luận văn hệ thống thông tin kinh tế giải pháp đảm bảo an toàn cho hệ thống thông tin của công ty cổ phần trung thành việt nam

triển vững mạnh của công ty trong tương lai tuy nhiên, công ty vẫn chưa có sự đầutư đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin ATBM HTTT của mình.Việc thu thập, xử lý và sử d

LỜI CẢM ƠN

Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhậnđược sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Lê Việt Hà, cùng sựgiúp đỡ của ban giám đốc và toàn thể nhân viên Công ty Cổ phần Trung Thành ViệtNam

Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Lê Việt Hà – Giáo

viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóaluận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác

Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như cácanh/chị làm việc tại Công ty Cổ phần Trung Thành Việt Nam vì sự quan tâm, ủng

hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu

Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống ThôngTin Kinh Tế và Thương Mại Điện Tử về sự động viên khích lệ mà em đã nhận đượctrong suốt quá trình học tập và hoàn thành khóa luận này

Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu

về vấn đề này còn nhiều giới hạn Mặt khác, thời gian nghiên cứu khóa luận khá hạnhẹp, trình độ và khả năng của bản thân em còn hạn chế Vì vậy, khóa luận chắc chắn

sẽ gặp phải nhiều sai sót Em kính mong cô giáo Lê Việt Hà , các thầy cô giáo trongkhoa Hệ Thống Thông Tin Kinh Tế và Thương Mại Điện Tử, các anh/chị nhân viêntrong Công ty Cổ phần Trung Thành Việt Nam góp ý, chỉ bảo để khóa luận có giátrị cả về lý luận và thực tiễn

Em xin chân thành cảm ơn!

MỤC LỤC

LỜI CẢM ƠN i

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iv

DANH MỤC TỪ VIẾT TẮT v

PHẦN MỞ ĐẦU 1

1 Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp 1

2 Mục tiêu nghiên cứu của đề tài 2

3 Đối tượng và phạm vi nghiên cứu của đề tài 2

3.1 Đối tượng nghiên cứu 2

3.2 Phạm vi nghiên cứu 3

4 Phương pháp nghiên cứu 3

4.1 Phương pháp thu thập dữ liệu 3

4.2 Phương pháp xử lý dữ liệu 3

5 Kết cấu khóa luận 4

CHƯƠNG 1:TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN DOANH NGHIỆP 5

1.1 Những khái niệm cơ bản 5

1.1.1 Một số khái niệm cơ bản về an toàn và bảo mật thông tin 5

1.1.2 Khái niệm về an toàn và bảo mật hệ thống thông tin 6

1.2 Một số cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp 7

1.2.1 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp 7

1.2.2 Các nguy cơ và hình thức tấn công gây mất an toàn hệ thống thông tin 8

1.2.3 Các biện pháp cơ bản đảm bảo an toàn thông tin 10

1.2.4 Những yêu cầu về an toàn bảo mật thông tin 11

1.3 Tổng quan về vấn đề nghiên cứu 12

1.3.1 Tình hình nghiên cứu trên thế giới 12

1.3.2 Tình hình nghiên cứu tại Việt Nam 14

1.3.3 Khoảng trống nghiên cứu về đảm bảo an toàn hệ thống thông tin 16

CHƯƠNG 2:PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN TRONG DOANH NGHIỆP ……… 17

