Một số giải pháp đảm bảo an toàn bảo mật thông tin,nâng cao tính bảo mật, an toàn thông tin dữ liệu của tổng CTCP bưu chính viettel ninh bình – chi nhánh viettel ninh bình

Ý nghĩa nghiên cứu của đề tài là đưa ra những lý luận cơ bản được đúc kết lại từ nhiều tài liệu khác nhau, đưa ra một cách nhìn tổng quan về thực trạng an toàn bảomật của các doanh nghiệp hiện nay. Đồng thời định hướng một số giải pháp nhằm khắc phục những lỗ hổng an toàn bảo mật cho doanh nghiệp, đưa ra xu hướng an toàn bảo mật cho năm tiếp theo và những giải pháp mới nhất đang được các doanh nghiệp lớn thực hiện. Ý nghĩa thực tế đối với công ty là mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơn trong vấn đề đảm bảo an toàn và bảo mật thông tin. Đề tài sẽ tập trung nghiên cứu cơ sở lý luận về lý thuyết an toàn, bảo mật thông tin,những yếu tố ảnh hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo an toàn, bảo mật thông tin để có thể đánh giá được chính xác nhất về thực trạng cũng như hiệu quả của các giải pháp đảm bảo an toàn, bảo mật thông tin của công ty. Từ đó khóa luận đưa ra những biện pháp phù hợp nhằm khắc phục thực trạng của vấn đề tại Tổng công ty cổ phần bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài : “Một số giải pháp đảm bảo an toàn bảo mật thông tin,nâng cao tính bảo mật, an toàn thông tin dữ liệu của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình ’’

VIETTEL NINH BÌNH

Giáo viên hướng dẫn:Sinh viên thực hiện:Mã sinh viên:Lớp::

HÀ NỘI - 2020

LỜI CẢM ƠN

Khóa luận là một sản phẩm nghiên cứu, đúc kết kiến thức của một quá trình họctập, nghiên cứu lâu dài trong trường đại học Để có thể hoàn thành bài khóa luận này,bên cạnh sự cố gắng nỗ lực của bản thân, em đã nhận được nhiều sự chỉ dẫn, giúp đỡnhiệt tình từ phía khoa Hệ thống thông tin kinh tế và Thương mại điện tử, trường Đạihọc Thương Mại cũng như từ phía Tổng CTCP Bưu chính Viettel Ninh Bình – chinhánh Viettel Ninh Bình

Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy ThS Cù Nguyên Giáp –

Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóaluận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác

Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như cácanh/chị làm việc tại Tổng CTCP bưu chính Viettel Ninh Bình – chi nhánh Viettel NinhBình vì sự quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tàiliệu

Mặc dù em đã cố gắng hoàn thành bài khóa luận tốt nghiệp trong phạm vi vàkhả năng bản thân nhưng chắc chắn sẽ không tránh khỏi những thiếu sót Kính mongnhận được sự chỉ bảo và giúp đỡ của quý thầy cô để bài làm hoàn thiện hơn

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Trần Thị Thu Hà

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC TỪ VIẾT TẮT vii

DANH MỤC BẢNG BIỂU viii

DANH MỤC SƠ ĐỒ, HÌNH VẼ ix

PHẦN MỞ ĐẦU 1

1 TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ AN TOÀN BẢO MẬT CHO HTTT DOANH NGHIỆP 1

2 MỤC TIÊU ĐỀ TÀI 2

3 ĐỐI TƯỢNG VÀ PHẠM VI CỦA ĐỀ TÀI 2

4 PHƯƠNG PHÁP NGHIÊN CỨU, THỰC HIỆN ĐỀ TÀI 3

5 KẾT CẤU CỦA KHÓA LUẬN 4

CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI TỔNG CTCP BƯU CHÍNH VIETTEL NINH BÌNH 5

1.1 MỘT SỐ KHÁI NIỆM CƠ BẢN: 5

1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong doanh nghiệp:: 5

1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý 6

1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT trongdoanh nghiệp: 7

1.1.4 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp: 8

1.2 TỔNG QUAN VỀ AN TOÀN BẢO MẬT DỮ LIỆU,THÔNG TIN 9

1.2.1 Một số nguy cơ mất an toàn bảo mật dữ liệu, thông tin trong HTTT 9

1.2.2 Một số p:hương thức bảo đảm an toàn bảo mật thông tin: 16

1.3 TỔNG QUAN VỀ TÌNH HÌNH NGHIÊN CỨU AN TOÀN BẢO MẬT HTTT 17

1.3.1 Tổng quan tình hình nghiên cứu ở Việt Nam 17

1.3.2 Tổng quan tình hình nghiên cứu trên thế giới 18

CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH VÀ ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI CÔNG TY TNHH MTV TMĐT BƯU CHÍNH VIETTEL 20

2.1 TỔNG QUAN VỀ CÔNG TY 20

2.1.1 Giới thiệu chung về công ty 20

2.1.2 Chức năng và nhiệm vụ của công ty 20

2.1.3 Tình hình hoạt động kinh doanh của công ty trong 3 năm gần đây (2017-2019) 23

2.2 THỰC TRẠNG AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI TỔNG CTCP BƯU CHÍNH VIETTEL – CHI NHÁNH VIETTEL NINH BÌNH 24

2.2.1 Trang thiết bị p:hần cứng 24

2.2.2 Các p:hần mềm được sử dụng 25

2.2.3 Về con người 25

2.2.4 Sơ đồ hệ thống mạng 26

2.3 ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI TỔNG CTCP BƯU CHÍNH VIETTEL – CHI NHÁNH VIETTEL NINH BÌNH

27

2.3.1 Thực trạng qua quá trình thu thập: tài liệu 27

2.3.2 Các nhân tố ảnh hưởng tới an toàn bảo mật HTTT của công ty 30

2.3.3 Kết quả xử lý số liệu thu thập: từ p:hiếu điều tra và câu hỏi p:hỏng vấn 31

CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ 35

GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT CHO HTTT QUẢN LÝ TẠI TỔNG CÔNG TY CỔ PHẦN BƯU CHÍNH VIETTEL – CHI NHÁNH VIETTEL NINH BÌNH 35

3.1 Định hướng p:hát triển an toàn bảo mật cho HTTT quản lý của công ty 35

3.1.1 Biện p:háp: p:hòng chống 36

3.1.2 Biện p:háp: khắc p:hục 37

3.1.3 Xu hướng p:hát triển 37

3.2 Đề xuất một số giải p:háp: nâng cao an toàn và bảo mật thông tin cho HTTT quản lý của Tổng CTCP Bưu Chính Viettel – Chi nhánh Viettel Ninh Bình 37

3.2.1 Đề xuất biện p:háp: p:hòng chống tổn thất về an toàn bảo mật cho HTTT quản lý 37

3.2.2 Xu hướng nâng cao vấn đề an toàn bảo mật 50

3.3 Một số kiến nghị 52

3.3.1 Kiến nghị về điều kiện thực hiện đề tài 52

3.3.2 Kiến nghị với Tổng CTCP Bưu Chính Viettel – Chi nhánh Viettel Ninh

Bình 52

3.3.3 Kiến nghị với cấp: quản lý của công ty 54

3.4 Kết luận chương 3 54

KẾT LUẬN 55

TÀI LIỆU THAM KHẢO 56

DANH MỤC TỪ VIẾT TẮT

DoS Denial of Service Tấn công từ chối dịch vụTCP Transmission Control Protocol Giao thức kiểm soát truyền vận

SSL Secure Sockets Layer Giao thức an ninh thông tin

mạng

DANH MỤC BẢNG BIỂU

Bảng 2.1 Kết quả hoạt động kinh doanh giai đoạn từ 2017-2019 23

Bảng 2.2 Số lượng thiết bị CNTT tại Tổng CTCP Bưu chính Viettel 24

Bảng 2.3 Thống kê số p:hần mềm hiện tại của công ty 28

Bảng 2.4 Mức độ an toàn của mạng nội bộ 33

Bảng 3.1 Bảng so sánh kỹ thuật giữa server cũ và server đề xuất 38

Bảng 3.10 Mô tả p:hần mềm Kế toán Doanh nghiệp: vừa và nhỏ MISA SME.NET 2015 46

Biểu đồ 2.1: Đánh giá mức độ quan trọng của việc ứng dụng công nghệ thông tin, hệ thống thông tin của cán bộ nhân viên 26

Biểu đồ 2.2: Đánh giá tốc độ truy cập: và xử lý dữ liệu của máy chủ 31

Biểu đồ 2.3: Đánh giá chung chất lượng p:hần cứng 31

Biểu đồ2.4: Mức độ an toàn bảo mật của p:hần mềm hiện tại 32

Biểu đồ 2.5:Các nguy cơ tấn công mà tổ chức gặp: p:hải là gì? 33

DANH MỤC SƠ ĐỒ, HÌNH VẼ

Sơ đồ 2.1 : Cơ cấu tổ chức công ty 21

Hình 1.1 : Mối quan hệ giữa các yếu tố an toàn bảo mật của một HTTT quản lý 7

Hình 1.2 Tấn công từ chối dịch vụ p:hân tán 11

Hình 1.3 Tấn công xen giữa 12

Hình 1.4 Tấn công p:hát lại 13

Hình 1.5 Thủ tục bắt tay 3 chiều của TCP/IP 14

Hình 1.6 Tấn công TCP SYN/ACK flooding 14

Hình 1.7 Tấn công dựa vào số thứ tự TCP 15

Hình 3.1 Lợi ích của tường lửa p:fSense 41

Hình 3.2 Mô tả tính năng cập: nhập: theo thời gian biểu của p:fSense 42

Hình 3.3 Giải p:háp: cho p:hép: truy cập: máy chủ nội bộ từ internet hỗ trợ NAT(PAT) 43

Hình 3.4 Cho p:hép: truy cập: máy chủ nội bộ từ internet hỗ trợ reverve p:roxy 43

Hình 3.5 Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN 43

Hình 3.6 Minh họa mạng riêng ảo cho công ty trong tương lai 45

Hình 3.10 Mô p:hỏng giao thức đường truyền SSL 47

Hình 3.11 Sao lưu dữ liệu bằng đường truyền cao tốc 50

Hình 3.12 Quy trình an toàn và bảo mật 53

Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem

là sự sống còn đối với các doanh nghiệp Thế nhưng rất nhiều doanh nghiệp vẫn chưanhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thểxảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình

Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng củathông tin Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người đượccấp quyền tương ứng Theo một cuộc khảo sát về vấn đề bảo mật thông tin của tổ chứcnghiên cứu thị trường, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảomật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin

là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật Trongkhi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tinthì lại chưa có sự đầu tư cân xứng cho bảo mật thông tin Rất nhiều câu hỏi thể hiện sựbăn khoăn của các doanh nghiệp trước ngưỡng cửa "tin học hoá quản lý doanh nghiệp"

mà cụ thể là làm thế nào để bảo mật thông tin trong doanh nghiệp và cần phải lựa chọngiải pháp như thế nào cho phù hợp với điều kiện của doanh nghiệp Việc thông tin bị

rò rỉ sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh nghiệp đối với khách hàng

và các đối tác Điều đó cho thấy, việc bảo mật thông tin quan trọng và cần thiết cũngnhư ngày càng khó khăn trước những đòi hỏi gắt gao của môi trường kinh doanh yêucầu doanh nghiệp phải năng động chia sẻ thông tin của mình qua hệ thống mạngInternet

Vấn đề đặt ra là để bảo vệ thông tin khỏi những mối nguy hiểm trên, doanhnghiệp lựa chọn các biện pháp bảo vệ nào để bảo vệ thông tin của mình trước nhiềucách thức bảo mật thông tin như hiện nay

1.2 Ý nghĩa của vấn đề an toàn bảo mật HTTT doanh nghiệp:

Ý nghĩa nghiên cứu của đề tài là đưa ra những lý luận cơ bản được đúc kết lại

từ nhiều tài liệu khác nhau, đưa ra một cách nhìn tổng quan về thực trạng an toànbảomật của các doanh nghiệp hiện nay Đồng thời định hướng một số giải pháp nhằm

khắc phục những lỗ hổng an toàn bảo mật cho doanh nghiệp, đưa ra xu hướng an toànbảo mật cho năm tiếp theo và những giải pháp mới nhất đang được các doanh nghiệplớn thực hiện.

Ý nghĩa thực tế đối với công ty là mong muốn giúp doanh nghiệp đạt được hiệuquả cao hơn trong vấn đề đảm bảo an toàn và bảo mật thông tin Đề tài sẽ tập trungnghiên cứu cơ sở lý luận về lý thuyết an toàn, bảo mật thông tin,những yếu tố ảnhhưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo an toàn, bảo mật thôngtin để có thể đánh giá được chính xác nhất về thực trạng cũng như hiệu quả của cácgiải pháp đảm bảo an toàn, bảo mật thông tin của công ty Từ đó khóa luận đưa ranhững biện pháp phù hợp nhằm khắc phục thực trạng của vấn đề tại Tổng công ty cổphần bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình

Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiếnthức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài :

“Một số giải pháp đảm bảo an toàn bảo mật thông tin,nâng cao tính bảo mật,

an toàn thông tin dữ liệu của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình ’’

2 MỤC TIÊU ĐỀ TÀI.

Mục tiêu nghiên cứu chính của đề tài là đưa ra giải pháp đảm bảo an toàn bảomật cho HTTT của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánhViettel Ninh Bình

Các mục tiêu cụ thể cần giải quyết trong đề tài:

- Hệ thống hóa một số cơ sở lý thuyết về an toàn, bảo mật HTTT trong doanhnghiệp

- Phân tích đánh giá thực trạng hoạt động đảm bảo an toàn, bảo mật HTTT tạiTổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình

- Đề ra những giải pháp khả thi nhằm đảm bảo tính an toàn, bảo mật TổngCTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình

3 ĐỐI TƯỢNG VÀ PHẠM VI CỦA ĐỀ TÀI.

