Tài liệu Giải pháp nâng cao an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị công nghiệp hoàng mai

  • Số trang: 49 |
  • Loại file: PDF |
  • Lượt xem: 53 |
  • Lượt tải: 0
nganguyen

Đã đăng 34345 tài liệu

Mô tả:

LỜI CẢM ƠN Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận đƣợc sự hƣớng dẫn nhiệt tình của giáo viên hƣớng dẫn là Thạc sỹ Nguyễn Thị Hội cùng sự nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. Qua đây, em xin chân thành cảm ơn nhà trƣờng, quý thầy cô đã tạo mọi điều kiện cho em tham gia học tập, rèn luyện, trao dồi kiến thức chuyên môn cũng nhƣ kiến thức thực tế cuộc sống trong suốt 4 năm học. Và đặc biệt, em xin chân thành cảm ơn Thạc sỹ Nguyễn Thị Hội - ngƣời đã tận tình hƣớng dẫn, chỉ bảo và giúp đỡ em hoàn thành khóa luận tốt nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban giám đốc và toàn thể nhân viên , Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai, đặc biệt Anh Nguyễn Văn Tuấn - Trƣờng phòng Công nghệ thông tin của công ty đã tiếp nhận và tạo cho em môi trƣờng làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát chung về tình hình hoạt động của công ty và hoàn thành đƣợc bài khóa luận tốt nghiệp của mình. Đây là đề tài tuy không mới nhƣng khá phức tạp và các nghiên cứu chuyên sâu về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu luận văn khá hạn hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, luận văn chắc chắn sẽ gặp phải nhiều sai sót. Em kính mong cô giáo Nguyễn Thị hội, các thầy cô giáo trong bộ môn Công nghệ thông tin, các anh chị nhân viên trong công ty cổ phần thiết bị công nghiệp Hoàng Mai góp ý, chỉ bảo để luận văn có giá trị cả về lý luận và thực tiễn. Em xin chân thành cảm ơn! i MỤC LỤC LỜI CẢM ƠN ................................................................................................................. i MỤC LỤC ...................................................................................................................... ii Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU .......................................................1 1.1. Tầm quan trọng, ý nghĩa của đề tài. ......................................................................1 1.2. Tổng quan vấn đề nghiên cứu. ..............................................................................2 1.3. Mục tiêu nghiên cứu của đề tài. ............................................................................4 1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài. .......................................................4 1.5. Phƣơng pháp nghiên cứu của đề tài. .....................................................................5 1.5.1. Khái niệm phƣơng pháp nghiên cứu...............................................................5 1.5.2. Các phƣơng pháp đƣợc sử dụng trong đề tài khoá luận. ................................5 1.6. Kết cấu của khóa luận. ..........................................................................................6 PHẦN 2: CƠ SỞ LÝ LUẬN, THỰC TRẠNG CỦA AN TOÀN VÀ BẢO MẬT DỮ LIỆU ................................................................................................................................7 2.1. Cơ sở lý luận về an toàn và bảo mật dữ liệu. .....................................................7 2.1.1. Một số khái niệm cơ bản................................................................................7 2.1.2 Lƣu trữ dữ liệu. ...............................................................................................9 2.1.3 Các nguy cơ và hình thức tấn công dữ liệu. .................................................11 2.2 Đánh giá, phân tích thực trạng an toàn và bảo mật dữ liệu tại Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. .............................................................................13 2.2.1 Giới thiệu về Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. ...............13 2.2.2. Các lĩnh vực hoạt động và kinh doanh chủ yếu của công ty ........................15 2.2.3. Khái quát hoạt động sản xuất kinh doanh của Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. ........................................................................................16 2.2.4. Phân tích thực trạng an toàn và bảo mật dữ liệu tại Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. ........................................................................................17 2.2.5. Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp. .....................23 2.2.4.2..2 Kết quả phân tích các dữ liệu thứ cấp ...........................................................26 2.2.5 Đánh giá thực trạng an toàn và bảo mật dữ liệu tại Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. ........................................................................................27 ii PHẦN 3: ĐỊNH HƢỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP AN TOÀN BẢO MẬT DỮ LIỆU CHO CÔNG TY CỔ PHẦN THIẾT BI CÔNG NGHIỆP HOÀNG MAI ...............................................................................................................................28 3.1 Các đề xuất nhằm nâng cao an toàn và bảo mật dữ liệu tại Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. .......................................................................................28 3.1.1 Nâng cấp hệ thống máy chủ...........................................................................28 3.1.2 Nâng cấp hệ thống website . ..........................................................................30 3.1.3 Sử dụng các hình thức lƣu trữ và mã hoá dữ liệu mới. .................................32 3.1.4 Nâng cao năng lực quản lý doanh nghiệp và phân quyền ngƣời sử dụng. ....36 3.2. Điều kiện thực hiên các giải pháp. .....................................................................40 3.2.1. Đào tạo nhân lực về CNTT ...........................................................................40 3.2.2. Phổ biến kiến thức về an toàn bảo mật .........................................................40 3.2.3. Đầu tƣ trang thiết bị ......................................................................................41 3.3 Định hƣớng phát triển của vấn đề nghiên cứu. ...................................................41 iii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ Tên Trang Hình 2.1 Logo của công ty Hình 2.2 Bảng cơ cấu nhân lực của công ty Hình 2.3 Sơ đồ cơ cấu bộ máy của công ty Hình 2.4 Bảng : Kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm 2008- 2010 Hình 2.5. Kết quả sử dụng SPSS đánh giá phiếu điều tra-1 Hình 2.6. Kết quả sử dụng SPSS đánh giá phiếu điều tra-2 Hình 2.7. Kết quả sử dụng SPSS đánh giá phiếu điều tra-3 Hình 2.8. Kết quả sử dụng SPSS đánh giá phiếu điều tra-4 Hình 2.9. Kết quả sử dụng SPSS đánh giá phiếu điều tra-5 Hình 2.10. Kết quả sử dụng SPSS đánh giá phiếu điều tra-6 iv DANH MỤC TỪ VIẾT TẮT Tên từ viết tắt Thuật ngữ Giải nghĩa TS Tiến sĩ Tiến sĩ NXB Nhà xuất bản Nhà xuất bản TMĐT Thƣơng mại điện tử Thƣơng mại điện tử LĐXH Lao động xã hội Lao động xã hội CNTT Công nghệ thông tin Công nghệ thông tin CSDL Cơ sở dữ liệu Cơ sở dữ liệu XNK Xuất nhập khẩu Xuất nhập khẩu ĐVT Đơn vị tính Đơn vị tính PKI Public Key Infrastructure Khoá công cộng AES Advanced Encryption Standard Tiêu chuẩn mã hoá tiên tiến CPU Central Processing Unit Bộ xử lý trung tâm DOS Denial of Service Từ chối dịch vụ LAN Local Area Network Mạng cục bộ CLR Common Language Runtime Bộ thực thi NAT Network Address Translation Chuyển đổi địa chỉ mạng WEP Wireless Encryption Protocol Giao thức mã hoá mạng không dây HTTP HyperText Transport Protocol Giao thức truyền tải siêu văn bản IMAP Internet Messaging Access Protocol Chuẩn giao diện giữa chƣơng trình E-mail client với Mail Server FTP File Transport Protocol Giao thức truyền tập tin CA Certificate authority Cơ quan chứng thực v Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1. Tầm quan trọng, ý nghĩa của đề tài. Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết, Trong bất cứ lĩnh vực nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt đƣợc thông tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đƣa ra nhƣng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trƣớc sự thay đổi của xã hội. Ngày nay, với sự phát triển của công nghệ thông tin, Internet trở thành cầu nối chia sẻ kiến thức, thông tin và giúp con ngƣời đến gần nhau hơn. Các công ty có cơ hội quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh và chia sẻ thông tin. Bên cạnh đó, công nghệ thông tin và các ứng dụng của nó giúp công ty phân tích, lữu trữ thông tin và dữ liệu để phục vụ cho việc điều hành và ra quyết định kinh doanh. Tuy nhiên vấn đề mất mát dữ liệu, dữ liệu bị ăn cắp là vấn đề nóng mà các công ty và tổ chức lo lắng. Cho nên việc đảm bảo và nâng cao an toàn và bảo mật dữ liệu đƣợc quan tâm hàng đầu. Vấn đề tuy đƣợc