LỜI CẢM ƠN Trong trình nghiên cứu thực khóa luận tốt nghiệp, em nhận hướng dẫn nhiệt tình giáo viên hướng dẫn ThS Đỗ Thị Thu Hiền, giúp đỡ ban giám đốc tồn thể nhân viên cơng ty TNHH Giải pháp phần mềm Gia Linh Trước hết, em xin gửi lời cám ơn sâu sắc tới giáo viên hướng dẫnThS Đỗ Thị Thu Hiền Giáo viên giúp đỡ em có định hướng đắn thực khóa luận tốt nghiệp kỹ nghiên cứu cần thiết khác Em xin gửi lời cám ơn chân thành tới ban giám đốc anh/chị làm việc công ty TNHH Giải pháp phần mềm Gia Linh quan tâm, ủng hộ hỗ trợ cho em trình thực tập thu thập tài liệu Em xin gửi lời cám ơn tới thầy cô giáo khoa Hệ thống thông tin kinh tế Thương mại điện tử động viên khích lệ mà em nhận suốt q trình học tập hồn thành khóa luận Đây đề tài không phức tạp nghiên cứu chuyên sâu vấn đề nhiều giới hạn.Mặt khác, thời gian nghiên cứu khóa luận hạn hẹp, trình độ khả thân em hạn chế.Vì vậy, khóa luận chắn gặp nhiều sai sót Em kính mong cô Đỗ Thị Thu Hiền, thầy cô giáo khoa Hệ thống thông tin kinh tế Thương mại điện tử, anh/ chị nhân viên công ty TNHH Giải pháp phần mềm Gia Linh góp ý, bảo để khóa luận có giá trị lý luận thực tiễn Em xin chân thành cảm ơn! i MỤC LỤC PHỤ LỤC .39 ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Hình Hình 1.1 Hình 2.1 Tên Hình Số trang Biểu đồ cố công mạng nhắm vào Việt Nam năm 2017 hai tháng đầu năm 2018 Cơ cấu máy tổ chức Công ty TNHH Giải pháp Phần mềm 18 Hình 2.2 Hình 2.3 Hình 2.4 Hình 2.5 Hình 2.6 Hình 2.7 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Hình 3.5 Hình 3.6 Hình 3.7 Gia Linh Kết hoạt động sản xuất, kinh doanh cơng ty 2015- 2017 Độ an tồn bảo mật hệ thống thông tin công ty Đánh giá độ an toàn HTTT doanh nghiệp Mức độ quan trọng thành phần HTTT Các phương pháp bảo mật thông tin cho khách hàng Tần suất lưu liệu công ty Một số yêu cầu cài đặt tường lửa pfSense 2.3 Mơ hình triển khai thực tế máy chủ cơng ty Mơ hình triển khai giả lập Cấu hình Routing and Remote Access Kết sau cấu hình Lựa chọn chế độ cài đặt cho máy chủ Cài đặt VLANs cho máy chủ Hình 3.8 Cấu hình Load Balancing 19 24 24 25 25 26 26 31 32 34 34 34 34 35 Hình 3.9 Hình 3.10 Hình 3.11 Hình 3.12 Hình 3.13 Hình 3.14 Hình 3.15 Thiết lập Rule cho Load Balancing Captive Portal Tạo user cho captive portal Cấu hình VPN PPTP Tạo User VPN Tạo Rule cho VPN Cấu hình NAT Inbound cho VPN 36 36 37 37 37 37 38 iii DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt TNHH ATBM ATTT HTTT CNTT CPU CSDL CRM DOS ĐVT NAT SVN LAN Thuật ngữ Central Processing Unit Customer Relationship Management Denial of Service Network Address Translation Version Control System Local Area Network iv Giải nghĩa Trách nhiệm hữu hạn An tồn bảo mật An tồn thơng tin Hệ thống thông tin Công nghệ thông tin Bộ xử lý trung tâm Cơ sở liệu Quản lý quan hệ khách hàng Từ chối dịch vụ Đơn vị tính Chuyển đổi địa mạng Hệ thống quản lý version Mạng cục PHẦN MỞ ĐẦU 1.Tầm quan trọng, ý nghĩa vấn đề nghiên cứu Thông tin nguồn tài sản quan trọng tổ chức, doanh nghiệp cần bảo vệ giá Ngày nay, với đòi hỏi gắt gao mơi trường làm việc nhu cầu chia sẻ thông tin mức tối đa Các tổ chức, doanh nghiệp phải động chia sẻ thơng tin cho nhiều đối tượng khác qua mơi trường khơng an tồn Internet hay Intranet, với việc sử dụng hệ quản trị sở liệu để lưu trữ tập trung hay phân tán thông tin quý giá Do hệ quản trị