Ở câu hỏi thứ hai: “Mức độ trang bị thiết bị phần cứng bảo mật?” có trên 2/3 ý kiến cho rằng các thiết bị bảo mật của Cơng ty cịn rất thiếu thốn, chưa đáp ứng được yêu cầu về ATTT cho cơng ty. Như vậy, muốn đảm bảo ATTT thì Cơng ty cần đầu tư thêm cho cơ sở hạ tầng CNTT.
Ở câu hỏi thứ ba: “Cách thức đảm bảo ATTT được sử dụng trong Công ty?” hầu hết nhân viên cho biết có sử dụng phần mềm diệt virus và sử dụng các giao thức mạng an toàn. Số lượng nhân viên sử dụng các phần mềm bảo mật là rất ít, điều này sẽ là một nguy cơ lớn đối với vấn đề ATTT cho Công ty.
(4). Cách thức bảo vệ CSDL được sử dụng trong Công ty?
Biểu đồ 2.5. Cách thức bảo vệ CSDL trong Công ty
Ở câu hỏi thứ tư: “Cách thức bảo vệ CSDL trong Công ty?”, ý kiến của các nhân viên cho thấy hệ thống CSDL của Công ty đã được phân quyền sử dụng một cách rõ ràng và cũng có khá nhiều nhân viên lựa chọn cách bảo vệ dữ liệu riêng cho mình là đặt mật khẩu cho máy tình và tài liệu. Tuy vậy, để có thể nâng cao tính an tồn, nên sử dụng kết hợp với các phương pháp mã hóa tài liệu.
(5). Trình độ hiểu biết của nhân viên về ATTT?
Biểu đồ 2.6. Trình độ hiểu biết của nhân viên về ATTT
Ở câu hỏi thứ năm: “Trình độ hiểu biết của nhân viên về ATTT?”, kết quả điều tra cho thấy trình độ hiểu biết về ATTT của nhân viên cịn chưa cao. Hầu hết nhân viên trong Cơng ty chưa qua một lớp hoặc khóa đào tạo nào về ATTT. Để hướng tới mục tiêu đảm bảo ATTT Cơng ty cần có kế hoạch đào tạo phát triển nguồn nhân lực trong thời gian tới.
(6). Tần suất sao lưu dữ liệu?
Ở câu hỏi thứ sáu: “Tần suất sao lưu dữ liệu của Công ty?” phần lớn ý kiến cho rằng dữ liệu của công ty được sao lưu từ 1 đến 2 tháng một lần. Với tần suất sao lưu như vậy, nếu có gặp sự cố về ATTT thì mức độ thiệt hại cũng giảm bớt đi vì thơng tin khơng bị mất đi nhiều.
(7). Tầm quan trọng của công tác ATTT đối với công ty?
Biểu đồ 2.8. Nhận thức về tầm quan trọng của ATTT
Ở câu hỏi thứ bảy: “Nhận thức về tầm quan trọng của ATTT?” kết quả cho thấy phần lớn nhân viên trong Công ty đã ý thức được về tầm quan trọng của vấn đề ATTT. Đây sẽ là một lợi thế cho công ty khi mà các nhân viên ý thức được việc bảo mật thông tin cho Công ty.
(8). Trở ngại khi phát triển ATTT của công ty.
Ở câu hỏi cuối cùng “Trở ngại khi phát triển ATTT của Cơng ty?”, ý kiến tập trung vào trở ngại chính là “nguồn nhân lực”. Bởi nhận thức về ATTT của nhân viên chưa cao nên khó có thể đạt được mục tiêu an tồn cho hệ thống.
2.2.4. Đánh giá thực trạng an tồn bảo mật thơng tin tại cơng ty
Qua q trình thu thập và phân tích kết quả điều tra, có thể đưa ra nhận xét về tình hình đảm bảo ATTT của Cơng ty cổ phần cơng nghệ y dược Hà Nội:
Điểm mạnh
Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trong tình trạng cịn mới, hoạt động tốt và ổn định. Đây sẽ là một sự khởi đầu tốt cho kế hoạch xây dựng một hệ thống đảm bảo ATTT cho Công ty.
Các phần mềm ứng dụng là phần mềm có bản quyền. Việc mua bản quyền phần mềm giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theo virus, mã độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy cơ ATTT, cập nhật các bản vá lỗi của nhà sản xuất.
Hệ thống phân quyền người sử dụng giúp làm giảm bớt sự tiếp xúc của thơng tin với mơi trường ngồi, làm tăng tính bảo mật của thơng tin.
Cơ chế sao lưu dữ liệu thường xuyên giúp Công ty hạn chế tối thiểu những tổn thất khi thơng tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa.
Phần lớn nhân viên và ban lãnh đạo Công ty đã nhận thức được tầm quan trọng của ATTT đối với hoạt động kinh doanh và sự phát triển của Công ty.
Công ty mới thành lập với đội ngũ nhân viên trẻ, nhiệt huyết dễ dàng tiếp thu cái mới nên đào tạo họ sẽ nắm bắt vấn đề rất nhanh chóng.
Điểm yếu
Cơng ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT (các thiết bị, phần mềm bảo mật) cũng là nền tảng quan trọng cho vấn đề an ninh thông tin.
Kiến thức về ATTT của nhân viên trong Công ty chưa cao, dẫn đến nhiều nguy cơ mất ATTT của doanh nghiệp.
Là cơng ty mới thành lập, chưa giành được sự tín nhiệm cao của khách hàng, vì thế khách hàng cũng khơng tin tưởng vào cách giao dịch thông qua các công cụ điện tử.
Các hình thức bảo đảm an tồn và bảo mật thơng tin, dữ liệu trong Cơng ty cịn q sơ sài, chưa đủ để đảm bảo mục tiêu an tồn bảo mật của hệ thống.
Hình thức giao dịch chủ yếu của Công ty vẫn là giao dịch truyền thống. Hình thức này vừa tốn kém về thời gian, chi phí vừa khó đảm bảo được an tồn thơng tin cho cả Công ty và đối tác.
Thực trạng về vấn đề an ninh thông tin tại Công ty cổ phần và cơng nghệ y dược Hà Nội như đã phân tích, đánh giá ở trên cho thấy việc đảm bảo ATTT là một vấn đề quan trọng đối với hoạt động của Công ty.
CHƯƠNG 3
NGHIÊN CỨU VÀ ĐỀ XUẤT NHẰM ĐẢM BẢO AN TỒN THƠNG TIN CHO CƠNG TY CỔ PHẦN CÔNG NGHỆ Y DƯỢC HÀ NỘI 3.1. Định hướng phát triển đảm bảo an tồn thơng tin cho cơng ty cổ
phần công nghệ y dược Hà Nội
Ở nước ta, khoảng mười năm trở lại đây thì cơng nghệ thơng tin khơng cịn xa lạ, và ngày càng được ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống xã hội, đặc biệt là lĩnh vực quản lý.
Ra đời và phát triển trong bối cảnh đó, Cơng ty cổ phần cơng nghệ y dược Hà Nội cần phải xác định những bước đi đúng đắn trong việc ứng dụng CNTT của mình để theo kịp những bước phát triển vượt bậc của xã hội.
Theo ông Nguyễn Xuân Vĩnh – giám đốc Công ty cổ phần công nghệ y dược Hà Nội, công ty định hướng phát triển ATTT:
Đảm bảo tính an tồn bảo mật đối với mọi thông tin, dữ liệu trong hệ thống: thông tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty…. nhằm làm tăng khả năng cạnh tranh và uy tín của cơng ty trên thị trường.
Dựa trên những định hướng của ban lãnh đạo Công ty cổ phần cơng nghệ y dược Hà Nội, khóa luận sẽ đưa ra một số giải pháp nhằm hướng tới mục tiêu mà công ty đã đề ra.
3.2. Đề xuất đảm bảo an tồn thơng tin cho Cơng ty
3.2.1. Thiết bị phần cứng
Hầu hết các doanh nghiệp vừa và nhỏ của Việt Nam đều chưa chú ý tới bảo mật, do đó mạng kết nối Internet trong doanh nghiệp được thả nổi và các nhân viên được tự do truy cập Internet mà khơng bị kiểm sốt. Bên cạnh các rủi ro về thất thốt thơng tin, thì Internet cịn lấy đi rất nhiều tiền bạc của doanh nghiệp do trong giờ làm việc các nhân viên lại chú tâm vào đọc báo điện tử, chơi game, download, facebook, twitter…thay vì làm việc. Bên cạnh đó Internet thường xun gây ra tình trạng ngưng
Để tránh tình trạng này, Cơng ty cổ phần công nghệ y dược Hà Nội nên triển khai thiết bị bảo mật "cisco RV016 " của cisco :
Hình 3.1. Cisco RV016 Multi-WAN VPN Router
Với các chức năng:
An ninh mạnh: Cung cấp khả năng kiểm tra trạng thái gói tin (SPI) bức tường lửa và mã hóa phần cứng;
Cơng suất cao, hiệu suất cao khả năng IPsec VPN;
Web dịch vụ bảo mật dựa trên đám mây Tùy chọn Cisco ProtectLink cung cấp lọc URL động và bảo vệ mối đe dọa web;
Tường lửa SPI, từ chối dịch vụ (DoS), bóng của cái chết, lũ lụt SYN, tấn công mặt đất, IP giả mạo, thông báo qua email cho hacker tấn công;
Quy tắc truy cập : Lên đến 50 mục; Cổng chuyển tiếp :Lên đến 30 mục; Cổng kích hoạt : Lên đến 30 mục;
Ngăn chặn: Java, cookies, ActiveX, HTTP proxy; Lọc nội dung : Chặn URL tĩnh hoặc chặn từ khóa;
Lọc web: Tùy chọn dịch vụ Web bảo mật dựa trên đám mây của Cisco ProtectLink; Quản lý an toàn: HTTPS, tên người dùng / mật khẩu, mật khẩu phức tạp;
Hình 3.2. Cấu hình điển hình
Với quy mơ cơng ty hiện nay có thể coi sản phẩm này là thiết bị bảo mật khá toàn diện với chi phù hợp và phù hợp với thực trạng Công ty cổ phần công nghệ y dược Hà Nội...
3.2.2.Phần mềm
a. Phần mềm mã hóa
Mã hóa dữ liệu là một trong những cách cơ bản nhất mà người dùng thường sử dụng để bảo vệ thông tin trên máy tính. Người sử dụng cần tiến hành mã hóa các thơng tin, dữ liệu quan trọng mà mình khơng muốn bất kỳ người dùng nào khác có thể đọc
được. Phần mềm mã hóa thì Cơng ty nên sử dụng GiliSoft File Lock Pro vì các chức nưng nổi trội:
Ẩn dữ liệu: GiliSoft File Lock Pro có thể ẩn các tập tin, thư mục cá nhân và ổ đĩa của bạn, làm cho chúng trở nên “hồn tồn vơ hình” đối với người dùng và chương trình.
Khóa dữ liệu: Bảo vệ các tập tin/thư mục/ổ đĩa bị khóa khơng bị truy cập. Người dùng không thể mở, đọc, chỉnh sửa, di chuyển, xóa, sao chép, đổi tên các tập tin/thư mục được bảo vệ mà không cần mật khẩu. Các tập tin và thư mục con trong một thư mục bị khóa cũng được bảo vệ.
Mã hóa dữ liệu: Chương trình có thể mã hóa bất kỳ tập tin và thư mục nào. Mã hóa di động: Gói và mã hóa một thư mục thành một file thực thi (exe file) với thuật tốn mã hóa AES. Bạn có thể mã hóa những dữ liệu quan trọng bằng phương pháp này, và sau đó gửi nó qua mạng hoặc các phương tiện khác để sử dụng trên máy tính mà khơng cần Gili File Lock Pro.
Xóa an tồn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn dữ liệu nhạy cảm từ ổ đĩa cứng của bạn bằng cách ghi đè lên nó nhiều lần với các mẫu lựa chọn cẩn thận. Khơng ai có thể phục hồi dữ liệu bị xóa từ ổ đĩa cứng của bạn nếu bạn xóa nó an tồn.
b. Phần mềm bảo mật
Triển khai phần mềm bảo mật với các tính năng chống virus, mã độc, thư rác trên các máy chủ, các thiết bị di động trong mạng để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình qt virus của cơng ty trên máy chủ và các máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xun ít nhất là hằng tuần.
Cơng ty cổ phần y dược Hà Nội có thể sử dụng sản phẩm Bitdefender SBS Security cho Server và các máy lưu trữ dữ liệu chính ở mỗi phịng ban.
Bitdefender SBS Security một số tính năng đặc biệt như:
Giúp duy trì hiệu suất làm việc của nhân viên. Cơng ty có thể kiểm sốt những người sử dụng mạng xã hội hoặc các trang web chơi game trong giờ làm việc, hạn chế tải tập tin, quản lý Internet và truy cập ứng dụng của nhân viên. Báo cáo chi tiết việc sử dụng mạng máy tính nhanh chóng và dễ dàng.
Bảo vệ thời gian thực cho các hoạt động kinh doanh
Là một giải pháp bảo vệ đủ mạnh để đáp ứng nhu cầu bảo mật cho hoạt động kinh doanh của cơng ty. Có thể chọn khi nào và bao lâu thì cơng ty nên sao chép dự phịng các dữ liệu kinh doanh có giá trị, các thơng tin nhạy cảm được lưu trữ và chuyển giao an tồn trong các tập tin mã hóa, mật khẩu bảo vệ, chạy tiện ích quản lý các mật khẩu được tạo ra. Và sử dụng các công nghệ tiên tiến để các dữ liệu nhạy cảm không thể phục hồi lại khi được xóa.
Bảo vệ thời gian thực khỏi các mối đe dọa từ Internet
Với cơ sở dữ liệu phần mềm độc hại mạnh mẽ, được cập nhật thường xuyên và khả năng bảo vệ thời gian thực, điều này có giá trị rất lớn trong việc bảo vệ an toàn dữ liệu cho doanh nghiệp ngay cả khi xuất hiện các mối đe dọa mới nhất. Có thể ẩn các q trình qt để khơng làm phiền nhân viên trong quá trình làm việc, giúp họ tập trung vào công việc và đạt hiệu quả tốt nhất.
Quản lý bảo mật tập trung cho máy chủ và máy trạm của bạn
Giao diện mạnh mẽ nhưng đơn giản giúp bảo vệ hệ thống mạng doanh nghiệp một cách đơn giản. Có thể quản lý và thiết lập bảo vệ tồn bộ hệ thống từ một máy tính, cho phép thực hiện quét virus và sao lưu, hoặc kiểm tra gia hạn bản quyền khi cần.
Dễ dàng sử dụng
Bitdefender SBS Security đã được thiết kế đặc biệt để cung cấp tính năng bảo vệ
hàng đầu thế giới cho mạng doanh nghiệp mà không cần đến một chuyên viên IT. Vì vậy hệ thống mạng của công ty vẫn sẽ được bảo vệ mà không cần phải tốn thời gian.
Bitdefender SBS Security cung cấp sự bảo vệ tự động trong thời gian thực
Bảo vệ trong thời gian thực giúp máy tính chống lại các virus và phần mềm gián điệp.
Quét email và website phát hiện mã độc.
Bảo vệ thông tin tài khỏan của bạn mọi nơi mọi lúc.
Quét tìm lỗ hổng bảo mật và cố vấn cách khắc phục.
3.2.3.Cơ sở dữ liệu
Hiện tại, Công ty cổ phần y dược Hà Nội đang sử dụng hệ quản trị CSDL SQL Server với các tính năng chính như: mã hóa trong suốt và hiệu quả, khả năng giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL bằng cơng cụ và chính sách, khả năng tích hợp với System Center, lập trình dễ dàng và hiệu quả, lưu trữ được nhiều loại dữ liệu, khả năng thao tác song hành trên các bảng dữ liệu phân vùng... Tuy hệ quản trị này có nhiều chức năng nổi trội như vậy nhưng để đảm bảo mục tiêu ATTT, công ty vẫn cần quan tâm tới một số vấn đề sau:
Tổ chức quản lý tài nguyên
Kiểm tra, giám sát chức năng chia sẻ thông tin (Network File and Folder Sharing). Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, tuyệt đối khơng được chia sẻ tồn bộ ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu để bảo vệ thông tin.
Bên cạnh việc bảo mật dữ liệu mềm trên máy tính, cơng ty cũng ln phải chú ý tới tính an tồn bảo mật của các dữ liệu cứng như: các báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất… Các tài liệu này ngoài việc bảo quản cẩn thận trong tủ hồ sơ