- Hiện nay công ty chưa có bộ phận chuyên trách riêng về an toàn bảo mật thông tin và cũng chưa từng tổ chức các khóa đào tạo về đảm bảo an toàn thông tin
THUẬT SỐ SÀI GÒN 3.1 Định hướng phát triển của công ty
3.1. Định hướng phát triển của công ty
Năm 2011 là năm cao điểm về an toàn thông tin tại Việt Nam, với số lượng hacker trên thế giới tăng lên đáng kể và lại luôn hướng về Việt Nam với một ý nghĩ “Việt Nam là một “mảnh đất” an toàn cho giới hacker bởi sự ứng dụng các biện pháp an toàn thông tin chưa thực sự quyết liệt và nghiêm túc…”. Cùng với đó là tình hình an toàn thông tin trong các năm tiếp theo được dự báo là sẽ diễn ra rất phức tạp với việc hàng loạt các trang web bị tấn công, chiếm đoạt tên miền, các thông tin, dữ liệu cá nhân bị đánh cắp, các biến thể virus mới… liên tục xuất hiện. Chính vì vậy mà các vấn đề như phát triển hạ tầng công nghệ an ninh bảo mật, các giải pháp ứng dụng mới nhất, cùng các vấn đề thời sự cấp bách nhằm nâng cao nhận thức và cảnh báo về an toàn thông tin luôn được giới cơ quan quản lý nhà nước về công nghệ thông tin –
thông tin đưa ra tại các buổi hội thảo về chủ đề “An toàn thông tin” giữa các doanh nghiệp trong và ngoài nước.
Trước tình hình đó, công ty CP Kỹ thuật số Sài Gòn cũng không đặt mình đứng ngoài cuộc mà đã chủ trương đề ra định hướng phát triển nhằm giải quyết vấn đề an toàn thông tin trong doanh nghiệp mình giai đoạn 2012-2015.
Tập trung đầu tư, nâng cấp hệ thống công nghệ thông tin, các ứng dụng phần mềm, phần cứng bảo mật để kịp thời ứng phó với sự thay đổi và tiến bộ không ngừng của công nghệ cũng như của các hình thức xâm phạm trái phép nhằm gây mất an toàn thông tin.
Tổ chức các buổi hội thảo, tọa đàm về an thông tin giữa nhân viên trong công ty với nhân viên của các doanh nghiệp khác trong và ngoài ngành. Bên cạnh đó, tích cực huy động các doanh nghiệp khác và các đối tác của công ty cùng nhau quan tâm, chia sẻ các kinh nghiệm về an toàn thông tin, đồng thời khẩn trương, nghiêm túc thực hiện các chính sách, chỉ thị của nhà nước về vấn đề này.
Tuyên truyền, vận động nâng cao nhận thức của nhân viên trong công ty về an toàn thông tin, đảm bảo an toàn thông tin trên máy tính cá nhân, trên mạng nội bộ và trên mạng Internet.
Xây dựng bộ phận chuyên trách về an toàn thông tin, tổ chức đào tạo ngắn hạn về chuyên ngành cho cán bộ quản trị mạng, có các chính sách khích lệ, động viên nhằm nâng cao tinh thần trách nhiệm làm việc của các nhân viên trong bộ phận, đảm bảo lợi ích cho công ty.
Bên cạnh đó, công ty sẽ thường xuyên tiến hành đánh giá mức độ an toàn thông tin của doanh nghiệp mình theo một tiêu chuẩn đánh giá chất lượng an toàn thông tin cụ thể, tiêu chuẩn này độc lập với mô hình hoạt động của công ty và dựa trên cơ sở của tiêu chuẩn này để thiết lập các chính sách an toàn thông tin cho công ty.
3.2. Đề xuất giải pháp đảm bảo an toàn thông tin cho công ty cổ phần Kỹ thuậtsố Sài Gòn số Sài Gòn
3.2.1. Một số giải pháp nhằm đảm bảo an toàn thông tin
3.2.1.1. Phương pháp che giấu, bảo đảm toàn vẹn và xác thực thông tin
3.2.1.1.1. Mã hóa
Trong mật mã học, một ngành toán học ứng dụng cho công nghệ thông tin, mã hóa là phương pháp để biến thông tin (phim ảnh, văn bản, hình ảnh...) từ định dạng
bình thường sang dạng thông tin không thể hiểu được nếu không có phương tiện giải mã. Giải mã là phương pháp để đưa từ dạng thông tin đã được mã hóa về dạng thông tin ban đầu, quá trình ngược của mã hóa. (Bộ môn Ứng dụng tin học, 2010)
Các hệ thống mã hoá trong máy tính phổ biến nhất thuộc một trong hai loại sau:
• Mã hoá với khoá đối xứng (Symmetric-key Encryption)
• Mã hoá với khoá công khai (Public-key Encryption)
Mỗi hệ thống mã hóa có ưu nhược điểm riêng. Mã hóa khóa đối xứng xử lí nhanh nhưng độ an toàn không cao. Mã hóa khóa công khai xử lí chậm hơn, nhưng độ an toàn và tính thuận tiện trong quản lí khóa cao. Trong các ứng dụng mã hóa hiện tại, người ta thường kết hợp các ưu điểm của cả hai loại mã hóa này.
3.2.1.1.2. Giấu tin
Giấu tin là thao tác nhúng thông tin vào trong các dạng dữ liệu số hóa như tập tin ảnh, tập tin âm thanh, tập tin văn bản…Thao tác này được tiến hành theo nhiều cách khác nhau tùy theo từng phương pháp và mục đích.
Thông điệp mật thường được chèn vào file chứa, ghi đè lên một phần file chứa (thay thế) hoặc file chứa được sinh ra có chứa thông điệp. Ta gọi là các phương pháp chèn, thay thế và sinh. (Bộ môn Ứng dụng tin học, 2010)
Giấu tin dựa vào phương pháp chèn.
Kỹ thuật chèn này có sự khác biệt là ở chỗ nó tìm một vị trí trong file mà ứng dụng bỏ qua khi đọc file. Về cơ bản, bạn chèn dữ liệu vào một file, việc này làm tăng kích thước của file lên nhưng không làm ảnh hưởng đến sự thể hiện (tái hiện, nghe nhìn) của dữ liệu. Thuộc tính chính của kỹ thuật này là ta chỉ thêm dữ liệu vào file, không sửa hay thay đổi một chút nào nội dung đang có của file. Ưu điểm của phương pháp này là có thể ẩn về mặt lý thuyết khá nhiều thông tin mà không làm giảm chất lượng file chứa. Nhược điểm là một vài điểm trong file sẽ lớn hơn bình thường.
Giấu tin dựa vào phương pháp thay thế.
Chính là chèn dữ liệu trên file, thường là ghi đè. Phương pháp này đơn giản nhưng nên cẩn thận. Thủ thuật là tìm thông tin không quan trọng trong file, thông tin có thể ghi đè lên mà không gây tác động gì đến file, hoặc không ảnh hưởng gì nhiều. Khác với cách chèn thì ghi đè làm cho kích thước file không thay đổi. Nhưng hạn chế là ở chỗ lượng dữ liệu ẩn phụ thuộc vào file chứa vì số lượng dữ liệu không quan trọng trong file là hạn chế.
Giấu tin bằng phương pháp sinh.
Cả hai kỹ thuật trên đều đòi hỏi phải có cách ẩn và file chứa. Với kỹ thuật sinh việc giấu tin được dùng để tạo file chứa. Trong các mô hình sinh, thông tin được chứa trong chính mô hình sinh file chứa (mô hình này thường được giữ kín), do đó việc phát hiện, hay tác động lên tin mật trên đường truyền sẽ khó khăn hơn.
Trên thực tế người ta chủ yếu dùng phương pháp chèn và thay thế, phương pháp sinh cũng đã được nghiên cứu nhưng rất hạn chế và khó áp dụng vào thực tế.
3.2.1.1.3. Ký số
Chữ ký số (một dạng chữ ký điện tử) là thông tin được mã hóa bằng khóa riêng (tương ứng với một khóa công khai) của người gửi, được đính kèm theo văn bản nhằm đảm bảo cho người nhận định danh và xác thực đúng nguồn gốc, tính toàn vẹn của dữ liệu nhận được. (Bộ môn Ứng dụng tin học, 2010)
Chữ ký số ra đời để khắc phục các thiếu sót của những hệ thống xác thực ra đời trước đó. Cùng với sự phát triển của thương mại điện tử, ngoài nhu cầu xác thực, các nhu cầu khác về bảo mật như toàn vẹn dữ liệu và chống từ chối cũng đều hết sức cấp thiết.
3.2.1.2. Phương pháp kiểm soát lối vào ra của thông tin
3.2.1.2.1. Tạo mật khẩu (Password)
Tạo mật khẩu là một phương pháp đơn giản và dễ thực hiện đối với mọi cá nhân, tổ chức khi muốn đảm bảo an toàn thông tin trên máy tính. Có hai cách tạo mật khẩu thông dụng sau:
Mật khẩu do người dùng tạo ra.
Là mật khẩu do người dùng tạo ra cho mục đích riêng của họ. Do vậy, người dùng sẽ luôn nhớ được mật khẩu này mà không cần phải ghi lại, điều đó tránh việc truy tìm mật khẩu từ các ghi chép. Tuy nhiên, điều trên lại nảy sinh vấn đề là do người dùng chọn mật khẩu dễ nhớ nên các mật khẩu này dễ bị người khác đoán được.
Mật khẩu do máy tạo ra.
Mật khẩu này thường là khó đoán do sử dụng chương trình tạo mật khẩu cho người dùng, những mật khẩu tồi có thể bị loại khỏi hệ thống. Tuy vậy, các mật khẩu này thường không dễ nhớ, nên phải ghi lại.
Các nghiên cứu cho thấy người dùng thích dùng mật khẩu tự tạo hơn là các mật khẩu do máy tạo vì lí do nhớ mật khẩu.
3.2.1.2.2. Phần mềm diệt virus
Phần mềm diệt virus là phần mềm có tính năng phát hiện, loại bỏ các virus máy tính, khắc phục (một phần hoặc hoàn toàn) hậu quả của virus gây ra và có khả năng được nâng cấp để nhận biết các loại virus trong tương lai. (http://vi.wikipedia.org, 2012)
Phần mềm diệt virus máy tính thường thực hiện kiểm soát liên tục theo thời gian thực để bảo vệ hệ thống. Hình thức kiểm soát liên tục sẽ quét virus mọi file mà hệ thống truy cập đến, mọi file ngay từ khi bắt đầu được copy vào hệ thống thông qua hình thức nhận biết so sánh mẫu và theo dõi hành động đáng ngờ.
3.2.1.2.3. Tường lửa (Firewall)
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network). Thông thường Firewall được đặt giữa mạng bên trong của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài và cấm truy nhập từ bên trong tới một số địa chỉ nhất định trên Internet.
3.2.1.2.4. Mạng riêng ảo (VPN)
VPN là viết tắt của Virtual Private Networks hay còn gọi là Mạng riêng ảo, cho phép mở rộng phạm vi nội bộ bằng cách sử dụng lợi thế của Internet. Kỹ thuật VPN cho phép bạn kết nối với một host nằm ở xa hàng ngàn kilomet với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa các máy khách (clients) và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN (http://vi.wikipedia.org, 2012). VPN sử dụng giao thức để tạo đường hầm truyền tin riêng và các biện pháp an ninh để bảo vệ dữ liệu trên đường truyền như mã hoá, xác thực…
Một thiết bị bảo mật dựa trên phần cứng là một thiết bị mạng được thiết kế để thực hiện chỉ một hoặc một số chức năng bảo mật đặc biệt. Nó cung cấp cho người dùng một giải pháp phần mềm và phần cứng hoàn chỉnh kể cả một hệ điều hành tối thiểu. Thiết bị này là một hệ thống bảo mật "đóng" - cho phép cài đặt nhanh, dễ sử dụng, ít phải bảo trì và thường được quản trị qua web interface. Thiết bị bảo mật dựa trên phần cứng có thể lắp ráp đơn giản, nối mạng, cắm nguồn và hoạt động. Chỉ với vài thao tác cấu hình đơn giản từ người sử dụng (chủ yếu là cài đặt các tham số mạng, ngày giờ), nó đã có thể sẵn sàng cho tác vụ bảo mật cần thiết. Người sử dụng có thể vận hành khai thác giải pháp này với kiến thức mạng và bảo mật tối thiểu. (http://innotel.com.vn, 2012)
Những ưu điểm mà giải pháp bảo mật dựa trên phần cứng mang lại là: