luận văn hệ thống thông tin kinh tế giải pháp đảm bảo an toàn cho hệ thống thông tin của công ty TNHH máy và thiết bị công nghiệp việt nam

Phương pháp nghiên cứu của đề tài...5 1.6 Kết cấu khóa luận...6 CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY TRÁCH NH

Em xin gửi lòng biết ơn sâu sắc đến quý công ty TNHH máy và thiết bị côngnghiệp Việt Nam, ban lãnh đạo công ty cùng toàn thể nhân viên trong công ty đã tạođiều kiện cho em tìm hiểu, nghiên cứu trong suốt quá trình thực tập tại công ty để em

có thể hoàn thành bài khóa luận tốt nghiệp của mình

Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực của bản thân, nhưng

do thời gian nghiên cứu còn hạn hẹp, trình độ và khả năng của bản thân còn hạn chế

Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếu sót, kính mong giảngviên TH.S Lê Việt Hà, các thầy cô giáo trong khoa Hệ Thống Thông Tin Kinh Tế vàThương Mại Điện Tử, tận tình chỉ bảo để bài của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Sinh viên thực hiện Đinh Thu Hằng

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC BẢNG BIỂU, BIỂU ĐỒ iv

DANH MỤC HÌNH VẼ, SƠ ĐỒ v

DANH MỤC TỪ VIẾT TẮT vi

CHƯƠNG 1 TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU 1

1.1 Tầm quan trọng, ý nghĩa của đề tài 1

1.2 Tổng quan vấn đề nghiên cứu 2

1.3 Mục tiêu nghiên cứu của đề tài 3

1.4 Đối tượng và phạm vi nghiên cứu của đề tài 4

1.5 Phương pháp nghiên cứu của đề tài 5

1.6 Kết cấu khóa luận 6

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY TRÁCH NHIỆM HỮ HẠN MÁY VÀ THIẾT BỊ CÔNG NGHIỆP VIỆT NAM 7

2.1 Cơ sở lý luận ATBM thông tin trong hệ thống thông tin 7

2.1.1 Các khái niệm cơ bản 7

2.1.2 Các nguy cơ và hình thức tấn công hệ thống thông tin trong doanh nghiệp 10

2.1.3 Phân định nội dung nghiên cứu 13

2.2 Tổng quan về Doanh Nghiệp 14

2.2.1 Bộ máy tổ chức 15

2.2.2 Chức năng nhiệm vụ của từng phòng ban 16

2.3 Thực trạng về an toàn bảo mật trong hệ thống thông tin của công ty trách nhiệm hữu hạn máy và thiết bị công nghiệp Việt Nam 18

2.3.1 Cơ sở hạ tầng của Doanh Nghiệp 18

2.3.2 Con người 20

2.3.3 Dữ liệu 20

2.3.4 Phần mềm 23

2.3.5 Thực trạng quy trình quản lý an toàn bảo mật hệ thống thông tin tại Doanh

Nghiệp 24

CHƯƠNG 3: GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TRÁCH NHIỆM HỮ HẠN MÁY VÀ THIẾT BỊ CÔNG NGHIỆP VIỆT NAM 31

3.1 Đánh giá về quá trình quản lý an toàn bảo mật hệ thông thông tin tại công ty trách nhiệm hữ hạn máy và thiết bị công nghiệp Việt Nam 31

3.1.1 Kết quả đạt được 31

3.1.2 Những vấn đề tồn tại chưa được giải quyết 32

3.1.3 Nguyên nhân của những tồn tại trên 32

3.1.4 Những bài học kinh nghiệm 33

3.2 Phương hướng phát triền và đề xuất vấn đề nghiên cứu của công ty trách nhiệm hữ hạn máy và thiết bị công nghiệp Việt Nam 33

3.2.1 Phương hướng phát triển 33

3.2.2 Phương hướng phát triển chung 34

3.2.3 Phương hướng phát triển của Doanh Nghiệp 34

3.3 Giải pháp nâng cao an toàn và bảo mật cho hệ thống thông tin của doanh nghiệp 35

3.3.1 Giải pháp phần cứng 35

3.3.2 Giải pháp phần mềm 43

Giải pháp nguồn nhân lực 59

3.4 Một số kiến nghị với công ty 60

KẾT LUẬN 65 DANH MỤC TÀI LIỆU THAM KHẢO

PHỤ LỤC

DANH MỤC BẢNG BIỂU, BIỂU ĐỒ

Bảng 2.1: Bảng báo cáo kết quả kinh doanh của Công ty TNHH máy và thiết bị công

nghiệp Việt Nam qua 2 năm 2015 và 2016 (ĐVT: vnđ) 17

Bảng 2.2: Thông số về phần cứng máy trạm tại công ty TNHH máy và thiết bị công nghiệp Việt Nam 19

Bảng 2.3: Cơ cấu nguồn nhân lực của công ty TNHH máy và thết bị công nghiệp Việt Nam từ 2014 đến 2016 20

Bảng 2.4: Kết quả sử dụng SPSS 25

Bảng 2.5: Kết quả sử dụng SPSS 26

Bảng 2.6: Kết quả sử dụng SPSS 26

Bảng 2.7: Kết quả sử dụng SPSS 27

Bảng 2.8: Kết quả sử dụng SPSS 28

Biểu đồ 2.1: Biểu đồ thể hiện mức độ quan tâm của lãnh đạo đối với việc áp dụng CNTT, HTTT, TMĐT 25

Biểu đồ 2.2: Đánh giá chất lượng sử dụng phần mềm 26

Biểu đồ 2.3: Biểu đồ thể hiện tần suất cập nhật thông tin trên website hợp lý 27

Biểu đồ 2.4: Biểu đồ thể hiện tỉ lệ các biện pháp bảo đảm dữ liệu 28

Biểu đồ 2.5: Biểu đồ thể hiện tỉ lệ người sử dụng phần mềm bảo mật 29

DANH MỤC HÌNH VẼ, SƠ ĐỒ

Hình 2.1: Ba mục tiêu bảo mật thông tin 8

Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp 11

Hình 3.2: Cho phép người dùng bên ngoài truy cập vào dịch vụ bên trong tường lửa Windows…… 47

Hình 3.3: Chọn chương trình bạn muốn add 48

Hình 3.4: Bảng thông số yêu cầu đối với máy trạm khi cài đặt Kaspersky ® Small Office Security 51

Hình 3.5: Bảng thông số yêu cầu đối với máy chủ khi cài đặt Kaspersky ® Small Office Security……… 51

Hình 3.1: Tường lửa cho hệ thống mạng 36

Sơ đồ 2.1: Cơ cấu bộ máy tổ chức của công ty TNHH máy và thiết bị công nghiệp Việt Nam……… 15

Sơ đồ 2.2: Lưu chuyển đối với bộ phận kế toán của doanh nghiệp như sau: 21

Sơ đồ 2.3: Lưu chuyển cho bộ phận nhân sự: 22

Sơ đồ 2.4: Sơ đồ mạng của công ty 23

Sơ đồ 3.2: Mạng intranet thiết kế cho công ty 42

DANH MỤC TỪ VIẾT TẮT

Từ viết

AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến

DES Data Encryption Standard Tiêu chuẩn mã hoá dữ liệu

DOS Denial of Service Tấn công từ chối dịch vụ

EFS Encrypting File System Mã hóa file hệ thống

SPSS Statistical Package for Social

Sciences

Gói thống kê khoa học xã hội

SSL Secure Socket Layer Giao thức truyền thông

SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc

WEP Wireless Encryption Protocol Giao thức mã hoá mạng không

dâyWPS Wifi Protected Access Phương thức liên minh wifi

CHƯƠNG 1 TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa của đề tài

Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vựcnào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thôngtin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đưa ranhưng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự thay đổicủa xã hội

Ngày nay, với sự phát triển của công nghệ thông tin, Internet trở thành cầu nốichia sẻ kiến thức, thông tin giúp con người đến gần nhau hơn Ứng dụng tin học vàolĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, gópphần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển Vìvậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy rõ được tầm quantrọng của hệ thống thông tin (HTTT) Nó không những giúp doanh nghiệp đáp ứngmọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất, giúpcho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước

Có thể coi HTTT như là thành phần quan trọng của doanh nghiệp, nó quyết địnhmọi hoạt động hàng ngày của doanh nghiệp Nhưng cũng chính vì tầm quan trọng đó

mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp Chính vìvậy, cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp.Công ty cổ phần công nghệ Tinh Vân chuyên cung cấp các sản phẩm phần mềmđóng gói và phần mềm giải pháp, sản phẩm trực tuyến và mobile cho nên các thông tin

và dữ liệu liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng, bản quyềnphần mềm… là rất quan trọng Nó ảnh hưởng trực tiếp và gián tiếp đến hoạt động kinhdoanh và sản xuất của công ty Tuy nhiên, công ty vẫn chưa có sự đầu tư đúng mứccho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT) của mình Việc thuthập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, tính nhất quán chưa cao

Do đó qua quá trình tìm hiểu và thực tập tại Công ty TNHH máy và thiết bị công

nghiệp Việt Nam em xin thực hiện đề tài khoá luận: “ Một số giải pháp nâng cao tính an

toàn bảo mật cho HTTT của Công ty TNHH máy và thiết bị công nghiệp Việt Nam”.

1.2 Tổng quan vấn đề nghiên cứu

An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình, nghiêncứu chuyên sâu về vấn đề này Tuy nhiên, mỗi công trình nghiên cứu về những khíacạnh riêng của hệ thống thông tin, thương mại điện tử

+ Nước ngoài:

- William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall.

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn

đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạngthông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngàynay Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phépngười đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán,hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để xác thực, mãhoá chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềmđộc hại và những kẻ xâm hại

-Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons

Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên tắccác thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục các mối

đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toànvẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet Nếukhông có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đó truycập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻtấn công thông qua đường truyền Internet Các tài liệu trong cuốn sách này trình bày lýthuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹlưỡng và chất lượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên vàsau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mậtInternet

+ Trong nước

-Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê.

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trongthương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trongTMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trongTMĐT Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về antoàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đếnmột số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như cácbiện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh

có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình

- Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và antoàn thông tin trong thương mại điện tử”, , Đại học Bách Khoa

Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toànthông tin trong TMĐT như: mã hóa, chữ ký số…

Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toànthông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nóichung và đi sâu vào một doanh nghiệp cụ thể

Thành công: Đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục

tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, cáchình thức tấn công Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránhcác tấn công gây mất an toàn thông tin cũng như biện pháp khắc phục hậu quả thôngdụng, phổ biến hiện nay

Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thương

mại điện tử, hệ thống mạng hoặc website Vẫn chưa đi sâu nghiên cứu về nguy cơ mất

an toàn HTTT, liên quan đến con người ( nhà quản trị mạng, nhân viên công nghệthông tin )…

Em lựa chọn đề tài: “Một số giải pháp nâng cao an toàn bảo mật cho HTTT của

Công ty TNHH máy và thiết bị công nghiệp Việt Nam” sẽ kế thừa và phát triển, phân

tích rõ hơn các nguy cơ gây mất an toàn HTTT Để từ đó đưa ra các giải pháp nhằmkhắc phục, nâng cao an toàn và bảo mật HTTT trong công ty

1.3 Mục tiêu nghiên cứu của đề tài

Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơbản về an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau như

thu thập các cơ sở dữ liệu sơ cấp và thứ cấp Từ đó, xem xét đánh giá phân tích thựctrạng vấn đề an toàn bảo mật HTTT để đưa ra những ưu nhược điểm Từ những đánhgiá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng caotính an toàn bảo mật HTTT Giúp cho công ty nhận diện những nguy cơ và thách thứccủa vấn đề an toàn bảo mật HTTT Từ đó, có những giải pháp nâng cao tính an toànbảo mật, ngăn chặn các nguy cơ tấn công HTTT hiện tại và tương lai.

Các mục tiêu cụ thể cần giải quyết trong đề tài:

- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong Công ty TNHH máy vàthiết bị công nghiệp Việt Nam

- Đánh giá thực trạng an toàn bảo mật HTTT trong Công ty TNHH máy và thiết

bị công nghiệp Việt Nam dựa trên tài liệu thu thập được

- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mậtHTTT trong Công ty TNHH máy và thiết bị công nghiệp Việt Nam

1.4 Đối tượng và phạm vi nghiên cứu của đề tài

- Đối tượng của đề tài là vấn đề an toàn bảo mật HTTT tại Công ty TNHH máy

và thiết bị công nghiệp Việt Nam

- Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTT củadoanh nghiệp

- HTTT của doanh nghiệp

- Các chính sách phát triển đảm bảo an toàn bảo mật (ATBM) thông tin trongcông ty

- Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của doanh nghiệp

Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đềtài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảngthời gian ngắn hạn Cụ thể:

- Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT tạiCông ty TNHH máy và thiết bị công nghiệp Việt Nam nhằm đưa ra một số giải phápnâng cao an toàn bảo mật HTTT

- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáokinh doanh, số liệu được khảo sát từ năm 2010 giữa năm 2013, đồng thời trình bày cácnhóm giải pháp, định hướng phát triển trong tương lai của công ty

1.5 Phương pháp nghiên cứu của đề tài

1.5.1 Phương pháp thu thập dữ liệu

Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phươngpháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứađựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện

 Phương pháp sử dụng phiếu điều tra:

- Nội dung: Bảng câu hỏi gồm 7 câu hỏi, các câu hỏi đều xoay quanh các hoạtđộng đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đốivới Công ty TNHH máy và thiết bị công nghiệp Việt Nam

- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty

để thu thập ý kiến

- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công

ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để nângcao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong Công ty TNHH máy vàthiết bị công nghiệp Việt Nam

 Phương pháp thu thập dữ liệu thứ cấp:

Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì cácmục tiêu khác nhau của công ty

- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2010, 2011, 2012 được thu thập từ phòng hành chính,phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệuthống kê khác

- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sáchbáo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet

Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộcác tài liệu đó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sungvào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu

Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu liênquan đến vấn đề an toàn bảo mật tại Công ty TNHH máy và thiết bị công nghiệp Việt Nam

1.5.2 Phương pháp xử lý dữ liệu

Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cậpnhật, tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình hìnhnghiên cứu có liên quan đến trong đề tài Trong quá trình xử lý thông tin, cần chiathông tin ra làm hai phương pháp chính:

- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package forSocial Sciences)

SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kêtrong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản

để thực hiện hầu hết các công việc thống kê phân tích số liệu

Việc sử dụng phần mềm SPSS giúp cho việc phân tích hồi quy, thống kê tần suất,xây dựng đồ thị trong khóa luận trở nên dễ dàng và mạch lạc hơn

- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏngvấn, phiếu điều tra và các tài liệu thu thập được

Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luậnnhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại Công tyTNHH máy và thiết bị công nghiệp Việt Nam, để từ đó đưa ra các giải pháp phù hợp

1.6 Kết cấu khóa luận

Khóa luận bao gồm ba chương:

Chương 1: Tổng quan về đề tài nghiên cứu

Chương 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT củacông ty TNHH máy và thiết bị công nghiệp Việt Nam

Chương 3: Phương hướng phát triển, đề xuất giải pháp nâng cao, đảm bảo antoàn cho HTTT của công ty TNHH máy và thiết bị công nghiệp Việt

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG

VỀ AN TOÀN BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY TRÁCH NHIỆM HỮ HẠN MÁY VÀ THIẾT BỊ CÔNG NGHIỆP VIỆT NAM 2.1 Cơ sở lý luận ATBM thông tin trong hệ thống thông tin

2.1.1 Các khái niệm cơ bản

2.1.1.1 Khái niệm dữ liệu, thông tin, hệ thống thông tin trong doanh nghiệp

Khái niệm dữ liệu là: những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệuchung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quátrình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng

mà dữ liệu đang biểu hiện

Khái niệm thông tin là: điều hiểu biết về một sự kiện, một hiện tượng nào đó, thunhận được qua khảo sát, đo lường, trao đổi, nghiên cứu…

Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối vớingười sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quátrình xử lý dữ liệu

Khái niệm hệ thống thông tin là: một tập hợp và kết hợp của các phần cứng, phầnmềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo,phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của

tổ chức

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển

2.1.1.2 Khái niệm về an toàn, bảo mật hệ thống thông tin

Khái niệm an toàn thông tin: Thông tin được coi là an toàn khi thông tin đókhông bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi ngườikhông được phép

Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng củathông tin

Hình 2.1: Ba mục tiêu bảo mật thông tin

- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyềnmới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mật thông tinbởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việccác cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thôngtin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phásản

- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chínhxác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉ các cánhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công không chỉ có ýđịnh đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụngbằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty

- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàngphục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập đượcvào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khingười sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêucầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị

Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn và bảomật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trongmột thời gian xác định

Tính sẵn sàng

2.1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn bảo mật hệ thống thông tin trong doanh nghiệp

Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môitrường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo ATBMHTTT trong doanh nghiệp là: Yếu tố con người và yếu tố công nghệ

Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống

và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành

Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, nănglực sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt động độc lậphoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của

hệ thống

Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệtrong các tổ chức Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lậpnên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vậnhành của mạng lưới thông tin quản lý

Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việcnghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúpxác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thờivạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làmviệc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể pháttriển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khảnăng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quảnhư thế nào

Những người quản lý HTTT máy tính phân công công việc cho những ngườiphân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác

có liên quan Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt vànâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triểnmạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ Họ đặcbiệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT

Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ côngnghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.

Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động

sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.CNTT là yếu tố quyết định đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảmbảo an toàn và bảo mật HTTT

CNTT đang có khuynh hướng mở rộng không gian cho hoạt động sản xuất kinhdoanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới vàcác thách thức mới cho doanh nghiệp CNTT cũng là nhân tố quan trọng phổ biếnnhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhậpvào nền kinh tế toàn cầu

Công nghệ được chia làm hai loại: Phần cứng và phần mềm

 Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bịthu thập, xử lý và lưu trữ thông tin…

 Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng chốngvirus, những ứng dụng, hệ điều hành, giải pháp mã hóa…

2.1.1.4 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động khôngnhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uytín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tinlành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức

Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệthại đến hoạt động kinh doanh sản xuất của doanh nghiệp

Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là mộthoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp

2.1.2 Các nguy cơ và hình thức tấn công hệ thống thông tin trong doanh nghiệp

2.1.2.1 Các nguy cơ mất an toàn bảo mật trong hệ thống thông tin

Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:

- Nguy cơ ngẫu nhiên

Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quannhư thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là nhữngnguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải lànguy cơ chính của việc mất ATTT

- Nguy cơ có chủ định

Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp.

(Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2015)

Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTTcũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng tađang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm 2016dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nướcngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên gia, tộiphạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn công cơ

sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện tử liên tụcxảy ra Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế nhưng rất khó ướctính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền kinh tế

Vnisa phía Nam đã thực hiện một cuộc khảo sát đối với 300 doanh nghiệp vềATTT tính từ tháng 1-2014 đến tháng 6-2016 cho thấy có 33% doanh nghiệp cho hay

họ đã phát hiện sự cố tấn công an ninh mạng, giảm 1% so với năm 2009 Tuy nhiên,

có 29% doanh nghiệp không thể biết được hệ thống mạng của mình có bị tấn công haykhông Trong số cuộc tấn công an ninh mạng được phát hiện, có 27,5% do Trojan hayRootkit, 42% là do virus hay worm Hầu hết các doanh nghiệp nhận định rằng, động

cơ tấn công để thu lợi bất chính tăng lên gấp 3 lần so với năm trước 40% doanhnghiệp ước tính mức độ thiệt hại lớn nhất do các sự cố gây ra là từ virus

Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp Trên thực tế,vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từchính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ,HTTT, ); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quytrình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo đứcnghề nghiệp)

2.1.2.2 Hình thức tấn công hệ thống thông tin

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn côngchủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép

Vi phạm tính toàn vẹn, sẵn sàng dữ liệu

Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đườngtruyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấncông thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiện nay tấncông thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trướckhi tấn công xảy ra

Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưulại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)

và tấn công ngoại tuyến (offline) Tấn công offline có mục tiêu cụ thể, thực hiện bởithủ phạm truy cập trực tiếp đến tài sản nạn nhân Ví dụ, thủ phạm có quyền truy cậpmáy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thuthập dữ liệu của người dùng

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửađổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn cácgói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ độngtuy nguy hiểm nhưng lại dễ phát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trongthời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thôngđiệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of Service)

là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tớikhông thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sự yếu kémtrong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đếnserver, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợidụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Với mục đíchnhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng

2.1.3 Phân định nội dung nghiên cứu

Thông tin doanh nghiệp: Là những thông tin của doanh nghiệp về nhân sự, cơ cấu tổchức, các văn bản, chính sách, mục tiêu sản xuất kinh doanh của doanh nghiệp Nhữngthông tin quan trọng như: Báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thôngtin khách hàng,… Vì vậy, công ty cần phải chú tâm đến vấn đề ATBM HTTT

Để đảm bảo một HTTT được an toàn bảo mật tức là phải đảm bảo thông tin đầuvào và đầu ra của HTTT đó được đảm bảo an toàn bảo mật Do đó đối tượng chính củaHTTT cần đảm bảo đó là thông tin của hệ thống đó

Thông tin trong doanh nghiệp có ở nhiều mức độ và mỗi mức độ cần có nhữngchính sách về an toàn bảo mật khác nhau Có những thông tin được đưa vào diện bảomật ở mức rất cao và rất ít người được biết đến những thông tin này, có những thôngtin lại ở những mức độ cần an toàn, bảo mật ở mức thấp hơn Doanh nghiệp cần xácđịnh đúng đắn các thông tin cần đảm bảo an toàn, bảo mật để từ đó có các chính sách,công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này

Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn cáccông cụ thích hợp để đảm bảo an toàn, bảo mật HTTT

- Các công cụ kỹ thuật được sử dụng trong đề tài:

 Sử dụng phần mềm diệt virus

Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biếtnhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biếtđược các virus mới.

 Firewall

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truycập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhậpvào hệ thống của một số thông tin khác không mong muốn

 Bảo vệ dữ liệu máy tính

Để bảo vệ sự toàn vẹn dữ liệu, hay các thông tin quan trọng thì chúng ta nên cónhững biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổi thông tin.Sau đây có một số cách để bảo vệ dữ liệu:

Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của

hệ điều hành (ví dụ System Restore của Windows Me, XP ) mà có thể cần đến cácphần mềm của hãng thứ ba

Thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết bị nhớ mởrộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thể thực hiện theo chu kỳhàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn

Đứng trước những thách thức và nguy cơ mất an toàn thông tin đang ngày cànggia tăng và phức tạp hơn, doanh nghiệp phải có những biện pháp để tự bảo vệ mình.Bên cạnh các công cụ kỹ thuật mà doanh nghiệp đã sử dụng thì công ty cũng cần chútrọng đến các giải pháp nâng cao ATBM HTTT trong công ty

2.2 Tổng quan về Doanh Nghiệp

- Tên Doanh nghiệp: Công ty TNHH máy và thiết bị công nghiệp Việt Nam

- Người đại diện pháp lý: Bùi Trung kiêm

- Ngày hoạt động: 02/10/2007

- Mã số thuế: 0102379757

- Giấy phép kinh doanh số: 0102379757 - ngày cấp: 09/10/2007

Địa chỉ: Số 37/LK27, Khu Đô Thị Mới Vân Canh, Đ70, Vân Canh, Hoài Đức,

Hà Nội

- Lịch sử phát triển của doanh nghiệp : Trên con đường phát triển, công ty

VINAMECA đã dần lớn mạnh cả về tài chính, nhân lực, năng lực quản lý Khởi đầuvới số nhân viên chưa tới 10 người khi thành lập vào ngày 2/10/ 2007, cho đến naydoanh nghiệp đã có tới gần 108 nhân viên nhiệt tình, chăm chỉ, có năng lực và có tráchnhiệm trong công việc đáp ứng được với nhu cầu và sự phát triển của doanh nghiệp

- Năm 2007: Thành lập doanh nghiệp Đại diện thương mại phân phối các sản

phẩm máy, thiết bị trong lĩnh vực công nghiệp, các ngành, nghề có liên quan đến hoạtđộng và phát triển công nghiệp

- Năm 2010: Trở thành nhà phân phối của rất nhiều công ty cung cấp thiết bị

thương hiệu trên thị trường như : Toyota, Ford, Huyndai, Nissan

- Năm 2011: Đầu tư cơ sở hạ tầng trang thiết bị, máy tính, máy in, hệ thống

mạng để phục vụ cho sự phát triển ngày càng lớn của doanh nghiệp

- Từ năm 2011 đến năm 2016: Doanh nghiệp hợp tác với nhiều nhà cung cấp, gia

tăng đội ngũ nhân viên, số lượng hàng hóa được phân phối rộng khắp cả nước

Mục tiêu hoạt động: hoạt động với mục tiêu bán lẻ và phân phối máy móc và

thiết bị sửa chữa ôtô với giá thành hợp lý nhất tới các khách hàng Trở thành nhà phânphối lớn trong nước

Loại hình doanh nghiệp: công ty TNHH nhiều thành viên

2.2.1 Bộ máy tổ chức

Sơ đồ tổ chức của doanh nghiệp

Sơ đồ 2.1: Cơ cấu bộ máy tổ chức của công ty TNHH máy và thiết bị công nghiệp

Phòng nhân sự

Phòng kĩ thuật

2.2.2 Chức năng nhiệm vụ của từng phòng ban

Phòng kế toán

Tổ chức và lưu trữ hệ thống sổ sách, chứng từ kế toán và các vấn đề liên quanđến công tác kế toán, cung cấp các thông tin kế toán cho các bộ phận liên quan, cố vấncho Tổng giám đốc trong việc quản trị tài chính của Công ty

Phòng kỹ thuật:

Chịu trách nhiệm trong công tác xây dựng, tiếp nhận chuyển giao và quản lý cácdịch vụ - ứng dụng website, wapsite, ứng dụng chạy trên web đã triển khai kinh doanh,thực hiện các chương trình nghiên cứu phát triển dịch vụ, áp dụng công nghệ tiên tiếntrong xây dựng phần mềm, dịch vụ, website cũng như ứng dụng mới đáp ứng nhu cầusửa dụng của khách hàng, khắc phục lỗi phát sinh trong quá trình kinh doanh…

Phòng nhân sự: Đưa ra các kế hoạch về lương thưởng, chính sách nhân sự hỗ

trợ ban giám đốc ra quyết định

Tình hình sử dụng vốn và báo cáo kết quả kinh doanh của công ty trong 2 năm 2015 và 2016.

