Đang tải... (xem toàn văn)
Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS
LỜI CẢM ƠN Qua thời gian học tập, rèn luyện trường Đại học Thương mại thực tập Công ty Cổ phần phát triển nguồn mở dịch vụ FDS em học hỏi tích luỹ nhiều kiến thức quý báu cho Được tiếp xúc với môi trường làm việc thực tế, học hỏi thêm nhiều kinh nghiệm Để hồn thành khóa luận tốt nghiệp nhờ bảo tận tình quý thầy, cô khoa Hệ thống thông tin kinh tế thương mại điện tử, hướng dẫn tận tâm Th.S Nguyễn Thị Hội giúp đỡ anh, chị cán viên chức Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Đồng thời, thơng qua khố luận, em xin tri ân đến tất thầy cô giáo dày công dạy dỗ chúng em suốt năm trường Đại Học Thương Mại Những giá trị mà cô thầy tạo tảng quan trọng cho việc cống hiến phấn đấu chúng em sau Với thời gian nghiên cứu kiến thức hạn chế nên khơng tránh khỏi sai sót q trình phân tích, đánh đưa đề xuất để hoàn thiện giải pháp đảm bảo an tồn thơng tin HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Vì thế, em mong nhận ý kiến đóng góp q thầy cơ, ban lãnh đạo cơng ty để khóa luận hồn thiện Sau cùng, em xin kính chúc q thầy anh chị dồi sức khỏe thành công sống Em xin chân thành cảm ơn Sinh viên thực Vũ Thị Nguyệt 1 MỤC LỤC 2 DANH MỤC CÁC TỪ VIẾT TẮT Từ viết tắt AI ATBM ATTT AVG CIA CNTT CSDL DMZ EAI HTTT IAM IPS IT ITU VNCERT VPN NXB WPA2 Diễn giải Artificial Intelligence Nghĩa tiếng việt Trí tuệ nhân tạo An tồn bảo mật An tồn thơng tin Một phần mềm diệt virus Anti- Virus Guard phát hành Avast Software Central Intelligence Agency Cơ quan tình báo Hoa Kỳ Cơng nghệ thơng tin Cơ sở liệu Vùng mạng trung lập Demilitarized Zone mạng nội mạng internet Tích hợp ứng dụng doanh Enterprise Application Intergration nghiệp Hệ thống thông tin Phần mềm quản lý định danh Identity and Access Management kiểm soát truy câp Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập Information Technology Công nghệ thông tin International Telecomunication Hội Liên hiệp Viễn thông quốc Union tế VietNam Computer Emergency Trung tâm Ứng cứu khẩn cấp Response Teams máy tính Việt Nam Virtual Private Network Mạng riêng ảo Nhà xuất Truy cập bảo vệ không Wi-Fi protected access dây phiên 3 DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ 4 PHẦN MỞ ĐẦU Tầm quan trọng, ý nghĩa tính cấp thiết đề tài ATTT HTTT Ở Việt Nam nguy an tồn thơng tin tăng lên đáng báo động Dựa báo cáo tổng hợp an ninh thông tin hãng bảo mật hàng đầu giớiKaspersky cho biết, năm 2017 có 35% người dùng Internet Việt Nam có khả bị công mạng, xếp thứ giới Hay theo số an ninh mạng (Cyber security Index) năm 2017 Liên hiệp Viễn thông quốc tế (ITU) cho biết Việt Nam đứng thứ 101/193, thấp Indonesia (vị trí thứ 70), Lào (vị trí thứ 77), Campuchia (vị trí thứ 92) Myanmar (vị trí thứ 100) Và hậu năm 2017, Việt Nam bị đe dọa 10.000 vụ công mạng, gây thiệt hại khoảng 12.300 tỷ đồng số liệu từ Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT Bkav cho biết Những số thống kê an toàn việc khai thác thông tin người dùng Việt Nam Cùng với phát triển không gian mạng làm nảy sinh nhiều nguy cơ, thách thức an ninh quốc gia an tồn, lợi ích quan, doanh nghiệp cá nhân Công ty cổ phần phát triển nguồn mở dịch vụ FDS theo tìm hiểu biết công ty xảy vấn đề an tồn thơng tin dù khắc phục khơng đảm bảo tương lai không xảy vấn đề Trong đề tài với mong muốn giúp doanh nghiệp đạt hiệu cao vấn đề đảm bảo an tồn bảo mật thơng tin Em tập trung nghiên cứu sở lý luận lý thuyết an tồn bảo mật thơng tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo mật công ty Để từ khóa luận đưa số giải pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng thiếu an tồn thơng tin Cơng ty cổ phần phát triển nguồn mở dịch vụ FDS Quá trình nghiên cứu góp phần nâng cao nhận thức nhân viên công ty vấn đề an tồn bảo mật, trau dồi thêm thơng tin cần thiết cho nhân viên phục vụ công việc vận hành quản lý HTTT doanh nghiệp Từ thực trạng tình hình an ninh thơng tin cơng ty, thấy tầm quan trọng ý nghĩa việc nghiên cứu đề tài, với kiến thức em học trường tìm hiểu thân em xin lựa chọn đề tài: ‘‘Một số giải pháp đảm bảo an tồn bảo mật thơng tin HTTT công ty Cổ phần phát triển nguồn mở dịch vụ FDS” Mục tiêu nhiệm vụ nghiên cứu Qua nghiên cứu tài liệu tìm hiểu, phân tích thực trạng đảm bảo an tồn bảo mật thông tin Công ty Cổ phần phát triển nguồn mở dịch vụ FDS” thực nhiệm vụ sau: trình bày khái niệm ATBM thông tin khái niệm thông tin, HTTT, ATBM , HTTT bảo mật,… để từ có nhìn tổng qt đối tượng tìm hiểu khóa luận Mục tiêu thứ hai từ số liệu tìm hiểu thực tế nghiên cứu phân tích thực trạng doanh nghiệp Từ đó, dựa thực trạng lý thuyết an toàn bảo mật thơng tin HTTT nói chung, khóa luận đưa số giải pháp nhằm nâng cao hiệu an tồn bảo mật thơng tin cho HTTT công ty cổ phần phát triển nguồn mở dịch vụ FDS Đối tượng phạm vi nghiên cứu Là đề tài nghiên cứu khóa luận sinh nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn Cụ thể: Về không gian: đưa giải pháp đảm bảo an tồn thơng tin cho hệ thống thông tin Công ty Cổ phần phát triển nguồn mở dịch vụ FDS Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày nhóm giải pháp định hướng phát triển tương lai Phương pháp nghiên cứu đề tài 4.1 Khái niệm phương pháp nghiên cứu Phương pháp nghiên cứu cách thức, đường, phương tiện thu thập, xử lý thông tin khoa học (số liệu, kiện) nhằm làm sáng tỏ vấn đề nghiên cứu để giải nhiệm vụ nghiên cứu cuối đạt mục đích nghiên cứu Nói cách khác: Phương pháp nghiên cứu khoa học phương thức thu thập xử lý thông tin khoa học nhằm mục đích thiết lập mối liên hệ quan hệ phụ thuộc có tính quy luật xây dựng lý luận khoa học Có hai loại phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo công ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thông tin mặt doanh nghiệp - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình công ty 4.2 Các phương pháp sử dụng khóa luận 4.2.1 Phương pháp thu thập số liệu - Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên công ty nội dung phục vụ cho nghiên cứu - Tìm hiểu thơng tin an tồn bảo mật thương mại điện tử qua Internet, qua tài liệu sách báo liên quan đến an toàn bảo mật HTTT - Phương pháp vấn: vấn ban Giám đốc phận IT công ty Phương pháp trưng cầu ý kiến bảng hỏi: lập danh mục câu hỏi khảo sát ý kiến nhân viên ban Giám đốc công ty để phục vụ cho việc đánh giá trình độ nguồn nhân lực trình nghiên cứu - Phương pháp chuyên gia: Hỏi ý kiến chuyên gia lĩnh vực nghiên cứu đề tài để tham khảo đưa định hướng giải tốt mục tiêu đề - Trong phương pháp nêu phương pháp nghiên cứu tài liệu phương pháp vấn phương pháp chủ đạo phương pháp lại phương pháp bổ trợ cho việc nghiên cứu thực đề tài 4.2.2 Phương pháp xử lý liệu: Từ liệu thu thập sau tiến hành vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thơng tin phù hợp với mục đích nghiên cứu đề tài Phương pháp nghiên cứu: - Phương pháp nghiên cứu định tính: quan sát, vấn nhân viên, lãnh đạo công ty, nắm bắt cách chủ quan tình hình an tồn, bảo mật