Cơ sở dữ liệu

Một phần của tài liệu (Luận văn đại học thương mại) một số giải pháp nhằm đảm bảo tính an toàn bảo mật trong hệ thống thông tin tại công ty TNHH AI việt nam (Trang 31)

2.1 .Tổng quan về công ty TNHH AI Việt Nam

2.2. Thực trạng an toàn bảo mật trong hệ thống thông tin tại công ty TNHH A

2.2.4. Cơ sở dữ liệu

Phương thức thu thập: Nguồn thông tin được lấy từ trong và ngồi cơng ty. Đến

từ các nhân viên, dự án, gói thầu cơng ty thực hiện cho đến các u cầu từ bên phía đối tác, khách hàng và thơng qua các cơng cụ tìm kiếm (trên Internet). Thơng tin sau khi thu thập sẽ được xử lý sơ bộ và lưu vào CSDL của công ty thông qua phần mềm AI- MIS DB. Tuy khơng có bộ phân thu thập thơng tin riêng nhưng mỗi phịng ban cụ thể sẽ có những nhóm nhân viên chun phụ trách, đảm nhận vai trị này. Các nhân viên này được phân quyền người dùng theo vị trí mà mình đảm nhận, theo đó cần đăng nhập và và lưu trữ thông tin.

Việc làm này giúp thu thập, phân loại và lưu trữ thông tin một cách hiệu quả nhất.

Phương thức xử lý: Các thông tin sau khi được thu thập thường đã được xử lý

sơ bộ hay các thơng tin từ các phịng ban khi được lưu vào CSDL đều đã được xử lý bởi đội ngũ chuyên môn. Một số thông tin phức tạp sẽ được xử lý bằng cách sử dụng các phần mềm hỗ trợ. Các thơng tin về kế tốn tài chính được hỗ trợ xử lý thông qua phần mềm Misa 2012; thông tin về nhân sự được hỗ trợ xử lý qua phần mềm quản trị nhân sự AI- HRM; thông tin về đối tác, khách hàng được phân tích, xử lý qua phần mềm AI- CCOS.

Bằng việc sử dụng phần mềm nên công việc xử lý dữ liệu trở nên nhanh hơn, chính xác hơn. Giúp đảm bảo tính khách quan và đồng thời đảm bảo tính bảo mật của thơng tin. Thay vì việc xử lý thủ công sẽ mang lại nhiều bất cập trong xử lý cũng như số lượng người tiếp cận với thông tin cao, dễ dẫn đến mất mát thông tin.

Phương thức lưu trữ và truyền nhận:

Một số thông tin được lưu trữ dưới dạng các văn bản, giấy tờ trong mỗi phòng ban và phịng hành chính. Các văn bản này được lưu trữ trong các gói hồ sơ, tệp, sắp xếp theo thứ tự thời gian. Phần lớn các thơng tin cịn lại được lưu trữ dưới dạng các gói tin, các tệp trong các máy tính và lưu trữ trên đám mây.

Thơng tin được truyền nhận thơng qua nhiều hình thức. Bằng cách truyền các gói tin thơng qua đường truyền mạng, thơng qua email, chia sẻ qua driver hay đơn giản là các văn bản, chỉ thị trực tiếp.

Việc truyền nhận các gói tin thông qua Internet khá phổ biến do những ưu điểm của nó, tuy nhiên với hệ thống mạng khơng đảm bảo thì đây lại là một mối nguy cơ

lớn cho thơng tin công ty bởi sự đe dọa và tấn công từ các kẻ trộm tin thơng qua Internet. Vì vậy, tính an tồn bảo mật thông tin và hệ thông thông tin chưa cao, còn xảy ra các sự cố như mất gói tin, thơng tin bị xảy ra các lỗi do virut hay lỗi hệ thống.