sở liệu hệ thống mạng máy tính tiêu điểm công nhiều kẻ xấu nhằm chiếm đoạt thông tin Ở mức độ nhẹ, công làm hệ thống sở liệu bị hỏng hóc, hoạt động không ổn định, mát liệu làm cho hoạt động tổ chức, doanh nghiệp bị trì trệ Nghiêm trọng hơn, thơng tin sống tổ chức doanh nghiệp bị tiết lộ, thay đổi làm sụp đổ hồn tồn hệ thống thơng tin tổ chức hay doanh nghiệp Trong trình quản lý quan, doanh nghiệp phải thấy rõ tầm quan trọng hệ thống thơng tin (HTTT) Nó giúp doanh nghiệp đáp ứng nhu cầu khách hàng mà nâng cao lực sản xuất, giúp cho doanh nghiệp có đủ sức cạnh tranh với thị trường nước Có thể coi HTTT thành phần quan trọng doanh nghiệp, định hoạt động hàng ngày doanh nghiệp Nhưng tầm quan trọng mà HTTT bị an tồn gây thiệt hại nặng nề cho doanh nghiệp Chính vậy, cần có giải pháp để nâng cao an toàn bảo mật (ATBM) cho HTTT doanh nghiệp Công ty TNHH giải pháp phần mềm Gia Linh chuyên phân phối sản phẩm phần mềm đóng gói, gia cơng phần mềm, cung cấp dịch vụ thiết kế website, dịch vụ phát triển ứng dụng thiết bị di động giải pháp cổng thông tin điện tử Các thông tin liên quan đến nhà cung cấp, đối tác, khách hàng, quyền phần mềm… quan trọng Nó ảnh hưởng trực tiếp gián tiếp đến hoạt động kinh doanh sản xuất công ty Tuy nhiên, cơng ty chưa có đầu tư mức cho vấn đề ATBM hệ thống thơng tin Do qua q trình tìm hiểu thực tập công TNHH giải pháp phần mềm Gia Linh em xin thực đề tài khoá luận : “ Mục tiêu nhiệm vụ nghiên cứu Mục tiêu nghiên cứu đề tài tập hợp hệ thống hóa số lý thuyết an tồn thơng tin bảo mật liệu HTTT, nghiên cứu phương pháp khác thu thập sở liệu sơ cấp thứ cấp Từ đó, xem xét đánh giá phân tích thực trạng vấn đề ATBM HTTT để đưa ưu, nhược điểm Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an tồn thơng tin bảo mật liệu HTTT Giúp cho công ty nhận diện nguy thách thức vấn đề ATBM HTTT Từ đó, có giải pháp nâng cao tính ATBM, ngăn chặn nguy công HTTT tương lai Các mục tiêu cụ thể cần giải đề tài: - Làm rõ sở lý luận ATBM HTTT công ty TNHH giải pháp phần mềm Gia Linh - Đánh giá thực trạng ATBM HTTT công ty TNHH giải pháp phần mềm Gia Linh dựa tài liệu thu thập - Trên sở lý luận thực trạng đề giải pháp nâng cao ATBM HTTT công ty TNHH giải pháp phần mềm Gia Linh Đối tượng phạm vi nghiên cứu đề tài  Đối tượng đề tài: - Vấn đề an tồn thơng tin bảo mật liệu HTTT công ty TNHH giải pháp phần mềm Gia Linh - Các giải pháp công nghệ giải pháp người để đảm bảo ATBM HTTT công ty - HTTT cơng ty - Các sách phát triển đảm bảo ATBM thông tin công ty - Các giải pháp ATBM giới áp dụng cho HTTT công ty  Phạm vi nghiên cứu: đề tài nghiên cứu khóa luận sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: - Về không gian: Đề tài tập trung nghiên cứu tình hình an tồn thơng tin bảo mật liệu HTTT công ty TNHH giải pháp phần mềm Gia Linh nhằm đưa số giải pháp nâng cao ATBM HTTT Về thời gian: Các hoạt động ATBM HTTT công ty thông qua báo cáo kinh doanh, số liệu khảo sát từ năm 2015 đến năm 2017, đồng thời trình bày nhóm giải pháp, định hướng phát triển tương lai công ty Phương pháp nghiên cứu đề tài  Phương pháp thu thập liệu Phương pháp vấn: Phỏng vấn ban lãnh đạo công ty nhân viên phòng ban (kế tốn, kinh doanh, kỹ thuật) chủ yếu xoay quanh vấn đề: Việc đảm bảo an tồn thơng tin cơng ty nào? Cơng ty hay gặp cố vấn đề bảo mật thông tin? thách thức lớn an toàn