Một số giải pháp nâng cao tính an toàn bảo mật HTTT cho công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương

Khóa luận tốt nghiệp i GVHD: TS Nguyễn Thị Thu Thủy LỜI CẢM ƠN Trong q trình hồn thành khóa luận tốt nghiệp với đề tài “Một số giải pháp nâng cao tính an tồn bảo mật HTTT cho cơng ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương”, lời đầu tiên, em xin gửi lời cảm ơn đến thầy cô giáo trường Đại học Thương Mại nói chung thầy giáo khoa Hệ thống thông tin kinh tế Thương mại điện tử nói riêng truyền cảm hứng tạo điều kiện cho em học tập, nghiên cứu giúp em hiểu rõ chuyên ngành Hệ thống thông tin kinh tế Nhờ giảng dạy tận tình cung cấp cho em kiến thức chuyên môn cần thiết, em có hội xây dựng cho tảng lý luận vững giúp em định hướng đề tài hồn thành khóa luận tốt nghiệp Đặc biệt, em xin cảm ơn cô Tiến sĩ Nguyễn Thị Thu Thủy hướng dẫn giúp đỡ nhiệt tình, bảo em suốt thời gian thực đề tài khóa luận tốt nghiệp để em hồn thành cách tốt Cuối em xin cảm ơn sâu sắc đến ban giám đốc Công ty TNHH Xuất nhập Thương mại Dịch vụ Tân Đại Dương, anh chị nhân viên phận tạo điều kiện thuận lợi, nhiệt tình giúp đỡ em trình thực tập công ty, cung cấp cho em tài liệu cần thiết để em hồn thành tốt khóa luận Em xin chân thành cảm ơn! Hà Nội, ngày tháng năm 2017 Sinh viên thực hiện: Nguyễn Thị Chương SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp ii GVHD: TS Nguyễn Thị Thu Thủy MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ vi PHẦN MỞ ĐẦU .1 Tính cấp thiết đề tài nghiên cứu Tổng quan vấn đề nghiên cứu Mục tiêu nhiệm vụ nghiên cứu Phạm vi nghiên cứu Phương pháp nghiên cứu Kết cấu khóa luận tốt nghiệp .4 PHẦN II NỘI DUNG KHÓA LUẬN .6 CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT 1.1 Một số khái niệm 1.1.1 Khái niệm chung 1.1.2 Khái niệm an toàn, bảo mật HTTT quản lý .7 1.2 Một số sở lý luận An toàn bảo mật HTTT .8 1.2.1 Một số hình thức công đến bảo mật nguy an tồn thơng tin HTTT .8 1.2.2 Một số phương pháp đảm bảo an toàn, bảo mật HTTT 11 CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TỒN BẢO MẬT HTTT CỦA CƠNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG .19 2.1 Giới thiệu chung công ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương 19 2.1.1 Giới thiệu chung công ty 19 2.1.2 Cơ cấu tổ chức .19 2.1.3 Tình hình hoạt động kinh doanh cơng ty 20 2.1.4 Nguồn nhân lực CNTT .21 2.2 Vấn đề an tồn bảo mật HTTT cơng ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương 22 SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp iii GVHD: TS Nguyễn Thị Thu Thủy 2.2.1 Thực trạng vấn đề An tồn bảo mật thơng tin 22 2.2.2 Phân tích nguyên nhân dẫn đến việc an toàn bảo mật HTTT 26 2.2.3 Đánh giá An toàn bảo mật HTTT công ty .27 CHƯƠNG 3: CÁC ĐỀ XUẤT VỀ AN TOÀN BẢO MẬT HTTT CHO CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG 29 3.1 Các phương pháp đề xuất nâng cao an toàn bảo mật HTTT cho cơng ty .29 3.1.1 Nâng cao an tồn bảo mật thông tin biện pháp phần cứng 29 3.1.2 Nâng cao an tồn bảo mật thơng tin biện pháp phần mềm .39 3.1.2 Một số giải pháp đảm bảo an toàn liệu 43 3.1.3 Một số biện pháp khắc phục cơng từ bên ngồi 48 3.1.4 Triển khai hệ thống tiêu chuẩn ISO 49 3.1.5 Đào tạo nhân lực, nâng cao nhận thức người dùng 50 3.2 Kết luận kiến nghị .51 3.2.1 Kết luận chung 51 3.2.2 Kiến nghị .52 TÀI LIỆU THAM KHẢO 56 PHỤ LỤC SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp iv GVHD: TS Nguyễn Thị Thu Thủy DANH MỤC TỪ VIẾT TẮT DANH MỤC TỪ VIẾT TẮT TIẾNG VIỆT STT TỪ VIẾT TẮT CBNV ATBMTT ATTT HTTT TNHH CNH-HĐH CNTT TMĐT CSDL TỪ TIẾNG VIỆT Hệ thống thông tin Trách nhiệm hữu hạn Cơng nghiệp hóa- Hiện đại hóa Cơng nghệ thông tin Thương mại điện tử Cơ sở liệu Cán nhân viên An tồn bảo mật thơng tin An tồn thơng tin DANH MỤC TỪ VIẾT TẮT TIẾNG ANH TT TỪ VIẾT TẮT SVTH: Nguyễn Thị Chương CỤM TỪ ĐẦY ĐỦ NGHĨA TIẾNG VIỆT MSV: 13D190216 Khóa luận tốt nghiệp v GVHD: TS Nguyễn Thị Thu Thủy Mơ hình kinh doanh thương B2B DoS DDoS TCP/IP Business To Business Denial of Service Distributed Denial of nghiệp với doanh nghiệp Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ phân Service Transfer