LỜI CẢM ƠN Trong trình nghiên cứu thực khóa luận tốt nghiệp, em nhận hướng dẫn nhiệt tình giáo viên hướng dẫn Th.S Đinh Thị Hà, giúp đỡ ban giám đốc tồn thể nhân viên cán Cơng ty TNHH AI Việt Nam Trước hết, em xin gửi lời cảm ơn sâu sắc tới cô Th.S Đinh Thị Hà – Giáo viên hướng dẫn giúp đỡ em có định hướng đắn thực khóa luận tốt nghiệp kỹ nghiên cứu cần thiết khác Em xin gửi lời cảm ơn tới thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế Thương Mại Điện Tử động viên khích lệ mà em nhận suốt q trình học tập hồn thành khóa luận Em xin gửi lời cảm ơn chân thành tới ban giám đốc anh/chị làm việc cơng ty TNHH AI Việt Nam quan tâm, ủng hộ hỗ trợ cho em trình thực tập thu thập tài liệu Với đề tài “Một số giải pháp nhằm đảm bảo tính an tồn bảo mật hệ thống thơng tin Công ty TNHH AI Việt Nam” Đây đề tài không phức tạp nghiên cứu chuyên sâu vấn đề nhiều giới hạn Mặt khác, thời gian nghiên cứu khóa luận hạn hẹp, trình độ khả thân em hạn chế Vì vậy, khóa luận chắn gặp phải nhiều sai sót Em kính mong giáo Đinh Thị Hà, thầy cô giáo khoa Hệ Thống Thông Tin Kinh Tế, anh/chị nhân viên cơng ty TNHH AI Việt Nam góp ý, bảo để khóa luận có giá trị lý luận lẫn giá trị thực tiễn Em xin chân thành cảm ơn! 1 MỤC LỤC 2 DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt ATBM An tồn bảo mật ATTT An tồn thơng tin CNTT Công nghệ thông tin CSDL Cơ sở liệu HTTT Hệ thống thông tin TMĐT Thương mại điện tử TNHH Trách nhiệm hữu hạn AD Active Directory Hệ thống thư mục tích cực AH Authentication Header Xác thực người dùng 10 AMP 11 CA Certificate Authority Xác thực người dùng 12 EFS Encrypting File System Hệ thống mã hóa tệp 13 ESP Encapsulating Payload 14 DSS Decision Support System 15 HTTP Hyper Protocol Text 16 IETF Internet Force Engineering 17 IMAP Internet Messaging Access Giao thức truy cập nhắn tin Protocol internet 18 Inc Incorporated 19 IP Internet Protocol 20 IT Information Technology Công nghệ thông tin 21 LAN Local Area Network Mạng cục 22 MATD 23 NFC 24 NGIPS 25 PKI Thuật ngữ Advanced Protection McAfee Defense Giải nghĩa Malware Giải pháp bảo mật xử lý mã độc Security Giao thức mã hóa liệu Hệ hỗ trợ định Transport Giao thức truyền tải siêu văn Task Lực lượng quản lý kỹ thuật Tập đoàn Advanced Threat Giải pháp phần mềm bảo mật Near Field Communication Công nghệ giao tiếp tầm ngắn Next-Generation Intrusion Hệ thống phòng chống xâm Prevention Systems nhập hệ Public Key Infrastructure Hạ tầng mã hóa bảo mật cơng cộng 26 SPSS Statistical Product Services Solutions 27 SSL Secure Sockets Layer Lớp cổng bảo mật 28 TCP Transfer Control Protocol Giao thức điều khiển truyền vận 29 TLS Transport Layer Security Bảo mật tầng truyền tải 30 VNP Virtual Private Network Mạng riêng ảo 31 WAN Wide Area Network Mạng diện rộng 32 WEP Wireless Encryption Protocol Giao thức mã hố mạng khơng dây and Phần mềm phân tích, thống kê liệu DANH MỤC BẢNG BIỂU, HÌNH VẼ STT Bảng biểu, hình vẽ Hình 1.1: Tam giác bảo mật C.I.A Sơ đồ 1.1: Chỉ số an tồn thơng tin giai đoạn 2013-1017 Sơ đồ 2.1: Sơ đồ cấu tổ chức công ty TNHH AI Việt Nam 13 Bảng 2.1: Bảng thống kê doanh thu 15 Bảng 2.2: Bảng thống kê số lượng thiết bị phần cứng trung bình phòng ban 17 Bảng 2.3: Tình hình sử dụng mạng cơng ty 18 Hình 2.1: Sơ đồ mạng công ty 18 Bảng 2.4: Thống kê phần mềm ứng dụng sử dụng công ty 20 Bảng 2.5: Bảng mức độ quan tâm lãnh đạo việc ATBM cho HTTT 24 10 Biểu đồ 2.1: Mức độ quan tâm lãnh đạo ATBM cho HTTT 24 11 Bảng 2.6: Mức độ quan trọng thành phần HTTT 25 12 Bảng 2.7: Mức độ đáp ứng sở hạ tầng CNTT ATBM hệ thống 26 13 Biểu đồ 2.2: Mức độ đáp ứng sở hạ tầng CNTT với ATBM hệ thống 26 14 Bảng 2.8: Mức độ an toàn bảo mật thông tin 27 15 Bảng 2.9: Các phương pháp bảo mật thông tin cho khách hàng 27 16 Biểu đồ 2.3: Các phương pháp bảo mật thông tin cho khách hàng 28 17 Bảng 2.10: Các hình thức lưu 28 18 Bảng 2.11: Tần suất lưu liệu 29 19 Hình 3.1: Mơ hình bảo mật MATD 35 20 Mơ hình bảo mật MATD 43 21 Hình 3.2: Tường lửa cho hệ thống mạng 46 46 PHẦN MỞ ĐẦU: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1.1 Trang Ý nghĩa tầm quan trọng đề tài 5 Trong thời đại kinh tế phát triển vũ bão nay, thông tin, liệu chìa khóa vàng cho lĩnh vực đời sống, văn hóa- xã hội đặc biệt kinh tế quốc gia Việc ứng dụng công nghệ thông tin giúp cho tổ chức, cá nhân nắm bắt thơng tin cách xác kịp thời nhằm đưa biện pháp, định hướng đắn để đứng vững phát triển không ngừng trước thay đổi xã hội Để sử dụng cách triệt để lợi ấy, doanh nghiệp cần xây dựng hệ thống thơng tin tốt mà cần phải bảo đảm tính an tồn bảo mật cho HTTT Một HTTT bị an toàn xảy đến tổn thất thiệt hại nặng nề cho doanh nghiệp Đứng trước nguy trộm thông tin liệu từ lỗ hổng hệ thống xảy lúc với việc bùng nổ công nghệ thông tin làm cho việc kiểm sốt HTTT gặp nhiều khó khăn Vì cần có giải pháp an tồn nâng cao tính bảo mật hệ thống, giúp ngăn chặn lỗ hổng rò rỉ thơng tin bên ngồi doanh nghiệp Đối với doanh nghiệp chuyên cung cấp dịch vụ CNTT gia cơng phần mềm đóng gói, phần mềm giải pháp giải pháp trực tuyến Cơng ty TNHH AI Việt Nam việc bảo mật hệ thống quan trọng Các thông tin công ty thông tin liệu khách hàng đối tác cần bảo mật cách tồn vẹn để khơng ảnh hưởng đến hoạt động kinh doanh sản xuất công ty ảnh hưởng đến khách hàng đối tác Nhận thức tầm quan trọng này, sau thời gian thực tập cơng ty em tìm hiểu số biện pháp an tồn bảo mật cơng ty Tuy nhiên việc đảm bảo an toàn bảo mật chưa cao, chưa đáp ứng tính tồn vẹn thơng tin Vì em xin thực nghiên cứu đề tài khóa luận: “Một số giải pháp nhằm đảm bảo tính an tồn bảo mật hệ thống thơng tin Công ty TNHH AI Việt Nam” 1.2 Mục tiêu nhiệm vụ nghiên cứu Thông tin phận quan trọng tài sản vô quý giá tổ chức, doanh nghiệp Sự an tồn thơng tin khơng làm thiệt hại đến thân người dùng mà gây tổn thất nặng nề cho tổ chức, doanh nghiệp Ngày nay, phát triển mạnh mẽ Internet, việc truy cập thông tin ngày trở nên dễ dàng Điều đồng nghĩa với việc an tồn thơng tin phải đối mặt với nguy bị công, đe dọa Tuy nhiên, cá nhân tổ chức thường không lường hậu to lớn Vậy nên, đề tài khóa luận thực với mục tiêu nhiệm vụ: 6 Tổng hợp hệ thống lại số lý thuyết liên quan đến an toàn liệu bảo mật hệ thống - Phân tích đánh giá thực trạng an tồn bảo mật HTTT Cơng ty TNHH AI Việt Nam - Dựa việc tìm hiểu, phân tích đánh giá thực trạng an toàn bảo mật HTTT Công ty AI Việt Nam để đề xuất số giải pháp, kiến nghị việc phòng chống khắc phục nguy gây an toàn liệu bảo mật hệ thống cho công ty 1.3 Đối tượng phạm vi nghiên cứu đề tài 1.3.1 Đối tượng nghiên cứu - Đối tượng nghiên cứu tổng quát đề tài khóa luận: Vấn đề an tồn bảo mật HTTT Cơng ty TNHH AI Việt Nam Trong đó, chia thành đối tượng chi tiết hơn: - Trang thiết bị phần cứng Các phần mềm: Bao gồm phần mềm hệ thống phần mềm ứng dụng Hệ thống mạng Cơ sở liệu Các yếu tố bảo mật người Từ việc nghiên cứu đối tượng để đưa giải pháp công nghệ người nhằm đảm bảo việc an tồn thơng tin bảo mật hệ thống cho công ty TNHH AI Việt Nam 1.3.2 Phạm vi nghiên cứu Phạm vi nghiên cứu đề tài mang tầm vi mô, công ty cụ thể cơng ty TNHH AI Việt Nam sau: - - Về mặt không gian: Đề tài tập trung nghiên cứu tình hình ATBM HTTT công ty TNHH AI Việt Nam dựa việc thu thập tài liệu kết phiếu điều tra công ty Về mặt thời gian: Sử dụng số liệu báo cáo tài chính, kết khảo sát dựa phiếu điều tra lấy gia đoạn 2014-2017 7 1.4 Phương pháp nghiên cứu 1.4.