Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin của Công ty Cổ phần Phần mềm BRAVO
1 LỜI CẢM ƠN Để hồn thành khóa luận tốt nghiệp với đề tài: “Một số giải pháp đảm bảo an tồn cho Hệ thống thơng tin Cơng ty Cổ phần Phần mềm BRAVO”, bên cạnh nỗ lực, cố gắng thân, em nhận nhiều giúp đỡ nhà trường, thầy cô ban lãnh đạo, nhân viên Công ty Cổ phần Phần mềm BRAVO Lời đầu tiên, em xin chân thành cảm ơn tất thầy, cô Trường Đại học Thương mại nói chung tồn thể thầy, khoa Hệ thống thơng tin kinh tế Thương mại điện tử nói riêng tạo điều kiện cho em học tập, nghiên cứu để hồn thành khóa luận Đồng thời, em gửi lời cảm ơn đến giáo viên hướng dẫn ThS Nguyễn Quang Trung trực tiếp tận tình hướng dẫn suốt thời gian thực đề tài khóa luận, giúp em hồn thành cách tốt Cuối cùng, em gửi lòng biết ơn sâu sắc tới ban lãnh đạo Công ty Cổ phần Phần mềm BRAVO, toàn thể anh, chị nhân viên công ty giúp đỡ khoảng thời gian em thực tập cơng ty để nghiên cứu tình hình, thực trạng cơng ty Với thời gian nghiên cứu kiến thức cịn hạn chế nên khơng thể tránh sai sót khóa luận Em mong nhận đóng góp từ phía thầy để khóa luận em hồn thiện Em xin chân thành cảm ơn! MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC BẢNG BIỂU v DANH MỤC HÌNH VẼ vi PHẦN MỞ ĐẦU 1 TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU PHƯƠNG PHÁP NGHIÊN CỨU KẾT CẤU KHÓA LUẬN Chương I: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN TRONG DOANH NGHIỆP 1.1 Những khái niệm 1.1.1 Dữ liệu thông tin .6 1.1.2 Hệ thống hệ thống thông tin 1.2 Một số lý thuyết an toàn bảo mật hệ thống thơng tin 1.2.1 Vai trị an toàn bảo mật 1.2.2 Các đặc trưng hệ thống thơng tin an tồn 1.2.3 Các nguy an toàn hệ thống thông tin .9 1.3 Các yếu tố ảnh hưởng đến vấn đề đảm bảo an tồn cho hệ thống thơng tin……… 15 1.3.1 Các yếu tố thuộc môi trường vĩ mô 15 1.3.2 Các yếu tố thuộc môi trường ngành 16 1.3.3 Các yếu tố thuộc môi trường nội 16 Chương 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO AN TỒN HỆ THỐNG THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 17 2.1 Tổng quan Công ty Cổ phần Phần mềm BRAVO 17 2.1.1 Thông tin 17 2.1.2 Quá trình thành lập phát triển 18 2.1.3 Cơ cấu tổ chức, chức nhiệm vụ phận cấu nhân lực 19 2.1.4 Lĩnh vực hoạt động, kinh doanh doanh nghiệp 21 2.1.5 Kết kinh doanh Công ty Cổ phần Phần mềm BRAVO từ năm 2018 đến năm 2020 22 2.2 Thực trạng vấn đề đảm bảo an tồn Hệ thống thơng tin Công ty Cổ phần Phần mềm BRAVO 23 2.2.1 Thực trạng người 24 2.2.2 Thực trạng phần cứng 26 2.2.3 Thực trạng phần mềm 27 2.2.4 Thực trạng hệ thống mạng 28 2.2.5 Thực trạng bảo mật website 30 2.3 Đánh giá thực trạng vấn đề an toàn bảo mật hệ thống thông tin Công ty Cổ phần Phần mềm BRAVO 30 2.3.1 Ưu điểm 30 2.3.2 Nhược điểm 31 Chương 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 33 3.1 Định hướng phát triển an toàn bảo mật cho hệ thống thông tin Công ty Cổ phần Phần mềm BRAVO 33 3.2 Đề xuất số giải pháp an tồn bảo mật cho hệ thống thơng tin Công ty Cổ phần Phần mềm BRAVO 34 3.2.1 Giải pháp người 34 3.2.2 Giải pháp phần cứng hệ thống mạng 36 3.2.3 Giải pháp phần mềm .38 3.2.4 Giải pháp bảo mật website 43 3.2.5 Giải pháp