LỜI CÁM ƠN
Khóa luận tốt nghiệp là sản phẩm dựa trên quá trình nghiên cứu giữa lý thuyết
và thực tế tại Công ty cổ phần truyền thông đa phương tiện Tân Quang. Đối với công
ty, đây không phải là đề tài mang tính mới nhưng có ý nghĩa thực tiễn trong công tác
bảo mật thông tin. Để hoàn thành khóa luận này, em đã nhận được sự giúp đỡ của cô
giáo Hàn Minh Phương, cùng các nhân viên nói chung và ban lãnh đạo nói riêng của
Công ty cổ phần truyền thông đa phương tiện Tân Quang.
Trước tiên, em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới cô giáo Th.S
Hàn Minh Phương người đã tận tình hướng dẫn và giúp đỡ em rất nhiều trong suốt
quá trình làm khóa luận. Em xin gửi lời cảm ơn tới các thầy cô trong nhà trường và các
thầy cô khoa Hệ Thống Thông Tin Kinh Tế trường đại học Thương Mại đã truyền
thụ cho em những kiến thức quý báu trong suốt quá trình học tập để em có đủ kiến
thức hoàn thành tốt bài khóa luận này.
Em cũng xin gửi lời cảm ơn tới chú Trần Thịnh Phong_ Phó giám đốc cùng
các cô chú, anh chị trong công ty cổ phần truyền thông đa phương tiện Tân Quang đã
giúp đỡ để em hoàn thành tốt bài khóa luận tốt nghiệp.
Một lần nữa, em xin chân thành cám ơn!
Hà Nội tháng 04 năm 2014
MỤC LỤ
LỜI CÁM ƠN.................................................................................................................i
MỤC LỤC..................................................................................................................... ii
DANH MỤC TỪ VIẾT TẮT..........................................................................................iv
DANH MỤC BẢNG BIỂU............................................................................................vi
DANH MỤC SƠ ĐỒ, HÌNH VẼ..................................................................................vii
Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU...........................................................1
1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu...................................................1
1.2 Tổng quan vấn đề nghiên cứu................................................................................2
1.3 Mục đích nghiên cứu.............................................................................................3
1.4 Đối tượng và phạm vi nghiên cứu đề tài................................................................4
1.5 Phương pháp nghiên cứu.......................................................................................4
1.5.1 Phương pháp thu thập dữ liệu................................................................................4
1.5.2 Phương pháp phân tích dữ liệu..............................................................................5
1.6 Kết cấu khóa luận..................................................................................................5
Phần 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN TẠI
CÔNG TY CỔ PHẦN TRUYỀN THÔNG ĐA PHƯƠNG TIỆN TÂN QUANG...............7
2.1 Cơ sở lý luận............................................................................................................7
2.1.1 Định nghĩa về thông tin và an toàn bảo mật thông tin...........................................7
2.1.1.1 Định nghĩa về thông tin......................................................................................7
2.1.1.2 An toàn bảo mật thông tin.................................................................................8
2.1.1.3 Vai trò của an toàn bảo mật thông tin.................................................................8
2.1.1.4 Những yêu cầu về an toàn bảo mật thông tin.....................................................9
2.1.1.5 Một số biện pháp, công nghệ an toàn bảo mật thông tin..................................10
2.1.2.5 Các loại tường lửa............................................................................................17
2.2. Thực trạng an toàn bảo mật thông tin tại công ty cổ phần truyền thông đa phương
tiện Tân Quang............................................................................................................. 21
2.2.1 Giới thiệu về công ty...........................................................................................21
2.2.1.1 Thông tin cơ bản.............................................................................................21
2.2.1.2 Cơ cấu tổ chức................................................................................................22
2.2.1.3. Nhân sự...........................................................................................................23