nhiều tổ chức và công ty nói đến, nhƣng mức độ thiệt hại liên quan đến an toàn và bảo mật dữ liệu không ngừng gia tăng. Chính vì vậy cần có những giải pháp đồng bộ và quyết liệt để đảm bảo an toàn và bảo mật dữ liệu. Công ty cổ phần thiết bị công nghiệp Hoàng Mại chuyên nhập khẩu và phân phối các thiết bị công nghiệp, cho nên các thông tin và dữ liệu liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng, tình hình biến động hàng hoá… là rất quan trọng. Nó ảnh hƣởng trực tiếp và gián tiếp đến doanh thu và lợi nhuận của công ty. Lãnh đạo công ty cũng đã ý thức đƣợc tầm quan trọng của an toàn và bảo mật của dữ liệu. Nhƣng trên thực tế vẫn ra tình trạng mất mát thông tin, dữ liệu, đặc biệt khi công ty áp dụng hình thức giao dịch và thanh toán trực tuyến qua mạng internet. Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần thiết bị công nghiệp Hoàng Mai em xin thực hiện đề tài khoá luận: “ Giải pháp nâng cao an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị công nghiệp Hoàng Mai”. Đề tài khóa luận này sẽ giúp công ty: - Nâng cao nhận thức của lãnh đạo và toàn thể nhân viên về an toàn và bảo mật dữ liệu. - Hiểu rõ thực trạng và tồn tại trong hệ thống an toàn và bảo mật dữ liệu tại công ty. 1 - Đƣa ra các phƣơng pháp giải quyết nhằm nâng cao an toàn và bảo mật dữ liệu tại công ty. 1.2. Tổng quan vấn đề nghiên cứu. An toàn và bảo mật dữ liệu không phải là vấn đề mới, đã có nhiều công trình, nghiên cứu chuyên sâu về vấn đề này. Tuy nhiên, mỗi công trình nghiên cứu về những khía cạnh riêng của hệ thống thông tin, dữ liệu thƣơng mại điện tử… + Nƣớc ngoài: Matt Bishop, Computer Security: Art and Science, Addison, Wesley,2002. Cuốn sách này có ba mục tiêu. Đầu tiên là để cho thấy tầm quan trọng của lý thuyết đến thực hành và thực hành lý thuyết. Tất cả các quá thƣờng xuyên, các học viên về lý thuyết là không thích hợp và lý thuyết thực hành nhƣ là tầm thƣờng. Trong thực tế, lý thuyết và thực hành là cộng sinh. Mục tiêu thứ hai là để nhấn mạnh rằng bảo mật máy tính và mật mã khác nhau. Mặc dù mật mã là một thành phần thiết yếu của bảo mật máy tính, nó không có nghĩa là thành phần. Mật mã cung cấp một cơ chế để thực hiện các chức năng cụ thể, chẳng hạn nhƣ ngăn chặn những ngƣời không đƣợc phép đọc và thay đổi tin nhắn trên mạng. Mục tiêu thứ ba là để chứng minh rằng bảo mật máy tính không phải là chỉ là một khoa học mà còn là một nghệ thuật. Nó là một nghệ thuật bởi vì hệ thống không thể đƣợc coi là an toàn mà không có một kiểm tra làm thế nào nó đƣợc sử dụng. Định nghĩa của một "máy tính an toàn" đòi hỏi một tuyên bố yêu cầu và biểu hiện những yêu cầu trong các hình thức hành động và ngƣời sử dụng đƣợc uỷ quyền. - William Stallings, Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005. Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Kiểm tra các thực hành an ninh mạng thông qua các ứng dụng thực tế đã đƣợc triển khai thực hiện và sử dụng ngày nay. Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phép ngƣời đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Tính năng ngăn chặn chế độ thuật toán, mã hoá hoạt động, bao gồm cả chế độ CMAC (Cipher-based Message Authentication Code) để xác thực và chế độ mã hoá chứng thực. Bao gồm phƣơng pháp giải quyết, mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại. + Trong nƣớc 2 Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, 2009. Giáo trình này đƣa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong TMĐT nhƣ khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng nhƣ những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phƣơng pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng nhƣ các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình. Vũ Đình Cương, Tìm lại Password & pp phục hồi an toàn dữ liệu, NXB, LĐXH, 2008. Tập trung giải quyết các vấn đề liên quan đến Email nhƣ: Một số thủ thuật Yahoo Messenger, cách xác định vị trí đại lý của email, Mail server, cách sử dụng một số phần mềm Spam, gửi thƣ nặc danh bằng Ghost mail, phƣơng pháp chống Bomb mail. Giải quyết triệt để các vấn đề liên quan đến password Windows, từ cách reset password khi lỡ quên hoặc bị Hack cho đến những phƣơng pháp tìm lại mật khẩu bằng những phần mềm lớn và phức tạp. Tác giả tuyển chọn và giới thiệu một số phần mềm tìm password mạnh nhất và thông dụng nhất hiện nay. Tập trung giải quyết các vấn đề về password tập tin nhƣ: Tìm lại password các tập tin .pdf (Adobe). Ngoài ra, hƣớng dẫn bạn cách đặt những mật khẩu an toàn cho tập tin. Hƣớng dẫn bạn đọc các phƣơng pháp phục hồi dữ liệu tập tin đã mất. Những tập tin bạn đã vô tình xóa hoặc tập tin bị mất do các tác nhân phá hoại nhƣ virus, trojan hay các hình thức phá hoại của đối thủ cạnh tranh. Ngoài ra, cuốn sách còn giới thiệu đến bạn các phƣơng pháp phục hồi dữ liệu ngay trên những phân vùng đã bị xóa, những ổ đĩa đã format. Tập trung giải quyết các vấn đề về an toàn dữ liệu. Hƣớng dẫn bạn cách xóa sạch các tài liệu mật, dữ liệu riêng tƣ theo chuẩn Quốc tế. Giới thiệu phƣơng pháp cơ bản giúp nhanh chóng xóa sạch các dấu vết trong máy tính. Thành công: Đã đƣa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục tiêu, yêu cầu an toàn dữ liệu, cũng nhƣ các nguy cơ gây ra mất an toàn dữ liệu, các hình thức tấn công. Bên cạnh đó, các đề tài còn đề cập đến phƣơng pháp phòng tránh các 3 tấn công gây mất an toàn dữ liệu cũng nhƣ biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay. Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thƣơng mại điện tử, hệ thống mạng hoặc website. Vẫn chƣa đi sâu nghiên cứu về nguy cơ mất an toàn dữ liệu trong quá trình lƣu trữ và sao in dữ liệu, liên quan đến con ngƣời ( nhà quản trị mạng, nhân viên công nghệ thông tin )… Đề tài: “ Giải pháp nâng cao an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị công nghiệp Hoàng Mai” sẽ kế thừa và phát triển, phân tích rõ hơn các nguy cơ gây mất an toàn dữ liệu trong lƣu trữ, sao in dữ liệu, con ngƣời . Để từ đó đƣa ra các giải pháp nhằm khắc phục, nâng cao an toàn và bảo mật dữ liệu trong công ty. 1.3. Mục tiêu nghiên cứu của đề tài. Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ sở lý luận cơ bản về an toàn và bảo mật dữ liệu, nghiên cứu bằng những phƣơng pháp khác nhau nhƣ thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng vấn đề an toàn và bảo mật dữ liệu để đƣa ra những ƣu nhƣợc điểm. Từ những đánh giá phân tích này đƣa ra một số kiến nghị đề xuất một số giải pháp nhằm nâng cao tính an toàn và bảo mật của dữ liệu. Giúp cho công ty nhận diện những nguy cơ và thách thức của vấn đề an toàn và bảo mật dữ liệu. Từ đó có những biện pháp nâng cao tính an toàn và bảo mật, ngăn chặn các nguy cơ tấn công dữ liệu hiện tại và tƣơng lai. Các mục tiêu cụ thể cần giải quyết trong đề tài: - Làm rõ cơ sở lý luận về vấn đề nghiên cứu: an toàn và bảo mật dữ liệu - Đánh giá thực trạng an toàn và bảo mật dữ liệu trong doanh nghiệp, đƣa ra các nguyên nhân và nguy cơ tấn công dữ liệu tại công ty cổ phần thiết bị công nghiệp Hoàng Mai. - Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn và bảo mật dữ liệu trong công ty cổ phần thiết bị công nghiệp Hoàng Mai. 1.4. Đối tượng và phạm vi nghiên cứu của đề tài. Đối tƣợng của đề tài vấn đề an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị công nghệ công nghiệp Hoàng Mai. - Mạng và website. - Các phần cứng và phần mềm đƣợc sử dụng tại công ty. 4 - Cơ sở dữ liệu và lƣu trữ - Con ngƣời. Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng thời gian ngắn hạn. Cụ thể: Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị công nghiệp Hoàng Mai nhằm đƣa ra một số giải pháp nâng cao an toàn và bảo mật dữ liệu. Về thời gian: Các số liệu đƣợc khảo sát từ năm 2009 - 2011, đồng thời trình bày các nhóm giải pháp định hƣớng phát triển đến trong thời gian tới. 1.5. Phương pháp nghiên cứu của đề tài. 1.5.1. Khái niệm phương pháp nghiên cứu. Phƣơng pháp là phạm trù trung tâm của phƣơng pháp luận nghiên cứu khoa học, phƣơng pháp không chỉ là vấn đề lý luận mà còn vấn đề có ý nghĩa thực tiễn to lớn, bởi vì chính phƣơng pháp quyết định thành công của mọi nghiên cứu khoa học. Bản chất của phƣơng pháp nghiên cứu khoa học chính là việc con ngƣời sử dụng một cách có ý thức các quy luật vận động nhƣ một phƣơng tiện để khám phá chính đối tƣợng đó. ( Dƣơng Thiệu Thống, Phương pháp nghiên cứu khoa học giáo dục và tâm lý, NXB Thống Kê, 2007). 1.5.2. Các phương pháp được sử dụng trong đề tài khoá luận. 1.5.2.1. Phương pháp thu thập dữ liệu. Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phƣơng pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa đựng các thông tin liên quan tới đối tƣợng nghiên cứu của đề tài mình thực hiện. Về nguyên tắc, tất cả các thông tin liên quan tới đối tƣợng nghiên cứu thuộc các nguồn khác nhau với các hình thức công bố khác nhau đều phải đƣợc thu thập. Các nguồn thông tin cần thu thập có thể từ các cơ quan lƣu trữ phổ biến thông tin, tƣ liệu khoa học-công nghệ có vị trí quan trọng đặc biệt, tiếp theo đó là các thƣ viện khoa học, cơ quan, giáo viên hƣớng dẫn, bạn bè, internet, câu hỏi điều tra phỏng vấn chuyên gia… Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ các tài liệu đó. Có thể phân loại theo tên tác giả, theo thời gian công bố hoặc theo hình thức công bố. Từ 5 đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào, nếu đủ rồi thì tiến hành bƣớc tiếp theo là xử lý dữ liệu. Phƣơng pháp này đƣợc sử dụng cho chƣơng 2 của khoá luận để thu thập dữ liệu liên quan đến vấn đề an toàn và bảo mật tại công ty cổ phần thiết bị công nghiệp Hoàng Mai. 1.5.2.2. Phương pháp xử lý dữ liệu. Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta cần chia thông tin ra làm hai nhóm chính  Nhóm 1: Xử lý thông tin định lƣợng. Đƣợc thể hiện thông qua phƣơng pháp mô tả bằng số liệu, theo các này các số liệu đƣợc mô tả, phân tích, thống kê và so sánh nhằm làm bộc lộ rõ các thuộc tính bản chất của sự vật hiện tƣợng hoặc làm sáng tỏ từng khía cạnh hợp thành nguyên nhân của vấn đề đƣợc phát hiện. Thƣờng sử dụng các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.  Nhóm 2: Xử lý thông tin định tính, tức là sử dụng ngôn ngữ để tiến hành các thao tác suy luận, phân tích, tổng hợp, quy nạp-diễn dịch…Thƣờng thiết lập các sơ đồ phản ánh các mối liên hệ của các thành tố nằm trong cấu trúc của đối tƣợng. Phƣơng pháp này đƣợc sử dụng cho cuối chƣơng 2 và chƣơng 3 của khoá luận nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn và bảo mật dữ liệu tại công ty Hoàng Mai, để từ đó đƣa ra các giải pháp phù hợp. 1.6. Kết cấu của khóa luận. Kết cấu của khóa luận gồm 3 phần, cụ thể: Phần 1: Tổng quan vấn đề nghiên cứu. Phần 2: Cơ sở lý luận, thực trạng của an toàn và bảo mật dữ liệu. Phần 3: Định hƣớng phát triển, đề xuất giải pháp an toàn và bảo mật dữ liệu cho Công ty Cổ phần thiết bị công nghiệp Hoàng Mai. 6 PHẦN 2: CƠ SỞ LÝ LUẬN, THỰC TRẠNG CỦA AN TOÀN VÀ BẢO MẬT DỮ LIỆU 2.1. Cơ sở lý luận về an toàn và bảo mật dữ liệu. 2.1.1. Một số khái niệm cơ bản. 2.1.1.1. Khái niệm về dữ liệu và thông tin. Dữ liệu là những gì chúng ta thu thập đƣợc, đa phần là dữ liệu thô, chƣa qua xử lý, tồn tại nhƣng không có một ý nghĩa rõ ràng, bao gồm hai loại dữ liệu hữu dụng và dữ liệu không hữu dụng. (Hà Thị Thanh- Nguyễn Văn Tảo, An toàn và bảo mật thông tin, Đại học Thái Nguyên, 2007). Thông tin là sự hiểu biết của con ngƣời về một sự kiện, một hiện tƣợng nào đó thu nhận đƣợc qua nghiên cứu, trao đổi, nhận xét, học tập, truyền thụ cảm nhận…. ((Hà Thị Thanh- Nguyễn Văn Tảo, An toàn và bảo mật thông tin, Đại học Thái Nguyên, 2007). Dữ liệu qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác nhau của con ngƣời. 2.1.1.2 Khái niệm về an toàn và bảo mật dữ liệu. Theo từ điển Tiếng Việt, an toàn ( security) có nghĩa là đƣợc bảo vệ, không xâm phạm. An toàn dữ liệu (ATDL) là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên nhƣ thiên tai, hỏng vật lí, mất điện…‎và các nguy cơ có chủ định nhƣ tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý.. Nhu cầu bảo mật thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong thƣơng mại điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch thƣơng mại điện tử (Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, 2009, Trang 20). An toàn dữ liệu đó là việc đảm bảo đƣợc tính bảo mật qua việc đảm bảo dữ liệu của ngƣời sử dụng luôn đƣợc bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những ngƣời không sở hữu và luôn trong trạng thái sẵn sàng. Đồng thời có tính tin cậy đảm bảo thông tin mà ngƣời dùng nhận đƣợc là đúng. Trong TMĐT, cần chú trọng‎ đến việc dữ liệu lƣu trữ cũng nhƣ trao đổi giữa hai bên giao dịch phải đƣợc giữ bí mật, 7 đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị sửa đổi hay bị giả mạo bởi một bên thứ ba. Đảm bảo độ minh bạch giữa hai bên thực hiện giao dịch. . (Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, 2009, Trang 21). Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán trƣớc những nguy cơ tấn công, ngăn chặn những hành động gây mất an toàn dữ liệu từ bên trong cũng nhƣ bên ngoài. Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công. Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao dịch và thanh toán điện tử, đƣa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT đạt đƣợc độ an toàn cao nhất, các phƣơng pháp khắc phục hậu quả và đảm bảo lợi ích cho ngƣời sử dụng. 2.1.1.3 Mục tiêu của an toàn dữ liệu. Đảm bảo an toàn dữ liệu là một công việc phức tạp, nhằm đặt đƣợc những mục tiêu cụ thể sau: (1) Phát hiện các lỗ hổng của hệ thống cũng nhƣ dự đoán trƣớc đƣợc những nguy cơ tấn công vào hệ thống thông tin. (2) Ngăn chặn các hành động gây mất an toàn dữ liệu từ bên trong cũng nhƣ bên ngoài, (3) Phục hồi tổn thất trong trƣờng hợp hệ thống bị tấn công nhằm đƣa hệ thống vào hoạt động trong thời gian sớm nhất. (Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, 2009, Trang 22). 2.1.1.4 Các yêu cầu của an toàn dữ liệu An toàn dữ liệu là vấn đề phức tạp, liên quan đến nhiều yếu tố khác nhau. Các yếu tố cơ bản cần phải giải quyết, bao gồm: tính bảo mật, tính toàn vẹn, tính sẵn sang và tính tin cậy. - Tính bảo mật: Trong an toàn dữ liệu, bảo mật ( security) là yêu cầu đảm bảo cho dữ liệu của ngƣời sử dụng phải đƣợc bảo vệ, không bị mất mát vào những ngƣời không đƣợc phép. Nói cách khác đi là phải đảm bảo đƣợc ai là ngƣời đƣợc phép dụng các thông tin. - Tính toàn vẹn: Trong an toàn dữ liệu, tính toàn vẹn (integrity) có nghĩa dữ liệu không bị tạo ra, sửa đổi hay xoá bởi những ngƣời không sở hữu. Tính toàn vẹn đề cập 8 đến khả năng đảm bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi ngƣời không đƣợc không đƣợc phép trong quá trình truyền thông. - Tính sẵn sàng : Tuy dữ liệu phải đƣợc đảm bảo bí mật và toàn vẹn nhƣng đối với ngƣời sử dụng , dữ liệu phải luôn trong trạng thái sẵn sàng ( availability). - Tính tin cậy: Yêu cầu về tính tin cậy (confidentiality) liên quan đến khả năng đảm bảo rằng, ngoài những ngƣời có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà ngƣời dùng nhận đƣợc là đúng với sự mong muốn của họ, chƣa hề bị mất mát hay lọt vào tay những ngƣời dùng không đƣợc phép. 2.1.2 Lưu trữ dữ liệu. 2.1.2.1. Khái niệm lưu trữ. Lƣu trữ dữ liệu là hoạt động giữ lại các nguồn thông tin viết, thông tin nói, thông tin hình ảnh và các nguồn thông tin khác để tiện cho việc truy xuất và xử lý khi cần thiết Lƣu trữ thông tin trong máy tính điện tử là khái niệm chỉ các cấu kiện máy tính, thiết bị và phƣơng tiện ghi/chứa dữ liệu cho phép lƣu trữ dữ liệu số sử dụng trong tính toán trong một khoảng thời gian nhất định. (Bộ môn CNTT, Giáo trình An toàn dữ liệu, Đại học Thương Mại, 2007, Trang 15). Tại sao cần lưu trữ thông tin : Nhu cầu lƣu trữ thông tin xuất hiện khi lƣợng thông tin trong tổ chức ngày càng lớn, vấn đề đặt ra là thông tin cần lƣu trữ rất nhiều trong khi nhu cầu sử dụng không thƣờng xuyên nhƣng vẫn đòi hỏi tính kịp thời của thông tin cần thiết. 2.1.2.2 Thiết bị lưu trữ dữ liệu Lƣu trữ dữ liệu máy tính hay thƣờng gọi là lƣu trữ hay bộ nhớ là khái niệm chỉ các cấu kiện máy tính, thiết bị và các phƣơng tiện ghi/chứa dữ liệu cho phép lƣu trữ dữ liệu số sử dụng trong tính toán trong một khoảng thời gian nhất định. Lƣu trữ dữ liệu đóng một trong các chức năng chính của tính toán hiện đại: lƣu giữ thông tin. Lƣu trữ là một cấu phần cơ bản của tất cả hệ thống tính toán hiện đại. Lƣu trữ và bộ xử lí trung tâm (CPU) là mô hình máy tính cơ bản kể từ những năm 1940. Trong ngôn ngữ hiện đại bộ nhớ thƣờng đƣợc hiểu là một dạng lƣu trữ sử dụng chất bán dẫn cho phép truy cập ngẫu nhiên với tốc độ cao nhƣng thƣờng là lƣu trữ tạm thời (RAM). Tƣơng tự lưu trữ thƣờng chỉ tới các phƣơng tiện từ tính có dung lƣợng 9 lớn nhƣ đĩa cứng, băng từ; các phƣơng tiện quang học nhƣ đĩa quang (optical disk), CD, DVD, BlueRay; và các phƣơng thức khác có tốc độ thấp hơn RAM nhƣng có khả năng lƣu trữ lâu hơn RAM. - Lƣu trữ sơ cấp Lƣu trữ sơ cấp (hay bộ nhớ chính hoặc bộ nhớ trong) hoặc đơn giản là bộ nhớ đƣợc truy cập trực tiếp bởi CPU. CPU liên tục đọc các lệnh đƣợc lƣu trong bộ nhớ này, thực hiện các lệnh. Các dữ liệu đƣợc xử lí thƣờng xuyên cũng đƣợc lƣu trong bộ nhớ này. - Lƣu trữ thứ cấp Lƣu trữ thứ cấp (hay bộ nhớ ngoài) khác lƣu trữ sơ cấp ở chỗ CPU không đọc trực tiếp. Máy tính thƣờng sử dụng các kênh nhập/xuất để truy cập bộ nhớ thứ cấp và chuyển các dữ liệu đƣợc yêu cầu sử dụng bộ đệm trên bộ nhớ sơ cấp. Dữ liệu trên lƣu trữ thứ cấp không bị mất khi thiết bị bị tắt điện. Về chi phí, lƣu trữ thứ cấp cũng rẻ hơn rất nhiều so với lƣu trữ sơ cấp. Vì vậy, thông thƣờng các máy tính hiện đại sẽ có dung lƣợng lƣu trữ thứ cấp lớn hơn nhiều lần so với sơ cấp và dữ liệu đƣợc lƣu trữ lâu dài trên lƣu trữ thứ cấp. Với máy tính hiện nay, lƣu trữ thứ cấp thƣờng là đĩa cứng. Thời gian để đĩa cứng quay và định vị một dữ liệu cụ thể thƣờng là một vài phần nghìn giây. Ngƣợc lại, thời gian để truy xuất dữ liệu tƣơng tự trên RAM đƣợc tính bằng phần tỉ giây. Điều này minh họa sự khác biệt đáng kể về tốc độ truy xuất trên các đĩa từ tính quay so với lƣu trữ ở dạng rắn: thông thƣờng đĩa cứng chậm hơn RAM một triệu lần. Các đĩa quang quay nhƣ CD, DVD thậm chí còn có tốc độ truy xuất chậm hơn. Với đĩa cứng, khi đầu đọc định vị đƣợc dữ liệu, truy xuất dữ liệu sẽ tƣơng đối nhanh. Vì vậy, để giảm thời gian truy xuất, dữ liệu trên đĩa cứng thƣờng đƣợc ghi thành các khối có kích thƣớc lớn và liền kề nhau. Một số ví dụ về công nghệ lƣu trữ thứ cấp gồm: bộ nhớ flash, đĩa mềm, băng từ, ổ Iomega Zip v.v Lƣu trữ thứ cấp thƣờng đƣợc định dạng theo định dạng Hệ thống tệp tin cho phép tổ chức dữ liệu thành các tệp tin và thƣ mục đồng thời chứa các thông tin bổ sung (gọi là metadata) mô tả ngƣời sở hữu tệp tin, thời gian tạo, thời gian truy cập cuối cùng, thời gan thay đổi cuối cùng, quyền truy cập v.v 10 Hầu hết các hệ điều hành đều sử dụng khái niệm bộ nhớ ảo. Bộ nhớ ảo là sủ dụng bộ nhớ thứ cấp để giải phóng bộ nhớ sơ cấp. Khi bộ nhớ sơ cấp đầy, các dữ liệu ít đƣợc sử dụng nhất trên bộ nhớ sơ cấp sẽ đƣợc chuyển xuống bộ nhớ thứ cấp và đƣợc ghi vào một tệp tin gọi là tệp tin hoán đổi (swap file) và sẽ đƣợc đọc lại vào bộ nhớ sơ cấp khi cần. Lƣu trữ cấp ba - Lƣu trữ cấp ba thƣờng bao gồm một cơ chế tay máy làm nhiệm vụ "lắp" và "gỡ" các phƣơng tiện lƣu trữ có thể tháo rời (removable storage media) tùy theo yêu cầu của máy tính và thƣờng đƣơcợc sao chép vào Lƣu trữ thứ cấp trƣớc khi sử dụng. Thông thƣờng lƣu trữ cấp ba đƣợc dùng để lƣu trữ lâu dài dữ liệu ít đƣợc truy cập vì lớp lƣu trữ này chậm hơn nhiều so với lƣu trữ thứ cấp. Lớp lƣu trữ này thƣờng hữu dụng với kho dữ liệu lớn và đòi hỏi truy cập mà không cần can thiệp của ngƣời vận hành. Một số ví dụ điển hình là Thƣ viện băng từ (tape library) và tủ đĩa quang (optical jukebox). Khi máy tính cần đọc thông tin từ lƣu trữ cấp ba, đầu tiên nó sẽ tra danh mục để tìm xem phƣơng tiện nào chứa thông tin cần truy xuất. Sau đó, máy tính sẽ ra lệnh cho tay máy tìm và nạp phƣơng tiện đó (băng từ, đĩa quang) vào đầu đọc. Khi đọc xong, máy tính sẽ ra lệnh cho tay máy cất phƣơng tiện đó giải phóng đầu đọc cho các tác vụ truy xuất tiếp theo. Lƣu trữ ngoại tuyến - Lƣu trữ ngoại tuyến là lƣu trữ mà không thuộc khả năng điều khiển của CPU. Thông thƣờng, đây là những phƣơng tiện lƣu trữ thứ cấp hoặc cấp ba nhƣng đƣợc tháo ra khỏi các thiết bị này. Nếu máy tính muốn truy cập dữ liệu trên lƣu trữ ngoại tuyến, bắt buộc ngƣời vận hành phải lắp phƣơng tiện vào một cách thủ công. 2.1.3 Các nguy cơ và hình thức tấn công dữ liệu. 2.1.3.1 Các nguy cơ tiềm ẩn về mất an toàn dữ liệu. Một số nguy cơ về khả năng mất an toàn dữ liệu trong hệ thống CNTT cần cảnh báo. (1) Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho bên thứ ba. (2) Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách: - “ Bắt” thông tin ở giữa đƣờng di chuyển từ “nguồn” tới “đích”, sửa đổi hay chèn, xoá thông tin và gửi đi tiếp. 11 - Tạo một nguồn thông tin giả mạo để đƣa các thông tin đánh lừa “đích”. - Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật. (3) Nguy cơ bị tắc nghẽn, ngƣng trệ thông tin: Tắc nghẽn và ngƣng trệ thông tin có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lƣợng ngƣời truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lƣợng đƣờng truyền lại quá nhỏ gây ra tắc nghẽn. (Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, 2009, Trang 23). 2.1.3.2 Hình thức tấn công dữ liệu. Các hình thức tấn công dữ liệu có thể kể đến là hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy đƣợc thông tin trên đƣờng truyền mà không gây ảnh hƣởng gì đến thông tin đƣợc truyền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trƣớc khi tấn công xảy ra. Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp đƣợc lƣu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của ngƣời dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của ngƣời dùng. Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào. Ngƣời dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lƣu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do ngƣời gần gũi với nạn nhân thực hiện. Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông ngƣời dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của ngƣời dùng để đánh cắp tài khoản. 12 Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của Computer World). Hình thức phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo ngƣời gửi, cách phòng tránh duy nhất là ý thức của ngƣời dùng. Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đƣờng đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đƣờng truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhƣng lại dễ phát hiện đƣợc. Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía ngƣời dùng: đảm bảo hệ điều hành và tất cả ứng dụng đƣợc cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chƣơng trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng ngƣời dùng "đi lạc" sang các website lừa đảo. Ngoài ra còn một số hình thức tấn công nhƣ tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngƣng hoạt động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 bƣớc của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác. Tấn công dữ liệu trên thực tế thƣờng là sử dụng virus, trojan để ăn cắp dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng nhƣ các chƣơng trình ứng dụng. 2.2 Đánh giá, phân tích thực trạng an toàn và bảo mật dữ liệu tại Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. 2.2.1 Giới thiệu về Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai. Công ty cổ phần thiết bị công nghiệp Hoàng Mai Tên giao dịch quốc tế: Hoang Mai Industrial Equiment Joint Stock Company Địa chỉ: P110 - 23 Bà Triệu - Hoàn Kiếm - Hà Nội Showroom: Số 30, ngách 19/9 Phố Kim Đồng, Hoàng Mai, Hà Nội 13 Điện thoại: 04.39366710 – 04. 39367154 - Fax:04. 38248768 Email: sales@hoangmaijsc.com Website: www.hoangmaijsc.com. - Loại hình doanh nghiệp: Công ty cổ phần - Logo của công ty: Hình 2.1 Logo của công ty ( Từ website www.hoangmaijsc.com ) - Quá trình thành lập và phát triển của công ty: Đƣợc thành lập theo giấy phép đăng ký kinh doanh số 0103016497 do Sở kế hoạch và Đầu tƣ Hà Nội cấp ngày 19 tháng 10 năm 2001. Cổ đông sáng lập bao gồm các cổ đông và các doanh nhân hoạt động tại Việt Nam. Công ty là một công ty kinh doanh xuất nhập khẩu tại Việt nam hoạt động trên các lĩnh vực thƣơng mại, dịch vụ, chuyển giao công nghệ và môi giới thƣơng mại. Ngay từ những ngày đầu mới thành lập, ngành hàng kinh doanh chính của công ty là Máy may công nghiệp và các linh kiện ngành may. Hiện nay, công ty là đại lý độc quyền của hãng Mitsuyin Nhật Bản, sản xuất tại Trung Quốc. Ngoài ra công ty còn là đại lý của hãng Sunsir Hàn Quốc tại miền bắc Việt Nam. Với số lƣợng máy may hàng tháng mà công ty cung cấp ra thị trƣờng là trên 400 chiếc (3-4 container), công ty đã đƣợc khách hàng biết đến với tƣ cách là một đại lý cung cấp máy may công nghiệp lớn ở Hà Nội nói riêng và trên toàn miền Bắc nói chung. Công ty còn mở rộng kinh doanh những mặt hàng khác mà thị trƣờng có nhu cầu nhƣ giấy Kraft làm vỏ bao xi măng của Hàn Quốc, dây cáp quang cung cấp cho các công ty viễn thông. - Cơ cấu tổ chức, chức năng nhiệm vụ các bộ phận doanh nghiệp, cơ cấu nhân lực của doanh nghiệp. + Doanh nghiệp có chủ tịch hội đồng quản trị, giám đốc, 2 phó giám đốc, các phòng ban liên quan bao gồm: Phòng kinh doanh- XNK, Phòng kế toán tài chính, Phòng kỹ thuật, Phòng quản trị nội bộ. + Cơ cấu nhân lực của doanh nghiệp: 14 Với đội ngũ nhân viên có tay nghề cao, chịu khó, ham học hỏi và sáng tạo Tổng số nhân viên trong công ty là: 80 Tên vị trí Số lƣợng nhân viên Nhân viên kinh doanh thị trƣờng 40 Nhân viên hành chính 10 Nhân viên kỹ thuật 5 Nhân viên giao dịch- XNK 3 Nhân viên thủ kho- bảo vệ 7 Nhân viên kế hoạch và Marketing 10 Nhân viên kế toán tài chính 5 Hình 2.2 Bảng cơ cấu nhân lực của công ty ( Do công ty cung cấp) Trong đó: 3 nhân viên là kỹ sƣ về kỹ thuật máy tính và mạng. 60% nhân viên tốt nghiệp đại học và cao đẳng. 10 nhân viên trình độ cao học trở lên. 5 nhân viên tốt nghiệp từ trƣờng Đại học Thƣơng mại. + Sơ đồ bộ máy tổ chức của công ty: Hình 2.3 Sơ đồ cơ cấu bộ máy của công ty ( Nguồn: Tài liệu công ty) 2.2.2. Các lĩnh vực hoạt động và kinh doanh chủ yếu của công ty - Nhập khẩu và mua bán các sản phẩm liên quan đến: Thiết bị ngành may, thiết bị ngành y tế, thiết bị dạy nghề, thiết bị đúc-luyện kim, cáp quang viễn thông. - Các thị trƣờng nhập khẩu chính của công ty: công ty là đại lý độc quyền của hãng Mitsuyin Nhật Bản, sản xuất tại Trung Quốc. Ngoài ra công ty còn là đại lý của hãng Sunsir Hàn Quốc tại miền bắc Việt Nam. Với số lƣợng máy may hàng tháng mà 15
- Xem thêm -