Bảng 2.1: Bảng báo cáo kết quả kinh doanh của Công ty TNHH máy và thiết bị

công nghiệp Việt Nam qua 2 năm 2015 và 2016 (ĐVT: vnđ)

1 Doanh thu bán hàng và cung cấp dịch vụ 1 42.117.985.533 45.405.044.992

2 Các khoản giảm trừ doanh thu 2 2.690.003.978 667.190.853

3 Doanh thu thuần về bán hàng và cung cấp

- Trong đó: Chi phí lãi vay 23 1.193.419.208 270.035.207

8 Chi phí quản lý kinh doanh 24 3.121.784.767 3.635.681.055

9 Lợi nhuận thuần từ hoạt động kinh doanh

14 Chi phí thuế thu nhập doanh nghiệp 51 378.656.172 409.878.064

15 Lợi nhuận sau thuế thu nhập doanh

- Doanh thu bán hàng và cung cấp dịch vụ năm 2016 tăng hơn 3 tỷ VNĐ so vớinăm 2015.

- Các khoản giảm trừ doanh thu giảm đáng kể Năm 2015 hơn 2,6 tỷ VNĐ trongkhi năm 2016 chỉ còn hơn 600 triệu VNĐ Điều này chính là dấu hiệu cho việc nângmức lợi nhuận của doanh nghiệp tăng lên đáng kể

- Lợi nhuận sau thuế của doanh nghiệp tăng lên hơn 200 triệu VNĐ Mức lợinhuận này của doanh nghiệp tính đến thời điểm hiện tại là chưa cao, tuy nhiên với sựchuyển biến theo chiều hướng tích cực này, Công ty TNHH máy và thiết bị côngnghiệp Việt Nam đang từng bước cố gắng, phát triển và dần đạt được vị thế cao trênthị trường

Năm 2016 được xác định là một năm đầy khó khăn với công ty ở tất cả các loạihình dịch vụ Do thị trường đang xuất hiện ngày càng nhiều đối thủ cạnh tranh cùnglĩnh vực Vận tải nội địa đang khó khăn vì số lượng các khu công nghiệp hoạt động đãgiảm tới 40% sản lượng Vận tải quốc tế đang ngày càng thắt chặt về mặt pháp lý, yêucầu công ty phải đào tạo nguồn nhân lực chất lượng cao, hoạt động hiệu quả Việc giữ

số lượng khách hàng cũ cũng đang trở thành vấn đề đáng quan tâm, vì những doanhnghiệp mới hình thành có những ưu đãi hết sức cạnh tranh, dẫn đến việc khách hàngngày càng có thêm nhiều sự lựa chọn cho mình

2.3 Thực trạng về an toàn bảo mật trong hệ thống thông tin của công ty trách nhiệm hữu hạn máy và thiết bị công nghiệp Việt Nam

2.3.1 Cơ sở hạ tầng của Doanh Nghiệp

- Trang thiết bị trong trong đơn vị (phòng ban/bộ phận)

STT Tên trang thiết bị Số lượng

hiện tại

Mức độ đáp ứng nhu cầu sử dụng (tốt, khá, trung bình)

Số lượng cần

bổ sung, thay thế

 Máy chủ HP Proliant ML115 T01 (457772-371) AMD Opteron 4450B Dual Core

 Processor: 2.30 Ghz / 4(2-32bit/33MHz 2-PCIE)/ 1024 MB PC2-6400 ECC(DDR2-800Mhz)/ 160GB Non-Hot Plug SATA/ 48x IDE/ nVidia MCP55S Pro/

Network Controller: Embedded NC320i PCIe Gigabit Server Adapter.

- Hệ thống máy trạm

Cấu hình mỗi máy:

Bảng 2.2: Thông số về phần cứng máy trạm tại công ty TNHH máy và thiết bị

công nghiệp Việt Nam

Bộ vi xử lý (CPU) Intel Pentium 4

Card Đồ họa (VGA) share onboad

Do hoạt động kinh doanh của Doanh Nghiệp ngày càng được mở rộng vì vậy mà

cơ cấu nguồn nhân lực của công ty được bổ sung thường xuyên cả về số lượng và chấtlượng Tính đến năm 2016, tổng số cán bộ của công ty là 108, trong đó có 8 cán bộ cótrình độ trên đại học chiếm 7.4 %, nhân viên có trình độ đại học là 85 chiếm 78.7 %

Đây là một tỷ lệ phản ánh nguồn nhân lực của công ty rất mạnh về trình độ học vấncũng như khả năng cạnh tranh với các doanh nghiệp có cùng lĩnh vực hoạt động.

Cơ cấu nguồn nhân lực của công ty thể hiện ở bảng:

Bảng 2.3: Cơ cấu nguồn nhân lực của công ty TNHH máy và thết bị công nghiệp

Việt Nam từ 2014 đến 2016 Năm

- Đội ngũ cán bộ nhân viên có trình độ cao là một lực lượng nòng cốt, có ý nghĩachính quyết định đến thành công của công ty Đội ngũ nguồn nhân lực không chỉ đông

về số lượng mà còn có trình độ chuyên môn nghiệp vụ vững vàng Công ty luôn chútrọng công tác đào tạo nâng cao trình độ CNTT cho các cán bộ nhân viên của công ty

2.3.3 Dữ liệu

- Dữ liệu của đơn vị: lưu trữ tập trung và lưu trữ phân tán.

- Dữ liệu được tổ chức: trong cơ sở dữ liệu và trong các tập tin riêng rẽ.

