2.1 .3Tình hình hoạt động trong 3 năm gần đây
2.2.1Thực trạng tình hình ứng dụng HTTT trong doanh nghiệp
2.2 Phân tích, đánh giá thực trạng an tồn bảo mật CSDL trong HTTT của cơng ty cổ
2.2.1Thực trạng tình hình ứng dụng HTTT trong doanh nghiệp
Trang thiết bị phần cứng.
Là một công ty hoạt động trong lĩnh vực công nghệ thông tin và thương mại điện tử trang thiết bị phần cứng của công ty được đầu tư đầy đủ máy móc cho nhân viên, đáp ứng nhu cầu công việc .Tồn cơng ty có 3 tầng làm việc, mỗi tầng có 1 phịng lễ tân, 2 phịng làm việc nhân viên, tổng cộng có 500 máy tính với tổng số máy chủ là 2 và 100 máy trạm.
Các phần mềm ứng dụng
Hiện công ty sử dụng rất nhiều các phần mềm phục vụ cho việc phát triển hệ thống cũng như phục vụ các công việc nhằm đáp ứng cả về chất lượng lẫn tốc độ của cơng việc, trong đó phải kể đến các phần mềm chủ yếu như:
o Phần mềm văn phòng cơ bản như Office, phần mềm chuyên dụng của công ty
o Chương trình phịng chống bảo vệ cho mạng: Sử dụng FireWall ( cứng và mềm), antivirut( Kaspersky),
o Phần mềm Inet SMS.
o Phần mềm Fast cho kế toán.
Phần mềm chấm công cho nhân viên WISE EYE V5.1: cách thức chấm công: nhận dạng và chấm công cho nhân viên bằng vân tay thơng qua thiết bị đọc vân tay tay (hay cịn gọi là máy chấm cơng bằng vân tay) từ đó kết nối đến phần mềm chấm công đã được cài đặt trong máy tính, đến cuối tháng, tiến hành tính lương cho từng nhân viên. Các tính năng chính: Lấy và lưu trữ dấu vân tay (có khả năng lưu trữ lên đến 10 ngón), quét vân tay kiểm tra ra vào (tốc độ nhận dạng vân tay 0.1s), Phát tín hiệu 'Xin cảm ơn' và hiện thông tin nhân viên khi chấm cơng thành cơng, tín hiệu 'Xin vui lịng thử lại' khi có lỗi đăng nhập hoặc chưa nhận dạng được vân tay của người quét vân tay, thiết bị vân tay luôn nằm ở trạng thái chờ mà khơng cần kích hoạt sau mỗi lần quét vân tay, giao diện hỗ trợ cảm ứng, lưu trữ danh sách nhân viên không giới hạn, thống kê giờ ra vào của nhân viên
Mạng
Cơ sở hạ tầng mạng: Hệ thống mạng được trang bị đầu tư với hệ thống mạng LAN và mạng không dây Wifi. chuyên nghiệp phục vụ cho các phòng ban.
Hệ thống mạng hoạt động đảm bảo tốc độ ổn định khơng có lỗi do đường truyền. Điều này vô cùng quan trọng để đảm bảo cho tất cả các thông tin truyền trên mạng được thông suốt và đạt hiệu quả cao nhất.
Cơ sở dữ liệu
Cấu trúc dữ liệu: Toàn bộ dữ liệu được tổ chức lưu trữ tập trung trên máy chủ và
được phân thành từng mục thành từng mục.
Xử lý dữ liệu : Tất cả các nghiệp vụ quản lý và tác nghiệp đều được xử lý trên
máy tính một cách chính xác và nhanh chóng, nâng cao tốc độ xử lý dữ liệu. Các dữ liệu được quản lý theo từng module một cách khoa học: CSDL tài chính, CSDL nhân sự, CSDL khách hàng, CSDL sản phẩm... việc xử lý trên máy tính đối với các file dữ liệu giúp cho cơng tác lưu trữ đơn giản hơn
Cách lưu trữ dữ liệu: dữ liệu trong công ty được lưu trữ và quản trị trên SQL
Server 2010. Việc lưu trữ trên SQL Server 2010 cho phép giao dịch không bị dứt quãng giữa việc quản lý dữ liệu không quan hệ và quan hệ. Điều này cho phép người dùng dễ dàng truy cập vào các tài liệu như dữ liệu, các kiến trúc mã hóa phức tạp bên
Và các phần mềm hỗ trợ như Cơng nghệ điện tốn đám mây
Nhân lực CNTT
Cơng ty có 1 phịng kỹ thuật riêng phụ trách tất cả các vấn đề về CNTT trong doanh nghiệp. Điều này đảm bảo được tính chuyên nghiệp trong các hoạt động liên quan đến CNTT trong công ty.
2.2.2 Đánh giá thực trạng an tồn bảo mật CSDL trong HTTT của cơng ty cổ phần truyền thơng Vccorp
2.2.2.1 Thực trạng cụ thể qua tìm hiểu bằng phiếu điều tra
Câu hỏi 1: Mức độ quan tâm tới vấn đề an tồn bảo mật của cơng ty
Bảng2.2 Mức độ quan tâm tới vấn đề an tồn bảo mật của cơng ty
Câu trả lời Số phiếu chọn Tỷ lệ phiếu chọn (%)
Rất quan tâm 0 0
Quan tâm 15 100
Ít quan tâm 0 0
Khơng quan tâm 0 0
Tổng 15 100
Rất quan tâm Quan tâm Ít quan tâm Khơng quan tâm 0 1 2 3 4 5 6 7 8 số phiếu số phiếu
Kết luận : Nhìn vào biểu đồ ta thấy cơng ty khá quan tâm đến an toàn bảo mật hệ thơng thơng tin . Vì là một cơng ty lớn nên dữ liệu công ty càng phải được chú trọng
Câu hỏi 2: Đánh giá về mức độ an toàn và bảo mật của HTTT tại công ty
Bảng 2.3 Đánh giá về mức độ an toàn và bảo mật của HTTT tại công ty
Câu trả lời Số phiếu chọn Tỷ lệ phiếu chọn (%)
Rất tốt 0 0 Tốt 7 46,66 Khá 5 33,33 Trung bình 3 20,01 Yếu 0 0 Tổng 15 100 Rất tốt Tốt Khá Trung bình Yếu 0 1 2 3 4 5 6 7 8 số phiếu số phiếu
Biểu đồ 2.3 Đánh giá về mức độ an toàn và bảo mật của HTTT tại cơng ty
Kết luận: Qua biểu đồ ta có thể thấy, mức độ an tồn bảo mật thơng tin trong công ty đang ở mức trung bình. Thơng tin đối với mỗi doanh nghiệp là tài sản quý giá nhất là những thơng tin về tài chính, khách hàng…. Vì vậy cơng ty cần có những biện pháp nâng cao an tồn bảo mật thơng tin
Câu hỏi 3: Khả năng lưu trữ của hệ thống hiện tại có đáp ứng được nhu cầu hiện tại của công ty không?
Bảng 2.4 Khả năng lưu trữ của hệ thống hiện tại có đáp ứng được nhu cầu hiện tại của công ty không?
Câu trả lời Số phiếu chọn Tỷ lệ phiếu chọn (%)
Đáp ứng tốt 4 0
Đáp ứng được nhu cầu bản 8 100
Đáp ứng kém 3 0
Chưa đáp ứng được nhu cầu 0 0
Tổng 15 100
Đáp ứng tốt Đáp ứng được nhu
cầu bản Đáp ứng kém Chưa đáp ứng được nhu cầu 0 1 2 3 4 5 6 7 8 9 phiếu chọn phiếu chọn
Biểu đồ 2.4 Khả năng lưu trữ của hệ thống hiện tại có đáp ứng được nhu cầu hiện tại của công ty không
Kết luận: Khả năng lưu trữ hệ thống thông tin hiện tại của công ty ở mức đáp ứng được nhu cầu cơ bản nhưng nếu công ty muốn phát triển lớn mạnh hơn nữa thì phải tăng cường công nghệ lưu trữ để hoạt động trao đổi giao dịch diễn ra an tồn và nhanh chóng
Câu hỏi 4: Giải pháp nào cần làm đầu tiên để có thể tiến hành an tồn thơng tin ?
Bảng 2.5 Giải pháp cần làm đầu tiên để tiến hành an tồn thơng tin.
Câu trả lời Lựa chọn Tỷ lệ (%)
Giải pháp hệ thống tường lửa và bảo vệ chu vi mạng 5 33.33 Giải pháp thiết kế hệ thống phát hiện và ngăn ngừa 3 20
Giải pháp an tồn mạng khơng dây 3 20
Giải pháp ứng dụng điện toán đám mây 4 26.67
Tổng 15 100
33.33
20 20
26.67
Giải pháp hệ thống tường lửa và bảo vệ chu vi mạng Giải pháp thiết kế hệ thống phát hiện và ngăn ngừa Giải pháp an toàn mạng khơng dây
Giải pháp ứng dụng điện tốn đám mây
Biểu đồ 2.5 : Giải pháp cần làm đầu tiên để tiến hành an tồn thơng tin.
Ta thấy nhân viên công ty vẫn đề cao giải pháp về hệ thống tường lửa đây là giải pháp phù hợp nhất cho vấn đề an tồn bảo mật của cơng ty
Câu hỏi 5 Phương pháp kĩ thuật công ty sẽ dùng để bảo mật thông tin?
Bảng 2.6: Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin
Phương pháp kỹ thuật Lựa chọn Tỷ lệ (%)
Kết cấu mạng nội bộ nghiêm ngặt 8 53
Cơ chế an toàn đầy đủ cho mạng 3 20
Đảm bảo sự toàn diện của hệ thống 4 27
53
20 27
Kết cấu mạng nội bộ nghiêm ngặt
Cơ chế an toàn đầy đủ cho mạng
Đảm bảo sự toàn diện cho hệ thống
Biểu đồ 2.6: Phương pháp kỹ thuật công ty sử dụng để bảo mật thơng tin
Ta thấy nên có sự kết hợp giữa 3 phương pháp này để hệ thống thông tin của công ty được bảo mật một cách tốt nhất.
2.2.3 Đánh giá thực trạng bảo mật, an tồn cơ sở dữ liệu ở cơng ty cổ phần truyền thông Vccorp
Công ty cung cấp nhiều dịch vụ, tiện ích cho nên việc kiểm sốt thơng tin, nguy cơ mất an tồn thơng tin ngày càng cao, Từ thực trạng đó, việc thực hiện tốt cơng tác an ninh, bảo mật cho các dịch vụ của công ty là bảo vệ lợi ích, quyền lợi của khách hàng. Đảm bảo an tồn thơng tin là sự kết hợp giữa con người, cơng nghệ, chính sách.
Bằng những gì đã thu thập được, sau q trình phân tích và nghiên cứu, em xin đưa ra một số đánh giá về thực trạng bảo mật, an tồn dữ liệu ở cơng ty cổ phần truyền thông Vccorp
2.2.2.1 Ưu điểm
- Qua phiếu khảo sát cho thấy đội ngũ quản trị mảng CNTT của công ty cũng đang có mối quan tâm, có hướng đi đúng đắn trong việc đưa ra chiến lược để nâng cấp hệ thống bảo mật để đảm bảo cho công tác bảo mật và an tồn thơng tin. Đồng thời, cũng cũng có dự định đầu tư thêm vào cho hoạt động an tồn bảo mật thơng tin. Xác định tầm quan trọng của những thông tin của cơng ty cần được bảo vệ. Các hình thức đảm bảo an tồn thơng tin đã được áp dụng trong cơng ty như:
+ Chương trình phịng chống bảo vệ cho mạng: Antivirut( BKAV Pro), mail antivirut (security Plus for Mdea, Symante dùng cho các máy cá nhân).
+ Sử dụng phần mềm diệt virus bản quyền dành cho doanh nghiệp: BKAV + tường lửa phần cứng phần mềm
+ Lựa chọn giải pháp bảo mật email và web cho phép lọc thư rác, loại bỏ các mối đe dọa trên email
+ Đầu tư phần cứng hệ thống sao lưu dự phịng và các giải pháp khơi phục dữ liệu khi có sự cố.
- Cơng ty đã có sự đầu tư nhân lực CNTT tương đối tốt khi đội ngũ nhân viên trong Ban CNTT của công ty đều được đào tạo chuyên nghiệp tại các trường đại học lớn như Đại học Công nghệ, Đại học FPT, Đại học Bách Khoa, Bách khoa Aptech… cho nên đây là bước đệm hỗ trợ việc bảo mật, an tồn dữ liệu, thơng tin.
- Cơng ty cung cấp cho các nhân viên các mật khẩu riêng, do đó mà ít xảy ra tình trạng bị đánh cắp thơng tin.Việc các nhân viên trong công ty được cung cấp một mật khẩu để đăng nhập vào các chương trình, hệ thống của cơng ty nên tính an tồn và riêng tư được đảm bảo, các nhân viên trong nội bộ của cơng ty khơng thể tị mị hay vì lí do nào khác mà có thể có ai đó tham dự vào các cơng việc khác khơng phải của mình.
- Bằng các kỹ thuật chuyên môn, các kỹ thuật viên đã làm ẩn giấu các thông tin về server của trang web, đây là việc đáng khuyến khích làm vì như vậy các hacker sẽ khó khăn hơn trong việc tìm kiếm thơng tin về hệ thống của công ty.
- Máy chủ và máy trạm trong công ty được kết nối bằng mạng nội bộ LAN, giúp cho việc truyền nhận thông tin và chia sẻ tài ngun tốt, khơng bị chia sẻ ra bên ngồi.
2.2.2.2 Nhược điiểm
- Máy chủ hiện tại của hệ thống là máy chủ HP Proliant ML150 G6 Hot plug SAS/SATA, máy chủ này có giá cả tốt, cấu tạo nhỏ gọn tuy nhiên nhược điểm của máy chủ này là khơng thích hợp cho doanh nghiệp lớn, thùng máy nhỏ nên bộ phận bên trong dễ dàng bị nóng. CPU nóng quá mức, hoạt động của hệ thống dễ dàng bị quá tải và ngắt khiến cho máy bị ngắt đột ngột giữa chừng. Cùng với đó, cơng ty cũng chưa hề có biện pháp nào phịng tránh khi có sự cố bất ngờ về điện xảy ra làm hỏng hóc phần cứng máy tính.
- Các giải pháp an tồn vào bảo mật của cơng ty chưa đồng bộ và triệt để. Có lỗ hổng dẫn đến nguy cơ bị tấn công CSDL.
- Khi thiết lập website để quảng bá thương hiệu, kinh doanh dịch vụ, công ty vẫn chưa quan tâm sâu sắc đến yếu tố bảo mật. Chủ yếu, ban lãnh đạo quan tâm nhiều đến hình thức bên ngồi, giao diện dễ sử dụng, website vận hành tốt… Nếu có u cầu về bảo mật thì vẫn khơng có sự đồng bộ giữa đơn vị thiết kế website, dịch vụ đặt máy
- Quan tâm nhiều đến hình thức bên ngồi, giao diện dễ sử dụng, website vận hành tốt… Nếu có u cầu về bảo mật thì vẫn khơng có sự đồng bộ giữa đơn vị thiết kế website, dịch vụ đặt máy chủ, đội ngũ an ninh mạng…
- Chi phi đầu tư về bảo mật chưa cao, chưa lưu ý đến mức độ chuyên nghiệp của đơn vị cung cấp dịch vụ hosting (nơi đặt máy chủ) và hệ điều hành máy chủ quản lý website. Do sử dụng dịch vụ máy chủ dùng chung (Share Hosting) mà nhà cung cấp dịch vụ khơng cấu hình bảo mật có thể xảy ra rủi ro. Các hacker có thể tấn cơng vào một website dùng chung dịch vụ hosting và sau đó từ đây tấn cơng vào website của DN khác. Việc sử dụng máy chủ được thuê riêng với hệ thống bảo mật sẽ đảm bảo an toàn cho website cũng như dữ liệu được lưu trữ tại máy chủ của công ty
- Công ty cũng đã sử dụng các công cụ, phần mềm để đánh giá tình hình bảo mật, phát hiện các lỗ hổng bảo mật trên các website, thường xuyên sử dụng dịch vụ bảo trì website do cơng ty thiết kế web cung cấp. Thường xuyên cập nhật thông tin về những bản vá lỗi của các hãng phần mềm, theo dõi chặt chẽ về quyền truy cập/mật khẩu… Thiết lập chế độ nhật ký mạng (ghi tập tin log) nhằm có cơ sở giải quyết sự cố mạng và điều tra các cuộc tấn công.
- Trong hệ thống của công ty, các mật khẩu email, mật khẩu đăng nhập của một số website nội bộ sử dụng các thơng tin đăng nhập khơng được mã hóa, điều này tạo điều kiện cho hacker dễ dàng ăn cắp được mật khẩu. Vì vậy bộ phận kỹ thuật nên mã hóa các mật khẩu đăng nhập cho an toàn.
CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP BẢO MẬT CSDL TRONG HTTT CỦA CÔNG TY CỔ PHẦN TRUYỀN THÔNG VCCORP
3.1 Đề xuất các giải pháp
Công ty cổ phần truyền thông Vccorp được đánh giá là một trong những đơn vị tiên phong ở Việt Nam trong lĩnh vực phân phối các sản phẩm trong lĩnh vực công nghệ thông tin,công nghệ thương mại điện tử và quyết tâm trở thành doanh nghiệp hàng đầu về nội dung với khoảng trên 30 triệu khách hàng. Do đó cơng ty phải ln nỗ lực cải thiện hoạt động, nâng cao chất lượng nhân viên. Trong giai đoạn tới, công ty tiếp tục chú trọng đầu tư vào những công việc sau:
- Thứ nhất, trong thời gian gần nhất sẽ sẽ thiết kế và xây dựng một hệ thống tường lửa cho việc phân quyền truy nhập cho từng chức vụ và phịng ban cụ thể để đảm bảo an tồn dữ liệu thông tin trong công ty.
- Thứ hai: xây dựng máy chủ CSDL để đáp ứng tốt nhu cầu lưu trữ của công ty như hiên nay
- Thứ ba: tăng cường bảo đảm an toàn bảo mật toàn hệ thống bao gồm cả hệ thống phần cứng, phần mềm, cẩn trọng trong các giao dịch qua mạng, các giao dịch nước ngoài. Trong những năm tới, cơng ty tập trung đầu tư, hồn thiện bảo mật toàn hệ thống bằng các phần mềm chuyên dụng kết hợp với sử dụng phần cứng để hạn chế thấp nhất những rủi ro mất, hỏng dữ liệu quan trọng, tăng cường đảm bảo an ninh, quản lí rủi ro cơng nghệ, bảo đảm an tồn hệ thống.
- Thứ tư, nâng cao chất lượng nguồn nhân lực CNTT tại công ty. Hàng năm, công ty tiến hành tổ chức các lớp bồi dưỡng về cách thức sử dụng và làm việc với những phần mềm mới nhằm nâng cao trình độ CNTT cho cán bộ nhân viên. Điều này