LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được
sự hướng dẫn nhiệt tình của giáo viên hướng dẫn ThS. Hàn Minh Phương cùng sự
nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty TNHH Dịch vụ
ERP FPT- công ty TNHH Hệ thống Thông tin FPT. Qua đây, em xin chân thành cảm
ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế - Trường Đại học Thương
Mại đã tận tình giảng dạy và trang bị cho em những kiến thức nền tảng, những kinh
nghiệm quý báu trong cuộc sống, giúp em đủ tự tin để khẳng định mình trong công
việc và cuộc sống sau này. Và đặc biệt, em xin chân thành cảm ơn cô ThS. Hàn Minh
Phương - người đã tận tình hướng dẫn, chỉ bảo và giúp đỡ em hoàn thành khóa luận tốt
nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban Giám đốc và toàn
thể nhân viên Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin
FPT, đặc biệt ông Mai Công Nguyên- Tổng Giám đốc của Công ty đã tiếp nhận và tạo
cho em môi trường làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát
chung về Công ty và hoàn thành được bài khóa luận tốt nghiệp của mình.
Tuy nhiên, do điều kiện thời gian có hạn, cũng như kiến thức còn hạn chế nên
trong Khóa luận tốt nghiệp này của vẫn còn nhiều hạn chế, thiếu sót. Vì vậy, em kính
mong nhận được những ý kiến đóng góp, chỉ bảo của các thầy cô.
Em xin chân thành cảm ơn!
Sinh viên
Hà Thùy Trang
MỤC LỤC
i
LỜI CẢM ƠN................................................................................................................. i
MỤC LỤC..................................................................................................................... ii
DANH MỤC BẢNG BIỂU..........................................................................................iv
DANH MỤC SƠ ĐỒ.....................................................................................................v
DANH MỤC TỪ VIẾT TẮT.......................................................................................vi
Chương 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU......................................................1
1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu.........................................1
1.2. Tổng quan đề tài nghiên cứu.................................................................................2
1.3. Mục tiêu nghiên cứu của đề tài..............................................................................3
1.4. Phương pháp thực hiện đề tài................................................................................4
1.5. Đối tượng và phạm vi nghiên cứu của đề tài.........................................................4
1.6. Kết cấu của khóa luận...........................................................................................4
Chương 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG TY TNHH
DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT....................5
2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP...........................................5
2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT..........................................................5
2.1.1.1. Thông tin trong doanh nghiệp...........................................................................5
2.1.1.2. Đảm bảo ATBMTT trong doanh nghiệp...........................................................6
2.1.2. Một số lý thuyết liên quan.................................................................................9
2.1.2.1. Các rủi ro mất ATBMTT trong doanh nghiệp...................................................9
2.1.2.2. Yêu cầu của đảm bảo ATBMTT doanh nghiệp...............................................11
2.1.2.3. Quy trình chung đảm bảo ATBM hệ thống.....................................................14
2.1.3. Phân định nội dung nghiên cứu.......................................................................14
2.1.3.1. Các phương pháp phòng tránh và khắc phục..................................................14
2.1.3.2. Một số công nghệ sử dụng nhằm phòng tránh và khắc phục rủi ro mất ATTT
trong doanh nghiệp......................................................................................................15
2.2. THỰC TRẠNG VỀ VẤN ĐỀ ATBMTT TRONG CÔNG TY TNHH DỊCH VỤ
ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT...................................19
2.2.1. Giới thiệu về Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT.............................................................................................................. 19
2.2.1.1. Giới thiệu chung.............................................................................................19
2.2.1.2. Sứ mệnh..........................................................................................................20
2.2.1.3. Chiến lược.......................................................................................................20