+ Về phương thức xử lý dữ liệu

Với các dữ liệu sau khi thu thập sẽ được phân loại, chọn lọc và được xử lý thôngqua các phần mềm ví dụ như: Microsoft Excel, phần mềm kế toán… Ngoài ra cácthông tin như: Ý kiến phản hồi của khách hàng, thông tin đối thủ cạnh tranh,…được

xử lý thủ công dựa trên trình độ, sự hiểu biết và kinh nghiệm để đưa ra những quyếtđịnh, chính sách cho công ty

Đối với bộ phận kế toán sau khi thông tin được thu thập lại nhân viên của từngmảng theo chức vụ của mình sẽ sắp xếp, thống kê, tính tổng tiền phát sinh trong kìtương ứng với chức vụ công việc của mình

Hiện nay, dựa trên đội ngũ nhân sự và kỹ năng hiện tại cho thấy: 80% nhân viênkhai thác và sử dụng phần mềm tin học văn phòng là chính, ngoài ra, các kỹ năng tinhọc khác về phần mềm, HTTT, CSDL hầu như chưa có.

Xét về mặt lâu dài, công ty cần có kế hoạch trong việc đào tạo các nhân viên vềcông nghệ thông tin Bởi lẽ, càng ngày thì mức độ tin học hóa trong công ty sẽ tăngcao để đáp ứng nhu cầu phát triển kinh tế hiện đai, chính vì thế, nhân viên không chỉthành thạo tin học văn phòng mà cần phải biết cách sử dụng những phần mềm mới hơntrong công việc

Sơ đồ 2.2: Lưu chuyển đối với bộ phận kế toán của doanh nghiệp như sau:

Sơ đồ 2.3: Lưu chuyển cho bộ phận nhân sự:

bộ phận nhân sự

Trưởng phòng nhân

sự phê duyệt

Lưu trên máy tính dưới dạng văn bản CSDL

kế toán bộ phận

Kế toán trưởng duyệt

Lưu trữ trên máy Dưới dạng văn bản

+ Về phương thức lưu trữ dữ liệu

Cơ sở dữ liệu của công ty được chia nhỏ và lưu trữ phân tán ở các bộ phận,phòng ban khác nhau Các phòng ban chủ yếu lưu trữ thông tin liên quan đến phòngban của mình, do đó thông tin phải di chuyển qua các bộ phận, phòng ban khác nhau

để các phòng ban có thể nắm bắt toàn bộ thông tin cần thiết Quản lí dữ liệu chưa theomột hệ thống nhất định

Ngoài ra dữ liệu được lưu trữ dưới dạng các file và các thư mục như file hóa đơn,file hàng hóa, file nhân viên, file kế hoạch kinh doanh

Dữ liệu về khách hàng lưu trữ thủ công và phân tán: Chủ yếu vẫn là trên sổ sách,giấy tờ hoặc là máy tính nhưng ở các vị trí khác nhau và không khoa học Điều này cóthể tạo sự hạn chế trong việc trao đổi dữ liệu giữa các bộ phận do công ty chưa có cơ

sở dữ liệu dùng chung và có thể chia sẻ trong toàn bộ công ty Việc truy xuất dữ liệu làkhó khăn nên nhiều thông tin quan trọng không được chia sẻ giữa các thành viên vàban lãnh đạo, thậm chí nhiều phản hồi của khách hàng bị bỏ quên

- Mạng trong đơn vị: Các dạng mạng được sử dụng là mạng LAN hữu tuyến và

mạng LAN vô tuyến với tốc độ cao được kết nối Internet nhằm mục đích hỗ trợ choquá trình vận hành và hoạt động của doanh nghiệp

Sơ đồ 2.4: Sơ đồ mạng của công ty

2.3.4 Phần mềm

- Phần mềm hệ thống: Hệ thống sử dụng hệ điều hành Window, 95% đáp ứng

yêu cầu cho việc sử dụng trong công ty

-Phần mềm ứng dụng trong hoạt động nghiệp vụ gồm:

STT Loại phần mềm Có sử dụng Nguồn gốc

% đáp ứng yêu cầu nghiệp vụ

Có nhu cầu thay thế, nâng cấp

1 Soạn thảo văn bản

(Microsoft Office)

Có Microsoft

Office 2010

Các phần mềm được sử dụng với mục đích hỗ trợ cho công ty về việc quản lýnhân sự, kế toán, soạn thảo văn bản, giúp giảm thiểu chi phí nhân lực, công việc đượchoàn thành đảm bảo độ chính xác và kịp thời Nâng cao hiệu quả và chất lượng côngviệc của công ty.

Phần mềm ứng dụng bao gồm: các phần mềm quản lý văn phòng cơ bản nhưword, excel, phần mềm chuyên dụng của công ty được cài đặt cho mỗi máy tính đểquản lý các báo cáo từ kế toán, tình hình hoạt động kinh doanh

Phần mềm ứng dụng chuyên biệt: phần mềm Kế toán Misa, phần mềm quản lýnhân sự, Phần mềm kế toán hỗ trợ đắc lực trong nghiệp vụ kế toán cũng như quản lýdoanh nghiệp, sở dĩ phần mềm tuân thủ theo đúng chế độ kế toán, tự động hóa toàn bộcác khâu kế toán từ khâu lập chứng từ, hạch toán, báo cáo Ngoài ra, phần mềm có tính

an toàn và bảo mật tốt, đơn giản, dễ sử dụng

 Phần mềm kế toán – tài chính là phần mềm kế toán phản ánh hiện trạng và sựbiến động về vốn, tài sản của doanh nghiệp dưới dạng tổng quát hay nói cách khác làphản ánh các dòng vật chất và dòng tiền tệ trong mối quan hệ giữa doanh nghiệp với môitrường kinh tế bên ngoài Sản phẩm của kế toán tài chính là các báo cáo tài chính Ngoàiviệc sử dụng cho ban lãnh đạo doanh nghiệp còn để cung cấp cho các đối tượng khác như:nhà đầu tư, cơ quan thuế, cơ quan tài chính, lương nhân viên…

 Việc ứng dụng công nghệ thông tin đã mang lại bước đột phá mới cho côngtác quản lý tài chính - kế toán, giúp doanh nghiệp nắm bắt thông tin về tài chính, ngânsách, quỹ tổ chức… một cách chính xác và kịp thời Từ đó bộ phận kế toán có thể đưa

ra các kế hoạch và quyết định đúng đắn, giảm chi phí và tăng khả năng cạnh tranh,nâng cao kết quả hoạt động nhờ dự đoán được hướng sản xuất kinh doanh

2.3.5 Thực trạng quy trình quản lý an toàn bảo mật hệ thống thông tin tại Doanh Nghiệp

Công ty đã áp dụng các chính sách bảo mật cho thông tin tại DN như sử dụng ổcứng, sao lưu liên tục, đồng bộ lên mạng, sử dụng phần mềm diệt virut cho 100% cácmáy tính trong công ty, hệ thống tường lửa, cảnh báo truy cập trái phép

Hệ thống giám sát an ninh, camera theo dõi 24/24.

Sử dụng phương pháp định tính định lượng thông qua phỏng vấn và điều tra 10phiếu Sau khi điều tra tại công ty thu được kết quả và xử lý qua SPSS em thu được kếtquả như sau:

Mức độ quan tâm của lãnh đạo công ty đối với việc áp dụng CNTT, HTTT, TMĐT ta có bảng và biểu đồ sau:

Bảng 2.4: Kết quả sử dụng SPSS

Mức độ sử dụng biệnpháp đảm bảo dữ liệu

(Nguồn: phiếu điều tra)

Biểu đồ 2.1: Biểu đồ thể hiện mức độ quan tâm của lãnh đạo đối với việc áp dụng

CNTT, HTTT, TMĐT

(Nguồn: kết quả xử lý phiếu điều tra)

Như vậy cho thấy lãnh đạo công ty vẫn ít quan tâm tới việc áp dụng CNTT,HTTT, TMĐT vào doanh nghiêp

(Nguồn: phiếu điều tra)

Biểu đồ 2.2: Đánh giá chất lượng sử dụng phần mềm

(Nguồn: kết quả xử lý phiếu điều tra)

Mức độ hợp lý về tấn suất cập nhật thông tin trên website của công ty:

Bảng 2.6: Kết quả sử dụng SPSS

Mức độ sử dụng biện phápđảm bảo dữ liệu

Biểu đồ 2.3: Biểu đồ thể hiện tần suất cập nhật thông tin trên website hợp lý

(Nguồn: kết quả xử lý phiếu điều tra)

Như vậy ta thấy đa số các ý kiến đều cho rằng tần suất cập nhật nên thấp hơn mộttháng, tần suất cập nhật hằng tuần là cao nhất còn thỉnh thoảng mới cập nhật chỉ có 2 ý kiến

Các biện pháp bảo đảm dữ liệu trong doanh nghiệp

Biểu đồ 2.4: Biểu đồ thể hiện tỉ lệ các biện pháp bảo đảm dữ liệu

(Nguồn: phòng kĩ thuật)

Độ an toàn bảo mật của các máy tính trong doanh nghiệp

Bảng 2.8: Kết quả sử dụng SPSS

Mức độ sử dụng biện phápđảm bảo dữ liệu

Biểu đồ 2.5: Biểu đồ thể hiện tỉ lệ người sử dụng phần mềm bảo mật.

(Nguồn:Phòng kĩ thuật)

Qua quá trình thu thập và phân tích kết quả phiếu điều tra, có thể đưa ra nhận xét

về tình hình ATBM HTTT của công ty cổ TNHH máy và thiêt bị công nghiệp ViệtNam như sau:

- Điểm mạnh

 Tất cả các máy tính và phòng ban được kết nối Internet và mạng LAN, chophép việc truy nhập dữ liệu được dễ dàng và nhanh chóng Doanh đã sử dụng một sốphần mềm giúp ngăn chặn các hành vi truy cập và khai thác dữ liệu trái phép

 Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trongtình trạng còn mới, hoạt động tốt và ổn định Đây sẽ là một sự khởi đầu tốt cho kếhoạch xây dựng một hệ thống đảm bảo ATBM HTTT cho Doanh Nghiệp

 Các phần mềm ứng dụng là phần mềm có bản quyền Việc mua bản quyềnphần mềm giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theovirus, mã độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy

cơ ATTT, cập nhật các bản vá lỗi của nhà sản xuất

 Cơ chế sao lưu dữ liệu thường xuyên giúp công ty hạn chế tối thiểu những tổnthất khi thông tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa

 Phần lớn nhân viên và ban lãnh đạo công ty đã nhận thức được tầm quan trọngcủa an toàn bảo mật HTTT đối với hoạt động kinh doanh và sự phát triển của công ty

 Doanh Nghiệp đã có bộ phận chuyên trách về CNTTT, cũng có kiến thức về

an toàn bảo mật HTTT trong doanh nghiệp

- Điểm yếu

 Công ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT Hệ thống máy chủ sửdụng windows server 2003 chưa phù hợp để ứng dụng các giải pháp bảo mật mới Vềphần mềm bảo mật công ty chưa cập nhật các phần mềm bảo mật mới, tính năng toàndiện và phù hợp với công ty

 Kiến thức về HTTT và an toàn bảo mật của nhân viên trong công ty chưa cao,dẫn đến nhiều nguy cơ mất an toàn thông tin của doanh nghiệp Như đã nói ở phầntrên Doanh Nghiệp có 1 nhóm công nghệ thông tin gồm có 2 người Với quy mô ngàycàng mở rộng thì số lượng nhân viên chuyên trách về CNTT chưa đủ để đảm bảo antoàn bảo mật HTTT toàn công ty

 Các hình thức bảo đảm an toàn bảo mật HTTT trong Doanh Nghiệp còn quá

sơ sài, chưa đủ để đảm bảo mục tiêu an toàn bảo mật của hệ thống

 An toàn bảo mật thông tin chưa cao nên chưa đảm bảo thông tin của kháchhàng, thiếu sự tin tưởng của khách hàng

 Công ty chưa có sự đầu tư thích đáng cho an toàn bảo mật HTTT của côngty.Việc triển khai hoạt động đảm bảo an toàn bảo mật HTTT nên được lập kế hoạch rõràng chi tiết để phối hợp được hoạt động giữa các phòng ban, kết hợp với các công cụ

an ninh bảo mật để đạt được mục tiêu cuối cùng, đồng thời cần tính toán chi phí cụ thểphân bổ cho từng công cụ khi triển khai Mỗi công cụ đảm bảo an toàn bảo mật HTTTđòi hỏi ngân sách khác nhau và có tác động nhất định tới HTTT của doanh nghiệp Vìvậy, cần phải xác định ngân sách phù hợp và các yếu tố có liên quan để chương trìnhđảm bảo an toàn bảo mật HTTT đạt hiệu quả cao

CHƯƠNG 3: GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TRÁCH NHIỆM HỮ HẠN MÁY VÀ THIẾT BỊ CÔNG

NGHIỆP VIỆT NAM

3.1 Đánh giá về quá trình quản lý an toàn bảo mật hệ thông thông tin tại công ty trách nhiệm hữ hạn máy và thiết bị công nghiệp Việt Nam

Theo như điều tra, chỉ có 80% số máy tính cá nhân sử dụng các phần mềm miễnphí, có thể crack trên mạng, 20% máy tính là có sử dụng phần mềm diệt virut có bảnquyền được hỗ trợ từ nhà sản xuất cho thấy mức độ chú trọng tới công tác bảo mật củatừng máy tính của nhân viên còn chưa cao

Theo như khảo sát thì ở các máy tính của công ty đểu sử dụng các phương phápđảm bảo cho dữ liệu của máy tính: 20% số máy tính sử dụng ổ cứng độ bền cao chomáy tính để đảm bảo về dữ liệu, 30% lại sử dụng giải pháp đồng bộ lên mạng còn lại50% sử dụng phương pháp sao lưu liên tục Qua việc thực hiện các biện pháp có thểthấy được rằng doanh nghiệp đã có những biện pháp cụ thể để đảm bảo an toàn dữ liệucho doanh nghiệp mình

Hệ thống thư điện tử được cấp từ hòm mail của công ty, đảm bảo 1 địa chỉ cốđịnh để liên lạc với các nhân viên Hệ thống được định kỳ bảo trì 6 tháng/lần tương đốitốt Nội dung bảo trì bao quát và có trọng tâm trọng điểm

3.1.2 Những vấn đề tồn tại chưa được giải quyết

Các hình thức bảo đảm an toàn và bảo mật thông tin, dữ liệu trong Công ty chưa đủ đểđảm bảo mục tiêu an toàn bảo mật của hệ thống, kiến thức về HTTT và ATTT của nhân viêntrong Doanh Nghiệp chưa cao, dẫn đến nhiều nguy cơ mất ATTT của doanh nghiệp

Doanh Nghiệp vẫn chưa thực sự ứng dụng TMĐT trong kinh doanh, trong khicác lợi ích mà TMĐT mang lại cho Doanh Nghiệp là rất lớn, khó khăn này một phần

do các hạn chế của Doanh Nghiệp Môi trường mạng hiện nay mang nhiều rủi ro, độtin cậy của các phương tiện điện tử cũng như tính pháp lý của các giao dịch điện tửchưa cao cũng là lý do làm cho doanh nghiệp ít mặn mà với TMĐT

Hạ tầng kỹ thuật CNTT Công ty TNHH máy và thiết bị công nghiệp Việt Namvẫn chưa đảm bảo được tính đồng bộ một cách tối ưu nhất Doanh Nghiệp chưa có cơchế hay phần mềm kiểm tra kết nối giữa máy chủ và các máy đặt ở phòng ban, chưa có

cơ chế tự động thông báo Khi một máy tính tại một phòng ban bị hư hỏng cần sửachữa thì chưa có cơ chế tự động thông báo, mà việc thông báo sửa chữa là hoàn toànthủ công

3.1.3 Nguyên nhân của những tồn tại trên

+ Lãnh đạo chưa quan tâm và nhận thức được tầm quan trọng của CNTT ứngdụng trong doanh nghiệp mình để từ đó

+ Chưa đáp ứng được công nghệ, nhân viên chuyên trách về CNTT, HTTT

+ Lĩnh vực hoạt động của Doanh Nghiệp không liên quan đến IT hay các ngànhnghề về thông tin khác nên chưa ý thức, cũng như chưa thực sự quân tâm sát sao đếnvấn đề này

+Về mặt kỹ thuật, các website của doanh nghiệp thường được xây dựng thông quamột bên thứ ba, nhưng hầu hết các công ty xây dựng website ở Việt Nam chưa có tiêuchuẩn hoặc có quy trình kiểm soát các vấn đề về bảo mật trong quá trình xây dựng

+ Nền kinh tế Việt Nam nói chung và thế giới nói riêng gặp khủng hoảng nặng

nề khiến ngân sách bị hạn chế nên việc đầu tư vào CNTT, HTTT gặp nhiều hạn chế

- Phương hướng giải quyết:

+ Về lâu dài Doanh Nghiệp cần các hệ quản trị cơ sở dữ liệu có dung lượng lớn

và hỗ trợ nhiều hơn đảm bảo trong việc lưu trữ và quản lý CSDL đáp ứng nhu cầu sửdụng của các phòng ban khác nhau trong Doanh Nghiệp

+ Yêu cầu phải gắn kết, phối hợp đồng bộ ứng dụng CNTT với chương trình

hoạt động phát triển của Doanh Nghiệp

3.1.4 Những bài học kinh nghiệm

Điển hình là cuộc tiến công vào hệ thống của Công ty cổ phần truyền thông ViệtNam (VCCorp) vào tháng 10-2014, tin tặc cài phần mềm gián điệp theo dõi hệ thốngcủa VCCorp trong gần sáu tháng rồi mới tiến hành phá hoại Hậu quả là hàng trămtrang thông tin điện tử tổng hợp, báo điện tử được đặt trên hệ thống của VCCorp đồngloạt ngừng hoạt động, một số nội dung và trang chủ bị thay đổi, tên miền bị chuyểnhướng sang địa chỉ khác

Ngày 29/7 vừa qua, sự cố tin tặc tấn công vào hệ thống thông tin của sân bay NộiBài và trang chủ Vietnam Airlines, lấy cắp đi hơn 400 ngàn dữ liệu khách hàng quantrọng, đã dấy lên nỗi lo ngại về an toàn, an ninh mạng trong người dân Thủ phạmtrong vụ việc này được cho là 1937cN, một nhóm tin tặc đến từ Trung Quốc

- Từ đó ta rút ra được 5 bài học

 Phải đầu tư cơ sở hạ tầng

 Nâng cao trình độ nhân viên

 Nâng cao an toàn bảo mật thông tin về mọi mặt

 Sử dụng những công nghệ, kỹ thuật phù hợp với Doanh Nghiệp

3.2 Phương hướng phát triền và đề xuất vấn đề nghiên cứu của công ty trách nhiệm hữ hạn máy và thiết bị công nghiệp Việt Nam

3.2.1 Phương hướng phát triển

Công nghệ thông tin ngày càng phát triển, nhu cầu sử dụng máy tính của conngười ngày càng cao, nếu như trước kia con người thường phải sử dụng sổ sách rấtnhiều để lưu trữ thông tin một cách thủ công thì hiện nay, việc lưu trữ thông tin nhânviên, khách hàng, dữ liệu công ty, đều ở dạng CSDL Cũng giống như các doanhnghiệp khác, Công ty TNHH máy và thiết bị công nghiệp Việt Nam cũng sử dụng các

hệ quản trị CSDL để lưu trữ tất cả các thông tin của mình

Tuy nhiên, khi đồng thời nhiều người cùng truy cập CSDL với các mục đíchkhác nhau và được quản lý tập trung nên khả năng rủi ro mất dữ liệu rất cao Vì vậy,

để dễ dàng đưa ra các giải pháp nhằm đảm bảo an toàn và bảo mật CSDL ta chia hệthống thành 3 nhóm giải pháp gồm: phần cứng, phần mềm và con người