2.1 Tổng quan về doanh nghiệp và tình hình hoạt động 17

2.1.1 Quá trình hình thành, lĩnh vực hoạt động của doanh nghiệp 17

2.1.2 Cơ cấu tổ chức của doanh nghiệp 18

2.1.3 Tình hình hoạt động 3 năm gần đây 19

2.2 Thực trạng về vấn đề đảm bảo an toàn cho hệ thống thông tin cho Công ty Cổ phần Trung Thành Việt Nam 20

2.2.1 Trang thiết bị phần cứng 20

2.2.2 Phần mềm 21

2.2.3 Hệ thống mạng 21

2.2.4 Cơ sở dữ liệu và quản trị cơ sở dữ liệu 22

2.2.5 Vấn đề bảo mật cơ sở dữ liệu của doanh nghiệp 23

2.2.6 Hệ thống thông tin của doanh nghiệp 24

2.2.7 Thực trạng an toàn bảo mật hệ thống thông tin tại doanh nghiệp 24

2.2.8 Kết quả xử lý phiếu điều tra và phân tích các dữ liệu thứ cấp 25

CHƯƠNG 3:CÁC KẾT LUẬN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CÔNG TY CỔ PHẦN TRUNG THÀNH VIỆT NAM 30

3.1 Đánh giá thực trạng an toàn bảo mật thông tin tại công ty 30

3.1.1 Những kết quả đạt được 30

3.1.2 Những vấn đề còn tồn tại 30

3.1.3 Nguyên nhân của những tồn tại 31

3.2 Phương hướng hoạt động của công ty Cổ phần Trung Thành Việt Nam giai đoạn 2017-2022 32

3.3 Đề xuất giải pháp đảm bảo an toàn thông tin trong doanh nghiệp 33

3.3.1.Giải pháp trang thiết bị phần cứng 33

3.3.2 Giải pháp sử dụng phần mềm ứng dụng 34

3.3.3 Giải pháp bảo vệ cơ sở dữ liệu 37

3.3.4 Giải pháp hệ thống mạng 39

3.3.5 Giải pháp nâng cáo trình độ cho đội ngũ nhân viên 42

3.4 Một số kiến nghị 43

3.4.1 Kiến nghị với cơ quan nhà nước 43

3.4.2 Kiến nghị với Công ty Cổ phần Trung Thành Việt Nam 44

KẾT LUẬN 45

DANH MỤC TÀI LIỆU THAM KHẢO 46 PHỤ LỤC

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ

Bảng 2.1: Tình hình hoạt động kinh doanh của công ty 20

Bảng 2.2: Thông tin phần cứng của HTTT doanh nghiệp 20

Biểu đồ 2.1 Các hình thức giao dịch chủ yếu của công ty 26

Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứngbảo mật 26

Biểu đồ 2.3 Cách thức đảm bảo ATTT được sử dụng 27

Biểu đồ 2.4 Cách thức bảo vệ CSDL trong Công ty 27

Biểu đồ 2.5:Trình độ hiểu biết của nhân viên về ATTT 28

Biểu đồ 2.6: Tần suất sao lưu dữ liệu của công ty 28

Biểu đồ 2.7: Nhận thức về tầm quan trọng của ATTT 29

Biểu đồ 2.8: Trở ngại khi phát triển ATTT của công ty 29

DANH MỤC TỪ VIẾT TẮT

WEP Wireless Encryption Protocol Giao thức mã hoá mạng

không dâyAES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến

PHẦN MỞ ĐẦU

1 Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp

Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnhvực nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt đượcthông tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chứcđưa ra những cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sựthay đổi của xã hội

Trên thế giới, việc đảm bảo an toàn cho hệ thống thông tin (HTTT) đã đượcquan tâm từ rất sớm, các tiêu chuẩn an toàn thông tin và hệ thống được nghiên cứu

và công bố cách đây hàng thập kỉ Tiêu chuẩn Anh BS 7799 "Hướng dẫn về quản lý

an toàn thông tin", được công bố, chấp nhận lần đầu tiên vào năm 1995 quy định vềcác giải pháp đảm bảo an toàn thông tin theo các nhóm cụ thể Ở nước ta, ngày 13tháng 1 năm 2010, Thủ tướng Chính phủ đã ký quyết định số 63/QĐ - TTg banhành: “Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020” với cácquan điểm, mục tiêu rõ ràng cùng một loạt các chính sách, giải pháp, các chươngtrình, dự án cụ thể Từ đó tới nay, đây vẫn luôn là vấn đề được quan tâm, khôngngừng phát triển để có được những giải pháp tốt nhất trong việc đảm bảo an toàncho hệ thống thông tin Điều

này góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng vàphát triển Nó không những giúp doanh nghiệp đáp ứng mọi nhu cầu của kháchhàng hiện tại mà còn nâng cao được năng lực hoạt động kinh doanh, giúp cho cácdoanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước

Có thể coi HTTT như là thành phần quan trọng của doanh nghiệp, nó quyếtđịnh mọi hoạt động hàng ngày của doanh nghiệp Nhưng cũng chính vì tầm quantrọng đó mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanhnghiệp Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo mật choHTTT doanh nghiệp

Công ty Cổ phần Trung Thành Việt Nam với truyền thống hơn 15 năm xâydựng, trưởng thành và phát triển, đến nay là một trong những công ty uy tín hàngđầu, có chỗ đứng vững chắc trên các lĩnh vực: thi công công trình giao thông, dândụng, hạ tầng kỹ thuật, nạo vét sông; kênh rạch, đảm bảo giao thông đường thủy.Nhận thức được vai trò quan trọng của việc đảm bảo an toàn thông tin cho sự phát

triển vững mạnh của công ty trong tương lai tuy nhiên, công ty vẫn chưa có sự đầu

tư đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT) của mình.Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn chưa nhất quán, độ bảomật chưa cao, ảnh hưởng trực tiếp đến hoạt động kinh doanh của công ty

Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần Trung Thành Việt

Nam em xin thực hiện đề tài khoá luận: “Giải pháp đảm bảo an toàn cho hệ thống thông tin của Công ty Cổ phần Trung Thành Việt Nam ”

2 Mục tiêu nghiên cứu của đề tài

Mục tiêu chung: trên cơ sở lý luận và thực trạng đề xuất các giải pháp nângcao an toàn bảo mật HTTT trong Công ty Cổ phần Trung Thành Việt Nam

Mục tiêu cụ thể cần giải quyết trong đề tài:

Thứ nhất, tập hợp và hệ thống hoá một số lý thuyết cơ bản về an toàn bảo mật

hệ thống thông tin trong doanh nghiệp như khái niệm, vai trò, ý nghĩa đảm bảo antoàn thông tin, các nguy cơ gây mất an toàn thông tin

Thứ hai, xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật hệthống thông tin dựa trên các tài liệu đã thu thập được

Thứ ba, trên cơ sở nghiên cứu thực trạng của công ty, từ đó đưa ra các giảipháp nâng cao an toàn bảo mật hệ thống thông tin trong công ty nhằm cải thiện một

hệ thống thông tin quản lý có tính an toàn cao, ngăn chặn các nguy cơ tấn công từbên ngoài

3 Đối tượng và phạm vi nghiên cứu của đề tài

3.1 Đối tượng nghiên cứu

Vấn đề an toàn bảo mật (ATBM) cho HTTT của Công ty Cổ phần TrungThành Việt Nam

Hệ thống thông tin doanh nghiệp

Các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn bảo mậtcho HTTT của công ty

Các chính sách phát triển đảm bảo an toàn bảo mật thông tin trong công ty.Các giải pháp an toàn bảo mật trên thế giới áp dụng được cho doanh nghiệp

3.2 Phạm vi nghiên cứu

 Phạm vi về không gian:

Nội dung của đề tài nghiên cứu của đề tài chỉ mang tính vi mô, hướng tới mộtdoanh nghiệp cụ thể - Công ty Cổ phần Trung Thành Việt Nam, được đặt trong bốicảnh nền kinh tế với sự phát triển mạnh mẽ của công nghệ thông tin

