Từ biểu đồ trên ta thấy rằng, khó khăn chủ yếu của cơng ty là vấn đề ngân sách cho việc bảo mật thông tin cho website.
● Tầm quan trọng của công tác bảo mật thông tin đối với công ty? Bảng 2.7. Tầm quan trọng của công tác bảo mật đối với công ty
Tầm quan trọng của công tác
bảo mật Lựa chọn Tỷ lệ (%) Rất quan trọng 8 53 Quan trọng 4 27 Bình thường 2 13 Khơng quan trọng 1 7 Tổng 15 100
Biểu đồ 2.3. Tầm quan trọng của công tác bảo mật đối với công ty
Với tỷ lệ 53% rất quan trọng và 27% quan trọng khá cao, chứng tỏ tầm quan trọng về an toàn và bảo mật thông tin trong công ty khá lớn.
● Giải pháp nào cần làm đầu tiên để có thể tiến hành an tồn thơng tin ?
Khi được hỏi về giải pháp cần làm đầu tiên để có thể tiến hành an tồn thơng tin cho cơng ty có rất nhiều ý kiến đưa ra,kết quả tổng hợp được như bảng sau
Bảng 2.8. Giải pháp cần làm đầu tiên để tiến hành an tồn thơng tin.
Giải pháp Lựa
chọn Tỷ lệ (%)
Giải pháp hệ thống tường lửa và bảo vệ chu vi mạng 5 33.33 Giải pháp thiết kế hệ thống phát hiện và ngăn ngừa 3 20
Giải pháp an tồn mạng khơng dây 3 20
Giải pháp ứng dụng điện toán đám mây 4 26.67
Tổng 15 100
Biểu đồ 2.4. Giải pháp cần làm đầu tiên để tiến hành an tồn thơng tin.
Ta thấy nhân viên công ty vẫn đề cao giải pháp về hệ thống tường lửa đây là giải pháp phù hợp nhất cho vấn đề an tồn bảo mật của cơng ty
● Phương pháp kĩ thuật công ty sẽ dùng để bảo mật thông tin?
Khi đưa ra câu hỏi về phương pháp kỹ thuật công ty sẽ dùng để bảo mật thơng tin thì tỉ lệ lựa chọn cao nhất là phương pháp kết cấu mạng nội bộ nghiêm ngặt. Kết quả tổng hợp thu được như bảng sau:
Bảng 2.9. Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin
Phương pháp kỹ thuật Lựa chọn Tỷ lệ (%)
Kết cấu mạng nội bộ nghiêm ngặt 8 53
Cơ chế an toàn đầy đủ cho mạng 3 20
Đảm bảo sự toàn diện của hệ thống 4 27
Biểu đồ 2.5. Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin
Ta thấy nên có sự kết hợp giữa 3 phương pháp này để hệ thống thông tin của công ty được bảo mật một cách tốt nhất.
● Trong thời gian tới công ty dự định sẽ chi bao nhiêu cho công tác bảo mật thông tin ?
Bảng 2.10. Dự kiến đầu tư cho công tác bảo mật thông tin của công ty
Khả năng chi Lựa chọn Tỷ lệ (%)
<10 Triệu 4 26.67
10 - 50 triệu 7 46.66
>50 Triệu 4 26.67
Tổng 15 100
Có thể thấy rằng, trong thời gian tới, nguyện vọng của các nhân viên trong công ty muốn đầu tư nhiều hơn nữa cho công tác bảo mật thông tin bởi bảo mật thơng tin có ý nghĩa vơ cùng lớn tới hoạt động kinh doanh của doanh nghiệp. Qua đó có thể thấy rằng những người lãnh đạo cơng ty nên có những quyết định đầu tư đúng đắn cho cơng tác bảo mật thông tin.
Biểu đồ 2.6. Dự kiến đầu tư cho công tác bảo mật thông tin của cơng ty
Có thể thấy rằng, trong thời gian tới, nguyện vọng của các nhân viên trong công ty muốn đầu tư nhiều hơn nữa cho công tác bảo mật thông tin .
2.2.4 Đánh giá thực trạng bảo mật, an toàn dữ liệu ở cơng ty cổ phần Hồng Giang.
Bằng những gì đã thu thập được, sau q trình phân tích và nghiên cứu, em xin đưa ra một số đánh giá về thực trạng bảo mật, an toàn dữ liệu ở cơng ty cổ phần Hồng Giang.