2.2.2. Khái quát hoạt động kinh doanh chủ yếu của công ty........................................23
2.2.3 Phân tích thực trạng an toàn bảo mật thông tin tại công ty.................................25
2.2.4 Đánh giá thực trạng bảo mật, an toàn dữ liệu ở công ty cổ phần truyền thông đa
phương tiện Tân Quang...............................................................................................30
Phần 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP AN TOÀN BẢO
MẬT THÔNG TIN TẠI CÔNG TY CỔ PHẦN TRUYỀN THÔNG ĐA PHƯƠNG TIỆN
TÂN QUANG............................................................................................................... 33
3.1 Định hướng phát triển của công ty cổ phần truyền thông đa phương tiện Tân
Quang trong thời gian tới.............................................................................................33
3.2 Giải pháp đảm bảo an toàn thông tin cho công ty..................................................33
3.2.1 Phân tích yêu cầu Firewall cho công ty cổ phần truyền thông đa phương tiện Tân
Quang
33
3.2.2 Chọn lựa một giải pháp Firewall cho phù hợp với mạng máy tính của công ty cổ
phần truyền thông đa phương tiện Tân Quang.............................................................35
3.3 Kiến nghị về việc thiết lập một Firewall cho công ty cổ phần truyền thông đa
phương tiện Tân Quang...............................................................................................38
3.3.1 Lựa chọn giải pháp Firewall phần cứng hoặc Firewall phần mềm để xây
dựng một Firewall cho công ty cổ phần truyền thông đa phương tiện Tân Quang
38
3.3.2 Cách cài đặt và yêu cầu cấu hình Firewall cho công ty cổ phần truyền thông đa
phương tiện Tân Quang...............................................................................................40
KẾT LUẬN..................................................................................................................42
DANH MỤC TÀI LIỆU THAM KHẢO............................................................................
PHỤ LỤC 1.....................................................................................................................
PHIẾU KHẢO SÁT..........................................................................................................
PHỤ LỤC 2. Danh sách nhân viên trả lời điều tra phỏng vấn........................................
DANH MỤC TỪ VIẾT TẮT
STT
1
2
Từ viết tắt
ADSL
ATTT
Tên đầy đủ
Asymmetric Digital
Subscriber Line
Diễn giải
Là kỹ thuật truyền được sử dụng trên
đường dây từ modem của thuê bao tới
Nhà cung cấp dịch vụ.
An toàn thông tin
Là một phần mềm diệt virus thuộc sở
3
BKAV
Bách khoa Antiviruts
hữu Trường Đại học Bách khoa Hà
Nội.
4
5
CNTT
CPU
Công nghệ thông tin
Central Processing
Units
6
CSDL
Cơ sở dữ liệu
7
ĐTĐM
Điện toán đám mây
The Corporation for
8
FPT
Financing and
Promoting Technology
9
HTTT
10
HTTTQL
11
ICMP
12
IP
Là bộ xử lý trung ương chỉ huy các
hoạt động cuả máy tính theo lệnh và
thực hiện các phép tính
Công ty cổ phần phát triển đầu tư Công
nghệ FPT
Hệ thống thông tin
Hệ thống thông tin
quản lý
Internet Control
Đây là giao thức xử lý các thông báo
Message Protocol
Internet Protocol
trạng thái cho IP
Là một địa chỉ của một máy tính khi
tham gia vào mạng nhằm giúp cho các
máy tính có thể chuyển thông tin cho
nhau một cách chính xác, tránh thất lạc
13
14
IT
LAN
15
RAM
16
SMTP
17
TCP
18
UDP
19
WAN
Information technology
Local Area Network
Random Acess
Memory
Simple Message
Transfer Protocol
Transmission Control
Mạng máy tính cục bộ
Bộ nhớ trong của máy tính
Là một giao thức dùng nền văn bản và
tương đối đơn giản
Là giao thức điều khiển truyền vận
Protocol
User Datagram
Là một giao thức không có sự tin cậy
Protocol
Wide area network
trong lưu chuyển
Mạng diện rộng
DANH MỤC BẢNG BIỂU
Bảng 2.1: Tình hình tài chính từ 2011 – 2013 của công ty..........................................24
Bảng 2.2: Đánh giá về tình hình bảo mật, an toàn dữ liệu tại công ty cổ phần truyền
thông đa phương tiện Tân Quang................................................................................26
Bảng 2.3: Thách thức trong công tác bảo mật của công ty.........................................26
Bảng 2.4: Tầm quan trọng của công tác bảo mật đối với công ty..............................27
Bảng 2.5 : Giải pháp cần làm đầu tiên để tiến hành an toàn thông tin.......................28
Bảng 2.6: Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin....................29
Bảng 2.7: Dự kiến đầu tư cho công tác bảo mật thông tin của công ty......................29
DANH MỤC SƠ ĐỒ, HÌNH VẼ.
Hình 2.1: Sơ đồ điện toán đám mây, với các dịch vụ được cung cấp nằm bên trong
“đám mây” được truy cập từ các máy tính ở bên ngoài.[ 12 ].........................................
Hình 2.2: Dữ liệu chứa trên các "đám mây" [12]...........................................................
Hình 2.3: Các lớp điện toán đám mây [13]....................................................................
Sơ đồ 2.1 : Cấu trúc tổ chức công ty cổ phần truyền thông đa phương tiện Tân Quang.
..........................................................................................................................................
Biểu đồ 2.1: Kết quả đánh giá mức độ quan tâm đến bảo mật, an toàn dữ liệu của
công ty..............................................................................................................................
Biểu đồ 2.2: Thách thức trong công tác bảo mật của công ty..........................................
Biểu đồ 2.3 : Tầm quan trọng của công tác bảo mật đối với công ty..............................
Biểu đồ 2.4 : Giải pháp cần làm đầu tiên để tiến hành an toàn thông tin........................
Biểu đồ 2.5: Phương pháp kỹ thuật công ty sử dụng để bảo mật thông tin.....................
Biểu đồ 2.6: Dự kiến đầu tư cho công tác bảo mật thông tin của công ty.......................
Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là
sự sống còn đối với các doanh nghiệp. Thế nhưng rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể
xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình. Bảo mật thông
tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của thông tin. Bảo mật nghĩa
là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.
Theo một cuộc khảo sát về vấn đề bảo mật thông tin của tổ chức nghiên cứu thị
trường, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo mật thông tin,
65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên
hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật. Trong khi đó, với
những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tin thì lại chưa
có sự đầu tư cân xứng cho bảo mật thông tin. Rất nhiều câu hỏi thể hiện sự băn khoăn
của các doanh nghiệp trước ngưỡng cửa "tin học hoá quản lý doanh nghiệp" mà cụ thể
là làm thế nào để bảo mật thông tin trong doanh nghiệp và cần phải lựa phải chọn giải
pháp như thế nào cho phù hợp với điều kiện của doanh nghiệp. Việc thông tin bị rò rỉ
sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh nghiệp đối với khách hàng và
các đối tác. Điều đó cho thấy, việc bảo mật thông tin quan trọng và cần thiết cũng như
ngày càng khó khăn trước những đòi hỏi gắt gao của môi trường kinh doanh yêu cầu
doanh nghiệp phải năng động chia sẻ thông tin của mình qua hệ thống mạng Internet.
Vấn đề đặt ra là để bảo vệ thông tin khỏi những mối nguy hiểm trên, doanh nghiệp lựa
chọn các biện pháp bảo vệ nào để bảo vệ thông tin của mình trước nhiều cách thức bảo
mật thông tin như hiện nay.
Vì vậy, vấn đề an toàn bảo mật thông tin trong doanh nghiệp hết sức quan trọng.
Để đảm bảo an toàn hệ thống thông tin, chúng ta không những phải có giải pháp mà
cần có con người, quy trình và cần áp dụng các tiêu chuẩn an toàn để đảm bảo thông
tin trong doanh nghiệp luôn được truyền tải nhanh chóng, thuận tiện và bảo mật.
Hiểu được tầm quan trọng của việc bảo mật, an toàn dữ liệu trong các doanh
nghiệp nên công ty Tân Quang cần triển khai việc áp dụng các biện pháp nhằm nâng
cao tính bảo mật và an toàn thông tin, dữ liệu của mình.
Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Giải pháp toàn bảo
mật thông tin tại công ty cổ phần truyền thông đa phương tiện Tân Quang ” làm
đề tài khóa luận của mình. Với hi vọng, đây sẽ là giải pháp hiệu quả để giúp doanh
nghiệp nâng cao doanh thu và lợi nhuận trong tương lai.
