Một số giải pháp nâng cao tính an toàn bảo mật cho httt của công ty cổ phần công nghệ tinh vân

  • Số trang: 64 |
  • Loại file: PDF |
  • Lượt xem: 14 |
  • Lượt tải: 0
hoangtuavartar

Đã đăng 24718 tài liệu

Mô tả:

LỜI CẢM ƠN Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận đƣợc sự hƣớng dẫn nhiệt tình của giáo viên hƣớng dẫn Th.S Nguyễn Thị Hội, cùng sự giúp đỡ của ban giám đốc và toàn thể nhân viên công ty cổ phần công nghệ Tinh Vân. Trƣớc hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Nguyễn Thị Hội – Giáo viên hƣớng dẫn đã giúp đỡ em có những định hƣớng đúng đắn khi thực hiện khóa luận tốt nghiệp cũng nhƣ những kỹ năng nghiên cứu cần thiết khác. Em cũng xin đƣợc gửi lời cảm ơn chân thành tới ban giám đốc cũng nhƣ các anh/chị làm việc tại công ty cổ phần công nghệ Tinh Vân vì sự quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu. Em xin đƣợc gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông Tin Kinh Tế về sự động viên khích lệ mà em đã nhận đƣợc trong suốt quá trình học tập và hoàn thành khóa luận này. Đây là đề tài tuy không mới nhƣng khá phức tạp và các nghiên cứu chuyên sâu về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, khóa luận chắc chắn sẽ gặp phải nhiều sai sót. Em kính mong cô giáo Nguyễn Thị Hội, các thầy cô giáo trong khoa Hệ Thống Thông Tin Kinh Tế, các anh/chị nhân viên trong công ty cổ phần công nghệ Tinh Vân góp ý, chỉ bảo để khóa luận có giá trị cả về lý luận và thực tiễn. Em xin chân thành cảm ơn! i MỤC LỤC LỜI CẢM ƠN ..................................................................................................................i MỤC LỤC ...................................................................................................................... ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ ............................................................ v DANH MỤC TỪ VIẾT TẮT .........................................................................................vi CHƢƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU.............................................1 1.1. Tầm quan trọng, ý nghĩa của đề tài ..........................................................................1 1.2. Tổng quan vấn đề nghiên cứu ..................................................................................2 1.3. Mục tiêu nghiên cứu của đề tài.................................................................................3 1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài ............................................................ 4 1.5. Phƣơng pháp nghiên cứu của đề tài ..........................................................................4 1.5.1. Khái niệm phương pháp nghiên cứu .................................................................4 1.5.2. Các phương pháp được sử dụng trong đề tài khoá luận ..................................5 1.5.2.1. Phƣơng pháp thu thập dữ liệu ......................................................................5 1.5.2.2. Phƣơng pháp xử lý dữ liệu..........................................................................6 1.6 Kết cấu khóa luận ......................................................................................................6 CHƢƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN .....................7 2.1. Cơ sở lý luận ATBM thông tin trong HTTT ............................................................ 7 2.1.1. Một số khái niệm cơ bản ...................................................................................7 2.1.1.1. Khái niệm dữ liệu, thông tin, HTTT trong doanh nghiệp............................ 7 2.1.1.2. Khái niệm về an toàn, bảo mật HTTT ........................................................ 7 2.1.1.3. Các nhân tố ảnh hƣởng đến hiệu quả ATBM HTTT trong doanh nghiệp ...........8 2.1.1.4. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp........................ 10 2.1.2. Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp ..................10 2.1.2.1. Các nguy cơ mất ATTT trong HTTT ........................................................ 