PHẦN 2 : NỘI DUNG KHÓA LUẬN
3.1. Đề xuất giải pháp quản trị thông tin cho HTTT tại công ty TNHH Kiểm Định
3.1.2. Giải pháp phần mềm
3.1.2.1. Phần mềm bảo mật
Lựa chọn, triển khai phần mềm bảo mật với các tính năng chống virus, mã đợc, thư rác trên các máy chủ, các thiết bị di động trong mạng để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản
(Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình qt virus của cơng ty trên máy chủ và các máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần
Hiện nay, trên thị trường cơng nghệ Việt Nam thì phần mềm bảo mật của Kaspersky đang được sử dụng phổ biến cho các doanh nghiệp. Với Kaspersky, Cơng ty TNHH Nhựa đường petrolimex có thể sử dụng trọn bợ sản phẩm phẩm
Kaspersky® Small Office Security cho Server và các máy lưu trữ dữ liệu chính ở mỗi phịng ban. Việc sử dụng trọn bợ sẽ giúp phát huy tối đa hiệu quả sản phẩm và bảo vệ tồn diện HTTT hơn. Các máy cịn lại nên sử dụng Kaspersky
Anti-Virus.
Kaspersky® Small Office Security là giải pháp giúp các doanh nghiệp bảo vệ hệ thống máy tính khỏi các mối đe dọa trên internet ngày nay với hiệu suất tối ưu.Tăng cường bảo mật cho hoạt động thanh toán, giao dịch ngân hàng trực tuyến. Mã hóa sao lưu dữ liệu doanh nghiệp thường xuyên, giảm thiểu rủi ro khi có sự cố xảy ra. Quản lý việc suer dụng internet của nhân viên hiệu quả. Kaspersky Small Office Security đã được thiết kế đặc biệt để cung cấp tính năng bảo vệ hàng đầu thế giới cho mạng doanh nghiệp mà không cần đến mợt chun viên IT. Vì vậy hệ thống mạng của cơng ty vẫn sẽ được bảo vệ mà không cần phải tốn thời gian.
Kaspersky® Small Office Security có mợt số tính năng đặc biệt như: + Bảo vệ thời gian thực khỏi các mối đe dọa từ Internet
+ Quản lý bảo mật tập trung cho máy chủ và máy trạm của bạn + Kiểm soát truy cập web và các ứng dụng
+ Bảo vệ thời gian thực cho các hoạt động kinh doanh + Khơng ̀u cầu phải có chun mơn về IT
Kaspersky Anti-Virus cung cấp sự bảo vệ tự động trong thời gian thực
giúp máy tính chống lại hàng lọat các mối đe dọa tiềm tàng trong thế giới số: + Bảo vệ trong thời gian thực giúp máy tính chống lại các virus và phần mềm gián điệp.
+ Quét email và website phát hiện mã độc.
+ Bảo vệ thông tin tài khỏan của bạn mọi nơi mọi lúc. + Qt tìm lỗ hởng bảo mật và cố vấn cách khắc phục.
3.1.2.2. Phần mềm mã hóa
Mã hóa dữ liệu là mợt trong những cách cơ bản nhất mà người dùng thường sử dụng để bảo vệ thơng tin trên máy tính. Người sử dụng cần tiến hành mã hóa các thơng tin, dữ liệu quan trọng mà mình khơng muốn bất kỳ người dùng nào khác có thể đọc được.
Về phần mềm mã hóa thì Cơng ty nên sử dụng ABI-Coder. Đây là một phần mềm mã hóa cá nhân mạnh, nhưng rất dễ sử dụng. Nó cho phép mã hóa nhiều file trong nhiều thư mục bằng cách sử dụng mợt trong 3 thuật toán mã hóa của nó. Phần mềm này cũng có mợt cơng cụ tự giải mã tập tin, do đó, nó có thể tạo các tập tin đã mật mã, mà không cần bất cứ phần mềm giải mã nào.
