LỜI CẢM ƠN Để hồn thành khóa luận này, bên cạnh cố gắng nỗ lực thân, em cũng nhận dẫn, giúp đỡ nhiệt tình giáo viên hướng dẫn Th.S Nguyễn Quang Trung, cùng với hỗ trợ từ phía Cơng ty cổ phần truyền thông Green Stars Em xin gửi lời cám ơn tới Khoa Hệ thống thông tin kinh tế Thương mại điện tử, trường Đại học Thương mại, cám ơn các quý thầy cô khoa tận tình truyền đạt các kiến thức quý báu cho em suốt quá trình học tập tạo điều kiện tốt nhất cho em hồn thành đề tài khóa luận Em xin gửi lời cảm ơn tới thầy Th.S Nguyễn Quang Trung – Giáo viên hướng dẫn tận tình bảo em suốt quá trình thực đề tài lời cảm ơn biết ơn sâu sắc nhất Bên cạnh kiến thức khoa học, thầy giúp em nhận học phong cách học tập, làm việc kinh nghiệm sống quý báu Bên cạnh đó, em cũng xin gửi lời cảm ơn tới các anh/chị thuộc Công ty cổ phần truyền thơng Green Stars nhiệt tình giúp đỡ tạo mọi điều kiện cho em tìm hiểu các hoạt động thực tiễn bên công ty, cung cấp các tài liệu cần thiết để em thực tốt khóa luận Trong quá trình thực tập làm khóa luận dù cố gắng thời gian trình đợ hạn chế nên khơng thể tránh khỏi thiếu sót Em rất mong nhận ý kiến đóng góp, bổ sung ý kiến thầy, để khóa luận tốt nghiệp hoàn chỉnh Em xin chân thành cảm ơn ! i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt ACL AES CNTT CMAC CPU CSDL DMZ HTTT LAN RDBMS SSL TCP/IP TMĐT VPN WLAN WEP WPA WPA2 Thuật ngữ Access Control Giải nghĩa Danh sách quản lý truy cập, nhiệm vụ lọc gói tin Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến Công nghệ thông tin Cipher-based Message Authentication Mã xác thực tin nhắn dựa Code mật mã Central Processing Unit Bộ xử lý trung tâm Cơ sở liệu Demilitarized Zone Là khu vực bảo mật thực ngăn lưu lượng Internet cách xa hệ thống mạng cuc bộ Hệ thống thông tin Local Area Network Mạng cục bộ Relational Database Management Hệ thống quản lý sở liệu System Secure Sockets Layer Giao thức an ninh thông tin mạng Transmission Control / Internet Bộ giao thức liên mạng Protocol Thương mại điện tử Virtual Private Network Mạng riêng ảo Wifi Local Area Network Mạng cục bộ không dây Wireless Encryption Protocol Giao thức mã hoá mạng không dây WiFi Protected Access Giao thức mã hoá mạng không dây WiFi Protected Access II Giao thức mã hoá mạng không dây iii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VE Bảng Hình 2.1: Sơ đồ cấu tổ chức Công ty cổ phần truyền thông Green Stars .19 Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước 20 Bảng 2.2: Bảng báo cáo kết kinh doanh công ty ba năm 2015-2017 21 Bảng 2.3: Bảng thông kê sơ bô trang thiết bi phong ban công ty 22 Hình 2.2 Cấu trúc mạng hình 23 Biêu đồ 2.1 Mức đô đảm bảo an toan bảo m ât HTTT công ty 25 Biêu đồ 2.2 Mức độ quan trọng phần HTTT công ty 26 Biêu đồ 2.3 Thách thức an toan bảo mật liệu đôi với công ty .26 Biêu đồ 2.4 Mức độ an toan, bảo mật thông tin công ty 27 Biêu đồ 2.5 Tần suất lưu liệu công ty 28 Biêu đồ 2.6 Giao thức bảo mât mạng không dây công ty 28 Biêu đồ2.7 Mức đô trang thiết bi phần cứng bảo m ât công ty 29 Hình 3.1: Chức liêt kê phần mềm đươc cai máy tnh Programs and Features 33 Hình 3.2: Chức tưởng lửa máy tnh 34 Hình 3.3: Chức thiết lâp câp nhât phần mềm va h ê điều hanh Windows 35 Hình 3.4: Thiết bi đinh tuyến Cisco RV220W 36 Hình 3.5: Cấu hình điên hình .37 Biểu đồ Hình 2.1: Sơ đồ cấu tổ chức Công ty cổ phần truyền thông Green Stars .19 Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước 20 Bảng 2.2: Bảng báo cáo kết kinh doanh công ty ba năm 2015-2017 21 Bảng 2.3: Bảng thông kê sơ bô trang thiết bi phong ban công ty 22 Hình 2.2 Cấu trúc mạng hình 23 Biêu đồ 2.1 Mức đô đảm bảo an toan bảo m ât HTTT công ty 25 Biêu đồ 2.2 Mức độ quan trọng phần HTTT công ty 26 iv Biêu đồ 2.3 Thách thức an toan bảo mật liệu đôi với công ty .26 Biêu đồ 2.4 Mức độ an toan, bảo mật thông tin công ty 27 Biêu đồ 2.5 Tần suất lưu liệu công ty 28 Biêu đồ 2.6 Giao thức bảo mât mạng không dây công ty 28 Biêu đồ2.7 Mức đô trang thiết bi phần cứng bảo m ât công ty 29 Hình 3.1: Chức liêt kê phần mềm đươc cai máy tnh Programs and Features 33 Hình 3.2: Chức tưởng lửa máy tnh 34 Hình 3.3: Chức thiết lâp câp nhât phần mềm va h ê điều hanh Windows 35 Hình 3.4: Thiết bi đinh tuyến Cisco RV220W 36 Hình 3.5: Cấu hình điên hình .37 Hình vẽ Hình 2.1: Sơ đồ cấu tổ chức Công ty cổ phần truyền thông