thông tin mặt doanh nghiệp - Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau tổng hợp lạị, từ đưa nhìn xác tình hình cơng ty Kết cấu khóa luận tốt nghiệp Khóa luận chia thành ba phần chính: Chương 1: Cơ sở lí luận an tồn bảo mật thơng tin hệ thống thông tin Chương 2: Cơ sở lý luận thực trạng an tồn bảo mật thơng tin Cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS Chương 3: Định hướng phát triển đề xuất giải pháp an tồn bảo mật hệ thống thơng tin cơng ty FDS CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THỐNG THÔNG TIN 1.1 Một số khái niệm 1.1.1 Khái niệm thông tin, hệ thống thông tin Theo [2] Thông tin liệu tổ chức, doanh nghiệp sử dụng phương thức định cho chúng mang lại giá trị gia tăng so với giá trị vốn có liệu Thơng tin liệu qua xử lý (phân tích, tổng hợp, thống kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể người sử dụng Thơng tin gồm nhiều giá trị liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho vật tượng cụ thể ngữ cảnh Theo [2] Hệ thống thông tin tập hợp phần cứng, phần mềm, sở liệu, mạng viễn thơng, người quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ truyền phát thông tin tổ chức, doanh nghiệp Hệ thống thông tin hỗ trợ việc định, phân tích tình hình, lập kế hoạch, điều phối kiểm soát hoạt động tổ chức, doanh nghiệp Hệ thống thơng tin thủ công dựa vào công cụ thủ công giấy, bút, thước, tủ hồ sơ,… hệ thống thơng tin đại hệ thống tự động hóa dựa vào mạng máy tính thiết bị cơng nghệ khác Hệ thống thông tin bao gồm thành phần (còn gọi năm nguồn lực hay năm nguồn tài ngun) trình bày hình: Hình 1.1: Các thành phần hệ thống thông tin Nguồn lực phần cứng: Trang thiết bị phần cứng hệ thống thông tin gồm thiết bị vật lý sử dụng q trình xử lý thơng tin nhập liệu vào, xử lý truyền phát thông tin Phần cứng thiết bị hữu hình nhìn thấy, cầm nắm Nguồn lực phần mềm: Phần mềm chương trình cài đặt hệ thống, thực công việc quản lý quy trình xử lý hệ thống thơng tin Phần mềm sử dụng để kiểm soát điều phối phần cứng, thực xử lý cung cấp thông tin theo yêu cầu người sử dụng Nguồn lực liệu: Cơ sở liệu tập hợp liệu có tổ chức có liên quan đến lưu trữ thứ cấp (như băng từ, đĩa từ) để phục vụ yêu cầu khai thác thông tin đồng thời nhiều người sử dụng hay nhiều chương trình ứng dụng với mục đích nhiều thời điểm khác Nguồn lực mạng: Mạng máy tính gồm tập hợp máy tính thiết bị kết nối với nhờ đường truyền vật lý theo kiến trúc định dựa giao thức nhằm chia sẻ tài nguyên mạng tổ chức, doanh nghiệp Nguồn lực người: Trong hệ thống thông tin đại, yếu tố người bao gồm tất đối tượng tham gia quản lý, xây dựng, mô tả, lập trình, sử dụng, nâng cấp bảo trì hệ thống Con người coi thành phần quan trọng nhất, đóng vai trò chủ động để tích hợp thành phần hệ thống để đạt hiệu cao hoạt động Tham khảo tài liệu [2] 1.1.2 Khái niệm liệu, an toàn liệu, bảo mật liệu an toàn bảo mật HTTT Theo [1] Dữ liệu khái niệm trừu tượng, thông tin đưa vào máy tính Dữ liệu sau tập hợp lại xử lý cho ta thơng tin Hay nói theo cách khác, liệu thơng tin mã hóa máy tính Vì ta hiểu an tồn liệu an tồn thơng tin máy tính Theo [1] An tồn liệu (Database Security) hiểu trình đảm bảo cho hệ thống tránh khỏi nguy thay đổi chép thơng tin Các nguy ngẫu nhiên (do tai nạn) có chủ định (bị phá hoại từ bên ngoài) Việc bảo vệ liệu thực thiết bị phần cứng (các hệ thống Backup liệu,…) hay chương trình phần mềm (trình diệt Virus, chương trình mã hóa,…) Theo [7] An tồn bảo mật HTTT thơng tin khơng bị hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người khơng phép ATTT trình đảm bảo cho hệ thống liệu tránh khỏi nguy hỏng hóc mát Các nguy tiềm ẩn khả an tồn thơng tin ngẫu nhiên thiên tai, hỏng vật lí, điện… nguy có chủ định tin tặc, cá nhân bên ngồi, phá hỏng vật lí, can thiệp có chủ ý… Một HTTT an tồn cố xảy làm cho hoạt động chủ yếu ngừng hẳn chúng khắc phục kịp thời mà không gây thiệt hại đến cho chủ sở hữu ATTT việc đảm bảo tính bảo mật qua việc đảm bảo liệu người sử dụng bảo vệ, không bị mát Dữ liệu khơng bị tạo ra, sửa đổi hay xóa người không sở hữu trạng thái sẵn sàng Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận 1.2 Tổng quan tình hình nghiên cứu an tồn bảo mật HTTT 1.2.1 Tình hình nghiên cứu ngồi nước - Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition Cuốn sách gồm phần 34 chương bao hàm tất khía cạnh an ninh thơng tin, từ lý thuyết đến ví dụ thực tiễn giúp cho đối tượng người đọc có góc nhìn mong muốn hiểu biết khác hiểu tìm đọc Phần trình bày khái niệm an tồn thơng tin giúp người đọc có nhìn đối tượng nghiên cứu, với tiêu chuẩn, quy định luật an ninh mạng hành, phần giới thiệu tổ chức an ninh mạng hàng đầu giới Các chương vào tìm hiểu nghiên cứu việc ATTT cho thành phần đối tượng bảo mật liệu, mạng, máy tính ứng dụng Tại thành phần nghiên cứu tìm hiểu khái niệm chung, công cụ phương pháp bảo mật tiêu biểu như: giải pháp an ninh mạng Firewall, phương thức bảo vệ mạng Wifi WPA2, mạng riêng ảo VPNs, giải pháp bảo mật cho hệ điều hành, ….Phần cuối tìm hiểu bảo mật mức vật lý Mục tiêu tổng thể sách cung cấp kiến thức thực tiễn ATTT thời kì số hóa ngày - Michael E Whitman Herbert J Mattord, Principles of Information Security, Fourth Edition Ấn thứ tư Nguyên tắc an ninh thông tin, khám phá lĩnh vực bảo mật thông tin đảm bảo nội dung cập nhật bao gồm cải tiến công nghệ phương pháp luận Người đọc tìm hiểu bảo mật tồn diện bao gồm tổng quan lịch sử an ninh thông tin, đánh giá, xác định rủi ro, công nghệ bảo mật Nội dung sách đề cập đến tiêu chuẩn quốc tế, sách bảo mật thông tin nhắm cung cấp kiến thức kĩ mà nhà quản lý thông tin cần biết để đưa định kinh doanh đắn hợp pháp 10 3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security Hiện cơng ty sử dụng phần mềm diệt virus quyền dành cho doanh nghiệp: antivirus (BKAV) dành cho máy chủ máy phòng ban hầu hết nơi chứa liệu quan trọng vào Tuy nhiên, phần mềm diệt virus BKAV công ty không đáp ứng việc đảm bảo an tồn thơng tin Do cơng ty sử dụng Kaspersky doanh nghiệp nhỏ vừa Việt Nam sử dụng phổ biến Cơng ty sử dụng trọn sản phẩm Kaspersky® Small Office Security cho Sever, máy bàn máy tính cá nhân lại nên sử dụng Kaspersky Anti-Virus Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security - Tính Kaspersky® Small Office Security: + Kỹ thuật bảo vệ chủ động có hỗ trợ cơng nghệ điện tốn đám mây bảo vệ thời gian thực khỏi mối đe dọa từ Internet + Quản lý bảo mật tập trung cho máy chủ máy trạm + Kiểm soát truy cập web ứng dụng + Quét tìm lỗ hổng bảo mật cố vấn cách khắc phục + Tự động phát khôi phục khỏi nguy lây nhiễm phần mềm độc hại + Sửa chữa file hỏng bị virus phá + Khả phát virus: Virus máy tính, Trojans, Worms, Keyloggers, , chống phần mềm gián điệp phần mềm quảng cáo Ngồi tính vượt trội Bkav, Kaspersky® Small Office Security có ưu điểm: 3.2.3 37 Bảng 3.1: So sánh BKAV Pro Kaspersky® Small Office Security Tên phần mềm BKAV Pro Kaspersky® Small Office Security 2013 Tính Nhiều tính Rất nhiều tính cao cấp Dung lượng - Còn trống 