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: Tìm hiểu thu thập thơng tin liên quan đến đề tài nghiên cứu thông qua văn bản, sách, báo, phương tiện thông tin Internet Phương pháp sử dụng phiếu điều tra - Nội dung: Bảng câu hỏi gồm 30 câu hỏi vấn đề liên quan trực tiếp đến an toàn bảo mật hệ thống thông tin công ty Cách thức tiến hành: Phiếu phát cho 20 nhân viên công ty để thu thập ý kiến Mục đích: Thu thập thơng tin cách xác thực an tồn bảo mật hệ thống dựa cách nhìn nhận nhân viên công ty Phương pháp thu thập liệu thứ cấp Dữ liệu thứ cấp thông tin thu thập xử lý trước dùng cho mục tiêu khác cơng ty - - Tài liệu nội công ty: Báo cáo tài chính, báo cáo kết kinh doanh ba năm gần 2014; 2015; 2016 thơng qua phòng kinh doanh phòng hành chính, kế tốn cơng ty Tài liệu bên ngoài: Được thu thập từ sách, tạp chí chun ngành, cơng trình nghiên cứu khoa học từ nguồn thông tin khác Internet Sau thu thập đầy đủ thông tin cần thiết ta tiến hành phân loại hệ thống sơ nhằm kiểm tra thiếu sót để kịp thời thu thập bổ sung thông tin cần thiết để tiến hành xử lý phân tích liệu 1.4.2 Phương pháp phân tích xử lý liệu Sau thu thập đầu đủ tài liệu có tính xác thực đầy đủ vấn đề nghiên cứu, ta tiến hành xử lý phân tích tài liệu phương pháp sau: Phương pháp định tính: Phân tích, tổng hợp thơng tin thơng qua câu hỏi vấn, phiếu điều tra tài liệu thu thập Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị 8 Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences) Thống kê SPSS gói phần mềm sử dụng để phân tích thống kê theo lơ khơng theo lơ có tính logic, sản xuất SPSS Inc Nó cung cấp hệ thống quản lý liệu phân tích thống kê mơi trường đồ họa, sử dụng trình đơn mơ tả hộp thoại đơn giản để thực hầu hết công việc thống kê phân tích số liệu Cho phép người dùng dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị 1.5 Kết cấu khóa luận Ngồi lời cảm ơn, phần mở đầu, khóa luận bao gồm chương sau: Chương 1: Cơ sở lý luận an tồn bảo mật thơng tin Chương 2: Thực trạng an tồn bảo mật hệ thống thơng tin cơng ty TNHH AI Việt Nam Chương 3: Định hướng phát triển đề xuất phải pháp đảm bảo an toàn bảo mật hệ thống thông tin cho công ty TNHH AI Việt Nam 9 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 1.1 Cơ sở lý luận hệ thống thông tin 1.1.1 Các khái niệm Ngày này, nhu cầu trao đổi thông tin, liệu ngày gia tăng mạnh mẽ đa dạng Cùng với phát triển mạnh mẽ điện tử viễn thông công nghệ thông tin giúp cho việc trao đổi thông tin, liệu ngày nhanh chóng kịp thời, nâng cao chất lượng lưu lượng truyền tin Theo Bài giảng Hệ thống thông tin quản lý trường Đại học Thương Mại: Dữ liệu giá trị phản ánh vật, tượng giới khách quan Nhưng giá trị thô, chưa có ý nghĩa với người sử dụng Dữ liệu tập hợp giá trị mà liên hệ chúng Dữ liệu qua q trình xử lý, phân tích đánh giá trở thành thơng tin phục vụ cho mục đích khác người Dữ liệu biểu diễn nhiều dạng khác như: văn bản, âm hay hình ảnh Cơ sở liệu tập hợp liệu tương quan có tổ chức lưu trữ phương tiện lưu trữ đĩa từ, băng từ, v…v nhằm thỏa mãn yêu cầu khai thác thông tin (đồng thời) nhiều người sử dụng nhiều chương trình ứng dụng Thơng tin hiểu biết kiện, tượng đó, thu nhận qua khảo sát, đo lường, trao đổi, nghiên cứu… Thông tin liệu xử lý cho thực có ý nghĩa người sử dụng Thông tin coi sản phẩm hoàn chỉnh thu sau q trình xử lý liệu Hệ thống thơng tin tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức 1.1.2 Vai trò HTTT doanh nghiệp Có thể nói rằng, hệ thống thơng tin hệ thống đóng vai trò làm vật trung gian công ty, doanh nghiệp với môi trường, xã hội Nó hệ thống nằm trung tâm doanh nghiệp, giúp cho trình thu thập, xử lý cung cấp thông tin cách thuận lợi Vai trò hệ thống thơng tin thể qua hai mặt bên bên doanh nghiệp 10 Dựa thông tin này, đội ngũ an ninh nhanh chóng nắm bắt điều xảy tiến hành biện pháp kỹ thuật để cách ly ngăn chặn mã độc tiếp tục xâm hại đến hệ thống thiết bị đầu cuối PC, server Với khả liên tục kiểm tra, giám sát, đánh dấu lại toàn lưu lượng mạng vào hệ thống, thông tin tập tin lưu trữ thực thi thiết bị đầu cuối nào, AMP ngăn chặn đợt cơng, công cụ đắc lực cho công tác điều tra cố sau đợt cơng có sử dụng mã độc Giải pháp McAfee Advanced Threat Defense (MATD) Intel McAfee Advanced Threat Defense (MATD) thiết kế để phát mã độc tàng hình, zero-day Nó sử dụng cách hiệu nguồn thông tin: chữ ký để phát virus, dịch vụ đánh giá mức độ uy tín, mơ thời gian thực, thơng qua nhanh chóng xác định ngăn chặn mã độc Hình 3.1: Mơ hình bảo mật MATD Việc phát mã độc quan trọng, phần giải pháp hiệu Do đó, mở rộng tầm bảo vệ từ hệ thống mạng đến hệ thiết bị cuối cần thiết, để không nhận dạng mã độc mà bảo vệ chống lại mối nguy hại từ Một điểm cốt lõi an ninh tích hợp hệ thống khả chia sẻ thông tin sở hạ tầng với để cung cấp khả bảo mật mạnh mẽ 52 Giải pháp McAfee thay đổi hành vi “phát hiện” truyền thống cách kết nối khả phân tích mã độc với hệ thống phòng thủ, từ mạng vành đai đến thiết bị đầu cuối, chia sẻ thông tin mối đe dọa phân tích với tồn môi trường CNTT McAfee tập trung vào ba yếu tố quan trọng để giải vấn đề mã độc là: tìm mối đe dọa (Find), đóng băng (Freeze), khắc phục (Fix) Find Khi giải pháp Endpoint Security, Web Filtering, Network IPS xác định chắn 100% tập tin đáng ngờ mã độc, chúng chuyển thông tin cho MATD, MATD phân tích tập tin mơi trường ảo hóa, tương đồng với hệ thống thực MATD khơng nhìn vào mã thực thi, mà nhìn mã khơng hoạt động Freeze Việc tích hợp chặt chẽ giải pháp McAfee cho phép chia sẻ kết phân tích MATD với Endpoint Security, Web Gateway Network IPS… Từ giúp thành phần chủ động phát ngăn chặn tập tin đáng ngờ MATD dán nhãn mã độc Network Security Platform chí lập hệ thống bị lây nhiễm để ngăn chặn mã độc lây lan Fix Có thể sử dụng Real Time với ePO để khắc phục thiệt hại gây mã độc Real Time đặt “câu hỏi” cho thiết bị đầu cuối mạng sau hành động theo câu “trả lời” nhận Dựa kết phân tích MATD, nhanh chóng phát hệ thống bị nhiễm Sau đó, Real Time tự động loại bỏ tập tin liên quan hành động khởi tạo mã độc Cách tiếp cận theo nhiều lớp thiết kế để đảm bảo mã độc lọc nhiều lớp mà không thêm thời gian nguồn lực để phân tích Cách tiếp cận nhằm để phân tích nhanh bảo vệ tốt Thay triển khai riêng lẻ giải pháp, MATD quản trị tập trung với tích hợp liền mạch với sản phẩm khác McAfee, thiết kế cách thống để đơn giản hóa việc quản trị giảm chi phí vận hành tối đa hóa khả bảo vệ - Xây dựng hạ tầng PKI (public key infrastructure - hay gọi hạ tầng mã khố bảo mật cơng cộng) 53 Trong vài năm lại đây, hạ tầng truyền thông IT ngày mở rộng mà người sử dụng dựa tảng để truyền thông giao dịch với đồng nghiệp, đối tác kinh doanh việc khách hàng dùng email mạng công cộng Hầu hết thông tin kinh doanh nhạy cảm quan trọng lưu trữ trao đổi hình thức điện tử Sự thay đổi hoạt động truyền thông đồng nghĩa với việc cơng ty phải có biện pháp bảo vệ tổ chức, doanh nghiệp trước nguy lừa đảo, can thiệp, cơng, phá hoại vơ tình tiết lộ thơng tin PKI tiêu chuẩn cơng nghệ ứng dụng coi giải pháp tổng hợp độc lập mà cơng ty sử dụng để giải vấn đề PKI chất hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng sử dụng để khởi tạo, lưu trữ quản lý chứng thực điện tử mã khố cơng cộng cá nhân PKI đảm bảo chế bảo mật tổng hợp để lưu trữ chia sẻ tài sản trí tuệ cơng ty Tuy nhiên, chi phí phức tạp gây rào cản định khả ứng dụng Thêm vào đó, PKI bao gồm việc ứng dụng rộng rãi dịch vụ bảo mật khác, bao gồm dịch vụ liệu tin cậy, thống liệu tổng thể quản lý mã khố 3.2.2 Giải pháp phần mềm Cơng ty cần đầu tư cho phần mềm nhiều nữa, không phần mềm nghiệp vụ mà phần mền ứn dụng để tránh việc sử dụng phần mềm độc hại, không rõ nguồn gốc Đặc biệt công ty cần phải quan tâm đến phần 3.2.2.1 mềm sau để đảm bảo ATBM cho HTTT công ty Giải pháp sử dụng tường lửa phần cứng Tường lửa (Firewall) thuật ngữ dùng mô tả thiết bị hay phần mềm có nhiệm vụ lọc thơng tin vào hay hệ thống mạng hay máy tính theo quy định cài đặt trước Mục tiêu việc sử dụng tường lửa tạo kết nối an toàn từ vùng mạng bên bên hệ thống, đảm bảo khơng có truy cập trái phép từ bên vào máy chủ thiết bị bên hệ thống mạng 54 Hình 3.2: Tường lửa cho hệ thống mạng Firewall phần cứng firewall tích hợp sẵn phần cứng chuyên dụng, thiết kế dành riêng cho firewall Trước gói tin Internet đến máy tính, Firewall phần cứng giám sát gói tin kiểm tra xem đến từ đâu Nó kiểm tra địa IP tiêu đề tin cậy Tường lửa phần cứng được thiết kế để tối ưu cho firewall, có khả tích hợp thêm chức bổ sung khó khăn firewall mềm, chẳng hạn chức kiểm soát thư rác firewall mềm cần cài đặt chức ứng dụng firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức Ví dụ điển hình: sản phẩm Firewall Cisco first threat-focused NextGeneration Firewall (NGFW) thiết kế đặc biệt có khả phát ngăn chặn công, cung cấp khả nhận thức theo ngữ cảnh điều khiển linh động để đánh giá mối đe dọa, phối hợp thơng tin tối ưu hóa phòng thủ nhằm bảo vệ hệ thống mạng cho người dùng Nó tích hợp tính kiểm sốt ứng dụng, hệ thống phòng chống xâm nhập hệ Next-Generation Intrusion Prevention Systems (NGIPS) với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire 3.2.2.2 Sử dụng phần mềm bảo mật Sử dụng phần mềm bảo mật giúp cho máy tính chống lại mối đe dọa từ virut, mã độc làm ảnh hưởng đến bảo mật thông tin, xảy công mạng lừa đảo, thư rác Hiện nay, thị trường cơng nghệ Việt Nam phần mềm bảo mật Kaspersky sử dụng phổ biến cho doanh nghiệp Với Kaspersky, Công ty 55 TNHH AI Việt Nam sử dụng trọn sản phẩm Kaspersky Small Office Security (5PC +1Fileserver) cho Server máy trạm giúp cho: - Bảo vệ thời gian thực khỏi mối đe dọa từ Internet - Quản lý bảo mật tập trung cho máy chủ máy trạm - Chống virus cho tập tin - Bảo vệ thời gian thực cho hoạt động kinh doanh - Chống virus cho thư điện tử, web - Không yều cầu phải có chun mơn IT 3.2.3 Giải pháp quản lý sở liệu Hiện tại, Công ty TNHH AI Việt Nam sử dụng hệ quản trị CSDL SQL Server với tính như: mã hóa suốt hiệu quả, khả giám sát thông minh, tính ổn định cao, cho phép quản lý CSDL cơng cụ sách, khả tích hợp với System Center, lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng Tuy hệ quản trị có nhiều chức trội để đảm bảo mục tiêu ATTT, công ty cần quan tâm tới số vấn đề sau: - Tổ chức quản lý tài nguyên Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, tuyệt đối không chia sẻ toàn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục nên sử dụng mật để bảo vệ thông tin Bên cạnh việc bảo mật liệu mềm máy tính, cơng ty ln phải ý tới tính an toàn bảo mật liệu cứng như: báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất… Các tài liệu việc bảo quản cẩn thận tủ hồ sơ cơng ty cần lưu để lưu trữ máy chủ CSDL công ty - Tổ chức quản lý tài khoản Các tài khoản định danh người dùng hệ thống