1 LỜI CẢM ƠN Trong trình nghiên cứu thực khóa luận tốt nghiệp, em nhận hướng dẫn nhiệt tình giáo viên hướng dẫn Th.S Lê Việt Hà, giúp đỡ ban giám đốc tồn thể nhân viên Cơng ty Cổ phần Trung Thành Việt Nam Trước hết, em xin gửi lời cảm ơn sâu sắc tới cô Th.S Lê Việt Hà – Giáo viên hướng dẫn giúp đỡ em có định hướng đắn thực khóa luận tốt nghiệp kỹ nghiên cứu cần thiết khác Em xin gửi lời cảm ơn chân thành tới ban giám đốc anh/chị làm việc Công ty Cổ phần Trung Thành Việt Nam quan tâm, ủng hộ hỗ trợ cho em trình thực tập thu thập tài liệu Em xin gửi lời cảm ơn tới thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử động viên khích lệ mà em nhận suốt q trình học tập hồn thành khóa luận Đây đề tài không phức tạp nghiên cứu chuyên sâu vấn đề nhiều giới hạn Mặt khác, thời gian nghiên cứu khóa luận hạn hẹp, trình độ khả thân em hạn chế Vì vậy, khóa luận chắn gặp phải nhiều sai sót Em kính mong giáo Lê Việt Hà , thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử, anh/chị nhân viên Công ty Cổ phần Trung Thành Việt Nam góp ý, bảo để khóa luận có giá trị lý luận thực tiễn Em xin chân thành cảm ơn! MỤC LỤC LỜI CẢM ƠN i DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT v PHẦN MỞ ĐẦU 1 Tầm quan trọng, ý nghĩa an toàn thông tin doanh nghiệp Mục tiêu nghiên cứu đề tài Đối tượng phạm vi nghiên cứu đề tài 3.1 Đối tượng nghiên cứu 3.2 Phạm vi nghiên cứu Phương pháp nghiên cứu 4.1 Phương pháp thu thập liệu .3 4.2 Phương pháp xử lý liệu .3 Kết cấu khóa luận CHƯƠNG 1:TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN DOANH NGHIỆP .5 1.1 Những khái niệm 1.1.1 Một số khái niệm an tồn bảo mật thơng tin 1.1.2 Khái niệm an toàn bảo mật hệ thống thông tin 1.2 Một số sở lý luận an toàn bảo mật thơng tin doanh nghiệp 1.2.1 Vai trò an tồn bảo mật thơng tin doanh nghiệp 1.2.2 Các nguy hình thức cơng gây an tồn hệ thống thơng tin 1.2.3 Các biện pháp đảm bảo an tồn thơng tin .10 1.2.4 Những u cầu an tồn bảo mật thơng tin 11 1.3 Tổng quan vấn đề nghiên cứu 12 1.3.1 Tình hình nghiên cứu giới 12 1.3.2 Tình hình nghiên cứu Việt Nam 14 1.3.3 Khoảng trống nghiên cứu đảm bảo an tồn hệ thống thơng tin 16 CHƯƠNG 2:PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN TRONG DOANH NGHIỆP …………….17 2.1 Tổng quan doanh nghiệp tình hình hoạt động .17 2.1.1 Quá trình hình thành, lĩnh vực hoạt động doanh nghiệp 17 2.1.2 Cơ cấu tổ chức doanh nghiệp 18 2.1.3 Tình hình hoạt động năm gần 19 2.2 Thực trạng vấn đề đảm bảo an toàn cho hệ thống thông tin cho Công ty Cổ phần Trung Thành Việt Nam .20 2.2.1 Trang thiết bị phần cứng 20 2.2.2 Phần mềm 21 2.2.3 Hệ thống mạng 21 2.2.4 Cơ sở liệu quản trị sở liệu 22 2.2.5 Vấn đề bảo mật sở liệu doanh nghiệp 23 2.2.6 Hệ thống thông tin doanh nghiệp 24 2.2.7 Thực trạng an toàn bảo mật hệ thống thông tin doanh nghiệp 24 2.2.8 Kết xử lý phiếu điều tra phân tích liệu thứ cấp 25 CHƯƠNG 3:CÁC KẾT LUẬN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CÔNG TY CỔ PHẦN TRUNG THÀNH VIỆT NAM 30 3.1 Đánh giá thực trạng an tồn bảo mật thơng tin cơng ty .30 3.1.1 Những kết đạt .30 3.1.2 Những vấn đề tồn 30 3.1.3 Nguyên nhân tồn 31 3.2 Phương hướng hoạt động công ty Cổ phần Trung Thành Việt Nam giai đoạn 2017-2022 32 3.3 Đề xuất giải pháp đảm bảo an tồn thơng tin doanh nghiệp 33 3.3.1.Giải pháp trang thiết bị phần cứng .33 3.3.2 Giải pháp sử dụng phần mềm ứng dụng 34 3.3.3 Giải pháp bảo vệ sở liệu 37 3.3.4 Giải pháp hệ thống mạng 39 3.3.5 Giải pháp nâng cáo trình độ cho đội ngũ nhân viên 42 3.4 Một số kiến nghị 43 3.4.1 Kiến nghị với quan nhà nước 43 3.4.2 Kiến nghị với Công ty Cổ phần Trung Thành Việt Nam 44 KẾT LUẬN 45 DANH MỤC TÀI LIỆU THAM KHẢO 46 PHỤ LỤC DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Bảng 2.1: Tình hình hoạt động kinh doanh cơng ty 20 Bảng 2.2: Thông tin phần cứng HTTT doanh nghiệp 20 Biểu đồ 2.1 Các hình thức giao dịch chủ yếu công ty 26 Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứngbảo mật 26 Biểu đồ 2.3 Cách thức đảm bảo ATTT sử dụng 27 Biểu đồ 2.4 Cách thức bảo vệ CSDL Công ty 27 Biểu đồ 2.5:Trình độ hiểu biết nhân viên ATTT 28 Biểu đồ 2.6: Tần suất lưu liệu