Như vậy trong cơng ty vẫn cịn một số nhân viên sử dụng các phần mềm, ứng dụng không bản quyền, đây là một lỗ hổng rất dễ bị các đối tượng sử dụng để đánh cắp dữ liệu thông tin của người sử dụng, điều đó sẽ gây tổn hại đến hoạt động kinh doanh của công ty.
2.3. ĐÁNH GIÁ VỀ AN TỒN CHO HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN VIỆT MEDICARE
2.3.1. Ưu điểm
Công ty luôn chú trọng công tác đào tạo nâng cao khả năng cho các cán bộ nhân viên CNTT của cơng ty và có chính sách đãi ngộ hợp lí để thu hút, đào tạo, phát triển và duy trì nguồn nhân lực hiểu biết CNTT nói chung và HTTT nói riêng, nhằm đạt được kết quả tối ưu cho cả công ty lẫn nhân viên.
Cơng ty đề ra các chính sách tuyển dụng đúng người, đúng năng lực và các nhân viên đảm bảo 100% có chứng chỉ tin học tuy thuộc các phòng ban bộ phận khác nhau nhưng cũng được đào tạo tìm hiểu về CNTT, HTTT mà cơng ty đã và đang sử dụng đảm bảo trong q trình làm việc khơng có vấn đề xảy ra.
Theo như khảo sát thì ở các máy tính của cơng ty đểu sử dụng các phương pháp đảm bảo cho dữ liệu của máy tính: 60% số máy tính sử dụng ổ cứng độ bền cao cho máy tính để đảm bảo về dữ liệu, 20% lại sử dụng giải pháp đồng bộ lên mạng còn lại 20% sử dụng phương pháp sao lưu liên tục. Qua việc thực hiện các biện pháp có thể thấy được rằng doanh nghiệp đã có những biện pháp cụ thể để đảm bảo an tồn dữ liệu cho doanh nghiệp mình. Hạn chế tối đa việc mất an tồn thơng tin cho hệ thống thông tin của công ty.
Qua khảo sát cũng thấy được, nhân viên trong cơng ty cũng đã có sự quan tâm tới việc an toàn cho hệ thống thơng tin điều đó đã nâng cao được ý thức bảo vệ thông tin và phịng tránh mất an tồn thơng tin trong cơng ty.
Website của công ty thường xuyên được cập nhật thông tin để đảm bảo đầy đủ nội dung sản phẩm đến cho khách hàng. Bên cạnh đó, cơng ty cũng bảo trì website định kỳ để tránh các lỗi đáng tiếc xảy ra, vì vậy ln đảm bảo được hoạt động kinh doanh của công ty.
Hệ thống thư điện tử được cấp từ hịm mail của cơng ty, đảm bảo 1 địa chỉ cố định để liên lạc với các nhân viên. Hệ thống được định kỳ bảo trì 6 tháng/lần tương đối tốt. Nội dung bảo trì bao qt và có trọng tâm trọng điểm.
2.3.2. Nhược điểm
+ Cơng ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT (các thiết bị, phần mềm bảo mật) cũng là nền tảng quan trọng cho vấn đề an ninh thông tin.
+ Theo như điều tra, chỉ có 70% số máy tính cá nhân sử dụng các phần mềm miễn phí, có thể crack trên mạng, 30% máy tính là có sử dụng phần mềm diệt virut có bản quyền được hỗ trợ từ nhà sản xuất cho thấy mức độ chú trọng tới công tác bảo mật của từng máy tính của nhân viên cịn chưa cao. Kiến thức về ATTT của nhân viên trong Công ty chưa cao, dẫn đến nhiều nguy cơ mất ATTT của doanh nghiệp.
+Các hình thức bảo đảm an tồn và bảo mật thơng tin, dữ liệu trong Cơng ty cịn q sơ sài, chưa đủ để đảm bảo mục tiêu an toàn bảo mật của hệ thống.