Green Stars .19 Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước 20 Bảng 2.2: Bảng báo cáo kết kinh doanh công ty ba năm 2015-2017 21 Bảng 2.3: Bảng thông kê sơ bô trang thiết bi phong ban công ty 22 Hình 2.2 Cấu trúc mạng hình 23 Biêu đồ 2.1 Mức đô đảm bảo an toan bảo m ât HTTT công ty 25 Biêu đồ 2.2 Mức độ quan trọng phần HTTT công ty 26 Biêu đồ 2.3 Thách thức an toan bảo mật liệu đôi với công ty .26 Biêu đồ 2.4 Mức độ an toan, bảo mật thông tin công ty 27 Biêu đồ 2.5 Tần suất lưu liệu công ty 28 Biêu đồ 2.6 Giao thức bảo mât mạng không dây công ty 28 Biêu đồ2.7 Mức đô trang thiết bi phần cứng bảo m ât công ty 29 Hình 3.1: Chức liêt kê phần mềm đươc cai máy tnh Programs and Features 33 Hình 3.2: Chức tưởng lửa máy tnh 34 Hình 3.3: Chức thiết lâp câp nhât phần mềm va h ê điều hanh Windows 35 Hình 3.4: Thiết bi đinh tuyến Cisco RV220W 36 Hình 3.5: Cấu hình điên hình .37 v PHẦN MỞ ĐẦU Lý lựa chọn đề tài nghiên cứu Trong tổ chức, doanh nghiệp việc thu thập nắm bắt thông tin vấn đề hết sức quan trọng Nó mợt ́u tố mang lại thành công cho tổ chức, cá nhân biết tận dụng khai thác Cùng với phát triển mạnh mẽ công nghệ nay, việc thu thập, xử lý thông tin khá dễ dàng nhanh chóng Song song với phát triển này, cùng với cách quản lý nhân lực, tài sản nói chung tài sản thơng tin nói riêng tổ chức, phát triển các loại hình đánh cắp thơng tin, xâm nhập hệ thống thơng tin (HTTT) trái phép, bao gồm bên nội bợ bên ngồi tổ chức Có thể coi HTTT thành phần quan trọng doanh nghiệp, quyết định mọi hoạt động hàng ngày doanh nghiệp Nhưng cũng tầm quan trọng mà HTTT bị mất an tồn gây thiệt hại nặng nề cho doanh nghiệp Chính vậy, cần có giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp Là một doanh nghiệp kinh doanh lĩnh vực bất động sản, việc đảm bảo an tồn thơng tin HTTT doanh nghiệp rất cần thiết, ảnh hưởng trực tiếp gián tiếp đến các hoạt động kinh doanh công ty Tuy nhiên, quá trình thực tập tìm hiểu Công ty cổ phần Truyền thông Green Stars, em thấy cơng ty chưa có đầu tư mức cho vấn đề an tồn bảo mật hệ thống thơng tin Trong cơng ty xảy tình trạng thất lạc thơng tin liệu, hệ thống gặp cố, đồng bợ hóa thơng tin chưa cao Chính vậy, em xin thực đề tài khóa luận: “Một số giải pháp bảo mật cho HTTT Công ty cổ phần Truyền thông Green Stars ” Mục tiêu nhiệm vụ nghiên cứu Mục tiêu nhiệm vụ nghiên cứu đề tài tập hợp hệ thống hóa mợt số lý thút an toàn bảo mật HTTT, để từ xem xét đánh giá phân tích thực trạng vấn đề an tồn bảo mật HTTT cơng ty Từ đánh giá phân tích này, đưa mợt số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính an tồn bảo mật HTTT doanh nghiệp Các mục tiêu cụ thể cần giải quyết đề tài: - Làm rõ sở lý luận an tồn bảo mật HTTT Cơng ty cổ phần truyền thơng Green Stars tồn bảo mật HTTT Cơng ty cổ phần Truyền thông Green Stars dựa tài liệu thu thập - Trên sở lý luận thực trạng đề các giải pháp nâng cao an tồn bảo mật HTTT Cơng ty cổ phần truyền thông Green Stars Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu Giải pháp bảo mật cho HTTT Công ty cổ phần Truyền thông Green Stars 3.2 Phạm vi nghiên cứu Là một đề tài nghiên cứu luận văn sinh viên nên phạm vi nghiên cứu đề tài giới hạn một doanh nghiệp khoảng thời gian ngắn hạn Cụ thể: - Về không gian: Nội dung đề tài mang tính vi mơ, tập trung nghiên cứu tình hình an tồn bảo mật HTTT Cơng ty cổ phần Truyền thông Green Stars nhằm đưa một số giải pháp nâng cao an toàn bảo mật HTTT - Về thời gian: Các số liệu khảo sát năm gần nhất, đồng thời trình bày các nhóm giải pháp, định hướng phát triển tương lai công ty Phương pháp nghiên cứu 4.1 Phương pháp thu thập liệu  Thu thập liệu thứ cấp: Tìm hiểu các thơng tin an tồn bảo mật HTTT qua Internet, qua các cơng trình nghiên cứu khoa học thực tài liệu sách báo có liên quan  Thu thập liệu sơ cấp: • Phương pháp sử dụng phiếu điều tra: - Nội dung: Xây dựng phiếu điều tra thu thập liệu từ đối tượng nhân viên công ty hoạt đợng đảm bảo an tồn bảo mật HTTT bên doanh nghiệp - Cách thức tiến hành: Phiếu điều tra phát cho 10 nhân viên công ty để thu thập liệu - Mục đích: Nhằm thu thập thơng tin hoạt đợng an tồn bảo mật HTTT cơng ty, từ phân tích, đánh giá thực trạng triển khai đưa giải pháp đắn để nâng cao hiệu các hoạt đợng đảm bảo an tồn bảo mật HTTT Cơng ty cổ phần truyền thơng Green Stars • Phương pháp vấn trực tiếp: - Nội dung: Đưa mợt số câu hỏi tình trạng mất an tồn bảo mật HTTT cơng ty vòng năm gần - Cách thức tiến hành: Phỏng vấn riêng nhân viên công ty hoạt đợng đảm bảo an tồn bảo mật HTTT bên doanh nghiệp - Mục đích: Nhằm khảo sát ý kiến mợt cách trực quan nhất hoạt đợng an tồn bảo mật HTTT doanh nghiệp 4.2 Phương pháp xử lý liệu Từ liệu thu thập sau tiến hành điều tra vấn thu thập tài liệu chọn lọc, phân tích, đánh giá, tổng hợp để chọn thông tin phù hợp với mục đích nghiên cứu đề tài Trong quá trình xử lý thơng tin, ta cần chia thơng tin làm hai phương pháp chính: - Phương pháp định lượng: Sử dụng phần mềm Excel nhằm phân tích, so sánh các nguồn thông tin thu thập để có cái nhìn xác nhất tình hình an toàn bảo mật HTTT doanh nghiệp - Phương pháp định tính: Phân tích, tổng hợp thơng tin thơng qua câu hỏi vấn, phiếu điều tra các tài liệu thu thập Nội dung khóa luận tốt nghiệp Chương 1: Cơ sở lý luận đảm bảo an tồn HTTT Chương 2: Phân tích, đánh giá thực trạng đảm bảo an tồn HTTT cho Cơng ty cổ phần truyền thông Green Stars Chương 3: Các kết luận đề xuất giải pháp đảm bảo an toàn HTTT Công ty cổ phần truyền thông Green Stars CHƯƠNG CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT 1.1 Những khái niệm 1.1.1 Khái niệm chung - Theo [1] khái niệm liệu là: các giá trị phản ánh vật, tượng thế giới khách quan Dữ liệu các giá trị thơ, chưa có ý nghĩa với người sử dụng Có thể mợt tập hợp các giá trị mà không biết liên hệ chúng Dữ liệu biểu diễn dưới nhiều dạng khác âm thanh, văn bản, hình ảnh, - Theo [1] thơng tin là: ý nghĩa rút từ liệu thơng qua quá trình xử lý (phân tích, tổng hợp…), phù hợp với mục đích người sử dụng Thơng tin gồm nhiều giá trị liệu tổ chức cho mang lại một ý nghĩa cho một đối tượng cụ thể, mợt ngữ cảnh cụ thể Những thơng tin có giá trị thông tin mang các đặc điểm sau: xác, xác thực; đầy đủ, chi tiết; rõ ràng (dễ hiểu); lúc, thường xuyên; thứ tự, có liên quan;… - Theo [1] khái niệm hệ thống là: mợt tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ ràng ḅc lẫn cùng hoạt động hướng tới một mục tiêu chung Phần tử vật chất phi vật chất: người, máy móc, thơng tin, liệu, phương pháp xử lý, quy tắc, quy trình xử lý - Theo [1] hệ thống thơng tin xác định như: một tập hợp các thành phần tổ chức (người, thủ tục, các nguồn lực) để thu thập, xử lý, lưu trữ, truyền phát thông tin tổ chức Hệ thống thơng tin thủ công nếu dựa vào các công cụ giấy, bút Hệ thống thông tin đại hệ thống tự đợng hóa dựa vào máy tính (phần cứng, phần mềm) các công nghệ thông tin khác - Theo [2] khái niệm an tồn thơng tin: Thơng tin coi an tồn thơng tin khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, chép xóa bỏ người khơng phép - Bảo mật thơng tin trì tính bí mật (Confidentiality), tính tồn vẹn (Integrity) tính sẵn sàng (Availability) thơng tin + Tính bảo mật (Confidentially): Đảm bảo có cá nhân cấp quyền mới phép truy cập vào hệ thống Đây yêu cầu quan trọng bảo mật thông tin đối với các tổ chức doanh nghiệp thơng tin tài sản có giá trị hàng đầu, việc các cá nhân không cấp quyền truy nhập trái phép vào hệ thống làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản công ty bị xâm hại, dẫn đến phá sản + Tính tồn vẹn (Integrity): Đảm bảo thơng tin ln trạng thái đúng, xác, người sử dụng làm việc với các thông tin tin cậy chân thực Chỉ các cá nhân cấp quyền mới phép chỉnh sửa thông tin Kẻ tấn công khơng có ý định đánh cắp thơng tin mà mong muốn làm cho thơng tin bị mất giá trị sử dụng cách tạo các thông tin sai lệch gây thiệt hại cho cơng ty + Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin trạng thái sẵn sàng phục vụ, bất cứ lúc người sử dụng hợp pháp có nhu cầu truy nhập vào hệ thống Có thể nói u cầu quan trọng nhất, thơng tin hữu ích người sử dụng cần dùng được, nếu yêu cầu đảm bảo yêu cầu cuối cùng không đảm bảo thơng tin cũng trở nên mất giá trị 1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp 1.1.2.1 Khái niệm phần mềm độc hại - Phần mềm độc hại (Malware) bất kỳ loại phần mềm làm hại máy tính bạn, các phần mềm đợc hại tấn công nhiều phương pháp khác để xâm nhập vào hệ thống với các mục đích khác như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware), + Virus: Là mợt chương trình máy tính tự chép lên đĩa, file khác mà người sử dụng không hay biết Thông thường virus máy tính mang tính chất phá hoại, gây lỗi thi hành, lệch lạc hay hủy liệu Chúng có các tính chất: Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa sang đĩa khác lây từ máy sang máy khác, tính phá hoại thông thường chúng tiêu diệt phá hủy các chương trình liệu (tuy nhiên cũng có mợt số virus khơng gây hại chương trình tạo với mục đích trêu đùa) Các nguồn phổ biến nhất để lây nhiễm virus ổ đĩa USB, Internet file đính kèm email Để ngăn chặn virus lây lan từ USB, bạn nên làm cho an toàn cách quét virus trước sử dụng máy tính + Sâu máy tính (Worm): Là loại virus lây từ máy tính sang máy tính khác qua mạng, khác với loại virus truyền thống trước lây nợi bợ mợt máy tính lây sang máy khác đem chương trình nhiễm virus sang máy Chúng thường sử dụng các lỗ hổng bảo mật một mạng lưới để trốn bên máy tính tḥc mạng mà khơng cần can thiệp người dùng Chúng phá hủy tất các máy tính mạng vòng vài phút Sự khác biệt mợt loại virus worms việc worms thực chép qua mạng mợt chương trình đợc lập riêng, WPA (WiFi Protected Access) WLAN (Wireless Local Area Network) chưa đảm bảo tình hình an ninh mạng cho doanh nghiệp + Về nguồn nhân lực: Số nhân viên quản trị HTTT doanh nghiệp (mới có nhân viên phòng cơng nghệ), hiểu biết nhân viên nguy mất an toàn bảo mật HTTT chưa nâng cao + Về ngân sách: Nguồn ngân sách sử dụng cho việc nâng cao an tồn bảo mật HTTT cơng ty hạn hẹp, việc phân bổ ngân sách cho các công cụ hạn chế chưa thật hợp lý, chưa triển khai đồng bộ các công cụ đảm bảo an tồn bảo mật HTTT Mỗi cơng cụ đảm bảo an tồn bảo mật HTTT đòi hỏi ngân sách khác có tác đợng nhất định tới HTTT doanh nghiệp Vì vậy, cần phải xác định ngân sách phù hợp các yếu tố có liên quan để chương trình đảm bảo an tồn bảo mật HTTT đạt hiệu cao + Chưa có mợt quy trình chuẩn để xem xét đánh giá hiệu mợt chương trình đảm bảo an tồn bảo mật HTTT Điều ảnh hưởng khá nhiều tới việc lập kế hoạch cho các chương trình đảm bảo an tồn bảo mật HTTT cơng ty Việc triển khai hoạt đợng đảm bảo an tồn bảo mật HTTT nên lập kế hoạch rõ ràng chi tiết để phối hợp hoạt đợng các phòng ban, kết hợp với các công cụ an ninh bảo mật để đạt mục tiêu cuối cùng, đồng thời cần tính toán chi phí cụ thể phân bổ cho công cụ triển khai 31 CHƯƠNG CÁC ĐỊNH HƯỚNG VÀ ĐỀ XUẤT VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT TRONG CÔNG TY CỔ PHẦN TRUYỀN THÔNG GREEN STARS 3.1 Định hướng phát triển của công ty Dưới định hướng phát triển Công ty cổ phần Truyền thông Green Stars thời gian tới: - Lĩnh vực cho th văn phòng hợ chiếm tỷ trọng cao đóng góp vào tổng doanh thu có chuyển dịch lớn giá trị đóng góp các lĩnh vực kinh doanh bất đợng sản - Đẩy mạnh đầu tư cho các dự án lớn khu đô thị, khu công nghiệp - Hợp tác, tạo mối quan hệ liên doanh liên kết với các nhà đầu tư nước Để thực các định hướng Cơng ty cổ phần Truyền thông Green Stars cần thực một số giải pháp nhằm đảm bảo an toàn bảo mật HTTT sau: - Thiết lập kế hoạch cụ thể cho các chương trình đảm bảo an tồn bảo mật HTTT công ty Áp dụng các công cụ đo lường kiểm tra, kiểm soát hoạt đợng an tồn bảo mật HTTT để đánh giá các kết đạt chưa đạt được, đánh giá hiệu đạt từ việc ứng dụng các công cụ an tồn bảo mật HTTT, từ đánh giá mức đợ thu, chi cho hoạt đợng đảm bảo an tồn bảo mật HTTT có phù hợp khơng - Thực các buổi đào tạo nâng cao trình đợ hiểu biết, cùng nhân viên công ty xây dựng các sách an tồn bảo mật HTTT cách dễ dàng nhất để nhân viên hiểu tầm quan trọng việc đảm bảo an toàn bảo mật HTTT - Sử dụng nguồn ngân sách một cách thơng minh có hiệu quả, có đầu tư đắn cho cơng tác đảm bảo an tồn bảo mật HTTT 3.2 Một số giải pháp kiến nghị với tổ chức cấp cao 3.2.1 Một số giải pháp cho công ty 3.2.1.1 Bảo mật bằng thiết lập máy tính an toàn Kiến thức an tồn bảo mật nhân viên thấp mợt nguyên nhân chủ quan dẫn đến tình trạng mất an tồn HTTT Đây lí mà doanh nghiệp cần có kế hoạch đào tạo, nâng cao hiểu biết cho nhân viên để nhân viên tự ý thức việc đảm bảo an toàn bảo mật cho doanh nghiệp Sau một số cách đơn giản để nhân viên tự thiết lập để có mợt máy tính an tồn: 32 Máy tính sau cài đặt lại rất chứa các nguy tiềm ẩn mất an tồn thơng tin, cần có mợt số lưu ý để thiết lập máy tính mới an tồn chống lại các nguy bị tấn công sau: Bước 1: Tạo các mật mạnh Ngay quá trình thiết lập cấu hình máy tính, các tài khoản người sử dụng cần tạo với mật có đợ phức tạp nhất