2.2.1.4. Lịch sử hình thành và phát triển......................................................................21
2.2.1.5. Cơ cấu tổ chức của FIS...................................................................................22
2.2.1.6. Giá trị cốt lõi và một số thành tích đã đạt được...............................................23
ii
2.2.1.7. Lĩnh vực hoạt động của Công ty.....................................................................24
2.2.1.8. Sản phẩm- dịch vụ của Công ty......................................................................25
2.2.2. Thực trạng về vấn đề ATBMTT của Công ty.................................................26
2.2.2.1. Khái quát về vấn đề xử lý lưu trữ thông tin trong Công ty..............................26
2.2.2.2. Kết quả phân tích và xử lý dữ liệu điều tra.....................................................28
2.2.3. Đánh giá thực trạng đảm bảo ATBMTT tại Công ty TNHH Dịch vụ ERP FPTCông ty TNHH Hệ thống Thông tin FPT.....................................................................35
Chương 3: NGHIÊN CỨU VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NÂNG CAO
ATBMTT CHO CÔNG TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ
THỐNG THÔNG TIN FPT.........................................................................................37
3.1. Định hướng của Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT về việc đảm bảo ATBMTT..................................................................37
3.2. Đề xuất giải pháp đảm bảo ATBMTT cho Công ty.............................................37
3.2.1. Thiết bị phần cứng..........................................................................................37
3.2.2. Phần mềm.......................................................................................................39
3.2.2.1. Phần mềm bảo mật..........................................................................................39
3.2.2.2. Phần mềm mã hóa...........................................................................................39
3.2.3. Hệ thống mạng................................................................................................40
3.2.4. Cơ sở dữ liệu...................................................................................................41
3.2.5. Đào tạo nhân lực.............................................................................................43
3.3. Một số kiến nghị.................................................................................................43
KẾT LUẬN.................................................................................................................45
TÀI LIỆU THAM KHẢO...........................................................................................46
PHỤ LỤC 1.................................................................................................................47
PHỤ LỤC 2.................................................................................................................50
iii
DANH MỤC BẢNG BIỂU
Biểu đồ 2.2. Những sự cố hay gặp về ATBMTT...........................................................29
Biểu đồ 2.3. Cách thức đảm bảo ATBMTT được sử dụng..........................................29
Biểu đồ 2.4. Cách thức bảo vệ CSDL trong Công ty..................................................30
Biểu đồ 2.5. Tần suất sao lưu dữ liệu..........................................................................30
Biểu đồ 2.6. Trình độ hiểu biết của nhân viên về HTTT và ATBMTT.........................31
Biểu đồ 2.7. Mức độ trang bị thiết bị phần cứng bảo mật..........................................31
Biểu đồ 2.8. Nhận thức về tầm quan trọng của ATBMTT............................................32
Biểu đồ 2.10. Trở ngại khi xây dựng và phát triển ATBMTT của Công ty..................33
iv
DANH MỤC SƠ ĐỒ
Sơ đồ 2.1. Cơ cấu tổ chức của FIS............................................................................... 22
v
DANH MỤC TỪ VIẾT TẮT
Danh mục từ viếết tắết Tiếếng Việt
STT
Từ viết tắt
Nghĩa đầy đủ
1
2
3
4
5
6
7
8
9
10
CNTT
TMĐT
HTTT
CSDL
TNHH
ATTT
BMTT
ATBMTT
ATDL
HTTT
Công nghệ thông tin
Thương mại điện tử
Hệ thống thông tin
Cơ sở dữ liệu
Trách nhiệm hữu hạn
An toàn thông tin
Bảo mật thông tin
An toàn bảo mật thông tin
An toàn dữ liệu
Hệ thống thông tin
Danh mục từ viết tắt Tiếng Anh
STT
1
2
3
Từ viết tắt
SET
SSL
TLS
Từ đầy đủ
Secure Electronic Transaction
Secure Sockets Layer
Transport Layer Security
4
ERP
Enterprise Resource Planning
Nghĩa Tiếng Việt
An toàn giao dịch điện tử
Lớp ổ cắm an toàn
An ninh tầng giao vận
Hoạch định khai thác nguồn tài
nguyên
SAP
5
Service
Giải pháp dành cho doanh
Advertisin
nghiệp
g Protocol
6
ITO
7
BPO
International Trade
Organization
Business process outsourcing
vi
Tổ chức mậu dịch quốc tế
Kinh doanh quá trình gia công phần
mềm
Chương 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU
1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu.