1.2 Tổng quan vấn đề nghiên cứu
Nhu cầu sử dụng internet của người dùng cá nhân cũng như doanh nghiệp tăng cao
trên toàn cầu thì những kẻ tấn công đã và đang tạo ra ngày càng nhiều mối đe dọa mới
và tiềm năng hủy hoại lớn hơn, đặc biệt chúng hướng tới mục tiêu thu lợi tài chính.
Trong những năm qua, có rất nhiều công trình khoa học, bài báo,… nghiên cứu về các
giải pháp an toàn bảo mật thông tin giúp cho các doanh nghiệp, tổ chức có thể đảm bảo
an toàn thông tin, dữ liệu của mình.
Trong tình hình kinh tế khó khăn, các doanh nghiệp dù có thu hẹp chi phí để vượt
qua khủng hoảng kinh tế thì vẫn phải chú trọng đến vấn đề bảo mật thông tin của
doanh nghiệp. Vì sự mất an toàn thông tin không những làm doanh nghiệp mất lợi thế
cạnh tranh mà còn làm ảnh hưởng hoặc ngưng trệ hoạt động sản xuất kinh doanh của
doanh nghiệp. Bài báo cáo thiết kế tường lửa của thạc sĩ Vũ Anh Tuấn khoa Công
nghệ thông tin, trường Đại học Thái Nguyên năm 2012, đã đưa ra được các phương
pháp xây dựng tường lửa và đề xuất nhiều tiện ích mới mà tường lửa đem lại mang
tính khả thi cao đề xuất một số quy trình xây dựng tường lửa sao có hiệu quả nhất, đưa
ra những hạn chế mà tường lửa không làm được. Tuy nhiên, báo cáo cũng chỉ dừng lại
ở việc chỉ ra những hạn chế của tường lửa chứ chưa đề xuất được giải pháp nào để
khắc phục vấn đề này.
Cũng bàn về vấn đề này, Nguyễn Dương Hùng - Khoa HTTTQL – HVNH đã thực
hiện bài nghiên cứu khoa học “Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng
thương mại khi sử dụng công nghệ điện toán đám mây”. Các ngân hàng ngày càng gặp
nhiều khó khăn trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì
nó đang được tăng lên nhanh chóng theo từng ngày. Sự ra đời của công nghệ ĐTĐM
cùng với khả năng cung cấp một cơ sở hạ tầng không giới hạn để truy suất, lưu trữ dữ
liệu tại các vị trí địa lý khác nhau là một giải pháp tốt cho cơ sở hạ tầng CNTT để các
ngân hàng xử lý các vấn đề khó khăn trên. Như một kết quả tất yếu, dữ liệu dư thừa,
trùng lặp sẽ xuất hiện và bị sửa đổi bởi những người sử dụng trái phép. Điều này dẫn
đến việc mất mát dữ liệu, mất an toàn và bảo mật thông tin, sự riêng tư của khách
hàng sẽ trở thành vấn đề chính cho các ngân hàng khi họ ứng dụng công nghệ ĐTĐM
vào công việc kinh doanh của họ. Do đó việc ứng công nghệ ĐTĐM vào các ngân
hàng là một xu thế tất yếu trong trong thời đại CNTT phát triển mạnh mẽ như hiện
nay. Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên cứu mang
tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được những khuyến nghị về
an ninh bảo mật trong ĐTĐM.
Bảo mật thông tin được xem là một trách nhiệm quản lí và kinh doanh, không đơn
giản chỉ là yếu tố kĩ thuật cần được giao cho các chuyên gia công nghệ hay bộ phận IT.
Bài
viết
“Bảo
mật
thông
tin:
Chuyện sống còn của
doanh nghiệp”
(www.vneconomy.vn) đã bàn rất rõ về này. Bài viết đã nêu ra những con số chứng
minh cho thực trạng an toàn bảo mật thông tin tại các doanh nghiệp Việt Nam và trên
thế giới. Từ việc xác định các nhân tố ảnh hưởng đến an toàn thông tin, bài viết đã
khẳng định được tầm quan trọng của bảo mật thông tin đối với mỗi doanh nghiệp. Tuy
nhiên, bài viết lại chưa đề cấp đến cách thức giải quyết, hướng phát triển cũng như đề
xuất các mô hình tường lửa với các tiện ích để giải quyết vấn đề này.