công ty 28 Biểu đồ 2.7: Nhận thức tầm quan trọng ATTT 29 Biểu đồ 2.8: Trở ngại phát triển ATTT công ty 29 Hình 2.1: Cơ sở hạ tầng mạng Cơng Ty Cổ phần Trung Thành Hình 2.2: Sơ đồ hệ thống quản lý liệu Hình 2.3: Sơ đồ cấu trúc liệu cơng ty Hình 3.1: Mơ hình phân hoạch liệu đảm bảo an toàn khai thác Sơ đồ 2.1: Cấu trúc tổ chức công ty CP Trung Thành Việt Nam DANH MỤC TỪ VIẾT TẮT Từ viết tắt ATBM ATTT CNTT CSDL HTTP HTTT LAN NXB SPSS SQL SSL TMĐT WEP AES Diễn giải HyperText Transport Protocol Nghĩa tiếng Việt An toàn bảo mật An tồn thơng tin Cơng nghệ thơng tin Cơ sở liệu Giao thức truyền tải siêu văn Hệ thống thông tin Local Area Network Mạng cục Nhà xuất Statistical Package for Social Sciences Gói thống kê khoa học xã hội Structured Query Language Ngôn ngữ truy vấn cấu trúc Secure Socket Layer Giao thức truyền thông Thương mại điện tử Giao thức mã hoá mạng Wireless Encryption Protocol không dây Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến PHẦN MỞ ĐẦU Tầm quan trọng, ý nghĩa an tồn thơng tin doanh nghiệp Thông tin liệu tài sản vô quý giá cần thiết lĩnh vực nào, từ quân kinh tế, từ tổ chức cá nhân, việc nắm bắt thông tin, liệu cách nhanh chóng kịp thời giúp cá nhân tổ chức đưa cách giải đắn, giúp họ đứng vững phát triển trước thay đổi xã hội Trên giới, việc đảm bảo an toàn cho hệ thống thông tin (HTTT) quan tâm từ sớm, tiêu chuẩn an tồn thơng tin hệ thống nghiên cứu công bố cách hàng thập kỉ Tiêu chuẩn Anh BS 7799 "Hướng dẫn quản lý an tồn thơng tin", cơng bố, chấp nhận lần vào năm 1995 quy định giải pháp đảm bảo an tồn thơng tin theo nhóm cụ thể Ở nước ta, ngày 13 tháng năm 2010, Thủ tướng Chính phủ ký định số 63/QĐ - TTg ban hành: “Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020” với quan điểm, mục tiêu rõ ràng loạt sách, giải pháp, chương trình, dự án cụ thể Từ tới nay, vấn đề quan tâm, không ngừng phát triển để có giải pháp tốt việc đảm bảo an tồn cho hệ thống thơng tin Điều góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Nó khơng giúp doanh nghiệp đáp ứng nhu cầu khách hàng mà nâng cao lực hoạt động kinh doanh, giúp cho doanh nghiệp có đủ sức cạnh tranh với thị trường ngồi nước Có thể coi HTTT thành phần quan trọng doanh nghiệp, định hoạt động hàng ngày doanh nghiệp Nhưng tầm quan trọng mà HTTT bị an tồn gây thiệt hại nặng nề cho doanh nghiệp Chính vậy, cần có giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp Công ty Cổ phần Trung Thành Việt Nam với truyền thống 15 năm xây dựng, trưởng thành phát triển, đến công ty uy tín hàng đầu, có chỗ đứng vững lĩnh vực: thi cơng cơng trình giao thơng, dân dụng, hạ tầng kỹ thuật, nạo vét sông; kênh rạch, đảm bảo giao thông đường thủy Nhận thức vai trò quan trọng việc đảm bảo an tồn thông tin cho phát triển vững mạnh công ty tương lai nhiên, công ty chưa có đầu tư mức cho vấn đề an tồn bảo mật hệ thống thơng tin (ATBM HTTT) Việc thu thập, xử lý sử dụng thơng tin cơng ty chưa qn, độ bảo mật chưa cao, ảnh hưởng trực tiếp đến hoạt động kinh doanh cơng ty Do qua q trình tìm hiểu thực tập cơng ty cổ phần Trung Thành Việt Nam em xin thực đề tài khố luận: “Giải pháp đảm bảo an tồn cho hệ thống thông tin Công ty Cổ phần Trung Thành Việt Nam ” Mục tiêu nghiên cứu đề tài Mục tiêu chung: sở lý luận thực trạng đề xuất giải pháp nâng cao an tồn bảo mật HTTT Cơng ty Cổ phần Trung Thành Việt Nam Mục tiêu cụ thể cần giải đề tài: Thứ nhất, tập hợp hệ thống hoá số lý thuyết an tồn bảo mật hệ thống thơng tin doanh nghiệp khái niệm, vai trò, ý nghĩa đảm bảo an tồn thơng tin, nguy gây an tồn thơng tin Thứ hai, xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật hệ thống thông tin dựa tài liệu thu thập Thứ ba, sở nghiên cứu thực trạng cơng ty, từ đưa giải pháp nâng cao an tồn bảo mật hệ thống thơng tin công ty nhằm cải thiện hệ thống thơng tin quản lý có tính an tồn cao, ngăn chặn nguy cơng từ bên ngồi Đối tượng phạm vi nghiên cứu đề tài 3.1 Đối tượng nghiên cứu Vấn đề an toàn bảo mật (ATBM) cho HTTT Công ty Cổ phần Trung Thành Việt Nam Hệ thống thông tin doanh nghiệp Các giải pháp công nghệ giải pháp người để đảm bảo an tồn bảo mật cho HTTT cơng