1 MỤC LỤC 1 2 LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn Th.SNguyễn Quang Trung hướng dẫn tận tình, bảo em suốt thời gian thực đề tài để em hồn thành Khóa luận tốt nghiệp với đề tài: “Một số giải pháp nhằm nâng cao an tồn thơng tin cho cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT” Em xin bày tỏ lòng cảm ơn sâu sắc tới thầy cô giáo, đặc biệt Khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử giảng dạy em suốt bốn năm ngồi ghế giảng đường trường Đại học Thương Mại, giúp em trang bị kiến thức để làm tốt đề tài khóa luận vững bước vào tương lai Em xin gửi lòng biết ơn sâu sắc đến quý Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT, ban lãnh đạo Cơng ty tồn thể nhân viên Công ty tạo điều kiện cho em tìm hiểu, nghiên cứu suốt trình thực tập Cơng ty để em hồn thành khóa luận tốt nghiệp Mặc dù cố gắng hoàn thành luận văn với tất nỗ lực thân, thời gian nghiên cứu hạn hẹp, trình độ khả thân hạn chế Vì vậy, khóa luận chắn khơng tránh khỏi thiếu sót, kính mong thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế tận tình bảo để em hoàn thiện Em xin chân thành cảm ơn! Sinh viên thực Trịnh Xuân Hiếu 3 DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt ATBM ATTT CAND CNTT CSDL HTTT KH PV SET SPSS SSL TLS TMĐT TNHH Thuật ngữ Secure Electronic Transaction Statistical Package for Social Sciences Secure Sockets Layer Transport Layer Security Giải nghĩa An tồn bảo mật An tồn thơng tin Cơng an nhân dân Công nghệ thông tin Cơ sở liệu Hệ thống thơng tin Khách hàng Phỏng vấn An tồn giao dịch điện tử Gói thống kê khoa học xã hội Giao thức an ninh thông tin mạng An ninh tầng giao vận Thương mại điện tử Trách nhiệm hữu hạn 4 DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Bảng 1.1: Kết kinh doanh ba năm gần từ năm 2014-2016 Bảng 1.2: Thống kê sơ trang thiết bị 5 CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa đề tài Thông tin liệu tài sản vô quý giá cần thiết lĩnh vực nào, từ quân kinh tế, từ tổ chức cá nhân, việc nắm bắt thông tin, liệu cách nhanh chóng kịp thời giúp cá nhân tổ chức đưa cách giải đắn, giúp họ đứng vững phát triển trước thay đổi xã hội Ngày nay, với phát triển CNTT, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp người đến gần Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thơng tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Vì vậy, trình quản lý quan, công ty phải thấy rõ tầm quan trọng HTTT Nó khơng giúp cơng ty đáp ứng nhu cầu khách hàng mà nâng cao lực sản xuất, giúp cho cơng ty có đủ sức cạnh tranh với thị trường ngồi nước Có thể coi HTTT thành phần quan trọng cơng ty, định hoạt động hàng ngày công ty Nhưng tầm quan trọng mà HTTT bị an tồn gây thiệt hại nặng nề cho cơng ty ví dụ việc tin tặc cơng vào hệ thống phát hình hiển thị thông tin chuyến bay sân bay Nội Bài, Tân Sơn Nhất vào chiều 29-7-2016, hiển thị nội dung kích động, xun tạc biển Đơng Cũng thời điểm này, trang web hãng hàng không Vietnam Airlines bị thay đổi nội dung, làm rò rỉ thông tin 400.000 khách hàng thân thiết Sự cố khơng gây ảnh hưởng đến hệ thống kiểm sốt an toàn bay khiến 100 chuyến bay bị ảnh hưởng Cũng tháng 8-2016, vụ khách hàng Na Hương bị tin tặc rút 500 triệu đồng tài khoản Vietcombank mà không cần mã xác thực OTP gửi điện thoại gây xôn xao cộng đồng mạng Nguyên nhân ban đầu xác định người dùng truy cập nhầm vào trang web giả mạo có giao diện giống hệt Vietcombank bị đánh cắp thông tin Các đối tượng lừa đảo chuyển tiền từ tài khoản khách hàng tới nhiều tài khoản trung gian ba ngân hàng khác Việt Nam Sau tiến hành rút 200 triệu đồng qua ATM Malaysia Bằng biện 6 pháp