Control tán Bộ giao thức hỗ trợ việc truyền Protocol/Internet WAN LAN Protocol Wide Area Network Local Area Network SSL Secure Socket Layer WEP ADSL 10 DNS 11 VPN 12 PC 13 RAM 14 ISO mại điện tử doanh thông máy tính mạng Mạng diện rộng Mạng cục Tiêu chuẩn công nghệ bảo Wired Equivalent mật Bảo mật tương đương với Privacy Asymmetric Digital mạng có dây Đường dây thuê bao không đối Subscriber Line Domain Name System xứng Hệ thống phân giải tên Virtual Private Network Personal Computer Random Access Memory International Organization for Standardization SVTH: Nguyễn Thị Chương Mạng riêng ảo Máy tính cá nhân Bộ nhớ truy cập ngẫu nhiên Tổ chức quốc tế Tiêu chuẩn hóa MSV: 13D190216 Khóa luận tốt nghiệp vi GVHD: TS Nguyễn Thị Thu Thủy DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ BẢNG BIỂU: Bảng Tình hình kinh doanh công ty năm gần 20 Bảng Dạng mạng đơn vị 23 Bảng Yêu cầu máy tính cá nhân người dùng 55 Bảng Thông số kỹ thuật: 56 Biểu đồ Biện pháp bảo vệ liệu công ty 24 Biểu đồ Biểu đồ tỷ lệ sử dụng phần mềm công ty 26 SƠ ĐỒ: Sơ đồ Mơ hình tổ chức máy hoạt động cơng ty 20 Sơ đồ Hệ thống mạng công ty TNHH Xuất nhập thương mại dịch vụ Tân Đại Dương 23 Sơ đồ Giải pháp phần cứng Firewall cho công ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương 31 HÌNH VẼ: Hình 2.1 Mối quan hệ yếu tố HTTT an toàn, bảo mật Bảo mật HTTT quản lý Hình Tường lửa cho hệ thống mạng .30 Hình Mạng riêng ảo VPN 37 Hình Giao thức SSL 42 Hình Mơ hình giải pháp Vbackup .45 Hình Phương pháp đẩy 47 Hình Phân tích liệu mơ 48 Hình Firewall Cisco ASA 5510 53 SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy PHẦN MỞ ĐẦU Tính cấp thiết đề tài nghiên cứu Trong công CNH-HĐH nay, CNTT chiếm vị trí quan trọng chi phối đến hầu hết mặt đời sống kinh tế xã hội, đặc biệt lĩnh vực kinh tế Việc ứng dụng CNTT vào hoạt động kinh doanh giúp cho doanh nghiệp kịp thời nắm bắt thơng tin, góp phần nâng cao hiệu kinh doanh, theo kịp xu hướng thời đại Hệ thống thông tin thành phần thiết yếu quan, tổ chức, đem lại khả xử lý thông tin, hệ thống thông tin chứa nhiều điểm yếu Do máy tính phát triển với tốc độ nhanh để đáp ứng nhiều yêu cầu người dùng, phiên phát hành liên tục với tính thêm vào ngày nhiều, điều làm cho phần mềm không kiểm tra kỹ trước phát hành bên chúng chứa nhiều lỗ hổng dễ dàng bị lợi dụng Thêm vào việc phát triển hệ thống mạng, phân tán hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng tin tặc có nhiều mục tiêu cơng dễ dàng Song song với việc xây dựng hệ thống thông tin đại, đáp ứng nhu cầu quan, tổ chức cần phải bảo vệ hệ thống thơng tin, đảm bảo cho hệ thống hoạt động ổn định tin cậy An toàn bảo mật thông tin thiết yếu quan, tổ chức Nhận thức tầm quan trọng việc bảo mật an tồn thơng tin nên em định chọn đề tài: “Một số giải pháp nâng cao tính an tồn bảo mật HTTT cho cơng ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương” để nghiên cứu rõ vấn đề Tổng quan vấn đề nghiên cứu Ngành CNTT ngày phát triển ứng dụng rộng rãi hoạt động đời sống, việc an toàn bảo mật thông tin, liệu đặt lê hàng đầu, có nhiều cơng trình nghiên cứu an tồn bảo mật thơng tin đời như: Luận văn thạc sĩ tác giả Nguyễn Minh Quang với đề tài Nghiên cứu số giải pháp an toàn bảo mật thông tin giao dịch thương mại điện tử đưa số công cụ phương pháp nhằm đảm bảo an tồn thơng tin TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu luận văn SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy dừng lại việc đảm bảo an tồn thơng tin TMĐT khơng bao quát toàn vấn đề ATTT nói chung sâu vào doanh nghiệp cụ thể Đề tài Đảm bảo an tồn thơng tin thương mại điện tử- Mơ hình từ doanh nghiệp đến doanh nghiệp Việt Nam tác giả Trần Thị Thập, Học viện Bưu viễn thơng in Tạp chí Khoa học ĐHQGHN: Kinh tế kinh doanh, tập 32, số (2016) trang 22-30 Nội dung đề tài tập trung vào việc phân tích an tồn thơng tin thương mại điện tử, điều kiện đảm bảo phát triển hoạt động thương mại điện tử toàn kinh tế An tồn thơng tin thương mại điện tử mơ hình từ doanh nghiệp đến doanh nghiệp (B2B) có vị trí quan trọng tỷ trọng giao dịch B2B chiếm đa số giao dịch thương mại điện tử tồn giới Đảm bảo an tồn thơng tin thương mại điện tử B2B cần nghiên cứu quan điểm toàn diện: bên mua bên bán, từ chuyên môn kỹ thuật đến quản lý, từ cấp độ quản lý nhà nước đến cấp độ quản trị doanh nghiệp Bài viết trình bày lý thuyết an tồn thơng tin thương mại điện tử B2B, thực trạng an tồn thơng tin thương mại điện tử B2B giải pháp đảm bảo an tồn thơng tin nhằm phát triển hoạt động thương mại điện tử B2B Việt Nam thời gian tới Năm 2015, Quốc Hội ban hành Luật an tồn thơng tin mạng số 86/2015/QH13 quy định hoạt động an tồn thơng tin mạng, quyền, trách nhiệm quan, tổ chức, cá nhân việc bảo đảm an tồn thơng tin mạng, mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin mạng; kinh doanh lĩnh vực an tồn thơng tin mạng Năm 2015 vừa qua năm đầy biến động an ninh bảo mật, đặc biệt Việt Nam Theo báo cáo toàn cầu từ Kaspersky Lab vào quý IV/2015, Việt Nam đứng thứ ba giới nguy hiểm tiềm ẩn lướt web với 35% số người dùng bị công VNCERT ghi nhận 30.000 cố an ninh Việt Nam năm 2015 Những số liệu đặt cho nhà lãnh đạo chuyên gia an ninh, an tồn thơng tin thách thức lớn việc bảo mật, mà mối đe dọa từ tội phạm mạng ngày lớn, nhiều cá nhân chưa biết cách sử dụng biện pháp bảo đảm an toàn cách hiệu Hiện hệ thống bảo mật thông tin nhà nước hướng đến mục tiêu giúp quan, tổ chức, doanh nghiệp nắm bắt đánh giá hiểm họa an ninh thông tin hữu đề xuất phương án ứng phó kịp thời trước phát triển SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy nhanh chóng nguy rị rỉ, lộ lọt thơng tin đảm bảo tuân thủ quy định An tồn, bảo mật Trong q trình phát triển mạnh mẽ khoa học công nghệ năm gần đây, đặc biệt lĩnh vực công nghệ thông tin, truyền thông, công nghệ mang lại nhiều lợi ích, nhiên, thực tiễn nảy sinh thêm nhiều nguy an ninh, an tồn thơng tin Ở Việt Nam, nguy an tồn thơng tin thời gian qua gia tăng số lượng tính chất, mức độ nghiêm trọng Bởi vậy, việc nâng cao nhận thức vào nghiên cứu, áp dụng giải pháp công nghệ để chủ động phịng ngừa đảm bảo an tồn thơng tin cho cá nhân, tổ chức, doanh nghiệp trở thành vấn đề quan trọng vào cấp bách Ngày 29/3/2016 diễn kiện Security World 2016 với chủ đề Hội thảo- Triển lãm quốc gia An tồn, bảo mật thơng tin Hà Nội Mục tiêu nhiệm vụ nghiên cứu Mục tiêu nghiên cứu chung đề tài tập hợp hệ thống hóa số lý thuyết, sở lý luận an toàn bảo mật liệu, sử dụng phương pháp nghiên cứu khác để phân tích đánh giá thực trạng vấn đề an toàn bảo mật liệu môi trường thực tế, đặc biệt doanh nghiệp nói chung Mục tiêu nghiên cứu cụ thể đề tài là: + Khái quát lý thuyết sở lý luận an tồn bảo mật thơng tin + Thu thập, phân tích, xử lý đánh giá thực trạng tình hình an tồn bảo mật thơng tin cơng ty, tìm tồn HTTT mà công ty chưa kịp thời khắc phục dựa việc tìm hiểu thực tế cơng ty dựa vào phiếu điều tra + Đề xuất số giải pháp nhằm khắc phục ngăn chặn nguy gây an tồn bảo mật thơng tin cho công ty Nhiệm vụ đề xuất giải pháp thiết thực phù hợp để khắc phục thiếu sót, nâng cao tính an tồn bảo mật, giúp ngăn chặn nguy công hệ thống thông tin, liệu tương lai Phạm vi nghiên cứu Phạm vi nghiên cứu đề tài: + Phạm vi không gian: Trụ sở giao dịch: Tầng Tòa nhà 315 Trường Chinh, Quận Thanh Xuân, TP Hà Nội Công ty TNHH Xuất nhập Thương mại Dịch vụ Tân Đại Dương + Phạm vi thời gian: Các số liệu khảo sát từ năm 2014-2016 Các số liệu khảo sát q trình tham gia thực tập cơng ty SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy Phương pháp nghiên cứu 5.1 Phương pháp thu thập liệu 5.1.1 Thu thập liệu sơ cấp Phương pháp điều tra trắc nghiệm thơng qua phiếu khảo sát Nội dung: Tình hình ứng dụng công nghệ thông tin, hệ thống thông tin thương mại điện tử công ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương Cách thức tiến hành: phiếu khảo sát gửi cho nhân văn phòng giao dịch Thanh Xuân Sau đó, số phiếu tổng hợp lại, xử lý đưa nhận xét Ưu điểm: Tiến hành nhanh chóng, hiệu tiện lợi Nhược điểm: Câu trả lời khơng hồn tồn xác bị bỏ qua Mục đích áp dụng: Giúp thu thập thơng tin cách nhanh chóng nhất, tiết kiệm xử lý cách xác để đưa nhận xét đánh giá 5.1.2 Thu thập liệu thứ cấp Nghiên cứu tài liệu liên quan tới công nghệ thơng tin, ngơn ngữ lập trình, sở