100MB ổ cứng (tùy thuộc vào CSDL) - CD-ROM (Nếu cài đặt chương trình từ CD) - Kết nối Interner - Microsoft Internet Exploer 5.0 cao - Microsoft Windows Installer 1.0 - Còn trống 1GB ổ cứng (tùy thuộc vào CSDL) - CD-ROM (nếu cài đặt chương trình từ CD) - Kết nối Internet - Microsoft Internet Exploer 6.0 cao -Microsoft Windows Installer 2.0 Thời gian quét virus ngày/lần ngày/lần Độ ổn đinh Không ổn định, hay đột với Ổn đinh, hoạt động tốt với phần phần mềm khác, đặc biệt với phần mềm kế toán mềm kế toán Khả bảo vệ Bảo vệ chưa toàn diện: >90% Bảo vệ hiệu quả: >99% Giá thành cho tất máy tính 10.465.000đồng/năm 10.465.000đồng/năm (Nguồn: Theo điều tra cá nhân) Theo bảng so sánh tính giá Kaspersky® Small Office Security 2013 có nhiều tính vượt trội, khắc phục số lỗi cố hữu mà Bkav chưa khắc phục lỗi xung đột phần mền khả bảo mật đánh giá cao hơn, giá thành hai sản phẩm tương đương, Như vậy, sử dụng Kaspersky® Small Office Security phù hợp với yêu cầu doanh nghiệp hỗ trợ với nhiều tính vượt trội 38 3.2.3 Hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL doanh nghiệp dùng SQL Server 2008 không đáp ứng yêu cầu lưu liệu thường xuyên nay, việc nâng cấp liệu tương lai công ty Đề xuất giải pháp cho vấn đề này, doanh nghiệp sử dụng hệ quản trị CSDL Oracle Database 12c Hệ quản trị CSDL doanh nghiệp dùng SQL Server 2008 không đáp ứng yêu cầu lưu liệu thường xuyên nay, việc nâng cấp liệu tương lai công ty Đề xuất giải pháp cho vấn đề này, doanh nghiệp sử dụng hệ quản trị CSDL Oracle Database 12c Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2008 Oracle Database 12c Tên phần mềm Hệ quản trị CSDL SQL Server 2008 Ngôn ngữ Sử dụng Transact SQL ( T-SQL ), phần mở rộng SQL phát triển Sybase Microsoft sử dụng Kiểm soát giao SQL Server thực thi (execute ) dịch commit command/task cách riêng lẻ điều gây khó khăn khơng thể rollback lại thay đổi có lỗi gặp phải trình thực Tổ chức đối SQL Server tổ chức tất đối tượng sở tượng, table, view, store liệu proceduce, theo tên sở liệu (database names) Một user đăng nhập cấp quyền truy cập vào Database cụ thể tất đối tượng có Database Ngồi ra, SQL Server Database private không chia sẻ file disk server 39 Hệ quản trị CSDL Oracle Database 12c Oracle sử dụng Procedural Language/SQL ( PL/SQL ) PL/SQL phức tạp lại có tiềm mạnh mẽ Các truy vấn thực thi lệnh phát hành, thay đổi thực nhớ (RAM) chưa commit lệnh COMMIT tay thực Sau COMMIT, lệnh bắt đầu transaction mới, trình bắt đầu lại Điều cho thấy tính linh hoạt cao hỗ trợ kiểm soát lỗi tốt Oracle Oracle, tất đối tượng sở liệu (database objects) nhóm Schema, tập hợp đối tượng sở liệu tất đối tượng sở liệu chia sẻ tất Schema người dùng Độ tương thích SQL tương thích với Window Oracle cài Window, Linux, Unix, … Lưu trữ liệu Dữ liệu lớn 1GB SQL Các doanh nghiệp có nhiều Server gặp phải vấn đề truy suất hệ thống, hệ thống cần có chậm liên thơng với hệ thống nên sử dụng Oracle Giá thành 10.465.000đồng/năm 10.465.000đồng/năm (Nguồn: Theo điều tra cá nhân) 3.2.4 Đào tạo nhân lực Do trình độ hiểu biết ATTT nhân viên chưa cao, Cơng ty cần có kế hoạch đào tạo, nâng cao hiểu biết ATTT cho nhân viên Công ty nên chọn nhân viên tiêu biểu để đưa đào tạo chuyên sâu ATTT, đồng thời mời chuyên viên an ninh thơng tin đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên Cơng ty Mặt khác, Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATTT Cơng ty: - Quản lí nghiêm vấn đề đảm bảo giữ bí mật thơng tin khách hàng nhân viên Tất thông tin khách hàng, đối tác hay thông tin nội công ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận - Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu Các loại giấy tờ, thông tin, phần mềm in ấn vi tính khơng mang khỏi cơng ty - Tuyên truyền nâng cao ý thức ATTT cho tất nhân viên Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên - Đào tạo kỹ thuật phòng thủ, chống cơng (Phân tích mã độc, phòng chống mã độc phần mềm gián điệp; Giám sát phân tích hệ thống dò qt lỗ hổng bảo mật; Điều tra, thu thập thông tin cố chứng điện tử; Giám sát thông tin…) - Đào tạo kỹ thuật bảo vệ an tồn hệ thống ứng dụng (Mã hóa, thám mã, che dấu bảo mật nội dung thông tin, Chữ ký số, nhận dạng, xác thực; Tích hợp hệ thống ATTT; Tư vấn thiết kế xây dựng hệ thống mạng an tồn; Lập trình đảm bảo an tồn, Đảm bảo an toàn giao dịch điện tử; Đảm bảo an toàn sở liệu ) 40 - Thường xuyên đưa tin ATTT website nội cơng cụ truyền thơng nội - Có kế hoạch chuẩn bị trước cho cố an toàn thơng tin, ban lãnh đạo thủ trưởng đơn vị có trách nhiệm đạo kịp thời, áp dụng biện pháp để khắc phục hạn chế thiệt hại Ngoài Công ty cần ý tới giải pháp ATTT giao dịch TMĐT như: an toàn chứng thực điện tử, an tồn thư tín điện tử, an toàn mạng riêng ảo, Firewall, Honeypot hệ thống phát xâm nhập, kĩ thuật thăm dò… 3.2.5 Đảm bảo an toàn website 3.2.3.1 Khắc phục lỗ hổng XSS Bản chất lỗi XSS khơng kiểm sốt kỹ liệu nhập đầu vào, biện pháp hiệu kiểm tra kỹ liệu nhập vào từ người dùng, chặn từ khóa nguy hiểm, chấp nhận liệu hợp lệ Một cách khác hay sử dụng mà khơng cần kiểm sốt đầu vào từ người dùng mã hố kí tự đặc biệt trước in website, gây nguy hiểm cho người sử dụng Ví dụ thẻ đổi thành <script>, in hình định dạng mà không gây nguy hiểm cho người sử dụng Ta xem ví dụ sau: Hình 3.3: Lỗi lỗ hổng bảo mật XSS 41 Ta thấy đoạn code biến $row["content"] in trực tiếp mà không qua xử lý Trường content nhập vào từ người dùng nên đoạn code chắn có lỗi XSS Để khắc phục ta mã hóa ký tự đặc biệt HTML với hàm htmlentities() Mã nguồn chỉnh sửa lại sau: Hình 3.4: Khắc phục lỗ hổng bảo mật XSS Ngoài để Bảo vệ thực cách hạn chế tên miền đường dẫn để chấp nhận cookie, thiết lập chúng HttpOnly, sử dụng SSL không lưu trữ liệu bí mật cookie Có thể vơ hiệu hóa việc sử dụng Script cách an toàn từ trang web khách hàng 3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection Cơ chế công SQL injection – SQLI cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt cơng nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu lấy cắp thông tin cá nhân 42 Hình 3.5: Mơ q trình cơng vào lỗ hổng SQL injection Điểm yếu SQL injection bắt nguồn từ việc xử lí liệu người dùng khơng tốt, vấn đề xây dựng mã nguồn đảm bảo an ninh cốt lõi việc phòng chống SQL injection Chính phận lập trình công ty phải xem lại mã nguồn website cơng ty điều chỉnh, xem lại việc chuẩn hóa liệu đầu vào, xây dựng truy vấn theo mô hình tham số hóa, làm liệu đầu vào…Ngồi phải xem biện pháp bảo vệ từ mức tảng hệ thống như: Các lọc ngăn chặn Hầu hết ứng dụng tường lửa web cài đặt mẫu lọc ngăn chặn cấu trúc Các lọc chuỗi modul độc lập gắn kết với để thực thao tác xử lí trước sau thao tác xử lí bên ứng dụng (Webpage, URL, Script) Chúng ta đề cập tới cách triển khai lọc ngăn chặn phổ biến dạng plug – in cho server modul cho ứng dụng Các biện pháp bảo vệ database Giới hạn phạm vi ảnh hưởng ứng dụng Các biện pháp nhằm chuẩn bị, đề phòng cho tình xấu kẻ xâm 43 nhập cơng vào database: − Cấp quyền ưu tiên tối thiểu cho tài khoản đăng nhập vào database − Hủy bỏ quyền Public: database thường cung cấp số chế độ mặc định cho tất đăng nhập, chế độ có tập mặc định quyền, bao gồm quyền truy cập tới số đối tượng thuộc hệ thống Các quyền công khai cung cấp quyền truy cập tới stored procedure có sẵn, số gói hàm sử dụng cho mục đích quản trị Vì cần hủy quyền tới mức tối đa − Sử dụng thuật tốn mã hóa mạnh để mã hóa lưu trữ liệu nhạy cảm Giới hạn phạm vi ảnh hưởng database Các biện pháp chuẩn bị để phòng trường hợp đối tượng xâm nhập chiếm quyền điều khiển database − Khóa quyền truy cập với đối tượng có đặc quyền, ví dụ tiện ích quản trị, tiện ích thực thi gián tiếp lệnh phía điều hành tiện ích sinh kết nối tới đối tượng databas khác − Hạn chế truy vấn đặc biệt: câu lệnh Openrowset SQL server ví dụ Việc sử dụng câu lệnh giúp kể công cướp quyền truy vấn thực kết nối tới database khác chế độ xác thực lỏng lẻo − Luôn cập nhật update ứng dụng quản trị database Đây nguyên tắc mà cần tuân thủ 3.3 ĐIỀU KIỆN THỰC HIỆN GIẢI PHÁP Để thực hóa giải pháp đề xuất, em xin trình bày điều kiến kinh tế sau: Bảng 3.3: Chi phí thực giải pháp Tên giải pháp Giải pháp cho an ninh mạng Firewall Safe@Office Thiết bị/ Khóa học Số lượng Tổng tiền (đồng) Firewall Safe@Office 55.000.000 Phần mềm diệt virus Kaspersky® Small Office Security Kaspersky® Small Office Security 35 10.465.000 Hệ quản trị CSDL Oracle Database 12c Oracle Database 12c 270.480.000 Khóa bảo mật mạng cho doanh nghiệp – NIS (Network Infastructure Security) khóa học 17.500.000 Đào tạo nhân lực 44 (Nguồn: Theo điều tra cá nhân) KẾT LUẬN Những năm gần ngành Cơng nghệ thơng tin có bước phát triển mạnh mẽ Việt Nam, mở giới cho phát triển không bị giới hạn không gian Cùng với phát triển cơng nghệ thơng tin vấn đề an tồn bảo mật thơng tin vấn đề trọng quan tâm từ phủ, doanh nghiệp, tổ chức đến cá nhân Không nằm ngồi mối quan tâm cơng ty Cổ phần phát triển nguồn mở dịch vụ FDS không ngừng đầu tư hoàn thiện vấn đề an toàn bảo mật thơng tin cho cơng ty Bài khóa luận tốt nghiệp trình bày giải pháp cho vấn đề bảo mật an ninh thông tin cho công ty là: giải pháp cho an ninh mạng Firewall, đổi phần mềm diệt virus hệ quản trị CSDL, đề xuất sách đào tạo nguồn nhân lực thật tốt để phục vụ cho việc an toàn bảo mật thông tin công ty Với số giải pháp cần thiết tiêu biểu đề xuất em hi vọng đóng góp ý kiến cá nhân vấn đề giải ATBM thơng tin cơng từ xây dựng cơng ty ngày vững mạnh phát triển Khoán luận kết học tập, nghiên cứu trình vận dụng doanh nghiệp giúp em ôn tập tổng hợp lại kiến thức an toàn bảo mật có kiến thức thực tế qua trình thực tập Cơng ty cổ phần phát triển nguồn mở dịch vụ FDS Mặc dù em cố gắng điều kiện thời gian hạn chế kiến thức thân nên q trình thực đề tài khơng tránh khỏi sai sót Kính mong q thầy cơ, đóng góp ý kiến nhận xét để khóa luận em hoàn thiện Một lần nữa, em xin chân thành cảm ơn Công ty Cổ phần phát triển nguồn mở dịch vụ FDS, cảm ơn thầy cô khoa Hệ thống thông tin kinh tế Thương mại điện tử đặc biệt Giảng viên Ths Nguyễn Thị Hội tận tâm dạy tạo điều kiện thuận lợi để em thực hồn thành khóa luận tốt nghiệp 45 TÀI LIỆU THAM KHẢO [1] Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống kê [2] Đàm Gia Mạnh (2017), Giáo trình Hệ thống thông tin quản lý, Đại học Thương mại [3] Đàm Gia Mạnh (2010), Mạng máy tính truyền thơng, NXB Thông tin Truyền thông [4] Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition [5] Michael E Whitman Herbert J Mattord, Principles of