 Phạm vi về thời gian

Quá trình nghiên cứu sẽ được thực hiện dựa trên tình hình hoạt động của công

ty trong ba năm gần đây (từ 2014 đến 2016)

4 Phương pháp nghiên cứu

4.1 Phương pháp thu thập dữ liệu

 Phương pháp thu thập dữ liệu sơ cấp

- Điều tra trắc nghiệm: phương pháp này sử dụng mẫu phiếu điều tra khảo sáttại công ty thực tập

- Điều tra trực tiếp: trong quá trình thực tập tổng hợp tại công ty, tiến hànhphỏng vấn trực tiếp nhân viên các phòng ban đồng thời tiến hành quan sát trực tiếp cơ

sở hạ tầng, môi trường làm việc của công ty để thu thập thêm các thông tin cần thiết

 Phương pháp thu thập dữ liệu thứ cấp

- Nguồn tài liệu bên trong: bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2014, 2015, 2016 được thu thập từ phòng Kế toán,hành chính của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác

- Nguồn tài liệu bên ngoài: từ các công trình nghiên cứu khoa học, tạp chí,sách báo, internet có liên quan đến cơ sở lý luận, các lý thuyết về hệ thống thông tincũng như vấn đề an toàn bảo mật thông tin trong doanh nghiệp

SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống

kê trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoạiđơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu Ngườidùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xâydựng đồ thị…

- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏiphỏng vấn, phiếu điều tra và các tài liệu thu thập được.

Các phương pháp này được sử dụng nhằm tìm ra nguyên nhân, thực trạng củavấn đề an toàn bảo mật HTTT tại công ty cổ phần Trung Thành Việt Nam, để từ đóđưa ra các giải pháp phù hợp

5 Kết cấu khóa luận

Khóa luận bao gồm ba chương:

Chương 1: Cơ sở lý luận của vấn đề nghiên cứu

Chương 2: Phân tích đánh giá thực trạng thực trạng an toàn thông tin trong

hệ thống thông tin của Công ty Cổ phần Trung Thành Việt Nam

Chương 3: Các kết luận và đề xuất giải pháp đảm bảo an toàn cho hệ thống thông tin của Công ty Cổ phần Trung Thành Việt Nam

CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN

DOANH NGHIỆP 1.1 Những khái niệm cơ bản

1.1.1 Một số khái niệm cơ bản về an toàn và bảo mật thông tin

* Khái niệm thông tin:

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ vềđiện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng

để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biệnpháp bảo vệ thông tin dữ liệu cũng được đổi mới Bảo vệ an toàn thông tin dữ liệu

là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rấtnhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu Để đưa rađược khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?

Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng

trong thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sửdụng

“Thông tin” là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân

tích, tổng hợp,…), phù hợp với mục đích của người sử dụng Nói cách khác, thôngtin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sửdụng” [Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thươngmại]

Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nốiquan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”

Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhậnđược liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”

liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”

* Khái niệm về hệ thống thông tin:

Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ với nhau

cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu vàcung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu

1.1.2 Khái niệm về an toàn và bảo mật hệ thống thông tin

 An toàn thông tin

Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏnghóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.[Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại]

Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm chohoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời màkhông gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu

Như vậy, an toàn thông tin là việc bảo vệ chống truy nhập, sử dụng, tiết lộ,

chỉnh sửa và phá hủy thông tin trái phép

Bảo mật thông tin

Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin

Hình 1.1: Ba mục tiêu bảo mật thông tin

(Nguồn:Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại)

- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấpquyền mới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mậtthông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trịhàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống

sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại,

có thể dẫn đến phá sản

- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn côngkhông chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bịmất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.

- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵnsàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truynhập được vào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tinchỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên đượcđảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nênmất giá trị

Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn vàbảo mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêuchí trong một thời gian xác định

1.2 Một số cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp

1.2.1 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lạikhả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu

Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu củangười dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêmvào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹtrước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợidụng Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của

hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặccũng có nhiều mục tiêu tấn công dễ dàng hơn Song song với việc xây dựng hệthống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ

hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy

An toàn và bảo mật trong hệ thống thông tin có vai trò quan trọng đối với sựphát triển bền vững của các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin cóthể coi là tài sản vô giá Xây dựng một HTTT an toàn giúp cho việc quản lý hệthống trở nên rõ ràng, minh bạch hơn Một môi trường thông tin an toàn, trong sạch

sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của

doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hộinhập một môi trường thông tin lành mạnh Điều này sẽ tác động mạnh đến ưu thếcạnh tranh của tổ chức Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản,con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp Dovậy, đảm bảo ATBM thông tin doanh nghiệp cũng có thể coi là một hoạt động quantrọng trong sự nghiệp phát triển của doanh nghiệp Đây không phải vấn đề riêng củangười làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.

1.2.2 Các nguy cơ và hình thức tấn công gây mất an toàn hệ thống thông tin

1.2.2.1 Các nguy cơ mất an toàn thông tin trong hệ thống thông tin

Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các

hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mấtđiện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khótránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT

Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá

hỏng vật lý, can thiệp có chủ ý Nguy cơ bị lộ thông tin của cá nhân, tổ chức và cácgiao dịch liên quan cho bên thứ ba Nguy cơ bị kẻ xấu làm sai lệch thông tin bằngmột trong ba cách: “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”,sửa đổi hay chèn, xoá thông tin và gửi đi tiếp; tạo một nguồn thông tin giả mạo đểđưa các thông tin đánh lừa “đích”; tạo “đích” giả để lừa thông tin đến từ nguồn đíchthật Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin cóthể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng ngườitruy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lạiquá nhỏ gây ra tắc nghẽn