liệu, công cụ xây dựng hệ thống, tảng wordpress sách, báo, tạp chí viết internet để tìm hiểu xây dựng website cụ thể Nhận thấy vấn đề quan trọng khó nên em muốn phân tích thiết kế áp dụng thương mại điện tử vào công ty xây dựng cụ thể 5.2 Phương pháp phân tích xử lý số liệu Xử lý thông tin định lượng Đối với số liệu thu thập dạng số liệu thống kê phân tích định lượng ta dùng bảng tính Excel để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị Thông tin sử dụng lấy từ phiếu điều tra tài liệu thống kê khác Kết cấu khóa luận tốt nghiệp Chương 1: Cơ sở lý luận an toàn bảo mật HTTT doanh nghiệp Nội dung chương đề cập đến sở lý luận an toàn bảo mật HTTT, bao gồm khái niệm liên quan đến HTTT an tồn bảo mật, số hình thức công đến bảo mật nguy an tồn thơng tin từ đưa số phương pháp chủ yếu nhằm đảm bảo an toàn bảo mật thông tin cho HTTT doanh nghiệp SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 48 GVHD: TS Nguyễn Thị Thu Thủy 3.1.2.4 Xây dựng hệ thống giám sát an toàn mạng Log hệ thống thành phần quan trọng hệ thống mạng Nó lưu lại cách xác hoạt động hệ thống, tình trạng hoạt động hệ thống, ứng dụng, thiết bị hoạt động hệ thống Các loại log hệ thống  Log Access: Là log ghi lại tồn thơng tin truy cập người dùng tới hệ thống, truy cập ứng dụng tới sở liệu…  Log Event: log ghi lại chi tiết kiện mà hệ thống thực Log ứng dụng, log hệ điều hành…  Log Device: log ghi lại tình trạng hoạt động thiết bị phần cứng phần mềm sử dụng: Router, Switch, IDS, IPS… Log thành phần hữu hiệu cho việc giám sát khắc phục cố hệ thống mạng Tuy nhiên, với hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao cơng việc phân tích Log thực điều vơ khó khăn NSM (Network Security Mornitoring) - Giám sát an ninh mạng việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Đối tượng giám sát an ninh mạng tất thành phần, thiết bị hệ thống mạng: máy trạm, CSDL, ứng dụng, server thiết bị mạng Các bước cần thực hệ thống NSM  Thu thập liệu (Collection) Việc thu thập liệu việc lấy thơng tin liên quan đến tình trạng hoạt động thiết bị hệ thống mạng Tuy nhiên, hệ thống mạng lớn dịch vụ hay thiết bị khơng đặt máy, địa điểm mà nằm máy chủ, hệ thống riêng biệt Các thành phần hệ thống hoạt động tảng hồn tồn khác Mơ hình Log tập trung đưa để giải vấn đề Cụ thể, tất Log chuyển trung tâm để phân tích xử lý Với thiết bị có đặc điểm riêng loại log khác Như log thiết bị mạng như: Router, Swich Log thiết bị phát xâm nhập: IDS, IPS, Snort … Log Web Server, Application Server, Log Event, Log Registry Server Windows, Unix/Linux SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 49 GVHD: TS Nguyễn Thị Thu Thủy  Cách thức thu thập liệu hệ thống NSM (1) The Push Method (Phương pháp đẩy): Các kiện từ thiết bị, Các máy trạm, Server tự động chuyển Collector theo thời gian thực sau khoảng thời gian phụ thuộc vào việc cấu hình thiết bị tương ứng Các Collector Log Server thực việc nghe nhận kiện chúng xảy Ví dụ như: NetFlow, Syslog-ng Message(Syslog-ng gồm thành phần Syslog-Agent Syslog-Server), Access-list (ACL) logs … Hình Phương pháp đẩy (2) The Pull Method (Phương pháp kéo): Các Collector thu tập kiện phát sinh lưu trữ thiết bị lấy Collector Hai giao thức phổ biến để thu thập kiện Security Device Event Exchange (SDEE – Gồm thiết bị nằm hệ thống thiết bị phát xâm nhập phát triển ICSA) SNMP (Simple Network Management Protocol – Giao thức hỗ trợ việc quản lý thiết bị từ xa)  Phân tích liệu Khi thu thập thông tin hệ thống cơng việc phân tích thơng tin, cụ thể việc thực mục hóa liệu, phát điều bất thường, mối đe dọa hệ thống Dựa thông tin lưu lượng truy cập, trạng thái truy cập, định dạng request… Ví dụ lưu lượng truy cập dưng tăng vọt thời điểm Đây có lẽ nơi thích hợp để Big data lên tiếng Hình Phân tích liệu mơ SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 50 GVHD: TS Nguyễn Thị Thu Thủy  Cảnh báo Sau thực việc phân tích liệu từ thơng tin thu thập việc thực việc đánh giá, đưa thông tin cảnh báo tới người quản trị thực công tác nhằm chống lại đe dọa, khắc phục cố sảy Cảnh báo thơng qua email, SMS, thực thi mã script nhằm hạn chế hậu cố Khi xảy cố, hệ thống tự động