+ Hình thức giao dịch chủ yếu của Công ty là giao dịch TMĐT.Ban lãnh đạo công ty xây dựng hoạt động TMĐT cho cơng ty nhưng chưa có định hướng cụ thể cho việc phát triển nó, tiến hành đầu tư đại trà cho marketing nhưng quy trình kiểm sốt đo lường, hiệu quả chưa đạt được như mong muốn. Ngồi ra lãnh đạo cơng ty chưa quan tâm nhiều đến nguy cơ xảy ra khi giao dịch TMĐT, đây là môi trường giao dịch nhiều rủi ro, độ tin cậy của các phương tiện điện tử cũng như tính pháp lý của các giao dịch điện tử chưa cao, việc nhầm lẫn thông tin khách hàng và sản phẩm thường xuyên xảy ra gây nhiều tổn hại đến hoạt động kinh doanh của công ty.
+ Hạ tầng kỹ thuật CNTT công ty cổ phần Việt Medicare vẫn chưa đảm bảo được tính đồng bộ một cách tối ưu nhất. Cơng ty chưa có cơ chế hay phần mềm kiểm tra kết nối giữa megtáy chủ và các máy đặt ở phịng ban, chưa có cơ chế tự động thơng báo. Khi một máy tính tại một phịng ban bị hư hỏng cần sửa chữa thì chưa có cơ chế tự động thơng báo, mà việc thơng báo sửa chữa là hồn tồn thủ cơng.
- Nguyên nhân của hạn chế:
+ Lãnh đạo chưa quan tâm và nhận thức được tầm quan trọng của CNTT ứng dụng trong doanh nghiệp mình để từ đó
+ Chưa đáp ứng được cơng nghệ, nhân viên chuyên trách về CNTT, HTTT + Nền kinh tế Việt Nam nói chung và thế giới nói riêng gặp khủng hoảng nặng khiến ngân sách bị hạn chế nên việc đầu tư vào CNTT, HTTT gặp nhiều hạn chế
- Phương hướng giải quyết:
+Về lâu dài công ty cần các hệ quản trị cơ sở dữ liệu có dung lượng lớn và hỗ
trợ nhiều hơn đảm bảo trong việc lưu trữ và quản lý CSDL đáp ứng nhu cầu sử dụng của các phịng ban khác nhau trong cơng ty.
+ Yêu cầu phải gắn kết, phối hợp đồng bộ ứng dụng CNTT với chương
CHƯƠNG 3. ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TỒN CHO HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN
VIỆT MEDICARE
3.1. ĐỊNH HƯỚNG PHÁT TRIỂN AN TỒN TRONG HỆ THỐNG THƠNG TIN CỦA CƠNG TY CỔ PHẦN VIỆT MEDICARE
Công nghệ thông tin ngày càng phát triển, nhu cầu sử dụng máy tính của con người ngày càng cao, nếu như trước kia con người thường phải sử dụng sổ sách rất nhiều để lưu trữ thông tin một cách thủ cơng thì hiện nay, việc lưu trữ thơng tin nhân viên, khách hàng, dữ liệu công ty, đều ở dạng CSDL. Cũng giống như các doanh nghiệp khác, Công ty Cổ phần cấp Việt Medicare cũng sử dụng các hệ quản trị CSDL để lưu trữ tất cả các thơng tin của mình.
Tuy nhiên, khi đồng thời nhiều người cùng truy cập CSDL với các mục đích khác nhau và được quản lý tập trung nên khả năng rủi ro mất dữ liệu rất cao. Vì vậy, để dễ dàng đưa ra các giải pháp nhằm đảm bảo an toàn và bảo mật CSDL ta chia hệ thống thành 3 nhóm giải pháp gồm: phần cứng, phần mềm và con người.
Theo ông Ngô Quang Trung– Giám đốc Công ty cổ phần Việt Medicare, cơng ty định hướng phát triển an tồn cho HTTT với các mục tiêu cụ thể:
Đảm bảo tính an tồn cho HTTT, dữ liệu trong hệ thống: thông tin khách hàng, thông tin sản phẩm, thông tin về các đối tác liên kết, thông tin hoạt động nội bộ công ty,nhằm làm tăng khả năng cạnh tranh và uy tín của cơng ty trên thị trường.
Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của cơng ty, giúp giảm bớt chi phí hoạt động cho cơng ty.