định Người dùng máy tính khơng nên đặt các mật quá ngắn quá dễ đoán Một mật an toàn thường gồm các loại ký tự sau: ký tự hoa, ký tự thường; ký tự chữ số; ký tự đặc biệt (@#$%) Bước 2: Tháo gỡ các chương trình khơng cần thiết Sau cài lại máy, máy tính thường chứa các chương trình quảng cáo, giới thiệu dùng thử các phần mềm Các phần mềm chứa sẵn các nguy mất an tồn thơng tin Do đó, người dùng cần tháo bỏ các chương trình khơng cần thiết máy tính quá trình thiết lập ban đầu Sử dụng chức Programs and Features để liệt kê các phần mềm cài sẵn máy tính: Ấn vào biểu tượng Start góc hình bên trái, vào mục Control Panel > Programs > Programs and Features Hình 3.1: Chức liệt kê các phần mềm cài máy tính Programs and Features Bước 3: Kích hoạt chức tường lửa bảo vệ cá nhân máy tính Để đảm bảo an tồn an ninh mạng, cần kích hoạt phần mềm tường lửa trước kết nối đến bất kỳ mạng máy tính (Internet/Wifi/LAN…) 33 Trên hệ điều hành Windows, kích hoạt tường lửa cách truy cập chức Firewall Control Panel: Start > Control Panel > System and Security > Windows Firewall > Turn Windows Firewall on or off, sau chọn các lựa chọn “Turn on…” các tùy chọn bên dưới để kích hoạt Hình 3.2: Chức tưởng lửa máy tính Bước 4: Nâng cấp các phần mềm hệ điều hành Windows Hệ điều hành máy tính sau cài đặt lại phiên cũ chưa vá lỗi bảo mật Do đó, người sử dụng cần thiết lập chế độ tự động nâng cấp thực nâng cấp cho hệ điều hành các phần mềm khác: Start > Control Panel > System and Security > Windows Update > Change settings Trong các tùy chọn nâng cấp, người sử dụng tùy chọn theo nhu cầu 34 Hình 3.3: Chức thiết lập cập nhật các phần mềm hệ điều hành Windows Bước 5: Cài đặt phần mềm diệt virus Phần mềm diệt virus lớp lá chắn quan trọng việc bảo vệ người sử dụng khỏi các mã độc virus Do đó, cần có chương trình diệt virus để bảo vệ người dùng các hoạt động người sử dụng máy tính 3.2.1.2 Nâng cấp hệ thống an tồn an ninh mạng cơng ty - Nếu hệ thống mạng bảo vệ mức bất cứ mợt máy tính có hỗ trợ truy cập khơng dây hay có dây nằm vùng phủ sóng thiết bị phát sóng kết nối để truy cập Internet Do hầu hết các phiên phần mềm dựa vào TCP/IP Microsoft hỗ trợ SSL (Secure Socket Layer) nên công ty sử dụng giao thức mạng an tồn phổ biến cho hệ thống mạng có dây - Mạng Internet doanh nghiệp tình trạng thả nổi, chưa có kiểm soát chặt chẽ, các nhân viên tự truy cập Internet rất dễ làm cho máy tính bị nhiễm virus, phần mềm đợc hại Bên cạnh các rủi ro thất thoát thơng tin, Internet lấy rất nhiều tiền bạc doanh nghiệp giờ làm việc các nhân viên lại tâm vào đọc báo điện tử, chơi game, download, facebook, twitter, … thay làm việc Giải pháp hữu hiệu nhất cho tình trạng doanh nghiệp nên triển khai sử dụng thiết bị bảo mật "Cisco RV220W" Cisco: 35 Hình 3.4: Thiết bị định tuyến Cisco RV220W + Cisco RV220W cung cấp khả phát sóng khơng dây với băng thơng rợng giúp nâng cao suất hoạt động cho doanh nghiệp việc truy cập nhanh tới các tập tin lớn cũng các ứng dụng đa phương tiện nhân viên + Bảo mật cao cho kết nối từ xa: Ngoài khả cung cấp kết nối băng thông rộng, thiết bị định tuyến Cisco RV220W mang tới cho doanh nghiệp khả bảo mật cao khả kết nối từ xa Cisco RV220W hỗ trợ giao thức bảo mật cho các kết nối từ xa gồm IP Security (IPsec) Secure Sockets Layer (SSL) VPN IP Security (IPsec) VPN cho phép kết nối các văn phòng với mà không quan tâm tới khoảng cách vật lý các văn phòng Secure Sockets Layer (SSL) VPN cung cấp khả bảo mật các kết nối từ xa thơng qua bất cứ trình duyệt web hay mợt ứng dụng định Đặc biệt thiết bị định tuyến cung cấp khả truy cập mở rợng có kiểm soát cho các doanh nghiệp, đối tác kinh doanh hay đối tượng khác mà không ảnh hưởng tới các liệu quan trọng doanh nghiệp + Thiết lập dễ dàng: Người sử dụng dễ dàng thiết lập cấu hình cho thiết bị định tuyến Cisco RV220W thông qua giao diện với hỗ trợ trình thuật sĩ (Wizard) Bên cạnh đó, để tối ưu khả bảo vệ hệ thống mạng liệu, thiết bị định tuyến Cisco RV220W tích hợp thêm tính bảo mật mức doanh nghiệp tùy chọn thêm tính bảo mật lọc web + Các tính thiết bị định tuyến Cisco RV220W: • Cung cấp hiệu suất cao với kết nối có dây Gigabit kết nối không dây chuẩn N băng thông rộng, tốc độ cao cho việc truyền nhận liệu • Tích hợp thiết bị chuyển mạch cổng tốc đợ Gigabit • Cho phép người sử dụng lựa chọn băng tần phát sóng chuẩn