gửi email, sms cho người quản trị chạy script để thêm địa IP có biểu cơng danh sách đen Firewall Việc đòi hỏi người lập trình phải có hiểu biết sâu kinh nghiệm hệ thống 3.1.3 Một số biện pháp khắc phục cơng từ bên ngồi HTTT cơng ty cịn gặp nhiều hình thức cơng từ bên ngồi, công làm suy giảm hiệu mạng HTTT bị nhiễm virus hay worm hai loại công mà HTTT công ty gặp nhiều Bởi vậy, cần đưa biện pháp hợp lý để khắc phục điểm yếu Tấn công từ chối dịch vụ (hay gọi DoS - Denial of Service) thủ đoạn nhằm ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ DoS làm ngưng hoạt động máy tính, mạng nội chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ khách hàng SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 51 GVHD: TS Nguyễn Thị Thu Thủy khác Nếu máy chủ tồn mà cung cấp thông tin, dịch vụ cho người sử dụng tồn khơng có ý nghĩa, đặc biệt hệ thống phục vụ giao dịch điện tử thiệt hại vô lớn DdoS thường tập trung vào hai trọng điểm làm cạn kiệt tài nguyên máy chủ làm bão hòa đường truyền Bởi vậy, việc cần làm gia tăng băng thơng tài ngun hệ thống Khơng có cách hiệu để ngăn chặn việc hệ thống cơng ty trở thành nạn nhân công DOS Đây số phương pháp giảm thiểu khả bạn trở thành nạn nhân nhằm cơng máy tính khác.:  Cài đặt trì phần mềm diệt virus (Antivirus Software)  Cài đặt Firewall (tường lửa) cấu hình để hạn chế lưu lượng truy cập vào từ máy tính  Thực thực hành bảo mật để phân tán cho địa Email nhân viên Áp dụng lọc thu điện tử giúp người dùng quản lý tốt lưu lượng truy cập không mong muốn đến địa email họ Khắc phục trường hợp bị lỗi ổ cứng Trong trường hợp ổ cứng bị hư hồn tồn (khơng quay, hay khơng đọc liệu), nhẹ nhàng gỡ ổ cứng khỏi máy mang đến trung tâm chuyên sửa chữa ổ cứng Vì dù khơng quay liệu cịn lưu bên ổ cứng có khả lấy lại công cụ chuyên dụng, nên cần cố gắng nhẹ tay với ổ cứng, có khả đầu đọc bên không cố định, làm trầy mặt đĩa Khi ổ cứng bị liệu, khơng tiếp tục ghi hay xố ổ cứng để tránh tượng liệu chép chồng lên liệu bị Sử dụng chương trình khơi phục liệu bị xố để lấy lại liệu BIOS, Flobo Hard Disk Repair,… Tốt nên nhờ người có kinh nghiệm hỗ trợ, phải dùng chương trình cho loại liệu cần phục hồi (ví dụ: có chương trình chun khôi phục file doc, bmp, exe…, chương trình đa có hiệu phục hồi khơng cao) 3.1.4 Triển khai hệ thống tiêu chuẩn ISO Hiện tại, nhiều công ty áp dụng ISO 27001 vào việc quản lý an tồn thơng tin tồn diện, giảm thiểu rủi ro xảy cố thông tin, tăng cường khả đối phó với tình khẩn cẩp từ nguy xâm nhập đến SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 52 GVHD: TS Nguyễn Thị Thu Thủy nguy vật lý ISO 27001 không giới hạn việc bảo vệ hệ thống mạng máy tính khỏi xâm nhập trái phép virus mà bao gồm vấn đề quản lý loại tài sản vật lý, thông tin, phần mềm dịch vụ Việc áp dụng chuẩn ISO gồm việc quản lý việc trao đổi thông tin nội bên ngoài; xây dựng diễn tập phương án đối phó với trường hợp khẩn cấp, thiên tai; đảm bảo an ninh cá nhân; đảm bảo hoạt động doanh nghiệp hoạt động pháp luật Các bước cần thực để đạt chứng nhận hệ thống quản lý an tồn thơng tin ISO/IEC 27001: 1) Cam kết Lãnh đạo xây dựng hệ thống quản lý an tồn thơng tin cho tổ chức 2) Phổ biến, đào tạo nhận thức tiêu chuẩn ISO/IEC 27001 cho cán 3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001 4) Xây dựng sách, mục tiêu phạm vi hệ thống ISMS 5) Phân tích, đánh giá rủi ro an tồn thơng tin phạm vi hệ thống 6) Thiết lập biện pháp kiểm soát rủi ro 7) Lựa chọn mục tiêu biện pháp kiểm soát 8) Vận hành hệ thống ISMS thiết lập 9) Thực hoạt động xem xét cải tiến hiệu lực hệ thống 10) Đánh giá chứng nhận Thời gian cần thiết để xây dựng hệ thống quản lý an tồn thơng tin có hiệu lực hiệu đánh giá thức cần khoảng ~ 18 tháng phụ thuộc vào quy mô, nhu cầu thực tế, khả tập trung nguồn lực tổ chức cho trình xây dựng Tổ chức thuận lợi trước có kinh nghiệm xây dựng, vận hành số hệ thống quản lý khác ISO 9001, ISO 14001… Vì chi phí cho việc áp dụng tiêu chuẩn ISO 27001 cao nên công ty nên xem xét khả tài nguồn nhân lực có đủ sở để áp dụng tiêu chuẩn vào việc bảo mật, an tồn HTTT cho doanh nghiệp khơng 3.1.5 Đào tạo nhân lực, nâng cao nhận