chi tiêu tương ứng - Đào tạo nguồn nhân lực cho ATBM thông tin: Để đẩy mạnh chương trình ATBM thơng tin nhu cầu nguồn nhân lực am hiểu CNTT có trình độ chun môn cần thiết với đủ đạo đức tư cách, am hiểu hoạt động lĩh vực công nghệ thơng tin - Xây dựng hồn thiện chế hỗ trợ doanh nghiệp việc ứng dụng triển khai an tồn thơng tin nói chung Phát triển công nghệ hỗ trợ ATBM TT sở khuyến khích chuyển giao cơng nghệ từ nước ngồi Trên sở nhà nước cần ban hành sách, biện pháp khuyến khích đầu tư phát triển CNTT phục vụ hoạt động đảm bảo ATBM TT 55 56 3.3.2 Kiến nghị với công ty cổ phần truyền thông công nghệ iChip - Đào tạo nhân lực công ty + Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm + Cơng ty nên mở lớp phổ biến kiến thức vềan tồn bảo mật thơng tin cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng liệu Kiểm sốt nội chặt chẽ đề quy định riêng an toàn + bảo mật thôn tin cho công ty Đề nghị thiết lập phận chuyên trách CNTT, nhân viên CNTT có trình độ đại học phải có kinh nghiệm ATBM thơng tin Đầu tư trang thiết bị + Nâng cấp máy chủ công ty lên Windows server 2008 để phù hợp với ứng dụng hệ thống mới, cấu hình cao phù hợp với tình hình phát triển cơng ty + Cập nhật trang thiết bị phần cứng, phần mềm để thích ứng với giải pháp + an tồn bảo mật thơng tin hệ thống mạng doanh nghiệp Các trang thiết bị công nghệ thông tin phải kiểm tra thường xuyên, khắc phục lỗi trục trặc nhanh chóng kịp thời + Cập nhật giải pháp bảo mật thông tin tức thời có hiệu tối ưu ngân sách, đặc điểm công ty 57 KẾT LUẬN Ngày nay, với phát triển công nghệ thông tin, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp người đến gần Các cơng ty có hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh chia sẻ thơng tin Bên cạnh đó, cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lưu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Vì vậy, việc đảm bảo nâng cao an tồn bảo mật thơng tin doanh nghiệp quan tâm hàng đầu Với đề tài “Một số giải pháp đảm bảo an tồn thơng tin cho Cơng ty cổ phần truyền thơng cơng nghệ iChip”, em có số nhận xét sau: - Kết đạt được: Hệ thống hóa cách chi tiết lý thuyết an tồn bảo mật thơng tin, lập phiếu điều tra nhận xét thực trạng công tác ATBM đưa số giải pháp cần thiết thời điểm phần cứng, phần mềm, - liệu, người nhằm nâng cao tính ATBM thông tin cho công ty Tồn tại: Do thời gian có hạn hạn chế mặt kiến thức nên em khơng thể tránh khỏi thiếu sót Bài khóa luận tập trung vào nhiều lý thuyết, câu hỏi điều tra thực trạng ATBM thông tin cơng ty chưa đầy đủ Cơng ty cổ phần truyền thông công nghệ iChip phát triển với việc mở rộng kinh doanh, tăng số lượng chi nhánh Cho nên vấn đề an tồn bảo mật thơng tin cơng ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an tồn bảo mật thơng tin Tuy nhiên, giải pháp an tồn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công Trong thời gian tới, doanh nghiệp định hướng phát triển đề tài trên, em tiếp tục nghiên cứu, bổ sung giải pháp để đáp ứng nhu cầu bảo mật thông tin công ty Đồng thời em không ngừng học hỏi, cố gắng thực hành để hiên thực hóa giải pháp nêu 58 DANH MỤC TÀI LIỆU THAM KHẢO A Tài liệu tham khảo Tiếng Việt: [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội [2] Bài giảng An tồn bảo mật thơng tin doanh nghiệp, mơn CNTT, Đại học Thương Mại [3] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [4] Nguyễn Thanh Cường (2004), Giáo trình mạng máy tính hệ thống bảo mật, NXB Thống Kê [5] Phan Đình Diệu (2002), Lý thuyết mật mã an tồn thơng tin, Đại Học Quốc Gia Hà Nội B Tài liệu tham khảo Tiếng Anh: [6] Nicolas Sklavos and Xinmiao Zhang (3/2007), Wireless Securiry and Cryptography – Specifications and Implementations, CRC Press [7] Man Young Rhee (2003) Internet Security:Cryptographic principles, algorithms and protocols John Wiley & Sons [8].William Stallings (2005), Cryptography and NetworkSecurity Principles and Practices, Fourth Edition, Prentice Hall C Tài liệu tham khảo website: [9] http://www.kaspersky.nst.com.vn [10] http:// www.quantrimang.com.vn [11] http:// www.iChip.vn [12] https://www.voer.edu.vn 59 ... ty cổ phần truyền thông công nghệ iChip 2.2.1 Tổng quan công ty cổ phần truyền thông công nghệ iChip 2.2.1.1 Thông tin chung 26 - Tên giao dịch: CÔNG TY CỔ PHẦN TRUYỀN THÔNG VÀ CÔNG NGHỆ ICHIP. .. hiệu ATBM thông tin Công ty cổ phần công nghệ truyền thông iChip 11 CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN CỦA CƠNG TY CỔ PHẦN TRUYỀN THÔNG VÀ CÔNG NGHỆ ICHIP 2.1... bảo mật thơng tin Cơng ty cổ phần truyền thông công nghệ iChip - Trên sở lý luận thực trạng đề giải pháp nâng cao an tồn bảo mật thơng tin Công ty cổ phần truyền thông công nghệ iChip 1.4 Đối