Tài liệu Một số giải pháp đảm bảo an toàn thông tin cho công ty cổ phần công nghệ y dược hà nội

MỤC LỤC MỤC LỤC................................................................................................................. i DANH MỤC TỪ VIẾT TẮT................................................................................iii DANH MỤC BẢNG BIỂU...................................................................................iv DANH MỤC HÌNH ẢNH.......................................................................................v CHƯƠNG 1: TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP...................................................................................................1 1.1. Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp............................1 1.2. Tổng quan về vấn đề nghiên cứu........................................................................1 1.3. Mục tiêu của đề tài.............................................................................................3 1.4. Đối tượng và phạm vi nghiên cứu......................................................................3 1.5. Phương pháp thực hiện đề tài.............................................................................3 1.6. Kết cấu khóa luận...............................................................................................4 CHƯƠNG 2: CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI.............................................5 2.1. Cơ sở lý luận về hệ thống đảm bảo an toàn thông tin doanh nghiệp...................5 2.1.1. Khái niệm cơ bản về đảm bảo an toàn thông tin..............................................5 2.1.2. Hệ thống đảm bảo an toàn thông tin cho doanh nghiệp...................................7 2.1.3. Phân định nội dung nghiên cứu.....................................................................14 2.2. Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công nghệ y dược Hà Nội..................................................................................................................... 15 2.2.1. Giới thiệu về Công ty cổ phần công nghệ y dược Hà Nội..............................15 2.2.2. Khái quát về hoạt động kinh doanh của Công ty............................................18 2.2.3. Thực trạng về vấn đề an toàn thông tin của Công ty......................................19 CHƯƠNG 3: NGHIÊN CỨU VÀ ĐỀ XUẤT NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN CHO CÔNG TY CỔ PHẦN CÔNG NGHỆ Y DƯỢC HÀ NỘI.........28 3.1. Định hướng phát triển đảm bảo an toàn thông tin cho công ty cổ phần công nghệ y dược Hà Nội.................................................................................................28 3.2. Đề xuất đảm bảo an toàn thông tin cho Công ty...............................................28 3.2.1. Thiết bị phần cứng.........................................................................................28 i 3.2.2. Phần mềm......................................................................................................30 3.2.3. Cơ sở dữ liệu.................................................................................................33 3.2.4. Hệ thống mạng..............................................................................................34 3.2.5. Đào tạo nhân lực............................................................................................35 3.3. Một số kiến nghị...............................................................................................36 KẾT LUẬN............................................................................................................38 TÀI LIỆU THAM KHẢO.....................................................................................39 PHỤ LỤC 40 ii DANH MỤC TỪ VIẾT TẮT Từ viết tắt Nghĩa Tiếng Việt ATTT : An toàn thông tin CNTT : Công nghệ thông tin CSDL : Cơ sở dữ liệu HTTT : H ệ t h ố n g t h ô n g t i n TMĐT : Thương mại điện tử SET : An toàn giao dịch điện tử (Secure Electronic Transaction) iii SSL : Lớp ổ cắm an toàn (Secure Sockets Layer) TLS : An ninh tầng giao vận (Transport Layer Security) iv DANH MỤC BẢNG BIỂU Biểu đồ 2.1: Các hình thức tấn công vào HTTT doanh nghiệp.................................. 