bảo mật liệu công ty giai đoạn nay? Nhân viên công ty ý thức vấn đề an tồn thơng tin giao trách nhiệm phải đảm bảo an tồn hệ thống thơng tin chưa? Cách thức tiến hành: Hẹn trước đến công ty gặp, chuẩn bị trước câu hỏi vấn với đối tượng Không vấn tất đối tượng vào ngày cụ thể nào, ban lãnh đạo bận, khơng có nhiều thời gian nên tranh thủ vấn đối tượng vào thời gian Phương pháp pháp thu thập liệu sơ cấp: Nội dung: Phiếu điều tra gồm 34 câu hỏi, câu hỏi xoay quanh hoạt động đảm bảo ATBM HTTT triển khai hiệu hoạt động công ty TNHH giải pháp phần mềm Gia Linh Cách thức tiến hành: Bảng câu hỏi gửi cho 10 nhân viên công ty để thu thập ý kiến Mục đích: Nhằm thu thập thông tin hoạt động ATBM HTTT cơng ty để từ đánh giá thực trạng triển khai đưa giải pháp nhằm nâng cao hiệu hoạt động đảm bảo ATBM HTTT công ty TNHH giải pháp phần mềm Gia Linh Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cấp thông tin thu thập xử lý trước mục tiêu khác công ty - Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh cơng ty vòng năm: 2015, 2016, 2017 đượct hu thập từ phòng hành chính, kế tốn, phòng nhân cơng ty, từ phiếu điều tra vấn tài liệu thống kê khác - Nguồn tài liệu bên ngồi: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan đến đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thơng tin cần thiết ta tiến hành phân loại sơ tài liệu Từ rút kết luận có cần thêm tài liệu bổ sung vào, đủ tiến hành bước xử lý liệu Phương pháp sử dụng cho chương khóa luận để thu thập liệu liên quan đến vấn đề ATBM công ty TNHH giải pháp phần mềm Gia Linh  Phương pháp xử lý liệu Sau phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật, ta tiến hành tổng hợp tài liệu, có nhìn tổng quan hồn cảnh cụ thể tình hình nghiên cứu có liên quan đến đề tài Q trình xử lý thơng tin sử dụng hai phương pháp chính: - Phương pháp so sánh : Mục đích so sánh đánh giá lợi ích cơng ty vận dụng giải pháp an tồn bảo mật thơng tin so với cơng ty chưa áp dụng giải pháp an tồn bảo mật phục vụ cho hoạt động kinh doanh - Phân tích, tổng hợp thơng tin thơng qua câu hỏi vấn, phiếu điều tra loại tài liệu thu Phương pháp sử dụng cho chương khóa luận nhằm tìm ngun nhân, thực trạng vấn đề ATBM HTTT công ty TNHH giải pháp phần mềm Gia Linh, để từ đề xuất giải pháp phù hợp Kết cấu khóa luận Khóa luận gồm ba chương: Chương : Cơ sở lí luận an tồn thơng tin bảo mật sở liệu Chương 2: Thực trạng an tồn thơng tin bảo mật sở liệu công ty TNHH Giải pháp phần mềm Gia Linh Chương 3: Định hướng pháp triển đề xuất giải pháp đảm bảo an thông tin bảo mật sở liệu công ty CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TỒN THƠNG TIN VÀ BẢO MẬT CƠ SỞ DỮ LIỆU 1.1 Một số khái niệm 1.1.1 Khái niệm về dữ liệu, thông tin và hệ thống thông tin Trong lịch sử tồn phát triển mình, người thường xuyên cần đến thông tin Ngày nay, với bùng nổ thông tin, thông tin trở thành nhu cầu sống người khái niệm "thông tin" trở thành khái niệm bản, chung nhiều khoa học Để đưa khái niệm thông tin, trước hết ta cần hiểu liệu? Dữ liệu kiện quan sát tượng vật lý giao dịch kinh doanh, liệu giá trị phản ánh vật, tượng giới khách quan, bao gồm tập giá trị mà người dùng chưa biết liên hệ giá trị (Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất thống kê, tr.21) Thông tin liệu tổ chức, doanh nghiệp sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có