thơng tin, bao gồm: tạo mới, kích hoạt, sửa đổi loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thông tin tháng lần thơng qua công cụ hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, công chức, viên chức chuyến công tác, chấm dứt hợp đồng lao động - Thiết lập cấu hình sở liệu an tồn Ln cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu; 56 Gỡ bỏ sở liệu khơng sử dụng; Có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật ký CSDL với nội dung như: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi - Quản lý đăng nhập hệ thống Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống Hệ thống tự động khóa tài khoản lập tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa (quay số, internet, ), đăng nhập có chức quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật 3.2.4 Giải pháp nguồn nhân lực Dưới phát triển mạnh mẽ CNTT, công ty cần trang bị kiến thức an toàn bảo mật cho nhân viên Nhân viên cần ý thức thói quen sử dụng máy tính hàng ngày gây nên nguy an toàn phải biết biện pháp khắc phục tình trạng Bên cạnh đó, cơng ty cần mở lớp phổ biến kiến thức an toàn bảo mật CSDL cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng CSDL Kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật CSDL cho cơng ty Cần phải làm rõ điều rằng, nhân viên không copy thông tin quan trọng hay mang nhà, email ngồi mạng nội mà khơng có cho phép Mặc dù vậy, trừ đặt sách văn giấy tờ có chữ ký nhân viên để xác nhận, khơng khó bắt người dùng cơng ty thực thi tốt sách Nguồn nhân lực cơng ty chưa có kiến thức chun sâu an tồn bảo mật CSDL Để thực giải pháp để nâng cao an toàn bảo mật CSDL cho công ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Ban lãnh đạo nhân viên công ty cần nắm nội dung quy định liên quan đến vấn đề an tồn thơng tin doanh nghiệp, phòng chống tội phạm cơng nghệ cao Kiểm soát người lạ, nhân viên thiết bị vào công ty để tránh việc liệu bị đánh cắp cơng ty kiểm sốt vào vân tay thẻ 57 nhân viên cơng ty, có khách hàng hay người lạ đến giao dịch làm việc công ty lễ tân hướng dẫn Bước việc bảo vệ liệu thiết lập đặc quyền thích hợp cho file thư mục Trong thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp để họ thực cơng việc Ngồi lãnh đạo thiết lập hành động thẩm định file thư mục có chứa liệu nhạy cảm để biết truy cập vào truy cập Về vấn đề công ty tìm hiểu thêm chế thẩm định truy cập đối tượng Windows Server Đặt mật cho file: Đây giải pháp đặt mật cho file liệu nhằm hạn chế quyền truy cập hay can thiếp người không cấp quyền truy cập đến file hay cá nhân bên muốn xâm nhập để đánh cắp file Một số kiến nghị công ty 3.3 Đảm bảo ATBM HTTT Công ty TNHH AI Việt Nam công việc riêng người quản trị HTTT mà tồn nhân viên cơng ty có trách nhiệm bảo vệ thông tin, HTTT tài sản sống doanh nghiệp điều phải xem thành phần văn hóa kinh doanh công ty Dưới số kiến nghị chung nhằm thúc đẩy việc đảm bảo ATBM HTTT: - Đầu tư trang thiết bị phần mềm hỗ trợ Nhanh chóng đầu tư bổ sung sở hạ tầng máy móc phục vụ cho hoạt động công ty, đầu tư phần thêm mềm bảo mật Hiện thị trường có sản phẩm Kaspersky small office security cho1 máy chủ 10 máy trạm với giá 3.230.000 VNĐ Các trang thiết bị công nghệ thông tin phải kiểm tra thường xuyên, khắc phục lỗi trục trặc nhanh chóng kịp thời Thay thiết bị cũ, không đáp ứng công việc số thiết bị kết nối máy tính khơng đáp ứng công việc Thiết lập hệ thống camera nơi làm việc để theo dõi việc vào, sử dụng thiết bị máy chủ công ty Quản lý truy cập từ điện thoại, máy tính bên ngồi vào hệ thống mạng công ty Quản lý việc gửi, nhận email, tải file lên Internet chia sẻ qua mạng xã hội, sử dụng thiết bị lưu trữ di động cán nhân viên để tránh copy liệu làm lây lan virus vào hệ thống, thiết lập quy định lưu, lưu trữ liệu phương thức khắc phục có cố xảy Quản lý thiết bị lưu trữ thông tin quan 58 - trọng (máy chủ, ổ cứng di động, ) cần mang Lập danh sách phần mềm phép cài đặt, sử dụng máy tính cá nhân cơng ty Đào tạo nhân lực công ty Công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư làm việc độc lập, kỹ làm việc theo nhóm Cơng ty cần thực nghiêm chỉnh sách, quy định cụ thể nhân viên vấn đề liên quan đến ATBM HTTT Cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin khách hàng Tất thông tin khách hàng, đối tác hay thông tin nội công ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận Thành lập phận chuyên chịu trách nhiệm vệc đảm bảo an tồn bảo mật cho hệ thống thơng tin cơng ty Đào tạo cho tồn nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an tồn bảo mật thơng tin cho nhân viên gửi đào tạo doanh nghiệp lớn hay đào tạo online Một mặt tuyển dụng, công ty cần phải đặt yêu cầu nhân viên phải đào tạo chun mơn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Điều trang bị tốt cho công ty, tạo thuận tiện công việc máy có hỗ trợ tin cậy từ phía nhân viên 59 KẾT LUẬN Ngày nay, với phát triển công nghệ thông tin, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp người đến gần Các cơng ty có hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh chia sẻ thơng tin Bên cạnh đó, cơng nghệ thơng tin ứng dụng giúp cơng ty phân tích, lữu trữ thơng tin liệu để phục vụ cho việc điều hành định kinh doanh Vì vậy, việc đảm bảo nâng cao an tồn bảo mật thơng tin HTTT doanh nghiệp quan tâm hàng đầu Công ty TNHH AI Việt Nam đà phát triển, với việc mở rộng kinh doanh Cho nên vấn đề an toàn bảo mật HTTT công ty quan trọng cần thiết Cơng ty có có giải pháp đảm bảo an toàn bảo mật HTTT Tuy nhiên, giải pháp an tồn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công HTTT Cho nên em đề xuất giải pháp như: Việc quản trị nâng cao nhận thức cho nhân viên, nâng cao việc lưu trữ mã hoá liệu, sử dụng phần mềm ngăn chặn nguy công liệu, nâng cấp hệ thống máy chủ công ty Với đề tài “Các giải pháp nâng cao an tồn bảo mật HTTT cơng ty TNHH AI Việt Nam” đề tài đòi hỏi nghiên cứu lâu dài mặt lý luận thực tiễn, đồng thời đòi hỏi người nghiên cứu phải có kiến thức sâu rộng kinh nghiệm lĩnh vực Là sinh viên thực tập, tầm hiểu biết, kinh nghiệm hạn chế, khóa luận thiếu nhiều thiếu sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hồn chỉnh Một lần nữa, em xin chân thành cảm ơn quý Công ty, cảm ơn cô thầy cô khoa đặc biệt Đinh Thị Hà giúp đỡ tận tình tạo điều kiện thuận lợi cho em trình nghiên cứu, hồn thiện khóa luận tốt nghiệp Em xin chân thành cảm ơn! 60 TÀI LIỆU THAM KHẢO Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội Bộ môn công nghệ thông tin, Bài giảng an tồn bà bảo mật thơng tin, Đại học Nha Trang Đàm Gia Mạnh (2009), Giáo trình An toàn liệu Thương mại điện tử, Nhà xuất Thống kê, Hà Nội Nguyễn Thị Hội, Bài giảng an tồn bảo mật thơng tin doanh nghiệp, môn Công nghệ Thông tin, khoa Hệ Thống Thông Tin Kinh Tế, trường đại học Thương Mại Giáo trình mạng máy tính truyền thơng, Đại học Thương Mại Giáo trình an tồn bảo mật thơng tin, Đại học Bách Khoa Hà Nội Website công ty: http://aivietnam.net/ Website: http://www.quantrimang.com.vn Tài liệu công ty: Báo cáo kết kinh doanh năm 2014 – 2016, tài liệu cấu tổ chức 61 PHỤ LỤC PHIẾU KHẢO SÁT TÌNH HÌNH ỨNG DỤNG CNTT, HTTT VÀ QUẢN TRỊ CSDL TRONG CÔNG TY TNHH AI VIỆT NAM Lưu ý: Em cam kết giữ bí mật thông tin riêng ngân hàng dùng thông tin cung cấp phiếu điều tra cho mục đích khảo sát tổng hợp trạng CNTT, HTTT, quản trị CSDL công ty TNHH AI Việt Nam Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp cách đánh dấu X vào ô [ ] tương ứng (có thể chọn nhiều mục) A THƠNG TIN VỀ CƠNG TY Tên cơng ty: Cơng ty TNHH AI Việt Nam Thông tin người điền phiếu: Họ tên: …………………………………….Nam/Nữ: ……………… Năm sinh: …………………… Chức vụ: ………………………………………………………………… Số lượng nhân viên: [ ] Dưới 100 người [ ] Từ 100 – 300 người [ ] Từ 300 – 300 người [ ] Trên 500 người Loại hình doanh nghiệp [ ] Cơng ty tư nhân [ ] Công ty cổ phần [ ] Công ty nhà nước [ ] Loại hình khác …………………… 62 Lĩnh vực hoạt động kinh doanh chính: [ ] Sản xuất, gia công phần mềm [ ] Dịch vụ trực tuyến [ ] Sản phẩm tiền gửi [ ] Sản phẩm dịch vụ cho vay [ ] Thiết bị điện tử, viễn thông [ ] Sản phẩm bảo lãnh [ ] Tư vấn CNTT-TT [ ] Cổ phiếu [ ] Khác (ghi rõ): ……………………………………………………………………………………………………… B 10 11 12 13 14 15 …………………………………………………………………………………………………… Thị trường kinh doanh [ ] Trong nước [ ] Quốc tế [ ] Cả hai TÌNH HÌNH ỨNG DỤNG CNTT VÀ TMĐT Số lượng máy chủ: Số lượng máy trạm: ……………… Số lượng máy tính để bàn: Số lượng máy in:………………… Số lượng máy Scan: …… Số lượng máy ĐT bàn: …………… Máy chủ cài đặt hệ điều hành gì: ………………………………… Máy tính ngân hàng nối mạng gì? [ ] LAN [ ] WAN [ ] WIFI [ ] Khác Công ty sử dụng phần mềm nào? [ ] Phần mềm Văn phòng MS Office [ ] Phần mềm văn phòng khác [ ] Phần mềm tài kế tốn [ ] Phần mềm quản lý nhân [ ] Phần mềm quản lý chuỗi cung ứng [ ] Phần mềm quản trị dự án [ ] Phần mềm quản lý quan hệ khách hàng [ ] Phần mềm lập kế hoạch nguồn lực ERP [ ] Phần mềm khác (ghi rõ) 63 16 Khi sử dụng phần mềm, bạn có quan tâm đến quyền phần mềm khơng? [ ] Có [ ] Không 17 Dữ liệu ngân hàng [ ] Lưu trữ tập trung [ ] Lưu trữ phân tán [ ] Cả hai 18 Dữ liệu tổ chức [ ] Trong CSDL [ ] Tập tin riêng rẽ C CƠ SỞ NHÂN LỰC CNTT, HTTT 19 Số lượng cán hoạt động lĩnh vực CNTT: Phần cứng:………………người Phần mềm: + Dịch vụ: …………….người +Phát triển phần mềm: …………… người 20 Số lượng cán có đại học, Đại học CNTT:…………………… người - 21 Tỷ lệ nhân viên thành thạo kỹ tin học [ ] Dưới 5% [ ] Từ 5% - 20% [ ] Từ 20% - 50% [ ] Từ 50% - 80% [ ] Trên 80% 22 Tỷ lệ nhân viên tham gia vào công việc quản trị HTTT (quản trị mạng, liệu…) [ ] Dưới 5% [ ] Từ 5% - 20% [ ] Từ 20% - 50% [ ] Từ 50% - 80% [ ] Trên 80% 64 23 Hình thức đào tạo CNTT cho nhân viên? [ ] Mở lớp đào tạo [ ] Gửi nhân viên học [ ] Đào tạo chỗ theo nhu cầu công việc [ ] Không đào tạo 24 Sự đồng hoạt động hệ thống ứng dụng đơn vị với HTTT [ ] Đồng [ ] Không đồng [ ] Ý kiến khác…… D VỀ AN TOÀN BẢO MẬT MẠNG, DỮ LIỆU 25 Mức độ quan tâm tới vấn đề an toàn bảo mật [ ] Khơng quan tâm [ ] Ít quan tâm [ ] Quan tâm [ ] Đặc biệt quan tâm [ ] Khá quan tâm 26 Hiện tại, cơng ty có sử dụng chương trình bảo mật cho CSDL? [ ] Diệt virus [ ] Tường lửa [ ] Phân quyền người sử dụng [ ] Phần mềm bảo vệ [ ] Sử dụng thiết bị vật lý [ ] Mã hóa chức hệ quản trị [ ] Mã hóa hệ mã hóa riêng [ ] Sử dụng chữ ký điện tử [ ] Khác (Mô tả) 27 Hiện cơng ty làm để tiến hàng bảo vệ thơng tin cho khách hàng, đối tác [ ] Quản lý email [ ] Quản lý server máy chủ [ ] Quản lý hệ CSDL 65 [ ] Quản lý Website [ ] Quản lý hệ thống 28 Hoạt động nhân viên gây an tồn thơng tin? [ ] Sử dụng thiết bị chép khơng an tồn [ ] Truy cập trái phép hệ thống thơng tin ngân hàng [ ] Thói quen sử dụng Webmail (Mail) [ ] Hoạt động khác: 29 Tần suất lưu liệu [ ] tháng lần [ ] tháng lần [ ] tháng lần [ ] lâu 30 Hiện nay, biện pháp đảm bảo an toàn bảo mật mà công ty sử dụng phù hợp, đáp ứng nhu cầu công ty chưa? [ ] Chưa [ ] Đáp ứng phần [ ] Đã đáp ứng 66