Các báo cáo thường niên được đóng gói và lưu trữ trong tủ hồ sơ của phịng hành chính. Chìa khóa được giao cho trưởng phịng nên hạn chế được số người tiếp cận. Tuy nhiên đây cũng khơng hẳn là một phương pháp an tồn. Bên cạnh việc lưu trữ truyền thống, thông tin được lưu trữ vào hệ thống và đám mây giúp cho thơng tin an tồn hơn, tránh tình trạng mất mát, thất thốt dữ liệu so với việc lưu trữ truyền thống.

2.2.5. Quy trình đảm bảo an tồn bảo mật

- Về chính sách an tồn, an ninh hệ thống của cơng ty

Quy định về cơ chế truy cập, khai thác hệ thống: quy định cụ thể trách nhiệm, quyền hạn của các cá nhân có quyền truy cập và khai thác hệ thống phân theo 2 chiều là đơn vị thực hiện và vị trí cơng tác của từng cá nhân. Theo quy định này, các cá nhân có quyền truy cập hệ thống và thao tác trên hệ thống sẽ được ghi lại tồn bộ q trình truy cập và thao tác trên hệ thống (logging). Trong quá trình làm việc, nếu có các truy cập bất hợp pháp vượt qua các giải pháp phân quyền của hệ thống, hệ thống giám sát (hệ thống monitor) sẽ tự động cảnh báo cho cán bộ quản trị theo thời gian thực để tiến hành khoanh vùng, hạn chế quyền truy cập và tiến hành các biện pháp an tồn, an ninh thơng tin.

Quy định về chế độ cấp phát, quản lý tài khoản truy cập hệ thống: Quy định này đảm bảo các nhân viên được cấp phát tài khoản truy cập theo quy trình đã được đặt ra theo đề xuất của người quản trị hệ thống. Trong trường hợp nhân viên thay đổi vị trí cơng tác sẽ được khóa tài khoản để đảm bảo an tồn cho hệ thống thơng tin. Nếu trong q trình truy cập có hiện tượng lộ thơng tin tài khoản (tên truy cập, mật khẩu) do người có tài khoản hoặc hệ thống giám sát thơng báo sẽ tiến hành khóa ngay tài khoản và thông báo cho cán bộ quản trị để xử lý theo quy trình thống nhất.

Quy trình ứng cứu xử lý sự cố: Công ty TNHH AI Việt Nam đã xây dựng quy trình ứng cứu xử lý sự cố để khi có hiện tượng truy cập bất hợp pháp, thay đổi giao diện và thông tin hệ thống, hiệu năng hệ thống có hiện tượng giảm bất thường và các trường hợp ảnh hưởng an toàn khác.

- Nhân sự

Hiện nay cơng ty chưa có bộ phận riêng chuyên trách về đảm bảo ATBM cho HTTT mà phần công việc này được đội ngũ kỹ thuật kiêm phụ trách. Bộ phận kỹ thuật

mật thông tin nhằm tránh các rủi ro đáng tiếc cho khách hàng và cơng ty. Bên cạnh đó, bộ phận này cịn có trách nhiệm tìm hiểu, đưa ra giải pháp, cơ chế bảo mật cho tồn cơng ty.

- Phần cứng

Hạ tầng CNTT của Công ty bao gồm máy chủ, mạng và các thiết bị an tồn, an ninh thơng tin. Máy chủ của cơng ty được đặt tại phịng riêng, chỉ những người được phân quyền mới có thể ra vào và tiếp cận để đảm bảo an tồn.

Mơ hình triển khai của hạ tầng được chia thành 3 lớp: lớp truy cập được từ Internet bao gồm các máy chủ web, proxy; lớp ứng dụng và lớp cơ sở dữ liệu. Hệ thống được thiết kế đảm bảo không thể truy cập trực tiếp tới các cơ sở dữ liệu từ Internet. Các công cụ quản trị hệ thống truy cập qua VPN và được quản trị theo địa chỉ IP để chỉ có một số máy được xác định là có quyền truy cập ở mức độ quản trị. Máy chủ được kết nối trực tiếp đến hệ thống máy trạm sử dụng đường truyền riêng. Dữ liệu trong hệ thống được công ty sao lưu định kỳ, thực hiện sao lưu toàn bộ các máy chủ ảo, cơ sở dữ liệu và ứng dụng. Đồng thời, định kỳ rà soát mã độc tại các máy chủ của hệ thống 1 lần/tuần và tiến hành xử lý sự cố ngay khi có các cảnh báo. Tóm lại, tồn bộ hệ thống được giám sát tập trung tại bộ phận kỹ thuật thơng qua màn hình giám sát và hệ thống cảnh báo truy cập trái phép.