nghiệp vụ, Vietcombank kịp thời giữ lại 300 triệu đồng Chính vậy, cần có giải pháp để nâng cao an tồn bảo mật cho HTTT cơng ty Cơng tyTNHH Thương Mại Xuất Nhập Khẩu ADT chuyên cung cấp sản phẩm rượu vang phụ kiện kết hợp với rượu Cơng ty chưa có ý định tiến sâu vào thị trường thương mại điện tử chủ yếu kinh doanh phương pháp truyền thống nên chưa có đầu tư mức cho vấn đề ATBM HTTTcủa Việc thu thập, xử lý sử dụng thơng tin cơng ty rời rạc, tính qn chưa cao Do qua q trình tìm hiểu thực tập cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT em xin thực đề tài khoá luận: “ Một số giải pháp nhằm nâng cao an tồn thơng tin cho cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT” 1.2 Tổng quan vấn đề nghiên cứu An toàn bảo mật HTTT khơng phải vấn đề mới, có nhiều cơng trình, nghiên cứu chun sâu vấn đề Tuy nhiên, cơng trình nghiên cứu khía - cạnh riêng hệ thống thông tin, thương mại điện tử, … + Nước ngoài: William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall [1] Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Tiến hành kiểm tra an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phép người đọc dễ dàng nắm bắt yếu tố cần thiết AES Các tính năng, thuật tốn, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hố chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật phần - mềm độc hại kẻ xâm hại Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons [2] Cuốn sách viết để phản ánh vai trò trung tâm hoạt động, nguyên tắc , thuật toán giao thức bảo mật Internet Đưa biện pháp khắc phục mối đe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việc đảm bảo an ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng Tồn vẹn thơng điệp cần thiết liệu bị thay đổi kẻ 7 công thông qua đường truyền Internet Các tài liệu sách trình bày lý thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật - Internet + Trong nước Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống Kê [3] Giáo trình đưa vấn đề liên quan đến an toàn liệu TMĐT khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy mát liệu, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an tồn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh vận dụng thuận - lợi cơng việc hàng ngày Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa [4] Luận văn đưa số công cụ phương pháp nhằm đảm bảo an tồn thơng tin TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu luận văn dừng lại việc đảm bảo an tồn thơng tin TMĐT khơng bao qt tồn vấn đề ATTT nói - chung sâu vào doanh nghiệp cụ thể Ngày 2/3/2015, công ty Open Whisper Systems thông báo phát hành phiên 2.0 ứng dụng Signal iOS Điều đặc biệt phiên cho phép người dùng gửi tin nhắn mã hóa thiết bị đầu cuối cách miễn phí tới người dùng Redphone TextSecure (các ứng dụng Android mà Open Whisper Systems hỗ trợ, thực việc mã hóa gọi tin nhắn) [5] Trước đây, dịch vụ nhắn tin bảo mật tảng khác thường bị tính phí theo tháng người dùng hai đầu (gửi nhận) phải trả tiền Signal TextSecure độc đáo chỗ chúng dùng tính mã hóa chuyển tiếp: sinh khóa tạm thời cho thơng điệp, đồng thời cho phép gửi thông điệp không đồng thông qua chế đẩy notification "prekeys" Signal cho phép người dùng 8 bật tính bảo mật hình để ngăn iOS chụp ảnh hình ứng dụng hoạt động Open Whisper Systems mở đường cho ứng dụng bảo vệ tính riêng tư cách tạo giao diện cho người khơng biết nhiều mã hóa sử dụng chúng Ngồi ra, họ chuyển ứng dụng thành dạng nguồn mở để chuyên gia thẩm định ứng dụng nhắn tin khác sử dụng lại Tháng 11/2014, phần mềm Whatsapp triển khai giao thức Open Whisper Systems cho 500 triệu người dùng hãng Tuy nhiên, việc giao tiếp với người dùng iOS từ điện thoại Android thách thức lớn Việc mã hóa tin nhắn gọi đặc biệt quan tâm thời gian gần đây, sau The Intercept công bố thông tin Edward Snowden tiết lộ việc NSA GCHQ đánh cắp hàng triệu khóa mã hóa thẻ SIM Gemalto – nhà sản xuất SIM hàng đầu giới Thành công: Đã đưa vấn đề liên quan đến: Khái niệm , mục tiêu, yêu cầu an tồn thơng tin, nguy gây an tồn thơng tin, hình thức cơng Bên cạnh đó, đề tài đề cập đến phương pháp phòng tránh cơng gây an tồn thơng tin biện pháp khắc phục hậu thông dụng, phổ biến Tồn tại:Các đề tài chủ yếu sâu nghiên cứu an toàn liệu Thương mại điện tử, hệ thống mạng website Vẫn chưa sâu nghiên cứu nguy an toàn HTTT, liên quan đến người ( nhà quản trị mạng, nhân viên công nghệ thông tin )… Khẳng định đề tài: “Một số giải pháp nhằm nâng cao an tồn thơng tin cho cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT” không trùng lặp với đề tài nghiên cứu 1.3 Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu đề tài tập hợp hệ thống hoá số lý thuyết an toàn bảo mật HTTT, nghiên cứu phương pháp khác thu thập sở liệu sơ cấp thứ cấp Từ đó, xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật HTTT để đưa ưu nhược điểm Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an tồn bảo mật HTTT Giúp cho công ty nhận diện nguy thách thức 9 vấn đề an toàn bảo mật HTTT Từ đó, có giải pháp nâng cao tính an tồn bảo mật, ngăn chặn nguy cơng HTTT tương lai Các mục tiêu cụ thể cần giải đề tài: - Làm rõ sở lý luận an toàn bảo mật HTTT công ty TNHH Thương Mại Xuất Nhập Khẩu ADT - Đánh giá thực trạng an toàn bảo mật HTTT công ty TNHH Thương Mại Xuất Nhập Khẩu ADT dựa tài liệu thu thập - Trên sở lý luận thực trạng đề giải pháp nâng cao an toàn bảo mật HTTT công ty TNHH Thương Mại Xuất Nhập Khẩu ADT 1.4 Đối tượng phạm vi nghiên cứu đề tài - Đối tượng đề tài vấn đề an tồn bảo mật thơng tin cho cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT Các giải pháp công nghệ giải pháp người để đảm bảo ATBM HTTT công ty - HTTT công ty Các sách phát triển đảm bảo ATBMthơng tin công ty Các giải pháp ATBM giới áp dụng cho HTTT công ty Là đề tài nghiên cứu luận văn sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn công ty giới hạn khoảng thời gian ngắn hạn Cụ thể: - Về không gian: Đề tài tập trung nghiên cứu tình hình an tồn bảo mật HTTT cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT nhằm đưa số giải pháp nâng cao an toàn bảo mật HTTT - Về thời gian: Các hoạt động ATBM HTTT công ty thông qua báo cáo kinh doanh, số liệu khảo sát từ năm 2014 năm 2016, đồng thời trình bày nhóm giải pháp, định hướng phát triển tương lai công ty 10 10 1.5 Phương pháp nghiên cứu đề tài 1.5.1 Các phương pháp sử dụng đề tài khoá luận 1.5.1.1 Phương pháp thu thập liệu Việc thu thập liệu công việc trình nghiên cứu Phương pháp thu thập liệu cách thức thu thập liệu phân loại sơ tài liệu chứa đựng thông tin liên quan tới đối tượng nghiên cứu đề tài thực Phương pháp sử dụng phiếu điều tra: - Nội dung: Bảng câu hỏi gồm câu hỏi, câu hỏi xoay quanh hoạt động đảm bảo ATBM HTTT triển khai hiệu hoạt động công ty TNHH Thương Mại Xuất NHập Khẩu ADT - Cách thức tiến hành: Bảng câu hỏi phát cho 10 nhân viên công ty để thu thập ý kiến - Mục đích: Nhằm thu thập thơng tin hoạt động ATBM HTTT cơng ty để từ đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu hoạt động đảm bảo ATBM HTTT công ty TNHH Thương Mại Xuất Nhập Khẩu ADT Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cấp thông tin thu thập xử lý trước mục tiêu khác công ty - Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh cơng ty vòng năm: 2014, 2015, 2016 thu