Nguy cơ từ bên trong: Đây là nguy cơ xuất phát từ chính bên trong tổ chức

doanh nghiệp Nguy cơ có thể xuất phát do yếu tố kỹ thuật (thiết bị mạng, máy chủ,HTTT,…); do lập kế hoạch, triển khai, thực thi, vận hành (vòng đời); có các quytrình, chính sách an ninh bảo mật của công ty hay do yếu tố con người

Nguy cơ từ môi trường bên ngoài: các nguy cơ từ môi trường như hạ tầng

năng lượng, truyền thông, thảm họa thiên nhiên hay từ con người Doanh nghiệpcàng lớn càng là mục tiêu của nhiều đối tượng tấn công trong nước và quốc tế

1.2.2.2 Hình thức tấn công hệ thống thông tin

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu

trái phép Vi phạm tính toàn vẹn, sẵn sàng dữ liệu

Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường

truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích.Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiệnnay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòngtránh trước khi tấn công xảy ra

Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được

lưu lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến(online) và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể,thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế

và hiệu suất thấp Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu cótrình độ cao và cũng không tốn bất kỳ chi phí nào Người dùng có thể trở thành nạnnhân của kiểu tấn công này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không

mã hóa trong tập tin có tên dễ đoán trên đĩa cứng Tấn công trực tuyến không cómục tiêu cụ thể Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọngkhai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánhcắp tài khoản.Hình thức phổ biến nhất của tấn công trực tuyến là phishing Phishing

là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cáchgiả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa

đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặncác gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn côngchủ động tuy nguy hiểm nhưng lại dễ phát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong

thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao

Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of

Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tảidẫn tới không thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sự

yếu kém trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêucầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kếtnối khác

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thôngtin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Vớimục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chươngtrình ứng dụng

1.2.3 Các biện pháp cơ bản đảm bảo an toàn thông tin

Để một hệ thống thông tin được đảm bảo an toàn, doanh nghiệp cần phải sử dụngcác phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệthống gặp phải đồng thời phải khắc phục được hậu quả nghĩa là sử dụng các phươngpháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt độngchủ yếu của nó Các biện pháp cơ bản đảm bảo an toàn thông tin mà doanh nghiệp cầnphải biết:

Phân quyền người dùng: Người dùng sẽ được quyền đăng nhập, sử dụng tài

nguyên hệ thống dữ liệu trong phạm vi quyền hạn của mình Phân quyền người dùnggiúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống và dữ liệu theonhững yêu cầu khác nhau từ đó đảm bảo được tính riêng tư của người dùng, đảm bảo

an toàn thông tin hệ thống và nâng cao tính bảo mật cho hệ thống

Bảo mật kênh truyền dữ liệu: trong quá trình giao dịch điện tử, thông tin và dữ

liệu khi truyền giữa người gửi và người nhận dễ bị tấn công nhất Do đó, bảo mật kênhtruyền dữ liệu chủ yếu được thực hiện trong các giao dịch thương mại điện tử nhằmđảm bảo tính toàn vẹn của thông tin khi truyền qua mạng, giảm nguy cơ bị rò rỉ thôngtin người dùng khi giao dịch trực tuyến

Tường lửa: là một thiết bị (cả phần cứng và phần mềm) bảo vệ nằm ở biên giới

mạng máy tính, phân chia mạng máy tính thành hai vùng riêng biệt (vùng tin cậy vàvùng không tin cậy) nhằm bảo vệ truy cập trái phép từ vùng không tin cậy đối với vùngtin cậy Tường lửa có thể chặn luồng thông tin có khả năng nguy hại đến sự an toàn củamạng máy tính đồng thời lưu trữ thông tin quan trọng, nhạy cảm của đơn vị tránh sựxâm nhập trái phép từ bên ngoài

Sử dụng công cụ rà quét lỗ hổng, điểm yếu an ninh: thu thập thông tin về điểm

yếu của hệ thống mạng giúp hệ thống nhìn ra được khuyết điểm và đưa ra các biệnpháp khắc phục

Hệ thống ngăn chặn tấn công và phát hiện tấn công: đây là lớp phòng vệ quan

trọng trong các lớp giải pháp đảm bảo an toàn thông tin: IDS (hệ thống phát hiện tấncông, đột nhập); IPS (hệ thống ngăn chặn tấn công, đột nhập)

1.2.4 Những yêu cầu về an toàn bảo mật thông tin

 Tính bảo mật

Trong an toàn dữ liệu, bảo mật là yêu cầu đảm bảo cho dữ liệu của người sửdụng phải được bảo vệ, không bị mất mát vào những người không được phép Nóikhác đi là phải đảm bảo được ai là người được phép sử dụng ( và sử dụng được) cácthông tin (theo sự phân loại mật của thông tin)

Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sửdụng trái phép bởi một người không sử hữu Trên thực tế, rất nhiều thông tin cánhân của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã sốthẻ tín dụng, số thẻ bảo hiểm xã hội,….vì vậy đây có thể nói là yêu cầu quan trọngnhất đối với tính an toàn của hệ thống thông tin

 Tính toàn vẹn

Trong an toàn dữ liệu, tính toàn vẹn có nghĩa là dữ liệu không bị tạo ra, sửađổi hay xóa bởi những người không sở hữu Tính toàn vẹn đề cập đến khả năng đảmbảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi ngườikhông được phép trong quá trình truyền thông

Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi

dữ liệu và ai là người không được phép thay đổi dữ liệu Dữ liệu trên thực tế có thể

vi phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết Chẳnghạn một hệ quản trị CSDL xây dựng kếm có thể gây mất mát dữ liệu trong trườnghợp mất điện đột ngột Các hành động phá hoại cũng có thể gây ra mất tính toàn vẹncủa dữ liệu

 Tính sẵn sàng

Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sửdụng, dữ liệu phải luôn trong trạng thái sẵn sàng Các biện pháp bảo mật làm chongười sử dụng gặp khó khăn hay không thể thao tác được với dữ liệu đều không thể

