MỤC LỤC PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu 1.1.1 Tầm quan trọng 1.1.2 Ý nghĩa .1 1.2 Tổng quan vấn đề nghiên cứu 1.2.1.Tổng quan tình hình nghiên cứu Việt Nam 1.2.2 Tổng quan tình hình nghiên cứu giới 1.3 Mục tiêu nghiên cứu đề tài 1.4 Đối tượng phạm vi nghiên cứu đề tài .7 1.4.1 Đối tượng nghiên cứu đề tài .7 1.4.2.Phạm vi nghiên cứu đề tài 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu 1.5.2 Phương pháp phân tích xử lý liệu 1.6 Kết cấu khóa luận PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TỒN VÀ BẢO MẬT CHO HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN HỒNG GIANG 2.1 Về sở lý luận 2.1.1 Khái niệm thơng tin, hệ thống thơng tin an tồn bảo mật thông tin .9 2.1.2 Các vấn đề lien quan đến an tồn bảo mật hệ thống thơng tin 11 2.1.3 Phân định nội dung 31 2.2 Tổng hợp, phân tích thực trạng an tồn bảo mật thơng tin cơng ty cổ phần Hồng Giang .31 2.2.1 Giới thiệu công ty 31 2.2.2 Phân tích thực trạng cơng ty cổ phần Hoàng Giang .34 2.2.3 Phân tích thực trạng an tồn bảo mật thơng tin công ty 35 2.2.4 Đánh giá thực trạng bảo mật, an tồn liệu cơng ty cổ phần Hoàng Giang………………………… 41 PHẦN 3:ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP AN TỒN BẢO MẬT THƠNG TIN TẠI CƠNG TY CỔ PHẦN HỒNG GIANG 43 3.1 Định hướng phát triển công ty cổ phần Hoàng Giang thời gian tới 43 3.2 Giải pháp đảm bảo an tồn thơng tin cho cơng ty 43 3.2.1 Giải pháp Firewall cho cơng ty cổ phần Hồng Giang 43 3.2.2 Giải pháp mã hóa sở liệu 48 3.3 Một số kiến nghị 50 KẾT LUẬN 52 PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU I.1 Tầm quan trọng, ý nghĩa vấn đề nghiên cứu I.1.1 Tầm quan trọng Trong kinh tế tồn cầu hóa nay, cơng nghệ thông tin chi phối hoạt động lĩnh vực đời sống kinh tế - xã hội đặc biệt lĩnh vực kinh doanh Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thơng tin cách xác kịp thời, đầy đủ, góp phần nâng cao hiệu kinh doanh, thúc đẩy kinh tế mở rộng phát triển Và ngày nay, vấn đề an tồn bảo mật thơng tin xem sống doanh nghiệp, định thành bại doanh nghiệp thương trường họ biết sử dụng thông tin cho đạt hiệu Dữ liệu phần thiếu doanh nghiệp dù lớn hay nhỏ coi phần tài sản doanh nghiệp Dữ liệu, thông tin đối mặt với nguy an toàn yếu tố bên bên doanh nghiệp Việc đảm bảo an tồn thơng tin liệu doanh nghiệp lại không dễ dàng Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống CNTT, làm tăng số điểm yếu nguy an toàn hệ thống I.1.2 Ý nghĩa Các nguy bảo mật ngày nở rộ, rủi ro thông tin bị lộ, bị thay đổi, bị mát, bị từ chối ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược doanh nghiệp Vì việc bảo vệ an tồn thơng tin, đảm bảo tính bí mật, tính tồn vẹn, tính sẵn sàng, tính xác thực trách nhiệm thông tin trao đổi cần thiết Hiện nay, việc đưa số giải pháp đảm bảo an tồn bảo mật thơng tin cho HTTT nhiều doanh nghiệp quan tâm triển khai Trong có cơng ty Cổ phần Hồng Giang nói riêng với doanh nghiệp nói chung có biện pháp đảm bảo an tồn thơng tin, bảo vệ sống doanh nghiệp Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: “Giải pháp đảm bảo an toàn bảo mật cho hệ thống thông tin Công ty cổ phần Hoàng Giang” 1.2 Tổng quan vấn đề nghiên cứu 1.2.1.Tổng quan tình hình nghiên cứu Việt Nam Trong tình hình cơng trình nghiên cứu an tồn bảo mật thơng tin trong nước có chuyển biến tích cực, nhiều cơng trình nghiên cứu, sách tài liệu khoa học an toàn bảo mật thông tin đời như: Đàm Gia Mạnh (2009),Giáo trình an tồn liệu thương mại điện tử, NXB Thống Kê Giáo trình đưa vấn đề liên quan đến an toàn liệu TMĐT khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy an tồn liệu TMĐT, hình thức cơng TMĐT Từ đó, giúp nhà kinh doanh tham gia TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi ra, giáo trình đề cập đến số phương pháp phòng tránh cơng gây an toàn liệu biện pháp khắc phục hậu thông dụng, phổ biến nay, giúp nhà kinh doanh vận dụng thuận lợi cơng việc hàng ngày Bài luận văn thạc sĩ “Nghiên cứu vấn đề bảo mật thông tin đề xuất giải pháp bảo mật cho hệ thông thông tin trường cao đẳng kinh tế- kỹ thuật Vĩnh Phúc” học viên Tô Quang Hiệp nghiên cứu chặt chẽ kiểu firewall phân tích ưu điểm hạn chế chúng để có đề xuất giải pháp bảo mật phù hợp cho hệ thống thông tin trường Cao đẳng Kinh tế- Kỹ thuật Vĩnh Phúc Firewall làmột kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống thông tin khác không mong muốn Nói cách khác Firewall đóng vai trò trạm gác cổng vào mạng Firewall giải pháp hiệu việc bảo vệ máy tính tham gia vào mạng Bài luận văn nghiên cứu chặt chẽ giúp người đọc hiểu chi tiết kiểu Firewall để có lựa chọn phù hợp nhằm giải vấn đề an ninh mạng Tuy nhiên, luận văn chỉ đừng lại việc đưa lý thuyết chung Firewall mà chưa đưa hướng xây dựng cụ thể cho giải pháp sử dụng tường lửa để bảo mật Cùng nghiên cứu vấn đề này, Nguyễn Dương Hùng – Khoa Hệ thống thông tin Quản lý- Học viện Ngân hàng thực nghiên cứu khoa học “Các vấn đề bảo mật an toàn liệu ngân hàng thương mại sử dụng công nghệ điện toán đám mây” Các ngân hàng ngày gặp nhiều khó khăn việc lưu trữ, quản lý, khai thác số lượng lớn liệu họ tăng lên nhanh chóng theo ngày Sự đời cơng nghệ điện tốn đám mây (ĐTĐM) với khả cung cấp sở hạ tầng không giới hạn để truy xuất, lưu trữ liệu vị trí địa lý khác giải pháp tốt cho sở hạ tầng công nghệ thông tin (CNTT) để ngân hàng xử lý vấn đề khó khăn Như kết tất yếu, liệu dư thừa, trùng lặp sẽ xuất bị sửa đổi người sử dụng trái phép Điều dẫn đến việc mát liệu, an tồn bảo mật thơng tin, riêng tư khách hàng sẽ trở thành vấn đề cho ngân hàng họ ứng dụng công nghệ ĐTĐM vào công việc kinh doanh họ Do việc ứng cơng nghệ ĐTĐM vào ngân hàng xu tất yếu trong thời đại CNTT phát triển mạnh mẽ Tuy nhiên hạn chế nghiên cứu nhiều thiếu sót chỉ nghiên cứu mang tính lý thuyết chưa có nhiều thực nghiệm đưa kiến nghị an ninh bảo mật ĐTĐM Tạp chí CNTT truyền thơng cũng có bài: “Ứng dụng trí tệ nhân tạo phần mềm diệt virus” Đỡ Hữu Tuyến nói tính việc sử dụng kỹ thuật Deep learning để nhận biết dấu hiệu đoạn mã độc, thông việc “học” hàng triệu mẫu liệu chứa phần mềm độc hại mà phần mềm độc hại Deep learning nhánh phát triển trí tuệ nhân tạo Kỹ thuật dựa hoạt động nơ-ron thần kinh vỏ não với khả học hỏi Kỹ thuật Deep Instrinct sử dụng để tạo “mạng lưới thần kinh tĩnh”, sẽ phân phối đến người dùng cuối Mạng lưới không cần cập nhật thường xuyên cách mà ứng dụng diệt virus truyền thống làm, thay vào đủ thông minh để phát ngăn chặn virus, kể virus hay chỉ biến thể Giải pháp Deep Instrinct cam kết cung cấp có thể: Phát ngăn chặn thiết bị đầu cuối, thiết bị di động thời gian thực; dự đoán mối đe dọa mạng chưa biết sử dụng thuật toán Deep learning; giải pháp hoạt động dựa tất thiết bị, hệ điều hành tảng; khơng cần kết nối mạng hay kết nối bổ sung trình hoạt động Nghiên cứu góp phần khắc phục số hạn chế bảo mật phần mềm diệt virus; đồng thời nâng cao hiệu chống virus xâm nhập phần mềm Quan tâm ấn đề này, trang http://www.histaff.vn có viết: “Bảo mật thông tin- vấn đề sống còn doanh nghiệp” Trong kinh tế tồn cầu hóa vấn đề bảo mật thơng tin xem sống doanh nghiệp Thế nhưng, nhiều doanh nghiệp chưa nhận thức tầm quan trọng vấn đề bảo mật thông tin nguy xảy từ việc rò rỉ thơng tin nội doanh nghiệp Bài viết đưa số liệu thống kê cụ thể Tổ chức chứng nhận TUVRheinland Việt Nam vấn để bảo mật thông tin cá nhân tổ chức doanh nghiệp Theo khảo sát vấn đề bảo mật thông tin tổ chức nghiên cứu thị trường EY, có 66% công ty hỏi cho biết họ gặp vấn đề bảo mật thông tin, 65% bị công bới nhân viên nội bộ, 49% chưa xem bảo mật thông tin ưu tiên hàng đầu, 40 % không nghiên cứu vấn đề rủi ro bảo mật Vấn đề đặt doanh nghiệp cần quan tâm đến an toàn bảo mật thơng tin để tìm giải pháp cho sách an tồn thơng tin cho doanh nghiệp 1.2.2 Tổng quan tình hình nghiên cứu giới Ở Việt Nam nói riêng Thế giới nói chung, có khơng người quan tâm nghiên cứu đưa phương hướng giải pháp đảm bảo an toàn bảo mật thơng tin nói chung Cơng nghệ thơng tin ngày phát triển dẫn đến nhiều hình thức tinh vi, tiểu sảo, nhiều công đánh cắp liệu vào website doanh nghiệp lớn nhỏ, tổ chức, phủ… Hay gần vụ công vào trang thông tin điện tử Cơ quan tình báo Trung ương Mỹ CIA Interpol, gây hậu đặc biệt nghiêm trọng Các số liệu thống kê thực tế cho thấy công mạng sẽ ngày mạnh mẽ hơn, chuyên nghiệp ngày khó khăn để ngăn chặn William Stallings(2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005 Cuốn sách nói vấn đề mật mã an ninh mạng nay, khám phá vấn đề công nghệ mật mã an ninh mạng Kiểm tra thực hành an ninh mạng thông qua ứng dụng thực tế triển khai thực sử dụng ngày Các chương trình mã hóa sử dụng rộng rãi dựa liệu Encryption Standard (DES) thông qua vào năm 1977 Cục Tiêu chuẩn Quốc gia, Viện Tiêu chuẩn Công nghệ (NIST), tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46) Đối với DES, liệu mã hóa khối 64-bit sử dụng chìa khóa 56-bit Các thuật tốn biến đổi 64-bit đầu vào loạt bước vào đầu 64-bit Các bước tương tự, với phím, sử dụng để đảo ngược mã hóa DES với việc sử dụng rộng rãi Nó chủ đề nhiều tranh cãi liên quan đến bảo mật DES Để đánh giá chất tranh cãi, nhanh chóng xem lại lịch sử DES Tính ngăn chặn chế độ thuật tốn, mã hố hoạt động, bao gờm chế độ CMAC (Cipher-based Message Authentication Code) để xác thực chế độ mã hố chứng thực Bao gờm phương pháp giải quyết, mở rộng cập nhật phần mềm độc hại kẻ xâm hại Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons Cuốn sách viết vấn đê phản ánh vai trò trung tâm hoạt động, nguyên tắc, thuật toán giao thức bảo mật Internet Đưa biên pháp khắc phục mối đe dọa hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính tồn vẹn thơng điệp mã hóa quan trọng việc đảm bảo an ninh Internet Nếu khơng có thủ tục xác thực, kẻ cơng mạo danh sau truy cập vào mạng Tồn vẹn thơng điệp cần thiết liệu bị thay đổi kẻ cơng thơng qua đường truyền Internet Các tài liệu sách trình bày lí thuyết thực hành bảo mật Internet thông qua cách nghiêm ngặt, kỹ lưỡng chất lượng Kiến thức sách viết để phù hợp cho sinh viên sau đại học, kỹ sư chuyên nghiệp nhà nghiên cứu nguyên tắc bảo mật Internet Theo Tạp chí An tồn thơng tin ,tình hình cơng mạng diễn năm 2016, với kiện tiêu biểu Yahoo hàng loạt công ty bị đánh cắp tài khoản người dùng Tháng 12/2016, Yahoo cho biết, Công ty nạn nhân vụ công từ tháng 8/2013 - kết việc tin tặc chiếm mã hóa riêng cơng ty Tin tặc lấy liệu từ tỉ tài khoản người dùng, bao gồm tên, địa chỉ email, số điện thoại, ngày sinh, mật dạng “hàm băm”… Đây vụ rò rỉ thơng tin tài khoản lớn chưa có Trước đó, tháng 9/2016, cơng ty Yahoo tuyên bố, tin tặc “do phủ tài trợ” đánh cắp liệu từ 500 triệu người dùng Tháng 5/2016, hàng trăm triệu tài khoản LinkedIn Myspace bị tin tặc công chiếm quyền điều khiển Tháng 6/2016, 32 triệu tài khoản Twitter bị hack tin tặc Nga có tên Tessa88 Mã độc tống tiền - Ransomware trở thành vấn nạn Theo số liệu Kaspersky Lab (khảo sát từ tháng 4/2014 đến tháng 3/2016), năm 2016, 40 giây lại xuất công vào doanh nghiệp, số lượng công từ mã độc tống tiền nhắm vào doanh nghiệp tăng lên gấp lần Cụ thể, công sử dụng mã độc tống tiền tăng từ 131.111 vụ giai đoạn 2014 -2015, lên 718.536 vụ giai đoạn 2015-2016 Một loạt phần mềm tống tiền xuất bao gồm: Locky, DMA Locker, Surprise biến thể có tên Ranscam - lấy tiền chuộc lại xóa ln liệu Trong số mã độc tống tiền tăng trưởng nhanh, đáng ý mã độc Crypto, kết thống kê cho thấy, tăng từ 6,6% lên 31,6% Báo cáo cho biết, mã độc tống tiền hướng tập trung nhiều vào thiết bị di động, với số lượng người dùng bị công bằng mã độc tống tiền di động tăng gần lần, từ 35.413 vụ lên 136.532 vụ 1.3 Mục tiêu nghiên cứu đề tài - Tìm hiểu nghiên cứu hệ thống hóa sở lý luận an tồn bảo mật HTTT cho doanh nghiệp - Phân tích, tổng hợp thực trạng an toàn bảo mật HTTT doanh nghiệp - Đánh giá ưu, nhược điểm, nguyên nhân thực trạng an toàn bảo mật HTTT doanh nghiệp - Trên sở nghiên cứu lý thuyết, phân tích đánh giá thực trạng đưa kiến nghị, biện pháp để đảm bảo an toàn bảo mật HTTT cho doanh nghiệp 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài - Đối tượng đề tài vấn đề an toàn bảo mật HTTT cơng ty cổ phần Hồng Giang - Các giải pháp công nghệ giải pháp người để đảm bảo ATBM HTTT cho doanh nghiệp - HTTT doanh nghiệp - Các sách phát triển đảm bảo ATBM thơng tin dooanh ngiệp - Các giải pháp ATBM áp dụng cho HTTT doanh nghiệp 1.4.2.Phạm vi nghiên cứu đề tài Đề tài sẽ tập trung nghiên cứu phạm vi cơng ty Cổ phần Hồng Giang, cụ thể: -Về mặt không gian: Dựa tài liệu thu thập công ty, phiếu điều tra tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an tồn bảo mật CSDL cơng ty Cổ phần Hồng Giang - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan cơng ty giai đoạn 2013- 2015 Các số liệu khảo sát q trình thực tập cơng ty 1.5 Phương pháp thực đề tài 1.5.