ty Các sách phát triển đảm bảo an tồn bảo mật thông tin công ty Các giải pháp an toàn bảo mật giới áp dụng cho doanh nghiệp 3.2 Phạm vi nghiên cứu  Phạm vi không gian: Nội dung đề tài nghiên cứu đề tài mang tính vi mô, hướng tới doanh nghiệp cụ thể - Công ty Cổ phần Trung Thành Việt Nam, đặt bối cảnh kinh tế với phát triển mạnh mẽ công nghệ thông tin  Phạm vi thời gian Quá trình nghiên cứu thực dựa tình hình hoạt động cơng ty ba năm gần (từ 2014 đến 2016) Phương pháp nghiên cứu 4.1 Phương pháp thu thập liệu  Phương pháp thu thập liệu sơ cấp - Điều tra trắc nghiệm: phương pháp sử dụng mẫu phiếu điều tra khảo sát công ty thực tập - Điều tra trực tiếp: trình thực tập tổng hợp công ty, tiến hành vấn trực tiếp nhân viên phòng ban đồng thời tiến hành quan sát trực tiếp sở hạ tầng, môi trường làm việc công ty để thu thập thêm thông tin cần thiết  Phương pháp thu thập liệu thứ cấp - Nguồn tài liệu bên trong: bao gồm báo cáo kết hoạt động kinh doanh cơng ty vòng năm: 2014, 2015, 2016 thu thập từ phòng Kế tốn, hành công ty, từ phiếu điều tra vấn tài liệu thống kê khác - Nguồn tài liệu bên ngồi: từ cơng trình nghiên cứu khoa học, tạp chí, sách báo, internet có liên quan đến sở lý luận, lý thuyết hệ thống thông tin vấn đề an tồn bảo mật thơng tin doanh nghiệp 4.2 Phương pháp xử lý liệu Mỗi phương pháp xử lý thơng tin có ưu nhược điểm riêng chúng đề tài nghiên cứu sử dụng phương pháp xử lý thông tin sau: - Phương pháp định lượng: sử dụng phần mềm SPSS (Statistical Package for Social Sciences) SPSS phần mềm cung cấp hệ thống quản lý liệu phân tích thống kê mơi trường đồ họa, sử dụng trình đơn mô tả hộp thoại đơn giản để thực hầu hết công việc thống kê phân tích số liệu Người dùng dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị… - Phương pháp định tính: Phân tích, tổng hợp thơng tin thơng qua câu hỏi vấn, phiếu điều tra tài liệu thu thập Các phương pháp sử dụng nhằm tìm nguyên nhân, thực trạng vấn đề an tồn bảo mật HTTT cơng ty cổ phần Trung Thành Việt Nam, để từ đưa giải pháp phù hợp Kết cấu khóa luận Khóa luận bao gồm ba chương: Chương 1: Cơ sở lý luận vấn đề nghiên cứu Chương 2: Phân tích đánh giá thực trạng thực trạng an tồn thơng tin hệ thống thông tin Công ty Cổ phần Trung Thành Việt Nam Chương 3: Các kết luận đề xuất giải pháp đảm bảo an toàn cho hệ thống thông tin Công ty Cổ phần Trung Thành Việt Nam CHƯƠNG TỔNG QUAN VỀ ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN DOANH NGHIỆP 1.1 Những khái niệm 1.1.1 Một số khái niệm an tồn bảo mật thơng tin * Khái niệm thông tin: Khi nhu cầu trao đổi thông tin liệu ngày lớn đa dạng, tiến điện tử - viễn thông công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng lưu lượng truyền tin quan niệm ý tưởng biện pháp bảo vệ thông tin liệu đổi Bảo vệ an tồn thơng tin liệu chủ đề rộng, có liên quan đến nhiều lĩnh vực thực tế có nhiều phương pháp thực để bảo vệ an tồn thơng tin liệu Để đưa khái niệm thông tin, trước hết ta cần hiểu liệu? Dữ liệu số, kí tự hay hình ảnh phản ánh vật, tượng giới khách quan Dữ liệu giá trị thơ, chưa có ý nghĩa với người sử dụng “Thơng tin” ý nghĩa rút từ liệu thơng qua q trình xử lý (phân tích, tổng hợp,…), phù hợp với mục đích người sử dụng Nói cách khác, thông tin liệu xử lý cho thực có ý nghĩa với người sử dụng” [Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại] Theo Russell Ackoff: “Thông tin liệu ý nghĩa cách kết nối quan hệ, liệu xử lý để trở nên hữu ích.” Cookie Monster định nghĩa: “Thông tin kiến thức truyền đạt nhận liên quan đến kiện, tượng thực tế hoàn cảnh cụ thể.” liên quan đến kiện, tượng thực tế hoàn cảnh cụ thể.” * Khái niệm hệ thống thông tin: Hệ thống thông tin hệ thống bao gồm yếu tố có quan hệ với làm nhiệm vụ thu thập, xử lý, lưu trữ phân phối thông tin liệu cung cấp chế phản hồi để đạt mục tiêu định trước Các tổ chức sử dụng hệ thống thơng tin với nhiều mục đích khác Trong việc quản trị nội bộ, hệ thống thông tin giúp đạt thông hiểu nội bộ, thống hành động, trì sức mạnh tổ chức, đạt lợi 37 đặt phần mềm máy trạm đồng thời cần phải thường xuyên cập nhật phiên mới, vá lỗi phần mềm chống virus để bảo