Thông tin được coi là một nhu cầu thiết yếu trong đời sống xã hội, là công cụ để
điều hành, quản lý, chỉ đạo của mỗi quốc gia, là phương tiện hữu hiệu để mở rộng giao
lưu hiểu biết giữa các quốc gia, dân tộc, là nguồn cung cấp tri thức mọi mặt cho công
chúng và là nguồn lực phát triển kinh tế - xã hội. Thiếu thông tin, sẽ gặp khó khăn
trong việc đưa ra các quyết định hoặc các quyết định sẽ bị sai lệch, thiếu cơ sở khoa
học, không thực tiễn và trở nên kém hiệu quả. Thành công hay thất bại của một quốc
gia tuỳ thuộc rất lớn vào khả năng làm chủ, chiếm được lợi thế thông tin. Trên thực tế,
thông tin đã từng được coi là yếu tố quyết định sự thành bại của một tổ chức. Thông
tin ngày càng khẳng định là phương tiện thiết yếu của đời sống xã hội.
Ngày nay với sự phát triển mang tính toàn cầu của Internet và TMĐT đã tạo ra
những cơ hội lớn cho các doanh nghiệp. Bên cạnh đó những nguy cơ, rủi ro cũng dần
xuất hiện và ảnh hưởng trực tiếp tới nền kinh tế và xã hội hiện đại. Sự phát triển nhanh
chóng của các thiết bị kỹ thuật, phương tiện truyền tin và mạng internet dẫn đến các dữ
liệu số hiện nay được sao chép, truyền tải và phổ biến dễ dàng, nhanh chóng, tức thời.
Cùng với sự tiện nghi đó đã xuất hiện rất nhiều vấn đề đáng quan tâm, nhất là việc
BMTT, an toàn mạng ngày càng trở nên cấp bách hơn. Các thông tin cần bảo mật có
thể dùng phương pháp mã hóa, song khi sử dụng gặp nhiều khó khăn, phức tạp cho
việc lưu giữ, truyền tải, giải mã, tốn nhiều thời gian, công sức...
Những ẩn họa khách quan trong bối cảnh cơ sở hạ tầng Việt Nam, ngoài việc
đối mặt với nguy cơ mất dữ liệu từ tin tặc, vẫn còn trong giai đoạn đang hoàn thiện.
Đây chính là những thách thức cho bộ phận IT của các doanh nghiệp. Các vấn đề về
truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống, vấn đề về an toàn
trong giao dịch điện tử, an toàn về cơ sở dữ liệu hệ thống... đã trở thành mối lo ngại
cho các nhà quản lý điều hành ở mọi cấp ở bất kỳ quốc gia nào, từ cấp độ cao nhất đến
các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề ATBMTT trở thành
nhu cầu cấp thiết của mọi tầng lớp trong xã hội.
Đối với các doanh nghiệp việc đảm bảo ATBMTT luôn được đăt lên hàng đầu,
là vấn đề mang ý nghĩa sống còn với hoạt động kinh doanh của doanh nghiệp. Đảm
bảo được ATBMTT sẽ giúp doanh nghiệp tiết kiệm được chi phí, thời gian, tránh được
sự cạnh tranh không lành mạnh của đối thủ cạnh tranh hay sự phá hoại của đối tượng
bên ngoài. Nếu ATBMTT không được quan tâm đúng, khi xảy ra vấn đề liên quan lúc
đó trách nhiệm sẽ là rất lớn, doanh nghiệp sẽ bị ảnh hưởng, có thể dẫn tới phá sản hay
chịu trách nhiệm trước pháp luật...
Để hiểu rõ về an ATBMTT, em đã lựa chọn Công ty TNHH Dịch vụ ERP FPTCông ty TNHH Hệ thống Thông tin FPT để tìm hiểu, đi sâu nghiên cứu các vấn đề cần
quan tâm trong ATBMTT. Qua quá trình tìm hiểu, nghiên cứu tại công ty, em đã lựa
1
chọn đề tài “ Một số giải pháp nâng cao tính ATBMTT cho công ty TNHH Dịch vụ
ERP FPT- Công ty TNHH Hệ thống Thông tin FPT” để làm đề tài khóa luận của mình,
nhằm giải đáp những vấn đề quan tâm.