Hoàn thiện hệ thống chữ ký số và xác thực chứng chỉ số.
Tổ chức các chương trình đào tạo cho nhân viên nhằm nâng cao kiến thức an toàn HTTT trong doanh nghiệp.
Dựa trên những định hướng của ban lãnh đạo Công ty cổ phần Việt Medicarevề HTTT của cơng ty trong tương lai, khóa luận sẽ đưa ra một số giải pháp nhằm hướng tới mục tiêu mà Công ty đã đề ra.
3.2. GIẢI PHÁP NÂNG CAO AN TỒN VÀ BẢO MẬT CHO HỆ THỐNGTHƠNG TIN CỦA CƠNG TY THƠNG TIN CỦA CƠNG TY
Trong thời đại cơng nghệ phát triển như hiện nay, Doanh nghiệp nào cũng sử dụng Internet, chính điều đó đã tạo điều kiện rất dễ xâm nhập ăn cắp dữ liệu, mà hơn hết các dữ liệu cá nhân hay doanh nghiệp là tài sản vô cùng quý giá quyết định số mạng của cả một doanh nghiệp hay một tổ chức nào đó. Cơng ty Cổ phần Việt Medicare cũng vậy, do đó cần có các giải pháp hiệu quả để hệ thống máy tính của khách hàng luôn luôn được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
3.2.1. Giải pháp đầu tư trang thiết bị phần cứng
3.2.1.1. Nâng cấp phần cứng
Tổng số máy trong công ty là 15 máy, tất cả máy trong phòng ban đều được kết nối Internet và mạng LAN và được kiểm sốt bởi máy chủ tại phịng cơng nghệ thông tin của công ty. Doanh nghiệp ln địi hỏi website, hệ thống e-mail ở trạng thái sẵn sàng cung cấp thơng tin, có thể truy cập được 24/24. Vì vậy, máy chủ là một phần khơng thể thiếu trong HTTT của doanh nghiệp. Hơn nữa, việc sở hữu 1 máy chủ có thời gian hoạt động lâu dài, tốc độ xử lý cũng như cập nhật dữ liệu kịp thời sẽ giúp cho khả năng quản lý thông tin của công ty trở nên tối ưu. Tránh được nguy cơ mất cắp dữ liệu và hạn chế được các cuộc tấn công qua mạng hay virus backdoor.
Mức yêu cầu tối thiểu của phần cứng đặt ra đối với máy chủ và máy tính cá nhân người dùng được đề suất như sau:
+ Đối với máy chủ phần mềm:
Máy chủ là máy PC có cấu hình như sau
CPU Core 2 duo 2.8 GHz hoặc mạnh hơn
RAM 4GB
HDD 500GB
Network card 10/100/1000Mbps
Software Os: Windowns,Database : MySQL 5.1.x or SQL server 2008
+ Đối với máy tính cá nhân người dùng: Máy người sử dụng hệ thống
CPU Intel hoặc mạnh hơn
RAM 1GB trở lên
HDD 20GB
Network card 200 Mbps
Software Os: Windowns
3.2.1.2. Giải pháp bảo vệ bằng tường lửa phần cứng (FireWall)
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ như là một bức rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạng này. Nếu như khơng có tường lửa thì lưu lượng ra vào mạng nội bộ sẽ không chịu bất kỳ sự điều tiết nào, cịn một khi tường lửa được xây dựng thì lưu lượng ra vào sẽ do các thiết lập trên tường lửa quy định.
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall.