thức người dùng Do trình độ CNTT an ninh thơng tin nhân viên cịn yếu kém, đó, Cơng ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương cần có kế hoạch đào tạo chi tiết, nâng cao hiểu biết an tồn thơng tin cho nhân viên SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 53 GVHD: TS Nguyễn Thị Thu Thủy Công ty nên chọn số nhân viên tiêu biểu gửi đào tạo chuyên sâu HTTT ATBMTT, đồng thời mời chuyên viên ATBMTT đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên cơng ty Mặt khác, Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATBMTT công ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng Tất thông tin khách hàng, đối tác hay thông tin nội công ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận này; việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải huỷ qua máy tài liệu; loại giấy tờ, thông tin, phần mềm in ấn vi tính khơng mang khỏi cơng ty; giáo dục đạo đức cho nhân viên; đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán nhân viên 3.2 Kết luận kiến nghị 3.2.1 Kết luận chung Đề tài nghiên cứu lý thuyết cách hệ thống, theo logic vấn đề liên quan đến việc ATBMTT, để từ hướng tới giải pháp hệ thống bảo mật có độ an tồn cao đảm bảo ATTT cho Cơng ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương Cụ thể, đề tài, em nghiên cứu số kết sau: + Phân tích nhận xét ưu nhược điểm công ty + Đề xuất số giải pháp đảm bảo an toàn bảo mật cụ thể cho HTTT công ty Những giải pháp khắc phục lỗ hổng HTTT quản lý Công ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương nghiên cứu hiểu kỹ trước đưa định hướng cho Công ty, giải pháp địi hỏi đáp ứng nhu cầu an tồn bảo mật, khả mở rộng Công ty thời gian tới, phù hợp mức giá cả, dễ sử dụng, dễ cài đặt bảo trì Ngồi giải pháp đưa phần cứng phần mềm, hệ thống mạng chương III cịn đưa xu hướng công thời gian gần đây, nhằm hướng doanh nghiệp có thêm hiểu biết tình hình an tồn bảo mật nhất, với phương pháp khắc phục tổn thất xảy HTTT quản lý SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 54 GVHD: TS Nguyễn Thị Thu Thủy 3.2.2 Kiến nghị Đảm bảo ATBM HTTT công ty TNHH xuât nhập thương mại dịch vụ Tân Đại Dương công việc riêng người quản trị HTTT cơng ty mà tồn nhân viên cơng ty có trách nhiệm bảo vệ thơng tin, HTTT tài sản sống doanh nghiệp điều phải xem thành phần văn hóa kinh doanh cơng ty Để thực giải pháp mà đề tài đề cập tới Cơng ty cần cân nhắc nhiều yếu tố, tài chính, người quan trọng khơng thể thay đổi hệ thống nhanh gọn Việc nâng cấp hệ thống gặp nhiều khó khăn, thời gian, làm gián đoạn trình kinh doanh Cơng ty Bởi vậy, cần phân tích thực trạng rõ ràng để xác định việc ưu tiên thực đầu tiên, xác định thời nâng cấp hệ thống mà gây ảnh hưởng cho q trình hoạt động cơng ty Nhìn nhận nguồn tài nguồn nhân lực cơng ty nên em có số kiến nghị thân nhằm giúp công ty hồn thành tốt q trình đảm bảo an toàn bảo mật cho HTTT:  Cơ sở hạ tầng: Công ty cần tăng cường đầu tư sở hạ tầng đặc biệt sở vật chất cho CNTT Cơng ty cần có sách cụ thể, rõ ràng có lịch trình chương trình đầu từ cở sở hạ tầng Đây yếu tố chủ chốt đảm bảo chương trình an tồn bảo mật HTTT quản lý công ty đạt hiệu Đối với hệ thống máy chủ, công ty sử dụng hệ thống máy chủ có chất lượng tốt, đáp ứng hoạt động CNTT thường nhật cho doanh nghiệp Riêng hệ thống máy tính cá nhân nhân viên, cơng ty cần phổ biến hỗ trợ để nhân viên có điều kiện sở vật chất để hồn thành nhiệm vụ cơng việc cách tốt SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 55 GVHD: TS Nguyễn Thị Thu Thủy Bảng Yêu cầu máy tính cá nhân người dùng CPU Main RAM ổ cứng Vga-lan Software Máy người sử dụng hệ thống Core Duo E4300/1.8/2M/800 Intel Chipset G41 / DDR3 DDR3 – 2g/1333 160GB Sata II Seagate VGA 1GB Full Onboard Os: Windowns Webserver: Internet Explorer 5.5 and above, Netscape 7.0 and above, Mozilla Firefox 1.4 and above, or Opera 7.21 and above Database : SQL server 2008  Mua phần mềm Firewall Cisco ASA 5510 để xây dựng tường lửa đảm bảo an tồn bảo mật HTTT cho cơng ty Hình Firewall Cisco ASA 5510 Cisco Firewall ASA 5510 sản phẩm bảo mật Cisco Đây giải pháp bảo mật tổng hợp, cho phép kết hợp tính firewall, tính