đảm chương trình quét virus cơng ty máy chủ máy trạm cập nhật thiết lập chế độ quét thường xuyên Công ty Trung Thành Việt Nam sử dụng dụng sản phẩm Bitdefender, sản phẩm gồm có: Bitdefender Antivirus Plus, Bitdefender Internet Security, Bitdefender Total Security Bitdefender Antivirus Plus 2017 cung cấp cho người dùng chế độ bảo vệ chủ động tiên tiến chống lại virus, phần mềm gián điệp, công lừa đảo hành vi ăn trộm danh tính mà khơng làm chậm tốc độ máy tính Bitdefender Antivirus Plus có nhiều tính hữu ích: - Bảo vệ máy tính khỏi virus: Bảo vệ liệu tồn diện: Bitdefender khóa tất thứ từ loại virus truyền thống, sâu, Trojan đến mã độc ransomware, khai thác lỗ hổng zero-day, rootkit phần mềm gián điệp Báo cáo an ninh hàng tuần: Bitdefender Antivirus Plus 2017 hoạt động chế độ nền, ngăn chặn phần mềm độc hại loại bỏ lây nhiễm Mỗi tuần người dùng nhận báo cáo tóm tắt tình trạng an tồn máy tính; nhiều tính khác như: đảm bảo an tồn cho giao dịch trực tuyến, duyệt web an toàn, bảo vệ USB, bảo vệ mạng xã hội hay kiểm soát hoạt động nguy hiểm - Hiệu suất tốt: Tích hợp điện tốn đám mây: phần mềm thực thi tất chế độ quét đám mây, khơng làm giảm hiệu suất máy tính Chỉ có chữ ký liệu quét, Bitdefender Antivirus Plus 2017 không tải lên tập tin hay lưu trữ chúng Chế độ làm việc, xem phim, chơi game: đảm bảo nhân viên cơng ty tập trung vào hoạt động Nó phát nhân viên chơi game, làm việc xem phim tạm thời loại bỏ thông báo, điều chỉnh thiết lập trực quan tạm dừng chương trình không cần thiết 38 Hủy file tài liệu nhạy cảm: Bitdefender Antivirus Plus cung cấp cho người dùng cơng cụ băm nhỏ tập tin để xóa hồn tồn thơng tin nhạy cảm từ máy tính chí ngăn chặn công cụ khôi phục tập tin chuyên nghiệp tái tạo lại - An toàn với cú nhấp chuột: Thanh tốn nhanh an tồn; Quét nhanh vùng dễ bị tổn thương hay tối ưu hóa định liên quan đến an ninh mà không cần nhập vào liệu Bitdefender Total Security khả chống Virus xâm nhập, ăn cắp tài khoản, bảo vệ hệ thống mà cho phép người dùng mã hóa liệu máy tính để bảo mật an tồn, ngăn chặn hành vi truy cập trái phép nhiều tính tiện ích - Chương trình bảo mật tồn diện cho hệ thống: bảo vệ hệ thống tránh virus phần tử độc hại, bảo mật liệu, bảo vệ thông tin cá nhân trực tuyến, mã hóa tập tin, thư mục tối ưu hóa hoạt động máy tính - Chế độ quét mạnh mẽ nhanh chóng: BitDefender Total Security quét nhanh chóng toàn hệ thống bao gồm ổ đĩa, phân vùng, thư mục phát triệt để nhiều loại virus phần tử đặc biệt nguy hiểm để cảnh báo kịp thời cho người dùng, loại bỏ chúng khỏi máy tính - Bảo vệ thơng tin cá nhân cho người dùng: Tính Anti-Phishing cải thiện nâng cao đảm bảo cho người dùng tránh trang web lừa đảo với mục đích ăn cắp thông tin cá nhân quan trọng Mặt khác, tiện ích quét liên kết có hại theo dõi thiết lập bảo mật máy tính - Sao lưu đồng liệu trực tuyến: BitDefender Total Security có khả theo dõi, kiểm sốt lưu tập tin trực tiếp lên máy chủ, đồng thời đồng hóa chúng nhiều máy tính khác phát có thay đổi Chức giúp người dùng đề phòng trường hợp mát liệu khơng đáng có - Hỗ trợ giám sát hoạt động máy tính: Người dùng quyền hạn chế truy cập vào nhiều trang web định từ cái, nhân viên họ nhằm quản lý hoạt động lướt web cách an toàn Tính Parental Control cho phép người dùng quy định thời gian hạn chế lưu lượng truy cập mạng từ người dùng khác, lọc bỏ trang web có nội dung khiêu dâm, bạo lực 39 Bitdefender Internet Security phiên hỗ trợ mạnh mơi trường Internet Bao gồm tính phiên Bitdefender Anti Virus Plus Ngoài Bitdefender Internet Security có thêm tính khác như: Kiểm soát trẻ em; Chống thư rác; Tường lửa hai chiều  Phần mềm mã hóa Mã hóa liệu cách mà người dùng thường sử dụng để bảo vệ thông tin máy tính Người sử dụng cần tiến hành mã hóa thơng tin, liệu quan trọng mà khơng muốn người dùng khác đọc Công ty nên sử dụng GiliSoft File Lock Pro chức trội: • Ẩn liệu: GiliSoft File Lock Pro ẩn tập tin, thư mục cá nhân ổ đĩa người dùng, làm cho chúng trở nên “hồn tồn vơ hình” người dùng chương trình • Khóa liệu: Bảo vệ tập tin/thư mục/ổ đĩa bị khóa khơng bị truy cập Người dùng mở, đọc, chỉnh sửa, di chuyển, xóa, chép, đổi tên tập tin/thư mục bảo vệ mà không cần mật Các tập tin thư mục thư mục bị khóa bảo vệ • Mã hóa liệu: Chương trình mã hóa tập tin thư mục • Mã hóa di động: Gói mã hóa thư mục thành file thực thi (exe file) với thuật tốn mã hóa AES Bạn mã hóa liệu quan trọng phương pháp này, sau gửi qua mạng phương tiện khác để sử dụng máy tính mà khơng cần Gili File Lock Pro • Xóa an tồn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn liệu nhạy cảm từ ổ đĩa cứng bạn cách ghi đè lên nhiều lần với mẫu lựa chọn cẩn thận Khơng phục hồi liệu bị xóa từ ổ đĩa cứng bạn bạn xóa an toàn 3.3.3 Giải pháp bảo vệ sở liệu Hiện tại, Công ty Cổ phần Trung Thành sử dụng hệ quản trị CSDL SQL Server với tính như: mã hóa suốt hiệu quả, khả giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL công cụ sách, khả tích hợp với System Center, lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng Tuy hệ quản trị có nhiều chức trội để đảm bảo 40 mục tiêu ATTT, công ty cần quan tâm tới số hướng giải đảm bảo an toàn sở liệu sau: - Phân hoạch CSDL: CSDL nên phân hoạch theo chiều ngang tùy theo độ nhạy cảm liệu Với phân hoạch hệ thống an toàn thực chiến lược bảo mật riêng theo yêu cầu bảo mật liệu Việc khai thác thành phần CSDL tiến hành qua thành phần giao diện ứng dụng Khi làm việc người dùng có thẩm quyền chuyển CSDL trạng thái sẵn sàng phục vụ kết thúc công việc CSDL lại chuyển trạng thái lưu trữ, tức trạng thái mã hóa hệ điều hành - Mã hóa trường liệu quan trọng: Những trường chứa thơng tin có độ bảo mật cao mã hóa hệ mật lựa chọn phù hợp với yêu cầu liệu Việc xác định độ mật tương ứng trường phải người có thẩm quyền xác định Các thơng tin có độ mật cao ln lưu trữ dạng mã hóa Những thông tin giải mã tầng giao diện với người dùng có thơng tin thỏa mãn yêu cầu người dùng thẩm quyền phép người dùng giải mã Hình 3.1: Mơ hình phân hoạch liệu đảm bảo an tồn khai thác - Kiểm sốt truy cập: Hệ thống bảo mật CSDL HSTCNH sử dụng thiết bị eToken chứa khóa riêng chứng thư số người dùng Q trình thiết lập an tồn diễn sau: Mật cho người sử dụng truy cập vào hệ thống CSDL sinh ngẫu nhiên đăng ký với MySQL với tên người dùng Mật ngẫu nhiên sau mã hóa khóa cơng khai người dùng chứng thư lưu vào hệ thống để kiểm soát Khi kết nối vào hệ thống CSDL, chương trình dùng khóa bí mật eToken để giải mã mật ngẫu nhiên truy cập vào CSDL Như vậy, người dùng thuận tiện sử dụng hệ thống người dùng có eToken phù hợp truy cập vào hệ thống 41 3.3.4 Giải pháp hệ thống mạng  Giải pháp mã hóa bảo mật đường truyền Trong thời đại CNTT phát triển, liệu, thông tin gửi qua đường truyền mạng để gửi nhận liệu cách nhanh chóng Vì vậy, để nâng cao vấn đề bảo mật CSDL Công ty nên trọng giải pháp bảo mật đường truyền để tranh mát giữ liệu trình lưu trữ, truyền nhận liệu Dưới số giao thức bảo mật đường truyền mà Cơng ty áp dụng tùy thuộc vào mức chi trả đầu tư cho HTTT công ty: Giao thức WEP- Wired Equivalent Privacy WEP thiết kế để đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ mạng nối cáp truyền thống WEP cung cấp bảo mật cho liệu mạng khơng dây qua phương thức mã hóa Đối với Cơng ty Trung Thành nên sử dụng WEP có độ dài khóa 128 bit Do WEP sử dụng RC4, thuật tốn sử dụng phương thức mã hóa dòng, nên cần chế đảm bảo hai liệu giống không cho kết giống sau mã hóa hai lần khác Đây yếu tố quan trọng vấn đề mã hóa liệu nhằm hạn chế khả suy đốn khóa Hacker Giải pháp WEP tối ưu kết hợp WEP giải pháp khác, gia tăng mức độ bảo mật cho WEP việc sử dụng khóa WEP có độ dài 128 bit gia tăng số lượng gói liệu Hacker cần phải có để phân tích IV, gây khó khăn kéo dài thời gian giải mã khóa WEP Giao thức SSL SSL (Secure Sockets Layer) giao thức (protocol) cho phép truyền đạt thơng tin cách bảo mật an tồn qua mạng SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền môi trường internet an tồn., tiêu chuẩn cơng nghệ bảo mật, truyền thơng mã hố máy chủ Web server trình duyệt (browser) Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư toàn vẹn SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền môi trường internet an toàn 42 Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin đường truyền Không kể người sử dụng lẫn Web server có kiểm soát đường liệu hay kiểm sốt liệu có thâm nhập vào thông tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an tồn: Xác thực: đảm bảo tính xác thực trang mà người dùng làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng Mã hố: đảm bảo thơng tin khơng thể bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “nhạy cảm” truyền qua Internet, liệu phải mã hoá để khơng thể bị đọc người khác ngồi người gửi người nhận Toàn vẹn liệu: đảm bảo thơng tin khơng bị sai lệch phải thể xác thơng tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an tồn  Giải pháp dò qt lỗ hổng an ninh Virtual patching (VP) Tấn công ứng dụng web chiếm tỷ lệ lớn kiểu cơng trực tuyến Mặt khác, tính phổ dụng dịch vụ web nên lỗ hổng bảo mật ứng dụng web sở liệu mà chúng sử dụng cần xử lý nhanh chóng Tuy nhiên, thực điều khơng đơn giản lúc khả thi Để sửa lỗi, đội ngũ cán phát triển cần phân tích vấn đề, lập kế hoạch xử lý, lập trình, kiểm thử triển khai thực tế Hơn nữa, tổ chức, doanh nghiệp có mã nguồn nhân lực để tự sửa lỗi việc chỉnh sửa hệ thống quan trọng gây gián đoạn chấp nhận (thời gian ngừng hoạt động hệ thống lâu) Trong số trường hợp, doanh nghiệp truy cập mã nguồn ứng dụng web Với ứng dụng thương mại, doanh nghiệp phải đợi nhà cung cấp đưa vá sau kiểm thử trước cập 43 nhật Thời gian để khắc phục lỗ hổng bảo mật ứng dụng web kéo dài đến vài tháng Với lỗ hổng bảo mật sở liệu, thời gian để khắc phục không ngắn Trong đó, doanh nghiệp phải giải vấn đề nhân lực để kiểm thử nhiều yêu cầu kinh doanh khác nên việc cập nhật vá bị trì hỗn Virtual patching (VP) giải pháp hữu hiệu cho khó khăn Bằng cách kết hợp hai quy trình xác định lỗ hổng biết hệ thống tạo biện pháp ngăn chặn lỗ hổng đó, VP có khả bảo vệ tức thời cho hệ thống vá truyền thống chưa xuất Khơng thế, cách làm cho phép tổ chức lên kế hoạch thực việc vá hệ thống mà không làm gián đoạn hoạt động vào thời điểm nhạy cảm Với ứng dụng web, VP thực cách kết hợp q trình dò quét ứng dụng web với Tường lửa ứng dụng web (web application firewall hay WAF) Các lỗ hổng bảo mật phát kết việc dò quét chuyển đổi thành “chính sách” tường lửa ứng dụng web để hoạt động vá ảo, ngăn chặn việc lợi dụng lỗ hổng Với sở liệu, VP thực theo cách tương tự kết hợp việc dò quét lỗ hổng bảo mật với tường lửa cho sở liệu Việc áp dụng VP cho ứng dụng web sở liệu đem lại độ an toàn cao nhiều cho website với khoảng thời gian ngắn hẳn so với phương pháp vá lỗi truyền thống  Xây dựng hệ thống mạng riêng ảo Mạng riêng ảo -VPN (Virtual Private Network) mạng cục sử dụng hệ thống mạng cơng cộng sẵn có Internet để kết nối văn phòng nhân viên xa Một VPN (mạng riêng ảo) sử dụng kết nối ảo thiết lập môi trường Internet từ mạng riêng công ty tới văn phòng nhân viên cách xa địa lý Để gửi nhận liệu thơng qua mạng cơng cộng mà bảo đảm tính an tồn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi gửi nơi nhận (Tunnel), giống kết nối point -to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu đi, cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng.Dữ liệu mã hóa 44 cách cẩn thận, packet bị bắt lại đường truy ền công cộng đọc nội dung khơng có khóa để giải mã Do quy mô công ty không lớn yêu cầu làm việc xa không nhiều nên để tiết kiệm chi phí, cơng ty thiết lập mạng riêng ảo dựa chức sẵn có đực cung cấp hệ điều hành Window 3.3.5 Giải pháp nâng cáo trình độ cho đội ngũ nhân viên Trong thời đại phát triển CNTT nay, công ty nên trang bị kiến thức an toàn bảo mật cho người sử dụng lẽ người ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an tồn có biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty nên mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm soát nội chặt chẽ đề quy định riêng an toàn bảo mật CSDL cho công ty Cần phải làm rõ điều rằng, nhân viên không copy thông tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Nguồn nhân lực cơng ty chưa có kiến thức chun sâu an toàn bảo mật CSDL Để thực giải pháp để nâng cao an toàn bảo mật CSDL cho công ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Ban