thập từ phòng hành chính, phòng kế tốn, phòng nhân công ty, từ phiếu điều tra vấn tài liệu thống kê khác - Nguồn tài liệu bên ngồi: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan tới đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thông tin cần thiết ta tiến hành phân loại sơ tài liệu Từ rút kết luận có cần thêm tài liệu bổ sung vào, đủ tiến hành bước xử lý liệu Phương pháp sử dụng cho chương khoá luận để thu thập liệu liên quan đến vấn đề an tồn bảo mật cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT 29 29 (6) Tần suất lưu liệu? Biểu đồ 2.6 Tần suất lưu liệu Công ty Ở câu hỏi thứ sáu: “Tần suất lưu liệu Công ty?” phần lớn ý kiến cho liệu công ty lưu từ đến tháng lần Với tần suất lưu vậy, có gặp cố ATTT mức độ thiệt hại giảm bớt thơng tin khơng bị nhiều (7) Tầm quan trọng công tác ATTT công ty? Biểu đồ 2.7 Nhận thức tầm quan trọng ATTT Ở câu hỏi thứ bảy: “Nhận thức tầm quan trọng ATTT?” kết cho thấy phần lớn nhân viên Công ty ý thức tầm quan trọng vấn đề ATTT Đây lợi cho công ty mà nhân viên ý thức việc bảo mật thông tin cho Công ty 30 30 (8) Trở ngại phát triển ATTT công ty Biểu đồ 2.8 Trở ngại phát triển ATTT Công ty Ở câu hỏi cuối “Trở ngại phát triển ATTT Công ty?”, ý kiến tập trung vào trở ngại “nguồn nhân lực” Bởi nhận thức ATTT nhân viên chưa cao nên khó đạt mục tiêu an toàn cho hệ thống 2.2.3 Đánh giá thực trạngan tồn bảo mật thơng tin cơng ty Qua q trình thu thập phân tích kết điều tra, đưa nhận xét tình hình đảm bảo ATTT Cơng ty TNHH Thương Mại Xuất NHập Khẩu ADT:  Điểm mạnh • Các thiết bị phần cứng trang bị sở hạ tầng CNTT tình trạng mới, hoạt động tốt ổn định Đây khởi đầu tốt cho kế hoạch xây • dựng hệ thống đảm bảo ATTT cho Công ty Các phần mềm ứng dụng phần mềm có quyền Việc mua quyền phần mềm giúp tránh rủi ro từ việc tải phần mềm miễn phí (có kèm theo virus, mã độc…) đồng thời thường xuyên cập nhật thông tin nguy ATTT, cập nhật vá lỗi nhà sản xuất • Hệ thống phân quyền người sử dụng giúp làm giảm bớt tiếp xúc thông tin với mơi trường ngồi, làm tăng tính bảo mật thơng tin • Cơ chế lưu liệu thường xuyên giúp Công ty hạn chế tối thiểu tổn thất thông tin gặp phải cố hỏng hóc hay bị sửa đổi, bị xóa • Phần lớn nhân viên ban lãnh đạo Công ty nhận thức tầm quan trọng ATTT hoạt động kinh doanh phát triển Công ty • Cơng ty thành lập với đội ngũ nhân viên trẻ, nhiệt huyết dễ dàng tiếp thu nên đào tạo họ nắm bắt vấn đề nhanh chóng  Điểm yếu • Cơng ty chưa có đầu tư thỏa đáng cho hạ tầng CNTT (các thiết bị, phần mềm bảo • mật) tảng quan trọng cho vấn đề an ninh thông tin Kiến thức ATTT nhân viên Công ty chưa cao, dẫn đến nhiều nguy ATTT cơng ty • Các hình thức bảo đảm an tồn bảo mật thơng tin, liệu Cơng ty q sơ • sài, chưa đủ để đảm bảo mục tiêu an toàn bảo mật hệ thống Hình thức giao dịch chủ yếu Cơng ty giao dịch truyền thống Hình thức vừa tốn thời gian, chi phí vừa khó đảm bảo an tồn thơng tin cho Cơng ty đối tác 31 31 Thực trạng vấn đề an ninh thông tin Công ty TNHH Thương Mại Xuất NHập Khẩu ADT phân tích, đánh giá cho thấy việc đảm bảo ATTT vấn đề quan trọng hoạt động Công ty 32 32 CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO AN TỒN THƠNG TIN CHO CƠNG TY TNHH THƯƠNG MẠI VÀ XUẤT NHẬP KHẨU ADT 3.1 Định hướng phát triển nâng cao an tồn thơng tin cho cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT Ở nước ta, khoảng mười năm trở lại cơng nghệ thơng tin khơng xa lạ, ngày ứng dụng rộng rãi nhiều lĩnh vực đời sống xã hội, đặc biệt lĩnh vực quản lý Ra đời phát triển bối cảnh đó, Cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT cần phải xác định bước đắn việc ứng dụng