g (2.4Ghz) hay chuẩn a (5.0 Ghz) cho việc chống nhiễu, giúp cải thiện hiệu suất cho việc kết nối khơng dây 36 • Cung cấp khả truy cập an tồn kết nối các văn phòng, cho phép nhân viên làm việc từ xa thông qua giao thức VPN với giao thức bảo mật IPSec SSL • Cung cấp hệ thống tường lửa mạnh, các kết nối với mạng riêng ảo (VLAN) hệ thống bảo mật không dây mạnh mẽ giúp bảo vệ hệ thống mạng doanh nghiệp • Ngồi ra, thiết bị cho phép khách hàng tùy chọn tính bảo mật Cisco ProtectLink Web giúp bảo vệ hệ thống máy chủ web • Thiết bị định tuyến Cisco RV220W cung cấp giao diện quản lý trực quan thơng qua trình duyệt web với các trình thuật sĩ cho các việc cài đặt cũng thiết lập cấu hình Khi cài đặt thiết bị, doanh nghiệp nên chọn cài giao thức WPA2 (WiFi Protected Access II) thay thế cho WPA dùng trước để tăng cường mức độ bảo mật cho hệ thống mạng không dây doanh nghiệp Giao thức WPA2 có các ưu điểm sau: + Mức độ bảo mật cải tiến, lỗ hổng khá hạn chế, kẻ tấn cơng phải có mật truy cập vào wifi bảo mật mới tấn cơng mạng nội bộ doanh nghiệp + Sử dụng mã hóa khối, có hỗ trợ mã hóa dòng + Sử dụng CCMP/AES (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) để tính mã MIC, có đợ tin cậy cao nhất Hình 3.5: Cấu hình điển hình 37 Vì nguồn ngân sách hạn hẹp quy mơ cơng ty nhỏ nên Cisco RV220W coi giải pháp bảo mật hữu hiệu nhất cho doanh nghiệp thời điểm 3.2.1.3 Một số biện pháp phòng chống mã độc - Sử dụng thư điện tử thận trọng: Mã đợc lây nhiễm vào máy tính người sử dụng thơng qua các tệp tin đính kèm thư điện tử Các tệp tin thường đính kèm các thư điện tử người lạ gửi đến nạn nhân thư điện tử giả mạo quan tổ chức Do đó, người sử dụng khơng nên mở các tệp tin đính kèm thư điện tử nhận từ mợt người lạ mợ người có địa thư điện tử giống với người mà quen biết Ngồi ra, dùng chương trình diệt virus để dò qt tệp tin đính kèm trước đọc nội dung - Cẩn thận truy cập các trang web mạng Internet: Chỉ cần truy cập vào một trang web độc hại người dùng bị lây nhiễm mã đợc vào máy tính Các trang web thường dụ dỗ người sử dụng truy cập thông qua các liên kết gửi qua mạng xã hội, thư điện tử hay tin nhắn Vì vậy, người sử dụng cần thật thận trọng truy cập vào các trang web lạ gửi đến từ người khác quá trình sử dụng các dịch vụ mạng Internet Hầu hết các trình duyệt Internet cảnh báo các trang web độc hại, nhiên người dùng phải cảnh giác cho dù trình duyệt Internet không cảnh báo - Không tải các phần mềm bẻ khóa, chương trình ứng dụng khơng rõ nguồn gốc mạng máy: Các phần mềm đợc hại tồn tạo các phần mềm bẻ khóa, phần mềm miễn phí hay có trả phí khơng tải từ trang web thức nhà phát triển Các phần mềm thường đính kèm virus, mã đợc kích hoạt người dùng chạy các phần mềm Vì vậy, khơng nên tải các phần mềm từ các diễn đàn, mạng xã hội mà người dùng không rõ nguồn gốc Cách tốt nhất để phòng chống mã đợc tải phần mềm trang web nhà sản xuất để tránh trường hợp tải phiên “giả mạo” kèm sẵn mã độc 3.2.1.4 Sơ quy trình đánh giá kết cho cơng cụ an tồn bảo mật HTTT Bước 1: Xác định đối tượng cần đảm bảo an toàn bảo mật Đối tượng HTTT cần phải bảo vệ thơng tin hệ thống Chính cơng ty cần phân loại thơng tin mợt cách xác, thơng tin có mức đợ bảo mật cao số lượng người phép biết sử dụng thơng tin ngược lại Việc xác định mức độ quan trọng thông tin giúp cho cơng ty có sách, cơng cụ hợp lý để hỗ trợ, kiểm soát độ bảo mật cho các thông tin 38 Bước 2: Xác định mục tiêu an toàn, bảo mật Ở bước đòi hỏi nhạy bén người quản trị HTTT việc: - Phát các lỗ hổng bảo mật HTTT, dự đoán trước các nguy tấn công để có các biện pháp phòng ngừa kịp thời - Ngăn chặn hành đợng gây mất an tồn, bảo mật thơng tin từ bên bên ngồi vào HTTT cơng ty - Mợt HTTT an tồn bảo mật phải đảm bảo yêu cầu: Tính sẵn sàng, tính bảo mật tính tồn vẹn Để đạt yêu cầu này, người quản trị HTTT cần thực mợt chu trình liên tục theo thời gian các biện pháp phòng chống, triển khai thiết bị phần mềm đảm bảo an toàn bảo mật Bước 3: Xác định các loại tấn công Cần xác định rõ các loại tấn công vào HTTT công ty để từ lựa chọn cơng cụ chuẩn xác nhất nhằm đảm bảo an tồn bảo mật HTTT Có loại tấn cơng chính: - Kỹ thuật tấn cơng xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng bất cẩn hay tin người công ty để lấy thông tin xác nhận quyền truy nhập người dùng truy nhập hệ thống vào thơng tin - Tấn cơng