- Đối tượng của đề tài là vấn đề an toàn bảo mật HTTT tại Tổng CTCP Bưuchính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình

- Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTTcủa doanh nghiệp

- Các chính sách phát triển đảm bảo an toàn bảo mật thông tin trong công ty.

Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đềtài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảngthời gian ngắn hạn Cụ thể:

 Phạm vi thời gian : Đề tài sẽ phân tích các hoạt động an toàn và bảo mậtHTTT của doanh nghiệp qua các báo cáo kinh doanh, tài liệu liên quan trong vòng 3năm gần đây nhất (2017, 2018, 2019) và định hướng phát triển những năm tiếp theo

 Phạm vi không gian : Nghiên cứu thực trạng hoạt động an toàn bảo mậtHTTT của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình

 Phạm vi nội dung : Nội dung xoay quanh hoạt động an toàn, bảo mật HTTTtrong công ty để xác định ưu nhược điểm của các hoạt động đó Đồng thời phân tíchthực trạng triển khai, thuận lợi, khó khăn, đánh giá hiệu quả và có những đề xuất cụthể nhằm nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty

4 PHƯƠNG PHÁP NGHIÊN CỨU, THỰC HIỆN ĐỀ TÀI.

4.1 Các p:hương p:háp: thu thập: thông tin

a Phương pháp thu thập dữ liệu thứ cấp

Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lí trước đây vì cácmục tiêu khác nhau của công ty

- Nguồn tài liệu bên trong : Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2017, 2018, 2019 được thu thập từ các phòng ban củacông ty, từ phiếu điều tra và các tài liệu thống kê khác

- Nguồn tài liệu bên ngoài : Từ các công trình nghiên cứu khoa học, tạp chí,sách báo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet

Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ

bộ các tài liệu đó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sungvào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu

b Phương pháp thu thập dữ liệu sơ cấp

Phương pháp sử dụng phiếu điều tra:

+ Nội dung: Bảng câu hỏi gồm 10 câu hỏi, các câu hỏi đều xoay quanh các hoạtđộng đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đốivới Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình

+ Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công

ty để thu thập ý kiến

+ Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT củacông ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn đểnâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty

4.2 Phương p:háp: xử lý dữ liệu

Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu

sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mụcđích nghiên cứu của đề tài Phương pháp nghiên cứu được sử dụng là:

Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ

đó đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan

5 KẾT CẤU CỦA KHÓA LUẬN.

Chương 1: Cơ sở lý luận về an toàn bảo mật HTTT quản lý tại Tổng CTCP Bưuchính Viettel Ninh Bình

Chương 2: Kết quả phân tích và đánh giá thực trạng về an toàn bảo mật HTTTquản lý tại Tổng CTCP Bưu chính Viettel Ninh Bình

Chương 3: Định hướng phát triển và đề xuất một số giải pháp đảm bảo an toànbảo mật cho HTTT quản lý tại Tổng CTCP Bưu chính Viettel Ninh Bình

CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ

TẠI TỔNG CTCP BƯU CHÍNH VIETTEL NINH BÌNH

1.1 MỘT SỐ KHÁI NIỆM CƠ BẢN:

1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong doanh nghiệp:

1 Dữ liệu: là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung

chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý

dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang

biểu hiện.( Theo Bài giảng Hệ thống thông tin quản lý, Bộ môn Công nghệ thông tin

(2010), Trường Đại học Thương mại Hà Nội)

2 Thông tin: là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận

được qua khảo sát, đo lường, trao đổi, nghiên cứu.( Theo Bài giảng Hệ thống thông tin

quản lý, Bộ môn Công nghệ thông tin (2010), Trường Đại học Thương mại Hà Nội)

Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối vớingười sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quátrình xử lý dữ liệu

Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và

các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ

chức (Theo Bài giảng Hệ thống thông tin quản lý, Bộ môn Công nghệ thông tin

(2010), Trường Đại học Thương mại Hà Nội)

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội

bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnhtranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về kháchhàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển

Hệ thống thông tin quản lý (MIS)

Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hànhquản lý cùng với những thông tin được cung cấp thường xuyên Ngày nay, do côngnghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói đến

hệ thống thông tin quản lý được trợ giúp của máy tính Theo quan điểm của các nhàcông nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp việc

thu thập, xử lý và truyền thông tin MIS là tập hợp các phương tiện, các phương pháp

và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ,tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý

1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý

3 An toàn thông tin: Là an toàn khi thông tin đó không bị làm hỏng hóc, không

bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép (Theo Giáo

trình An toàn dữ liệu, Bộ môn Công nghệ thông tin(2007), Trường Đại học Thương

Mại)

4 Bảo mật thông tin:Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của

thông tin (Theo Giáo trình An toàn dữ liệu, Bộ môn Công nghệ thông tin(2007),

Trường Đại học Thương Mại)

 Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp

quyền mới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mậtthông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàngđầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làmcho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thểdẫn đến phá sản

 Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,

chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉcác cá nhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công khôngchỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị

sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty

 Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn

sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhậpđược vào hệ thống Có thể nói rằng đây là yêu cầu quan trọng nhất, vì thông tin chỉhữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảonhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị

Hình 1.1 : Mối quan hệ giữa các yếu tố an toàn bảo mật của một HTTT quản lý

Một HTTT nói chung và một HTTT quản lý nói riêng được coi là bảo mật khitính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong mộtthời gian xác định

1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT trongdoanh nghiệp

Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môitrường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo ATBMHTTT trong doanh nghiệp là: Yếu tố con người và yếu tố công nghệ

Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ

thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành

Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, nănglực sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt động độc lậphoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của

hệ thống

Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệtrong các tổ chức Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lậpnên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vậnhành của mạng lưới thông tin quản lý

Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việcnghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúpxác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời

Tính toàn vẹn

Tính sẵn sàng

Tính bảo mật

vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làmviệc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể pháttriển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khảnăng tin học của tổ chức đó có thể hỗ trợ cho việc quản lý dự án một cách hiệu quảnhư thế nào.

Những người quản lý HTTT máy tính phân công công việc cho những ngườiphân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác

có liên quan Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt vànâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triểnmạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ Họ đặcbiệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT

Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ côngnghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị

Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động

sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.CNTT là yếu tố quyết định đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảmbảo an toàn và bảo mật HTTT

CNTT đang có khuynh hướng mở rộng không gian cho hoạt động sản xuất kinhdoanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới vàcác thách thức mới cho doanh nghiệp CNTT cũng là nhân tố quan trọng phổ biếnnhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhậpvào nền kinh tế toàn cầu

Công nghệ được chia làm hai loại: Phần cứng và phần mềm

 Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bịthu thập, xử lý và lưu trữ thông tin…

 Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòngchống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…

1.1.4 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá

Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động không

nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uytín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tinlành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.

Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệthại đến hoạt động kinh doanh sản xuất của doanh nghiệp

Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là mộthoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp

1.2 TỔNG QUAN VỀ AN TOÀN BẢO MẬT DỮ LIỆU,THÔNG TIN

1.2.1 Một số nguy cơ mất an toàn bảo mật dữ liệu, thông tin trong HTTT

1.2.1.1Nguy cơ mất ATTT

Có thể chia nguy cơ mất ATTT thành 2 loại:

Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ cáchiện tượng khách quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mấtđiện…Đây là những nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đólại không phải là nguy cơ chính của việc mất ATTT

Nguy cơ có chủ định: Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp cóchủ đích

Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTTcũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng tađang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm

2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mậtnước ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyêngia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấncông cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện

tử liên tục xảy ra Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tếnhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nềnkinh tế

Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp Trên thực

tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từchính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ,HTTT, ); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quy

trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo đứcnghề nghiệp).

1.2.1.2 Các phương thức tấn công và phòng vệ hệ thống thông tin

Tấn công từ chối dịch vụ DoS.

Dạng tấn công này không xâm nhập vào hệ thống để lấy cắp hay thay đổi thôngtin mà chỉ nhằm vào mục đích ngăn chặn hoạt động bình thường của hệ thống, đặc biệtđối với các hệ thống phục vụ trên mạng công cộng như web server, Mail server…

Các tấn công từ chối dịch vụ thường rất dễ nhận ra do tác động cụ thể của nóđối với hệ thống Mục tiêu tấn công của từ chối dịch vụ có thể là một máy chủ hoặcmột mạng con

Cơ sở của tấn công từ chối dịch vụ là các sơ hở về bảo mật trong cấu hình hệthống, sơ hở trong giao thức kết nối mạng và các lỗ hổng bảo mật của phần mềm, hoặcđơn giản là sự hạn chế của tài nguyên như băng thông kết nối, năng lực của máy chủ.Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Internet, nhưng cũng

có thể xuất phát từ trong nội bộ hệ thống dưới dạng tác động của các phần mềm nhưworm hoặc trojan

Hai kỹ thuận thường dùng để gây ra các tấn công từ chối dịch vụ truyền thôngtương ứng với hai mục tiêu tấn công là Ping of Death và buffer-overflow:

- Ping of Death tấn công vào kết nối mạng bằng cách gửi liên tục và với sốlượng lớn các gói dữ liệu ICMP đến một mạng con nào đó, chiếm toàn bộ băng thông

kế nối và do đó gây ra tắc nghẽn mạng

- Buffer-overflow tấn công vào các máy chủ bằng cách nạp dự liệu vượt quágiới hạn của bộ đệm trên máy chủ, gây ra lỗi hệ thống Các tấn công từ chối dịch vụnổi tiếng trong lịch sử bảo mật máy tính như Code Red, Slapper, Slammer… Là cáctấn công sử dụng kỹ thuật buffer- overflow

Tấn công từ chối dịch vụ thường không gây tiết lộ thông tin hay mất mát dữliệu mà chỉ nhằm vào tính khả dụng của hệ thống Tuy nhiên, do tính phổ biến của từchối dịch vụ và đặc biệt là hiện nay chưa có một giải pháp hữu hiệu cho việc ngănchặn các tấn công loại này nên từ chối dịch vụ được xem là một nguy cơ rất lớn đốivới sự an toàn của HTTT

Tấn công từ chối dịch vụ p:hân tán.

Là phương thức tấn công dựa trên nguyên tắc từ chối dịch vụ nhưng có mức độnguy hiểm cao hơn do huy động cùng lúc nhiều máy tính cùng tấn công vào một hệthống duy nhất

Tấn công từ chối dịch vụ phân tán được thực hiện qua 2 giai đoạn :

Giai đoạn 1: Kẻ tấn công huy động nhiều máy tính trên mạng tham gia từ chốidịch vụ phân tán bằng các cài đặt các phần mềm điều khiển từ xa trên các máy tínhnày

Các máy tính đã được cái đặt phần mềm điều khiển này được gọi là Zoombie

Để thực hiện bước này, kẻ tấn công dò tìm trên mạng những máy có nhiều sơ hở để tấncông và cài đặt các phần mềm điều khiển xa lên đó mà người quản lý không hay biết.Những phần mềm này được gọi chung là backdoor

Giai đoạn 2: Kẻ tấn công điều khiển zombie đồng loạt thực hiện tấn công vàomục tiêu

Các thành phần tham gia trong chuỗi dịch vụ phân tán bao gồm:

- Client: phần mềm điều khiển từ xa được kẻ tấn công sử dụng để điều khiểncác máy khác tham gia tấn công Máy tính chạy phần mềm này được gọi là master

- Deamon: phần mềm chạy trên các zombie, thực hiện yêu cầu của master và lànơi trực tiếp thực hiện tấn công từ chối dịch vụ đến máy nạn nhân

Hình 1.2 Tấn công từ chối dịch vụ phân tán

Tấn công giả danh.

Đây là dạng tấn công bằng cách giả danh một đối tượng khác để thực hiện mộthành vi

Ví dụ 1: Một người có thể giả danh địa chỉ e-mail của một người khác để gửi thưđến một người thứ ba, đây là trường hợp đối tượng bị giả danh là một người sử dụng

Tấn công giả danh như đề cập ở trên là hình thức điển hình nhất của spoofingattack, tồn tại song song với những khiếm khuyết về kỹ thuật của bộ giao thức TCP/IP.Ngày nay, tấn công giả danh đã phát triển thêm môt hướng mới dựa trên sự phổ biếncủa mạng Internet, đó là Phishing Phishing hoạt động bằng cách giả danh các địa chỉe-mail hoặc địa chỉ trang web để đánh lừa người sử dụng

Tấn công xen giữa:

Đây là phương thức tấn công bằng cách xen vào giữa một thủ tục đang diễn ra,thường xảy ra trên mạng IP, nhưng cũng có thể xảy ra trong nội bộ một máy tính

Trên mạng, kẻ tấn công bằng một cách nào đó xen vào một kết nối, đặc biệt ởgiai đoạn thiết lập kết nối giữa người dùng với máy chủ, và thông qua đó nhận đượcnhững thông tin quan trọng của người dùng Tấn công xen giữa đặc biệt phổ biến trênmạng không dây do đặc tính dễ xâm nhập của môi trường không dây Do vậy, việc ápdụng kỹ thuật mã hóa là điều rất quan trọng để đảm bảo an toàn cho mạng không dây

Còn trên một máy tính, tấn công dạng này có thể được thực hiện dưới dạng mộtchương trình thu thập thông tin ẩn, chương trình này sẽ âm thầm chặn bắt tất cả nhữngthông tin mà người dùng nhập vào từ bàn phím, trong đó có thể sẽ có nhưng thông tinquan trọng

Hình 1.3 Tấn công xen giữa

Tấn công p:hát lại.