8 Bảng 2.1: Cơ cấu doanh thu công ty năm 2010-2012.............................................. 18 Biểu đồ 2.2: Các hình thức giao dịch chủ yếu của công ty...................................... 20 Biểu đồ 2.3: Mức độ trang bị thiết bị phần cứngbảo mật........................................ 21 Biểu đồ 2.4: Cách thức đảm bảo ATTT được sử dụng........................................... 21 Biểu đồ 2.5: Cách thức bảo vệ CSDL trong Công ty.............................................. 22 Biểu đồ 2.6: Trình độ hiểu biết của nhân viên về ATTT....................................... 23 Biểu đồ 2.7: Tần suất sao lưu dữ liệu của công ty................................................... 23 Biểu đồ 2.8: Nhận thức về tầm quan trọng của ATTT............................................. 24 Biểu đồ 2.9: Trở ngại khi phát triển ATTT của công ty......................................... 24 v DANH MỤC HÌNH ẢNH Hình 2.1: Sơ đồ cơ cấu tổ chức của công ty........................................................... 17 Hình 2.2: Quy trình thông tin trong quản lý kinh tế................................................ 19 Hình 3.1: Cisco RV016 Multi-WAN VPN Router................................................. 28 Hình 3.2: Cấu hình điển hình.................................................................................. 29 vi CHƯƠNG 1 TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP 1.1. Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp Thông tin đã trở thành một vấn đề sống còn đối với mọi lĩnh vực của đời sống kinh tế - xã hội đặc biệt là trong lĩnh vực quản lý kinh tế. Nó quyết định sự thành bại của các doanh nghiệp trên thương trường nếu họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất. Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển.Vì vậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy được vai trò của thông tin. Nó không những giúp doanh nghiệp đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất, giúp cho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước. Có thể coi thông tin như là linh hồn của doanh nghiệp, nó quyết định mọi hoạt động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọng đó mà khi thông tin bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp. Là một doanh nghiệp mới thành lập, Công ty cổ phần công nghệ y dược Hà Nội vẫn chưa có sự đầu tư đúng mức cho vấn đề ATTT của mình. Việc thu thập, xử lý và sử dụng thông tin của Công ty vẫn còn rời rạc, chưa nhất quán và đặc biệt không đảm bảo tính an toàn. Do đó, bài nghiên cứu“Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội” đánh giá thực trạng ATTT đề xuất một số giải pháp nhằm đảm bảo an toàn thông tin cho Công ty. 1.2. Tổng quan về vấn đề nghiên cứu  Tình hình nghiên cứu ở Việt Nam Đã có khá nhiều những công trình nghiên cứu về vấn đề này:  Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Nguyễn Tuấn Anh, Khoa CNTT, Đại học Bách Khoa. Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT như: mã hóa, chữ ký số…. Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể. 1  Đồ án tốt nghiệp “Nghiên cứu đảm bảo an toàn thông tin bằng kiểm soát truy nhập”, Đoàn Trọng Hiệp, Khoa CNTT, Đại học dân lập Hải Phòng. Đồ án giúp ta hiểu rõ hơn về các kĩ thuật, phương pháp và mô hình kiểm soát truy nhập nhằm đảm bảo an toàn thông tin. Nhưng kết quả của đồ án chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức cụ thể nào.  Tình hình nghiên cứu trên thế giới Từ những năm 1980, cùng với sự phát triển của CNTT trên thế giới, HTTT cũng bắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an ninh thông tin được đặt ra. Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:  “Information Systems Security Desings Methods: Implications for Information Sysytems Deverlopment” Richard Baskerville, School of Managerment, Binghamton, New York (1993).  “Information Systems Security Management in the New Millenium”, Gurpeet Dhillon and James Backhouse, Spain.  “Management Planting Guidce for Information Systems Security Auditing”, National State Auditors Association and the US General Accounting Office. Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới. Các tài liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng đều hướng tới mục tiêu chung là xây dựng một HTTT an toàn. Tóm lại, dù ở Việt Nam hay trên thế giới, vấn đề an toàn thông tin cũng ngày càng được quan tâm, chú ý nhiều hơn. Những lỗ hổng bảo mật gia tăng từng ngày đồng nghĩa với việc các công trình nghiên cứu về an toàn bảo mật thông tin cũng ngày càng nhiều thêm. Tuy vậy, mỗi nghiên cứu được đặt trong một hoàn cảnh khác nhau và không tránh khỏi những thiếu sót, do đó, việc nghiên cứu đảm bảo an toàn thông tin với điều kiện cụ thể tại Công ty công nghệ y dược hà nội thương là thực sự cần thiết. 1.3. Mục tiêu của đề tài  Đánh giá thực trạng vấn đề an toàn thông tin tại Công ty cổ phần công nghệ y dược Hà Nội  Đề xuất một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội, nhằm nâng cao năng lực hoạt động của Công ty, tăng niềm tin của khách hàng đối với Công ty, từ đó nâng cao vị thế cạnh tranh của HKH trên thị trường. 2 1.4. Đối tượng và phạm vi nghiên cứu  Đối tượng nghiên cứu Cần nghiên cứu hệ thống cơ sở lý luận về an toàn thông tin, về an toàn bảo mật thông tin trong doanh nghiệp và tất cả các yếu tố có liên quan đến bảo mật của Công ty cổ phần công nghệ y dược Hà Nội.  Phạm vi nghiên cứu  Phạm vi về không gian Nội dung của đề tài nghiên cứu của đề tài chỉ mang tính vi mô, hướng tới một doanh nghiệp cụ thể - Công ty cổ phần công nghệ y dược Hà Nội, được đặt trong bối cảnh nền kinh tế với sự phát triển mạnh mẽ của CNTT.  Phạm vi về thời gian Quá trình nghiên cứu sẽ được thực hiện dựa trên tình hình hoạt động của công ty trong ba năm gần đây (từ 2010 đến 2012). 1.5. Phương pháp thực hiện đề tài Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số phương pháp đã được sử dụng như sau:  Thu thập và phân tích số liệu thứ cấp ở Công ty, bằng những phiếu điều tra, bảng câu hỏi, hồ sơ lưu trữ, internet.  Phỏng vấn trực tiếp ít nhất mười người trong công ty bao gồm các nhà quản lý và nhân viên về tình hình an toàn thông tin trong công ty.  Điều tra gián tiếp thông qua mẫu phiếu điều tra từ mười tới mười lăm câu hỏi gửi tới các phòng ban trong công ty.  Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo an toàn thông tin cho Công ty.  Xử lý số liệu bằng excel, phần mềm. 1.6. Kết cấu khóa luận Cấu trúc khóa luận gồm 3 chương: Chương 1: Tổng quan về đảm bảo ATTT trong doanh nghiệp. Chương 2: Cơ sở lý luận về đảm bảo ATTT doanh nghiệp và Thực trạng về vấn đề ATTT trong Công ty cổ phần công nghệ y dược Hà Nội. 3 Chương 3: Nghiên cứu và đề xuất giải pháp an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội. 4 CHƯƠNG 2 CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI 2.1. Cơ sở lý luận về hệ thống đảm bảo an toàn thông tin doanh nghiệp 2.1.1. Khái niệm cơ bản về đảm bảo an toàn thông tin a. Thông tin trong doanh nghiệp  Khái niệm thông tin Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu? Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng. “Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng” ( Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại). Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích. Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.  Đối tượng khai thác và sử dụng thông tin Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết định. Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết định của bản thân mình. Vì vậy, mọi thành viên trong xã hội con người cần khai thác và sử dụng thông tin để phục vụ cho cuộc sống của mình. Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt động của cá nhân và đơn vị mình. Trước đây người ta hiểu rằng thông tin chỉ nhằm để phục vụ cho các công việc quản lý điều hành của người lãnh đạo. Gần đây người ta nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyết định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động tác nghiệp, thông tin cần được sử dụng bởi các nhân viên; trong hoạt động quản lý, 5 điều hành, thông tin cần được sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp. Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp cao trong việc đề ra các quyết định về chiến lược hoạt động của tổ chức.  Vai trò của thông tin Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền kinh tế thị trường. Có thể nói rằng, doanh nghiệp cần thông tin như cá cần nước. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro. b. Đảm bảo an toàn thông tin  An toàn thông tin Thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. Thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu [1].  Bảo mật thông tin Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin.  Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.  Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.  Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có thể truy xuất thông tin khi họ cần. Thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng tiêu chí trong một thời gian xác định.  Các phương pháp đảm bảo ATTT  Thiết lập và cấu hình hệ thống máy chủ an toàn.  Thiết lập và cấu hình cơ sở dữ liệu an toàn; cài đặt các ứng dụng bảo vệ… 6  Thiết lập cơ chế sao lưu và phục hồi và một số biện pháp kỹ thuật chống tấn công từ chối dịch vụ (DDoS). Trong đó, việc thiết lập, cấu hình hệ thống máy chủ và cơ sở dữ liệu an toàn là rất quan trọng trong việc đảm bảo ATTT vì sẽ giúp giảm thiểu hay tránh các lỗi có thể dẫn đến khả năng bị tấn công. 2.1.2. Hệ thống đảm bảo an toàn thông tin cho doanh nghiệp a. Khái quát về an toàn thông tin trong doanh nghiệp Thống kê cho thấy tại Việt Nam năm 2009 đã có 1.037 website đã bị hacker tấn công. Trong khi đó việc không đầu tư xứng đáng cho bảo mật thông tin cũng đặt doanh nghiệp trước nguy cơ lớn về mất an toàn thông tin. Theo khảo sát, tỷ lệ chi cho bảo mật thông tin từ ngân sách IT của ngành công nghệ là 22,6%, dược 16,4%, dịch vụ tài chính 16,3%, dịch vụ công cộng 15,2%, dịch vụ chăm sóc sức khỏe và năng lượng 12,9%. Mặt khác, một trong những nguyên nhân khiến các doanh nghiệp bị rò rỉ thông tin nhiều nhất nhưng lại khó đề phòng nhất, chính là từ nội bộ doanh nghiệp. Có tới 65% doanh nghiệp gặp các vấn đề về bảo mật thông tin là do bị tấn công bởi chính nhân viên nội bộ. Có thể thấy rằng, bên cạnh những lợi ích từ sự phát triển công nghệ thông tin, các tổ chức và doanh nghiệp cũng đồng thời phải đối diện với cuộc chiến cam go nhằm bảo vệ thông tin trong kinh doanh. Báo cáo “Hiện trạng An toàn thông tin trong các tổ chức doanh nghiệp Việt Nam 2011” cho thấy, có tới 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn để ứng phó với những cuộc tấn công máy tính. Ba công nghệ được dùng nhiều nhất vẫn là phần mềm chống virus, tường lửa và bộ lọc chống thư rác. Những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số… có tỷ lệ sử dụng thấp hơn hẳn (khoảng 20-30%). Đặc biệt, những công nghệ bảo mật cấp cao như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học… mới được ứng dụng rất hạn chế tại VN (dao động quanh ngưỡng 5%). b. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. An toàn bảo mật giúp cho việc quản lý thông tin trở nên rõ ràng, minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc 7 giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. c. Các nguy cơ mất an toàn thông tin trong doanh nghiệp Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:  Nguy cơ ngẫu nhiên Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT.  Nguy cơ có chủ định (Nguồn: Bộ thông tin và truyền thông-VNCERT) Biểu đồ 2.1. Các hình thức tấn công vào HTTT doanh nghiệp. Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang đứng trong nhóm những nước có nguy cơ mất ATTT cao nhất .Theo đánh giá 8 của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền kinh tế. Một cuộc khảo sát đối với 300 doanh nghiệp về ATTT tính từ tháng 1-2010 đến tháng 6-2012 cho thấy có 33% doanh nghiệp cho hay họ đã phát hiện sự cố tấn công an ninh mạng, giảm 1% so với năm 2009. Tuy nhiên, 29% doanh nghiệp không thể biết được hệ thống mạng của mình có bị tấn công hay không. Trong số cuộc tấn công an ninh mạng được phát hiện, có 27,5% do Trojan hay Rootkit, 42% là do virus hay worm. Hầu hết các doanh nghiệp nhận định rằng, động cơ tấn công để thu lợi bất chính tăng lên gấp 3 lần so với năm trước. 