ABI-Coder cho phép mã hóa file và folder với thuật toán mã hóa Blowfish 448-bit và 3DES 168-bit có thể tạp ra các file tự đợng giải mã. Do đó có thể truyền hoặc gửi các file mã hóa tới những máy tính khơng cài phần mềm này, thậm chí có thể thay đởi cả biểu tượng của những file mã hóa để có thể dễ dàng nhận biết file nào được bảo mật. Đây là mợt phần mềm miễn phí nên tất cả các máy của cơng ty đều có thể cài đặt mà khơng cần lo ngại về chi phí
Tuy nhiên, khơng hề có bất cứ phần mềm, ứng dụng hỗ trợ nào có thể đáp ứng 100% nhu cầu của người sử dụng. Mà bên cạnh đó, kinh nghiệm trong quá trình sử dụng của nhân viên mới là yếu tố quyết định tất cả.
3.1.2.3. Nâng cao hiệu quả quản lý cơ sở dữ liệu
Hiện tại, Công ty TNHH Kiểm Định 6 đang sử dụng hệ quản trị CSDL SQL Server với các tính năng chính như: mã hóa trong suốt và hiệu quả, khả năng giám sát thơng minh, tính ởn định cao, cho phép quản lý CSDL bằng cơng cụ và chính sách, khả năng tích hợp với System Center, lập trình dễ dàng và hiệu quả, lưu trữ được nhiều loại dữ liệu, khả năng thao tác song hành trên các bảng dữ liệu phân vùng,…. Tuy hệ quản trị này có nhiều chức năng nởi trợi như vậy
nhưng để đảm bảo mục tiêu quản trị thông tin cho HTTT, công ty vẫn cần quan tâm tới một số vấn đề sau:
- Thiết lập và cấu hình CSDL an tồn.
+ Ln cập nhật bản vá lỗi mới nhất cho hệ quản trị CSDL; sử dụng công cụ để đánh giá, tìm kiếm lỗ hởng trên máy chủ CSDL;
+ Gỡ bỏ các CSDL khơng sử dụng;
+ Có các cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đởi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nội dung thay đổi, lý do thay đởi, thời gian, vị trí thay đởi,...
- Tở chức quản lý tài khoản.
Các tài khoản và định danh người dùng trong HTTT, bao gồm: tạo mới, kích hoạt, sửa đởi và loại bỏ các tài khoản, đồng thời tổ chức kiểm tra các tài khoản của HTTT ít nhất 6 tháng 1 lần thông qua các công cụ của hệ thống. Hủy tài khoản, quyền truy nhập hệ HTTT, thu hồi lại tất cả các tài sản liên quan tới HTTT (khóa, thẻ nhận dạng, thư mục lưu trữ,...) đối với cán bộ, công chức, viên chức đã chuyến công tác, chấm dứt hợp đồng lao động.
- Quản lý đăng nhập hệ thống.
Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống. Hệ thống tự đợng khóa tài khoản hoặc cơ lập tài khoản khi liên tục đăng nhập sai vượt quá số lần quy định. Tổ chức theo dõi, giám sát tất cả các phương pháp đăng nhập từ xa (quay số, internet,...), nhất là các đăng nhập có chức năng quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) khi có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khấu với độ an tồn cao, giám sát, nhắc nhở khún cáo nên thay đởi thường xuyên mật khẩu.
- Tổ chức quản lý tài nguyên.
Kiểm tra, giám sát chức năng chia sẻ thông tin (Network File and Folder Sharing). Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, tuyệt đối không được chia sẻ tồn bợ
ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu để bảo vệ thông tin.
Bên cạnh việc bảo mật dữ liệu mềm trên máy tính, Cơng ty cũng ln phải chú ý tới quan trị các dữ liệu cứng như: các báo cáo, hợp đồng, đơn đặt hàng, phiếu nhập xuất,…. Các tài liệu này ngoài việc bảo quản cẩn thận trong tủ hồ sơ của Cơng ty thì cần được sao lưu để lưu trữ trên máy chủ CSDL của Công ty.
- Giải pháp giám sát CSDL (Database-IPS).
Mọi hành vi truy cập dữ liệu quan trọng sẽ được theo dõi và ghi vết, trường hợp nghiêm trọng sẽ chặn những thao tác lệnh SQL nguy hiểm, tránh rủi ro và ảnh hưởng cho CSDL. Các giải pháp về kiểm soát quyền người dùng, mã hóa, xác thực có thể xem xét ứng dụng vào thời điểm thích hợp hơn. Chúng ta cần xây dựng hệ thống giải pháp phịng thủ nhiều cấp, vì vậy cần phải áp dụng đồng bộ các giải pháp trên, không được bỏ qua.