thân liệu Thơng tin liệu qua xử lí (phân tích, tổng hợp, thống kê) có ý nghĩa thiết thực, phù hợp với mục đích cụ thể người sử dụng (Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất thống kê, tr.22) Hệ thống thông tin tập phần cứng, phần mềm, sở liệu, mạng viễn thông, người quy trình thủ tục khác nhằm thu thập, xử lí, lưu trữ truyền phát thơng tin tổ chức, doanh nghiệp Hệ thống thông tin hỗ trợ việc định, phân tích tình hình, lập kế hoạch, phân phối kiểm sốt hoạt động tổ chức, doanh nghiệp (Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất Thống kê, tr.37) 1.1.2 Khái niệm về an toàn và bảo mật dữ liệu An toàn liệu (Data Security) hiểu q trình đảm bảo cho hệ thống tránh khỏi nguy hỏng hóc mát liệu Các nguy ngẫu nhiên (do tai nạn) có chủ định(bị phá hoại từ bên ngồi) Việc bảo vệ liệu thực thiết bị phần cứng (các hệ thống Backup liệu…) hay chương trình phần mềm (trình diệt Virus, chương trình mã hóa…) (Đàm Gia Mạnh (2009), Giáo trình An toàn liệu thương mại điện tử, Nhà xuất Thống kê, tr.20) Bảo mật liệu phần thiếu làm cho hệ thống thơng tin trở nên an tồn HTTT coi an tồn khơng bị hỏng hóc, thay đổi, chép xóa bỏ bở người khơng phép Một HTTT an tồn cố xảy làm cho hoạt động chủ yếu ngừng hẳn chúng khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu ATTT trình đảm bảo cho hệ thống liệu tránh khỏi nguy hỏng hóc mát Các nguy tiềm ẩn khả an tồn thơng tin ngẫu nhiên thiên tai, hỏng vật lý, điện… nguy có chủ định tin tặc, cá nhân bên ngồi, phá hỏng vật lí, can thiệp có chủ ý 1.2 Mợt số lí thuyết đảm bảo an tồn thơng tin bảo mật sở liệu doanh nghiệp 1.2.1 Các yêu cầu an toàn dữ liệu An toàn liệu vấn đề phức tạp, liên quan đến nhiều yêu tố khác Các yếu tố cần giải bao gồm: tính bảo mật, tính tồn vẹn, tính sẵn sàng tính tin cậy Tính bảo mật cho yêu cầu việc đảm bảo an toàn liệu, đảm bảo cho liệu người sử dụng bảo vệ, không bị mát Nói khác phải đảm bảo người phép sử dụng (và sử dụng được) thơng tin Thơng tin tính bảo mật khơng bị truy nhập, chép hay sử dụng trái phép người không sở hữu Trên thực tế, thừa nhiều thông tin người sử dụng cần phải đạt độ bảo mật cao chẳng hạn mã số thẻ tín dụng, số thẻ bảo hiểm xã hội…Vì nói u cầu quan trọng tính an tồn hệ thống thơng tin Tính tồn vẹn: Trong an tồn liệu, tính tồn vẹn có nghĩa liệu khơng bị mát, sửa đổi hay xóa người khơng sở hữu Tính tồn vẹn đề cập đến khả đảm bảo cho thông tin không bị thay đổi nội dung cách người khơng phép q trình truyền thơng Chính sách tồn vẹn liệu phải đảm bảo cho người phép thay đổi liệu người không phép thay đổi liệu Dữ liệu thực tế vi phạm tính tồn vẹn hệ Mơ hình thực trình máy ảo WMWare Workstation, cụ thể: Máy ảo Windows Server 2003 - Có network interface:  Interface ( interface mặc định) bridge để kết nối Internet IP 192.168.0.2/24, gateway 192.168.0.1/24  Interface thứ hai Adapter nối với VMnet 2: IP 192.168.1.1/24  Interface thứ ba Adapter nối với VMnet 3: IP 192.168.2.1/24 Máy ảo pfSense - Có network interface, interface nối với interface Windows Server 2003 để có đường internet, interface nối vào LAN  Interface (interface mặc định nối vào VMnet với IP 192.168.1.2/24 (gateway 192.168.1.1)  Interface thứ hai Adapter nối vào VMnet với IP 192.168.2.2/24 (gatewat 192.168.2.1)  Interface thứ Adapter nối vào VMnet (interface LAN) với IP 