➢Điểm mạnh
-Qua phiếu khảo sát cho thấy đội ngũ quản trị mảng CNTT của cơng ty cũng đang có mối quan tâm, có hướng đi đúng đắn trong việc đưa ra chiến lược để nâng cấp hệ thống bảo mật để đảm bảo cho công tác bảo mật và an tồn thơng tin. Đồng thời, cũng cũng có dự định đầu tư thêm vào cho hoạt động an tồn bảo mật thơng tin. Xác định tầm quan trọng của những thông tin của công ty cần được bảo vệ. Các hình thức đảm bảo an tồn thơng tin đã được áp dụng trong cơng ty như:
+ Chương trình phịng chống bảo vệ cho mạng: Antivirut (BKAV Pro), mail antivirut (security Plus for Mdea, Symante dùng cho các máy cá nhân).
+ Sử dụng phần mềm diệt virus bản quyền dành cho doanh nghiệp: BKAV + Lựa chọn giải pháp bảo mật email và web cho phép lọc thư rác, loại bỏ các mối đe dọa trên email
+ Đầu tư phần cứng hệ thống sao lưu dự phòng và các giải pháp khơi phục dữ liệu khi có sự cố.
-Cơng ty ln chú trọng công tác đào tạo nâng cao khả năng cho các cán bộ nhân viên CNTT của công ty và có chính sách đãi ngộ hợp lí để thu hút, đào tạo,
phát triển và duy trì nguồn nhân lực hiểu biết về CNTT nói chung và HTTT nói riêng, nhằm đạt được kết quả tối ưu cho cả công ty lẫn nhân viên.
-Máy chủ và máy trạm trong công ty được kết nối bằng mạng nội bộ LAN, giúp cho việc truyền nhận thông tin và chia sẻ tài nguyên tốt, không bị chia sẻ ra bên ngồi.
➢Điểm yếu.
Các hình thức bảo đảm an tồn và bảo mật thông tin, dữ liệu trong Công ty chưa đủ để đảm bảo mục tiêu an toàn bảo mật của hệ thống, kiến thức về HTTT và ATTT của nhân viên trong Công ty chưa cao, dẫn đến nhiều nguy cơ mất ATTT của doanh nghiệp.
Hạ tầng kỹ thuật CNTT Cơng ty Cổ phần Hồng Giang vẫn chưa đảm bảo được tính đồng bộ một cách tối ưu nhất. Cơng ty chưa có cơ chế hay phần mềm kiểm tra kết nối giữa máy chủ và các máy đặt ở phịng ban, chưa có cơ chế tự động thơng báo. Khi một máy tính tại một phịng ban bị hư hỏng cần sửa chữa thì chưa có cơ chế tự động thơng báo, mà việc thông báo sửa chữa là hồn tồn thủ cơng.
- Chi phi đầu tư về bảo mật chưa cao, chưa lưu ý đến mức độ chuyên nghiệp của đơn vị cung cấp dịch vụ hosting (nơi đặt máy chủ) và hệ điều hành máy chủ quản lý website.
- Công ty cũng đã sử dụng các cơng cụ, phần mềm để đánh giá tình hình bảo mật, phát hiện các lỗ hổng bảo mật trên các website, thường xuyên sử dụng dịch vụ bảo trì website do cơng ty thiết kế web cung cấp. Thường xuyên cập nhật thông tin về những bản vá lỗi của các hãng phần mềm, theo dõi chặt chẽ về quyền truy cập/mật khẩu… Thiết lập chế độ nhật ký mạng (ghi tập tin log) nhằm có cơ sở giải quyết sự cố mạng và điều tra các cuộc tấn công.
- Trong hệ thống của công ty, các mật khẩu email, mật khẩu đăng nhập của một số website nội bộ sử dụng các thơng tin đăng nhập khơng được mã hóa, điều này tạo điều kiện cho hacker dễ dàng ăn cắp được mật khẩu. Vì vậy bộ phận kỹ thuật nên mã hóa các mật khẩu đăng nhập cho an tồn.
- Cơng ty chưa sử dụng mã hóa thơng tin trước những truy nhập trái phép, nên khả năng bảo mật đối với các tài sản trí tuệ chưa cao, thơng tin/dữ liệu về khách hàng và đối tác cũng chưa được bảo mât tuyệt đối.
-Nguyên nhân của hạn chế:
+ Chưa đáp ứng được công nghệ, nhân viên chuyên trách về CNTT, HTTT + Nền kinh tế Việt Nam nói chung và thế giới nói riêng gặp khủng hoảng nặng nề khiến ngân sách bị hạn chế nên việc đầu tư vào CNTT, HTTT gặp nhiều hạn chế
-Phương hướng giải quyết:
+ Về lâu dài công ty cần các hệ quản trị cơ sở dữ liệu có dung lượng lớn và hỗ
trợ nhiều hơn đảm bảo trong việc lưu trữ và quản lý CSDL đáp ứng nhu cầu sử dụng của các phịng ban khác nhau trong cơng ty.
+ Yêu cầu phải gắn kết, phối hợp đồng bộ ứng dụng CNTT với chương trình
Chương 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN BẢO MẬT HỆ THỐNG THƠNG TIN TẠI CƠNG TY CỔ PHẦN
HỒNG GIANG
3.1 Định hướng phát triển của công ty cổ phần Hoàng Giang trong thờigian tới. gian tới.
Cơng ty cổ phần Hồng Giang được đánh giá là một trong những đơn vị tiên phong trong lĩnh vực sản xuất hàng thực phẩm, với mục tiêu quyết tâm trở thành doanh nghiệp hàng đầu xuất nhập khẩu sản phẩm bánh đậu xanh, công ty phải luôn nỗ lực cải thiện hoạt động, nâng cao chất lượng nhân viên. Trong giai đoạn tới, công ty tiếp tục chú trọng đầu tư vào những công việc sau:
- Thứ nhất, trong thời gian gần nhất sẽ sẽ thiết kế và xây dựng một hệ thống tường lửa cho việc phân quyền truy nhập cho từng chức vụ và phòng ban cụ thể để đảm bảo an tồn dữ liệu thơng tin trong công ty.
- Thứ hai, tăng cường bảo đảm an toàn bảo mật toàn hệ thống bao gồm cả hệ thống phần cứng, phần mềm, cẩn trọng trong các giao dịch qua mạng, các giao dịch nước ngồi. Trong những năm tới, cơng ty tập trung đầu tư, hoàn thiện bảo mật toàn hệ thống bằng các phần mềm chuyên dụng kết hợp với sử dụng phần cứng để hạn chế thấp nhất những rủi ro mất, hỏng dữ liệu quan trọng, tăng cường đảm bảo an ninh, quản lí rủi ro cơng nghệ, bảo đảm an tồn hệ thống.
- Thứ ba, khai thác tốt hạ tầng cơng nghệ hiện có, rà sốt tồn bộ hệ thống để hoàn chỉnh nâng cấp các dịch vụ, giảm những sai sót trong các nghiệp vụ tin học hóa.
- Thứ tư, nâng cao chất lượng nguồn nhân lực CNTT tại công ty. Hàng năm, công ty tiến hành tổ chức các lớp bồi dưỡng về cách thức sử dụng và làm việc với những phần mềm mới nhằm nâng cao trình độ CNTT cho cán bộ nhân viên. Điều này sẽ làm tăng hiệu quả công việc, đồng thời tránh những sai sót chủ quan từ phía người sử dụng phần mềm.
3.2 Giải pháp đảm bảo an tồn thơng tin cho cơng ty
3.2.1 Giải pháp Firewall cho cơng ty cổ phần Hồng Giang
a) Phân tích yêu cầu
Yêu cầu về Firewall cho công ty bao gồm nhiều rất nhiều yếu tố. Do những đặc thù của công ty mà phải xác định mơ hình Firewall cho phù hợp. Đối
với một công ty nhỏ về mức độ đáp ứng trang thiết bị máy tính khơng phải như các trung tâm chuyên về tin học lớn, các thiết bị mạng ở đây không phải lớn như các trung tâm máy tính lớn. Vì vậy phải có cái nhìn cụ thể để đề ra mơ hình Firewall phù hợp cho cơng ty.
Đối với các cơng ty lớn thì cơ sở dữ liệu, tài nguyên cũng rất lớn và số lượng người truy cập mỗi ngày để lấy cơ sỡ dữ liệu, cập nhật thông tin, trao đổi … các hoạt động truy nhập thông tin diễn ra hết sức tấp nập trên mạng, những kẻ phá hoại sẽ dựa vào những hoạt động đó để lấy cắp, phá hoại thơng tin, làm ngưng hoàn toàn cả hệ thống. Nếu như khơng có một Firewall đủ mạnh thì việc đột nhập của kẻ phá hoại sẽ hết sức đơn giản. Đối với những cơng ty như thế này mơ hình Firewall phải mạnh, có thể kết hợp giữa Firewall phần cứng và Firewall phần mềm. Việc kết hợp cả hai loại Firewall trên sẽ cho một sự bảo vệ chắc chắn hơn. Các tính năng được tích hợp trong Firewall phần cứng được các nhà sản xuất thiết lập ngay khi sản xuất các thiết bị các khả năng bảo mật này sẽ được cập nhật trong quá trình sử dụng của thiết bị. Khi lựa chọn một Firewall phần mềm cho những cơng ty lớn thì phải chọn những mơ hình Firewall phần mềm mạnh của các nhà sản xuất phần mềm về Firewall uy tín. Các phần mềm này khi có một bản quyền hợp pháp trong quá trình sử dụng chương trình sẽ khơng ngừng được cập nhật các phương pháp bảo mật mới, cập nhật các lỗ hổng bảo mật mới trong chương trình. Tuy nhiên việc kết hợp giữa Firewall phần cứng và Firewall phần mềm là một điều vơ cùng tốn kém nó chỉ phù hợp với các công ty lớn về cơ sở vật chất kĩ thuật, có tiềm lực về tài chính.
Đối với các cơng ty vừa và nhỏ có hạn chế về nhiều mặt như kinh phí cũng như thiết bị cho nên trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an tồn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một' này phải đáp ứng yêu cầu về bảo mật - an tồn dữ liệu của tổ chức - cơng ty một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bịđắt tiền và phức tạp, cộng thêm một nhân viên chuyên trách. Điều này quả thật rất cần thiết trong tình trạng Internet hiện nay đầy rẫy các mối đe dọa như sâu máy tính, chương trình phá hoại và ăn cắp thông tin, lỗ hổng bảo mật của các hệ điều hành và ứng dụng. Việc bảo mật cho các mạng máy tính của cơng ty cổ phần truyền thơng đa phương tiện Hoàng Giang cũng khơng phức tạp như các cơng ty lớn vì cơ sở dữ liệu ít, gọn, khơng nằm phân tán như các cơng ty lớn. Vì vậy có thể lựa chọn những Firewall phần mềm miễn phí
hoặc bật các chức năng Firewall được cung cấp sẵn trong các hệ điều hành như Windows XP Home Edition, sử dụng Internet Connection Firewall trong phiên bản Window XP Professional.
b) Chọn lựa một giải pháp Firewall cho phù hợp với mạng máy tính của cơng ty cổ phần Hồng Giang.
Một trong những công cụ hiệu quả nhất và cũng thông dụng nhất là sử dụng Firewall nhằm kiểm sốt sự truy cập từ bên ngồi vào mạng nội bộ và các giao dịch ra/vào mạng. Tuy nhiên, đầu tư cho một Firewall khá tốn kém, nhất là đối với các công ty vừa và nhỏ. Trong trường hợp này, có lẽ giải pháp một thiết bị có thể xử lý mọi chức năng an toàn là hợp lý nhất. Thiết bị bảo mật 'Tất cả trong một này phải đáp ứng yêu cầu về bảo mật - an tồn dữ liệu của cơng ty một cách hiệu quả nhất mà không cần đến nhiều tầng thiết bị đắt tiền và phức tạp.
Sau đây là một số giải pháp phần mềm thông dụng hiện nay đang được nhiều các công ty ở tại Việt Nam cũng như trên thế giới sử dụng rộng rãi. Các phần mềm này đáp ứng rất tốt các điều kiện của doanh nghiệp, do tính chất của các phần mềm này các yêu cầu về cấu hình cho hệ thống mạng không phải là quá cao cho nên rất phù hợp với mạng máy tính của các cơng ty vừa và nhỏ.
A. ISA Server Enterprise 2000, ISA Server Enterprise 2006 Đây là một phần mềm có các chức năng chính là :
-Bảo vệ mạng chống các cuộc tấn công từ Internet.
-Cho phép các Client bên trong mạng nội bộ truy cập các dịch vụ ngoài Internet, có kiểm sốt.
B. Sonic wall PRO 2040
Firewall dành cho doanh nghiệp loại vừa này có thể đáp ứng mọi yêu cầu, dễ dàng nhận ra ngay điều này khi lấy thiết bị ra khỏi hộp, có thể đặt nó trên bàn, trên kệ tủ, hoặc lắp vào rack 1U đều được cả. Sonic WALL Pro 2040 kết hợp hệ điều hành mở rộng Sonic OS thế hệ mới của Sonic WALL và một kiến trúc phần cứng có khả năng chịu tải tốt, miễn là cấu hình đúng, tất nhiên là không đơn giản.
Khi sử dụng, người dùng phải cài đặt OS mở rộng của Sonic WALL mới khai thác được nhiều tính năng cao cấp như kết nối đến nhiều ISP để dự phòng, cân bằng tải với các Pro 2040 khác, thiết lập NAT dựa theo chính sách và kết nối WAN dự phịng. Mặc dù có thể vận hành Pro 2040 mà không cần hệ điều hành Sonic OS
Enhanced, nhưng phải cài hệ điều hành này thì mới có thể kích hoạt cổng giao tiếp