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet báo Phân tích, tổng hợp tài liệu có liên quan đến đề tài Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thơng tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2013 – 2015, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán dùng để đưa dự báo, phán đốn tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà công ty sẽ hứng chịu 1.5.2 Phương pháp phân tích xử lý liệu Mỗi phương pháp xử lý thơng tin có ưu nhược điểm riêng chúng đề tài nghiên cứu sẽ sử dụng phương pháp xử lý thông tin sau: Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences) SPSS phần mềm cung cấp hệ thống quản lý liệu phân tích thống kê mơi trường đờ họa, sử dụng trình đơn mơ tả hộp thoại đơn giản để thực hầu hết cơng việc thống kê phân tích số liệu Người dùng dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị Phương pháp định tính: Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta sẽ dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đờ thị 1.6 Kết cấu khóa luận Khóa luận có kết cấu phần: Phần 1: Tổng quan việc nghiên cứu giải pháp an toàn bảo mật thông tin doanh nghiệp Phần 2: Cơ sở lý luận thực trạng giải pháp an toàn bảo mật thông tin doanh nghiệp Phần 3: Định hướng phát triển đề xuất giải pháp đảm bảo an toàn bảo mật thơng tin cho cơng ty cổ phần Hồng Giang Rất quan trọng 53 Quan trọng 27 Bình thường 13 Khơng quan trọng Tổng 15 100 Biểu đồ 2.3 Tầm quan trọng công tác bảo mật công ty 13 53 Rất quan trọng Quan trọng Bình thường Khơng quan trọng 27 Với tỷ lệ 53% quan trọng 27% quan trọng cao, chứng tỏ tầm quan trọng an tồn bảo mật thơng tin cơng ty lớn  Giải pháp cần làm để tiến hành an tồn thơng tin ? Khi hỏi giải pháp cần làm để tiến hành an tồn thơng tin cho cơng ty có nhiều ý kiến đưa ra,kết tổng hợp bảng sau 39 Bảng 2.8 Giải pháp cần làm để tiến hành an tồn thơng tin Lựa chọn Tỷ lệ (%) Giải pháp hệ thống tường lửa bảo vệ chu vi mạng 33.33 Giải pháp thiết kế hệ thống phát ngăn ngừa 20 Giải pháp an toàn mạng khơng dây 20 Giải pháp ứng dụng điện tốn đám mây 26.67 15 100 Tổng Biểu đồ 2.4 Giải pháp cần làm để tiến hành an tồn thơng tin Giai phap thơng tường lửa bao vệ chu vi mạng 33.33 26.67 Giai phap thiết kế thông phat ngăn ngừa 20 20 Giai phap an tồn mạng khơng dây Giai phap ứng dụng điện toan đam mây Ta thấy nhân viên công ty đề cao giải pháp hệ thống tường lửa giải pháp phù hợp cho vấn đề an tồn bảo mật cơng ty  Phương pháp kĩ thuật công ty dùng để bảo mật thông tin? Khi đưa câu hỏi phương pháp kỹ thuật công ty dùng để bảo mật thông tin tỉ lệ lựa chọn cao phương pháp kết cấu mạng nội nghiêm ngặt Kết tổng hợp thu bảng sau: Bảng 2.9 Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin Phương pháp kỹ thuật Kết cấu mạng nội nghiêm ngặt Cơ chế an toàn đầy đủ cho mạng Đảm bảo toàn diện hệ thống Tổng Lựa chọn 15 Tỷ lệ (%) 53 20 27 100 Biểu đồ 2.5 Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin 40 27 Kết cấu mạng nội nghiêm ngặt Cơ chế an53toàn đầy đủ cho mạng Đảm bảo toàn diện cho hệ thống 20 Ta thấy nên có kết hợp phương pháp để hệ thống thông tin công ty bảo mật cách tốt  Trong thời gian tới công ty dự định chi cho công tác bảo mật thông tin ? Bảng 2.10 Dự kiến đầu tư cho công tác bảo mật thông tin công ty Khả chi 50 Triệu Tổng Lựa chọn 15 Tỷ lệ (%) 26.67 46.66 26.67 100 Có thể thấy rằng, thời gian tới, nguyện vọng nhân viên công ty muốn đầu tư nhiều cho công tác bảo mật thơng tin bảo mật thơng tin có ý nghĩa vô lớn tới hoạt động kinh doanh doanh nghiệp Qua thấy rằng người lãnh đạo cơng ty nên có định đầu tư đắn cho công tác bảo mật thông tin 41 Biểu đồ 2.6 Dự kiến đầu tư cho công tác bảo mật thông tin công ty 26.67