1 LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn thầy giáo Nguyễn Quang Trung hướng dẫn tận tình, bảo em suốt thời gian thực đề tài để em hồn thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin công ty Cổ phần cấp nước Sơn Tây Em xin bày tỏ lòng cảm ơn sâu sắc tới thầy cô giáo, đặc biệt Khoa Hệ Thống Thông Tin Kinh Tế giảng dạy em suốt bốn năm ngồi ghế giảng đường trường Đại học Thương Mại, giúp em trang bị kiến thức để làm tốt đề tài khóa luận vững bước vào tương lai Em xin gửi lòng biết ơn sâu sắc đến quý công ty Cổ phần cấp nước Sơn Tây, ban lãnh đạo công ty tồn thể nhân viên cơng ty tạo điều kiện cho em tìm hiểu, nghiên cứu suốt trình thực tập cơng ty để em hồn thành khóa luận tốt nghiệp Mặc dù cố gắng hoàn thành luận văn với tất nỗ lực thân, thời gian nghiên cứu hạn hẹp, trình độ khả thân hạn chế Vì vậy, khóa luận chắn khơng tránh khỏi thiếu sót, kính mong thầy giáo Nguyễn Quang Trung, thầy giáo khoa Hệ Thống Thông Tin Kinh Tế tận tình bảo để em hồn thiện Em xin chân thành cảm ơn! Sinh viên thực 2 MỤC LỤC 3 DANH MỤC SƠ ĐỒ, BẢNG BIỂU, HÌNH VẼ 4 DANH MỤC TỪ VIẾT TẮT Từ viết tắt ATTT CP CNTT CPU CSDL DN DES DOS EFS HTTT HDD HĐH HTTP Diễn giải IETF Internet Engineering Task Force IMAP LAN NXB Internet Messaging Access Protocol Local Area Network SPSS SQL SSL TMĐT WEP WPS Central Processing Unit Data Encryption Standard Denial of Service Encrypting File System Hard Disk Drive HyperText Transport Protocol Statistical Package for Sciences Structured Query Language Secure Socket Layer Wireless Encryption Protocol Wifi Protected Access Social Nghĩa tiếng Việt An tồn thơng tin Cổ phần Cơng nghệ thơng tin Bộ xử lý trung tâm Cơ sở liệu Doanh nghiệp Tiêu chuẩn mã hố liệu Tấn cơng từ chối dịch vụ Mã hóa file hệ thống Hệ thống thơng tin Ổ cứng Hệ điều hành Giao thức truyền tải siêu văn Lực lượng chuyên trách kỹ thuật liên mạng Mạng cục Nhà xuất Gói thống kê khoa học xã hội Ngôn ngữ truy vấn cấu trúc Giao thức truyền thông Thương mại điện tử Giao thức mã hố mạng khơng dây Phương thức liên minh wifi PHẦN 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1 Tầm quan trọng, ý nghĩa đề tài nghiên cứu Trong kinh tế tồn cầu hóa nay, công nghệ thông tin chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thơng tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an toàn bảo mật thơng tin xem sống doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin đối mặt với nguy an toàn yếu tố bên bên doanh nghiệp Việc đảm bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm soát hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Trong có cơng ty Cơng ty cổ phần cấp nước Sơn Tây nói riêng với doanh nghiệp nói chung có biện pháp đảm bảo an tồn thơng tin, bảo vệ sống doanh nghiệp Nhận thức điều sau thời gian thực tập cơng ty em định chọn đề tài: “Một số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin Công ty cổ phần cấp nước Sơn Tây” 1.2 Tổng quan tình hình nghiên cứu 1.2.1 Tổng quan tình hình nghiên cứu Việt Nam Trong tình hình cơng trình nghiên cứu an tồn bảo mật thơng tin trong nước có chuyển biến tích cực, nhiều cơng trình nghiên cứu, sách tài liệu khoa học an toàn bảo mật thông tin đời như: Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê Giáo trình đưa vấn đề liên quan đến an toàn liệu TMĐT khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy an tồn liệu TMĐT, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an toàn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh vận dụng thuận lợi cơng việc hàng ngày Bộ môn Công nghệ thông tin (2014), Bài giảng an tồn bảo mật hệ thống thơng tin, Đại học Nha Trang Bài giảng đưa số vấn đề an tồn bảo mật thơng tin việc khắc phục, bảo vệ thơng tin q trình truyền thơng tin mạng bảo vệ hệ thống máy tính, mạng máy tính, khỏi xâm nhập phá hoại từ bên giúp cho nhà kinh doanh doanh nghiệp áp dụng cho hệ thống Vũ Anh Tuấn, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Thái Nguyên, 2008 Luận văn đưa số công cụ phương pháp nhằm đảm bảo an tồn thơng tin TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu luận văn dừng lại việc đảm bảo an tồn thơng tin TMĐT khơng bao quát toàn vấn đề ATTT nói chung sâu vào doanh nghiệp cụ thể Nguyễn Thị Thúy, Luận văn tìm hiểu “Thực trạng bảo mật an toàn mạng Việt Nam giai đoạn 2006- 2009”, Đại học An Giang Luận văn đưa vấn đề liên quan đến: Khái niệm , mục tiêu, yêu cầu an tồn thơng tin, nguy gây an tồn thơng tin, hình thức cơng Bên cạnh đó, đề tài đề cập đến phương pháp phòng tránh cơng gây an tồn thơng tin biện pháp khắc phục hậu thông dụng, phổ biến Tuy nhiên đề tài chủ yếu sâu nghiên cứu an toàn liệu Thương mại điện tử, hệ thống mạng Vẫn chưa sâu nghiên cứu nguy an toàn HTTT, liên quan đến người ( nhà quản trị mạng, nhân viên công nghệ thông tin )… ThS Nguyễn Tiến Đức (2002),“Tình hình an ninh thông tin Việt Nam tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ thông tin Việt Nam Ở đây, tác giả nêu cách tổng quát tình hình an ninh thơng tin Việt Nam tiếp cận tiêu chuẩn tổ chức, doanh nghiệp nói chung, đặc biệt doanh nghiệp hoạt động lĩnh vực Công nghệ thông tin ( CNTT) thời điểm giới đánh giá mức độ an tồn thơng tin doanh nghiệp Việt Nam yếu Tuy nhiên, đề tài chưa nghiên cứu đến khả ứng dụng thực tế quy trình xây dựng hệ thống an ninh bảo mật vào doanh nghiệp cụ thể Cùng quy trình triển khai ISO 27001 ứng với doanh nghiệp có mức độ phạm vi áp dụng khác 1.2.2 Tổng quan tình hình nghiên cứu giới Ở Việt Nam nói riêng Thế giới nói chung, có khơng người quan tâm nghiên cứu đưa phương hướng giải pháp đảm bảo an tồn bảo mật thơng tin nói chung Công nghệ thông tin ngày phát triển dẫn đến nhiều hình thức tinh vi, tiểu sảo, nhiều công đánh cắp liệu vào website doanh nghiệp lớn nhỏ, tổ chức, phủ… Hay gần vụ cơng vào trang thông tin điện tử Cơ quan tình báo Trung ương Mỹ CIA Interpol, gây hậu đặc biệt nghiêm trọng Các số liệu thống kê thực tế cho thấy công mạng ngày mạnh mẽ hơn, chuyên nghiệp ngày khó khăn để ngăn chặn William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Kiểm tra thực hành an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Các chương trình mã hóa sử dụng rộng rãi dựa liệu Encryption Standard (DES) thông qua vào năm 1977 Cục Tiêu chuẩn Quốc gia, Viện Tiêu chuẩn Công nghệ (NIST), tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46) Đối với DES, liệu mã hóa khối 64bit sử dụng chìa khóa 56-bit Các thuật toán biến đổi 64-bit đầu vào loạt bước vào đầu 64-bit Các bước tương tự, với phím, sử dụng để đảo ngược mã hóa DES với việc sử dụng rộng rãi Nó chủ đề nhiều tranh cãi liên quan đến bảo mật DES Để đánh giá chất tranh cãi, nhanh chóng xem lại lịch sử DES Tính ngăn chặn chế độ thuật