sách, quy định An tồn thơng tin 45 3.3 Một số kiến nghị đề xuất 46 3.3.1 Con người 46 3.3.2 Phần cứng 46 3.3.3 Phần mềm 46 3.3.4 Dữ liệu .47 KẾT LUẬN 48 TÀI LIỆU THAM KHẢO PHỤ LỤC DANH MỤC TỪ VIẾT TẮT Từ viết tắt ATBM ATTT CNTT DBMS DoS DSL DDoS HTTT IP LAN SSID URL WAN Giải thích An tồn bảo mật An tồn thông tin Công nghệ thông tin Database Management System Denial of Service Digital Subcriber Line Distributed Denial of Service Hệ thống thông tin Internet Protocol Local Area Network Service Set Identifier Uniform Resource Locator Wide Area Network DANH MỤC BẢNG BIỂU Bảng 1: Lịch sử phát triển BRAVO 18 Bảng 2: Cơ cấu nhân lực công ty BRAVO trụ sở Hà Nội 21 Bảng 3: Tình hình kinh doanh BRAVO từ năm 2018 đến 2020 22 Bảng 4: Trang thiết bị phần cứng công ty 26 Bảng 5: Thống kê số lần website công ty bị công năm gần 30 Bảng 6: So sánh phần mềm BKAV Pro Kaspersky 40 DANH MỤC HÌNH VẼ Hình 1: Các thành phần hệ thống thông tin Hình 2: Cơ cấu tổ chức cơng ty BRAVO 19 Hình 3: Biến động kinh doanh BRAVO từ năm 2018 đến 2020 23 Hình 4: Thực trạng kiến thức ATTT nhân viên công ty 24 Hình 5: Mức độ cần thiết nhân viên kiến thức ATTT 25 Hình 6: Nhu cầu phận chuyên trách ATTT cơng ty .25 Hình 7: Kết khảo sát nhóm câu hỏi phần cứng 27 Hình 8: Đánh giá phần mềm diệt virus BKAV Pro 28 Hình 9: Tường lửa cơng ty sử dụng 29 Hình 10: Đánh giá tính hiệu firewall 29 Hình 11: Thiết bị FortiGate 300E 37 PHẦN MỞ ĐẦU TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU Với phát triển mạnh mẽ kinh tế toàn cầu nay, thời đại 4.0, doanh nghiệp tạo dựng hình thành ngày nhiều Chính điều gây áp lực cạnh tranh lớn cho doanh nghiệp Do đó, doanh nghiệp cần phải nắm bắt xác kịp thời nhu cầu khách hàng xã hội để tránh bị thụt lùi, lạc hậu Trong số yếu tố, xu hướng quan trọng hệ thống thơng tin (HTTT) đương nhiên đóng vai trị lớn vào việc giúp doanh nghiệp phát triển tạo chỗ đứng thị trường HTTT không giải vấn đề xử lý cung cấp thông tin nhanh chóng, xác, thuận lợi mà cịn làm tăng suất lao động, tạo sở để tinh giản máy, nâng cao hiệu hoạt động nghiệp vụ Việc triển khai HTTT tổ chức, doanh nghiệp có ý nghĩa nâng cao chất lượng hiệu công tác quản lý nhu cầu khách quan, có tính hiệu lâu dài Bởi mà việc triển khai HTTT vấn đề có ý nghĩa to lớn q trình đại hóa tổ chức, doanh nghiệp nhằm nâng cao hiệu hoạt động sản xuất kinh doanh Bên cạnh việc triển khai HTTT doanh nghiệp nảy sinh vấn đề làm để đảm bảo an tồn cho HTTT mà cơng nghệ ngày phát triển xuất nhiều nguy tinh vi, phức tạp làm an tồn thơng tin (ATTT), gây hậu khôn lường doanh nghiệp thiệt hại to lớn tài chính, làm ảnh hưởng đến uy tín doanh nghiệp Vì mà việc đảm bảo an tồn cho HTTT điều vô cần thiết Với việc nhận thức vai trị quan trọng HTTT, Cơng ty Cổ phần Phần mềm BRAVO tự xây dựng lên HTTT để phục vụ cho hoạt động kinh doanh công ty Tuy nhiên, với phát triển mở rộng quy mô ngày lớn công ty nảy sinh nhiều nguy cơ, thách thức vấn đề an toàn bảo mật HTTT cơng ty Dựa tình hình trên, em định lựa chọn đề tài: “Một số giải pháp đảm bảo an tồn cho Hệ thống thơng tin Công ty Cổ phần Phần mềm BRAVO” với hi vọng mang lại cho Công ty Cổ phần Phần mềm BRAVO giải pháp