10 2.1.2.2. Hình thức tấn công HTTT .........................................................................12 2.1.3 Phân định nội dung nghiên cứu .......................................................................13 2.2. Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của công ty cổ phần công nghệ Tinh Vân. .....................................................................................................14 2.2.1. Tổng quan về công ty cổ phần công nghệ Tinh Vân. ......................................14 ii 2.2.1.1. Thông tin chung ......................................................................................... 14 2.2.1.2. Sơ đồ tổ chức ............................................................................................ 15 2.2.2. Vài nét về hoạt động sản xuất kinh doanh của công ty cổ phần Tinh Vân .....16 2.2.2.1. Các lĩnh vực hoạt động kinh doanh chủ yếu của doanh nghiệp ................16 2.2.2.2. Khái quát hoạt động sản xuất kinh doanh của Công ty Cổ phần Công nghệ Tinh Vân. ................................................................................................................17 2.2.3 Thực trạng của công tác ATBM HTTT trong công ty cổ phần công nghệ Tinh Vân. ................................................................................................................................ 17 2.2.3.1. Trang thiết bị phần cứng ............................................................................17 2.2.3.2. Về các phần mềm ứng dụng ......................................................................18 2.2.3.3. Thực trạng sử dụng và quản lý website .....................................................19 2.2.3.4. Công nghệ sử dụng trong đảm bảo an toàn bảo mật HTTT ...................... 20 2.2.3.5. Tình hình tổ chức và quản lý con ngƣời ....................................................21 2.2.4. Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp. ....................... 22 2.2.4.1. Kết quả xử lý phiếu điều tra ......................................................................22 2.2.4.2. Đánh giá thực trạng công tác ATBM HTTT trong công ty cổ phần công nghệ Tinh Vân. .......................................................................................................25 CHƢƠNG 3: ĐỊNH HƢỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ ATBM TRONG HTTT TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN............................................................................................................................... 27 3.1 Định hƣớng phát triển ATBM thông tin trong HTTT của công ty cổ phần Tinh Vân................................................................................................................................. 27 3.2. Các giải pháp nhằm nâng cao hiệu qủa ATBM thông tin trong HTTT của công ty Cổ phần công nghệ Tinh Vân. ....................................................................................... 28 3.2.1.Bảo mật bằng nâng cấp hệ thống máy chủ ...................................................... 28 3.2.2. Bảo mật bằng kỹ năng sử dụng các thiết bị công nghệ cho nhân viên ..............30 3.2.3. Bảo mật bằng phần mềm mới..........................................................................39 3.2.4. Nâng cao hiệu quả quản lý cơ sở dữ liệu ........................................................ 48 3.3. Một số đề xuất, kiến nghị về ATBM HTTT đối với công ty cổ phần công nghệ Tinh Vân. ....................................................................................................................... 