lãnh đạo nhân viên công ty nên nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm soát người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp cơng ty có quy định việc đeo thẻ vào làm việc nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty cần phải báo qua bảo vệ lễ tân công ty để hướng dẫn, nhiên việc kiểm tra thẻ hay theo dõi thiết bị vào công ty khách hàng, người lạ vào công ty không thực thường xuyên, liên tục 45 công ty nên yêu cầu đội ngũ bảo vệ công ty cán phụ trách thường xuyên kiểm tra nhắc nhở ý vấn đề Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề cơng ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file 3.4 Một số kiến nghị 3.4.1 Kiến nghị với quan nhà nước  Tiếp tục nghiên cứu hồn thiện Luật Giao dịch điện tử, Luật Cơng nghệ thông tin, nghị định, văn hướng dẫn áp dụng luật Nhà nước cho phù hợp, đáp ứng yêu cầu hội nhập với điều luật quốc tế  Hợp tác tích cực với quốc gia có trình độ phát triển CNTT đại nhằm tranh thủ giúp đỡ, hỗ trợ mặt kinh nghiệm xây dựng thực thi sách pháp luật liên quan tới an tồn bảo mật thơng tin, tắt đón đầu việc nắm bắt cơng nghệ đại an tồn bảo mật nói chung  Tăng cường ngân sách đầu tư cho hoạt động an tồn bảo mật thơng tin quốc gia, song song với việc đào tạo kiến thức an tồn bảo mật thơng tin cần thiết Qua cần trọng cơng tác đào tạo đội ngũ cán đủ đạo đức tư cách, am hiểu hoạt động lĩnh vực công nghệ thông tin  Đẩy mạnh tuyên truyền nâng cao nhận thức doanh nghiệp ATBM HTTT: Để ATBM HTTT vào nhận thức doanh nghiệp cần có chiến dịch tuyên truyền hiệu Thay việc để doanh nghiệp tự tìm hiểu ATBM HTTT nhà nước cần có hoạt động tuyên truyền an tồn bảo mật thơng tin để doanh nghiệp hiểu lợi ích chương trình đảm bảo ATBM HTTT mang lại Nhà nước cần có kế hoạch tuyên truyền thường xuyên 46 phương tiện thơng tin đại chúng, thơng qua website phủ, hội nghị, buổi tọa đàm,…  Đầu tư phát triển sở hạ tầng: Nhà nước cần có dự án ưu tiên phục vụ mục tiêu phát triển an tồn thơng tin số quốc gia với ngân sách chi tiêu tương ứng 3.4.2 Kiến nghị với Công ty Cổ phần Trung Thành Việt Nam  Nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh mạng, xây dựng mơ hình mạng an toàn việc cần thiết  Mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an tồn bảo mật thơng tin cho nhân viên gửi đào tạo website, doanh nghiệp lớn Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chuyên môn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện cơng việc máy có hỗ trợ tin cậy từ phía nhân viên  Ngân sách cho hoạt động ATBM HTTT: Ngân sách đóng vai trò quan trọng hoạt động ATBM HTTT công ty, công ty cần đầu tư ngân sách cho chương trình đảm bảo ATBM HTTT ngân sách thành lập phận an toàn bảo mật HTTT, ngân sách tuyển dụng, đào tạo cán nhân viên chuyên trách phận an toàn bảo mật Đầu tư trang thiết bị cho phép theo dõi hoạt động công ty để từ đánh giá hiệu hoạt động đảm bảo an toàn bảo mật HTTT Ngoài ra, để bảo vệ an ninh mạng an tồn thơng tin, doanh nghiệp, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước Ngày quy mô khả lan rộng nguy bảo mật khơng gói gọn quốc gia 47 KẾT LUẬN Với phát triển mạnh mẽ của cơng nghệ thơng tin tồn cầu, doanh nghiệp ngày có hội phát triển, quảng bá sản phẩm, tìm kiếm khách hàng, đàm phán kinh doanh với đối tác chia sẻ thông tin cách nhanh chóng hiệu Bên cạnh đó, cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Tuy nhiên, câu hỏi làm để nâng cao an tồn bảo mật thơng tin HTTT doanh nghiệp không phải khiến doanh nghiệp phải đau đầu Công ty Cổ phần Trung Thành Việt Nam, với việc mở rộng kinh doanh vấn đề an toàn bảo mật HTTT công ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an toàn bảo mật HTTT Tuy nhiên, giải pháp an tồn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công HTTT Với đề tài “Giải pháp đảm bảo an tồn cho hệ thống thơng tin Cơng ty Cổ phần Trung Thành”, em nghiên cứu lý thuyết cách hệ thống, theo logic vấn đề liên quan đến việc bảo mật an tồn thơng tin, để từ hướng tới giải pháp hệ thống bảo mật có độ an tồn cao đảm bảo an tồn thơng tin cho công ty đạt số kết quả: Chỉ điểm mạnh, điểm yếu ATTT công ty; Đưa