CNTT để theo kịp bước phát triển vượt bậc xã hội Trong thời gian tới, Công ty định hướng tập trung phát triển lĩnh vực kinh doanh nhằm: - Đẩy mạnh tiếp thị, tìm kiếm hợp đồng lớn - Tìm kiếm số đối tác chiến lược lớn, mở rộng phạm vi phục vụ tới thị trường nước lân cận - Mở rộng quy mô công ty năm tới, xây dựng thêm chi nhánh hoạt động địa bàn khác - Mức tăng trưởng hàng năm đạt từ 25%-30% so với kì Cơng ty định hướng phát triển HTTT với mục tiêu cụ thể: - Đảm bảo tính ATBM thơng tin, liệu hệ thống: thông tin khách hàng, thông tin đối tác, thông tin hoạt động nội công ty,… nhằm làm tăng khả cạnh tranh uy tín cơng ty thị trường Dựa định hướng ban lãnh đạo Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT, khóa luận đưa số giải pháp nhằm hướng tới mục tiêu mà công ty đề 3.2 Đề xuất giải pháp đảm bảo an tồn thơng tin cho Cơng ty 3.2.1 Giải pháp nâng cấp thiệt bị phần cứng Hầu hết công ty vừa nhỏ Việt Nam chưa ý tới bảo mật, mạng kết nối Internet cơng ty thả nhân viên tự truy cập Internet mà khơng bị kiểm sốt Bên cạnh rủi ro thất thơng tin, Internet lấy nhiều tiền bạc công ty làm việc nhân viên lại 33 33 tâm vào đọc báo điện tử, chơi game, download, facebook, twitter…thay làm việc Bên cạnh Internet thường xun gây tình trạng ngưng trệ cơng việc máy tính bị nhiễm virus, phần mềm độc… Để tránh tình trạng này, Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT nên triển khai thiết bị bảo mật "cisco RV016 " cisco : Hình 3.1 Cisco RV016 Multi-WAN VPN Router Với chức năng: • An ninh mạnh: Cung cấp khả kiểm tra trạng thái gói tin (SPI) tường lửa mã hóa phần cứng; • Công suất cao, hiệu suất cao khả IPsec VPN; • Web dịch vụ bảo mật dựa đám mây Tùy chọn Cisco ProtectLink cung cấp lọc URL động bảo vệ mối đe dọa web; • Tường lửa SPI, từ chối dịch vụ (DoS), bóng chết, lũ lụt SYN, công mặt đất, IP giả mạo, thông báo qua email cho hacker cơng; • Quy tắc truy cập : Lên đến 50 mục; • Cổng chuyển tiếp :Lên đến 30 mục; • Cổng kích hoạt : Lên đến 30 mục; • Ngăn chặn: Java, cookies, ActiveX, HTTP proxy; • Lọc nội dung : Chặn URL tĩnh chặn từ khóa; • Lọc web: Tùy chọn dịch vụ Web bảo mật dựa đám mây Cisco ProtectLink; • Quản lý an tồn: HTTPS, tên người dùng / mật khẩu, mật phức tạp; • VPN: khả kết nối chi nhánh người dùng xa tới trụ sở 34 34 Hình 3.2 Cấu hình điển hình Với quy mơ Cơng ty coi sản phẩm thiết bị bảo mật toàn diện với chi phù hợp phù hợp với thực trạng Công ty cổ phần công nghệ y dược Hà Nội 3.2.2 Giải pháp nâng cấp thiết bị phần mềm a) Phần mềm mã hóa Mã hóa liệu cách mà người dùng thường sử dụng để bảo vệ thơng tin máy tính Người sử dụng cần tiến hành mã hóa thơng tin, liệu quan trọng mà khơng muốn người dùng khác đọc Phần mềm mã hóa Cơng ty nên sử dụng GiliSoft File Lock Pro chức nưng trội: • Ẩn liệu: GiliSoft File Lock Pro ẩn tập tin, thư mục cá nhân ổ đĩa bạn, làm cho chúng trở nên “hồn tồn vơ hình” người dùng chương trình • Khóa liệu: Bảo vệ tập tin/thư mục/ổ đĩa bị khóa khơng bị truy cập Người dùng mở, đọc, chỉnh sửa, di chuyển, xóa, chép, đổi tên tập 35 35 tin/thư mục bảo vệ mà không cần mật Các tập tin thư mục thư mục bị khóa bảo vệ • Mã hóa liệu: Chương trình mã hóa tập tin thư mục • Mã hóa di động: Gói mã hóa thư mục thành file thực thi (exe file) với thuật toán mã hóa AES Bạn mã hóa liệu quan trọng phương pháp này, sau gửi qua mạng phương tiện khác để sử dụng máy tính mà khơng cần Gili File Lock Pro • Xóa an tồn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn liệu nhạy cảm từ ổ đĩa cứng bạn cách ghi đè lên nhiều lần với mẫu lựa chọn cẩn thận Khơng phục hồi liệu bị xóa từ ổ đĩa cứng bạn bạn xóa an tồn b) Phần