50 3.3.1. Các kiến nghị với nhà nước ...........................................................................50 3.3.2. Kiến nghị với công ty cổ phần công nghệ Tinh Vân .......................................52 iii KẾT LUẬN CỦA KHÓA LUẬN .................................................................................54 DANH MỤC TÀI LIỆU THAM KHẢO ..................................................................... vii PHỤ LỤC 1 ................................................................................................................. viii PHỤ LỤC 2 .....................................................................................................................x iv DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Hình Tên Hình Hình 2.1 Ba mục tiêu bảo mật thông tin Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp Hình 2.3 Sơ đồ tổ chức của công ty cổ phần công nghệ Tinh Vân Hình 2.4 Bảng kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm 2010- 2012 Hình 2.5 Thông số về phần cứng máy trạm tại công ty cổ phần công nghệ Tinh Vân Hình 2.6 Cơ cấu nguồn nhân lực của công ty cổ phần Tinh Vân từ 2010 đến 2012 Hình 2.7 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 1 Hình 2.8 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 2 Hình 2.9 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 3 Hình 2.10 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 4 Hình 2.11 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 5 Hình 2.12 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 6 Hình 2.13 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 7 Hình 2.14 Bảng so sánh kỹ thuật giữa server cũ và server đề xuất Hình 2.15 Các tùy chọn Netsh wlan Hình 2.16 Một ví dụ export Netsh wlan Hình 2.17 Bổ sung thêm một profile mới với Netsh wlan Hình 2.18 Hiện các profile không dây với Netsh wlan Hình 2.19 Các kết quả của việc kết nối với WLAN Hình 2.20 Bảng thông số yêu cầu đối với máy trạm khi cài đặt Kaspersky® Small Office Security Hình 2.21 Bảng thông số yêu cầu đối với máy chủ khi cài đặt Kaspersky® Small Office Security v DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt Giải nghĩa Thuật ngữ ATBM An toàn bảo mật ATTT An toàn thông tin CA Cơ quan chứng thực Certificate authority CNTT CPU Công nghệ thông tin Central Processing Unit Bộ xử lý trung tâm Cơ sở dữ liệu CSDL CRM Customer Relationship Management Quản lý quan hệ khách hàng DOS Denial of Service Từ chối dịch vụ ĐVT HTTP Đơn vị tính HyperText Transport Protocol HTTT Giao thức truyền tải siêu văn bản Hệ thống thông tin NAT Network Address Translation Chuyển đổi địa chỉ mạng LAN Local Area Network Mạng cục bộ SSL Secure Sockets Layer Giao thức an ninh thông tin mạng WEP Wireless Encryption Protocol Giao thức mã hoá mạng không dây vi CHƢƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1.1. Tầm quan trọng, ý nghĩa của đề tài Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vực nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt đƣợc thông tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đƣa ra nhƣng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trƣớc sự thay đổi của xã hội. Ngày nay, với sự phát triển của công nghệ thông tin, Internet trở thành cầu nối chia sẻ kiến thức, thông tin giúp con ngƣời đến gần nhau hơn. Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển. Vì vậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy rõ đƣợc tầm quan trọng của hệ thống thông tin (HTTT). Nó không những giúp doanh nghiệp đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao đƣợc năng lực sản xuất, giúp cho các doanh nghiệp có đủ sức cạnh tranh với thị trƣờng trong và ngoài nƣớc. Có thể coi HTTT nhƣ là thành phần quan trọng của doanh nghiệp, nó quyết định mọi hoạt động hàng ngày của doanh nghiệp. Nhƣng cũng chính vì tầm quan trọng đó mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp. Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp. Công ty cổ phần công nghệ Tinh Vân chuyên cung cấp các sản phẩm phần mềm đóng gói và phần mềm giải pháp, sản phẩm trực tuyến và mobile cho nên các thông tin và dữ liệu liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng, bản quyền phần mềm… là rất quan trọng. Nó ảnh hƣởng trực tiếp và gián tiếp đến hoạt động kinh doanh và sản xuất của công ty. Tuy nhiên, công ty vẫn chƣa có sự đầu tƣ đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT) của mình. Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, tính nhất quán chƣa cao. Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần công nghệ Tinh Vân em xin thực hiện đề tài khoá luận: “ Một số giải pháp nâng cao tính an toàn bảo mật cho HTTT của công ty cổ phần công nghệ Tinh Vân”. 