Ở câu hỏi cuối cùng “Trở ngại khi phát triển ATTT của Công ty?”, ý kiến tập trung vào trở ngại chính là “nguồn nhân lực”. Bởi nhận thức về ATTT của nhân viên chưa cao nên khó có thể đạt được mục tiêu an toàn cho hệ thống.
Đánh giá thực trạng an tồn bảo mật thơng tin tại cơng ty
Qua q trình thu thập và phân tích kết quả điều tra, có thể đưa ra nhận xét về tình hình đảm bảo ATTT của Cơng ty cổ phần phát triển phần mềm ASIA:
Điểm mạnh
Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trong tình trạng còn mới, hoạt động tốt và ổn định. Đây sẽ là một sự khởi đầu tốt cho kế hoạch xây dựng một hệ thống đảm bảo ATTT cho Công ty.
Các phần mềm ứng dụng là phần mềm có bản quyền. Việc mua bản quyền phần mềm giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theo virus, mã độc…) đồng thời có thể thường xun được cập nhật thơng tin về các nguy cơ ATTT, cập nhật các bản vá lỗi của nhà sản xuất.
Hệ thống phân quyền người sử dụng giúp làm giảm bớt sự tiếp xúc của thơng tin với mơi trường ngồi, làm tăng tính bảo mật của thông tin.
Cơ chế sao lưu dữ liệu thường xuyên giúp Công ty hạn chế tối thiểu những tổn thất khi thông tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa.
Phần lớn nhân viên và ban lãnh đạo Công ty đã nhận thức được tầm quan trọng của ATTT đối với hoạt động kinh doanh và sự phát triển của Công ty.
Công ty mới thành lập với đội ngũ nhân viên trẻ, nhiệt huyết dễ dàng tiếp thu cái mới nên đào tạo họ sẽ nắm bắt vấn đề rất nhanh chóng.
Điểm yếu
Cơng ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT (các thiết bị, phần mềm bảo mật) cũng là nền tảng quan trọng cho vấn đề an ninh thông tin.
Kiến thức về ATTT của nhân viên trong Công ty chưa cao, dẫn đến nhiều nguy cơ mất ATTT của doanh nghiệp.
Các hình thức bảo đảm an tồn và bảo mật thơng tin, dữ liệu trong Cơng ty cịn quá sơ sài, chưa đủ để đảm bảo mục tiêu an toàn bảo mật của hệ thống.
Hình thức giao dịch chủ yếu của Cơng ty vẫn là giao dịch truyền thống. Hình thức này vừa tốn kém về thời gian, chi phí vừa khó đảm bảo được an tồn thơng tin cho cả Công ty và đối tác.
Thực trạng về vấn đề an ninh thông tin tại Công ty cổ phần phát triển phần mềm ASIA như đã phân tích, đánh giá ở trên cho thấy việc đảm bảo ATTT là một vấn đề quan trọng đối với hoạt động của Công ty.
PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TỒN BẢO MẬT THƠNG TIN TRONG HỆ THỐNG
THÔNG TIN TẠI CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA
3.1. Định hướng giải pháp an tồn và bảo mật thơng tin cho cơng ty
Đảm bảo tính ATBM thơng tin, dữ liệu trong hệ thống: thơng tin khách hàng, thông tin về các đối tác, thông tin hoạt động nội bộ công ty,…. nhằm làm tăng khả năng cạnh tranh và uy tín của cơng ty trên thị trường.
Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của công ty, giúp giảm bớt chi phí hoạt động cho cơng ty, tránh tuyệt đối sự xâm nhập bên trong cũng như bên ngoài.
Hoàn thiện hệ thống chữ ký số và xác thực chứng chỉ số.
Tổ chức các chương trình đào tạo cho nhân viên nhằm nâng cao kiến thức ATBM thông tin trong doanh nghiệp.
3.2. Giải pháp nâng cao an toàn và bảo mật thông tin cho hệ thống thông tin trong doanh nghiệp
3.2.1. An tồn và bảo mật thơng tin bằng các biện pháp phần cứng
Trong thời đại công nghệ phát triển như hiện nay, doanh nghiệp nào cũng sử dụng Internet, chính điều đó đã tạo điều kiện rất dễ xâm nhập ăn cắp dữ liệu, mà hơn hết các dữ liệu cá nhân hay doanh nghiệp là tài sản vô cùng quý giá quyết định số mạng của cả một doanh nghiệp hay một tổ chức nào đó.
Cơng ty Cổ phần phát triển phần mềm ASIA cũng vậy, do đó cần có các giải pháp hiệu quả để hệ thống máy tính của khách hàng luôn luôn được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
Sử dụng tường lửa cho phần cứng (Fire wall)
Tường lửa (Firewall) là một thuật ngữ dùng mơ tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó.
Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo khơng có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng.
Cơng ty có sử dụng tường lửa Firewall (theo phiếu điều tra có 10/50 phiếu sửa dụng) để đảm bảo an tồn và bảo mật thơng tin, tuy nhiên việc sử dụng Firewall của phần mềm có sẵn trên Windows chưa đáp ứng và sử dụng hiệu quả cho cơng ty.
Hình 3.1: Tường lửa cho hệ thống mạng
(Nguồn: antoanthongtin.vn)
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall.
Trước khi một gói tin Internet đến máy tính, thì Firewall phần cứng sẽ giám sát các gói tin và kiểm tra xem nó đến từ đâu. Nó cũng kiểm tra nếu địa chỉ IP hoặc tiêu đề có thể tin cậy được.
Tường lửa phần cứng được được thiết kế để tối ưu cho firewall, có khả năng tích hợp thêm các chức năng bổ sung khó khăn hơn firewall mềm, chẳng hạn như chức năng kiểm soát thư rác đối với firewall mềm chỉ cần cài đặt chức năng này như một ứng dụng cịn đối với firewall cứng phải có thiết bị phần cứng hỗ trợ cho chức năng này.
Firewall của Cisco: Đối với các dòng sản phẩm firewall của Cisco - dịng sản
phẩm được rất nhiều doanh nghiệp có quy mơ hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và giá thành phù hợp. Cisco mới đây đã giới thiệu một thế hệ firewall hoàn toàn mới tên gọi first threat-focused Next-Generation Firewall (NGFW) được thiết kế đặc biệt có khả năng phát hiện và ngăn chặn các cuộc tấn công. Thế hệ firewall Cisco ASA với FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa phịng thủ nhằm bảo vệ hệ thống mạng cho người dùng.
Thế hệ Firewall mới của Cisco cũng được tích hợp tính năng kiểm sốt ứng dụng, hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced Malware Protection (AMP) từ SourceFire.
Theo Cisco, thiết bị firewall mới của hãng là một thiết bị duy nhất được thể kết hợp tường lửa, tính năng kiểm sốt ứng dụng với khả năng phịng chống xâm nhập và phát hiện các cuộc tấn cơng. Điều này có nghĩa là thiết bị của hãng sẽ giúp các tổ chức đơn giản hóa kiến trúc bảo mật cho mình mà cịn tiết kiệm được đáng kể chi phí cũng như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Trong bối cảnh hiện tại với các cuộc tấn công vào các hệ thống điều khiển/ngành cơng nghiệp và sự phát triển của các băng nhóm tội phạm mạng tinh vi, các tổ chức cần phải chủ động để có thể kiểm sốt từng thay đổi dù rất nhỏ từ mơi trường nhằm có những biện pháp bảo vệ tức thời. Các thiết bị phần cứng Cisco ASA with FirePOWER Services thực sự là một bước tiến bộ trong thị trường NGFW, giúp tăng cường bảo vệ theo thời gian thực từ data center, hệ thống mạng cho đến từng thiết bị đầu cuối của khách hàng.
Cisco cho biết, khách hàng có thể chọn mua các thiết bị firewall Cisco ASA mới kèm giấy phép FirePOWER; hoặc các khách hàng đang sở hữu các firewall ASA 5500-X hay 5585-X series có thể mua thêm giấy phép sử dụng FirePOWER cho hệ thống của mình.
Một mơi trường cấu hình chung làm đơn giản hóa cơng việc quản lý và làm giảm chi phí đào tạo, trong khi thiết bị phần cứng chung của họ sản phẩm này làm giảm chi phí dự phịng. Hiện tại, Cisco chiếm khoảng 1/4 thị phần sản phẩm Firewall trên thị trường.
Giải pháp bảo mật đường truyền
Trong thời đại CNTT phát triển, mọi dữ liệu, thông tin đều được gửi qua đường truyền mạng để gửi và nhận dữ liệu một cách nhanh chóng. Theo phiếu điều tra thu thập được, có tới 40% phiếu quản lí email gửi và nhận để bảo mật thơng tin cho khách hàng. Vì vậy, để nâng cao hơn vấn đề bảo mật CSDL Công ty nên chú trọng giải pháp bảo mật đường truyền để tranh mất mát giữ liệu trong quá trình lưu trữ, truyền và nhận dữ liệu
Dưới đây là một số giao thức bảo mật đường truyền mà Cơng ty có thể áp dụng tùy thuộc vào mức chi trả đầu tư cho HTTT của công ty:
Giao thức WEP- Wired Equivalent Privacy.
WEP được thiết kế để đảm bảo tính bảo mật cho mạng khơng dây đạt mức độ như mạng nối cáp truyền thống. WEP cung cấp bảo mật cho dữ liệu trên mạng không dây qua phương thức mã hóa.
Đối với Cơng ty Cổ phần phát triển phần mềm ASIA hiện tại nên sử dụng WEP có độ dài khóa 128 bit. Do WEP sử dụng RC4, một thuật tốn sử dụng phương thức mã hóa dịng, nên cần một cơ chế đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả giống nhau sau khi được mã hóa hai lần khác nhau. Đây là một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm hạn chế khả năng suy đốn khóa của Hacker.
Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit sẽ gia tăng số lượng gói dữ liệu Hacker cần phải có để phân tích IV, gây khó khăn và kéo dài thời gian giải mã khóa WEP.
Giao thức SSL.
SSL (Secure Sockets Layer) là một giao thức (protocol) cho phép bạn truyền đạt thông tin một cách bảo mật và an toàn qua mạng. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên mơi trường internet được an tồn., là tiêu chuẩn của cơng nghệ bảo mật, truyền thơng mã hố giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên tồn thế giới, nó bảo vệ dữ liệu truyền đi trên mơi trường internet được an toàn.
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà khơng có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm sốt được liệu có ai đó thâm nhập vào thông tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.
Mã hố: đảm bảo thơng tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thơng tin “nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hố để khơng thể bị đọc được bởi những người khác ngoài người gửi và người nhận.
Toàn vẹn dữ liệu: đảm bảo thơng tin khơng bị sai lệch và nó phải thể hiện chính xác thơng tin gốc gửi đến.
Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thông tin, xác thực và tồn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser
Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hố thơng tin giữa client và server. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP (Internet Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng chính cho các giao dịch trên Web. SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối.
Lúc này, phía browser sử dụng các kỹ thuật mã hố cơng khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng.
Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết
nối. Phía server cũng sử dụng các kỹ thuật mã hố cơng khai để kiểm tra xem certificate và public ID của server có giá trị hay khơng và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp.
Mã hố kết nối: Tất cả các thơng tin trao đổi giữa client và server được mã hoá
trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngồi ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hố cịn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu. ( đó là các thuật tốn băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSL handshake. Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu. Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.
Sử dụng thuật toán mã hoá và xác thực DES (Data Encryption Standard) của SSL là một thuật tốn mã hố có chiều dài khố là 56 bit.
Khi một client và server trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hố mạnh nhất có thể và sử dụng chúng trong phiên giao dịch SSL
3.2.2. An tồn và bảo mật thơng tin bằng các giải pháp phần mềm
Sử dụng phần mềm diệt virut
Virus (đại diện chung cho tất cả các chương trình tự động cài vào máy tính mà khơng được phép của người sử dụng như worm, malware, trojan…), khi xâm nhập, nó sẽ đe dọa đến độ an tồn của thơng tin, dữ liệu lưu trữ trên máy tính và gây ra nguy cơ