mềm bảo mật Triển khai phần mềm bảo mật với tính chống virus, mã độc, thư rác máy chủ, thiết bị di động mạng để phát hiện, loại trừ đoạn mã độc hại (Virus, trojan, worms, ) hỗ trợ người sử dụng cài đặt phần mềm máy trạm Thường xuyên cập nhật phiên (Version) mới, vá lỗi phần mềm chống virus để bảo đảm chương trình quét virus công ty máy chủ máy trạm cập nhật nhất, thiết lập chế độ qt thường xun tuần Cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT sử dụng sản phẩm Bitdefender SBS Security cho Server máy lưu trữ liệu phòng ban Bitdefender SBS Security số tính đặc biệt như: • Kiểm sốt truy cập web ứng dụng Giúp trì hiệu suất làm việc nhân viên Cơng ty kiểm sốt người sử dụng mạng xã hội trang web chơi game làm việc, hạn chế tải tập tin, quản lý Internet truy cập ứng dụng nhân viên Báo cáo chi tiết việc sử dụng mạng máy tính nhanh chóng dễ dàng • Bảo vệ thời gian thực cho hoạt động kinh doanh Là giải pháp bảo vệ đủ mạnh để đáp ứng nhu cầu bảo mật cho hoạt động kinh doanh công ty Có thể chọn cơng ty nên chép dự phòng liệu kinh doanh có giá trị, thơng tin nhạy cảm lưu trữ chuyển giao an toàn tập tin mã hóa, mật bảo vệ, chạy tiện ích quản lý 36 36 mật tạo Và sử dụng công nghệ tiên tiến để liệu nhạy cảm phục hồi lại xóa • Bảo vệ thời gian thực khỏi mối đe dọa từ Internet Với sở liệu phần mềm độc hại mạnh mẽ, cập nhật thường xuyên khả bảo vệ thời gian thực, điều có giá trị lớn việc bảo vệ an toàn liệu cho doanh nghiệp xuất mối đe dọa Có thể ẩn q trình qt để khơng làm phiền nhân viên trình làm việc, giúp họ tập trung vào công việc đạt hiệu tốt • Quản lý bảo mật tập trung cho máy chủ máy trạm bạn Giao diện mạnh mẽ đơn giản giúp bảo vệ hệ thống mạng công ty cách đơn giản Có thể quản lý thiết lập bảo vệ toàn hệ thống từ máy tính, cho phép thực quét virus lưu, kiểm tra gia hạn quyền cần • Dễ dàng sử dụng Bitdefender SBS Security thiết kế đặc biệt để cung cấp tính bảo vệ hàng đầu giới cho mạng Công ty mà không cần đến chuyên viên IT Vì hệ thống mạng Công ty bảo vệ mà không cần phải tốn thời gian Bitdefender SBS Security cung cấp bảo vệ tự động thời gian thực giúp máy tính chống lại hàng lọat mối đe dọa tiềm tàng giới số: • Bảo vệ thời gian thực giúp máy tính chống lại virus phần mềm gián điệp • Quét email website phát mã độc • Bảo vệ thơng tin tài khỏan bạn nơi lúc • Quét tìm lỗ hổng bảo mật cố vấn cách khắc phục 3.2.3 Giải pháp sở liệu Hiện tại, Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT sử dụng hệ quản trị CSDL SQL Server với tính như: mã hóa suốt hiệu quả, khả giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL công cụ sách, khả tích hợp với System Center, lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng Tuy hệ quản trị có nhiều chức trội để đảm bảo mục tiêu ATTT, công ty cần quan tâm tới số vấn đề sau:  Tổ chức quản lý tài nguyên 37 37 Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, tuyệt đối không chia sẻ toàn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục nên sử dụng mật để bảo vệ thông tin Bên cạnh việc bảo mật liệu mềm máy tính, cơng ty ln phải ý tới tính an toàn bảo mật liệu cứng như: báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất… Các tài liệu việc bảo quản cẩn thận tủ hồ sơ cơng ty cần lưu để lưu trữ máy chủ CSDL công ty  Tổ chức quản lý tài khoản Các tài khoản định danh người dùng hệ thống thơng tin, bao gồm: tạo mới, kích hoạt, sửa đổi loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thông tin tháng lần thơng qua công cụ hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, công chức, viên chức chuyến công tác, chấm dứt hợp đồng lao động  Thiết lập cấu hình sở liệu an tồn • Luôn cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu; • Gỡ bỏ sở liệu khơng sử dụng; • Có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật ký CSDL với nội dung như: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi,  Quản lý đăng nhập hệ thống Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống Hệ thống tự động khóa tài khoản cô lập tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa (quay số, internet, ), đăng nhập có chức quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật 38 38 3.2.4 Giải pháp hệ thống mạng Đối phó với vấn nạn an tồn liệu nay, giao thức bảo mật sử dụng giải pháp quan trọng hàng đầu Do hầu hết phiên phần mềm dựa vào TCP/IP Microsoft hỗ trợ SSL nên Công ty sử dụng giao thức mạng an tồn mà phổ biến Tiếp đến, Công ty cần xây dựng lại tồn hệ thống mạng theo mơ hình ClientServer Việc sử dụng mơ hình mạng ngang hàng Peer-to-Peer phòng ban làm nguy ATTT tăng lên Trong mơ hình Client-Server, thành phần xử lý ứng dụng hệ thống Client đưa yêu cầu cho phần mềm sở liệu máy Client, phần mềm kết nối với phần mềm sở liệu chạy Server Phần mềm sở liệu Server truy nhập vào sở liệu gửi trả kết cho máy Client Mơ hình mạng giúp hạn chế lượng thông tin lưu chuyển mạng (thông tin chuyển tới địa yêu cầu), nguy ATTT giảm theo Ngoài ra, để thuận tiện cho nhân viên phải làm việc di động cung cấp thông tin cần thiết cho đối tác, khách hàng, Công ty nên xây dựng hệ thống mạng riêng ảo(VPN) Đây mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Do quy mô công ty không lớn yêu cầu làm việc xa không nhiều nên để tiết kiệm chi phí, cơng ty thiết lập mạng riêng ảo dựa chức sẵn có đực cung cấp hệ điều hành Window 3.2.5 Giải pháp đào tạo nhân lực Do trình độ hiểu biết ATTT nhân viên yếu kém, đó, Cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT cần có kế hoạch đào tạo, nâng cao hiểu biết ATTT cho nhân viên Công ty nên chọn nhân viên tiêu biểu để đưa đào tạo chuyên sâu ATTT, đồng thời mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên Công ty 39 39 Mặt khác, Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATTT Cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng Tất thông tin khách hàng, đối tác hay thông tin nội cơng ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính khơng mang khỏi công ty Giáo dục đạo đức cho nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên Ngồi Cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT cần ý tới giải pháp ATTT giao dịch TMĐT như: an toàn chứng thực điện tử, an toàn thư tín điện tử, an tồn mạng riêng ảo, Firewall, Honeypot hệ thống phát xâm nhập, kĩ thuật thăm dò… 3.3 Một số kiến nghị với Cơng ty TNHH Thương Mại Xuất Nhập Khẩu ADT • Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an tồn việc cần thiết • Mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên Công ty, cần thúc đẩy trang bị thêm kiến thức ATBMTT cho nhân viên gửi đào tạo website, Công ty lớn Một mặt Công ty cần mở đợt tuyển dụng nhân viên đào tạo chuyên môn kiến thức ATBMTT sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho Công ty, tạo thuận tiện công việc máy có hỗ trợ tin cậy từ phía nhân viên Ngồi ra, để bảo vệ an ninh mạng an tồn thơng tin, Công ty, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước Ngày quy mô khả lan rộng nguy bảo mật khơng gói gọn quốc gia 40 40 KẾT LUẬN Hiện nay, vấn đề an tồn bảo mật hệ thống thơng tin vấn đề nhức nhối cơng ty Càng ngày hình thức cơng vào hệ thống ngày tinh vi, đại, nguy hiểm có quy mơ lớn An tồn hệ thống bị đe dọa nguy cơng ln tiềm ẩn bên ngồi hệ thống.Chỉ sai lầm nhỏ dẫn đến hậu khơn