Không nằm ngoài guồng quay đó, hội thảo - triển lãm quốc gia về an ninh bảo mật
lần thứ 6 với chủ đề “giải pháp an ninh hệ thống, bảo mật thông tin” do cục Tin học,
Tổng cục Hậu cần – Kỹ thuật, Bộ Công an cũng được tổ chức tại Hà Nội trong tháng
4/2011 (Báo điện tử Đảng Cộng Sản Việt Nam). Hội thảo đã đưa ra một số thông tin
về một số nguy có mất an toàn thông tin tại các doanh nghiệp, xác định nguyên nhân
chủ yếu do sự chủ quan, hạn chế trong nhận thức, thiếu hụt đầu tư an ninh thông tin
của các doanh nghiệp. Như vậy, vấn đề an toàn bảo mật thông tin riêng ngày càng
được các doanh nghiệp cũng như toàn xã hội quan tâm, nghiên cứu. Qua các hội thảo,
bài nghiên cứu, bài báo, nhiều vấn đề về an toàn thông tin đã được giải quyết, nhiều
doanh nghiệp đã tìm được hướng đi đúng cho mình, lựa chọn cho mình một giải pháp
bảo mật thông tin phù hợp giúp đảm bảo những thông tin mật, nâng cao hiệu quả kinh
doanh.
1.3 Mục đích nghiên cứu
Nghiên cứu tổng quan về an toàn bảo mật thông tin: phân tích, tổng hợp khái niệm
an toàn bảo mật, vai trò, các giải pháp an toàn bảo mật thông tin hiện nay. Nghiên cứu
các giải pháp an toàn bảo mật thông tin để đưa ra giải pháp an toàn bảo mật thông tin
cho công ty cổ phần truyền thông đa phương tiện Tân Quang, những thuận lợi cũng
như khó khăn khi triển khai giải pháp này.
1.4 Đối tượng và phạm vi nghiên cứu đề tài
-
Đối tượng: Công ty cổ phần truyền thông đa phương tiện Tân Quang.
Phạm vi nghiên cứu:
Phạm vi về thời gian: Số liệu thu thập từ 2011 đến năm 2013.
Phạm vi về không gian: Các phòng ban: phòng kỹ thuật-bảo hành, phòng tài
chính kế toán, phòng kinh doanh xuất nhập khẩu, phòng hành chính - tổ chức,
phòng dự án.
1.5 Phương pháp nghiên cứu
1.5.1 Phương pháp thu thập dữ liệu
Để có được những thông tin về tình hình an toàn bảo mật trong công ty, em đã sử
dụng hai phương pháp cụ thể: phương pháp điều tra phỏng vấn và phương pháp tổng
hợp số liệu.
Phương pháp phỏng vấn.
Phỏng vấn ban lãnh đạo công ty cùng các nhân viên trong các phòng ban (kế toán,
kinh doanh, kỹ thuật) chủ yếu xoay quanh vấn đề: Việc đảm bảo an toàn thông tin
trong công ty như thế nào? Công ty hay gặp sự cố gì về vấn đề bảo mật thông tin?
Công ty đã có hệ thống an ninh mạng chưa? Công ty đã có hệ thống an toàn dữ liệu
chưa? …
Cách thức tiến hành: Hẹn trước và đến công ty gặp, chuẩn bị trước câu hỏi phỏng vấn
với các đối tượng. Không phỏng vấn tất cả các đối tượng vào cùng một ngày cụ thể
nào, do ban lãnh đạo bận, không có nhiều thời gian nên em tranh thủ phỏng vấn từng
đối tượng vào những thời gian có thể.
Thuận lợi của phương pháp: Thu thập thông tin nhanh chóng, đơn giản.
Khó khăn: Tốn thời gian nhiều, nội dung thu thập có thể không chính xác vì phụ
thuộc chủ quan vào người trả lời. Việc gặp được người có thẩm quyền cao rất khó.