VPN (cả IPSec SSL VPN), khả mở rộng cho phép cắm thêm card dịch vụ mở rộng để tăng tính IPS, Antivirus… ASA 5510 giúp bảo mật theo chiều rộng lẫn chiều sâu mơ hình doanh nghiệp vừa nhỏ, hay chi nhánh, đảm bảo giảm thiểu chi phí cài đặt vào vận hành hệ thống Cisco ASA 5510 giúp cho việc bảo vệ cáp mạng doanh nghiệp hiệu SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 56 GVHD: TS Nguyễn Thị Thu Thủy Bảng Thông số kỹ thuật: Số cổng kết nối Tốc độ truyền liệu RAM Giao thức Routing/Firewall Management 10/100Mbps 1G TCP/IP SNMP Nguồn 100-241VAC/50-60Hz Tính khác Firewall protection, VPN support, Kích thước VLAN support 44.5cm x 33.5cm x 4.4cm Trọng lượng 9100 Giá thiết bị dao động từ 60-70 triệu đồng - Việc bảo vệ máy tính tác nhân virus gây cần thiết công ty thời điểm Với tính nêu phần giải pháp, công ty nên lựa chọn mua phần mềm diệt virus Bkav Pro 2015 để thực tốt việc bảo mật liệu cho công ty, giá sản phẩm 299.000 đồng/1 máy/ năm sử dụng - Phần mềm phân quyền bảo vệ người dùng Folder Lock 6.1.7 phần mềm cần thiết việc đảm bảo tính an tồn bảo mật cho HTTT công ty Việc phân quyền sử dụng giúp cho hoạt động công việc trì tốt, đảm bảo tính bí mật thơng tin khơng bị lộ ngồi, việc mang lại lợi ích to lớn cho cơng ty Là phần mềm miên phí lợi ích mang lại vượt trội, vậy, công ty nên cài đặt phần mềm sử dụng cho hệ thống máy cá nhân nhân viên Việc lưu liệu cần tối ưu hóa để tránh việc mát liệu bị nguyên nhân tác động Vbackup VDO phần mềm lưu liệu trực tuyến đáp ứng nhu cầu việc lưu liệu cho công ty Sử dụng Vbackup VDO tiết kiệm đến 40% chi phí bảo vệ, lưu liệu so với phương thức truyền thống Hình thức pay-as-you-grow giúp doanh nghiệp kiểm soát & dự đoán chi phí hàng tháng Độ tin cậy hệ thống cao, tỷ lệ lưu thành công lên đến 99,5%, hệ thống theo dõi bảo vệ liệu tự động 24/7 Việc lưu truy cập liệu lúc nơi Bởi công ty nên xem xét sử dụng phần mềm cho HTTT  Công ty cần tăng cường sử dụng ứng dụng bước thu thập, lưu trữ xử lý thơng tin kinh doanh doanh nghiệp Q trình cần phải thống SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 57 GVHD: TS Nguyễn Thị Thu Thủy cụ thể Các nguồn cung cấp thông tin cần phải rõ ràng minh bạch Khi xử lý lưu trữ thông tin cần thống theo quy định chung tập trung điểm để áp dụng cơng cụ an tồn bảo mật hiệu  Công ty cần phải xây dựng chương trình an tồn bảo mật cho HTTT, thực chuyên gia CNTT Cập nhật liên tục mối nguy hại tinh vi tạo tin tặc chuyên nghiệp, bảo mật phải tổ chức thực theo chu trình để đảm bảo tính chặt chẽ hiệu Chu trình phải có tính kế thừa phát triển kĩ thuật cơng phá hoại ngày tinh vi đại, hệ thống bảo mật cho tối ưu thời điểm nảy sinh vấn đề tương lai kẻ cơng ln tìm cách để khai thác lỗ hổng hệ thống bảo mật biện pháp tinh vi Để phòng ngừa đối phó người xây dựng chiến lược bảo mật phải luôn vạch chiến lược sử dụng công nghệ đại Việc đảm bảo an toàn bảo mật HTTT trách nhiệm toàn cán nhân viên công ty Ban lãnh đạo công ty cần có nhiều biện pháp tuyên truyền giáo dục nâng cao nhận thức nhân viên tầm quan trọng an tồn bảo mật HTTT Cơng ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên CNTT Ngoài việc nâng cao kiến thức chuyên môn sâu thực tế, công ty cần nâng cao kỹ mềm cho nhân viên như: Kỹ giao tiếp ngoại ngữ, kỹ tư thái độ làm việc cá nhân, kỹ làm việc theo nhóm Một mặt cơng ty cần mở đợt tuyển dụng nhân viên đào tạo chun mơn kiến thức an tồn bảo mật thơng tin sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành CNTT HTTT quản lý Công ty nên mở lớp phổ biến kiến thức an toàn bảo mật HTTT cho cán bộ, nhân viên công ty Nêu cao tinh thần cảnh giác hình thức cơng liệu SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp 58 GVHD: TS Nguyễn Thị Thu Thủy TÀI LIỆU THAM KHẢO [1] TS Phạm Thế Quế (3/2009) , Giáo trình mạng máy tính , Học viện bưu viễn thơng [2] Đàm Gia Mạnh(2009), Giáo trình an tồn liệu thương mại điện tử, Nhà xuất Thống Kê [3] Hồ Văn Canh, Nguyễn Viết Thế (2010), Nhập môn phân tích thơng tin có bảo mật, NXB Thơng tin Truyền thơng SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy PHỤ LỤC PHIẾU ĐIỀU TRA TÌNH HÌNH ỨNG DỤNG CNTT, HTTT TRONG CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG Lưu ý: Em cam kết giữ bí mật thơng tin riêng cơng ty dùng thông tin cung cấp phiếu điều tra cho mục đích khảo sát tổng hợp trạng CNTT, HTTT công ty TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG 2.Với câu hỏi có sẵn phương án trả lời, xin chọn câu trả lời thích hợp cách đánh dấu X vào ô A Thông tin công ty Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí cơng tác: Số lượng nhân viên: Dưới 30 người Từ 30 – 100 người Từ 100 – 500 người Trên 500 người Vốn điều lệ (VND) …………………………………………………… Loại hình doanh nghiệp : Công ty tư nhân Công ty hợp doanh Công ty trách nhiệm hữu hạn Công ty cổ phần Hợp tác xã Lĩnh vực hoạt động kinh doanh chính: Sản xuất, gia cơng phần mềm Thiết bị tin học Khác (ghi rõ): Thị trường kinh doanh công ty Trong nước Dịch vụ phần mềm Tư vấn CNTT-TT Xuất nhập TMDV Quốc tế B Hạ tầng kỹ thuật công nghệ thông tin (CNTT) Số lượng máy trạm: Số lượng máy chủ: Số lượng máy in:………………… SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy Số lượng thiết bị mạng: …………………………………… 10 .Máy chủ cài đặt hệ điều hành gì? 11 Kết nối internet: Có Khơng 12 Cơng ty sử dụng phần mềm nào? Phần mềm Văn phòng Phần mềm quản lý Phần mềm khác (ghi rõ) 13 Dữ liệu nhân viên lưu trữ nào? Sổ sách Ổ đĩa, file Phần mềm chuyên dụng 14 Khi sử dụng phần mềm, cơng ty bạn có quan tâm đến quyền phần mềm khơng? Có Khơng 15 Dữ liệu công ty Lưu trữ tập trung Lưu trữ phân tán 16 Dữ liệu tổ chức Trong CSDL Tập tin riêng rẽ 17 Ước tính đầu tư cho CNTT vịng năm gần : …………… Trong đó: Đầu tư cho phần cứng chiếm … % Đầu tư cho phần mềm chiếm …… % Đầu tư cho đào tạo CNTT chiếm ………% C Cơ sở nhân lực công nghệ thông tin, HTTT 18 Số lượng cán hoạt động lĩnh vực CNTT: - Phần cứng:………………người - Phần mềm: + Dịch vụ:……………….người +Phát triển phần mềm:……………… người 19 Số lượng cán có đại học, Đại học CNTT: Dưới 20% 20%-50% 50%-80% Trến 80% 20 Tỷ lệ nhân viên thành thạo kỹ tin học Dưới 20% Từ 20% - 50% Từ 50% - 80% Trên 80% 21 Tỷ lệ nhân viên tham gia vào công việc quản trị HTTT (quản trị mạng, liệu…) Dưới 20% Từ 20% - 50% Từ 50% - 80% Trên 80% SVTH: Nguyễn Thị Chương MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy 22 Tỷ lệ nhân viên sử dụng phần mềm: + Sử dụng thành thạo phần mềm:…………… + Sử dụng khá:………………………………… + Sử dụng trung bình:………………………… + Sử dụng yếu, kém:…………………………… D An tồn bảo mật HTTT cơng ty 23 Theo anh/chị hệ thống thơng tin doanh nghiệp an tồn nào? Rất an toàn Kém an toàn An toàn 24 Hệ thống thông tin doanh nghiệp đầu tư trang thiết bị nào? Thường xuyên đầu tư Kém đầu tư Thỉnh thoảng đầu tư Khơng đầu tư 25 Cơng ty có u cầu phần mềm nhân viên có quyền khơng? Có Khơng 26 Tỷ lệ phần mềm có quyền: 27 Tỷ lệ phần mềm khơng có quyền: 28 Anh/chị có quan tâm vấn đề quyền phần mềm cho máy tính cá nhân ? Có SVTH: Nguyễn Thị Chương Khơng MSV: 13D190216 Khóa luận tốt nghiệp GVHD: TS Nguyễn Thị Thu Thủy 29 Biện pháp bảo vệ liệu công ty Sử dụng ổ cứng Sao lưu liên tục Lưu trữ qua google driver Biện pháp khác 30 Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần cứng hệ thống thơng tin doanh nghiệp hay khơng? Có Khơng 31 Các giải pháp mà doanh nghiệp đưa để đảm bảo an tồn thơng tin cho hệ thống nào? Rất tốt Khá tốt Tốt Không tốt Câu hỏi tùy chọn: Anh/chị có giải pháp hay kiến nghị với doanh nghiệp để đảm bảo an toàn hệ thống thông tin doanh nghiệp? Anh/chị có đề xuất hay kiến nghị với quan liên quan (nhà nước) để đảm bảo an tồn thơng tin doanh nghiệp? Chân thành cảm ơn anh(chị) nhiệt tình giúp đỡ! Người lập phiếu: Nguyễn Thị Chương SVTH: Nguyễn Thị Chương MSV: 13D190216 ... việc an toàn bảo mật HTTT 26 2.2.3 Đánh giá An toàn bảo mật HTTT công ty .27 CHƯƠNG 3: CÁC ĐỀ XUẤT VỀ AN TOÀN BẢO MẬT HTTT CHO CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG... BẢO MẬT HTTT CỦA CƠNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG 2.1 Giới thiệu chung công ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương 2.1.1 Giới thiệu chung công ty Tên... VỀ AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG .19 2.1 Giới thiệu chung công ty TNHH xuất nhập thương mại dịch vụ Tân Đại Dương