10.0.0.1/24 Bước 2: Cài đặt hệ thớng • Cài đặt Routing and Remote Access Windows Server 2003 Mục đích làm bước để giả lập kết nối internet (WAN) Nếu có đường kết nối internet khơng cần thực bước mà kết nối thẳng hai đường vào interface máy pfSense Sau thêm interface cấu hình IP cho interface Bắt đầy cấu hình Routing and Remote Access Vào Administrator tool => Routing and Remote Access Chọn Configure and Enable để bật chức Routing and Remote Access 28 Hình 3.4 Cấu hình Routing and Remote Access cho máy chủ Hình 3.5 Kết sau cấu hình • Cài đặt pfSense Cài đặt pfSense cách bình thường Lưu ý đến bước chọn chế độ, nhớ nhấn 99 để vào chế độ cài đặt Hình 3.6 Lựa chọn chế độ cài đặt cho máy chủ Chọn n (no) setup VLANs Hình 3.7 Cài đặt VLANs cho máy chủ 29 Bước tiếp theo, tiến hành gán interface vào interface LAN, WAN, OPT1 (OPT1 interface tùy chọn thêm, có nhiệm vụ làm interface WAN thứ 2) Trong trường hợp này, em0 interface WAN (ứng với card VMnet 2), em1 interface OPT1 (ứng với VMnet 3) em2 interface LAN (ứng với VMnet 4) Sau khai báo LAN interface Tiến hành gán IP cho card LAN cách chọn số hình console, sau gán IP LAN xong, truy cập vào webConfiguration pfSense cách vào trình duyệt web gõ http:// $địa_chỉ_interface_LAN (ở http://10.0.0.1), đăng nhập tài khoản mặc định (admin/pfSense) 3.2.1.2 Cấu hình Firewall pfSense Firewall pfSense hoạt động thiết bị mạng tổng hợp với đầy đủ tính năng, nhiên cần triển khai số tính phù hợp với thực trạng khảo sát cơng ty Gia Linh • Cấu hình Load Balancing Đây chức giúp điều phối mạng hay gọi cân tải Có loại load balancing pfSense: – Gateway load balancing: dùng có nhiều kết nối WAN Client bên LAN muốn kết nối ngồi Internet pfSense lựa chọn card WAN để chuyển packet card giúp cho việc cân tải cho đường truyền – Server load balancing: cho phép cân tải cho server Được dùng phổ biến cho web server, mail server server khơng hoạt động bị xóa Để cấu hình Load Balancing Ta chọn Services => Load Balancer Tại Behavior => Chọn vào Load Balancing Sau đưa danh sách WAN OPT1 vào danh sách Load balancing Chọn Save để lưu lai thơng tin cấu hình Hình 3.8 Cấu hình Load Balancing 30 Cấu hình Firewall Rule Tính giúp người quản trị thiết lập các, sách quản lý truy cập người dùng, điều chỉnh hướng gói tin hệ thống Mặc định, không thiết lập rule Firewall Rules, PfSense chặn tất các traffic đến ngang qua, từ máy PfSense tất hướng có kết nối với Tạo Rules phép ta quản lý traffic qua cổng LAN WAN PfSense Ta Block, Pass Reject traffic qua interface áp dụng Rules Vào Firewall => Rules, sau thiết lập Rule tab LAN Hình 3.9 Thiết lập Rule cho Load Balancing • Cấu hình Captive Portal Tính cho phép quản trị chuyển hướng client tới trang web khác, từ trang web client phải chứng thực trước kết nối tới internet Tính captive portal nằm mục Services => Captive Portal Hình 3.10 Captive Portal Tạo trang index.htm có nội dung: Rồi chọn browse… portal page content up file lên Bấm Save để lưu lại Cuối ta tạo user tab user captive portal 31 • Hình 3.11 Tạo user cho captive portal Cấu hình VPN Server Cho phép máy tính nhân viên truyền thông với thông qua môi trường chia sẻ mạng Internet đảm bảo tính riêng tư bảo mật liệu Để cấu hình VPN Server máy pfSense, ta chọn VPN => PPTP Hình 3.12 Cấu hình VPN PPTP Tạo User cho phép VPN Client kết nối VPN vào máy VPN Server Hình 3.13 Tạo User VPN Tạo Rule mở Port 1723 Hình 3.14 Tạo Rule cho VPN 32 • Cấu hình NAT Inbound cho VPN Client kết nối đến pfSense PfSense hỗ trợ tính NAT để quản trị Publish Web, Mail internet NAT outside cho mail server ngồi Internet để User nhận gửi mail nhà Chọn menu Firewall => NAT Hình 3.15 Cấu hình NAT Inbound cho VPN 3.2.2 Nâng cao hiệu quả quản lý sở dữ liệu Hiện tại, công ty đưa giải pháp cơng nghệ chưa xây dựng với sách bảo mật Hiện tại, Cơng ty TNHH giải pháp phần mềm Gia Linh sử dụng hệ quản trị CSDL SQL Server 2014 với tính như: mã hóa suốt hiệu quả, khả giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL cơng cụ sách, khả tích hợp với System Center, lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng,… Tuy hệ quản trị có nhiều chức trội để nâng cao hiệu ATBM HTTT, công ty cần quan tâm tới số vấn đề sau:  - Thiết lập cấu hình sơ liệu an toàn Luôn cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu Gỡ bỏ sở liệu khơng sử dụng - Có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật ký CSDL với nội dung như: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi,  Tổ chức quản lý tài khoản Các tài khoản định danh người dùng hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thơng tin tháng lần thông qua công cụ hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, công chức, viên chức chuyến công tác, chấm dứt hợp đồng lao động 33  Quản lý đăng nhập hệ thống Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống Hệ thống tự động khóa tài khoản lập tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa (quay số, internet, ), đăng nhập có chức quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật  Tổ chức quản lý tài nguyên Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, tuyệt đối không chia sẻ toàn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục nên sử dụng mật để bảo vệ thông tin Bên cạnh việc bảo mật liệu mềm máy tính, cơng ty ln phải ý tới tính an tồn bảo mật liệu cứng như: báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất,… Các tài liệu việc bảo quản cẩn thận tủ hồ sơ công ty cần lưu để lưu trữ máy chủ CSDL công ty 3.3 Đề xuất kiến nghị nhằm nâng cao tính bảo mật liệu 3.3.1 Một số đề xuất đối với công ty Để thực giải pháp mà đề tài đề cập tới cơng ty cần cân nhắc nhiều yếu tố, tài chính, người quan trọng thay đổi hệ thống nhanh gọn được.Việc nâng cấp hệ thống gặp nhiều khó khăn, thời gian gây số thiệt hại định không triển khai quy trình Vì vậy, cần phân tích thực trạng rõ rang để xác định thời nâng cấp hệ thống gây ảnh hưởng thấp Đầu tư hệ thống phần mềm quyền để đảm bảo hệ thống phần mềm sử dụng công ty cập nhật vá lỗi lỗ hổng phiên cũ Điểu đảm bảo hệ thống tránh cơng hacker ln tìm cách công vào lỗ hổng hệ điều hành virus tránh ngăn chặn từ phần mềm diệt virus khơng có quyền 34 Các hoạt động kinh doanh cần thực theo nguyên tắc đảm bảo an tồn bảo mật, sách an tồn thơng tin cơng ty cần cụ thể áp dụng cho phòng ban, phòng ban phải có quy định riêng để đảm bảo an tồn bảo mật cho phòng ban Vấn đề lưu liệu cần thực ngày theo quy định cụ thể Cần có khu vực riêng để lưu liệu khu vực quy định chặt chẽ quyền truy cập thao tác Con người yếu tố cốt lõi HTTT quản lí an tồn Vì ban lãnh đạo cơng ty cần có nhiều biện pháp tuyên truyền, giáo dục, nâng cao hiểu biết nhân viên tầm quan trọng ATBM Nêu cao tinh thần cảnh giác hình thức cơng liệu Kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật HTTT cho cơng ty Mặt khác, Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATBM HTTT Cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng Tất thông tin khách hàng, đối tác hay thông tin nội cơng ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính khơng mang khỏi công ty Giáo dục đạo đức cho nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán nhân viên 3.2.2 Một số đề xuất với các cấp quản lí nhà nước Tiếp tục nghiên cứu hoàn thiện Luật Giao dịch điện tử, Luật Công nghệ thông tin, nghị định, văn hướng dẫn áp dụng luật Nhà nước cho phù hợp, đáp ứng yêu cầu hội nhập với điều luật quốc tế Đào tạo nguồn nhân lực cho ATBM HTTT: Để đẩy mạnh chương trình ATBM HTTT nhu cầu nguồn nhân lực am hiểu CNTT có trình độ chun mơn cần thiết Do đó, thời gian tới công tác đào tạo nguồn nhân lực cho ATBM HTTT cần: + Đẩy mạnh tiến độ chương trình dự án phát triển nguồn nhân lực CNTT, quản trị HTTT phủ phê duyệt 35 + Mở rộng, tăng tiêu tuyển sinh đào tạo chuyên ngành CNTT, TMĐT trường đại học, cao đẳng, trung học chuyên nghiệp Khuyến khích cá nhân, tổ chức, doanh nghiệp nước mở lớp đào tạo CNTT, HTTT TMĐT + Đối với Bộ Giáo Dục Đào Tạo cần tạo điều kiện khuyến khích trường đại học, cao đẳng, trung học chuyên nghiệp mở chuyên ngành giảng dạy an toàn bảo mật thơng tin, HTTT Đồng thời tham gia vào q trình soạn thảo tài liệu giảng dạy an toàn bảo mật thông tin, HTTT với trường 36 KẾT LUẬN CỦA KHÓA LUẬN Ngày nay, với phát triển công nghệ thông tin, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp người đến gần Các cơng ty có hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh chia sẻ thông tin Bên cạnh đó, cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Vì vậy, việc đảm bảo nâng cao an tồn bảo mật thơng tin HTTT doanh nghiệp quan tâm hàng đầu Công ty TNHH giải pháp phần mềm Gia Linh phát triển, với việc mở rộng kinh doanh, tăng số lượng chi nhánh Cho nên vấn đề an tồn bảo mật HTTT cơng ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an toàn bảo mật HTTT Tuy nhiên, giải pháp an toàn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công HTTT Cho nên em đề xuất giải pháp như: Việc quản trị nâng cao nhận thức cho nhân viên, nâng cao việc lưu trữ mã hoá liệu, sử dụng phần mềm ngăn chặn nguy công liệu Với đề tài “Các giải pháp nâng cao an tồn bảo mật HTTT cơng ty TNHH giải pháp phần mềm Gia Linh” đề tài đòi hỏi nghiên cứu lâu dài mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng kinh nghiệm lĩnh vực Là sinh viên thực tập, tầm hiểu biết, kinh nghiệm hạn chế, khóa luận thiếu nhiều thiếu sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hoàn chỉnh 37 DANH MỤC TÀI LIỆU THAM KHẢO A Tài liệu tham khảo Tiếng Việt: Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống Kê Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Nhà xuất thống kê Nguyễn Thanh Cường (2004), Giáo trình mạng máy tính hệ thống bảo mật, NXB Thống Kê Phan Đình Diệu (2002), Lý thuyết mật mã an tồn thơng tin, Đại Học Quốc Gia Hà Nội Thái Hồng Nhị, Phạm Minh Việt (2004), Giáo trình an tồn thơng tin mạng máy tính, truyền số truyền liệu, Học viện khoa học kĩ thuật B Tài liệu tham khảo Tiếng Anh: Andrew Lockhart (2004), Network Security