Trong phương thức tấn công này, các gói dữ liệu thông trên mạng được chặnbắt và sau đó phát lại Trong môi trường mạng, thông tin xác thực giữa người dùng vàmáy chủ chấp nhận thông tin này thì máy tấn công có khả năng truy xuất vào máy chủvới quyền của người dùng trước đó

Tấn công mật khẩu.

Là hình thức truy xuất trái phép vào hệ thống bằng cách dò mật khẩu Có hai kỹthuật dò mật khẩu phổ biến:

Dò tuần tự: Dò mật khẩu bằng cách thứ lần lượt các tổ hợp ký tự, thông thường

việc này được thực hiện tự động bằng phần mềm Mật khẩu càng dài thì số lần thử cáclớn và do đó khó bị phát hiện hơn Một số hệ thống quy định chiều dài tối thiểu củamật khẩu Ngoài ra để ngăn chặn việc thử mật khẩu nhiều lần, một số hệ thống ngắtnối nếu liên tiếp nhận được mật khẩu sai sau một số lần nào đó

Dò theo từ điển: thử lần lượt các mật khẩu người sử dụng thường dùng Để cho

đơn giản, người dùng thường có thói quen nguy hiểm là dùng những thông tin dễ nhớlàm mật khẩu, ví dụ như tên mình, ngày sinh, số điện thoại Một số hệ thống hạn chếnguy cơ này bằng cách định ra các chính sách về mật khẩu, quy định độ khó tối thiểucủa mật khẩu, ví dụ mật khẩu phải khác những thông tin liên quan đến cá nhân người sửdụng, phải bao gồm các chữ in hoa và chữ thường, chữ cái và các mẫu tự khác chữ cái

Làm tràn kết nối TCP

Đây là tấn công khai thác thủ tục bắt tay ba chiều của TCP Mục đích của tấncông là gây ra quá tải kết nối trên máy chủ và dẫn tới từ chối dịch vụ(DoS)

Hình 1.5 Thủ tục bắt tay 3 chiều của TCP/IP

Nhận được thông điệp ACK trả lời từ phía client thì server phải chờ cho đến khihết thời hiệu rồi mới giải tỏa kết nối này Với sơ hở này, nếu một kẻ tấn công cố tìnhtạo ra các bản ACK liên tiếp gửi đến server nhưng không hồi đáp, thì đến một thờiđiểm nào đó, tất cả các kết nối có thể có của server đều dành hết cho việc chờ đợi này

và do không có khả năng phục vụ cho các kết nối khác nhau

Hình 1.6 Tấn công TCP SYN/ACK flooding

Tấn công dựa vào số thứ tự của TCP.

Trong quá trình truyền dữ liệu giữa các máy sử dụng giao thức TCP, số thứ tự

là một thông tin quan trọng giúp xác định thứ tự các gói dữ liệu và xác định các gói đãđược nhận thành công Số thứ tự được đánh theo từng byte dữ liệu và được duy trì mộtcách đồng bộ giữa bên gửi và bên nhận Nếu một máy thứ ba, bằng cách nào đó, chặnbắt được các gói dữ liệu đang được trao đổi và đoán được số thứ tự của quá trìnhtruyển nhận dữ liệu, nó sẽ có khả năng xen vào kết nối, làm ngắt kết nối của một đầu

và nhảy vào thay thế

Hình 1.7 Tấn công dựa vào số thứ tự TCP

Chiếm kết nối TCP.

Giống như phương thức tấn công ở trên, nhưng sau khi đoán được số thứ tự,máy tấn công sẽ cố gắng chiếm lấy một đầu của kết nối hiện hữu mà đầu kia khônghay biết để tiếp tục truyền nhận dữ liệu, khi đó thông tin trao đổi giữa hai máy ban đầu

bị chuyển sang một máy thứ ba

Tấn công dùng giao thức ICMP.

ICMP là một giao thức điều khiển dùng trong mạng IP Giao thức này thườngđược sử dụng để thực hiện các thủ tục điều khiển trên mạng IP như kiểm tra các kếtnối Hai phương thức tấn công phổ biến dựa trên ICMP bao gồm :

- Smurf attack: nguyên lý hoạt động của ICMP là hồi đáp lại khi nhân được yêucầu từ máy khác, do chức năng của ICMP là để kiểm tra các kết nối IP Dựa vàonguyên lý này, một kẻ tấn công có thể giả danh một địa chỉ IP nào đó và gửi một yêucầu đến tất cả các máy trong nội bộ Ngay lập tức, tất cả các máy đều đồng loạt trả lờicho máy có địa chỉ IP bị giả danh, dẫn đến máy này bị tắc nghẽn không có khả nănghoạt động như bình thường Mục tiêu của tấn công smurf là làm tê liệt một máy nào

đó bằng các gói ICMP

-ICMP tunneling: do gói dữ liệu ICMP thường được chấp nhận bởi nhiều máytrên mạng, nên kẻ tấn công có thể lợi dụng điều này để chuyển các thông tin khônghợp lệ thông qua các gói dữ liệu ICMP Để ngăn chặn các tấn công này, cách tốt nhất

là từ chối tất cả các gói dữ liệu ICMP

Tấn công khai thác p:hần mềm:

Đây là tên gọi chung của tất cả các hình thức tấn công nhằm vào chương trìnhứng dụng hoặc một dịch vụ nào đó ở lớp ứng dụng Bằng cách khai thác các sơ hở vàcác lỗi kỹ thuật trên các phần mềm và dịch vụ này, kẻ tấn công có thể xâm nhập hệthống hoặc làm gián đoạn hoạt động bình thường của hệ thống

Tấn công tràn bộ nhớ đệm: là phương thức tấn công vào các lỗi lập trình của sốphần mềm Lỗi này có thể do lập trình viên, do bản chất của ngôn ngữ hoặc do trìnhbiên dịch Ngôn ngữ C là ngôn ngữ có nhiều khả năng gây ra các lỗi tràn bộ đệm nhất,các chương trình hệ thống, đặc biệt trong môi trường Unix và Linux.

Ngoài tấn công tràn bộ đệm, các phương thức tấn công khác nhằm vào việc khaithác các sơ hở của phần mềm và dịch vụ bao gồm: khai thác cơ sở dữ liệu, khai thác ứngdụng, ví dụ như các loại macro virus, khai thác các phần mềm gửi thư điện tử

Các kỹ thuật đánh lừa:

Đây là phương thức tấn công không sử dụng kỹ thuật hay máy tính để xâmnhập hệ thống bằng kỹ xảo gian lận để tìm kiếm các thông tin quan trọng, rồi thôngqua đó mà xâm nhập hệ thống

Ví dụ, một kẻ tấn công giả danh là một nhân viên hỗ trợ kỹ thuật gọi điện thoạiđến một người trong hệ thống để trao đổi công việc, thông qua cuộc trao đổi này đểkhai thác các thông tin cần thiết để thực hiện hành vi xâm nhập hệ thống Rõ ràng cácphương thức này không sử dụng các phương thức kỹ thuật để tấn công, nên gọi là

“social engineering” Đây cũng là một trong những loại tấn công phổ biến, và đốitượng mà nó nhắm đến là vấn đề con người trong hệ thống

1.2.2 Một số phương thức bảo đảm an toàn bảo mật thông tin:

An toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệukhông quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác Antoàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn của hệthống máy tính mà không quan tâm đến thông tin được lưu trữ, xử lý bởi chúng Đảmbảo thông tin tập trung vào lý do đảm bảo rằng thông tin được bảo vệ và vì thế nó là lý

do để thực hiện an toàn thông tin

Một số phương thức đảm bảo ATTT

Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc

nào đó thành dạng mới mà kẻ tấn công không nhận biết được

Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng

client hay server…

Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành

phần đã đăng nhập thành công vào hệ thống Quyền hạn này là các quyền sử dụng dịch

vụ, truy cập dữ liệu…

Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập

đến dữ liệu nào và bằng cách nào

1.3 TỔNG QUAN VỀ TÌNH HÌNH NGHIÊN CỨU AN TOÀN BẢO MẬT HTTT

1.3.1 Tổng quan tình hình nghiên cứu ở Việt Nam

Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin trongnước cũng có những chuyển biến, nhiều công trình nghiên cứu, sách và tài liệu khoahọc về an toàn và bảo mật thông tin ra đời như:

Đàm Gia Mạnh (2009),Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trongTMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng nhưnhững nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong TMĐT

Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữliệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đến một sốphương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện phápkhắc phục hậu quả thông dụng, phổ biến hiện nay

Bài luận văn thạc sĩ “Nghiên cứu vấn đề bảo mật thông tin và đề xuất giải pháp bảo mật cho hệ thông thông tin trường cao đẳng kinh tế- kỹ thuật Vĩnh Phúc” của học viên Tô Quang Hiệp đã nghiên cứu về các kiểu firewall cũng như phân tích

những ưu điểm và hạn chế của chúng để có những đề xuất về giải pháp bảo mật phùhợp nhất cho hệ thống thông tin của trường Cao đẳng Kinh tế- Kỹ thuật Vĩnh Phúc.Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại truy cập tráiphép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệthống thông tin khác không mong muốn Nói cách khác Firewall đóng vai trò là mộttrạm gác ở cổng vào của mạng Firewall là một giải pháp rất hiệu quả trong việc bảo

vệ máy tính khi tham gia vào mạng Bài luận văn đã giúp người đọc hiểu chi tiết vềcác kiểu Firewall để có sự lựa chọn phù hợp nhất nhằm giải quyết các vấn đề về anninh mạng Tuy nhiên, bài luận văn chỉ đừng lại ở việc đưa ra lý thuyết chung nhất vềFirewall mà chưa đưa ra hướng xây dựng cụ thể cho giải pháp sử dụng tường lửa đểbảo mật

Cùng nghiên cứu về vấn đề này, Nguyễn Dương Hùng – Khoa Hệ thống

thông tin Quản lý- Học viện Ngân hàng đã thực hiện bài nghiên cứu khoa học

“Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây” Các ngân hàng ngày càng gặp nhiều khó khăn trong

việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì nó đang được tănglên nhanh chóng theo từng ngày Sự ra đời của công nghệ điện toán đám mây (ĐTĐM)cùng với khả năng cung cấp một cơ sở hạ tầng không giới hạn để truy xuất, lưu trữ dữliệu tại các vị trí địa lý khác nhau là một giải pháp tốt cho cơ sở hạ tầng công nghệthông tin (CNTT) để các ngân hàng xử lý các vấn đề khó khăn trên Như một kết quảtất yếu, dữ liệu dư thừa, trùng lặp sẽ xuất hiện và bị sửa đổi bởi những người sử dụngtrái phép Điều này dẫn đến việc mất mát dữ liệu, mất an toàn và bảo mật thông tin, sựriêng tư của khách hàng sẽ trở thành vấn đề chính cho các ngân hàng khi họ ứng dụngcông nghệ ĐTĐM vào công việc kinh doanh của họ Do đó việc ứng công nghệĐTĐM vào các ngân hàng là một xu thế tất yếu trong trong thời đại CNTT phát triểnmạnh mẽ như hiện nay Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉnghiên cứu mang tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra đượcnhững kiến nghị về an ninh bảo mật trong ĐTĐM

Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.

Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo antoàn thông tin trong TMĐT như: mã hóa, chữ ký số…

Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo antoàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về an toànthông tin nói chung và đi sâu vào một doanh nghiệp cụ thể

1.3.2 Tổng quan tình hình nghiên cứu trên thế giới

Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm

và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thôngtin nói chung Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thứctinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của cácdoanh nghiệp lớn nhỏ, các tổ chức, chính phủ…

Dr Eric Cole (2005), Dr Ronald Krutz, and James W Conley, “Network Security Bible”, Wiley Publishing.

Cuốn sách nói về các kỹ thuật, công nghệ và phương pháp tiếp cận an ninh mới,

nó cũng kiểm tra xu hướng mới và các phương pháp hay nhất được nhiều tổ chức sửdụng Phiên bản sửa đổi bảo mật mạng bổ sung cho khóa học của Cisco Academy vềbảo mật mạng Bao gồm tất cả các lĩnh vực chính của an ninh mạng và cách họ tươngquan, hoàn toàn sửa đổi để giải quyết các kỹ thuật, công nghệ và phương pháp bảođảm mới cho doanh nghiệp trên toàn thế giới, xem xét xu hướng mới và các phươngpháp hay nhất trong sử dụng của các tổ chức để bảo vệ doanh nghiệp của họ Ngoài racuốn sách còn có thêm các chương về các lĩnh vực liên quan đến bảo vệ dữ liệu tươngquan và pháp y, và bao gồm các chủ đề tiên tiến như an ninh không gian mạng tíchhợp và các phần về Cảnh an ninh, với các chương về xác nhận tính bảo mật, bảo vệ dữliệu, pháp y và các cuộc tấn công và các mối đe dọa

William Stallings (2005), Cryptography and Network Security Principles and Practices, Fourth Edition, Prentice Hall.

Cuốn sách cung cấp thông tin về mật mã và an ninh mạng trong môi trườngInternet thông qua các cuộc khảo sát Cuốn sách được chia làm 2 phần, phần đầu cungcấp các kiến thức về mật mã và công nghệ bảo mật mạng, phần sau cung cấp một sốứng dụng thực tiễn đang được sử dụng hiệu quả để đảm bảo tính bảo mật mạng Ngoài

ra cuốn sách cũng được sử dụng một số kiến thức về toán học như kiến thức về lýthuyết xác xuất thống kê, số học,…

Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results.