được chấp nhận Nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phải đảm bảođược sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đa nhữngkhó khăn gây ra cho người sử dụng thật sự Dữ liệu và tài nguyên của hệ thống phảiluôn ở trong tình trạng sẵn sàng phuc vụ bất cứ lúc nào đối với những người dùng

có thẩm quyền sử dụng một cách thuận lợi

 Tính tin cậy

Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài nhữngngười có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu cógiá trị Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúngvới sự mong muốn của họ, chưa hề bị mất mát hay bị lọt vào tay những ngườikhông được phép.Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xétđến tất cả những yếu tố trên Nếu thiếu một trong số đó thì độ bảo mật của hệ thống

là không hoàn thiện

1.3 Tổng quan về vấn đề nghiên cứu

1.3.1 Tình hình nghiên cứu trên thế giới

Từ những năm 1980, cùng với sự phát triển của CNTT trên thế giới, HTTT cũngbắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp Từ đó, vấn đề an ninh thôngtin được đặt ra Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:

William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall.

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá nhữngvấn đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninhmạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụngngày nay Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard)cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng,thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) đểxác thực, mã hoá chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhậtnhững phần mềm độc hại và những kẻ xâm hại

Wireless Securiry and Cryptography – Specifications and Implementations - Bảo mật mạng không dây và mật mã: các đặc tả và cài đặt, của hai tác giả Nicolas Sklavos

và Xinmiao Zhang biên tập và được nhà xuất bản CRC Press phát hành vào tháng 3/2007.

Cuốn sách tập trung vào các cách tiếp cận tích hợp có thể thay thế cho bảo mậttruyền thông không dây Nó phân tích một cách tổng quan tầng bảo mật hiện tại củacác giao thức không dây và trình bày các đặc trưng hiệu suất của các cài đặt bằng phầnmềm và phần cứng Đồng thời trình bày các phương pháp mới và hiệu quả để thựchiện lược đồ an toàn trong các giao thức không dây với hiệu suất cao, phân tích các xuhướng nghiên cứu hiện đại trong các cài đặt bảo mật giao thức không dây hiện tại vàtương lai Nó cung cấp thông tin kỹ thuật và nền tảng về các giao thức và công nghệmạng không dây được sử dụng rộng rãi nhất và mới nhất, bao gồm Bluetooth, RFID vàcác thẻ thông minh; minh họa cách các đặc tả bảo mật được cài đặt trong các vi mạch

và đề xuất các nền tảng cài đặt phần cứng có thể thực thi và mềm dẻo cho các tầng bảomật và các lược đồ mật mã của các giao thức không dây ngày nay

Network Security Know It All, nhà xuất bản: Morgan Kaufmann Publishers (2008)

Cuốn sách này viết giải thích những điều cơ bản, mô tả các giao thức và thảoluận về chủ đề nâng cao bởi các chuyên gia tốt nhất và sáng tạo nhất trong lĩnh vực

an ninh mạng Từ đó mang lại những hiểu biết thiết thực cho người đọc về các kháiniệm an ninh cốt lõi, vấn đề bảo mật, mật mã thông qua các phương pháp phân tích cụthể Không những thế cuốn sách còn đề xuất các giải pháp thực tế trong vấn đề này.Các phương pháp bảo đảm an toàn mạng được nhắc đến trong các bài bài viếtnhư:

Kaspersky ra mắt hệ điều hành siêu bảo mật mang tên Kaspersky OS, có thể ngăn chặn mọi hacker (Bài báo trên trang Genk.vn).

Hệ thống an ninh có sẵn của Kaspersky OS có thể điều khiển hành vi của từngứng dụng, các lỗ hổng bảo mật bị hạn chế một cách tối đa, ngay cả khi người dùngcài đặt các phần mềm lạ Kaspersky cho biết đây là hệ điều hành gần như không thể

bị hack Bởi nếu muốn làm điều đó, hacker cần phải phá được chữ ký kỹ thuật sốcủa chủ hệ điều hành Tuy nhiên công việc này chỉ có thể thực hiện nếu hacker cóđược một chiếc máy tính lượng tử Cùng với điều này, ta có thể thấy mua bảnquyền sẽ khá tốn chi phí

Top 8 công cụ hack tại Hội nghị BlackHat 2016 ( Tạp chí an toàn thông tin – 2016)

Bài báo này giới thiệu Top 8 công cụ được trình bày tại hội nghị BlackHat

2016 đã diễn ra tại Las Vegas Các công cụ này được thiết kế nhằm kiểm tra các lỗ

hổng tiềm ẩn liên quan đến an toàn tổng thể của hệ thống, giúp nâng cao khả năngđảm bảo an toàn và phục hồi cho trung tâm dữ liệu; tìm ra các lỗ hổng bảo mật chưabiết đến của SDNs, bảo mật trích xuất giản đồ của chương trình giả lập chống virusbản thương mại cùng nhiều tính năng , thu hút đông đảo sự quan tâm của các nhàquản lý, chuyên gia nghiên cứu trong lĩnh vực an toàn thông tin.

