CHƯƠNG 1 : TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
2.2. Kết quả phân tích đánh giá thực trạng về vấn đề an tồn thơng tin của
2.2.2 Phân tích thực trạng lý số liệu điều tra
a) Khái quát về vấn đề xử lý thông tin trong Công ty
Nguồn thu thập thông tin
Thông tin rất quan trọng đối với cơng ty, do đó thơng tin trong cơng ty cần phải được thu thập từ nhiều nguồn khác nhau nhằm đảm bảo tính đúng đắn và khách quan nhất.
Các nguồn thu thập thông tin của công ty:
Điều tra, nghiên cứu thị trường: phịng kinh doanh của cơng ty là bộ phận chủ chốt trong việc điều tra, nghiên cứu thị trường để đưa ra những dự báo và lập kế hoạch trong thời gian tới.
Báo, đài, các phương tiện truyền thông, mạng Internet
Thông tin từ các đối tác - khách hàng, nhà cung ứng: trước khi thực hiện giao dịch ln có sự trao đổi giữa cơng ty với đối tác, từ đó hình thành nên nguồn thơng tin của cơng ty.
Thông tin nội bộ công ty - thông tin từ ban giám đốc, các phịng ban: là thơng tin, báo cáo tình hình hoạt động hàng ngày của cơng ty, là những chỉ thị từ ban giám đốc xuống các phòng ban.
Các nguồn khác: thông tin truyền miệng, quyết định, chỉ thị của các cơ quan hành chính…
Quy trình của thơng tin
Thơng tin trong quản lý kinh tế được tuân theo quy trình sau:
Hình 2.1. Quy trình thơng tin trong quản lý kinh tế
Thu thập Chọn lọc Xử lý
Phân loại
Bảo quản
Truyền đạt thông tin Thông tin vào
Tại Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT, việc thu thập, chọn lọc, xử lý, phân loại và lưu trữ thơng tin được thực hiện bởi phịng kinh doanh.
Phịng kinh doanh thực hiện tìm kiếm mọi thơng tin có liên quan đến hoạt động của Cơng ty thơng qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những thơng tin nhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm thu gọn và giảm số lượng thơng tin cần xử lý.
Tồn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máy chủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm. Ban giám đốc sẽ đưa ra quyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ cơng ty. Thơng tin được phân phối tới các phịng ban tùy theo chức năng, nhiệm vụ của từng phòng, nhằm phục vụ hoạt động một cách hiệu quả nhất. Do đó, mọi nhân viên trong Cơng ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếm thơng tin phục vụ cho cơng việc của mình.
b) Kết quả phân tích và xử lý dữ liệu điều tra
Để thu thập thơng tin về tình hình ứng dụng CNTT tại Cơng ty TNHH Thương Mại và Xuất Nhập Khẩu ADT, em đã thực hiện điều tra sơ bộ thông qua mẫu phiếu điều tra được gửi tới các nhân viên trong Công ty. Điều tra được thực hiện với sự đóng góp ý kiến của 15 nhân viên trong Cơng ty. Kết quả thu được như sau:
(1). Các hình thức giao dịch chủ yếu của khách hàng với Công ty?
56% 25% 13% 6% Giao dịch trực tiếp Điện thoại Email Tất cả
Ở câu hỏi thứ nhất: “Các hình thức giao dịch chủ yếu của khách hàng với Công
ty?” ý kiến cho rằng “giao dịch trực tiếp” là nhiều nhất (7/15), tiếp đến là “giao dịch
qua điện thoại” (4/15). Như vậy, theo ý kiến của phần đơng nhân viên thì hiện nay hình thức giao dịch chủ yếu của Công ty vẫn là giao dịch truyền thống. Việc giao dịch bằng phương pháp truyền thống khơng những tốn kém về thời gian, chi phí mà đồng thời rất dễ bị lộ và mất mát thông tin. Điều này ảnh hưởng lớn đến công tác đảm bảo ATTT cho công ty.
(2). Mức độ trang bị các thiết bị phần cứng bảo mật trong Cơng ty?
56% 25% 13% 6% Cịn thiếu Khá đầy đủ Khơng rõ Khơng có
Biểu đồ 2.2. Mức độ trang bị thiết bị phần cứngbảo mật
Ở câu hỏi thứ hai: “Mức độ trang bị thiết bị phần cứng bảo mật?” có trên 2/3 ý kiến cho rằng các thiết bị bảo mật của Cơng ty cịn rất thiếu thốn, chưa đáp ứng được yêu cầu về ATTT cho cơng ty. Như vậy, muốn đảm bảo ATTT thì Cơng ty cần đầu tư thêm cho cơ sở hạ tầng CNTT.