Bài báo này trình bày các kết quả từ một dự án nghiên cứu đang thực hiện tậptrung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp(Enterprise Information Security), dự án là một phần của một chương trình nghiên cứutoàn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research Programme(EARP) EARP khai thác các phần của cấu trúc doanh nghiệp như một cách tiếp cận đểquản lý tổng danh mục hệ thống thông tin của công ty Các bên liên quan chính của Cấutrúc Doanh nghiệp là CIO (Chief Information Officer) chịu trách nhiệm quản lý và pháttriển hệ thống thông tin doanh nghiệp Mục tiêu tổng thể của chương trình nghiên cứu làcung cấp chức năng CIO với các công cụ và phương pháp dựa trên cấu trúc để lập kếhoạch và ra quyết định liên quan đến các hệ thống thông tin toàn doanh nghiệp

CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH VÀ ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI CÔNG TY TNHH MTV TMĐT BƯU

CHÍNH VIETTEL

2.1 TỔNG QUAN VỀ CÔNG TY

2.1.1 Giới thiệu chung về công ty

 Tên công ty: Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh ViettelNinh Bình

 Tên giao dịch bằng tiếng anh: Viettel Post Limited Company

 Tên viết tắt bằng tiếng anh: VTP

 Lĩnh vực kinh doanh chính: Bưu chính

2.1.2 Chức năng và nhiệm vụ của công ty

 Chức năng:

- Kinh doanh dịch vụ chuyển phát bưu phẩm, bưu kiện và hàng hóa

- Đại lý kinh doanh dịch vụ phát hành báo

Trực tiếp tổ chức triển khai, phát triển kinh doanh dịch vụ bưu chính trên toàn quốc

 Nhiệm vụ: Khai thác các nguồn báo chí trong nước và ngoài nước từ khâu

nhận đặt mua, tổng hợp nhu cầu, phân phối, cung cấp cho các bưu cục, phát báo đếntay người đọc nhanh chóng Ngoài ra công ty còn tổ chức nhập khẩu báo chí xuất bảntrong nước và các loại báo chí nước ngoài được phép nhập khẩu vào Việt Nam Hàngnăm, công ty phát hành mục lục báo chí xuất bản trong nước để nhằm cung cấp cácthông tin cho các bưu cục và bạn đọc để thuận tiện cho việc mua báo chí Chuyển phátcác bưu phẩm, bưu kiện trong thời gian ngắn nhất với chi phí hợp lý

Sơ đồ 2.1 : Cơ cấu tổ chức công ty

(Nguồn: Bộ phận nội bộ (nhân sự) của công ty TNHH MTV TMĐT bưu chính Viettel )

Do đặc điểm của công ty hoạt động trên địa bàn rộng, số lượng công nhân viên sảnxuất kinh doanh đông, thời gian nhanh chóng, chính xác, nên việc tổ chức sản xuất, tổchức bộ máy quản lý cũng có đặc điểm riêng Công ty bố trí tương đối hợp lý theo môhình tổ chức bộ máy sản xuất trực tuyến chức năng Công ty Bưu chính Viettel gồmcó: Giám đốc, phó giám đốc, 5 phòng giúp việc và 5 đơn vị trực tiếp tham gia sảnxuất

Chức năng cụ thể của từng bộ phận:

- Chỉ đạo, phục trách chung toàn bộ hoạt động kinh doanh của công ty

- Phụ trách trực tiếp về tổ chức, kế hoạch sản xuất kinh doanh, công tác kiểmtra giám sát nội bộ toàn Công ty

 Phó giám đốc: Chịu trách nhiệm chính về quản lý chất lượng dịch vụ, kết quả

hoạt động SXKD và các mặt công tác theo ủy quyền của Giám đốc công ty

Bưu cục thu

phát Bưu cục TT Khai thác

Trung tâm phát hành báo

Bưu cục Ngoại dịch

Đội xe

- Tham mưu, giúp Ban Giám đốc công ty quản lý, chỉ đạo, hướng dẫn, kiểm tra,giám sát các mặt về công tác tài chính và hoạt động kế toán toàn Công ty theo quyđịnh của Nhà nước và quy chế của Tổng công ty.

- Phân tích, tổng hợp số liệu lập báo cáo tài chính và các báo cáo kinh tế khácđáp ứng yêu cầu quản lý của lãnh đạo Công ty và Tổng Công ty

Tham mưu, giúp Ban Giám đốc công ty quản lý, chỉ đạo, hướng dẫn, kiểm tra,giám sát các mặt về công tác tổ chức, biên chế, tiền lương, tuyển dụng, đào tạo và thựchiện các chế độ chính sách với người lao động toàn công ty

.Ban chính trị hành chính:

Tham mưu cho Đảng uy, Ban Giám đốc công ty quản lý, chỉ đạo, hướng dẫn, kiểmtra, giám sát các hoạt động về công tác Đảng, công tác chính trị, công tác thi đua khenthưởng trong toàn Công ty theo Nghị quyết của Đảng ủy Tổng Công ty và Đảng ủyCông ty

 Bưu cục thu p:hát:

Khai thác, thu phát, báo chí, quản lý sản lượng, doanh thu, công nợ, chất lượngdịnh vụ,… vận hành, khai thác mạng bưu chính viettel trên địa bàn bưu cục

khai thác, báo chí,…trong mạng bưu chính viettel và thực hiện các nhiệm vụ thuộcphạm vi khu vực của Bưu cục

Là đại lý cho các hang kinh doanh bưu chính quốc tế chuyên khai thác các bưuphẩm, bưu kiện đi quốc tế và làm đại lý cho VNPT trong lĩnh vực chuyển phát thư.

 Trung tâm p:hát hành báo:

Phát hành báo, khai thác, kết nối báo chí, giúp Ban Giám đốc Công ty quản lý, chỉđạo, hướng dẫn, kiểm tra, giám sát, đôn đốc các mặt về công tác phát hành báo, vậnhành, khai thác trên toàn bộ mạng bưu chính Viettel

Vận chuyển bưu phẩm, bưu kiện từ các bưu cục đến các trung tâm khai thác,chuyên chở các túi báo chí trong nội bộ các nhà in ngoài ra còn phục vụ lãnh đạo đicông tác và các nhu cầu khác của công ty

* Nhận xét:

 Có thể thấy, bộ máy tổ chức, quản lý của công ty được bố trí chặt chẽ Mỗimột phòng ban đảm nhiệm một chức năng khác nhau, thể hiện tính tập trung và phânquyền cao

 Mô hình cơ cấu tổ chức, quản lý của công ty gọn nhẹ, đơn giản và hợp lý; đảmbảo sự thuận tiện cho việc điều hành, giám sát hoạt động kinh doanh của ban lãnh đạo

2.1.3 Tình hình hoạt động kinh doanh của công ty trong 3 năm gần đây (2017-2019)

Dưới đây là bảng kết quả hoạt động kinh doanh của công ty từ năm 2017-2019

Bảng 2.1 Kết quả hoạt động kinh doanh giai đoạn từ 2017-2019

Đơn vị : VNĐ

Tổng tài sản 9,832,567,000 13,432,564,000 17,665,473,000Doanh thu 37,678,324,560 43,725,630,420 54,965,783,000Chi phí 15,684,572,000 19,124,230,000 27,789,675,000Lợi nhuận trước thuế 21,993,752,560 24,601,400,420 27,176,108,000Lợi nhuận sau thuế 17,595,002,505 19,681,120,340 21,740,886,400

(Nguồn bộ phận kế toán TỔNG CTCP BƯU CHÍNH VIETTEL NINH BÌNH – CHI NHÁNH VIETTEL NINH BÌNH)

Nhận xét: Thông qua việc thu thập số kết quả kinh doanh của công ty ta có thểđưa ra một số nhận xét như sau:

Hoạt động kinh doanh của công ty đang tăng trưởng một cách liên tục, được thểhiện thông qua tổng tài sản của công ty tăng đều qua các năm, trong giai đoạn 2017-2019:Tổng doanh thu đạt mức cao nhất với hơn 50 tỷ đồng vào năm 2019, cao hơn so với năm

2017 gần 17 tỷ VNĐ và so với năm 2018 gần 10 tỷ VNĐ

Như vậy qua số liệu điều tra và phân tích ở trên ta có thể thấy, giai đoạn

2017-2019 hoạt động kinh doanh của Tổng CTCP Bưu chính Viettel – Chi nhánh ViettelNinh Bình đã đạt được những thành tựu đáng kể với mức tăng trưởng cao đặc biệt làgiai đoạn 2018-2019 Điều này cũng một phần chứng tỏ hoạt động kinh doanh củacông ty ngày càng lớn mạnh và mang lại lợi nhuận cao

2.2 THỰC TRẠNG AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI TỔNG CTCP BƯU CHÍNH VIETTEL – CHI NHÁNH VIETTEL NINH BÌNH

2.2.1 Trang thiết bị phần cứng

Tại công ty mỗi nhân viên được trang bị một máy tính cá nhân tùy thuộc vàotính chất công việc sẽ được cấp những loại máy khác nhau Nhân viên tại mỗi phòngban bộ phận đều được trang bị máy tính để bàn và laptop cá nhân Tất cả các máy củacông ty được kết nối với nhau thông qua mạng LAN, wifi chung của công ty Thôngtin trang thiết bị phần cứng hiện có của công ty:

Bảng 2.2 Số lượng thiết bị CNTT tại Tổng CTCP Bưu chính Viettel

- Mac OS X 10.8 Mountain Lion

- CPU: Intel Core i5 (2 Core) 2.5Ghz Boost to 3.1 Ghz

3 HP HP Proliant ML150G6 Hot Plug SAS/SATA Máy chủ 5

6 Canon IMAGECLASS LBP6230DNLoại máy: in laser trắng đen

Phần mềm kế toán Effect – standard với chức năng lưu trữ các số liệu chứng từ

kế toán hiệu quả, chính xác

Các nghiệp vụ đầu vào: Nghiệp vụ cập nhật số dư dầu kỳ, nghiệp vụ tiền mặt,nghiệp vụ ngân hàng, nghiệp vụ nhập xuất kho, nghiệp vụ hóa đơn công nợ, báo cáo tàichính…

-Phần mềm hỗ trợ làm việc

Các phần mềm được đưa vào sử dụng như Zalo, Skype, giúp liên lạc với các

bộ phận phòng ban trong công ty, khi không có trực tiếp tại văn phòng

- Phần mềm đảm bảo an toàn thông tin

Các phần mềm diệt Virus được áp dụng như: sử dụng FireWall, antivirut(BKAV Pro), đối với Web sử dụng phần mềm antivirut (AVG) và sử dụng phần mềmantivirut (security Plus for Mdea, Symante) cho email

2.2.3 Về con người

Hiện nay nhân viên của công ty trong lĩnh vực CNTT chiếm khoảng 70% nhânlực được tuyển dụng trong mọi chuyên ngành từ kế toán, nhân sự, CNTT, HTTT

Tỷ lệ 100% nguồn nhân lực công ty đều tốt nghiệp đại học với khả năng tư duy

và sử dụng máy tính thành thạo cùng với đó là kiến thức về CNTT, am hiểu quy trìnhnghiệp vụ đã và đang làm việc rất hiệu quả tại các phòng ban bộ phận của công ty

Hầu hết nhân viên công ty đều thành thạo các kỹ năng tin học văn phòng, SQLserver và Visual FoxPro Nhân sự của công ty hiện tại phần lớn là đội ngũ nhân viêntrẻ, nhiệt tình, năng động, nhanh nhẹn và tư duy tốt Tuy nhiên để có được nhân viên

có kĩ năng đáp ứng được đúng yêu cầu công việc của công ty, công ty phải dành thờigian đào tạo cho nhân viên về kỹ năng khi mới vào công ty Hay việc tiếp nhận sinhviên thực tập các chuyên ngành đào tạo như: Công nghệ thông tin, Hệ thống thông

tin quản lý, kế toán nhân sự,… Để đào tạo theo hướng công ty cần, hỗ trợ rất hiệuquả cho công tác tuyển dụng đào tạo nhân sự cho công ty sau này.

Nhu cầu về nguồn nhân lực CNTT của công ty là rất lớn bởi vậy công ty luôn

có các chính sách phát triển, thu hút nguồn nhân lực

Về nhận thức tầm quan trọng cuả việc ứng dụng CNTT, HTTT

Ban giám đốc và các nhân viên đã nhận thức rõ tầm quan trọng của việc ứngdụng CNTT, HTTT đối với quá trình kinh doanh và phát triển của doanh nghiệp Công

ty đã có sự đầu tư cho các nghiệp vụ có thể tự động hóa bằng các phần mềm, hệthống…

Sau khi điều tra qua bảng hỏi 10 cán bộ nhân viên công ty về mức độ quan trọngcủa việc ứng dụng CNTT, HTTT đối với hoạt động của công ty có được kết quả như sau:

Biểu đồ 2.1: Đánh giá mức độ quan trọng của việc ứng dụng công nghệ thông tin,

hệ thống thông tin của cán bộ nhân viên

(Nguồn: tác giả thống kê)

2.2.4 Sơ đồ hệ thống mạng

Mô hình mạng của công ty hiện nay được thiết kế theo hình sao: Máy chủ trungtâm, các máy khách sẽ gửi truy cập tới máy chủ chờ được giải quyết, với mô hình nàycác máy cho hệ thống được kiểm soát và khắc phục được sự cố nhanh chóng, hoạtđộng khá hiệu quả ngay cả trong khi một trong số máy trạm hỏng thì hệ thống vẫn hoạt