1.3.2 Tình hình nghiên cứu tại Việt Nam

Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng cónhững chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học

về an toàn và bảo mật thông tin được ra đời như:

Vũ Đình Cường (2009), Cách bảo vệ dữ liệu quan trọng và phương pháp phát hiện thâm nhập, NXB Lao động - Xã hội

Cuốn sách này ngoài việc giới thiệu một số giải pháp bảo vệ dữ liệu quantrọng, hướng dẫn sử dụng một số chương trình giúp mã hóa thông tin an toàn, giảipháp bảo vệ hệ thống bằng cách cài đặt, cấu hình và sử dụng phần mềm bảo vệ vàphát hiện thâm nhập cho hệ thống Bên cạnh đó sách còn giới thiệu cách tìm hiểu vềlỗi tràn bộ đệm, từ những hiểu biết sâu sắc về lỗi này sẽ giúp bạn loại bỏ đi nhữnglỗi tiềm tàng trong hệ thống Nội dung của sách chia làm 5 chương, mỗi chươngphản ánh một chủ đề, mỗi chủ đề đều là những chuyên mục nóng nhất của lĩnh vựcBảo mật và được giải quyết một cách trọn vẹn Đặc biệt, nội dung sách được tuyểnchọn và trình bày một cách khoa học Phương pháp viết tường minh và theo kiểutừng bước "step by step" Mỗi bước đều được minh họa và chú thích bằng các hìnhảnh rõ ràng, phù hợp với các đối tượng độc giả từ căn bản đến nâng cao

Mật mã học và an toàn thông tin, Thái Thanh Tùng (2011), Giáo trình mật mã

học và hệ thống thông tin an toàn, NXB Thông tin và Truyền thông

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến bảo mật thông tin và

mã hóa như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong mã hóa thông tin.Cũng như các thuật ngữ về mã hóa và hệ thống thông tin an Từ đó, giúp người đọc

có cái nhìn tổng thể về mật mã học và an toàn HTTT Ngoài ra, trong giáo trình nàycũng đề cập đến một số phương pháp mã hóa dữ liệu cũng như giải mã thông dụng,phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong cáccông việc hằng ngày của mình

Bài báo cáo “Thiết kế tường lửa”, thạc sĩ Vũ Anh Tuấn, khoa Công nghệ

thông tin, trường Đại học Thái Nguyên năm 2012

Bài báo cáo đã đưa ra được các phương pháp xây dựng tường lửa và đề xuấtnhiều tiện ích mới mà tường lửa đem lại mang tính khả thi cao đề xuất một số quytrình xây dựng tường lửa sao có hiệu quả nhất, đưa ra những hạn chế mà tường lửakhông làm được Tuy nhiên, báo cáo cũng chỉ dừng lại ở việc chỉ ra những hạn chếcủa tường lửa chứ chưa đề xuất được giải pháp nào để khắc phục vấn đề này

Luận văn thạc sĩ với đề tài “Đảm bảo an toàn bảo mật cho mạng thông tin dữ liệu chuyên dùng”, Giang Nguyên Việt, Chuyên ngành Truyền dữ liệu và Mạng

máy tính, Học viện Công nghệ bưu chính viễn thông

Luận văn đi sâu nghiên cứu tìm hiểu: một số giải pháp đảm bảo an ninh, antoàn thông tin cho hệ thống mạng máy tính nói chung và mạng thông tin chuyêndùng nói riêng; nghiên cứu các kỹ thuật, công nghệ và thuật toán mật mã khóa côngkhai (PKI); Ứng dụng thử nghiệm PKI để bảo mật thông tin trong mạng thông tin

dữ liệu chuyên dùng nghiên cứu các phương pháp bảo vệ an toàn thông tin dữ liệu,các loại tấn công trên hệ thống, kỹ thuật mã hóa ứng dụng trong hệ thống trao đổivăn bản điện tử, kỹ thuật và công nghệ để giải quyết vấn đề an toàn và bảo mật Ta

có thể thấy kết quả của luận văn này giới hạn trong bảo mật dữ liệu, chưa đề cậpđến các vấn đề an toàn thông tin trong doanh nghiệp nói chung và chưa đi sâu vàomột doanh nghiệp cụ thể

Bảo đảm an ninh mạng, an ninh thông tin trong thời kỳ cách mạng công nghiệp lần thứ 4( Tạp chí an toàn thông tin – 2017)

Đó là chủ đề của Hội thảo - Triển lãm quốc gia về An toàn bảo mật 2017.Phiên báo cáo chính đánh giá về hiện trạng và xu hướng ATTT đang diễn ra hiệnnay và đề xuất một số giải pháp ATTT cho các tổ chức và doanh nghiệp Bên cạnh

đó, tham luận các vấn đề tổng quan tình hình an ninh mạng tại Việt Nam năm 2016,một số vấn đề cần quan tâm khi bàn về chủ quyền không gian mạng, giải pháp kiểmthử hệ sinh thái an ninh thông tin; giải pháp nâng cao khả năng bảo mật cho tổ chức

và doanh nghiệp trước các nguy cơ tấn công mạng qua hệ thống in ấn; bảo mật hệthống với công nghệ SDN….hướng đến mục tiêu giúp các doanh nghiệp, tổ chứcnắm bắt và đánh giá được các hiểm họa an toàn mạng hiện nay, cũng như đề xuất

các phương án ứng phó kịp thời các sự cố ATTT, đảm bảo tuân thủ các quy định antoàn bảo mật mới.