an toàn bảo mật (ATBM) phù hợp với HTTT công ty TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU 2.1 Tình hình nghiên cứu nước Đề tài nghiên cứu khoa học “Các giải pháp an ninh bảo mật hệ thống mạng Kiểm toán nhà nước” Ks Nguyễn Minh Phương sinh viên Bùi Quang Hưng – Trường Đào tạo bồi dưỡng nghiệp vụ kiểm toán đồng chủ nhiệm nghiệm thu vào tháng 6/2020 Trong cơng trình nghiên cứu này, tác giả sở pháp lý thực tiễn việc đảm bảo ATBM mạng Kiểm tốn nhà nước Trên sở đó, phân tích trạng vấn đề bối cảnh hướng đến việc khắc phục nguy an toàn mạng hướng đến mơ hình bảo mật lớp Đồng thời, đề biện pháp để giải vấn đề như: đề xuất mơ hình tổng thể; giải pháp bảo mật cụ thể gắn với đối tượng, giải pháp tổ chức thực Tuy nhiên, đề tài chưa đánh giá cách tổng hợp diễn biến, nguy ATTT, an ninh mạng giới, Việt Nam, đặc biệt quan Nhà nước để từ nêu bật cần thiết triển khai giải pháp đảm bảo ATTT, an ninh mạng Kiểm tốn nhà nước Bài báo “An ninh thơng tin Việt Nam điều kiện – Vấn đề đặt giải pháp” ông Nguyễn Mạnh Hùng – Bộ trưởng Bộ Thông Tin Truyền thông đăng Tạp chí Tuyên giáo tháng 6/2020 Bài báo nêu diễn biến phức tạp tình hình an ninh thơng tin Việt Nam thơng qua số thống kê chi tiết công vào HTTT Cơ quan Đảng, Nhà nước, tổ chức, doanh nghiệp năm qua Bên cạnh đó, tác giả đưa nguy đe dọa đến an ninh thông tin Việt Nam ngồi nước, từ chứng minh cần thiết việc nghiên cứu, xây dựng, áp dụng đồng giải pháp đảm bảo an ninh thông tin Đồng thời đề xuất giải pháp để nâng cao hiệu bảo đảm an ninh thông tin thời gian tới Bài báo “Bảo đảm an tồn thơng tin, an ninh mạng Tổng cục Cơng nghiệp quốc phòng” Thượng tá Lê Huy Thọ - Trưởng ban Công nghệ thông tin – Cục Quản lý cơng nghệ, Tổng cục Cơng nghiệp quốc phịng đăng tạp chí Cơng nghiệp quốc phịng & Kinh tế tháng 12/2020 Bài viết nêu tình hình cơng tác đảm bảo ATTT, an ninh mạng Tổng cục Công nghiệp quốc phòng thời gian qua, thực trạng ứng dụng hệ thống CNTT quan, đơn vị thuộc Tổng cục Cơng nghiệp quốc phịng hậu nghiêm trọng quốc phòng, an ninh quốc gia hệ thống bị phá hoại Bên cạnh đó, tác giả dấu hiệu gây ATTT, an ninh mạng hữu nguyên nhân tồn Cuối đề xuất giải pháp để phòng ngừa, loại bỏ nguy ATTT, an ninh mạng Công nghiệp quốc phịng 2.2 Tình hình nghiên cứu giới Michael E.Whitman, Hervert J.Mattord (2017), Principles of Information Secutity 6th Edititon Cuốn sách định hướng đặc biệt cho nhu cầu sinh viên HTTT: Nguyên tắc bảo mật thông tin Theo cách tiếp cận quản lý, sách nhấn mạnh tất khía cạnh BMTT – khơng quan điểm kiểm soát kỹ thuật Cuốn sách giúp người đọc có nhìn tổng thể toàn lĩnh vực ATTT yếu tố liên quan với chi tiết để đảm bảo hiểu biết Người đọc xem thuật ngữ sử dụng lĩnh vực này, lịch sử ngành học tổng quan cách quản lý chương trình bảo mật thông tin Ấn thứ nêu bật phương pháp với ví dụ khám phá tác động công nghệ nổi, chẳng hạn Internet of Things, Clould Computing DevOps MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU 3.1 Mục tiêu nghiên cứu Đề tài nhằm nêu giải pháp đảm bảo an tồn cho HTTT Cơng ty Cổ phần Phần mềm BRAVO 3.2 Nhiệm vụ nghiên cứu - Tập hợp hệ thống sở lý luận an tồn bảo mật cho HTTT - Phân tích đánh giá thực trạng an toàn bảo mật HTTT Công ty Cổ phần Phần mềm BRAVO - Định hướng phát triển đề xuất số giải pháp đảm bảo an tồn cho HTTT Cơng ty Cổ phần Phần mềm BRAVO ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 4.1 Đối tượng nghiên cứu Đối tượng nghiên cứu đề tài là: Đảm bảo an toàn cho HTTT Công ty Cổ phần Phần mềm BRAVO 4.2 Phạm vi nghiên cứu - Phạm vi không gian: Trụ sở Cơng ty Cổ phần Phần mềm BRAVO Tầng 7, Tòa nhà 311-313 Trường Chinh, Thanh Xuân, Hà Nội - Phạm vi thời gian: Nghiên cứu thực từ tháng 1/2021 đến tháng 4/2021 - Phạm vi nội dung: Nghiên cứu chủ yếu đề cập đến vấn đề đảm bảo an toàn cho HTTT Công ty Cổ phần mềm BRAVO PHƯƠNG PHÁP NGHIÊN CỨU 5.1 Phương pháp thu thập liệu - Thu thập liệu thứ cấp: Dữ liệu thứ cấp thu thập qua giáo trình, sách báo, website, mạng internet, báo cáo tài chính, cơng trình nghiên cứu thực Việt Nam giới, - Thu thập liệu sơ cấp: + Phương pháp sử dụng phiếu điều tra: Phương pháp thực với nội dung tìm hiểu mức độ hài lòng nhân viên tình hình ứng dụng CNTT, HTTT cơng ty để đưa phân tích, đánh giá Số lượng phiếu phát gồm 20 phiếu tới nhân viên phịng ban khác cơng ty số phiếu thu 20 Ưu điểm phương pháp thu thập số lượng lớn liệu từ nhân viên tồn nhược điểm nhân viên lựa chọn câu trả lời không trung thực + Phương pháp vấn: Phương pháp thực cách vấn trực tiếp Giám đốc kỹ thuật cơng ty với nội dung tìm hiểu tình hình ứng dụng CNTT, HTTT cơng ty Ưu điểm phương pháp dễ dàng thu thập thông tin đáp ứng yêu cầu cần thiết nhược điểm khó tiếp cận đối tượng vấn 5.2 Phương pháp xử lý liệu - Phương pháp so sánh đối chiếu: Đây phương pháp đối chiếu lý luận thực tiễn để tìm giải vấn đề khó khăn bên cơng ty - Phương pháp phân tích thống kê: Phương pháp sử dụng để rút suy luận logic từ liệu thu thập Áp dụng phương pháp phân tích để làm rõ mối quan hệ đối tượng thành phần HTTT với vấn đề an tồn bảo mật HTTT cơng ty + Chọn tùy chọn Generate the account automatically, ứng dụng tạo tài khoản để chạy dịch vụ Kaspersky Security Center + Chọn tùy chọn Create a shared folder định đường dẫn đến thư mục + Giữ cài đặt mặc định cho kết nối thiết bị client với Máy chủ quản trị + Chỉ định địa Máy chủ quản trị + Chọn plug-in quản lý ứng dụng để cài đặt + Nhấp vào liên kết Start MMC-based Administration Console sau cài đặt xong, bảng điều khiển Quản trị mở - Giai đoạn 3: Triển khai tập trung ứng dụng bảo mật Kaspersky thiết bị client Để triển khai ứng dụng bảo mật Kaspersky, cần thực theo bước sau: + Nếu chưa khởi động Bảng điều khiển Quản trị bước trước, tiến hành khởi động Bảng điều khiển Quản trị dựa MMC danh sách ứng dụng cài đặt + Chạy Trình hướng dẫn bắt đầu nhanh Máy chủ quản trị, chưa mở tự động + Để đảm bảo Trình hướng dẫn bắt đầu nhanh hoàn thành tất thao tác cần thiết thành công, kiểm tra xem Cập nhật tải xuống tác vụ kho lưu trữ Máy chủ quản trị có sẵn Máy chủ quản trị + Khám phá thiết bị nối mạng + Kiểm tra để đảm bảo tất thiết bị khách phát thêm vào nhóm Thiết bị chưa định (Unassigned devices) Nếu thiết bị chưa thêm vào, kiểm tra xem chúng bật truy cập hay chưa, sau thực kiểm tra thiết bị theo cách thủ công + Cài đặt ứng dụng bảo mật Network Agent Kaspersky thiết bị client + Đảm bảo Network Agents ứng dụng bảo mật Kaspersky cài đặt thiết bị quản lý Chạy báo cáo phiên phần mềm Kaspersky Lab xem kết + Triển khai mã kích hoạt cho thiết bị client Sau thực xong tất bước theo giai đoạn, trình triển khai Kaspersky Endpoint Security for Business cơng ty hồn tất 3.2.4 Giải pháp bảo mật website Website mục tiêu tin tặc hướng đến nhiều giai đoạn nay, website bị hack dẫn đến hậu làm gián đoạn hoạt động kinh doanh doanh nghiệp, bị lộ liệu khách hàng thông tin quan trọng, ảnh hưởng tới uy tín thương hiệu doanh nghiệp Website Công ty Cổ phần Phần mềm BRAVO xây dựng từ năm 2003 trì thời điểm tại, nhiên công ty chưa trọng vào việc bảo mật website khiến cho website bị công tin tặc Để việc bảo mật website công ty thời gian tới đảm bảo hơn, em đề xuất số cách thức bảo mật để tăng cường mức độ bảo mật cho website công ty tương lai 3.2.4.1 Khắc phục lỗ hổng bảo mật SQL Injection SQL Injection kỹ thuật mà hacker lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web đến DBMS để khai thác thơng tin nhạy cảm SQL Injection cho phép hacker thực thao tác Insert, Delete, Update database ứng dụng, chí server mà ứng dụng chạy Tác hại SQL Injection lớn, nhiên việc phịng tránh hình thức cơng lại khơng q phức tạp Có thể phòng tránh lỗi SQL Injection hai cách: - Kiểm tra giá trị đầu vào: Để phòng tránh nguy xảy ra, cần bảo vệ câu lệnh SQL cách kiểm soát chặt chẽ tất liệu nhập nhận từ đối tượng GET POST, luôn kiểm tra xác minh ký tự: ‘, #, /* */ từ khóa nhạy cảm như: Select, Insert, Delete - Thiết lập cấu hình an tồn cho hệ quản trị sở liệu: Cần có chế kiểm sốt chặt chẽ giới hạn quyền xử lý liệu đến tài khoản người dùng mà ứng dụng web sử dụng Quyền bị hạn chế, thiệt hại Ngoài để tránh nguy từ SQL Injection attack, nên ý loại bỏ thông tin kỹ thuật chứa thông điệp chuyển xuống cho người dùng ứng dụng có lỗi Các thơng báo lỗi thông thường tiết lộ chi tiết kỹ thuật cho phép hacker biết điểm yếu hệ thống 3.2.4.2 Khắc phục lỗ hổng XSS Bản chất lỗi XSS khơng kiểm sốt kỹ liệu nhập đầu vào, biện pháp hiệu kiểm tra kỹ liệu nhập vào từ người dùng, chặn từ khóa nguy hiểm, chấp nhận liệu hợp lệ Một cách khác hay sử dụng mà khơng cần kiểm sốt đầu vào từ người dùng mã hóa ký tự đặc biệt trước in website, gây nguy hiểm cho người sử dụng Ngồi ra, việc bảo vệ thực cách hạn chế tên miền đường dẫn để chấp nhận cookie, thiết lập chúng HttpOnly, sử dụng SSL khơng lưu liệu bí mật cookie Có thể vơ hiệu hóa việc sử dụng Script cách hoàn toàn từ trang web khách hàng 3.2.4.3 Bảo mật tài khoản quản trị viên website Ngoài việc tạo mật đủ mạnh, thường xuyên thay đổi mật không dùng chung mật cho nhiều tài khoản nên thực thêm số hình thức khác như: - Giới hạn số lần nhập sai mật khẩu: Việc giới hạn số lần nhập sai mật giúp ngăn chặn cơng dị mật khẩu, hacker khơng thể dị mật tài khoản admin website - Đổi URL đăng nhập trang quản lý: Một cách đơn giản để chống lại công dò mật đổi địa đăng nhập trang quản trị website Thông thường mặc định WordPress /wp-admin Joomla /administrator/index.php Nếu địa đăng nhập thay đổi khác với giá trị mặc định tin tặc gặp khó khăn có ý đồ công website - Xác thực hai bước: Trong trường hợp kẻ xấu có mật admin website doanh nghiệp website an tồn bật tính xác thực đăng nhập bước 3.2.4.4 Bảo vệ website khỏi công DDoS - Sử dụng tường lửa ứng dụng web: Nhiệm vụ tường lửa website sàng lọc phân loại luồng traffic vào website Từ phát ngăn chặn luồng traffic cho độc hại Đây phương pháp hiệu để bảo vệ website khỏi công từ chối dịch vụ - Mua thêm băng thơng dự phịng: Doanh nghiệp nên sử dụng băng thông rộng mức cần thiết cho máy chủ web Bằng cách đó, đột biến bất ngờ lưu lượng truy cập đáp ứng Tuy nhiên việc sử dụng băng rộng khơng thể chắn ngăn chặn công DDoS cho doanh nghiệp thời gian để hành động trước máy chủ bị tải 3.2.4.5 Cập nhật vá bảo mật cho website Đôi khi, tảng WordPress có lỗ hổng bảo mật mà hacker khai thác để cơng website doanh nghiệp Tương tự với theme, plugin, hệ điều hành máy chủ nghĩa vụ vá lỗi bảo mật phụ thuộc vào nhà cung cấp, họ tung cập nhật bảo mật Vì vậy, để bảo mật website an toàn trước cố từ bên thứ ba, doanh nghiệp cần cập nhật tất thành phần, 3.2.5 Giải pháp sách, quy định An tồn thơng tin Một sách An tồn thơng tin nhằm mục đích ban hành biện pháp bảo vệ giới hạn việc phân phối liệu cho người có quyền truy cập Việc xây dựng sách An tồn thơng tin giúp cho Cơng ty Cổ phần Phần mềm BRAVO ngăn ngừa cố rò rỉ liệu vi phạm liệu Để xây dựng sách An tồn thơng tin hiệu quả, công ty cần xác định yếu tố như: - Mục đích: Vạch mục đích sách An tồn thơng tin cơng ty, chẳng hạn để bảo vệ liệu khách hàng phản hồi thắc mắc khiếu nại việc không tuân thủ yêu cầu bảo mật bảo vệ liệu, phát ngăn chặn vi phạm bảo mật thông tin sử dụng sai mạng, liệu, ứng dụng, hệ thống máy tính thiết bị di động - Đối tượng: Công ty cần xác định sách An tồn thơng tin áp dụng cho đối tượng không áp dụng cho đối tượng - Mục tiêu: Đây mục tiêu mà ban quản trị công ty trao đổi, thống xây dựng sách An tồn thơng tin, thường cơng ty quan tâm tới yếu tố tính bảo mật, tính tồn vẹn, tính khả dụng liệu - Quyền hạn sách kiểm sốt truy cập: Phần việc định xem có quyền định liệu chia sẻ liệu Công ty nên đưa ràng buộc theo hợp đồng để nhân viên tuân thủ sách bảo mật thông tin trước cấp quyền cho họ truy cập vào hệ thống thông tin công ty - Phân loại liệu: Công ty cần phân loại liệu theo cấp độ khác nhau, chẳng hạn đâu thông tin công khai, đâu thông tin gây thiệt hại không đáng kể cho công ty bị tiết lộ, đâu thông tin gây thiệt hại nghiêm trọng cho công ty bị tiết lộ, - Đào tạo: Để nhân viên hiểu yêu cầu công ty an ninh thông tin, công ty cần tổ chức đào tạo để thông báo cho nhân viên yêu cầu bảo mật, phân loại liệu, kiểm soát truy cập mối đe dọa chung - Trách nhiệm nhiệm vụ nhân viên: Công ty cần đưa trách nhiệm cụ thể gắn với cá nhân phòng ban - Hậu quả: Đây hậu cho việc khơng tn thủ theo sách An tồn thơng tin cơng ty, chẳng hạn phạt tiền hay chấm dứt hợp đồng làm việc 3.3 Một số kiến nghị đề xuất 3.3.1 Con người Cần có buổi giao lưu, đào tạo cho nhân viên hiểu tầm quan trọng việc đảm bảo ATBM thông tin doanh nghiệp, giúp họ nắm bắt kiến thức vấn đề Công ty nên đưa sách, quy định An tồn thơng tin cụ thể cho nhân viên yêu cầu họ cam kết tuân thủ theo quy định, sách Ngồi ra, cơng ty cần nêu rõ hậu mà nhân viên phải chịu vi phạm vào sách, quy định An tồn thơng tin cơng ty 3.3.2 Phần cứng Việc bảo mật phần cứng ln có ưu nhiều so với thiết bị bảo mật bình thường, giảm thiểu nguy từ bắt đầu giúp cho hệ thống máy chủ bên an toàn giảm thiểu hao tốn tài nguyên Doanh nghiệp nên lựa chọn thiết bị phần cứng an tồn thiết bị phần cứng sẵn có hỗ trợ mã hóa cấu hình để hỗ trợ lưu cập nhật phần mềm thường xuyên 3.3.3 Phần mềm Cơng ty cần có sách việc cài đặt phần mềm có quyền yêu cầu nhân viên công ty tuân thủ theo u cầu Bên cạnh cần có sách tiến hành bảo trì cập nhật phiên cho phần mềm công ty tiến hành lưu liệu thường xuyên để tránh gây liệu 3.3.4 Dữ liệu Công ty cần phải tổ chức lưu phục hồi liệu thường xuyên hơn, cụ thể khoảng ngày lần Sao lưu liệu liên tục giảm thiệt hại gây có cố công gây mát liệu có khắc phục kịp thời tốt Cơng ty khơng đưa sách phân quyền truy cập sử dụng cho liệu quan trọng mà cịn phải đưa cách kiểm sốt kiểm tra việc phân bổ, sử dụng quyền truy cập liệu nhân viên hợp lý chưa để có điều chỉnh đắn Dữ liệu quan trọng nên nhà quản lý cấp cao có trách nhiệm tốt nắm quyền truy cập phải phục vụ nhu cầu sử dụng liệu cho nhân viên, theo chức công việc KẾT LUẬN Đề tài nêu sở lý luận vấn đề an toàn bảo mật hệ thống thơng tin, phân tích thực trạng việc đảm bảo an tồn hệ thống thơng tin Cơng ty Cổ phần Phần mềm BRAVO Từ đưa định hướng đề xuất số giải pháp an tồn bảo mật cho Hệ thống thơng tin Công ty Cổ phần Phần mềm BRAVO, giúp cho công ty phần khắc phục vấn đề tồn việc đảm bảo an toàn cho hệ thống thơng tin việc đảm bảo an tồn cho hệ thống thông tin tảng giúp công ty hoạt động kinh doanh ổn định, phát triển mạnh mẽ tương lai Một lần nữa, em xin gửi lời cảm ơn chân thành đến Ths Nguyễn Quang Trung thầy cô trường, Khoa Hệ thống thông tin kinh tế Thương mại điện tử Công ty Cổ phần Phần mềm BRAVO bảo, giúp đỡ tận tình để em hồn thành khóa luận Do hiểu biết kinh nghiệm thân hạn chế nên em mong nhận góp ý thầy để khóa luận tốt nghiệp em hồn thiện Cuối cùng, em xin chúc thầy cô sức khỏe công tác tốt Em xin chân thành cảm ơn! TÀI LIỆU THAM KHẢO [1] Nguyễn Mạnh Hùng (2020), An ninh thông tin Việt Nam điều kiện – Vấn đề đặt giải pháp, Tạp chí Ban tuyên giáo Trung ương [2] Đàm Gia Mạnh (2007), Giáo trình An tồn liệu thương mại điện tử, Nhà xuất Thống kê, Hà Nội [3] Đàm Gia Mạnh (2017), Giáo trình Hệ thống thơng tin quản lý, Nhà xuất Thống kê, Hà Nội [4] Nguyễn Minh Phương, Bùi Quang Hưng (2020), Các giải pháp an ninh bảo mật hệ thống mạng Kiểm tốn nhà nước, Cổng thơng tin điện tử Kiểm tốn Nhà nước Việt Nam, truy cập ngày 04 tháng 03 năm 2021, https://www.sav.gov.vn/Pages/chi-tiet-tin.aspx?ItemID=37715&l=TinTucSuKien [5] Lê Huy Thọ (2020), Bảo đảm an tồn thơng tin, an ninh mạng Tổng cục Cơng nghiệp quốc phịng, Tạp chí Cơng nghiệp quốc phịng & Kinh tế PHỤ LỤC BẢNG CÂU HỎI PHỎNG VẤN TÌNH HÌNH AN TỒN BẢO MẬT HỆ THỐNG THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO Lưu ý: Em xin cam kết giữ bí mật thơng tin riêng công ty dùng kết khảo sát cho mục đích làm khóa luận tốt nghiệp I Thơng tin chung Họ tên người vấn: Chức vụ: II Thông tin câu hỏi vấn A Phần cứng Công ty sử dụng máy chủ: Máy chủ công ty sử dụng hệ điều hành: Số máy trạm công ty: Số lượng máy chiếu công ty sử dụng: Số lượng máy in công ty sử dụng: Các thiết bị phần cứng khác: B Hệ thống mạng Công ty sử dụng mạng máy tính , băng thông Số lượng modem wifi lắp đặt công ty: C Phần mềm Công ty sử dụng phần mềm an toàn bảo mật nào? Công ty ứng dụng phần mềm hoạt động quản lý? Công ty ứng dụng phần mềm hoạt động kinh doanh? D Website Website công ty bị công chưa? Nếu có cụ thể hình thức công nào? Lỗ hổng bảo mật Số lần bị công Số lần bị công Số lần bị công năm 2018 năm 2019 năm 2020 BẢNG CÂU HỎI KHẢO SÁT TÌNH HÌNH AN TỒN BẢO MẬT HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO Lưu ý: Em xin cam kết giữ bí mật thông tin riêng công ty dùng kết khảo sát cho mục đích làm khóa luận tốt nghiệp Nội dung câu hỏi khảo sát: Anh/chị công tác phận công ty? Tính đến thời điểm tại, anh/chị làm việc công ty bao lâu? Dưới tháng Từ – tháng Từ tháng đến năm Từ – năm Trên năm Anh/ Chị đào tạo kiến thức ATTT thơng qua khóa học bên ngồi nội cơng ty chưa? Có Chưa Anh/ Chị cho khóa học ATTT thời gian tới có cần thiết cho thân khơng? Có Chưa Theo anh/ chị, cơng ty có cần phận chuyên trách ATTT hay không? Có Chưa Đánh giá anh/ chị khả diệt virus tính tương thích phần mềm diệt virus BKAV Pro Rất tốt Tốt Khá tốt Chưa tốt Khơng có ý kiến Công ty sử dụng firewall nào? Windows Firewall Thiết bị tường lửa Fortigate Thiết bị tường lửa Cisco Khác Hiệu firewall công ty? Rất tốt Tốt Khá tốt Chưa tốt Không có ý kiến Đánh giá mức độ hài lịng anh/ chị việc ứng dụng CNTT, HTTT công ty Hãy cho biết mức độ đồng ý anh/chị câu hỏi bảng đây: A A1 Phần cứng Công ty cung cấp đầy đủ trang thiết bị phần cứng cho anh/chị trình Rất không đồng ý Không đồng ý Trung lập Đồng ý Hoàn toàn đồng ý A2 A3 B B1 B2 B3 C C1 C2 D D1 D2 làm việc Các thiết bị phần cứng hoạt động tốt Các thiết bị phần cứng đáp ứng hầu hết nhu cầu sử dụng anh/chị Phần mềm Công ty cung cấp phần mềm phù hợp với công việc anh/chị Các phần mềm công ty cung cấp dễ sử dụng đạt hiệu cao Các phần mềm cung cấp đáp ứng hầu hết nhu cầu sử dụng anh/chị trình làm việc Hệ thống mạng Tốc độ truy cập mạng công ty mức cao Chất lượng mạng ln trì ổn định An tồn bảo mật Cơng ty sử dụng phần mềm bảo mật để đảm bảo an tồn thơng tin An tồn bảo mật hệ thống thơng tin cơng ty ln trì mức cao Cảm ơn anh/ chị tham gia! Chúc anh/ chị ngày làm việc vui vẻ hiệu ... MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN CHO HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN PHẦN MỀM BRAVO 33 3.1 Định hướng phát triển an tồn bảo mật cho hệ thống thơng tin Cơng ty Cổ phần Phần mềm BRAVO. .. cơng ty Dựa tình hình trên, em định lựa chọn đề tài: ? ?Một số giải pháp đảm bảo an toàn cho Hệ thống thông tin Công ty Cổ phần Phần mềm BRAVO? ?? với hi vọng mang lại cho Công ty Cổ phần Phần mềm BRAVO. .. SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN CHO HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN PHẦN MỀM BRAVO 3.1 Định hướng phát triển an tồn bảo mật cho hệ thống thơng tin Công ty Cổ phần Phần mềm BRAVO Là doanh nghiệp