i LỜI CẢM ƠN Trải qua bốn năm ngồi ghế giảng đường đại học để tiếp thu kiến thức kinh nghiệm quý báu mà thầy cô truyền đạt Thời điểm thời điểm quan trọng cho trình bốn năm đại học sinh viên, việc nghiên cứu khóa luận tốt nghiệp vô quan trọng với sinh viên, hội để sinh viên học cách làm việc, nghiên cứu chun nghiệp Và để hồn thành khóa luận tốt nghiệp này, em xin bày tỏ lòng cảm ơn sâu sắc đến Ths.Nguyễn Thị Hội Trong thời gian làm khóa luận, tận tình hướng dẫn, dạy bảo em, dạy cô với cách làm việc nghiêm túc em hồn thành kháo luận tốt nghiệp Trong trình làm việc với cô em không hướng dẫn cách nghiên cứu khóa luận, bên cạnh em học hỏi cô cách làm việc nghiêm túc tỉ mỉ Em xin cảm ơn thầy cô khoa Hệ thống thông tin kinh tế suốt bốn năm qua truyền đạt cho em kiến thức để em tự hồn thành đề tài nghiên cứu Em xin gửi lời cảm ơn chân thành đến tồn thể Cơng ty Cổ phần phần mềm BRAVO tạo điều kiện cho em nghiên cứu, thực tập, tìm hiểu hệ thống thơng tin vấn đề bảo mật sở liệu công ty Nhiệt tình giúp đỡ em thực điều tra cơng ty để em nghiên cứu đề tài cách khách quan xác Cuối cùng, em xin gửi tới quý thầy cô lời cảm ơn sâu sắc lời chúc sức khỏe, chúc thầy có thật nhiều sức khỏe để tiếp tục cống hiến giúp đỡ hệ sinh viên Em xin chân thành cảm ơn! Sinh viên LÝ THỊ ĐIỀN ii MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT v CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN BẢO MẬT THƠNG TIN TRONG CSDL 1.1 Tầm quan trọng ý nghĩa vấn đề nghiên cứu 1.2 Tổng quan vấn đề nghiên cứu 1.2.1 Tình hình nước .2 1.2.2 Tình hình ngồi nước 1.3 Mục tiêu nghiên cứu đề tài 1.3.1 Mục tiêu chung 1.3.2 Mục tiêu cụ thể 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu 1.4.2 Phạm vi nghiên cứu 1.5 Các phương án áp dụng thực đề tài .4 1.5.1 Phương pháp thu thập liệu .4 1.5.2 Phương pháp xử lý liệu 1.5.3 Công cụ sử dụng thực đề tài 1.6 Kết cấu khóa luận CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG BẢO MẬT CSDL CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 2.1 Cơ sở lý luận 2.1.1 Một số khái niệm 2.1.2.Khái niệm an tồn thơng tin liệu nguy an tồn thơng tin 2.1.3 Mục tiêu yêu cầu an toàn liệu .10 2.1.4 Quy trình đảm bảo an tồn liệu 12 iii 2.1.5 Các phương pháp phòng tránh, khắc phục hậu cơng cụ đảm bảo an toàn CSDL 13 2.2 Phân tích, đánh giá thực trạng bảo mật CSDL công ty cổ phần phần mềm BRAVO 17 2.2.1 Tổng quan công ty cổ phần phần mềm BRAVO 17 2.2.2 Thực trạng an toàn bảo mật CSDL Công ty cổ phần phần mềm BRAVO 20 2.2.3 Kết xử lý điều tra phân tích kết 24 2.2.4 Đánh giá thực trạng an toàn bảo mật CSDL công ty cổ phần phần mềm BRAVO 29 CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT CSDL CHO CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 32 3.1 Định hướng phát triển giải pháp an tồn bảo mật CSDL cho cơng ty cổ phần phần mềm BRAVO .32 3.2 Đề xuất giải pháp an tồn bảo mật CSDL cho cơng ty cổ phần phần mềm BRAVO 33 3.2.1 Hệ thống mạng .33 3.2.2 Phần mềm .35 3.2.3 Quản trị CSDL .39 3.2.4 Nguồn nhân lực .40 3.3 Điều kiện thực giải pháp 40 3.3.1 Cơ sở hạ tầng 40 3.3.2 Nguồn nhân lực .41 3.3.2 Chính sách, pháp luật 41 3.4 Một số kiến nghị .41 KẾT LUẬN 44 TÀI LIỆU THAM KHẢO CÁC PHỤ LỤC iv DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ Bảng biểu Bảng 2.1 Báo cáo kết kinh doanh công ty cổ phần phần mềm BRAVO 18 Bảng 2.2: Thống kê sơ thiết bị phần cứng 21 Bảng 2.3: Tỉ lệ nhân viên sử dụng máy tính cơng việc 24 Biểu đồ 2.2 Tỉ lệ nhân viên sử dụng máy tính làm việc .25 Bảng 2.4: Mức độ hài lòng nhân viên hệ thống máy móc, trang thiết bị 25 Bảng 2.5: Đánh giá khả quản trị CSDL doanh nhiệp 27 Bảng 2.6: Mức độ an toàn bảo mật CSDL công ty 28 Biểu đồ 2.1 Biểu đồ tổng hợp doanh thu, chi phí lợi nhuận Công ty cổ phần phần mềm BRAVO giai đoạn 2013-2015 19 Biểu đồ 2.3 Mức độ hài lòng nhân viên hệ thống máy móc, trang thiết bị .26 Biểu đồ 2.4 Đánh giá khả quản trị CSDL doanh nhiệp 27 Biểu đồ 2.5 Mức độ an tồn bảo mật CSDL cơng ty 28 Sơ đồ, hình vẽ Sơ đồ 2.1 Quy trình bảo đảm an tồn hệ thống 12 Sơ đồ 2.2 Mơ hình truyền tin bảo mật 16 Hình 2.1 Tường lửa .29 Hình 3.1 Bảo mật thơng tin hệ thống kiểm tra xâm phạm (IDS/IPS) 34 Hình 3.2 Bảo mật hệ thống liệu phần mềm Bkav 37 v DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt CNTT Diễn giải Nghĩa Tiếng Việt Công nghệ thông tin HTTT CSDL TMDT LAN Local Area Network LNTT SQL IDS IPS Lợi nhuận trước thuế Structure Query Language Ngơn ngữ truy vấn có cấu trúc Intrusion Detection Syste Hệ thống phát xâm nhập Intrusion Prevention Hệ thống ngăn ngừa xâm nhập VNP System Virtual Private Network 10 Hệ thống thông tin Cơ sở liệu Thương mại điện tử Mạng cục Mạng riêng ảo CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN TRONG CSDL 1.1 Tầm quan trọng ý nghĩa vấn đề nghiên cứu Từ xưa đến thông tin liệu tài sản vô quý giá cần thiết Trong lĩnh vực từ kinh tế đến quân sự, từ cá nhân đến tổ chức, từ quốc gia đến vùng lãnh thổ việc nắm bắt thơng tin kịp thời nhanh chóng đưa chiến lược phát triển định thành công hay thất bại hoạt động quản lí kinh doanh Mỗi cá nhân hay tổ chức, doanh nghiệp có thơng tin bí mật, nhạy cảm cần bảo vệ Với tầm quan trọng thơng tin đòi hỏi người phải có nhiều biện pháp khác bảo vệ thơng tin Khi máy tính đời sử dụng rộng rãi liệu chuyển dần từ lưu trữ giấy tờ sang máy tính Điều giúp việc lưu trữ tìm kiếm thơng tin đảm bảo an toànvà thuận tiện Chúng ta không cần phải lo sợ mát thông tin lưu trữ giấy Tuy nhiên, để đảm bảo an tồn cho CSDL máy tính cần có biện pháp cụ thể,các phần mềm bảo vệ tập tin, phần mềm diệt Virut… Theo thống kê khoảng 90% liệu máy tính lưu trữ dạng CSDL Tất thông tin kho tàng, quản lý sở vật chất, dân số tài nguyên khoáng sản…đều dạng CSDL Thông tin coi tài sản CSDL khơng lưu trữ thơng tin liên quan tới bí mật nhà nước hay thông tin kinh tế, ngân hàng, tốc độ tăng trưởng sản xuất, thông tin phục vụ cho an ninh quân ngoại giao mà chứa thông tin cá nhân ( số điện thoại, sở thích…) trở thành mục tiêu cơng kẻ xấu nhắm làm sai lệch, giả mạo, lấy cắp thông tin ảnh hưởng lớn tới hoạt động tổ chức, doanh nghiệp hay quốc gia Tuy nhiên, việc bảo mật CSDL ngày khó khăn, kĩ thuật công ngày tinh vi phức tạp diện rộng với nhiều cách thức khác Mặt khác, nhiều doanh nghiệp chưa ý thức tầm quan trọng thông tin việc bảo mật CSDL khiến thơng tin nội dễ bị rò rỉ Thơng thường bị công mát liệu tìm biện pháp phòng chống q muộn Ở mức độ nhẹ, công hệ thống CSDL làm hỏng hóc, sai lệch, mát làm trì trệ hoạt động doanh nghiệp Ở mức độ nặng hơn, thơng tin bị tiếc lộ, sập hệ thống liệu tổ chức, doanh nghiệp Vì việc bảo mật thơng tin CSDL doanh nghiệp quan trọng Để đảm bảo an tồn bảo mật CSDL phải có giải pháp cụ thể, áp dụng tiêu chuẩn an tồn bảo mật CSDL để đảm bảo thơng tin ln bảo vệ Hiểu tầm quan trọng Công ty Cổ phần phần mềm BRAVO cần triển khai số giải pháp an tồn bảo mật thơng tin CSDL Xuất phát từ cấp thiết đó, em định lựa chọn đề tài “Một số giải pháp an tồn bảo mật CSDL cho cơng ty cổ phần phần mềm BRAVO” làm đề tài khóa luận Với hy vọng giải pháp hiệu giúp doanh nghiệp bảo vệ an toàn CSDL 1.2 Tổng quan vấn đề nghiên cứu 1.2.1 Tình hình nước An tồn bảo mật thơng tin khơng phải đề tài xa lạ Đã có nhiều cơng trình nghiên cứu an tồn bảo mật thơng tin CSDL khóa luận em có tham khảo số tài liệu sau: Tài liệu 1: Đàm Gia Mạnh, Giáo trình An tồn liệu thương mại điện tử, Trường Đại học Thương Mại, 2009 Giáo trình trình bày số vấn đề an toàn liệu TMĐT khái niệm, mục tiêu, yêu cầu an toàn liệu TMĐT, nguy gây an toàn, hình thức cơng liệu TMĐT Từ giúp nhà tham gia hoạt động kinh doanh TMĐT có nhìn tổng thể an tồn liệu hoạt động Ngồi giáo trình đề cập số phương pháp phòng tránh cơng gây an tồn liệu biện pháp khắc phục thông dụng, phổ biến nay, giúp nhà kinh doanh vân dụng thuận lợi cơng việc Trong giáo trình em có tham khảo sử dụng Chương 1: Tổng quan an toàn liệu Tài liệu 2: Nguyễn Thế Dũng, Giáo trình Nhập mơn sở liệu, Trường Đại học sư phạm Huế, năm 2011 Giáo trình trình bày khái niệm hệ sở liệu, mơ hình liệu, mơ hình liệu quan hệ, ngơn ngữ sở liệu, phụ thuộc hàm khóa, phân tách, chuẩn hóa, phụ thuộc hàm đa trị Trong giáo trình em tham khảo sử dụng Chương 1: Các khái niệm hệ sở liệu vào mục 2.1.1 khóa luận 1.2.2 Tình hình ngồi nước Tài liệu 1: Umesh Hodeghatta Rao and Umessha Nayak (2014), The infosec Handbook: An Introduction to Information Securtity, Apress open Đây sách dễ hiểu chi tiết thiết kế riêng cho người bắt đầu bảo mật thơng tin Nó cung cấp nhìn thực tế đơn giản an ninh thông tin Tài liệu 2: Michael E Whitman, Herbert J.Mattord (2011), Principles of Information Security, Information Security Professionals Đây sách khám phá lĩnh vực bảo mật thông tin với nội dung cập nhật bao gồm đổi cơng nghệ phương pháp luận Nó cung cấp nhìn tổng quan lịch sử bảo mật thông tin, hội thảo quản lý bảo mật rủi ro, thông tin chứng thực nhiều 1.3 Mục tiêu nghiên cứu đề tài 1.3.1 Mục tiêu chung Thông qua phân tích, đánh giá thực trạng đưa đươc ưu, nhược điểm vấn đề bảo mật CSDL từ đề xuất giải pháp đảm bảo an toàn bảo mật CSDL cho Công ty Cổ phần phần mềm BRAVO 1.3.2 Mục tiêu cụ thể Để hướng tới mục tiêu chung đề tài cần thực mục tiêu cụ thể sau: Thứ nhất, hệ thống hóa số kiến thức lý luận liệu, CSDL, hệ quản trị CSDL, an toàn liệu, nguy an tồn thơng tin… Thứ hai, hệ thống hóa sở lí luận đảm bảo an tồn bảo mật thơng tin nói chung liệu nói riêng Sau q trình nghiên cứu tìm hiểu cơng ty đưa thực trạng bảo mật CSDL Công ty Cổ phần phần mềm BRAVO Thứ ba, sở tìm hiểu thực trạng vấn đề an toàn bảo mật CSDL công ty đưa số định hướng phát triển đề xuất giải pháp đảm bảo an toàn bảo mật CSDL cho Công ty Cổ phần phần mềm BRAVO phù hợp mang tính thiết thực an tồn liệu hệ thống thơng tin cơng ty 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu Đối tượng nghiên cứu đề tài bao gồm: Thứ nhất, cách thu thập, xử lý, phân phối lưu trữ liệu, hệ quản trị CSDL, cách thức bảo mật CSDL sử dụng công ty Thứ hai, giải pháp an tồn bảo mật CSDL cho Cơng ty Cổ phần phần mềm BRAVO 1.4.2 Phạm vi nghiên cứu Không gian: Công ty cổ phần phần mềm BRAVO Thời gian: Từ thời điểm thực tập kết thức khóa luận ( 2/1/2021724/4/2017) 1.5 Các phương án áp dụng thực đề tài 1.5.1 Phương pháp thu thập liệu Phương pháp nghiên cứu tài liệu: Nghiên cứu tài liệu, tạp trí khoa học liên quan đến an toàn bảo mật CSDL phục vụ cho đề tài Phương pháp vấn tiếp: Đặt câu hỏi liên quan đến đề tài nhận câu trả lời trực tiếp từ phòng kĩ thuật triển khai nơi chứa thơng tin CSDL cuả toàn hệ thống, an toàn bảo mật CSDL Phương pháp dùng phiếu điều tra: Xây dựng phiếu điều tra với mẫu câu hỏi xây dựng sẵn để thu thập liệu từ đối tượng nhân viên cơng ty từ phòng ban: phòng kĩ thuật triển khai, phòng bảo hành, phòng cơng nghệ, phòng kinh doanh, phòng nhân hành chính…về nội dung phục vụ cho nghiên cứu Nội dung cụ thể Phiếu điề tra trình bày rõ phụ lục báo cáo 1.5.2 Phương pháp xử lý liệu Phương pháp định tính: Tiến hành phân tích, chọn lọc, tổng hợp liệu thu thập thông qua câu hỏi vấn phiếu điều tra nhằm chon lọc thông tin phù hợp với mục đích sử dụng nội dung nghiên cứu Phương pháp định lượng: Sử dụng Excell để tính lợi nhuận từ số liệu doanh thu chi phí thu thập để đưa kết luận tình hình hoạt động sản xuất kinh doanh Công ty 1.5.3 Công cụ sử dụng thực đề tài Cơng cụ để thực đề tài Microsoft Office phục vụ cho việc soạn thảo văn bản, bao gồm: kế hoạch, đề cương, báo cáo thực tập, phiếu điều tra, vẽ sơ đồ bảng biểu… Ngồi sử dụng số cơng cụ bổ trợ khác máy in… 1.6 Kết cấu khóa luận Nhiệm vụ khóa luận nghiên cứu đề xuất giải an tồn bảo mật CSDL cho Cơng ty Cổ phần phần mềm BRAVO dựa thực trạng bảo mật CSDL q trình thực tập cơng ty kết hợp vận dụng sở lý thuyết an tồn bảo mật thơng tin CSDL Bài khóa luận bố cục chia làm chương: Chương 1: Tổng quan đề tài nghiên cứu Nêu tầm quan trọng ý nghĩa đề tài nghiên cứu đối tượng, phạm vi đề tài Trong phần đưa tài liệu liên quan tới đề tài nghiên cứu Chương 2: Cơ sở lý luận thực trạng bảo mật CSDL công ty cổ phần phần mềm BRAVO Trình bày khái niệm, thuật ngữ, lý thuyết CSDL, hệ quản trị CSDL, nêu vấn đề bảo mật CSDL, nguy an toàn bảo mật thông tin nay, đưa thực trạng bảo mật CSDL công ty cổ phần phần mềm BRAVO Chương 3: Một số giải pháp bảo mật CSDL cho công ty cổ phần phần mềm BRAVO Định hướng đề xuất số giải pháp nhằm đảm bảo an tồn CSDL cho Cơng ty Cổ phần phần mềm BRAVO 36 mã hóa 256-bit AES (Encryption Standard Adopted Chính phủ Mỹ) để bảo vệ tập tin bạn HDD phương tiện di động USB Tính lợi ích GiliSoft File Lock Pro: Ẩn liệu: GiliSoft File Lock Pro ẩn tập tin, thư mục cá nhân ổ đĩa bạn, làm cho chúng trở nên “hồn tồn vơ hình” người dùng chương trình Khóa liệu: Bảo vệ tập tin/thư mục/ổ đĩa bị khóa khơng bị truy cập Người dùng khơng thể mở, đọc, chỉnh sửa, di chuyển, xóa, chép, đổi tên tập tin/thư mục bảo vệ mà không cần mật Các tập tin thư mục thư mục bị khóa bảo vệ Mã hóa liệu: Chương trình mã hóa tập tin thư mục Mã hóa di động: Gói mã hóa thư mục thành file thực thi (.exe file) với thuật toán mã hóa AES Bạn mã hóa liệu quan trọng phương pháp này, sau gửi qua mạng phương tiện khác để sử dụng máy tính mà khơng cần Gili File Lock Pro Xóa an tồn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn liệu nhạy cảm từ ổ đĩa cứng bạn cách ghi đè lên nhiều lần với mẫu lựa chọn cẩn thận Khơng phục hồi liệu bị xóa từ ổ đĩa cứng bạn bạn xóa an tồn Mật bảo vệ: GiliSoft File Lock Pro phần mềm khóa mật khẩu, điều để nói lên khơng có cách khác để chạy unistall bạn khơng có mật Phần cứng tương thích: Hỗ trợ đầy đủ Intel ® Pentium D Dual-Core Processor AMD Athlon ™ 64X2 Dual-CoreProcessor 3.2.2.2 Phần mềm bảo mật Để đảm bảo liệu bảo mật an toàn sử dụng phần mềm mã hóa Cơng ty cổ phần phần mềm BRAVO nên triển khai phần mềm bảo mật với tính diệt vi rút, mã độc, thư rác máy chủ, máy tính cá nhân, thiết bị mạng, loại trừ đoạn mã độc (Virus, trojan, worms, ) … tránh trường hợp liệu bị phá hủy 37 Công ty cổ phần phần mềm BRAVO sử dụng phần mềm “Bkav Endpoint Enterprise 8” Bkav Endpoint Enterprise phiên dành cho quan/doanh nghiệp có hệ thống mạng nội quy mơ lớn Phiên thiết kế đặc biệt hoạt động theo mơ hình quản lý tập trung Server, bảo vệ an tồn tối đa cho máy tính toàn hệ thống mạng trước nguy virus, trojan, rootkit, spyware, adware Bkav Endpoint Enterprise tích hợp khả thống kê, báo cáo giúp người quản trị mạng nắm thông tin tổng quan chi tiết tình hình virus máy tính hệ thống, biết loại virus lây lan mạng, máy bị nhiễm virus, xử lý triệt để virus hay chưa, máy chưa cập nhật chương trình diệt virus Với thông tin này, người quản trị chủ động đưa phương án xử lý xác kịp thời, nhằm ngăn chặn tối đa nguy ảnh hưởng tới hệ thống Các công cụ quản lý Bkav Endpoint Enterprise cho phép người quản trị cài đặt chương trình diệt virus, đặt lịch quét, lệnh quét cho máy tính mạng từ xa, giảm thiểu thời gian, cơng sức chi phí để quản trị hệ thống diệt virus mạng Hình 3.2 Bảo mật hệ thống liệu phần mềm Bkav Tính phần mềm Bkav Endpoint Enterprise: 38 Cơng nghệ Phòng vệ dựa cộng đồng BCOS (Bkav Community-based protection Online System) chắn kết nối trực tuyến với hệ thống đám mây Bkav, phân tích, đánh giá độ phổ biến cộng đồng file thực thi, qua phát loại bỏ mối nguy hiểm máy tính người sử dụng Cơng nghệ Real-time Rootkit Detection bước đột phá hệ thống phòng thủ chống rootkit, có khả phát sớm loại rootkit phần mềm chưa cập nhật mẫu nhận diện Sản phẩm trang bị tính bàn phím ảo Virtual Keyboard, giúp người sử dụng thay bàn phím vật lý máy tính để nhập liệu giao dịch quan trọng nhập mật khẩu, nhập thông tin tài khoản ngân hàng, tránh bị theo dõi, lấy cắp thông tin Công nghệ Share-full Protection bảo vệ ổ đĩa chia sẻ mạng LAN, giám sát truy cập từ máy tính khác mạng LAN, cảnh báo tiêu diệt virus phát có dấu hiệu xâm nhập Sản phẩm nâng cấp đáng kể tính thực thi an toàn (Safe Run), hệ thống đánh chặn theo hành vi (Host Intrusion Prevention System), bảo vệ USB (USB Protection), tường lửa cá nhân Tốc độ nạp phần mềm khởi động hệ điều hành (Boot-time) cải tiến, tối ưu trình kết nối tới hệ thống đám mây Bkav Cloud người dùng thực quét nhanh (Quick Scan) quét toàn ổ đĩa (Full Scan) 3.2.2.3 Các phần mềm khác Thực gỡ cài đặt lại tất các máy có Win 7, Office 2010, ứng dụng phần mềm khác khơng quyền để đảm an tồn thơng tin CSDL Bộ ứng dụng văn phòng Office Microsoft phát triển giữ quyền phần mềm văn phòng dành cho máy tính cá nhân (PC, laptop) phổ biến giới bị vi phạm quyền nhiều Hầu hết máy tính để bàn xách tay công ty cài Office này, phần lớn cài đặt crack, khơng có quyền Phần mềm crack kèm rủi ro ẩn chứa mã độc, có nguy phá hỏng hệ thống máy tính, đe dọa liệu lưu ổ cứng Thêm nữa, Hacker xem tài khoản máy tính người dùng hàng rao bán mạng để đổi lấy thu nhập chúng 39 Dùng phần mềm không quyền ảnh hưởng tiêu cực tới người dùng cá nhân, mà gây tổn hại đến uy tín thương hiệu thân công ty, doanh nghiệp thời kỳ cạnh tranh hội nhập Ngược lại, sử dụng phần mềm hãng, liệu thông tin doanh nghiệp, người dùng cá nhân bảo vệ an tồn tối ưu phần mềm có quyền giúp người dùng miễn nhiễm với hiểm họa từ virus, mã độc… Phần mềm quyền thường xuyên cập nhật tính từ hãng, giúp máy tính người dùng đáp ứng tốt với phát sinh môi trường ứng dụng, đồng thời phát huy trải nghiệm máy tính tối ưu Sử dụng phần mềm quyền cách tốt để ngăn chặn virus Theo đà phát triển công nghệ, loại virus, malware, mã độc phát tán ngày rộng rãi tinh vi 3.2.3 Quản trị CSDL Hiện tại, Công ty cổ phần phần mềm BRAVO sử dụng hệ quản trị SQL Server 2008 để quản trị CSDL với chức như: Mã hóa suốt hiệu quả, khả giảm sát thơng minh, tính ổn định cao, lý CSDL công cụ sách, khả tích hợp với System Center, lữu trữ nhiều loại liệu, phân vùng liệu, truy vấn liệu Hệ quản trị CSDL SQL Server có nhiều tính bật, nhiên để đảm bảo an toàn CSDL mức cao tránh liệu bị rò rỉ doanh nghiệp phải ý số vấn đề sau: Phân loại liệu quan trọng Công ty cổ phần phần mềm BRAVO nên tiến hành phân loại liệu theo mức độ quan trọng giá trị thông tin Những thông tin quan trọng lưu ý bảo mật mức cao Quản lý đăng nhập vào hệ thống CSDL Cần hạn chế số lần đăng nhập vào hệ thống thông tin Hệ thống tự động khóa tài khoản đăng nhập sai vượt lần quy định Tổ chức giám sát truy cập từ xa vào hệ thống, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật 40 3.2.4 Nguồn nhân lực Công ty Cổ phần phần mềm BRAVO nên tổ chức khóa đào tạo nhân viên an tồn bảo mật hệ thống CSDL, đưa chuyên gia an toàn bảo mật thơng đến giảng dạy trực tiếp cho tồn nhân viên công ty Xử lý nghiêm khắc trường hợp gây mát hỏng hóc cố ý cơng vào hệ thống liệu nhằm mục đích xấu Cơng ty cần phải có sách,các quy định cụ thể vấn đề đảm bảo an toàn HTTT hệ thống CSDL Nâng cao nhận thức, trách nhiệm tồn thể nhân viên cơng ty vấn đề an toàn bảo mật hệ thống liệu Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên 3.3 Điều kiện thực giải pháp 3.3.1 Cơ sở hạ tầng Cơ sở hạ tầng thông tin hệ thống trang thiết bị thu thập, xử lý, lưa trữ, truyền liệu bao gồm hệ thống mạng viễn thông, mạng Internet, phần cứng, phần mềm, CSDL… Để đảm bảo thực giải pháp an tồn bảo mật CSDL cho Cơng cơng ty Cổ phần phần mềm BRAVO yêu cầu cần có: Phần cứng: máy chủ đặt trụ sở nhãn hiệu BM SERVER, main: Intel® Server Board S1200BTS Dual Lan/ 6xSata2/ 32 GB RAM, CPU: Intel G2030 3.0 Ghz/ 3Mb/ Bus 1333, 100 máy tính có 95 máy để bàn 40 máy tính xách tay Ngồi ra, cơng ty có thiết bị modem, router, máy in, máy quét… Phần mềm: Hệ thống tường lửa Firewall Proxy Server nhằm ngăn chặn thông tin độc hại giấu địa mạng nội gây khó khăn cho việc thâm nhập từ bên vào máy công ty Sử dụng phần mềm Bkav Endpoint Enterprise việc phòng chống nguy virus, trojan, rootkit, spyware, adware Ngồi ra, máy tính phải cài đặt phần mềm, cài Win 7, office 2010 có quyền CSDL: Sử dụng hệ quản trị SQL Server 2008 việc quản trị lưu trữ liệu 41 3.3.2 Nguồn nhân lực Yêu cầu tất nhân viên công ty trang bị kiến thức, kĩ an toàn bảo mật hệ thống CSDL thường xuyên cập nhật kiến thức giải pháp Ban lãnh đạo công ty thông ý kiến sách, giải pháp an tồn bật CSDL Có đội ngũ nhân viên, chun gia chuyên sâu an toàn bảo mật HTTT 3.3.2 Chính sách, pháp luật Trong vấn đề đảm bảo an tồn thơng tin cần tn thủ thực theo sách pháp luật nhà nước có: Luật số 86/2015/QH13, An tồn thơng tin mạng, Quốc hội ban hành ngày 19 tháng 11 năm 2015 quy định nguyên tắc, sách, hợp tác quốc tế vấn đề đảm bảo an tồn thơng tin mạng Ngồi ra, Doanh nghiệp cần có sách quy định an tồn bảo mật thơng tin kí thỏa thuận nhân viên với cơng ty vấn đề đảm bảo thông tin mật đôi bên 3.4 Một số kiến nghị Một số kiến nghị chung Đối với quan, đơn vị cần thiết lập sách an tồn thơng tin, tn thủ chặt chẽ thực vận hành, quản lý có hiệu sách an tồn thơng tin vận hành hệ thống mạng, máy chủ, máy trạm cần tiến hành rà sốt tổng thể lại tồn hệ thống, đặc biệt vấn đề an toàn, an ninh thơng tin, thiết lập hệ thống lưu dự phòng đảm bảo tránh rủi ro liệu cố xảy Để đảm bảo an toàn truy cập Internet, người dùng nên cảnh giác trước hình thức lừa đảo, không cung cấp thông tin cá nhân, tài khoản ngân hàng, facebook,… có yêu cầu không đáng tin cậy, tránh truy cập vào đường link lạ nạn nhân vụ việc lừa đảo, cần báo cho quan chức để xử lý, ngăn chặn Đối với người dùng cuối, nên thay đổi mật mặc định thiết bị hay sản phẩm mạng, mật cá nhân truy cập sử dụng dịch vụ từ Internet, đảm bảo độ phức tạp, an toàn mật Kết hợp sử dụng biện pháp mã hóa liệu, mã hóa thơng tin cá nhân để tránh bị đánh cắp, theo dõi Khi sử dụng Internet, 42 tài khoản email cần cảnh giác với đường link lạ, file đính kèm khơng tin cậy, khơng truy cập hay kích hoạt để tránh dẫn đến tài khoản cá nhân hay nhiễm mã độc Đối với cán bộ, công chức, viên chức quan nhà nước, sỹ quan, chiến sỹ lực lượng vũ trang cần tuân thủ quy định việc sử dụng mạng Internet, sử dụng tài khoản email quan cấp để phục vụ cơng việc Trong trường hợp có đính kèm tài liệu quan trọng gửi qua email phải đặt mật để đảm bảo an toàn Thời gian qua, tổ chức an ninh mạng nước ta tham gia nhiều đợt diễn tập ứng cứu an ninh mạng khu vực ASEAN ACID 2014, ACID 2014, ACID 2015 Điều thể quan tâm quan Nhà nước đến vấn đề phối hợp mang tầm khu vực quốc tế phòng, chống tội phạm bảo đảm an tồn, an ninh thơng tin Tuy nhiên, để bảo đảm an tồn, an ninh thơng tin mạng cách hiệu quả, đòi hỏi quan chức phải nỗ lực, tiên phong việc tham mưu cho Chính phủ trực tiếp nghiên cứu, tổ chức quản lý, kiểm tra, rà soát, kịp thời phát hiện, ngăn chặn, dự báo đợt công tin tặc vào nước ta Trong đó, với chức quản lý nhà nước, thực thi nhiệm vụ bảo đảm lĩnh vực này, Cục, đơn vị nghiệp vụ Bộ Cơng an, Bộ Quốc phòng Cục An tồn thơng tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Bộ Thơng tin Truyền thông cần đẩy mạnh công tác bảo đảm an tồn, an ninh thơng tin; có biện pháp hỗ trợ bộ, ngành từ Trung ương địa phương ngăn chặn, xử lý kịp thời nguy cơng từ bên ngồi qua mạng internet, bảo đảm an ninh quốc gia; tăng cường theo dõi, thu thập thông tin cảnh báo sớm an ninh mạng; đào tạo, tập huấn cho cán chuyên trách sở, địa phương nâng cao khả bảo mật hệ thống mạng quốc gia Ngoài ra, để hệ thống vận hành an toàn hệ thống mạng, trước hết quan, doanh nghiệp… phải thay đổi nhận thức tầm quan trọng an ninh mạng, từ xây dựng kế hoạch kinh phí đầu tư cho hệ thống từ quy trình, cơng nghệ nâng cao trình độ nguồn nhân lực để cập nhật, tương xứng với tình hình thực tế Cần có chủ động đầu tư hạ tầng riêng, làm chủ cơng nghệ, khơng q lệ thuộc hồn tồn vào đơn vị thuê ngoài, điều giảm thiểu chi phí, đồng thời nhân lực nâng cao trình độ hệ thống bảo vệ an toàn 43 Về lâu dài, vấn đề bảo đảm an ninh mạng cần có vào liệt từ phía quan quản lý Nhà nước, quan lập pháp, hành pháp, tư pháp tổ chức, doanh nghiệp cá nhân Trước hết cần rà soát hệ thống văn pháp luật để ban hành, bổ sung chế tài, quy định, hướng dẫn nhằm tạo hành lang pháp lý cho cơng tác đấu tranh phòng, chống tội phạm lĩnh vực an ninh mạng bảo mật thơng tin Kiến nghị phía Cơng ty cổ phần phần mềm BRAVO Công ty Cổ phần phần mềm BRAVO đà phát triển mạnh mẽ thông tin liệu vô quan trọng Nắm bắt thông tin nhu cầu khách hàng nắm bắt xu hướng phát phát triển CNTT tạo lợi công ty so với đối thủ cạnh tranh Một số định hướng giải pháp an tồn bảo mật CSDL cho cơng ty Hiện vụ công liệu ngày nhiều thủ đoạn với kĩ thuật tinh vi doanh nghiệp thường xuyên đổi mới, cập nhật phương pháp an tồn bảo mật thơng tin Thường xun kiểm tra, phân tích, đánh giá giải pháp bảo mật tìm lỗ hổng bảo mật để kịp thời vá sửa chữa tránh để Harker xâm nhạp vào hệ thống làm an toàn liệu Chú trọng tuyển dụng, đào tạo nhân viên chất lượng cao vị trí bảo mật HTTT nâng cao nhận thức, trách nhiệm toàn thể nhân viên cơng ty vấn đề an tồn bảo mật hệ thống liệu Ngoài ra, để bảo vệ an ninh mạng an tồn thơng tin, doanh nghiệp, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước Ngày quy mô khả lan rộng nguy bảo mật khơng gói gọn quốc gia 44 KẾT LUẬN Ngày với phát triển mạnh mẽ CNTT Internet người tạo môi trường thuận lợi để nắm bắt trao đổi thông tin cách dễ dàng Thông tin liệu tài sản vô quý giá doanh nghiệp mục tiêu công Hacker nhằm đánh cắp, phá hoạt, sửa đổi liệu Những thiệt hại thông tin liệu bị rò rỉ bên ngồi khơng ảnh hưởng đến người hay ứng dụng riêng rẽ mà ảnh hưởng đến toàn hoạt động tổ chức doanh nghiệp gây thiệt hại lợi ích kinh tế cho công ty Các vụ công liệu ngày phổ biến kỹ thuật ngày tinh vi doanh nghiệp phải trọng việc bảo mật CSDL Cơng ty cổ phần phần mềm BRAVO đà phát triển mạnh mẽ vươn lên trở thành doanh nghiệp triển khai phần mềm hàng đầu Việt Nam nên vấn đề an toàn bảo mật CSDL quan tâm hàng đầu Cơng ty có giải pháp an tồn cho hệ thống liệu, nhiên có số lỗ hổng có nguy an tồn liệu Cho nên em đề xuất giải pháp về: Đầu tư tường lửa phần mạng phần cứng, sử dụng phần mềm GiliSoft File Lock Pro để mã hóa liệu, sử dụng phần mềm Bkav Endpoint Enterprise bảo mật CSDL, nâng cao nhận thức cho nhân viên cơng ty vấn đề đảm bảo an tồn CSDL Vì lý thời gian hạn chế mà đề tài “Một số giải pháp đảm bảo an toàn CSDL cơng ty cổ phần phần mềm BRAVO” đòi hỏi phải nghiên cứu lâu dài thực tiễn lý luận đồng thời yêu cầu phải có kiến thức sâu rộng linh nghiệm lĩnh vực Bài khóa luận chắn nhiều thếu sót, song q trình thực đề tài em thực cố gắng để hoàn thành đầy đủ Mong thầy bạn có quan tâm đến đề tài có nhận xét để khóa luận phát triên hồn thiện Em xin chân thành cảm ơn! TÀI LIỆU THAM KHẢO [1] Đàm Gia Mạnh, Giáo trình An tồn liệu thương mại điện tử, Trường Đại học Thương Mại, 2009 [2] Nguyễn Thế Dũng, Giáo trình Nhập mơn sở liệu, Nguyễn Thế Dũng, Trường Đại học sư phạm Huế, năm 2011 [3] Nguyễn Chí Cơng, Giáo trình An tồn bảo mật thông tin, Đại học Quốc Gia Hà Nội, 2004 [4] Nguyễn Khanh Văn, Giáo trình Cơ sở an tồn thơng tin, Đại học Bách Khoa, 2014 [5] Umesh Hodeghatta Rao and Umessha Nayak, The infosec Handbook: An Introduction to Information Securtity, 2014 [6] Michael E Whitman, Herbert J.Mattord (2011), Principles of Information Security, Information Security Professionals [7] http://www.antoanthongtin.vn [8] http://www.securitymagazine.com/ [9]http://www.csoonline.com/ CÁC PHỤ LỤC PHIẾU ĐIỀU TRA TÌNH HÌNH ỨNG DỤNG CƠNG NGHỆ THƠNG TIN TRONG CƠNG TY CỔ PHẦN PHẦN MỀM BRAVO THÔNG TIN CHUNG DOANH NGHIỆP Tên doanh nghiệp: Công ty cổ phần phần mềm BRAVO Địa trụ sở chính: 101 Láng Hạ, Đống Đa, Hà Nội Thông tin liên hệ người điền phiếu Họ tên: Nam/Nữ: .Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: Điện thoại: Email: Trình độ thân: Năm thành lập doanh nghiệp: Số lượng nhân viên ☐ Dưới 100 nhân viên ☐Từ 100-150 nhân viên ☐ Từ 150-200 nhân viên ☐Từ 200-250 nhân viên ☐ Từ 250-300 nhân viên ☐ Từ 300-350 nhân viên ☐ Trên 350 nhân viên Vốn điều lệ(VND): ☐ Dưới 100 triệu ☐ Từ 500 triệu – tỷ ☐ Từ 1- tỷ ☐ Từ 5-10 tỷ ☐ Từ 10-50 tỷ ☐ Trên 50 tỷ Loại hình cơng ty ☐ Cơng ty THHH ☐ Công ty cổ phần ☐ Doanh nghiệp tư nhân ☐ Cơng ty hợp danh ☐ Loại hình khác Doanh thu hàng năm doanh nghiệp?(VNĐ) Tên Website doanh nghiệp 10 Các sản phẩm dich vụ doanh nghiệp: Tất thông tin phiếu điều tra sử dụng vào mục đích điều tra nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác I Phần cứng, mạng máy tính Số lượng máy trạm công ty: (chiếc) Số lượng máy chủ: (chiếc) Máy chủ cài đặt hệ điều hành gì? Máy tính cơng ty nối mạng gì? Cơng ty bạn sử dụng kiểu Topo mạng nào? ☐ Mạng hình ( Star Topology) ☐ Mạng dạng vòng (Ring Topology) ☐ Mạng dạng tuyến (Bus Topology) ☐ Mạng dạng lưới (Mesh Topology) ☐ Dạng khác Tỉ lệ nhân viên sử dụng máy tính làm việc ☐ 10% ☐50%-80% ☐ 10%-30% ☐80%-100% ☐ 30%-50% Công ty sử dụng mạng máy tính chủ yếu cho cơng việc gì? ☐ Tìm kiếm khách hàng ☐ Trao đổi thư điện tử ☐ Tin học văn phòng ☐ Giới thiệu sản phẩm công ty ☐ Mục đích sử dụng khác Mức độ hài lòng nhân viên hệ thống máy móc, trang thiết bị ☐ Khơng hài lòng ☐ Khơng hài lòng ☐ Hài lòng ☐ Rất hài lòng ☐ Hồn tồn hài lòng II.Phần mềm Cơng ty sử dụng phần mềm có quyền nào? ☐Hệ điều hành Windows ☐Hệ điều hành khác ☐ Phần mềm Văn phòng MS Office ☐Phần mềm văn phòng khác ☐Phần mềm tài kế toán ☐ Phần mềm quản lý nhân ☐Phần mềm quản lý công văn, giấy tờ ☐ Phần mềm quản trị dự án ☐ Phần mềm quản lý khách hàng, ERP ☐Phần mềm chuyên ngành ☐Phần mềm khác (nêu cụ thể) III Chi phí xây dựng hệ thống quản lí doanh nghiệp Doanh nghiệp sử dụng hệ thống thông tin từ năm Hệ thống quản lý doanh nghiệp bạn xây dựng nào? ☐ Tự xây dựng ☐ Thuê doanh nghiệp nước xây dựng ☐ Thuê doanh nghiệp nước xây dựng ☐ Cách khác (mơ tả thêm)…………………………………………… Chi phí doanh nghiệp cho việc thiết kế xây dựng hệ thống quản lý doanh nghiệp? ☐ 10-50 triệu đồng ☐ 50-100 triệu đồng ☐ 100-150 triệu đồng ☐ 150-200 triệu đồng ☐ Trên 200 triệu đồng Chi phí hàng tháng doanh nghiệp trì hệ thống quản lý doanh nghiệp ☐0-2 triệu đồng ☐ 2-5 triệu đồng ☐ 5-10 triệu đồng ☐ 10-15 triệu đồng ☐ 15-30 triệu đồng ☐ Trên 30 triệu đồng Từ lúc đưa hệ thống vào sử dụng doanh nghiệp có thay đổi gì? ☐ Nâng cấp số chức ☐ Thay đổi giao diện ☐ Thay đổi cách thức khai thác ☐ Thay đổi phương pháp quản trị ☐ Thay hệ quản trị CSDL ☐ Thay hoàn tồn hệ thống ☐ Khơng có thay đổi ☐ Lí khác Chi phí trì phát triển hệ thống có phù hợp với phát triển doanh nghiệp hay không? ☐ Rất phù hợp ☐ Phù hợp ☐ Phù hợp cao ☐ Chưa phù hợp tốn nhiều chi phí ☐ Chưa phù hợp quy mô DN ☐ Chưa phù hợp lĩnh vực KD ☐ Chưa phù hợp kĩ nhân viên ☐ Hoàn toàn chưa phù hợp ☐ Lí khác IV Về quản trị CSDL doanh nghiệp Doanh nghiệp bạn dùng hệ quản trị CSDL nào? ☐ Microsoft A ccess ☐ SQL server ☐ My SQL ☐ Foxpro ☐ Oracle ☐ DB2 ☐Informix ☐ Postgre SQL ☐ Khác (mô tả) Hiện doanh nghiệp bạn có sử dụng chương trình bảo mật cho CSDL hay khơng? ☐ Diệt virus ☐ Phân quyền người sử dụng ☐ Sử dụng thiết bị vật lý ☐ Tường lửa ☐ Phần mềm bảo vệ ☐ Mã hóa chức hệ quản trị ☐ Mã hóa hệ mã hóa riêng ☐ Sử dụng chữ kí điện tử ☐ Khác (Mơ tả) Hiện doanh nghiệp bạn có quản trị CSDL riêng hay sử dụng hình thức kiêm nghiệm? ☐ Có quản trị CSDL riêng ☐ Quản trị hệ thống thông tin kiêm nhiệm quản trị mạng CSDL ☐ Quản trị công nghệ thông tin doanh nghiệp chung ☐ Quản trị bộn phận kiểm quản trị CSDL phận ☐ Doanh nghiệp thuê quản trị ☐ Khác( mô tả)……………………………… ……………………………… Hiện doanh nghiệp bạn quản trị CSDL cho đối tượng nào? ☐ CSDL nhân viên ☐ CSDL phòng ban ☐ CSDL sản phẩm dịch vụ ☐ CSDL lương nhân viên ☐ CSDL thông tin khách hàng ☐ Khác (Mô tả) Đánh giá khả quản trị CSDL doanh nghiệp bạn? ☐ Độ chuyên nghiệp cao ☐ Độ chuyên nghiệp cao ☐ Độ chuyên nghiệp cao ☐ Độ chuyên nghiệp thấp ☐ Độ chuyên nghiệp thấp Bạn có nghĩ CSDL doanh nghiệp bạn quản trị tốt nay? ☐ Hồn tồn ☐ Có thể khơng chắn ☐ Có thể ☐ Tơi khơng nghĩ tốt ☐ Khơng thể ☐Khác……………………… Bạn có nghĩ doanh nghiệp bạn khơng khai thác hết hiệu CSDL kinh doanh? ☐ Luôn ☐ Thi thoảng không quan tâm ☐ Thi thoảng ☐ Khi doanh nghiệp lợi nhuận ☐ Khi chậm trả lương cho nhân viên ☐ Hiếm nghĩ đến ☐ Khác…………………………………………………………………… Mức độ an tồn bảo mật thơng tin doanh nghiệp ☐Rất tốt ☐ Tốt ☐ Bình thường ☐ Khơng tốt ☐ Rất khơng tốt V Tính minh bạch trách nhiệm quản trị CSDL Bạn đánh giá mức độ tiếp cận thông tin, tài liệu bạn ☐ Rất dễ ☐ Có thể ☐ Tương đối dễ ☐ Có thể khó ☐ Khơng thể ☐ Ý kiến khác Để tiếp cận với thông tin CSDL doanh nghiệp, theo bạn việc phải có trình độ kĩ cơng nghệ thơng tin? ☐ Không cần thiết ☐ Cần thiết ☐ Đôi cần thiết ☐ Rất cần thiết ☐ Khá cần thiết Vai trò bảo mật CSDL quản trị hệ thống thông tin doanh nghiệp? ☐ Rất quan trọng ☐ Quan trọng ☐ Đôi quan trọng ☐ Không quan trọng Chất lượng tự quản trị CSDL nhân viên doanh nghiệp bạn gì? ☐ Rất tốt ☐ Tốt ☐ Bình thường ☐ Khơng tốt Doanh nghiệp bạn đốn trước thông tin sai lệch việc tra cứu tìm kiếm thơng tin mang lại hay khơng ☐ Khơng ☐ Hiếm ☐ Hiếm ☐ Thi thoảng ☐ Thường xuyên Chi phí thời gian để cập nhật thông tin doanh nghiệp Doanh nghiệp bạn cập nhật CSDL lần tuần? Thời gian trung bình đợt cập nhật liệu cho DN?(giờ) Thời gian phục hồi CSDL doanh nghiệp gặp cố? (giờ) VẤN ĐỀ KHÁC Theo doanh nghiệp, giải pháp cụ thể mà doanh nghiệp cần phải thực nhằm nâng cao hiệu kinh doanh tăng cường quản trị CSDL gì? Theo bạn mức độ quan tâm đầu tư cho bảo mật CSDL công ty gì? ... 2.2 Phân tích, đánh giá thực trạng bảo mật CSDL công ty cổ phần phần mềm BRAVO 2.2.1 Tổng quan công ty cổ phần phần mềm BRAVO 2.2.1.1 Giới thiệu chung Công ty Tên công ty: Công ty cổ phần phần... Loại hình doanh nghiệp: Cơng ty cổ phần Cơng ty Cổ phần Phần mềm BRAVO công ty chuyên sâu phát triển triển khai ứng dụng hệ thống phần mềm công nghệ thông tin vào quản lý sản xuất kinh doanh nhằm... ngày đầu tư nâng cấp phần mềm quản lý doanh nghiệp nhằm mang lại hiệu kinh doanh cao HTTT sử dụng quản lý kinh doanh, nhân sự, kế toán phần mềm BRAVO công ty tự xây dựng giúp việc quản lý cơng