(3). Cách thức đảm bảo ATTT được sử dụng? 56% 24% 16% 4% Phần mềm diệt vi rút Giao thức mạng Phần mềm mã hóa Mạng riêng ảo
Biểu đồ 2.3. Cách thức đảm bảo ATTT được sử dụng
Ở câu hỏi thứ ba: “Cách thức đảm bảo ATTT được sử dụng trong Công ty?” hầu hết nhân viên cho biết có sử dụng phần mềm diệt virus và sử dụng các giao thức mạng an toàn. Số lượng nhân viên sử dụng các phần mềm bảo mật là rất ít, điều này sẽ là một nguy cơ lớn đối với vấn đề ATTT cho Công ty.
(4). Cách thức bảo vệ CSDL được sử dụng trong Công ty?
35% 44% 12% 9% Phân quyền NSD Đặt password Mã hóa tài liệu Tất cả
Ở câu hỏi thứ tư: “Cách thức bảo vệ CSDL trong Công ty?”, ý kiến của các nhân viên cho thấy hệ thống CSDL của Công ty đã được phân quyền sử dụng một cách rõ ràng và cũng có khá nhiều nhân viên lựa chọn cách bảo vệ dữ liệu riêng cho mình là đặt mật khẩu cho máy tình và tài liệu. Tuy vậy, để có thể nâng cao tính an tồn, nên sử dụng kết hợp với các phương pháp mã hóa tài liệu.
(5). Trình độ hiểu biết của nhân viên về ATTT?
11%
89%
Hiểu biết Không hiểu biết
Biểu đồ 2.5. Trình độ hiểu biết của nhân viên về ATTT
Ở câu hỏi thứ năm: “Trình độ hiểu biết của nhân viên về ATTT?”, kết quả điều tra cho thấy trình độ hiểu biết về ATTT của nhân viên cịn chưa cao. Hầu hết nhân viên trong Cơng ty chưa qua một lớp hoặc khóa đào tạo nào về ATTT. Để hướng tới mục tiêu đảm bảo ATTT Cơng ty cần có kế hoạch đào tạo phát triển nguồn nhân lực trong thời gian tới.
(6). Tần suất sao lưu dữ liệu? 31% 42% 15% 13% 1 tháng một lần 3 tháng một lần 6 tháng một lần Lâu hơn
Biểu đồ 2.6. Tần suất sao lưu dữ liệu của Công ty
Ở câu hỏi thứ sáu: “Tần suất sao lưu dữ liệu của Công ty?” phần lớn ý kiến cho rằng dữ liệu của công ty được sao lưu từ 1 đến 2 tháng một lần. Với tần suất sao lưu như vậy, nếu có gặp sự cố về ATTT thì mức độ thiệt hại cũng giảm bớt đi vì thơng tin khơng bị mất đi nhiều.
(7). Tầm quan trọng của công tác ATTT đối với công ty?
40% 33% 20% 7% Quan trọng Rất quan trọng Bình thường Khơng quan trọng
Biểu đồ 2.7. Nhận thức về tầm quan trọng của ATTT
Ở câu hỏi thứ bảy: “Nhận thức về tầm quan trọng của ATTT?” kết quả cho thấy phần lớn nhân viên trong Công ty đã ý thức được về tầm quan trọng của vấn đề ATTT. Đây sẽ là một lợi thế cho công ty khi mà các nhân viên ý thức được việc bảo mật thông tin cho Công ty.
(8). Trở ngại khi phát triển ATTT của công ty. 59% 23% 10% 9% Nguồn nhân lực Tài chính Cơ sở hạ tầng tất cả
Biểu đồ 2.8. Trở ngại khi phát triển ATTT của Công ty
Ở câu hỏi cuối cùng “Trở ngại khi phát triển ATTT của Cơng ty?”, ý kiến tập trung vào trở ngại chính là “nguồn nhân lực”. Bởi nhận thức về ATTT của nhân viên chưa cao nên khó có thể đạt được mục tiêu an toàn cho hệ thống.
2.2.3. Đánh giá thực trạngan tồn bảo mật thơng tin tại cơng ty
Qua q trình thu thập và phân tích kết quả điều tra, có thể đưa ra nhận xét về tình hình đảm bảo ATTT của Cơng ty TNHH Thương Mại và Xuất NHập Khẩu ADT:
Điểm mạnh
Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trong tình trạng cịn mới, hoạt động tốt và ổn định. Đây sẽ là một sự khởi đầu tốt cho kế hoạch xây dựng một hệ thống đảm bảo ATTT cho Công ty.
Các phần mềm ứng dụng là phần mềm có bản quyền. Việc mua bản quyền phần mềm giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theo virus, mã độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy cơ ATTT, cập nhật các bản vá lỗi của nhà sản xuất.
Hệ thống phân quyền người sử dụng giúp làm giảm bớt sự tiếp xúc của thơng tin với mơi trường ngồi, làm tăng tính bảo mật của thơng tin.
Cơ chế sao lưu dữ liệu thường xuyên giúp Công ty hạn chế tối thiểu những tổn thất khi thơng tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa.
Cơng ty mới thành lập với đội ngũ nhân viên trẻ, nhiệt huyết dễ dàng tiếp thu cái mới nên đào tạo họ sẽ nắm bắt vấn đề rất nhanh chóng.
Điểm yếu
Cơng ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT (các thiết bị, phần mềm bảo mật) cũng là nền tảng quan trọng cho vấn đề an ninh thông tin.
Kiến thức về ATTT của nhân viên trong Công ty chưa cao, dẫn đến nhiều nguy cơ mất ATTT của cơng ty.
Các hình thức bảo đảm an tồn và bảo mật thông tin, dữ liệu trong Cơng ty cịn q sơ sài, chưa đủ để đảm bảo mục tiêu an toàn bảo mật của hệ thống.
Hình thức giao dịch chủ yếu của Cơng ty vẫn là giao dịch truyền thống. Hình thức này vừa tốn kém về thời gian, chi phí vừa khó đảm bảo được an tồn thơng tin cho cả Công ty và đối tác.
Thực trạng về vấn đề an ninh thông tin tại Công ty TNHH Thương Mại và Xuất NHập Khẩu ADT như đã phân tích, đánh giá ở trên cho thấy việc đảm bảo ATTT là một vấn đề quan trọng đối với hoạt động của Công ty.
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NHẰM NÂNG CAO AN TỒN THƠNG TIN CHO CƠNG TY
TNHH THƯƠNG MẠI VÀ XUẤT NHẬP KHẨU ADT.
3.1. Định hướng phát triển nâng cao an tồn thơng tin cho cơng ty TNHHThương Mại và Xuất Nhập Khẩu ADT. Thương Mại và Xuất Nhập Khẩu ADT.
Ở nước ta, khoảng mười năm trở lại đây thì cơng nghệ thơng tin khơng cịn xa lạ, và ngày càng được ứng dụng rộng rãi trong nhiều lĩnh vực của đời sống xã hội, đặc biệt là lĩnh vực quản lý.
Ra đời và phát triển trong bối cảnh đó, Cơng ty TNHH Thương Mại và Xuất Nhập Khẩu ADT cần phải xác định những bước đi đúng đắn trong việc ứng dụng CNTT của mình để theo kịp những bước phát triển vượt bậc của xã hội.
Trong thời gian tới, Công ty định hướng tập trung phát triển các lĩnh vực kinh doanh nhằm:
- Đẩy mạnh tiếp thị, tìm kiếm các hợp đồng lớn.
- Tìm kiếm một số đối tác chiến lược lớn, mở rộng phạm vi phục vụ tới thị trường các nước lân cận.
- Mở rộng quy mô công ty trong 5 năm tới, xây dựng thêm 2 chi nhánh hoạt động trên các địa bàn khác.
- Mức tăng trưởng hàng năm đạt từ 25%-30% so với cùng kì. Cơng ty định hướng phát triển HTTT với các mục tiêu cụ thể:
- Đảm bảo tính ATBM đối với mọi thơng tin, dữ liệu trong hệ thống: thông tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty,…. nhằm làm tăng khả năng cạnh tranh và uy tín của cơng ty trên thị trường.
Dựa trên những định hướng của ban lãnh đạo Cơng ty TNHH Thương Mại và Xuất Nhập Khẩu ADT, khóa luận sẽ đưa ra một số giải pháp nhằm hướng tới mục tiêu mà công ty đã đề ra.