- Mã hóa dữ liệu quan trọng.
Trong thực tế doanh nghiệp, việc mã hóa dữ liệu có thể bảo vệ Công ty trước nguy cơ thông tin bị tuồn ra ngồi mợt cách trái phép . Cũng như với e- mail và file, Cơng ty có thể bảo vệ thơng tin mật trên mợt máy chủ Web bằng cách mã hóa, việc này sẽ khởi hoạt chương trình mã hóa cài sẵn trong các trình duyệt Web và bảo đảm rằng bất cứ dữ liệu nào gửi từ máy chủ sang trình duyệt và ngược lại đều không thể đọc được đối với người ngoài.
- Phát triển hệ thống sao lưu.
Mọi hệ thống phức tạp chẳng sớm thì ṃn rồi cũng hỏng do đó FIS nên sao lưu dự phòng hệ thống mạng cũng như dữ liệu. Cách tốt nhất với FIS để phịng tránh sự cố hệ thống tồn cơng ty là xây dựng hệ thống dự phịng tại mợt địa điểm khác. Địa điểm đó phải có máy tính đủ mạnh, dung lượng đĩa lớn và được nối kết mạng để có thể thay thế mạng chính. Mạng dự phịng này phải được trao đởi dữ liệu thường xuyên với file server sao cho các file trong mạng dự phịng ln được cập nhật kịp thời để khi cần có thể chuyển ngay qua mạng dự phịng.
Ngồi ra đối với thơng tin, dữ liệu có giá trị thì nguy cơ bị tấn cơng xảy ra hàng giờ. Ngồi các nguy cơ từ mạng Internet thì khơng nên loại trừ nguyên nhân từ chính cá nhân trong cơng ty. Với nguy cơ từ các cá nhân trong chính doanh nghiệp thì phải phân quyền người sử dụng. Với nguy cơ mất mát hoặc dữ liệu bị thay đởi, giả mạo trong quá trình trùn nên bảo mật kênh truyền dữ liệu.
3.1.2.4. Đào tạo nguồn nhân lực
Do trình đợ hiểu biết về HTTT và quan trị thơng tin của nhân viên cịn ́u kém, do đó, Cơng ty TNHH Kiểm Định 6 cần có kế hoạch đào tạo, nâng cao hiểu biết về quản trị thông tin cho nhân viên.
Công ty nên chọn ra một số nhân viên tiêu biểu để đưa đi đào tạo chuyên sâu về HTTT và an toàn hệ thống, đồng thời mời các chuyên viên về quản trị thông tin đến giảng dạy và thút trình trực tiếp cho tồn bợ nhân viên trong Công ty.
Công ty nên mở các lớp phổ biến kiến thức về quản trị HTTT cho cán bộ , nhân viên trong công ty. Nêu cao tinh thần cảnh giác đối với bất kỳ hình thức tấn cơng dữ liệu nào. Kiểm soát nội bộ chặt chẽ và đề ra các quy định riêng về quản trị HTTT cho công ty.
Đề nghị tăng thêm số lượng nhân viên về CNTT, và nhân viên về CNTT có trình đợ đại học và phải có kinh nghiệm trong quản trị HTTT.
Mặt khác, Công ty cần có các chính sách, quy định cụ thể đối với nhân viên về vấn đề liên quan đến an tồn thơng tin trong Cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng. Tất cá thơng tin khách hàng, đối tác hay thông tin nội bộ của Công ty đều phải đảm bảo bí mật và tất cả nhân viên đều phải ký thỏa thuận này; việc xử lý, loại bỏ những tư liệu, giấy tờ liên quan đến hoạt động của công ty đều phải huỷ qua máy tài liệu; các loại giấy tờ, thông tin, phần mềm in ấn vi tính đều khơng được mang ra khỏi Cơng ty; giáo dục đạo đức cho nhân viên; đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều đợng cán bợ nhân viên.
Ngồi ra, định hướng phát triển trong thời gian tới thì Cơng ty cũng cần chú ý tới các giải pháp an tồn thơng tin trong giao dịch như: an toàn chứng thực điện tử, an tồn thư tín điện tử, an tồn mạng riêng ảo, Firewall, Honeypot.. hệ thống phát hiện xâm nhập, các kĩ thuật thăm dò….