40% doanh nghiệp ước tính mức độ thiệt hại lớn nhất do các sự cố gây ra là từ virus. Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từ chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật (thiết bị mạng, máy chủ, HTTT…); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trong quy trình, chính sách an ninh bảo mật, nguy cơ do yếu tố con người (vận hành, đạo đức nghề nghiệp)... d. Các phương pháp phòng tránh và khắc phục  Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải. Để phòng tránh nguy cơ mất ATTT, trước hết, doanh nghiệp cần bố trí nhân lực để tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT và ngăn chặn, khắc phục kịp thời các sự cố ATTT trên mạng máy tính. Đặc biệt, cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các HTTT, lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mất ATTT khi sử dụng mạng Internet. Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo ATTT, chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có kết nối mạng Internet. 9  Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó. Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi máy chủ, máy trạm. Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trung biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng. Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác thường... cần thực hiện các bước cơ bản sau:  Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng.  Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích).  Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạt động. e. Các thành phần cơ bản của hệ thống đảm bảo an toàn thông tin  Phần cứng Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy tính như là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ DVD,... Dựa trên chức năng và cách thức hoạt động người ta còn phân biệt phần cứng ra thành:  Thiết bị nhập (Input): Các bộ phận thu nhập dữ liệu hay mệnh lệnh như là bàn phím, chuột...  Thiết bị xuất (Output): Các bộ phận trả lời, phát tín hiệu, hay thực thi lệnh ra bên ngoài như là màn hình, máy in, loa...  Thiết bị xử lý (Processing Device): Các thiết bị xử lý dữ liệu, thông tin như bộ vi xử lý CPU, bo mạch chủ Mainboard.  Thiết bị lưu trữ (Storage Device): Các thiết bị dùng để lưu trữ dữ liệu như ROM, RAM, ổ cứng (HDD) và các thiết bị lưu trữ ngoài như thẻ nhớ, USB, ổ cứng ngoài…  Phần mềm 10 Phần mềm (tiếng Việt còn được gọi là nhu liệu; tiếng Anh: software) là một tập hợp những câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tự xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào đó. Theo phương thức hoạt động, phần mềm được chia thành hai loại:  Phần mềm hệ thống: dùng để vận hành máy tính và các phần cứng máy tính, ví dụ như các hệ điều hành máy tính Windows XP, Linux, Unix, các thư viện động (còn gọi là thư viện liên kết động - DLL) của hệ điều hành, các trình điều khiển (driver), phần sụn(firmware) và BIOS. Đây là các loại phần mềm mà hệ điều hành liên lạc với chúng để điều khiển và quản lý các thiết bị phần cứng.  Phần mềm ứng dụng: để người sử dụng có thể hoàn thành một hay nhiều công việc nào đó, ví dụ như các phần mềm văn phòng (Microsoft Offices, FoxPro,..), phần mềm doanh nghiệp, phần mềm giáo dục, cơ sở dữ liệu, phần mềm trò chơi, chương trình tiện ích, hay các loại phần mềm ác tính.  Hệ thống mạng Hệ thống mạng là một tập hợp các thiết bị và hệ thống đầu cuối được kết nối với nhau sao cho chúng có thể giao tiếp (chia sẻ dữ liệu, tài nguyên) được với nhau. Một mạng máy tính cơ bản gồm các thành phần:  Hệ thống đầu cuối (End Systems): bao gồm máy tính cá nhân, server, workstation…  Thiết bị kết nối (Interconnections): gồm những thành phần mang lại khả năng kết nối từ điểm này tới điểm khác trong một mạng, như: card giao tiếp mạng, phương tiện kết nối mạng như dây cáp, các phương tiện truyền dẫn không dây…, đầu nối như RJ-45, RJ-11…  Bộ chuyển mạch mạng (Switch): thiết bị cho khả năng kết nối các hệ thống đầu cuối và chuyển mạch dữ liệu trong nội bộ của một mạng.  Bộ định tuyến mạng (Router): thiết bị kết nối các mạng nhỏ lại với nhau và có khả năng lựa chọn đường đi của dữ liệu giữa các mạng.  Cơ sở dữ liệu CSDL là một bộ sưu tập rất lớn về các loại dữ liệu tác nghiệp, bao gồm các loại dữ liệu âm thanh, tiếng nói, chữ viết, văn bản, đồ hoạ, hình ảnh tĩnh hay hình ảnh động.... được mã hoá dưới dạng các chuỗi bit và được lưu trữ dưới dạng File dữ liệu trong các bộ nhớ của máy tính. Cấu trúc lưu trữ dữ liệu tuân theo các quy tắc dựa trên lý thuyết toán học. 11 CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng. Bất kỳ người sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truy nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay tương tác mà không phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên đó.  Con người Đối với một hệ thống đảm bảo ATTT doanh nghiệp, con người luôn có vai trò rất quan trọng. Có thể coi con người như là não bộ của hệ thống, điều hành mọi hoạt động của hệ thống. Một hệ thống được xây dựng nhằm mục đích đảm bảo ATTT, dù cho các thành phần cơ bản trên có được đầu tư nhiều đến đâu mà yếu tố con người không đáp ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể phát huy được tính năng và hiệu quả của nó. Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu ra mong muốn.  Yêu cầu của hệ thống đảm bảo ATTT doanh nghiệp  Yêu cầu về các thiết bị phần cứng Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax, thiết bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử dụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng O2Micro’s SifoML,…..  Yêu cầu về phần mềm Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATTT, các phần mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các phần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật. Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc cài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phần mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã hóa dữ liệu, phần mềm chống thư rác….  Yêu cầu về mạng 12 Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây dựng các mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hay Kerberos. Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trường mạng Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ không cần thiết. Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu nhằm tăng cường công tác bảo mật.  Yêu cầu về cơ sở dữ liệu Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu. Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,... Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc.  Yêu cầu về con người Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về ATTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mất ATTT khi sử dụng mạng Internet. 2.1.3. Phân định nội dung nghiên cứu Với đề tài: “Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công nghệ y dược Hà Nội”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATTT, thực trạng và giải pháp ATTT cho Công ty cổ phàn công nghệ y dược Hà Nội Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:  Nghiên cứu tổng quan về vấn đề ATTT trong doanh nghiệp. 13  Nghiên cứu về các nguy cơ mất ATTT doanh nghiệp, các biện pháp phòng tránh và khắc phục hậu quả.  Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty  Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty 2.2. Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công nghệ y dược Hà Nội. 2.2.1. Giới thiệu về Công ty cổ phần công nghệ y dược Hà Nội. a. Quá trình hình thành  Loại hình doanh nghiệp: công ty cổ phần  Quá trình thành lập Tên đơn vị viết bằng Tiếng Việt: Công ty cổ phần công nghệ y dược hà nội. Địa chỉ trụ sở: Số 15, Ngõ 178/49 Phố Thái Hà Q. Đống Đa Thành phố Hà Nội Số điện thoại: 04.38571199;0913210292 Fax: 04.38571199 Bộ Tài chính cấp giấy chứng nhận đủ tiêu chuẩn và điều kiện hoạt động kinh số 10/TC/GCN ngày 18/06/2008 được Uỷ ban nhân dân thành phố Hà Nội cấp phép thành lập theo giấy phép số 3633/GP-UB ngày 01/8/2008 và sở kế hoạch và đầu tư thành phố Hà Nội cấp giấy chứng nhận đăng ký kinh doanh số 055051 ngày 12/8/2008. Quy mô Công ty Bao gồm một giám đốc và hai phó giám đốc, có 80 nhân viên làm việc trong 6 phòng ban. Các phòng ban bao gồm:  Phòng Tổng hợp  Phòng Kế toán  phòng kỹ thuật  phòng phát triển kinh doanh  Phòng kinh doanh  phóng chăm sóc khách hàng 14