phần mềm (Software Attacks): Loại nhằm vào các ứng dụng, hệ điều hành, các giao thức Mục đích để phá hủy vơ hiệu hóa chúng để đạt quyền truy nhập vào hệ thống khai thác thơng tin Loại tấn cơng dùng đợc lập kết hợp với một số loại khác - Tấn công phần cứng (Hardware Attacks): Nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng,… mục đích để phá hủy phần cứng vơ hiệu hóa phần mềm, sở cho tấn công từ chối dịch vụ (Dos) Bước 4: Lựa chọn cơng cụ an tồn, bảo mật: - Người quản trị HTTT cần vạch rõ sơ đồ đường thơng tin để từ đưa các biện pháp bảo mật thích hợp điểm nút hay lớp mà hacker dễ tấn công đường Trong các lớp mơ hình TCP/IP thường tiến hành các phương pháp bảo mật mang tính kết hợp các lớp: + Lớp 1: Tại có các sách lọc gói tin các router kết nối tới nhà cung cấp dịch vụ, sử dụng các ACL, Firewall, IPS tích hợp phần mềm IOS để bước đầu ngăn chặn các dịch vụ không cần thiết + Lớp 2: Sử dụng NIPS (Network IPS) để quan sát liệu vào Internet, có dấu hiệu mất an tồn lập tức thơng báo cho trung tâm quản lý trường hợp khẩn cấp khóa các kết nối lại + Lớp 3: Tại sử dụng bức tường lửa cho phép ngăn cách làm vùng DMZ (Demilitarized Zone), Outside, Inside Các Server công cộng thuộc vùng DMZ bảo vệ rất nghiêm ngặt 39 + Lớp 4: Đây lớp bảo vệ cuối cùng sử dụng NIPS (Network-based Intrusion Prevention) HIPS (Host-based Intrusion Prevention) cài các Server Hệ thống phát tấn công các hệ điều hành cho phép có thơng báo cho quản trị mạng đóng băng các kết nối trường hợp khẩn cấp Bước 5: Hoạch định ngân sách an tồn, bảo mật Việc cơng ty dành ngân sách cho chương trình đảm bảo an toàn bảo mật HTTT ảnh hưởng tới việc lựa chọn các cơng cụ an tồn bảo mật cho phù hợp với quy mô ngân sách công ty Người quản trị HTTT phải tính toán với chi phí thấp nhất đạt mục tiêu mà công ty đề Có phương pháp xác định ngân sách dành cho hoạt đợng đảm bảo an tồn bảo mật HTTT mà các công ty thường áp dụng là: - Xác định theo tỷ lệ phần trăm doanh thu: có nghĩa ngân sách dành cho hoạt đợng an tồn bảo mật HTTT phụ tḥc vào biến động mức tiêu thụ năm công ty - Cân cạnh tranh: Xác định ngân sách ngang với mức chi các công ty cạnh tranh khác - Căn cứ vào mục tiêu nhiệm vụ phải hồn thành: Phương pháp đòi hỏi người quản trị HTTT phải xác định mục tiêu cụ thể chiến dịch đảm bảo an toàn bảo mật HTTT sau ước tính chi phí các hoạt động cần thiết để đạt mục tiêu - Theo khả tài cơng ty: Phương pháp thường khơng có hiệu cao khả tài doanh nghiệp thường không ổn định, bỏ qua ảnh hưởng hoạt đợng đảm bảo an tồn bảo mật HTTT đối với mức doanh thu mà cơng ty có Cơng ty cổ phần Truyền thông Green Stars nên lựa chọn phương pháp xác định theo tỷ lệ phần trăm doanh thu để phù hợp với tình hình công ty Bước 6: Đánh giá hiệu chương trình an tồn bảo mật Sau thực kế hoạch đảm bảo an toàn bảo mật HTTT, người quản trị hệ thống phải đo lường tác động đến tổng thể hoạt đợng cơng ty thế Điều đòi hỏi người quản trị phải đánh giá tác động các công cụ đảm abro an toàn bảo mật HTTT trước sau áp dụng mang lại thuận lợi hay khó khăn gì, tác đợng tích cực hay tiêu cực đến hoạt động doanh nghiệp… Người quản trị cần thu thập thông tin phản ứng các cấp lãnh đạo, các cá nhân nhân viên công ty,… để làm sở đánh giá tác đợng chương trình 40 Để có lượng thơng tin đầy đủ, người quản trị HTTT cần thu thập thơng tin định lượng doanh thu, chi phí,… thông tin không định lượng mức độ hài lòng, thoải mái nhân viên, mức đợ thu nhập, lưu trữ, phản hồi thông tin hệ thống để có cái nhìn tồn diện HTTT trước sau áp dụng chương trình đảm bảo an toàn bảo mật HTTT 3.2.2 Các kiến nghị với các tổ chức cấp cao - Ngành CNTT Việt Nam cần phải có phát triển đợt phá nữa, mạnh mẽ so với 20 năm trước đây, cần phải tận dụng lợi thế cuộc cách mạng công nghiệp lần thứ 4, khai thác thế mạnh trí lực người Việt Nam, đưa CNTT đến mọi nơi lãnh thổ Việt Nam, kể nông thôn vùng sâu, vùng xa để đưa Việt Nam phát triển bền vững, thoát khỏi tình trạng mất an tồn an ninh CNTT - Phải có chế, sách thiết thực hỗ trợ các doanh nghiệp CNTT thị trường, tiếp cận các nguồn lực, kể nguồn nhân lực nguồn tài (thuế, tín dụng,…) để tạo điều kiện cho doanh nghiệp phát triển thị trường nước - Tăng cường phổ biến tri thức khoa học công nghệ tồn xã hợi thơng qua việc sử dụng các phương tiện truyền thông Người dân Việt Nam phải trang bị kiến thức CNTT an toàn CNTT để ngăn chặn các nguy xấu xảy từ tin tặc, hacker để góp phần làm cho Việt Nam phát triển nhanh - Bộ Thông tin Truyền thông Việt Nam cần nhanh chóng hồn thiện ban hành dự thảo Tiêu chuẩn “Yêu cầu an toàn HTTT theo cấp đợ” để các doanh nghiệp dựa vào sử dụng giải pháp có chi phí khơng quá lớn mà mang lại hiệu cao 41 KẾT LUẬN Ngày với phát triển bùng nổ công nghệ thông tin, hầu hết các thông tin các tổ chức, cá nhân lưu trữ hệ thống máy tính Cùng với phát triển tổ chức đòi hỏi ngày cao môi trường hoạt động cần phải chia sẻ thông tin cho nhiều đối tượng khác qua mạng Việc mất mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài ngun thơng tin, tài chính, danh tiếng tổ chức, cá nhân Công nghệ thông tin truyền thơng đóng vai trò ngày quan trọng cuộc sống hàng ngày người, làm biến đổi sâu sắc cách thức làm việc, giải trí, các nguyên tắc tiến hành kinh doanh…Vì để đảm bảo an tồn thơng tin cần phải tìm hiểu, nghiên cứu các nguy mất an tồn thơng tin như: nguy vật lý, phầm mềm độc hại,…và sử dụng các biện pháp bảo vệ hệ thống thông tin mợt cách an tồn như: sử dụng các sách, các kỹ thuật an tồn thơng tin các phần mềm diệt virus Đối với Công ty cổ phần Truyền thông Green Stars kinh doanh lĩnh vực bất động sản nên việc bảo mật thông tin HTTT vô cùng cần thiết Công ty thực các công tác nâng cấp xây dựng HTTT nhằm đảm bảo an tồn liệu bảo mật thông tin, hiệu chưa cao nguồn nhân lực cho phòng cơng nghệ hạn chế, nhân viên cơng ty chưa có ý thức cao việc đảm bảo an toàn bảo mật HTTT Chính vậy, việc nâng cao kiến thức an toàn, bảo mật cho người dùng điều cần thiết Với đề tài “Một số giải pháp bảo mật cho HTTT Công ty cổ phần truyền thông Green Stars” mợt đề tài đòi hỏi nghiên cứu lâu dài mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng kinh nghiệm lĩnh vực Là mợt sinh viên thực tập, tầm hiểu biết, kinh nghiệm hạn chế, khóa luận thiếu nhiều thiếu sót Kính mong các thầy giáo, giáo góp ý chỉnh sửa, bổ sung để khóa luận em hồn chỉnh 42 DANH MỤC TÀI LIỆU THAM KHẢO [1] Bộ môn Công nghệ thông tin (2014), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại, Hà Nội [2] Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu thương mại điện tử, NXB Thống Kê, Hà Nội [3] PGS.TS Nguyễn Bình (2006), Lý thút thơng tin, Học viện Cơng nghệ bưu viễn thơng [4] Nguyễn Hữu Dũng (2009), Luận văn đề tài: Giải pháp nhằm nâng cao bảo mật HTTT quản trị tại công ty cổ phần công nghệ cao, Khoa Thương mại điện tử, Trường Đại học Thương mại [5] Website: http://www.bkav.com.vn/ [6] Website: https://quantrimang.com/ PHỤ LỤC PHIẾU ĐIỀU TRA Xin chào anh/chị Em sinh viên thực tập thuộc trường Đại học Thương mại Hiện em thực tập tìm hiểu thực trạng cơng ty Kính mong anh/chị dành thời gian trả lời giúp em một số phát biểu sau Xin lưu ý khơng có câu trả lời sai, tất ý kiến trả lời có giá trị hữu ích cho việc nghiên cứu em Em rất mong nhận hỗ trợ nhiệt tình các anh/chị Tên doanh nghiệp : CÔNG TY CP TRUYỀN THÔNG GREEN STARS Địa trụ sở chính: Tầng 10, tòa nhà Pacific Place, 83B Lý Thường Kiệt, phường Trần Hưng Đạo, quận Hoàn Kiếm, TP Hà Nợi THƠNG TIN NGƯỜI ĐIỀN PHIẾU Họ tên:…………………………………………… Nam/nữ… Vị trí công tác: ……………………… I HẠ TẦNG KỸ THUẬT CNTT: Tổng số máy tính :……chiếc Số lượng máy trạm cơng ty (bao gồm máy tính để bàn, xách tay): …… chiếc Cấu hình máy trạm:………………………………………………… Số lượng máy chủ:…………………………………………………………… Cấu hình máy chủ:…………………………………………………………… Kết nối mạng nợi bợ: a Có b Khơng II HẠ TẦNG NHÂN LỰC HTTT: Câu 1: Số nhân viên CNTT có đáp ứng chức quản lý CNTT hay khơng ? a Có b Khơng Câu 2: Việc đảm bảo an toàn bảo mật HTTT thực thường xuyên không? a Rất thường xuyên b Thường xuyên c Thỉnh thoảng d Không bao giờ Câu 3: Mức độ quan trọng các thành phần HTTT công ty thế nào? a Phần cứng b Phần mềm c Mạng d Con người e Cơ sở liệu Câu 4: Thách thức lớn nhất an toàn bảo mật liệu đối với cơng ty gì? a Ngân sách b Nhân lực Câu Mức độ an tồn, bảo mật thơng tin cơng ty? a Rất tốt b Tốt c Trung bình d Yếu Câu 6: Tần suất lưu liệu công ty? a tháng lần b tháng lần c tháng lần d Lâu Câu 7: Hiện nay, công ty sử dụng giao thức để bảo mật mạng không dây? a Giao thức WEP b Giao thức WPA c Giao thức WPA2 d Không rõ Câu 8: Anh/chị hay đưa nhận xét mức độ trang thiết bị phần cứng bảo mật cơng ty? a Khá đầy đủ b Còn thiếu c Không rõ