Hình 3.1: Tường lửa cho hệ thống mạngFirewall của Cisco: Firewall của Cisco:
Các sản phẩm tường lửa của Cisco là giải pháp dễ triển khai cho các môi trường doanh nghiệp nhỏ, văn phòng chi nhánh và doanh nghiệp từ xa bằng cách tích hợp tường lửa đẳng cấp thế giới, bảo mật truyền thông hợp nhất với giá thành phù hợp. Đối với công ty quy mô nhỏ như công ty Việt Medicare có thể sử dụng tường lửa Cisco ASA với các dịch vụ FirePOWER cung cấp khả năng nhận biết theo ngữ cảnh đầy đủ và những điều khiển linh động cần thiết để tự động đánh giá các nguy cơ an ninh, tương quan thơng tin và tối ưu hóa hoạt động phịng thủ để bảo vệ toàn bộ mạng.Bằng cách kết hợp tường lửa Cisco ASA 5500 Series đã được kiểm chứng với năng lực kiểm soát ứng dụng, các Hệ thống Ngăn chặn Xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS)hàng đầu trong ngành với chức năng Đối phó với Mã độc Tiên tiến (AMP) từ Sourcefire, Cisco đang cung cấp giải pháp bảo vệ tích hợp ở tất cả mọi giai đoạn tấn công, bao gồm cả trước, trong và sau mỗi vụ tấn công.
Cisco ASA with FirePOWER Services là một sản phẩm Tường lửa thế hệ mới thích ứng, tập trung vào nguy cơ an ninh với khả năng cung cấp hoạt động bảo vệ đa lớp, vượt trội, mở rộng các khả năng của nó vượt xa các giải pháp NGFW thơng thường. Sản phẩm cung cấp thông tin vượt trội và hoạt động phân tích liên tục để phát hiện các nguy cơ an ninh phức tạp, đa chiều cạnh và đồng bộ hóa, tự động hóa hoạt
động phản ứng trước cả mã độc đã biết và mã độc mới. Nó cịn cung cấp IoC tồn diện, hỗ trợ ra quyết định để đẩy nhanh tốc độ điều tra và rà soát, khắc phục, cùng với việc xác định phạm vi đối phó sự cố tích hợp và cập nhật chính sách phát hiện nguy cơ an ninh tự động.
Cisco cho biết, khách hàng có thể chọn mua các thiết bị firewall Cisco ASA mới kèm giấy phép FirePOWER; hoặc các khách hàng đang sở hữu các firewall ASA 5500-X hay 5585-X series có thể mua thêm giấy phép sử dụng FirePOWER cho hệ thống của mình.Một mơi trường cấu hình chung làm đơn giản hóa cơng việc quản lý và làm giảm chi phí đào tạo, trong khi thiết bị phần cứng chung của họ sản phẩm này làm giảm chi phí dự phịng. Hiện tại, Cisco chiếm khoảng ¼ thị phần sản phẩm firewall trên thị trường.
3.2.1.3. Giao thức bảo mật đường truyền
Trong an tồn thơng tin thì đảm bảo đường truyền là một trong những vấn đề khá quan tâm.
Dưới đây là một số giao thức bảo mật đường truyền cụ thể:
- Giao thức WEP- Wired Equivalent Privacy.
WEP được thiết kế để đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ như mạng nối cáp truyền thống. WEP cung cấp bảo mật cho dữ liệu trên mạng khơng dây qua phương thức mã hóa sử dụng thuật tốn đối xứng RC4. Thuật tốn RC4 cho phép chiều dài khóa thay đổi và có thể lên đến 256bit. Hiện nay, đa số các thiết bị khơng dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit.
Do WEP sử dụng RC4, một thuật toán sử dụng phương thức mã hóa dịng, nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đốn khóa của Hacker. Để đạt được mục đích trên, sử dụng RC4 cùng giá trị Initialization Vector (IV) nên có các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện IV và bẻ khóa WEP, tấn cơng thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit sẽ gia tăng số lượng gói dữ liệu Hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP.
- Giao thức SSL.
SSL là giao thức đa mục đích, được thiết kế nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) để mã hóa tồn bộ thơng tin đi/đến. SSl được xây dựng trên tâng giao vận của mơ hình TCP/IP. Bất kỳ ứng dụng mạng nào khi cài đặt sử dụng mơ hình TCP/IP đều có thể thay đổi cấu hình đê có thể sử dụng giao thức SSL.
SSL (Secure Sockets Layer) cho phép bạn truyền đạt thông tin một cách bảo mật và an toàn qua mạng. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường internet được an tồn., là tiêu chuẩn của cơng nghệ bảo mật, truyền thơng mã hố giữa máy chủ Web server và trình duyệt (browser).
Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hố thơng tin giữa client và server. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn: