MỤC LỤC
MỤC LỤC................................................................................................................. i
DANH MỤC TỪ VIẾT TẮT................................................................................iii
DANH MỤC BẢNG BIỂU...................................................................................iv
DANH MỤC HÌNH ẢNH.......................................................................................v
CHƯƠNG 1: TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN
DOANH NGHIỆP...................................................................................................1
1.1. Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp............................1
1.2. Tổng quan về vấn đề nghiên cứu........................................................................1
1.3. Mục tiêu của đề tài.............................................................................................3
1.4. Đối tượng và phạm vi nghiên cứu......................................................................3
1.5. Phương pháp thực hiện đề tài.............................................................................3
1.6. Kết cấu khóa luận...............................................................................................4
CHƯƠNG 2: CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN
DOANH NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN
TRONG CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI.............................................5
2.1. Cơ sở lý luận về hệ thống đảm bảo an toàn thông tin doanh nghiệp...................5
2.1.1. Khái niệm cơ bản về đảm bảo an toàn thông tin..............................................5
2.1.2. Hệ thống đảm bảo an toàn thông tin cho doanh nghiệp...................................7
2.1.3. Phân định nội dung nghiên cứu.....................................................................14
2.2. Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công nghệ y dược
Hà Nội..................................................................................................................... 15
2.2.1. Giới thiệu về Công ty cổ phần công nghệ y dược Hà Nội..............................15
2.2.2. Khái quát về hoạt động kinh doanh của Công ty............................................18
2.2.3. Thực trạng về vấn đề an toàn thông tin của Công ty......................................19
CHƯƠNG 3: NGHIÊN CỨU VÀ ĐỀ XUẤT NHẰM ĐẢM BẢO AN TOÀN
THÔNG TIN CHO CÔNG TY CỔ PHẦN CÔNG NGHỆ Y DƯỢC HÀ NỘI.........28
3.1. Định hướng phát triển đảm bảo an toàn thông tin cho công ty cổ phần công
nghệ y dược Hà Nội.................................................................................................28
3.2. Đề xuất đảm bảo an toàn thông tin cho Công ty...............................................28
3.2.1. Thiết bị phần cứng.........................................................................................28
i
3.2.2. Phần mềm......................................................................................................30
3.2.3. Cơ sở dữ liệu.................................................................................................33
3.2.4. Hệ thống mạng..............................................................................................34
3.2.5. Đào tạo nhân lực............................................................................................35
3.3. Một số kiến nghị...............................................................................................36
KẾT LUẬN............................................................................................................38
TÀI LIỆU THAM KHẢO.....................................................................................39
PHỤ LỤC
40
ii
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Nghĩa Tiếng Việt
ATTT
: An toàn thông tin
CNTT
: Công nghệ thông tin
CSDL
: Cơ sở dữ liệu
HTTT
:
H
ệ
t
h
ố
n
g
t
h
ô
n
g
t
i
n
TMĐT
: Thương mại điện tử
SET
: An toàn giao dịch điện tử (Secure Electronic Transaction)
iii
SSL
: Lớp ổ cắm an toàn (Secure Sockets Layer)
TLS
: An ninh tầng giao vận (Transport Layer Security)
iv
DANH MỤC BẢNG BIỂU
Biểu đồ 2.1: Các hình thức tấn công vào HTTT doanh nghiệp.................................. 8
Bảng 2.1: Cơ cấu doanh thu công ty năm 2010-2012.............................................. 18
Biểu đồ 2.2: Các hình thức giao dịch chủ yếu của công ty...................................... 20
Biểu đồ 2.3: Mức độ trang bị thiết bị phần cứngbảo mật........................................ 21
Biểu đồ 2.4: Cách thức đảm bảo ATTT được sử dụng........................................... 21
Biểu đồ 2.5: Cách thức bảo vệ CSDL trong Công ty.............................................. 22
Biểu đồ 2.6: Trình độ hiểu biết của nhân viên về ATTT....................................... 23
Biểu đồ 2.7: Tần suất sao lưu dữ liệu của công ty................................................... 23
Biểu đồ 2.8: Nhận thức về tầm quan trọng của ATTT............................................. 24
Biểu đồ 2.9: Trở ngại khi phát triển ATTT của công ty......................................... 24
v
DANH MỤC HÌNH ẢNH
Hình 2.1: Sơ đồ cơ cấu tổ chức của công ty........................................................... 17
Hình 2.2: Quy trình thông tin trong quản lý kinh tế................................................ 19
Hình 3.1: Cisco RV016 Multi-WAN VPN Router................................................. 28
Hình 3.2: Cấu hình điển hình.................................................................................. 29
vi
CHƯƠNG 1
TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP
1.1.
Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp
Thông tin đã trở thành một vấn đề sống còn đối với mọi lĩnh vực của đời sống
kinh tế - xã hội đặc biệt là trong lĩnh vực quản lý kinh tế. Nó quyết định sự thành bại
của các doanh nghiệp trên thương trường nếu họ biết sử dụng thông tin như thế nào
sao cho đạt hiệu quả nhất. Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông
tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc
đẩy nền kinh tế mở rộng và phát triển.Vì vậy, trong quá trình quản lý các cơ quan,
doanh nghiệp phải thấy được vai trò của thông tin. Nó không những giúp doanh nghiệp
đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất,
giúp cho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước.
Có thể coi thông tin như là linh hồn của doanh nghiệp, nó quyết định mọi hoạt
động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọng đó mà khi
thông tin bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp.
Là một doanh nghiệp mới thành lập, Công ty cổ phần công nghệ y dược Hà Nội
vẫn chưa có sự đầu tư đúng mức cho vấn đề ATTT của mình. Việc thu thập, xử lý và
sử dụng thông tin của Công ty vẫn còn rời rạc, chưa nhất quán và đặc biệt không đảm
bảo tính an toàn. Do đó, bài nghiên cứu“Một số giải pháp đảm bảo an toàn thông tin
cho Công ty cổ phần công nghệ y dược Hà Nội” đánh giá thực trạng ATTT đề xuất
một số giải pháp nhằm đảm bảo an toàn thông tin cho Công ty.
1.2. Tổng quan về vấn đề nghiên cứu
Tình hình nghiên cứu ở Việt Nam
Đã có khá nhiều những công trình nghiên cứu về vấn đề này:
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại
điện tử”, Nguyễn Tuấn Anh, Khoa CNTT, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an
toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói
chung và đi sâu vào một doanh nghiệp cụ thể.
1
Đồ án tốt nghiệp “Nghiên cứu đảm bảo an toàn thông tin bằng kiểm soát truy nhập”,
Đoàn Trọng Hiệp, Khoa CNTT, Đại học dân lập Hải Phòng.
Đồ án giúp ta hiểu rõ hơn về các kĩ thuật, phương pháp và mô hình kiểm soát
truy nhập nhằm đảm bảo an toàn thông tin.
Nhưng kết quả của đồ án chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại các
vấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức cụ thể nào.
Tình hình nghiên cứu trên thế giới
Từ những năm 1980, cùng với sự phát triển của CNTT trên thế giới, HTTT cũng
bắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an ninh thông tin
được đặt ra. Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:
“Information Systems Security Desings Methods: Implications for Information
Sysytems Deverlopment” Richard Baskerville, School of Managerment,
Binghamton, New York (1993).
“Information Systems Security Management in the New Millenium”, Gurpeet
Dhillon and James Backhouse, Spain.
“Management Planting Guidce for Information Systems Security Auditing”,
National State Auditors Association and the US General Accounting Office.
Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới. Các tài
liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng đều hướng tới
mục tiêu chung là xây dựng một HTTT an toàn.
Tóm lại, dù ở Việt Nam hay trên thế giới, vấn đề an toàn thông tin cũng ngày
càng được quan tâm, chú ý nhiều hơn. Những lỗ hổng bảo mật gia tăng từng ngày
đồng nghĩa với việc các công trình nghiên cứu về an toàn bảo mật thông tin cũng ngày
càng nhiều thêm. Tuy vậy, mỗi nghiên cứu được đặt trong một hoàn cảnh khác nhau
và không tránh khỏi những thiếu sót, do đó, việc nghiên cứu đảm bảo an toàn thông tin
với điều kiện cụ thể tại Công ty công nghệ y dược hà nội thương là thực sự cần thiết.
1.3. Mục tiêu của đề tài
Đánh giá thực trạng vấn đề an toàn thông tin tại Công ty cổ phần công nghệ y
dược Hà Nội
Đề xuất một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công
nghệ y dược Hà Nội, nhằm nâng cao năng lực hoạt động của Công ty, tăng niềm tin
của khách hàng đối với Công ty, từ đó nâng cao vị thế cạnh tranh của HKH trên thị trường.
2
1.4.
Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu
Cần nghiên cứu hệ thống cơ sở lý luận về an toàn thông tin, về an toàn bảo mật
thông tin trong doanh nghiệp và tất cả các yếu tố có liên quan đến bảo mật của Công
ty cổ phần công nghệ y dược Hà Nội.
Phạm vi nghiên cứu
Phạm vi về không gian
Nội dung của đề tài nghiên cứu của đề tài chỉ mang tính vi mô, hướng tới một
doanh nghiệp cụ thể - Công ty cổ phần công nghệ y dược Hà Nội, được đặt trong bối
cảnh nền kinh tế với sự phát triển mạnh mẽ của CNTT.
Phạm vi về thời gian
Quá trình nghiên cứu sẽ được thực hiện dựa trên tình hình hoạt động của công
ty trong ba năm gần đây (từ 2010 đến 2012).
1.5.
Phương pháp thực hiện đề tài
Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số phương
pháp đã được sử dụng như sau:
Thu thập và phân tích số liệu thứ cấp ở Công ty, bằng những phiếu điều tra,
bảng câu hỏi, hồ sơ lưu trữ, internet.
Phỏng vấn trực tiếp ít nhất mười người trong công ty bao gồm các nhà quản
lý và nhân viên về tình hình an toàn thông tin trong công ty.
Điều tra gián tiếp thông qua mẫu phiếu điều tra từ mười tới mười lăm câu hỏi
gửi tới các phòng ban trong công ty.
Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo an toàn thông tin cho
Công ty.
Xử lý số liệu bằng excel, phần mềm.
1.6.
Kết cấu khóa luận
Cấu trúc khóa luận gồm 3 chương:
Chương 1: Tổng quan về đảm bảo ATTT trong doanh nghiệp.
Chương 2: Cơ sở lý luận về đảm bảo ATTT doanh nghiệp và Thực trạng về vấn đề
ATTT trong Công ty cổ phần công nghệ y dược Hà Nội.
3
Chương 3: Nghiên cứu và đề xuất giải pháp an toàn thông tin cho Công ty cổ phần
công nghệ y dược Hà Nội.
4
CHƯƠNG 2
CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP
VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG CÔNG
TY CỔ PHẦN Y DƯỢC HÀ NỘI
2.1.
Cơ sở lý luận về hệ thống đảm bảo an toàn thông tin doanh nghiệp
2.1.1. Khái niệm cơ bản về đảm bảo an toàn thông tin
a. Thông tin trong doanh nghiệp
Khái niệm thông tin
Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong
thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,
tổng hợp…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin là
những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng” ( Bài
giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại).
Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối
quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.
Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được
liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.
Đối tượng khai thác và sử dụng thông tin
Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết định.
Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết định
của bản thân mình. Vì vậy, mọi thành viên trong xã hội con người cần khai thác và sử dụng
thông tin để phục vụ cho cuộc sống của mình.
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của cá nhân và đơn vị mình. Trước đây người ta hiểu rằng thông tin chỉ nhằm để
phục vụ cho các công việc quản lý điều hành của người lãnh đạo. Gần đây người ta
nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyết
định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động
tác nghiệp, thông tin cần được sử dụng bởi các nhân viên; trong hoạt động quản lý,
5
điều hành, thông tin cần được sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp.
Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp
cao trong việc đề ra các quyết định về chiến lược hoạt động của tổ chức.
Vai trò của thông tin
Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền
kinh tế thị trường. Có thể nói rằng, doanh nghiệp cần thông tin như cá cần nước.
Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ
mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính
xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ
trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyết
định kinh doanh kịp thời, hợp lý và ít rủi ro.
b. Đảm bảo an toàn thông tin
An toàn thông tin
Thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa
đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến
mức độ nguy hiểm cho chủ sở hữu [1].
Bảo mật thông tin
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin.
Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được
cấp quyền tương ứng.
Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin
chỉ được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có thể
truy xuất thông tin khi họ cần.
Thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin được
đảm bảo theo đúng tiêu chí trong một thời gian xác định.
Các phương pháp đảm bảo ATTT
Thiết lập và cấu hình hệ thống máy chủ an toàn.
Thiết lập và cấu hình cơ sở dữ liệu an toàn; cài đặt các ứng dụng bảo vệ…
6
Thiết lập cơ chế sao lưu và phục hồi và một số biện pháp kỹ thuật chống tấn
công từ chối dịch vụ (DDoS).
Trong đó, việc thiết lập, cấu hình hệ thống máy chủ và cơ sở dữ liệu an toàn là
rất quan trọng trong việc đảm bảo ATTT vì sẽ giúp giảm thiểu hay tránh các lỗi có thể
dẫn đến khả năng bị tấn công.
2.1.2. Hệ thống đảm bảo an toàn thông tin cho doanh nghiệp
a. Khái quát về an toàn thông tin trong doanh nghiệp
Thống kê cho thấy tại Việt Nam năm 2009 đã có 1.037 website đã bị hacker tấn
công. Trong khi đó việc không đầu tư xứng đáng cho bảo mật thông tin cũng đặt doanh
nghiệp trước nguy cơ lớn về mất an toàn thông tin. Theo khảo sát, tỷ lệ chi cho bảo mật
thông tin từ ngân sách IT của ngành công nghệ là 22,6%, dược 16,4%, dịch vụ tài chính
16,3%, dịch vụ công cộng 15,2%, dịch vụ chăm sóc sức khỏe và năng lượng 12,9%. Mặt
khác, một trong những nguyên nhân khiến các doanh nghiệp bị rò rỉ thông tin nhiều nhất
nhưng lại khó đề phòng nhất, chính là từ nội bộ doanh nghiệp. Có tới 65% doanh nghiệp
gặp các vấn đề về bảo mật thông tin là do bị tấn công bởi chính nhân viên nội bộ. Có thể
thấy rằng, bên cạnh những lợi ích từ sự phát triển công nghệ thông tin, các tổ chức và
doanh nghiệp cũng đồng thời phải đối diện với cuộc chiến cam go nhằm bảo vệ thông tin
trong kinh doanh.
Báo cáo “Hiện trạng An toàn thông tin trong các tổ chức doanh nghiệp Việt Nam
2011” cho thấy, có tới 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn
để ứng phó với những cuộc tấn công máy tính. Ba công nghệ được dùng nhiều nhất vẫn là
phần mềm chống virus, tường lửa và bộ lọc chống thư rác. Những công nghệ chuyên sâu
hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số… có tỷ
lệ sử dụng thấp hơn hẳn (khoảng 20-30%). Đặc biệt, những công nghệ bảo mật cấp cao
như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học… mới
được ứng dụng rất hạn chế tại VN (dao động quanh ngưỡng 5%).
b. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
An toàn bảo mật giúp cho việc quản lý thông tin trở nên rõ ràng, minh bạch
hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc
7
giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh
nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh.
Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt
hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan
trọng trong sự nghiệp phát triển của doanh nghiệp.
c. Các nguy cơ mất an toàn thông tin trong doanh nghiệp
Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
Nguy cơ ngẫu nhiên
Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan
như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những
nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là
nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định
(Nguồn: Bộ thông tin và truyền thông-VNCERT)
Biểu đồ 2.1. Các hình thức tấn công vào HTTT doanh nghiệp.
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT
cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta
đang đứng trong nhóm những nước có nguy cơ mất ATTT cao nhất .Theo đánh giá
8
của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc
tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty
thương mại điện tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại
về kinh tế nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát
triển của nền kinh tế.
Một cuộc khảo sát đối với 300 doanh nghiệp về ATTT tính từ tháng 1-2010 đến
tháng 6-2012 cho thấy có 33% doanh nghiệp cho hay họ đã phát hiện sự cố tấn công
an ninh mạng, giảm 1% so với năm 2009. Tuy nhiên, 29% doanh nghiệp không thể
biết được hệ thống mạng của mình có bị tấn công hay không. Trong số cuộc tấn công
an ninh mạng được phát hiện, có 27,5% do Trojan hay Rootkit, 42% là do virus hay
worm. Hầu hết các doanh nghiệp nhận định rằng, động cơ tấn công để thu lợi bất chính
tăng lên gấp 3 lần so với năm trước. 40% doanh nghiệp ước tính mức độ thiệt hại lớn
nhất do các sự cố gây ra là từ virus.
Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực
tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từ
chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật (thiết bị mạng, máy chủ,
HTTT…); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trong quy
trình, chính sách an ninh bảo mật, nguy cơ do yếu tố con người (vận hành, đạo đức
nghề nghiệp)...
d. Các phương pháp phòng tránh và khắc phục
Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật
nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Để phòng tránh nguy cơ mất ATTT, trước hết, doanh nghiệp cần bố trí nhân lực
để tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT và
ngăn chặn, khắc phục kịp thời các sự cố ATTT trên mạng máy tính. Đặc biệt, cần bố
trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các
HTTT, lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo,
phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ
mất ATTT khi sử dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo
ATTT, chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có
kết nối mạng Internet.
9
Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật
nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi
máy chủ, máy trạm.
Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trung
biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng.
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng
lên bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác
thường... cần thực hiện các bước cơ bản sau:
Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng.
Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ
(phục vụ cho công tác phân tích).
Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để
hệ thống hoạt động.
e. Các thành phần cơ bản của hệ thống đảm bảo an toàn thông tin
Phần cứng
Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy
tính như là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi
xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ
DVD,...
Dựa trên chức năng và cách thức hoạt động người ta còn phân biệt phần
cứng ra thành:
Thiết bị nhập (Input): Các bộ phận thu nhập dữ liệu hay mệnh lệnh như là
bàn phím, chuột...
Thiết bị xuất (Output): Các bộ phận trả lời, phát tín hiệu, hay thực thi lệnh ra
bên ngoài như là màn hình, máy in, loa...
Thiết bị xử lý (Processing Device): Các thiết bị xử lý dữ liệu, thông tin như
bộ vi xử lý CPU, bo mạch chủ Mainboard.
Thiết bị lưu trữ (Storage Device): Các thiết bị dùng để lưu trữ dữ liệu
như ROM, RAM, ổ cứng (HDD) và các thiết bị lưu trữ ngoài như thẻ nhớ, USB, ổ
cứng ngoài…
Phần mềm
10
Phần mềm (tiếng Việt còn được gọi là nhu liệu; tiếng Anh: software) là một tập
hợp những câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tự
xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào đó.
Theo phương thức hoạt động, phần mềm được chia thành hai loại:
Phần mềm hệ thống: dùng để vận hành máy tính và các phần cứng máy tính, ví
dụ như các hệ điều hành máy tính Windows XP, Linux, Unix, các thư viện động (còn
gọi là thư viện liên kết động - DLL) của hệ điều hành, các trình điều khiển (driver),
phần sụn(firmware) và BIOS. Đây là các loại phần mềm mà hệ điều hành liên lạc với
chúng để điều khiển và quản lý các thiết bị phần cứng.
Phần mềm ứng dụng: để người sử dụng có thể hoàn thành một hay nhiều công
việc nào đó, ví dụ như các phần mềm văn phòng (Microsoft Offices, FoxPro,..), phần
mềm doanh nghiệp, phần mềm giáo dục, cơ sở dữ liệu, phần mềm trò chơi, chương
trình tiện ích, hay các loại phần mềm ác tính.
Hệ thống mạng
Hệ thống mạng là một tập hợp các thiết bị và hệ thống đầu cuối được kết nối
với nhau sao cho chúng có thể giao tiếp (chia sẻ dữ liệu, tài nguyên) được với nhau.
Một mạng máy tính cơ bản gồm các thành phần:
Hệ thống đầu cuối (End Systems): bao gồm máy tính cá nhân, server,
workstation…
Thiết bị kết nối (Interconnections): gồm những thành phần mang lại khả
năng kết nối từ điểm này tới điểm khác trong một mạng, như: card giao tiếp mạng,
phương tiện kết nối mạng như dây cáp, các phương tiện truyền dẫn không dây…, đầu
nối như RJ-45, RJ-11…
Bộ chuyển mạch mạng (Switch): thiết bị cho khả năng kết nối các hệ thống
đầu cuối và chuyển mạch dữ liệu trong nội bộ của một mạng.
Bộ định tuyến mạng (Router): thiết bị kết nối các mạng nhỏ lại với nhau và
có khả năng lựa chọn đường đi của dữ liệu giữa các mạng.
Cơ sở dữ liệu
CSDL là một bộ sưu tập rất lớn về các loại dữ liệu tác nghiệp, bao gồm các loại
dữ liệu âm thanh, tiếng nói, chữ viết, văn bản, đồ hoạ, hình ảnh tĩnh hay hình ảnh
động.... được mã hoá dưới dạng các chuỗi bit và được lưu trữ dưới dạng File dữ liệu
trong các bộ nhớ của máy tính. Cấu trúc lưu trữ dữ liệu tuân theo các quy tắc dựa trên
lý thuyết toán học.
11
CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng. Bất kỳ người
sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truy
nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay tương tác mà
không phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên đó.
Con người
Đối với một hệ thống đảm bảo ATTT doanh nghiệp, con người luôn có vai trò
rất quan trọng. Có thể coi con người như là não bộ của hệ thống, điều hành mọi hoạt
động của hệ thống. Một hệ thống được xây dựng nhằm mục đích đảm bảo ATTT, dù
cho các thành phần cơ bản trên có được đầu tư nhiều đến đâu mà yếu tố con người
không đáp ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể phát huy
được tính năng và hiệu quả của nó.
Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm
thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu
ra mong muốn.
Yêu cầu của hệ thống đảm bảo ATTT doanh nghiệp
Yêu cầu về các thiết bị phần cứng
Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax,
thiết bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử
dụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết
bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng
O2Micro’s SifoML,…..
Yêu cầu về phần mềm
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần
không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATTT, các phần
mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các
phần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất
nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật.
Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc
cài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phần
mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã
hóa dữ liệu, phần mềm chống thư rác….
Yêu cầu về mạng
12
Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây
dựng các mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hay
Kerberos.
Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế
sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trường mạng
Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của
hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các
dịch vụ không cần thiết.
Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu nhằm
tăng cường công tác bảo mật.
Yêu cầu về cơ sở dữ liệu
Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất
cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy
chủ cơ sở dữ liệu.
Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu
hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung
như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,...
Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài
nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc.
Yêu cầu về con người
Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về
ATTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo
an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ
cho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính
về phòng, chống các nguy cơ mất ATTT khi sử dụng mạng Internet.
2.1.3. Phân định nội dung nghiên cứu
Với đề tài: “Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần
công nghệ y dược Hà Nội”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATTT,
thực trạng và giải pháp ATTT cho Công ty cổ phàn công nghệ y dược Hà Nội
Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:
Nghiên cứu tổng quan về vấn đề ATTT trong doanh nghiệp.
13
Nghiên cứu về các nguy cơ mất ATTT doanh nghiệp, các biện pháp phòng
tránh và khắc phục hậu quả.
Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty
Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty
2.2.
Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công
nghệ y dược Hà Nội.
2.2.1. Giới thiệu về Công ty cổ phần công nghệ y dược Hà Nội.
a. Quá trình hình thành
Loại hình doanh nghiệp: công ty cổ phần
Quá trình thành lập
Tên đơn vị viết bằng Tiếng Việt: Công ty cổ phần công nghệ y dược hà nội.
Địa chỉ trụ sở: Số 15, Ngõ 178/49 Phố Thái Hà Q. Đống Đa Thành phố Hà Nội
Số điện thoại: 04.38571199;0913210292
Fax: 04.38571199
Bộ Tài chính cấp giấy chứng nhận đủ tiêu chuẩn và điều kiện hoạt động kinh số
10/TC/GCN ngày 18/06/2008 được Uỷ ban nhân dân thành phố Hà Nội cấp phép
thành lập theo giấy phép số 3633/GP-UB ngày 01/8/2008 và sở kế hoạch và đầu tư
thành phố Hà Nội cấp giấy chứng nhận đăng ký kinh doanh số 055051 ngày
12/8/2008.
Quy mô Công ty
Bao gồm một giám đốc và hai phó giám đốc, có 80 nhân viên làm việc trong 6
phòng ban. Các phòng ban bao gồm:
Phòng Tổng hợp
Phòng Kế toán
phòng kỹ thuật
phòng phát triển kinh doanh
Phòng kinh doanh
phóng chăm sóc khách hàng
14
- Xem thêm -