3.2. Đề xuất giải pháp đảm bảo an tồn thơng tin cho Công ty
3.2.1. Giải pháp nâng cấp thiệt bị về phần cứng
Hầu hết các công ty vừa và nhỏ của Việt Nam đều chưa chú ý tới bảo mật, do đó mạng kết nối Internet trong công ty được thả nổi và các nhân viên được tự do truy cập Internet mà khơng bị kiểm sốt. Bên cạnh các rủi ro về thất thốt thơng tin, thì Internet
tâm vào đọc báo điện tử, chơi game, download, facebook, twitter…thay vì làm việc. Bên cạnh đó Internet thường xuyên gây ra tình trạng ngưng trệ cơng việc do máy tính bị nhiễm virus, phần mềm độc…
Để tránh tình trạng này, Công ty TNHH Thương Mại và Xuất Nhập Khẩu ADT nên triển khai thiết bị bảo mật "cisco RV016 " của cisco :
Hình 3.1. Cisco RV016 Multi-WAN VPN RouterVới các chức năng: Với các chức năng:
• An ninh mạnh: Cung cấp khả năng kiểm tra trạng thái gói tin (SPI) bức tường lửa và mã hóa phần cứng;
• Cơng suất cao, hiệu suất cao khả năng IPsec VPN;
• Web dịch vụ bảo mật dựa trên đám mây Tùy chọn Cisco ProtectLink cung cấp lọc URL động và bảo vệ mối đe dọa web;
• Tường lửa SPI, từ chối dịch vụ (DoS), bóng của cái chết, lũ lụt SYN, tấn công mặt đất, IP giả mạo, thơng báo qua email cho hacker tấn cơng;
• Quy tắc truy cập : Lên đến 50 mục; • Cổng chuyển tiếp :Lên đến 30 mục; • Cổng kích hoạt : Lên đến 30 mục;
• Ngăn chặn: Java, cookies, ActiveX, HTTP proxy; • Lọc nội dung : Chặn URL tĩnh hoặc chặn từ khóa;
• Lọc web: Tùy chọn dịch vụ Web bảo mật dựa trên đám mây của Cisco ProtectLink;
• Quản lý an tồn: HTTPS, tên người dùng / mật khẩu, mật khẩu phức tạp; • VPN: khả năng kết nối giữa các chi nhánh và người dùng ở xa tới trụ sở chính.
Hình 3.2. Cấu hình điển hình
Với quy mơ Cơng ty hiện nay có thể coi sản phẩm này là thiết bị bảo mật khá toàn diện với chi phù hợp và phù hợp với thực trạng Công ty cổ phần công nghệ y dược Hà Nội...
3.2.2. Giải pháp nâng cấp thiết bị về phần mềm
a) Phần mềm mã hóa
Mã hóa dữ liệu là một trong những cách cơ bản nhất mà người dùng thường sử dụng để bảo vệ thơng tin trên máy tính. Người sử dụng cần tiến hành mã hóa các thơng tin, dữ liệu quan trọng mà mình khơng muốn bất kỳ người dùng nào khác có thể đọc được. Phần mềm mã hóa thì Cơng ty nên sử dụng GiliSoft File Lock Pro vì các chức nưng nổi trội:
• Ẩn dữ liệu: GiliSoft File Lock Pro có thể ẩn các tập tin, thư mục cá nhân và ổ đĩa của bạn, làm cho chúng trở nên “hồn tồn vơ hình” đối với người dùng và chương trình.
• Khóa dữ liệu: Bảo vệ các tập tin/thư mục/ổ đĩa bị khóa khơng bị truy cập. Người dùng khơng thể mở, đọc, chỉnh sửa, di chuyển, xóa, sao chép, đổi tên các tập
tin/thư mục được bảo vệ mà không cần mật khẩu. Các tập tin và thư mục con trong một thư mục bị khóa cũng được bảo vệ.
• Mã hóa dữ liệu: Chương trình có thể mã hóa bất kỳ tập tin và thư mục nào.
• Mã hóa di động: Gói và mã hóa một thư mục thành một file thực thi (exe file) với thuật toán mã hóa AES. Bạn có thể mã hóa những dữ liệu quan trọng bằng phương pháp này, và sau đó gửi nó qua mạng hoặc các phương tiện khác để sử dụng trên máy tính mà khơng cần Gili File Lock Pro.
• Xóa an tồn: GiliSoft File Lock Pro cho phép bạn gỡ bỏ hoàn toàn dữ liệu nhạy cảm từ ổ đĩa cứng của bạn bằng cách ghi đè lên nó nhiều lần với các mẫu lựa chọn cẩn thận. Khơng ai có thể phục hồi dữ liệu bị xóa từ ổ đĩa cứng của bạn nếu bạn xóa nó an tồn.
b) Phần mềm bảo mật
Triển khai phần mềm bảo mật với các tính năng chống virus, mã độc, thư rác trên các máy chủ, các thiết bị di động trong mạng để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các