- Mạng

Đối với mạng, công ty đã tuân thủ các quy tắc bảo vệ từ việc lựa chọn các thiết bị mạng tiêu chuẩn như switch hay router đảm bảo tiêu chuẩn. Hiện nay công ty đang dùng bộ chuyển mạch tích hợp có chức năng xử lý gói tin đi qua mạng và có chứa phần mềm anti-malware kiểm tra tất cả các gói tin và chặn lại trước khi nó lây lan qua mạng. Phần cứng bảo mật mạng như tường lửa phần cứng, ủy nhiệm proxy, bộ lọc thư rác được công ty đã và đang sử dụng hiệu quả.

- Phần mềm

Phần mềm hệ thống được cập nhật các phiên bản mới theo tần suất 6 tháng/lần hoặc theo chế độ cập nhật của đơn vị phát hành.

Phần mềm ứng dụng chưa được công ty chú trọng đầu tư. Các phần mềm ứng dụng do nhân viên tự động tải về và khơng qua kiểm duyệt hay bất cứ hình thức đảm bảo an tồn nào.

- Cơ sở dữ liệu

Dữ liệu sau khi được thu thập, phân tích sẽ được đội ngũ chun mơn thẩm định, sau đó chúng mới được lưu vào hệ thống. Toàn bộ dữ liệu của hệ thống đều được

mã hóa theo tiêu chuẩn quốc tế, đảm bảo nếu có sự thay đổi nội dung dữ liệu bất hợp pháp hoặc khai thác trái phép thì dữ liệu sẽ khơng sử dụng được.

Việc mã hóa dữ liệu được thực hiện ở mức độ ứng dụng, có nghĩa là chỉ có các ứng dụng được phép mới có thể giải mã và dữ liệu lưu giữ đều mã hóa. Thuật tốn và tiêu chuẩn mã hóa là thơng tin mật của hệ thống, chỉ được phân quyền cho các nhân viên có trách nhiệm.

2.3. Phân tích, đánh giá thực trạng ATBM trong HTTT của công tyTNHH AI Việt Nam TNHH AI Việt Nam

2.3.1. Phân tích thực trạng ATBM trong HTTT tại công ty TNHH AI Việt Nam

Công ty đã áp dụng các chính sách bảo mật cho thơng tin như sử dụng ổ cứng, sao lưu liên tục, đồng bộ lên mạng, sử dụng phần mềm diệt virut cho tất cả các máy tính trong cơng ty, hệ thống tường lửa, cảnh báo truy cập trái phép…

Hệ thống cửa mã hóa bằng sinh trắc vân tay và thẻ từ để ra-vào công ty.

Sau khi điều tra tại công ty thu được kết quả và xử lý qua SPSS chúng ta thu được kết quả như sau:

Mức độ quan tâm của lãnh đạo công ty đối với việc đảm bảo ATBM cho HTTT

Mức độ sử dụng biện pháp đảm bảo dữ liệu Trị số % Rất quan tâm 2 20% Quan tâm 6 60% Bình thường 2 20% Tổng 10 100%

Bảng 2.5: Bảng mức độ quan tâm của lãnh đạo đối với việc ATBM cho HTTT

Rất quan tâm 20% Quan tâm 60% Bình thường 20%

Biểu đồ 2.1: Mức độ quan tâm của lãnh đạo đối với ATBM cho HTTT

(Nguồn: Kết quả xử lý phiếu điều tra bằng SPSS)

Qua các số liệu trên cho thấy các nhà lãnh đạo của cơng ty đã có ý thức đến việc bảo vệ tính an tồn và bảo mật cho hệ thống thơng tin của cơng ty mình. Tuy nhiên, mức độ quan tâm còn chưa phù hợp. 60% các lãnh đạo đều cho rằng an toàn bảo mật là cần thiết nhưng chưa đến mức đặc biệt cần thiết và quan trọng. Chỉ mới 20% trong số các lãnh đạo nhận thức được vấn đề này, trong đó cũng có đến 20% các nhà lãnh đạo lại thấy rằng việc ATBM là bình thường, khơng quá quan trọng và đặt nặng vấn đề này. Đây cũng là một bài tốn cho cơng ty khi việc nhận thức về ATBM cho HTTT còn chưa cao đến mức đủ để có những biện pháp và chính sách đảm bảo cho ATBM hệ thống thông tin được tốt nhất.

Mức độ quan trọng của các thành phần trong HTTT của công ty

Mức độ quan trọng Trị số % Phần cứng 2 20% Phần mềm 2 20% Mạng 1 10% Cơ sở dữ liệu 2 20% Con người 3 30% Tổng 10 100%

Bảng 2.6: Mức độ quan trọng của các thành phần trong HTTT

Dựa vào bảng trên ta thấy yếu tố con người là yếu tố chiếm mức độ quan trọng cao nhất 30% trong toàn hệ thống, sau đó là cá yếu tố như: phần cứng, phần mềm, cơ sở dữ liệu (20%) và mạng chiếm 10%. Điều này chứng tỏ ban lãnh đạo công ty cũng đã nhìn nhận ra được vấn đề và cần phải có những yêu cầu, xét tuyển nghiêm nghặt hơn khi tuyển dụng nhân viên hệ thống, giúp cho HTTT của công ty được bảo đảm an tồn bởi những nhân viên có đạo đức nghề nghiệp tốt.

Mức độ đáp ứng của cơ sở hạ tầng CNTT đối với việc đảm bảo ATBM cho HTTT của công ty Mức độ đáp ứng Rất tốt 1 Tốt 4 Khá 4 Trung bình 1 Kém 0 Tổng 10

Bảng 2.7: Mức độ đáp ứng của cơ sở hạ tầng CNTT đối với ATBM hệ thống

(Nguồn: Phiếu điều tra)

Rất tốt Tốt Khá Trung Bình Kém 0 1 2 3 4 Rất tốt Tốt Khá Trung bình Kém

Biểu đồ 2.2: Mức độ đáp ứng của cơ sở hạ tầng CNTT với ATBM hệ thống

(Nguồn: Kết quả xử lý phiếu điều tra)

Tuy các chỉ số đánh giá của cơ sở hạ tầng CNTT để đáp ứng việc an toàn bảo mật cho hệ thống là chưa cao, tuy nhiên cũng không đến nỗi quá thấp. Đối với một

các cơng nghệ đủ đáp ứng được việc duy trì và bảo đảm an tồn bảo mật cho hệ thống. Với mức đánh giá khá và tốt là 8/10 phiếu, là một con số đáng để yên tâm về sự đáp ứng của công nghệ thông tin.

Mức độ an tồn, bảo mật thơng tin trong cơng ty

Mức độ đánh giá Trị số % Rất tốt 2 20% Tốt 4 40% Trung bình 3 30% Yếu 1 10% Tổng 10 100%

Bảng 2.8: Mức độ an tồn bảo mật thơng tin

(Nguồn: Phiếu điều tra)

Mức độ an tồn bảo mật thơng tin trong doanh nghiệp chưa cao: Có 3 người cho rằng mức độ bảo mật mới chỉ ở mức trung bình và 1 người cho rằng mức độ đó ở mức yếu. Theo điều tra phỏng vấn cho thấy, mối lo ngại này là do nguyên nhân về hệ thống mạng trong công ty. Các nhân viên cho biết mạng thường gặp vấn đề, làm ảnh hưởng đến truy cập và chuyển nhận các gói tin, làm mất gói tin,… khiến cho việc đảm bảo an tồn bảo mật thơng tin bị ảnh hưởng nghiêm trọng. Đây cũng là một vấn đề cần phải xem xét đối với bộ phận cán bộ lãnh đạo của công ty.

Các phương pháp, cách thức lưu trữ thông tin cho khách hàng

Phương pháp, cách thức Trị số %

Email 3 30%

Server máy chủ 1 10%

Tài liệu đặc tả hệ thống 2 20%

Hệ quản trị cơ sở dữ liệu 4 40%

Tổng 10 100%

Bảng 2.9: Các phương pháp, cách thức lưu trữ thông tin cho khách hàng

40%

30% 20%

10%

Hệ quản trị cơ sở dữ liệu Email

Tài liệu đặc tả hệ thống Server máy chủ

Biểu đồ 2.3: Các phương pháp bảo mật thông tin cho khách hàng

(Nguồn: Kết quả xử lý phiếu điều tra)

Việc quản lý chủ yếu dựa trên hệ quản trị cơ sở dữ liệu (chiếm 40%) chưa phải là con số cao tuy nhiên nó là khá ổn với thơng tin khách hàng, các nguy cơ trộm cắp hay rị rỉ thường khó xảy ra. Tuy nhiên việc trao đổi và quản lý qua email vẫn cịn cao lên tới 30%, đây là mơi trường dễ bị tấn cơng làm mất tính an tồn và bảo mật của dữ liệu, ban lãnh đạo không nên lạm dụng việc trao đổi và lưu trữ thông tin khách hàng thơng qua email.

Các hình thức sao lưu

Biện pháp Mức độ sử dụng Trị số %

Sử dụng ổ cứng 5 50%

Sao lưu lên đám mây 3 30%

Tổng 10 100%

Bảng 2.10: Các hình thức sao lưu

(Nguồn: Phiếu điều tra)

Bằng cách sao lưu dữ liệu vào ổ cứng chiếm phần đa cho phép đảm bảo an toàn dữ liệu cao hơn, chỉ bị mất mát hay hỏng hóc khi có các nguyên nhân vật lý can thiệp. Tuy nhiên lại có nhược điểm là tốn khơng gian bộ nhớ. Việc đồng bộ lên mạng mang lại nhiều tiện ích hơn, tuy nhiên dữ liệu lại dễ dàng bị xâm nhập và ăn cắp. Với cách đảm bảo dữ liệu mà công ty lựa chọn và thực hiện đã phù hợp để mang lại ít rủi ro có

Tần suất sao lưu dữ liệu Tần suất Mức độ Trị số % 1 tháng 1 lần 3 30% 4 tháng 1 lần 4 40% 6 tháng 1 lần 2 20% Lâu hơn 1 10% Tổng 10 100%

Bảng 2.11: Tần suất sao lưu dữ liệu

(Nguồn: Phiếu điều tra)

Dữ liệu của công ty được sao lưu từ 1 đến 3 tháng một lần tùy thuộc vào đặc điểm của dữ liệu. Đối với các dữ liệu nghiệp vụ được sao lưu với tần suất cao một tháng một lần giúp cho dữ liệu ln được cập nhật nhanh nhất. Cịn đối với các dữ liệu tổng hợp, báo cáo công ty thực hiện sao lưu theo từng quý từ bốn đến sáu tháng một lần. Việc sao lưu như vậy cũng khá hợp lý nhưng đối với dữ liệu nghiệp vụ thì cơng ty nên sao lưu với tần suất cao hơn nữa để cập nhật công việc một cách nhanh nhất. Với

Một phần của tài liệu (Luận văn đại học thương mại) một số giải pháp nhằm đảm bảo tính an toàn bảo mật trong hệ thống thông tin tại công ty TNHH AI việt nam (Trang 31)

Tải bản đầy đủ (PDF)

(67 trang)