1.3.3 Khoảng trống nghiên cứu về đảm bảo an toàn hệ thống thông tin

Đảm bảo an hệ thống thông tin là vấn đề quan trọng, đòi hòi sự đầu tư vềnhiều khía cạnh Bên cạnh các nghiên cứu đáp ứng các yêu cầu thiết yếu vẫn còntồn tại nhiều vấn đề chưa được đề cập, phát triển đúng mức và đang trong quá trìnhnghiên cứu

Nhu cầu sử dụng thiết bị công nghệ thông tin để hỗ trợ công việc trong ngànhtài chính đã xuất hiện từ rất sớm Tuy nhiên, các phần mềm bảo mật thông tin cònrất hạn chế, không đáp ứng nhu cầu sử dụng dẫn đến mất an toàn thông tin ảnhhưởng lớn đến hoạt động của doanh nghiệp

Xây dựng quy định về bảo đảm an ninh không gian mạng quốc gia là vấn đềquan trọng tác động trực tiếp đến hiệu quả ATTT Tuy nhiên, việc xây dựng nhữngchính sách, quy định vẫn còn thiếu sót Nghiên cứu và hoàn thiện vấn đề này sẽ làmột trong những hướng đi lâu dài góp phần nâng cao an ninh mạng, hệ thống thôngtin

Đảm bảo an toàn thông tin hiện nay xác định: để giảm thiểu các nguy cơ vềATTT trong kỷ nguyên công nghiệp 4.0 cần kiểm soát các rủi ro và đề ra biện pháp

an toàn phù hợp; phân loại rủi ro, xác định các chính sách và thi hành các chínhsách CNTT không chỉ để phát hiện các mối đe dọa, mà còn để khắc phục hoặc dựđoán trước khi sự cố mất ATTT xảy ra

CHƯƠNG 2 PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ

THỐNG THÔNG TIN TRONG DOANH NGHIỆP 2.1 Tổng quan về doanh nghiệp và tình hình hoạt động

2.1.1 Quá trình hình thành, lĩnh vực hoạt động của doanh nghiệp

2.1.1.1 Quá trình hình thành doanh nghiệp

Tên công ty Công ty Cổ phần Trung Thành Việt Nam

Tên tiếng anh Viet Nam Trung Thanh Joint Stock Company

Tổng giám đốc Phạm Tiến Phong

Nguồn: Công ty cổ phần Trung Thành Việt Nam

Công ty Cổ phần Trung Thành Việt Nam với truyền thống hơn 15 năm xâydựng, trưởng thành và phát triển, đến nay đã khắc tên mình lên những con đường,cây cầu, những công trình hiện đại mà đất nước đang đầu tư xây dựng, tạo nênnhững sản phẩm đạt đến đỉnh cao của kỹ thuật, mỹ thuật như: Cao tốc Nội Bài –Lào Cai, Cao tốc Hà Nội – Hải Phòng, dự án cải tạo nâng cấp Quốc lộ 1A tỉnhThanh Hóa, Quảng Trị, Bình Định, Khánh Hòa, Bình Thuận, QL 31 Bắc Giang,

QL 70 Lào Cai, QL 24 Quảng Ngãi, QL 1 Bắc TP Hà Tĩnh, cầu Tân Phong, cầu

Bo, cầu Lực Điền, cầu thép và các cầu treo dân sinh

Công ty vinh dự khi được Bộ giao thông vận tải đánh giá là nhà thầu đáp ứngyêu cầu, xếp hạng thứ 41 trên toàn quốc, được nhận nhiều bằng khen của Bộ trưởng

Bộ giao thông vận tải, đặc biệt là bằng khen của Thủ tướng Chính phủ về thành tíchcủa tập thể và cá nhân suất sắc tại dự án mở rộng QL1 tỉnh Khánh Hòa Đây là phần

thưởng xứng đáng cho sự đóng góp của công ty trong sự nghiệp công nghiệp hóa –hiện đại hóa đất nước.

2.1.1.2 Các lĩnh vực kinh doanh của công ty

Công ty Cổ phần Trung Thành Việt Nam là một trong những công ty uy tínhàng đầu, có chỗ đứng vững chắc trên các lĩnh vực: thi công công trình giaothông, dân dụng, hạ tầng kỹ thuật, nạo vét sông; kênh rạch, đảm bảo giao thôngđường thủy

Với sự kết hợp hài hoà về trí tuệ, nhiệt huyết và tình yêu nghề của đội ngũđông đảo các kỹ sư có trình độ chuyên môn cao, đội ngũ công nhân lành nghề đãtrải qua nhiều năm kinh nghiệm cùng các trang thiết bị, máy móc được đầu tư quy

mô và hiện đại, Trung Thành Việt Nam khẳng định tiềm lực cũng như vị thế củacông ty trong lĩnh vực xây dựng các công trình giao thông

2.1.2 Cơ cấu tổ chức của doanh nghiệp

2.1.2.1 Các phòng ban chức năng

Sơ đồ 2.1: Cấu trúc tổ chức của công ty CP Trung Thành Việt Nam

Nguồn: Công ty CP Trung Thành Việt Nam

Cơ cấu tổ chức của công ty theo mô hình trực tuyến, mối liên hệ giữa cácthành viên trong tổ chức được thực hiện theo đường thẳng, gồm có: Hội đồngquản trị, Giám đốc và các phòng ban nghiệp vụ với các chức năng, nhiệm vụ cụthể như sau:

- Hội đồng quản trị: là cơ quan quản lý công ty, có toàn quyền quyết định mọivấn đề liên quan đến quyền lợi của công ty

- Tổng giám đốc: là người chịu trách nhiệm chung về hoạt động kinh doanhcũng như đời sống của cán bộ công nhân viên trong toàn bộ công ty Giám đốc cóquyền ký kết các hợp đồng kinh tế, quan hệ giao dịch với các cơ quan liên quan

- Phòng hành chính: đảm bảo công tác quản lý lao động, theo dõi thi đua, côngtác văn thư, bảo vệ tài sản

- Phòng kĩ thuật: Đảm bảo công tác khoa học kĩ thuật, nghiên cứu ứng dụngcông nghệ mới đưa vào quá trình kinh doanh và lắp đặt

- Phòng kế toán: hạch toán, ghi chép, xử lý cung cấp số liệu về tình hình sảnxuất, kinh doanh, phân phối và sử dụng vốn

- Phòng kinh tế kế hoạch: phân tích hoạt động kinh doanh, thiết lập toàn bộ hồ

sơ dự toán công trình, định giá và thiết lập giá thanh toán, kiểm tra thiết kế, tổnghợp khối lượng công trình, bám sát kế hoạch, tiến độ lắp đặt và nghiệm thu