Information Security, Fourth Edition [6] https://quantrimang.com/bao-mat-wi-fi-lua-chon-giai-phap-nao-18709 [7] https://securitybox.vn 46 PHỤ LỤC PHIẾU ĐIỀU TRA TRẮC NGHỆM TÌNH HÌNH BẢO MẬT CHO HTTT CỦA CƠNG TY FDS 1) Tơi cam kết giữ bí mật thơng tin riêng công ty dùng thông tin cung cấp tại phiếu điều tra cho mục đích khảo sát tổng hợp trạng bảo mật hệ thống thông tin công ty FDS 2) Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp bằng cách khoanh vào chỗ trống Tên doanh nghiệp: Công ty cổ phần phát triển nguồn mở dịch vụ FDS Địa trụ sở chính: Số 4, ngõ Tơn Thất Thuyết, Cầu Giấy, Hà Nội Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ : Năm sinh: Vị trí cơng tác: Đánh giá trang thiết bị phần cứng công ty nay: Rất đầy đủ Đầy đủ Khá đầy đủ Chưa đầy đủ Khơng có ý kiến Đánh giá trang thiết bị phần mềm công ty nay: Rất đầy đủ Chưa đầy đủ Khá đầy đủ Không có ý kiến Đầy đủ Anh/chị đánh quan tâm ban lãnh đạo công ty đến vấn đề bảo mật thông tin? Chưa quan tâm Khá quan tâm Bình thường Quan tâm Rất quan tâm Doanh nghiệp anh/chị sử dụng loại tường lửa (Firewall) nào? Tường lửa có sẵn Window Sản phẩm tường lửa Check Point Sản phẩm tường lửa Juniper Netscreen Sản phẩm tường lửa SonicWALL Khác Anh/chị đánh giá tính hiệu tường lửa doanh nghiệp sử dụng? Chưa tốt Khá tốt Tốt Rất tốt Khơng có ý kiến Anh/chị đánh giá khả diệt virus tính tương thích phần mềm diệt virus BKAV Pro với HTTT doanh nghiệp nay? Chưa tốt Khá tốt Tốt Rất tốt Khơng có ý kiến Cơng ty sử dụng phương pháp lưu trữ thông tin nào? Sử dụng điện toán đám mây Dropbox Lưu trữ thủ tục Lưu trữ thông tin file excel Không lưu trữ Theo anh/chị đánh giá nguồn nhân lực chuyên trách CNTT công ty đáp ứng nhu cầu cơng việc? Khơng có ý kiến Đã áp ứng đủ Chưa đáp ứng đủ Quá nhiều Bình thường Anh/ chị đánh giá mức sử dụng công cụ đảm bảo ATTT nhân viên công ty? Khơng thành thạo Khơng có ý kiến Khá thành thạo Thành thạo Rất thành thạo 10 Theo anh/chị doanh nghiệp sử dụng mạng cho hệ thống máy tính doanh nghiệp? Mạng cục (LAN) Mạng diện rộng (WAN) Mạng dùng chung Không biết 11 Thông tin hệ thống doanh nghiệp bị cơng chưa? Có Khơng Nếu có theo anh/chị thành phần mục tiêu công đó? Trang thiết bị phần cứng Website Phấn mềm Con người Hệ điều hành Mạng Chi tiết số công lỗ hổng bị khai thác? 12 Theo anh/chị hoạt động người làm ảnh hưởng đến an tồn thơng tin hệ thống thông tin doanh nghiệp? Sử dụng thiết bị, trang web chép khơng an tồn Truy cập trái phép hệ thống thông tin Không sử dụng diệt virut cho máy cá nhân Hoạt động khác doanh nghiệp 13 Anh/chị đánh giá thứ tự tác nhân gây an tồn bảo mật thơng tin HTTT doanh nghiệp từ 1->5 theo mức độ ảnh hưởng tăng dần: Trang thiết bị phần cứng Mạng Phấn mềm Con người Hệ điều hành 14 Anh/chị cho biết phần mềm doanh nghiệp sử dụng có quyền hay khơng? Khơng Có 15 Theo nhận định anh/chị vấn đề phần cứng dễ gây an tồn thơng tin HTTT doanh nghiệp nay? Nhiệt độ, độ ẩm, nguồn nước Trang thiết bị phần cứng lâu đời gặp nhiều trục trặc Cháy nổ thiết bị phần cứng Hỏng RAM liệu Không biết 16 Anh/chị cho biết doanh nghiệp sử dụng hệ quản trị CSDL đây? SQL Server PostgreSQL MySQL SQlite Oracle MongoDB 17 Anh/chị cho biết tần suất lưu liệu doanh nghiệp? Theo Theo ngày Theo tháng Khơng có ý kiến Theo tuần 18 Theo anh/chị việc mở lớp đào tạo kiến thức CNTT doanh nghiệp có cần thiết hay khơng? Có Khơng Anh/chị có đề xuất hay kiến nghị đảm bảo ATTT cho hệ thống chúng ta? ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………… …………………