1 1.2. Tổng quan vấn đề nghiên cứu An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình, nghiên cứu chuyên sâu về vấn đề này. Tuy nhiên, mỗi công trình nghiên cứu về những khía cạnh riêng của hệ thống thông tin, thƣơng mại điện tử, … + Nƣớc ngoài: - William Stallings (2005),Cryptography and network security principles and practices, Fourth Edition, Prentice Hall. Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh mạng thông qua các ứng dụng thực tế đã đƣợc triển khai thực hiện và đƣợc sử dụng ngày nay. Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phép ngƣời đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng, thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hoá chứng thực. Bao gồm phƣơng pháp phòng tránh, mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại. - Man Young Rhee (2003). Internet Security: Cryptographic principles, algorithms and protocols. John Wiley & Sons. Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên tắc , các thuật toán và giao thức bảo mật Internet. Đƣa ra các biện pháp khắc phục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đó truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ tấn công thông qua đƣờng truyền Internet. Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet đƣợc thông qua một cách nghiêm ngặt, kỹ lƣỡng và chất lƣợng. Kiến thức của cuốn sách đƣợc viết để phù hợp cho sinh viên và sau đại học, các kỹ sƣ chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet. + Trong nƣớc - Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê. Giáo trình này đƣa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong thƣơng mại điện tử (TMĐT) nhƣ khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong 2 TMĐT, cũng nhƣ những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phƣơng pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng nhƣ các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình. - Phan Đình Diệu (2002), Giáo trình “ Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia Hà Nội. Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học có liên quan đến việc đảm bảo an toàn thông tin. Hệ mật khoá đối xứng, hệ mật khoá công khai; Chữ ký điện tử, ứng dụng và thực hành… Thành công: Đã đƣa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục tiêu, yêu cầu an toàn thông tin, cũng nhƣ các nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công. Bên cạnh đó, các đề tài còn đề cập đến phƣơng pháp phòng tránh các tấn công gây mất an toàn thông tin cũng nhƣ biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay. Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thƣơng mại điện tử, hệ thống mạng hoặc website. Vẫn chƣa đi sâu nghiên cứu về nguy cơ mất an toàn HTTT, liên quan đến con ngƣời ( nhà quản trị mạng, nhân viên công nghệ thông tin )… Nhƣ đã nêu ở phần 1.1 em lựa chọn đề tài: “ Một số giải pháp nâng cao an toàn bảo mật cho HTTT của công ty cổ phần công nghệ Tinh Vân” sẽ kế thừa và phát triển, phân tích rõ hơn các nguy cơ gây mất an toàn HTTT. Để từ đó đƣa ra các giải pháp nhằm khắc phục, nâng cao an toàn và bảo mật HTTT trong công ty. 1.3. Mục tiêu nghiên cứu của đề tài Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơ bản về an toàn bảo mật HTTT, nghiên cứu bằng những phƣơng pháp khác nhau nhƣ thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó, xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT để đƣa ra những ƣu nhƣợc điểm. Từ những đánh giá phân tích này, đƣa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính an toàn bảo mật HTTT. Giúp cho công ty nhận diện những nguy cơ và thách thức 3 của vấn đề an toàn bảo mật HTTT. Từ đó, có những giải pháp nâng cao tính an toàn bảo mật, ngăn chặn các nguy cơ tấn công HTTT hiện tại và tƣơng lai. Các mục tiêu cụ thể cần giải quyết trong đề tài: - Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty cổ phần công nghệ Tinh Vân. - Đánh giá thực trạng an toàn bảo mật HTTT trong công ty cổ phần công nghệ Tinh Vân dựa trên tài liệu thu thập đƣợc. - Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mật HTTT trong công ty cổ phần công nghệ Tinh Vân. 1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài - Đối tƣợng của đề tài là vấn đề an toàn bảo mật HTTT tại công ty cổ phần công nghệ Tinh Vân. - Các giải pháp công nghệ và giải pháp con ngƣời để đảm bảo ATBM HTTT của doanh nghiệp. - HTTT của doanh nghiệp. - Các chính sách phát triển đảm bảo an toàn bảo mật (ATBM) thông tin trong công ty. - Các giải pháp ATBM trên thế giới áp dụng đƣợc cho HTTT của doanh nghiệp. Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng thời gian ngắn hạn. Cụ thể: - Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT tại công ty cổ phần công nghệ Tinh Vân nhằm đƣa ra một số giải pháp nâng cao an toàn bảo mật HTTT. - Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáo kinh doanh, số liệu đƣợc khảo sát từ năm 2010 giữa năm 2013, đồng thời trình bày các nhóm giải pháp, định hƣớng phát triển trong tƣơng lai của công ty. 1.5. Phƣơng pháp nghiên cứu của đề tài 1.5.1. Khái niệm phương pháp nghiên cứu Phƣơng pháp là phạm trù trung tâm của phƣơng pháp luận nghiên cứu khoa học, phƣơng pháp không chỉ là vấn đề lý luận mà còn vấn đề có ý nghĩa thực tiễn to lớn, bởi vì chính phƣơng pháp quyết định thành công của mọi nghiên cứu khoa học. 4 Bản chất của phƣơng pháp nghiên cứu khoa học chính là việc con ngƣời sử dụng một cách có ý thức các quy luật vận động nhƣ một phƣơng tiện để khám phá chính đối tƣợng đó. ( Dƣơng Thiệu Thống, Phương pháp nghiên cứu khoa học giáo dục và tâm lý, NXB Thống Kê, 2007). 1.5.2. Các phương pháp được sử dụng trong đề tài khoá luận 1.5.2.1. Phƣơng pháp thu thập dữ liệu Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phƣơng pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa đựng các thông tin liên quan tới đối tƣợng nghiên cứu của đề tài mình thực hiện. Phương pháp sử dụng phiếu điều tra: - Nội dung: Bảng câu hỏi gồm 7 câu hỏi, các câu hỏi đều xoay quanh các hoạt động đảm bảo ATBM HTTT đƣợc triển khai và hiệu quả của các hoạt động này đối với công ty cổ phần công nghệ Tinh Vân. - Cách thức tiến hành: Bảng câu hỏi sẽ đƣợc phát cho 10 nhân viên trong công ty để thu thập ý kiến. - Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công ty để từ đó đánh giá thực trạng triển khai và đƣa ra những giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty cổ phần công nghệ Tinh Vân. Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cấp là những thông tin đã đƣợc thu thập và xử lý trƣớc đây vì các mục tiêu khác nhau của công ty. - Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty trong vòng 3 năm: 2010, 2011, 2012 đƣợc thu thập từ phòng hành chính, phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác. - Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo của các năm trƣớc có liên quan tới đề tài nghiên cứu và từ Internet. Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào, nếu đủ rồi thì tiến hành bƣớc tiếp theo là xử lý dữ liệu. Phƣơng pháp này đƣợc sử dụng cho chƣơng 2 của khoá luận để thu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại công ty cổ phần công nghệ Tinh Vân. 5 1.5.2.2. Phƣơng pháp xử lý dữ liệu Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta cần chia thông tin ra làm hai phƣơng pháp chính: - Phƣơng pháp định lƣợng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences). SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê trong một môi trƣờng đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu. Ngƣời dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị… - Phƣơng pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng vấn, phiếu điều tra và các tài liệu thu thập đƣợc. Phƣơng pháp này đƣợc sử dụng cho cuối chƣơng 2 và chƣơng 3 của khoá luận nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công ty cổ phần công nghệ Tinh Vân, để từ đó đƣa ra các giải pháp phù hợp. 1.6 Kết cấu khóa luận Khóa luận bao gồm ba phần: Phần 1: Tổng quan về đề tài nghiên cứu. Phần 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT của công ty cổ phần công nghệ Tinh Vân. Phần 3: Định hƣớng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBM thông tin trong HTTT tại công ty cổ phần công nghệ Tinh Vân. 6 CHƢƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN 2.1. Cơ sở lý luận ATBM thông tin trong HTTT 2.1.1. Một số khái niệm cơ bản 2.1.1.1. Khái niệm dữ liệu, thông tin, HTTT trong doanh nghiệp Theo [1] thì khái niệm dữ liệu là: những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu chƣa mang cho con ngƣời sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành thông tin thì con ngƣời mới có thể hiểu đƣợc về đối tƣợng mà dữ liệu đang biểu hiện. Theo [1] thì khái niệm thông tin là: điều hiểu biết về một sự kiện, một hiện tƣợng nào đó, thu nhận đƣợc qua khảo sát, đo lƣờng, trao đổi, nghiên cứu…. Thông tin là những dữ liệu đã đƣợc xử lý sao cho nó thực sự có ý nghĩa đối với ngƣời sử dụng. Thông tin đƣợc coi nhƣ là một sản phẩm hoàn chỉnh thu đƣợc sau quá trình xử lý dữ liệu. Theo [1] thì khái niệm hệ thống thông tin là: một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông đƣợc xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức. Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt đƣợc sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt đƣợc lợi thế cạnh tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt đƣợc nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển. 2.1.1.2. Khái niệm về an toàn, bảo mật HTTT Theo [2] thì khái niệm an toàn thông tin: Thông tin đƣợc coi là an toàn khi thông tin đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi ngƣời không đƣợc phép. Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin. 7 Tính sẵn sàng Tính toàn vẹn Tính bảo mật Hình 2.1: Ba mục tiêu bảo mật thông tin (Nguồn:[ 2]) - Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân đƣợc cấp quyền mới đƣợc phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không đƣợc cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản. - Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính xác, ngƣời sử dụng luôn đƣợc làm việc với các thông tin tin cậy chân thực. Chỉ các cá nhân đƣợc cấp quyền mới đƣợc phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty. - Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục vụ, bất cứ lúc nào ngƣời sử dụng hợp pháp có nhu cầu đều có thể truy nhập đƣợc vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi ngƣời sử dụng cần là có thể dùng đƣợc, nếu 2 yêu cầu trên đƣợc đảm bảo nhƣng yêu cầu cuối cùng không đƣợc đảm bảo thì thông tin cũng trở nên mất giá trị. Từ các phân tích trên ta có thể nhận định: Một HTTT đƣợc coi là an toàn và bảo mật khi tính riêng tƣ của nội dung thông tin đƣợc đảm bảo theo đúng các tiêu chí trong một thời gian xác định. 2.1.1.3. Các nhân tố ảnh hƣởng đến hiệu quả ATBM HTTT trong doanh nghiệp Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môi trƣờng bên trong và môi trƣờng bên ngoài, môi trƣờng vĩ mô và môi trƣờng vi mô. 8 Nhƣng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo ATBM HTTT trong doanh nghiệp là: Yếu tố con ngƣời và yếu tố công nghệ. Con ngƣời: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành. Con ngƣời là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin. Mỗi ngƣời có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng lực sở trƣờng và yêu cầu công việc của hệ thống. Con ngƣời có thể hoạt động độc lập hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của hệ thống. Ngƣời quản lý HTTT đóng một vai trò quan trọng về phƣơng diện công nghệ trong các tổ chức. Ngƣời quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lập nên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng lƣới thông tin quản lý. Những ngƣời quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc nghiên cứu và thiết kế các chƣơng trình cần đến máy vi tính của các công ty. Họ giúp xác định đƣợc cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời vạch ra những kế hoạch chi tiết cụ thể để đạt đƣợc những mục tiêu đó. Ví dụ khi làm việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát triển những ý tƣởng của các sản phẩm và dịch vụ mới hoặc có thể xác định đƣợc khả năng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả nhƣ thế nào. Những ngƣời quản lý HTTT máy tính phân công công việc cho những ngƣời phân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác có liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động nhƣ cài đặt và nâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chƣơng trình, sự phát triển mạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc biệt ngày càng quan tâm đến sự bảo quản, bảo dƣỡng, duy trì và an ninh của HTTT. Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị. Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh doanh cũng nhƣ các hoạt động hỗ trợ kinh doanh của doanh nghiệp. 9 CNTT là yếu tố quyết định đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảm bảo an toàn và bảo mật HTTT. CNTT đang có khuynh hƣớng mở rộng không gian cho hoạt động sản xuất kinh doanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới và các thách thức mới cho doanh nghiệp. CNTT cũng là nhân tố quan trọng phổ biến nhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập vào nền kinh tế toàn cầu. Công nghệ đƣợc chia làm hai loại: Phần cứng và phần mềm.  Những sản phẩm phần cứng nhƣ: Firewall phần cứng, máy tính, các thiết bị thu thập, xử lý và lƣu trữ thông tin…  Những sản phẩm phần mềm nhƣ: Firewall phần mềm, phần mềm phòng chống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa… 2.1.1.4. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một môi trƣờng thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trƣờng thông tin lành mạnh. Điều này sẽ tác động mạnh đến ƣu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con ngƣời và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. 2.1.2. Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp 2.1.2.1. Các nguy cơ mất ATTT trong HTTT Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại: - Nguy cơ ngẫu nhiên Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tƣợng khách quan nhƣ thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguyên khách quan, khó dự đoán trƣớc, khó tránh đƣợc nhƣng đó lại không phải là nguy cơ chính của việc mất ATTT. 10 - Nguy cơ có chủ định Hình 2.2. Các hình thức tấn công vào HTTT doanh nghiệp. (Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2010) Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 5 trong tổng số 10 nƣớc có nguy cơ mất ATTT cao nhất trong năm 2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nƣớc ngoài nhƣ McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hƣớng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nƣớc, e-banking, các công ty thƣơng mại điện tử liên tục xảy ra. Ngoài ra, số lƣợng lớn các vụ tấn công gây thiệt hại về kinh tế nhƣng rất khó ƣớc tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền kinh tế. Vnisa phía Nam đã thực hiện một cuộc khảo sát đối với 300 doanh nghiệp về ATTT tính từ tháng 1-2010 đến tháng 6-2012 cho thấy có 33% doanh nghiệp cho hay họ đã phát hiện sự cố tấn công an ninh mạng, giảm 1% so với năm 2009. Tuy nhiên, có 29% doanh nghiệp không thể biết đƣợc hệ thống mạng của mình có bị tấn công hay không. Trong số cuộc tấn công an ninh mạng đƣợc phát hiện, có 27,5% do Trojan hay Rootkit, 42% là do virus hay worm. Hầu hết các doanh nghiệp nhận định rằng, động 11 cơ tấn công để thu lợi bất chính tăng lên gấp 3 lần so với năm trƣớc. 40% doanh nghiệp ƣớc tính mức độ thiệt hại lớn nhất do các sự cố gây ra là từ virus. Trên đây là các nguy cơ đến từ môi trƣờng bên ngoài doanh nghiệp. Trên thực tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từ chính nội tại doanh nghiệp nhƣ: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ, HTTT,..); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quy trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con ngƣời (vận hành, đạo đức nghề nghiệp). 2.1.2.2. Hình thức tấn công HTTT Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy đƣợc thông tin trên đƣờng truyền mà không gây ảnh hƣởng gì đến thông tin đƣợc truyền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trƣớc khi tấn công xảy ra. Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp đƣợc lƣu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của ngƣời dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của ngƣời dùng. Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đƣờng đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đƣờng truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhƣng lại dễ phát hiện đƣợc. Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Ngoài ra, còn một số hình thức tấn công nhƣ tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ hoặc phải ngƣng hoạt động. DoS lợi dụng sự yếu kém 12 trong mô hình bắt tay 3 bƣớc của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác. Tấn công HTTT trên thực tế thƣờng là sử dụng virus, trojan để ăn cắp thông tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng nhƣ các chƣơng trình ứng dụng. 2.1.3 Phân định nội dung nghiên cứu Thông tin doanh nghiệp: Là những thông tin của doanh nghiệp về nhân sự, cơ cấu tổ chức, các văn bản, chính sách, mục tiêu sản xuất kinh doanh của doanh nghiệp. Những thông tin quan trọng nhƣ: Báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin khách hàng,… Vì vậy, công ty cần phải chú tâm đến vấn đề ATBM HTTT. Để đảm bảo một HTTT đƣợc an toàn bảo mật tức là phải đảm bảo thông tin đầu vào và đầu ra của HTTT đó đƣợc đảm bảo an toàn bảo mật. Do đó đối tƣợng chính của HTTT cần đảm bảo đó là thông tin của hệ thống đó. Thông tin trong doanh nghiệp có ở nhiều mức độ và mỗi mức độ cần có những chính sách về an toàn bảo mật khác nhau. Có những thông tin đƣợc đƣa vào diện bảo mật ở mức rất cao và rất ít ngƣời đƣợc biết đến những thông tin này, có những thông tin lại ở những mức độ cần an toàn, bảo mật ở mức thấp hơn. Doanh nghiệp cần xác định đúng đắn các thông tin cần đảm bảo an toàn, bảo mật để từ đó có các chính sách, công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này. Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn các công cụ thích hợp để đảm bảo an toàn, bảo mật HTTT. - Các công cụ kỹ thuật đƣợc sử dụng trong đề tài:  Sử dụng phần mềm diệt virus Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết đƣợc các virus mới.  Firewall Firewall là một kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng nhƣ hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn.  Bảo vệ dữ liệu máy tính Để bảo vệ sự toàn vẹn dữ liệu, hay các thông tin quan trọng thì chúng ta nên có những biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổi thông tin. Sau đây có một số cách để bảo vệ dữ liệu: 13 Sao lƣu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu. Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của hệ điều hành (ví dụ System Restore của Windows Me, XP...) mà có thể cần đến các phần mềm của hãng thứ ba. Thƣờng xuyên sao lƣu dữ liệu theo chu kỳ đến một nơi an toàn nhƣ các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...), hình thức này có thể thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn. Đứng trƣớc những thách thức và nguy cơ mất an toàn thông tin đang ngày càng gia tăng và phức tạp hơn, doanh nghiệp phải có những biện pháp để tự bảo vệ mình. Bên cạnh các công cụ kỹ thuật mà doanh nghiệp đã sử dụng thì công ty cũng cần chú trọng đến các giải pháp nâng cao ATBM HTTT trong công ty. - Dƣới đây là các giải pháp nâng cao ATBM HTTT của công ty cổ phần công nghệ Tinh Vân đƣa ra trong đề tài:  Giải pháp phần cứng: Nâng cấp máy chủ.  Giải pháp phần mềm: Ứng dụng các phần mềm bảo mật, phần mềm mã hóa mới.  Nâng cao hiệu quả quản lý cơ sở dữ liệu.  Đào tạo nguồn nhân lực và nâng cao kỹ năng sử dụng các thiết bị cho nhân viên. 2.2. Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của công ty cổ phần công nghệ Tinh Vân. 2.2.1. Tổng quan về công ty cổ phần công nghệ Tinh Vân. 2.2.1.1. Thông tin chung Công ty cổ phần công nghệ Tinh Vân Địa chỉ: Tầng 3, Khách sạn Thể Thao, Làng Sinh viên Hacinco, Quận Thanh Xuân, Hà Nội Điện thoại: (+84) 4 3558 9970 Fax: (+84) 4 3558 9971 Website: tinhvan.com Chính thức thành lập ngày 20/07/1997, với tiền thân là Trung tâm Thí nghiệm Mạng Netlab, Công ty Cổ phần Công nghệ Tinh Vân đã trải qua 26 năm hình thành và phát triển, với tập thể lãnh đạo đam mê và gắn kết, đội ngũ nhân viên nhiệt huyết và chuyên nghiệp, văn hóa doanh nghiệp đặc trƣng, lịch sử tăng trƣởng ổn định, Tinh Vân đã luôn khẳng định mình là một trong những đơn vị đi đầu trong lĩnh vực công nghệ thông tin, đặc biệt là phần mềm và nội dung số tại Việt Nam. 14
- Xem thêm -