2.1.3 Tình hình hoạt động 3 năm gần đây

2.1.3.1 Tình hình kinh doanh của doanh nghiệp

- Từ khi thành lập vốn điều lệ của công ty là 16.000.000.000 VNĐ tương ứngvới tổng số cổ phần là 1.600.000, mệnh giá một cổ phần là 10.000 VNĐ

Hiện nay, vốn kinh doanh của công ty lên đến 64.719.315.351 VNĐ trong đó: VLĐ là 45.367.701.178 VNĐ

VCĐ là 19.351.614.173 VNĐ

- Công ty đã có chiến lược, kế hoạch và thực hiện tốt kế hoạch chiến lược đógiúp DTBH và CCDV năm sau so với năm trư ớc tăng đáng kể v à đang tiếp tụchoàn thành các công trình trúng thầu trên cả nước

2.1.3.2 Báo cáo về tình hình thu chi, lợi nhuận 3 năm gần đây

Bảng 2.1: Tình hình hoạt động kinh doanh của công ty

6 Lợi nhuận trước thuế 4.287.459.497 10.871.027.064 19.587.789.024

7 Lợi nhuận sau thuế 3.215.594.623 8.479.401.110 15.387.894.701

Nguồn: Phòng kế toán

2.2 Thực trạng về vấn đề đảm bảo an toàn cho hệ thống thông tin cho Công

ty Cổ phần Trung Thành Việt Nam

2.2.1 Trang thiết bị phần cứng

Trong đơn vị có 1 máy chủ và 30 máy khách được đặt tại các phòng ban Sốlượng máy tính tại mỗi phòng ban tùy thuộc vào số lượng nhân viên tại phòng ban đó.Tất cả đều được kết nối trực tiếp vào mạng internet thông qua cổng mạng lắp sẵn

Bảng 2.2: Thông tin phần cứng của HTTT doanh nghiệp

1 SamSung - Intel® Core™ i3-3110M- Processor (3M Cache, 2.40 GHz)

- 2GB DDR3 Bus 1600Mhz, 500GB

5 HP - Intel® Xeon® Processor E5520 (2.26 GHz, 8MB L3 Cache, 80W,

6 Huawei Modem tp- link Modem 2

- Phần mềm ứng dụng chuyên biệt: phần mềm kế toán Fast Accounting: hỗ trợtrong nghiệp vụ kế toán cũng như quản lý doanh nghiệp, tuân thủ đúng chế độ kếtoán, tự động hóa các khâu kế toán và báo cáo Ngoài ra, phần mềm có tính an toàn

và bảo mật khá cao, đơn giản, dễ sử dụng Sản phẩm là các báo cáo tài chính

- Phần mềm bảo mật: công ty đã sử dụng FireWall (cứng và mềm), antivirut(BKAV Pro), mail antivirut (sccurity Plus for Mdea, Symantex dùng cho các máy cánhân) để đảm bảo an toàn cho hệ thống máy tính khỏi những tấn công hoặc xâm nhậpbất hợp pháp Các phần mềm bảo mật này có ưu điểm chung là giao diện tốt, dễ sửdụng, chi phí hợp lý, có khả năng phát hiện ngăn chặn virus tốt và khử mã độc tốt.Nhược điểm là làm chậm thời gian khởi động máy tính và quá trình sao chép tập tin

Mạng nội bộ của công ty Mạng không dây Wifi.

Nguồn: Công ty CP Trung Thành Việt Nam

- Cấu trúc của hệ thống mạng trong công ty:

Cấu trúc mạng lai ghép và bao gồm cả có dây và không dây Đây là cấu trúcmạng được áp dụng phổ biến đối với các doanh nghiệp vừa và nhỏ Một mặt cấutrúc mạng lắp đặt đơn giản, dễ triển khai Mặt khác, cấu trúc này giúp đảm bảo tốc

độ truyền dẫn Khi có sự cố mạng xảy ra đối với một trong hai hệ thống mạngkhông dây hoặc có dây thì hệ thống mạng còn lại vẫn có thể hoạt động giúp cho vấn

đề truyền dữ liệu không bị gián đoạn

- Hệ thống mạng hoạt động đảm bảo tốc độ ổn định không có lỗi do đườngtruyền Điều này vô cùng quan trọng để đảm bảo cho tất cả các thông tin truyền trênmạng được thông suốt và đạt hiệu quả cao nhất

2.2.4 Cơ sở dữ liệu và quản trị cơ sở dữ liệu

 Phương thức thu thập, phân phối, lưu trữ dữ liệu, thông tin của doanh nghiệp

- Phương thức thu thập thông tin: thông tin được thu thập qua điện thoại,Internet, qua các bản ghi và từ hệ thống máy tính cá nhân của doanh nghiệp

- Nhập dữ liệu: tùy theo nội dung được yêu cầu mà xây dựng chương trìnhnhập dữ liệu theo một trong hai phương thức: nhập 2 lần độc lập, nhập một lần vàkiểm tra lỗi

- Xử lý dữ liệu: dữ liệu được xử lý thông qua phần mềm xử lý dữ liệu, kỹ thuậtviên xử lý dữ liệu tiến hành sao chép và phân tích thông tin có được từ dữ liệu thô

- Phương thức truyền nhận: nhân viên trong công ty sử dụng đường truyền củamạng Lan, wifi và Internet để truyền nhận thông tin giữa cấp trên và cấp dưới vàgiữa nhân viên các bộ phận với nhau

- Phương thức lưu trữ: kết hợp giữa phương pháp lưu trữ thủ công trên giấy tờvới phương pháp lưu trữ trên máy tính