Hacks, O’Reilly William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall Moldovyan, N.Modovyan (2007), Innovative Cryptography, Charler River Media C Tài liệu tham khảo website: http://www.kaspersky.nst.com.vn http:// www.quantrimang.com.vn http:// www.gialinh.net https://congnghe.tuoitre.vn PHỤ LỤC PHIẾU ĐIỀU TRA Phiếu điều tra cho 10 người Độ tuổi từ 25 - 50 tuổi Thuộc công ty TNHH giải pháp phần mềm Gia Linh Mẫu phiếu bao gồm câu hỏi Xin chào anh/chị Em sinh viên thực tập thuộc trường Đại học Thương mại Hà Nội Hiện em thực tập tìm hiểu thực trạng cơng ty Kính mong anh/chị dành thời gian trả lời giúp em số phát biểu sau Xin lưu ý khơng có câu trả lời sai, tất ý kiến trả lời có giá trị hữu ích cho việc nghiên cứu em Em mong nhận hỗ trợ nhiệt tình anh/chị I THƠNG TIN CHUNG VỀ CƠNG TY: 1.Tên cơng ty: 2.Địa chỉ: 3.Điện thoại: Fax: 4.Địa Website: Email: 5.Năm thành lập công ty: 6.Tổng giám đốc/Giám đốc: 7.Số lượng cán công nhân viên công ty: 8.Số chi nhánh, đơn vị trực thuộc: 9.Loại hình doanh nghiệp: II HẠ TẦNG KỸ THUẬT CNTT: 1.Tổng số máy tính :……chiếc Số lượng máy trạm cơng ty (bao gồm máy tính để bàn, xách tay): …… Cấu hình máy trạm :………………………………………………… Số lượng máy chủ :…………………………………………………………… Cấu hình máy chủ :…………………………………………………………… 2.Kết nối mạng nội bộ: a.Có b.Khơng Nếu có, xin cho biết số lượng mạng nội bộ:……… III HẠ TẦNG NHÂN LỰC HTTT: Câu 1: Đánh giá độ an tồn bảo mật hệ thống thơng tin cơng ty? a Rất an toàn b Tương đối an toàn c Kém an toàn Câu 2: Mức độ quan trọng thành phần HTTT công ty nào? a a b c d .Phần cứng Phần mềm Con người Mạng Cơ sở liệu Câu 3: Hiện cơng ty làm để tiến hành bảo mật thông tin cho khách hàng? a b c d e Quản lý email Quản lý website Quản lý server máy chủ Quản lý hệ thống hướng dẫn Quản lý hệ sở liệu Câu 4: Tần suất lưu liệu công ty? a b c d tháng lần tháng lần tháng lần Lâu Câu 5: Cách thức bảo vệ CSDL sử dụng Công ty? a b c d Phân quyền người dùng Đặt password Mã hóa tài liệu Tất Câu 6: Thách thức lớn an tồn bảo mật liệu cơng ty gì? a Ngân sách b Nhân lực Câu 7: Trong thời gian tới công ty dự định chi cho công tác bảo mật thông tin liệu? a .< 30 triệu b 30 – 70 triệu c 70 triệu Xin vui lòng cho biết: Họ tên người điều tra : Vị tí cơng tác : Điện thoại : Email : Ngày….tháng….năm 2018 Người khai ký tên PHỤ LỤC DANH SÁCH NGƯỜI GỬI PHIẾU ĐIỀU TRA Tống Văn Anh – Phó giám đốc công ty Vũ Đức Minh – Trưởng phòng kinh doanh Trương Thị Phượng – NV phòng tài kế tốn Bùi Thị Thu Hằng – Trưởng phòng tài kế tốn Lê Ánh Tuyết – NV phòng nhân Trần Thị Mai – NV phòng kĩ thuật Đỗ Quang Anh – Trưởng phòng kĩ thuật Nguyễn Văn Minh – NV phòng kĩ thuật Nguyễn Minh Thành – NV phòng kĩ thuật 10 Hồng Thị Hằng – NV phòng kĩ thuật ... an tồn thơng tin bảo mật sở liệu Chương 2: Thực trạng an toàn thông tin bảo mật sở liệu công ty TNHH Giải pháp phần mềm Gia Linh Chương 3: Định hướng pháp triển đề xuất giải pháp đảm bảo an thông. .. công ty TNHH giải pháp phần mềm Gia Linh - Các giải pháp công nghệ giải pháp người để đảm bảo ATBM HTTT công ty - HTTT cơng ty - Các sách phát triển đảm bảo ATBM thông tin công ty - Các giải pháp. .. www.gialinh.net Email: info@gialinh.net Công ty TNHH Giải pháp phần mềm Gia Linh thành lập vào năm 2011, với tên gọi đầy đủ đăng kí giấy tờ kinh doanh hợp pháp Công ty TNHH Giải pháp phần mềm Gia