tốn, mã hoá hoạt động, bao gồm chế độ CMAC (Cipher-based Message Authentication Code) để xác thực chế độ mã hoá chứng thực Bao gồm phương pháp giải quyết, mở rộng cập nhật phần mềm độc hại kẻ xâm hại Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results Bài báo trình bày kết từ dự án nghiên cứu thực tập trung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp (Enterprise Information Security), dự án phần chương trình nghiên cứu tồn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research Programme (EARP) EARP khai thác phần cấu trúc doanh nghiệp cách tiếp cận để quản lý tổng danh mục hệ thống thông tin công ty Các bên liên quan Cấu trúc Doanh nghiệp CIO (Chief Information Officer) chịu trách nhiệm quản lý phát triển hệ thống thông tin doanh nghiệp Mục tiêu tổng thể chương trình nghiên cứu cung cấp chức CIO với công cụ phương pháp dựa cấu trúc để lập kế hoạch định liên quan đến hệ thống thơng tin tồn doanh nghiệp Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons Cuốn sách viết vấn đề phản ánh vai trò trung tâm hoạt động, nguyên tắc, thuật toán giao thức bảo mật Internet.Đưa biện pháp khắc phục mốiđe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việcđảm bảoan ninh Internet Nếu thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng.Tồn vẹn thơng điệp cần thiết liệu bị thay đổi kẻ công thông qua đường truyền Internet.Các tài liệu sách trình bày lý thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng.Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet * Các luận văn báo đem đến cho người đọc hiểu biết định an toàn bảo mật thông tin, đưa nguyên nhân chủ quan khách quan dẫn đến việc rò rỉ thơng tin doanh nghiệp Qua giúp doanh nghiệp hiểu rõ hệ thống thông tin đưa giải pháp khắc phục Tuy nhiên, khoa học cơng nghệ nói chung CNTT nói riêng ln có bước phát triển phút, giây Nhờ trình độ người nâng cao, nhu cầu doanh nghiệp lớn nhiều Chính thế, giải pháp dường chưa thể đầy đủ đáp ứng yêu cầu bảo mật Hơn nữa, kết tài liệu kể kết tìm hiểu, nghiên cứu tài liệu để hệ thống lại vấn đề không vào ứng dụng quan hay tổ chức cụ thể Như vậy, theo hiểu biết nghiên cứu thân, đề tài: “ Một số giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty cổ phần cấp nước Sơn Tây” không trùng lặp với đề tài trước 1.3 Mục tiêu nghiên cứu đề tài Hiện nay, hầu hết doanh nghiệp phải đối mặt với nguy an tồn thơng tin việc đảm bảo an tồn thơng tin lại không trọng, không thực thường xuyên Nguyên nhân phần lớn cán bộ, nhân viên không trọng tới việc bảo đảm an tồn thơng tin doanh nghiệp, khơng ý thức tầm quan trọng việc đảm bảo an toàn thơng tin doanh nghiệp, 10 quy trình đảm bảo an tồn thơng tin chưa rõ ràng thống Do mục tiêu nghiên cứu đề tài là: - Tổng hợp lý thuyết sở lý luận đảm bảo an tồn thơng tin - Phân tích đánh giá thực trạng an tồn bảo mật thông tin công ty Cổ phần cấp nước Sơn Tây đưa thiếu sót lỗ hổng HTTT công ty dựa tài liệu, phiếu điều tra - Trên sở nghiên cứu thực trạng tình hình cơng ty, từ đưa số đề xuất, phòng chống khắc phục để ngăn chặn nguy an tồn bảo mật thơng tin áp dụng với công ty 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài Trong đề tài nghiên cứu đối tượng nghiên cứu đề tài là: Vấn đề an tồn bảo mật HTTT công ty Cổ phần cấp nước Sơn Tây Trong chia làm đối tượng nhỏ là: - Hệ thống mạng máy chủ máy trạm công ty - Các phần