lường.Vì an tồn thơng tin đóng vai trò quan trọng cần quan tâm lớn từ phía cơng ty Việc thường xun cập nhật cơng nghệ có sách đầu tư đắn dài vào an toàn bảo mật làm cho hệ thống trở nên an toàn vững từ hệ thống hoạt động tốt đẩy mạnh hiệu công việc Các âm mưu công luôn đe dọa, nguy hiểm táo bạo Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT nhận thức nguy hiểm hậu phải nhận bị công vào hệ thống Cơng ty có sách đầu tư vào an toàn bảo mật cho hệ thống Sau tháng tìm hiểu, nghiên cứu thực tập Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT, phương pháp sử dụng phiếu khảo sát, vấn trực tiếp xử lý kết phần mềm Excel, em tìm hiểu thực trạng ứng dụng cơng nghệ thơng tin an tồn bảo mật hệ thống thông tin kinh tế cơng ty Và từ đó, đưa số giải pháp để nâng cao tính an tồn bảo mật cho HTTT Công ty Mặc dù em có nhiều cố gắng điều kiện thời gian có hạn hạn chế kiến thức thân nên trình thực đề tài khơng tránh khỏi sai sót Do đó, em mong thầy giáo nhận xét đóng góp ý kiến để khóa luận hoàn thiện 41 41 DANH MỤC TÀI LIỆU THAM KHẢO [4] Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật an tồn thơng tin thương mại điện tử”, Đại học Bách Khoa [3] Đàm Gia Mạnh (2009), ‘Giáo trình an tồn liệu thương mại điện tử’, NXB Thống Kê Hà Nội [5] Nguyễn Anh Tuấn (theo Ars Technica) (2015), ‘Ứng dụng mã hóa miễn phí tin nhắn gọi từ iPhone tới Android’, Tạp Chí An Tồn Thơng Tin, truy cập ngày 27 tháng 03 năm 2015, http://antoanthongtin.vn/Detail.aspx?CatID=49742ca8-08cd4a2a-acfa-1f757ff2dcc9&NewsID=65d4be45-d7ce-428b-a595-8f5e11e2eabe [2] Man Young Rhee (2003), Internet Security, Cryptographic principles, algorithms and protocols John Wiley & Sons [1] William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall [6] http://antoanthongtin.vn/ Tạp Chí An Tồn Thơng Tin [7] https://www.adtwine.vnWebsite Công ty TNHH Thương Mại Xuất Nhập Khẩu ADT 42 42 PHỤ LỤC PHIẾU ĐIỀU TRA Nhằm mục đích tìm hiểu thực trạng ATTT Cơng ty, tơi thực phiếu điều tra này, mong nhận đóng góp nhiệt tình anh (chị) Các hình thức giao dịch chủ yếu khách hàng với Công ty? A Email B Điện thoại C Giao dịch trực tiếp D Tất A B C D A B C D A B C D Mức độ trang bị thiết bị phần cứng bảo mật Cơng ty? Khá đầy đủ Còn thiếu Hồn tồn chưa có Khơng rõ Cách thức đảm bảo ATTT sử dụngtrong Công ty? Phần mềm diệt virus Phần mềm mã hóa Mạng riêng ảo (VPN) Các giao thức SSL hay SET, TLS Cách thức bảo vệ CSDL sử dụng Công ty? Phân quyền ngừi sử dụng Mã hóa tài liệu Đặt password cho máy tính tài liệu Tất cách Trình độ hiểu biết anh (chị) ATTT? A Có hiểu biết A B A B C D A B C D A B C Hiểu biết đôi chút Không hiểu biết Tần suất lưu liệu? tháng lần tháng lần tháng lần Lâu Tầm quan trọng công tác bảo mật thông tin khách hàng Công ty? Rất quan trọng Quan trọng Bình thường Khơng quan trọng Trở ngại phát triển ATTT ? Nguồn nhân lực Nguồn lực tài Cơ sở hạ tầng CNTT 43 43 D Tất Xin vui lòng cho biết: Họ tên người điều tra Vị tí cơng tác Điện thoại Email Ngày….tháng….năm 2017 Người khai ký tên ... xuất giải pháp nâng cao hiệu ATBM thông tin HTTT công ty TNHH Thương Mại Xuất Nhập Khẩu ADT 12 12 CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TỒN THƠNG TIN CỦA CƠNG TY TNHH THƯƠNG MẠI VÀ XUẤT NHẬP... dụng thông tin công ty rời rạc, tính qn chưa cao Do qua q trình tìm hiểu thực tập công ty TNHH Thương Mại Xuất Nhập Khẩu ADT em xin thực đề tài khoá luận: “ Một số giải pháp nhằm nâng cao an tồn... đề an tồn bảo mật thơng tin cho công ty TNHH Thương Mại Xuất Nhập Khẩu ADT Các giải pháp công nghệ giải pháp người để đảm bảo ATBM HTTT công ty - HTTT cơng ty Các sách phát triển đảm bảo ATBMthông