Phương pháp tổng hợp số liệu
Qua quá trình tìm hiểu về đề tài, em xác định được những tài liệu cần thiết phục vụ
cho đề tài. Đối tượng của phương pháp là các số liệu từ hồ sơ năng lực, trình độ nhân
viên của cơ quan, những tài liệu có liên quan tới các phần mềm đã, đang và sẽ tiến
hành triển khai sử dụng, cơ sở vật chất. Em đã liệt kê những số liệu cần và tổng hợp từ
tài liệu được lưu giữ ở công ty do giám đốc công ty cung cấp.
Thuận lợi: Do thời gian thực tập tại công ty là thời gian mà công ty đã hoàn thành
xong các báo cáo tài chính nên việc xin số liệu các báo cáo kế toán là không khó khăn.
Khó khăn: Tốn nhiều thời gian để thu thập. Thêm vào đó, một số tài liệu về các
phần mềm nội bộ của riêng công ty, có tính bảo mật nên khó khăn trong việc tiếp cận.
Phương pháp nghiên cứu tài liệu:
Đối tượng của phương pháp này là tài liệu liên quan, các sách báo tạp chí CNTT,
các nghiên cứu khoa học cũng như các luận văn của các anh chị đi trước ở các trường
đại học khác nhau có đề tài liên quan tới an toàn bảo mật thông tin trong doanh
nghiệp…để có thêm thông tin, nhận xét giúp bài khóa luận được chính xác và phong
phú hơn.
Thuận lợi: Các nguồn tài liệu rất phong phú, dễ dàng tiếp cận như internet, tạp chí,..
Chi phí thực hiện thấp.
Khó khăn: Có quá nhiều tài liệu từ nhiều nguồn khác nhau nên việc lựa chọn được
nguồn tài liệu chất lượng, phù hợp với mục đích khá khó khăn, tốn nhiều thời gian.
1.5.2 Phương pháp phân tích dữ liệu
Phương pháp so sánh
Mục đích của so sánh là đánh giá được cái được, mất khi công ty vận dụng các
giải pháp về an toàn bảo mật thông tin so với khi công ty chưa áp dụng các giải pháp
an toàn bảo mật phục vụ cho hoạt động kinh doanh.
Thuận lợi: Việc thu thập các số liệu để tính toán khá thuận lợi.
Khó khăn: Phải tìm hiểu sâu thì mới có thể nhận ra được sự khác biệt nên tốn nhiều
thời gian.
1.6 Kết cấu khóa luận
Kết cấu khóa luận gồm ba phần:
Phần 1: Tổng quan vấn đề nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng về an toàn bảo mật thông tin tại công ty cổ phần
truyền thông đa phương tiện Tân Quang.
Phần 3: Giải pháp an toàn bảo mật thông tin tại công ty cổ phần truyền thông đa
phương tiện Tân Quang.
Phần 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG
TIN TẠI CÔNG TY CỔ PHẦN TRUYỀN THÔNG ĐA PHƯƠNG TIỆN TÂN
QUANG
2.1 Cơ sở lý luận
2.1.1 Định nghĩa về thông tin và an toàn bảo mật thông tin
2.1.1.1 Định nghĩa về thông tin
- Khái niệm thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để
nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp
bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một
chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều
phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu.
Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến
thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong
những nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái
niệm cơ bản, chung của nhiều khoa học. [Trích Thái Hồng Nhị, Phạm Minh Việt
(2004), Mạng máy tính, truyền tin số và dữ liệu, NXB Khoa học kỹ thuật trang 38, 39]
Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong
thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,
tổng hợp,…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin là
những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng” [Bài
giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại].
Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan
hệ, là dữ liệu đã được xử lý để trở nên hữu ích.
Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được liên
quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.
- Vai trò của thông tin
Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền
kinh tế thị trường. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm
trọng đó là sẽ mất đi cơ hội kinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh
doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường
kinh doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin doanh nghiệp sẽ
có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro.
2.1.1.2 An toàn bảo mật thông tin
- An toàn thông tin
Một hệ thống thông tin được coi là an toàn khi thông tin không bị hỏng hóc,
không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây
thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.[5]
- Bảo mật thông tin
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin.
Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được
cấp quyền tương ứng.
Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin
chỉ được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có thể
truy xuất thông tin khi họ cần.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm
bảo theo đúng tiêu chí trong một thời gian xác định.
2.1.1.3 Vai trò của an toàn bảo mật thông tin
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại
khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu [6].
Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người
dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào
ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ trước khi
phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng. Thêm
vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông
tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục
tiêu tấn công dễ dàng hơn.
Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của
các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt
động ổn định và tin cậy. An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan,
tổ chức.An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy
tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin
lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về
thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt
động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATTT doanh nghiệp
cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh
nghiệp.
2.1.1.4 Những yêu cầu về an toàn bảo mật thông tin
- Tính bảo mật
Trong an toàn dữ liệu, bảo mật là yêu cầu đảm bảo cho dữ liệu của người sử
dụng phải được bảo vệ, không bị mất mát vào những người không được phép. Nói
khác đi là phải đảm bảo được ai là người được phép sử dụng ( và sử dụng được) các
thông tin (theo sự phân loại mật của thông tin).[6]
Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sử dụng
trái phép bởi một người không sử hữu. Trên thực tế, rất nhiều thông tin cá nhân của
người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã số thẻ tín
dụng, số thẻ bảo hiểm xã hội,….vì vậy đây có thể nói là yêu cầu quan trọng nhất đối
với tính an toàn của hệ thống thông tin.
- Tính toàn vẹn
Trong an toàn dữ liệu, tính toàn vẹn có nghĩa là dữ liệu không bị tạo ra, sửa đổi
hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến khả năng đảm bảo
cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không
được phép trong quá trình truyền thông.
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi dữ
liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể vi
phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết. Chẳng hạn
một hệ quản trị CSDL xây dựng kếm có thể gây mất mát dữ liệu trong trường hợp mất
điện đột ngột. Các hành động phá hoại cũng có thể gây ra mất tính toàn vẹn của dữ
liệu.
- Tính sẵn sàng
Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sử dụng,
dữ liệu phải luôn trong trạng thái sẵn sàng. Các biện pháp bảo mật làm cho người sử
dụng gặp khó khăn hay không thể thao tác được với dữ liệu đều không thể được chấp
nhận. nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phải đảm bảo được sự bảo
mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đa những khó khăn gây ra
cho người sử dụng thật sự. Dữ liệu và tài nguyên của hệ thống phải luôn ở trong tình
trạng sẵn sàng phuc vụ bất cứ lúc nào đối với những người dùng có thẩm quyền sử
dụng một cách thuận lợi.
- Tính tin cậy
Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những người
có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Mặt
khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúng với sự mong
muốn của họ, chưa hề bị mất mát hay bị lọt vào tay những người không được
phép.Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả
những yếu tố trên. Nếu thiếu một trong số đó thì độ bảo mật của hệ thống là không
hoàn thiện.
2.1.1.5 Một số biện pháp, công nghệ an toàn bảo mật thông tin
- Công nghệ bảo mật đường truyền.
Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc
nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy
tính thuộc về 1 trong 2 loại sau:
o
Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
o
Mã hoá sử dụng khoá công khai (Public-key encryption
- Công nghệ điện toán đám mây
Hình 2.1: Sơ đồ điện toán đám mây, với các dịch vụ được cung cấp nằm bên
trong “đám mây” được truy cập từ các máy tính ở bên ngoài.[ 12 ]
Khái niệm
Điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, hay còn biết đến
với tên gọi “Điện toán máy chủ ảo”) là mô hình máy tính dựa trên nền tảng phát triển
của Internet.
Điện toán đám mây là sự nâng cấp từ mô hình máy chủ mainframe sang mô hình
cleint-server. Cụ thể, người dùng sẽ không còn phải có các kiến thức về chuyên mục
để điều khiển các công nghệ, máy móc và cơ sở hạ tầng, mà các chuyên gia trong
“đám mây” của các hãng cung cấp sẽ giúp thực hiện điều đó.
Thuật ngữ "đám mây" ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vào cách
được bố trí của nó trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức tạp
của các cơ sở hạ tầng chứa trong nó. Ở mô hình điện toán này, mọi khả năng liên quan
đến công nghệ thông tin đều được cung cấp dưới dạng các "dịch vụ", cho phép người
sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó "trong đám mây"
mà không cần phải có các kiến thức, kinh nghiệm về công nghệ đó, cũng như không
cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó.
Tài nguyên, dữ liệu, phần mềm và các thông tin liên quan đều được chứa trên các
server (chính là các “đám mây”). Nói một cách đơn giản nhất “ứng dụng điện toán
đám mây” chính là những ứng dụng trực tuyến trên Internet. Trình duyệt là nơi ứng
dụng hiện hữu và vận hành còn dữ liệu được lưu trữ và xử lý ở máy chủ của nhà cung
cấp ứng dụng đó.
Hình 2.2: Dữ liệu chứa trên các "đám mây" [12]
Các kiểu hình thành đám mây
Có ba kiểu hình thành đám mây: riêng tư (theo giả thuyết), công cộng và lai.
-
Các đám mây công cộng có sẵn cho công chúng hoặc một nhóm ngành nghề lớn
và do một tổ chức bán các dịch vụ đám mây sở hữu và cung cấp. Một đám mây
công cộng là cái mà người ta hình dung là đám mây theo nghĩa thông thường;
đó là các tài nguyên được cung cấp động trên Internet bằng cách sử dụng các
ứng dụng web từ một nhà cung cấp bên thứ ba bên ngoài cung cấp các tài
-
nguyên chia sẻ và gửi hóa đơn tính cước trên cơ sở tính toán việc sử dụng.
Các đám mây riêng tư tồn tại bên trong tường lửa của công ty bạn và do tổ chức
của bạn quản lý. Chúng là các dịch vụ đám mây do bạn tạo ra và kiểm soát
trong doanh nghiệp của mình. Các đám mây riêng tư cũng cung cấp nhiều lợi
ích tương tự như các đám mây công cộng - sự khác biệt chủ yếu là tổ chức của
-
bạn chịu trách nhiệm thiết lập và duy trì đám mây đó.
Các đám mây lai là một sự kết hợp của đám mây công cộng và riêng tư khi sử
dụng các dịch vụ có trong cả hai vùng công cộng và riêng tư. Các trách nhiệm
quản lý được phân chia giữa các nhà cung cấp dịch vụ đám mây công cộng và
chính doanh nghiệp. Khi sử dụng một đám mây lai, các tổ chức có thể xác định
các mục tiêu và các yêu cầu của các dịch vụ được tạo ra và có được chúng dựa
vào sự lựa chọn thích hợp nhất.
Hình 2.3: Các lớp điện toán đám mây [13]
(Phần mềm ứng dụng Software as a Service – Saas)
Tại các quốc gia phát triển trên thế giới, điện toán đám mây được ưa chuộng và
sử dụng phổ biến. Từ năm 2009 trở lại đây, công nghệ này không có nhiều thay đổi về
mặt khái niệm cũng như lợi ích cơ bản mà nó mang lại cho các doanh nghiệp song lại
có sự thay đổi lớn trên khía cạnh thị trường và xu hướng ứng dụng của các doanh
nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ.[10]
Công ty nghiên cứu Gartner đánh giá rằng ưu tiên chính của những Giám đốc
Công nghệ (CIO) sẽ là các ứng dụng doanh nghiệp ảo hóa và điện toán đám mây để
giúp công ty họ bớt lo lắng về quản lý cơ sở hạ tầng thông tin, tập trung vào việc chèo
lái quá trình phát triển của công ty hơn. Cũng theo đánh giá, tính đến năm 2012, 80%
doanh nghiệp trong danh sách 1.000 công ty hàng đầu (theo đánh giá của tạp chí
Fortune - Mỹ) sẽ sử dụng ít nhất một vài loại hình dịch vụ đám mây và khoảng 20%
doanh nghiệp sẽ không còn sở hữu các tài sản hoặc hạ tầng công nghệ thông tin [8].
Công nghệ này được coi là giải pháp cho những vấn đề mà nhiều công ty đang gặp
phải như an toàn bảo mật thông tin, thiếu năng lực CNTT, chi phí đầu tư hạn chế…
- Tường lửa
- Xem thêm -