cứng phần mềm sử dụng công ty - Cơ sở liệu lưu trữ máy chủ, máy trạm công ty - Nhân viên quản lý, yếu tố liên quan đến bảo mật, người cơng ty Từ đưa giải pháp công nghệ người để đảm bảo an tồn thơng tin cho cơng ty 1.4.2 Phạm vi nghiên cứu đề tài Đề tài tập trung nghiên cứu phạm vi Công ty cổ phần cấp nước Sơn Tây, cụ thể: -Về mặt không gian: Dựa tài liệu thu thập công ty, phiếu điều tra tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an tồn bảo mật CSDL Công ty cổ phần cấp nước Sơn Tây - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan công ty giai đoạn 2014- 2016 Các số liệu khảo sát q trình thực tập cơng ty 44 Hình 3.3: Cho phép người dùng bên truy cập vào dịch vụ bên tường lửa Windows Mặc định, tường lửa Windows có danh sách ứng dụng mà người dùng bên tự xuyên qua firewall để truy cập vào bên Trong cửa sổ Windows Firewall trên, bên cạnh trái, bạn chọn mục Allow a program or feature through Windows Firewall Trong cửa sổ danh sách ứng dụng vừa ra, bạn đánh dấu chọn cạnh trái ứng dụng hay tính phép người dùng bên ngồi sử dụng mà khơng bị tường lửa ngăn cản Thao tác bỏ dấu chọn loại ứng dụng khỏi tính Bạn định mở tường lửa cho ứng dụng chọn với dạng kết nối mạng nào, Home/Work hay Public Nếu ứng dụng bạn định chia thông qua tường lửa, chúng khơng có sẵn danh sách mặc định này, bạn bấm vào nút Allow another program Sau bạn chọn chương trình phép truy cập thơng qua tường lửa danh sách, nhấn nút Browse để lựa chọn tập tin thư mục đĩa cứng Trong phần Network Connection Types, bạn mục Home/Work Public tương tự chọn đánh dấu 45 Hình 3.4: Chọn chương trình bạn muốn thêm Khi bạn mua tường lửa phần mềm bạn cần phần mềm có tính bổ sung Đây số tính cần cân nhắc bạn mua hàng Lưu ý số tính liệt kê phần mềm "khuyến mãi" cung cấp với tường lửa Chúng khơng thiết gắn sẵn phần mềm Phần mềm diệt virut: Hiện virus có mặt khắp nơi việc có phần mềm diệt virus có ý nghĩa quan trọng sống Nhiều nhà sản xuất tường lửa cung cấp phần mềm diệt virus Một số chí cung cấp nhiều gói đặc biệt (hoặc giảm giá) bạn mua hai Phầm mềm ngăn chặn cửa sổ bật lên (pop-up): Một phần phiền hà Internet số lượng quảng cáo vơ hạn Có quảng cáo banner (ảnh quảng cáo tĩnh/động trang web), quảng cáo pop-up quảng cáo popunder (cửa sổ bật xuống) Một phần mềm ngăn chặn quảng cáo tốt giảm đáng kể số pop-up khơng mong muốn Chương trình chống gián điệp: Bạn chưa nghe nói trước đây, phần mềm gián điệp phần mềm bắt đầu phát sinh nguy hiểm Internet Một chương trình gián điệp tự nhúng vào máy tính bạn gửi thơng tin cá nhân trở lại nơi xuất phát Nó đơn giản trang web mà bạn ghé 46 thăm, xảo quyệt ghi giao dịch ngân hàng bạn Một gói phần mềm chống gián điệp tốt chẩn đốn gỡ bỏ phần mềm gián điệp từ máy tính bạn 3.2.3 Quản lý sở liệu Hiện tại, Công ty cổ phần cấp nước Sơn Tây sử dụng hệ quản trị CSDL SQL Server với tính như: mã hóa suốt hiệu quả, khả giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL công cụ sách, khả tích hợp với System Center, lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng Tuy hệ quản trị có nhiều chức trội để đảm bảo mục tiêu ATTT, công ty cần quan tâm tới số vấn đề sau:  Tổ chức quản lý tài nguyên Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, tuyệt đối khơng chia sẻ tồn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục nên sử dụng mật để bảo vệ thông tin Bên