giải pháp cụ thể cho ATTT thiết bị phần cứng, phần mềm, giao thức mơ hình mạng, biện pháp quản trị CSDL, hướng đào tạo phát triển nguồn nhân lực cho việc đảm bảo ATTT cho công ty Tuy nhiên, hạn chế mặt kiến thức thời gian nên cơng trình dừng lại việc đưa giải pháp nhằm đảm bảo an toàn bảo mật thông tin mức sơ cấp Đề tài số vấn đề tồn tại: chưa có đánh giá tính tối ưu giải pháp thực hiện; chưa nghiên cứu mức độ phù hợp tồn hệ thống với quy mơ phát triển khác liệu giải pháp có phù hợp cơng ty phát triển lớn mạnh Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hồn chỉnh Một lần nữa, em xin chân thành cảm ơn Công ty Cổ phần Trung Thành, cảm ơn thầy giáo ThS Lê Việt Hà giúp đỡ tận tình tạo điều kiện thuận lợi để em hồn thành tốt khóa luận tốt nghiệp 48 DANH MỤC TÀI LIỆU THAM KHẢO A Tài liệu tham khảo Tiếng Việt: Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội Đàm Gia Mạnh (2009), Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê Vũ Đình Cường (2009), Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập, NXB Lao động - Xã hội Luận văn thạc sĩ với đề tài “Đảm bảo an toàn bảo mật cho mạng thông tin liệu chuyên dùng”, Giang Nguyên Việt, Chuyên ngành Truyền liệu Mạng máy tính, Học viện Cơng nghệ bưu viễn thơng B Tài liệu tham khảo Tiếng Anh: Network Security Know It Al, NXB: Morgan Kaufmann Publishers (2008) William Stallings (2005), Cryptography and NetworkSecurity Principles and Practices, Fourth Edition, Prentice Hall Wireless Securiry and Cryptography – Specifications and Implementations Bảo mật mạng không dây mật mã: đặc tả cài đặt, hai tác giả Nicolas Sklavos Xinmiao Zhang biên tập nhà xuất CRC Press phát hành vào tháng 3/2007 C Tài liệu tham khảo website: http://genk.vn http://antoanthongtin.vn http://www.trungthanhvietnam.com.vn 49 PHỤ LỤC: PHIẾU ĐIỀU TRA TẠI CÔNG TY CỔ PHẦN TRUNG THÀNH VIỆT NAM (Lưu ý: Em cam kết giữ bí mật thơng tin riêng cơng ty dùng thông tin cung cấp phiếu điều tra cho mục đích làm khóa luận tốt nghiệp) Đề tài: Một số giải pháp đảm bảo an tồn bảo mật cho hệ thống thơng tin Cơng ty Cổ phần Trung Thành Việt Nam I THƠNG TIN CHUNG VỀ CƠNG TY: Tên cơng ty: Địa chỉ: Điện thoại: Fax: Địa Website: Email: Năm thành lập công ty: Tổng giám đốc/Giám đốc: Số lượng cán công nhân viên công ty: Số chi nhánh, đơn vị trực thuộc: II HẠ TẦNG KỸ THUẬT CNTT: Số lượng máy trạm: (chiếc) Số lượng máy chủ: (chiếc) Tổng số máy tính có kết nối Internet băng rộng:……….(chiếc) Số lượng cán có đại học cao đẳng CNTT trở lên: người - Phần cứng:……………người - Phần mềm: + Dịch vụ: …………….người + Phát triển phần mềm: ………… người III HỆ THỐNG THÔNG TIN DOANH NGHIỆP Các hình thức giao dịch chủ yếu khách hàng với công ty Email Giao dịch trực tiếp Điện thoại Khác Tất 49 50 Mức độ trang bị thiết bị phần cứng bảo mật Công ty? Khá đầy đủ Còn thiếu Hồn tồn chưa có Khơng rõ Cách thức đảm bảo ATTT sử dụngtrong Công ty? Phần mềm diệt virus Phần mềm mã hóa Mạng riêng ảo (VPN) Các giao thức SSL hay SET, TLS Cách thức bảo vệ sở liệu sử dụng công ty? Phân quyền người sử dụng Mã hóa tài liệu Đặt mật cho máy tính tài liệu Tất cách Trình độ hiểu biết anh/chị an tồn thơng tin? Có hiểu biết Không hiểu biết Tần suất lưu liệu? tháng lần tháng lần tháng lần Lâu Tầm quan trọng cơng tác an tồn thơng tin cơng ty? Quan trọng Rất quan trọng Khơng quan trọng Bình thường Trở ngại phát triển an tồn thơng tin công ty? Nguồn nhân lực Nguồn lực tài Cơ sở hạ tầng CNTT Xin chân thành cảm ơn Ông(Bà) tham gia vào điều tra! 50 51 51 ... Vấn đề an toàn bảo mật (ATBM) cho HTTT Công ty Cổ phần Trung Thành Việt Nam Hệ thống thông tin doanh nghiệp Các giải pháp công nghệ giải pháp người để đảm bảo an toàn bảo mật cho HTTT cơng ty Các... trình tìm hiểu thực tập công ty cổ phần Trung Thành Việt Nam em xin thực đề tài khoá luận: Giải pháp đảm bảo an tồn cho hệ thống thơng tin Công ty Cổ phần Trung Thành Việt Nam ” Mục tiêu nghiên... đảm bảo an tồn cho hệ thống thơng tin Cơng ty Cổ phần Trung Thành Việt Nam CHƯƠNG TỔNG QUAN VỀ ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN DOANH NGHIỆP 1.1 Những khái niệm 1.1.1 Một số khái niệm an toàn bảo