cạnh việc bảo mật liệu mềm máy tính, cơng ty ln phải ý tới tính an tồn bảo mật liệu cứng như: báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất… Các tài liệu việc bảo quản cẩn thận tủ hồ sơ cơng ty cần lưu để lưu trữ máy chủ CSDL công ty  Tổ chức quản lý tài khoản Các tài khoản định danh người dùng hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thơng tin tháng lần thông qua công cụ hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, công chức, viên chức chuyến công tác, chấm dứt hợp đồng lao động  Thiết lập cấu hình sở liệu an tồn 47 • Ln cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu; • Gỡ bỏ sở liệu khơng sử dụng; • Có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật ký CSDL với nội dung như: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi,  Quản lý đăng nhập hệ thống Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống Hệ thống tự động khóa tài khoản lập tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa (quay số, internet, ), đăng nhập có chức quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật 3.2.4 Nâng cấp hệ thống mạng Đối phó với vấn nạn an toàn liệu nay, giao thức bảo mật sử dụng giải pháp quan trọng hàng đầu Do hầu hết phiên phần mềm dựa vào TCP/IP Microsoft hỗ trợ SSL nên Cơng ty sử dụng giao thức mạng an tồn mà phổ biến Tiếp đến, Cơng ty cần xây dựng lại toàn hệ thống mạng theo mơ hình Client-Server Việc sử dụng mơ hình mạng ngang hàng Peer-to-Peer phòng ban làm nguy ATTT tăng lên Trong mơ hình Client-Server, thành phần xử lý ứng dụng hệ thống Client đưa yêu cầu cho phần mềm sở liệu máy Client, phần mềm kết nối với phần mềm sở liệu chạy Server Phần mềm sở liệu Server truy nhập vào sở liệu gửi trả kết cho máy Client Mơ hình mạng giúp hạn chế lượng thông tin lưu chuyển mạng (thông tin chuyển tới địa yêu cầu), nguy ATTT giảm theo Ngồi ra, để thuận tiện cho nhân viên đơi phải làm việc di động cung cấp thông tin cần thiết cho đối tác, khách hàng, Công ty nên xây dựng hệ thống mạng riêng ảo(VPN) Đây mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với 48 mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Do quy mô công ty không lớn yêu cầu làm việc xa không nhiều nên để tiết kiệm chi phí, cơng ty thiết lập mạng riêng ảo dựa chức sẵn có đực cung cấp hệ điều hành Window 3.2.5 Nâng cao trách nhiệm kiến thức người dùng Trong thời đại phát triển CNTT nay, công ty nên trang bị kiến thức an toàn bảo mật cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an tồn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật CSDL cho cơng ty Cần phải làm rõ điều rằng, nhân viên không copy thơng tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Để thực giải pháp để nâng cao an tồn bảo mật CSDL cho cơng ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Ban lãnh đạo nhân viên công ty nên nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm sốt người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp cơng ty có quy định việc đeo thẻ vào làm việc nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục 49 công ty nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề cơng ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.3 Một số kiến nghị với doanh nghiệp Theo ông Vũ Quốc khánh, Giám đốc VNCERT – Bộ Thông tin Truyền thơng, an ninh bảo mật thơng tin mạng Việt Nam nhiều thách thức, đặc biệt nguồn nhân lực có trình độ (thường phải cao) thiếu trầm trọng, đầu tư cho lĩnh vực nhỏ giọt, nói quan tâm chưa tầm Đảm bảo ATBM HTTT công ty cổ phần Cấp nước Sơn Tây công việc riêng người quản trị HTTT công ty mà tồn nhân viên cơng ty có trách nhiệm bảo vệ thông tin, HTTT tài sản sống doanh nghiệp điều phải xem thành phần văn hóa kinh doanh công ty Dưới số kiến nghị chung nhằm thúc đẩy việc đảm bảo ATBM HTTT: - Đẩy mạnh tuyên truyền nâng cao nhận thức doanh nghiệp ATBM HTTT - Đầu tư phát triển sở hạ tầng - Đào tạo nguồn nhân lực cho ATBM HTTT: Để đẩy mạnh chương trình ATBM HTTT nhu cầu nguồn nhân lực am hiểu CNTT có trình độ chun 50 mơn cần thiết - Cập nhật trang thiết bị phần cứng, phần mềm để thích ứng với giải pháp an tồn bảo mật thơng tin hệ thống mạng doanh nghiệp - Các trang thiết bị công nghệ thông tin phải kiểm tra thường xuyên, khắc phục lỗi trục trặc nhanh chóng kịp thời - Đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động cơng ty Là người trực tiếp tìm hiểu thực nghiên cứu hoạt động kinh doanh công ty cổ phần Cấp nước Sơn Tây, hoạt động an toàn bảo mật thơng tin doanh nghiệp nói riêng, tơi xin đưa vài kiến nghị để giúp doanh nghiệp hồn thiện cơng tác an tồn bảo mật thơng tin Đó là: - Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an tồn việc cần thiết - Mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an toàn bảo mật thông tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chun mơn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện công việc máy có hỗ trợ tin cậy từ phía nhân viên Ngồi ra, để bảo vệ an ninh mạng an tồn thơng tin, doanh nghiệp, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước Ngày quy mô khả lan rộng nguy bảo mật khơng gói gọn quốc gia - Đào tạo nhân lực công ty Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chuyên môn kiến thức 51 an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện công việc máy có hỗ trợ tin cậy từ phía nhân viên Cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật HTTT cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng liệu Kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật HTTT cho cơng ty Đề nghị tăng thêm số lượng nhân viên CNTT, nhân viên CNTT có trình độ đại học phải có kinh nghiệm ATBM HTTT Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng, nghiêm khắc xử lí trường hợp vi phạm 52 KẾT LUẬN Hiện CNTT vào đời sống, vào doanh nghiệp với phương thức hoạt động hoàn toàn mẻ, sáng tạo nhanh chóng, tiết kiệm nhiều thời gian, cơng sức mà khơng xác, làm cho cơng việc thuận lợi phát triển lên nhiều Đặc biệt, đánh dấu bước ngoặt việc áp dụng tin học vào hệ thống quản lý, doanh nghiệp thu thập, xử lý, phổ biến thông tin, cách nhanh chóng, xác có hiệu Bên cạnh cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Tuy nhiên vấn đề mát liệu, liệu bị ăn cắp vấn đề mà công ty tổ chức lo lắng Cho nên việc đảm bảo nâng cao an toàn bảo mật liệu quan tâm hàng đầu Mặc dù vậy, giải pháp an toàn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công HTTT Trong báo cáo, em giải mục tiêu đề mục 1.3 đề tài với giải pháp như: Việc quản trị nâng cao nhận thức cho nhân viên, nâng cao việc lưu trữ mã hoá liệu, sử dụng phần mềm ngăn chặn nguy công liệu, nâng cấp hệ thống máy chủ công ty, nhiên với trình độ thời gian có hạn đề tài chắn nhiều vấn đề thiếu sót Em mong xem xét đóng góp ý kiến của quý thầy cô Mong thời gian tới, công ty làm tốt hoạt động giao dịch thương mại điện tử mình, giúp cho doanh nghiệp ngày phát triển, đủ sức cạnh tranh với nhiều thương hiệu có uy tín ngành Một lần nữa,em xin chân thành cảm ơn quý công ty, cảm ơn thầy Nguyễn Quang Trung giúp đỡ tận tình tạo điều kiện thuận lợi cho em q trình nghiên cứu, hồn thiện khóa luận tốt nghiệp Em xin chân thành cảm ơn! 53 DANH MỤC TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thơng tin quản lí, Trường ĐH Thương Mại [2] Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn bảo mật hệ thống thông tin, Đại học Nha Trang [3] Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê [4] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa [5] Vũ Anh Tuấn, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Thái Nguyên, 2008 [6] Nguyễn Thị Thúy, Luận văn tìm hiểu “Thực trạng bảo mật an tồn mạng Việt Nam giai đoạn 2006- 2009”, Đại học An Giang [7] ThS Nguyễn Tiến Đức (2002),“Tình hình an ninh thông tin Việt Nam tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ thông tin Việt Nam [8] William Stallings, Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 [9] Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results [10] Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons [9] http://netadmin.vnu.edu.vn/ Trung tâm ứng dụng công nghệ thông tin [10] http://capnuocsontay.vn/ Website Công ty cổ phần cấp nước Sơn Tây PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT VIỆC PHÁT HIỆN CÁC LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY THÔNG TIN CHUNG: Tên doanh nghiệp: .……………………………………………… Địa trụ sở chính: ………………………………………………… Thơng tin liên hệ người điền phiếu: Họ tên: Nam/ nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: Địa chỉ: I) Hệ thống thông tin doanh nghiệp Số lượng nhân viên: Vốn điều lệ (VND): Tổng số máy tính: - Tổng số máy chủ: - Tổng số máy để bàn: - Tổng số máy xách tay: Tổng số máy tính có kết nối Internet băng rộng: Tổng số đơn vị trực thuộc tham gia mạng diện rộng doanh nghiệp(nếu có): Các ứng dụng triển khai trụ sở doanh nghiệp: - Quản lý văn điều hành công việc: - Tin học văn phòng: - Quản lý tài - kế toán: - Quản lý nhân - tiền lương: - Quản lý tài sản: - Quản lý kho - vật tư: - Quản lý khách hàng (CRM): - Quản lý nhà cung cấp, đối tác (SCM): - Quản lý hoạch định nguồn lực doanh nghiệp (ERP): - Thư điện tử nội bộ: - Khác (liệt kê chi tiết) : Theo anh/chị cơng ty có áp dụng cơng nghệ thông tin vào hoạt động sản xuất kinh doanh hay khơng? Có Khơng Theo anh/chị phòng ban cơng ty có trang bị đầy đủ máy tính thiết bị cơng nghệ thơng tin phục vụ cho hoạt động sản xuất kinh doanh không? Có Khơng Theo anh/chị cơng ty có quan tâm đầu tư cho việc xây dựng hệ thống thông tin an tồn bảo mật hay khơng? Có Khơng 10 Theo anh/chị, hệ thống thơng tin doanh nghiệp có lỗ hổng bảo mật khơng? Có Khơng 11 Mức độ quan tâm tới vấn đề an toàn bảo mật doanh nghiệp: Rất quan tâm Ít quan tâm Khơng quan tâm Quan tâm Khá quan tâm 12 Hệ thống thông tin doanh nghiệp phụ trách? Phòng CNTT phụ trách Giám đốc phụ trách Th ngồi Khơng có phận phụ trách Một phận khác phụ trách 13 Theo anh/chị hệ thống thơng tin doanh nghiệp an toàn nào? Rất an toàn Khá an tồn An tồn Kém an tồn Khơng an tồn 14 Hệ thống thông tin doanh nghiệp đầu tư trang thiết bị nào? Thường xuyên đầu tư Hiếm đầu tư Thỉnh thoảng đầu tư Không đầu tư 15 Hệ thống thông tin doanh nghiệp bị công hay chưa? Bị cơng nhiều Chưa bị cơng Ít bị cơng Khơng thể bị cơng 16 Theo anh/chị hệ thống thơng tin doanh nghệp có cần bảo vệ an tồn hay khơng? Có Khơng II) Về lỗ hổng phần cứng hệ thống thông tin doanh nghiệp Anh/chị có biết lỗ hổng phần cứng hệ thống thông tin doanh nghiệp? Biết rõ Biết chút Biết Không biết Theo anh/chị doanh nghiệp xảy cố phần cứng làm ảnh hưởng đến hệ thống thông tin doanh nghiệp? Cháy nổ thiết bị phần cứng máy tính Hỏng RAM liệu Thiên tai, bão lũ lụt gây hỏng phần cứng Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần cứng hệ thống thông tin doanh nghiệp hay không? Rất cần Khá cần thiết Cần thiết Khơng cần thiết Ít cần thiết Theo anh/chị lỗ hổng phần cứng gây nguy hiểm đến hệ thống thông tin doanh nghiệp? Rất nguy hiểm Ít nguy hiểm Nguy hiểm Khơng nguy hiểm Khá nguy hiểm III) Về lỗ hổng phần mềm hệ thống thơng tin doanh nghiệp Anh/chị có biết lỗ hổng phần mềm hệ thống thông tin doanh nghiệp? Rất biết Khá biết Biết Không biết Theo anh/chị doanh nghiệp xảy cố phần mềm làm ảnh hưởng đến hệ thống thông tin doanh nghiệp? Không cập nhật phần mềm diệt Virus thường xuyên Phần mềm sử dụng bị lỗi Hệ điều hành máy tính gặp cố Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần mềm hệ thống thông tin doanh nghiệp hay không? Rất cần Ít cần thiết Khá cần thiết Khơng cần thiết Theo anh/chị lỗ hổng phần mềm gây nguy hiểm đến hệ thống thông tin doanh nghiệp? Rất nguy hiểm Ít nguy hiểm Nguy hiểm Không nguy hiểm Khá nguy hiểm IV) Lỗ hổng xuất phát từ yếu tố người Theo anh/chị người có ảnh hưởng đến mức độ an tồn hệ thống thơng tin doanh nghiệp khơng? Có Khơng Theo anh/chị người có tầm quan trọng hệ thống thông tin doanh nghiệp? Rất quan trọng Ít quan trọng Quan trọng Khơng quan trọng Khá quan trọng Tình hình nhân công ty nào? Gia tăng liên tục Không tăng Thỉnh thoảng tăng Sa thải liên tục Theo anh/chị nhân viên cơng ty am hiểu an tồn hệ thống thơng tin doanh nghiệp? Rất am hiểu Ít am hiểu Khơng am hiểu Khá am hiểu Theo anh/chị hoạt động nhân viên gây an tồn thơng tin doanh nghiệp? Sử dụng thiết bị chép khơng an tồn Truy cập trái phép hệ thống thơng tin doanh nghiệp Thói quen sử dụng Webmail (Mail, Yahoo!, Gmail) Hoạt động khác V) Về giải pháp doanh nghiệp vấn đề an toàn bảo mật Theo anh/chị doanh nhiệp có biện pháp để khắc phục lỗ hổng an tồn bảo mật hay khơng? Có Khơng Các giải pháp mà doanh nghiệp đưa để đảm bảo an tồn thơng tin cho hệ thống nào? Rất tốt Khá tốt Tốt Không tốt Vấn đề khác (Phần tùy chọn): Anh/chị có giải pháp hay kiến nghị với doanh nghiệp để đảm bảo an tồn hệ thống thơng tin doanh nghiệp? Anh/chị có đề xuất hay kiến nghị với quan liên quan (nhà nước) để đảm bảo an tồn thơng tin doanh nghiệp? Người điền phiếu ... GIẢI PHÁP ĐẢM BẢO AN TOÀN VÀ BẢO MẬT HTTT CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY 13 PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN CẤP... QUAN VỀ ĐỀ TÀI NGHIÊN CỨU PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CÔNG TY CỔ PHẦN CẤP NƯỚC SƠN TÂY PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI... tin, bảo vệ sống doanh nghiệp Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: Một số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin Công ty cổ phần cấp nước Sơn Tây