1.2. Tổng quan đề tài nghiên cứu.
Qua một thời gian tìm hiểu, nhận thấy việc các doanh nghiệp hiện nay ứng dụng
các phương thức bảo mật hệ thống thông tin ngày càng trở nên rộng rãi. Trước tình
hình trên trong nước đã có những đề tài nghiên cứu về ATBMTT ở doanh nghiệp. Các
đề tài thường ở mức là các bài luận văn cho tới các bài nghiên cứu khoa học. Đặc điểm
chung của các đề tài này là đi sâu vào các khái niệm và tìm phương hướng bảo mật
cho doanh nghiệp. Sau đây là một số đề tài mà em đã tìm hiểu…
Trong 3 - 5 năm trở lại đây thì cũng có khá nhiều các đề tài nghiên cứu, sách,
đề tài khoa học, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội thảo khoa học..
về vấn đề an toàn thông tin, dữ liệu và bảo mật. Tuy nhiên lượng giáo trình về vấn đề
này còn khá ít, hầu hết là sách nước ngoài. Ở Việt Nam có thể kể tới:
Giáo trình “An toàn dữ liệu”- Bộ môn CNTT, Đại học Thương Mại, 2007.
Trong giáo trình, tác giả đã cung cấp những kiến thức cơ bản về an toàn dữ liệu và sự
cần thiết của việc đảm bảo an toàn dữ liệu. Cung cấp thông tin về các nguy cơ tấn
công dữ liệu và phương pháp đảm bảo an toàn cho hệ thống dữ liệu. Bên cạnh đó giới
thiệu một số ứng dụng của an toàn dữ liệu trong TMĐT.
Giáo trình “ Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia Hà Nội,
Phan Đình Diệu, 1999. Nội dung chính là khái quát chung về lý thuyết mật mã, các
công cụ toán học có liên quan đến việc đảm bảo ATTT. Hệ mật khoá đối xứng, hệ mật
khoá công khai; DES; Hệ Balô, hệ RSA và một số hệ khoá công khai khác; Chữ ký
điện tử, ứng dụng và thực hành..
Một số đề tài nghiên cứu xây dựng hệ thống lưu trữ và quản lý tài liệu. Nghiên
cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao. Sử dụng cho mục đích xây
dựng các dịch vụ lưu trữ, tìm kiếm hồ sơ, tài liệu cho các tổ chức hoặc cá nhân thông
qua Internet.. Các luận văn nghiên cứu về mật mã và các vấn đề ATTT trên cơ sở
nghiên cứu các phương pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử
dụng khoá công khai. Các tính chất của chữ ký số trong việc bảo đảm ATBMTT. Sử
dụng thuật toán mã hoá RSA và thuật toán băm MD5 để xây dựng ứng dụng chữ ký số
tích hợp trên MSWORD.
Đề tài nghiên cứu khoa học “ Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học
Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và
nghiên cứu công nghệ IDS cứng và mềm.
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện
tử”, Vũ Anh Tuấn, Khoa CNTT, Đại học Thái Nguyên. Luận văn đã đưa ra được một
2
số công cụ và phương pháp nhằm đảm bảo ATBMTT trong TMĐT như: mã hóa, chữ
ký số….Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo
ATBMTT trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATBMTT nói
chung và đi sâu vào một doanh nghiệp cụ thể.
Đề tài “Tìm hiểu thực trạng bảo mật và an toàn mạng tại Việt Nam giai đoạn
2006- 2009, Đại học An Giang, “Tìm hiểu vấn đề bảo mật mạng Lan” của Nguyễn Thị
Thúy, ĐHDL Hải Phòng, “Bảo mật cho mạng máy tính và các ứng dụng Web” của Đỗ
Trường Thọ, Đại học Bách Khoa Hà Nội, “Bảo mật dữ liệu trong mạng Wimax” của
Đan Hồng Sơn.
Luận văn “Nghiên cứu bảo mật Web Services” của Nguyễn Thị Thanh Thủy,
Đại học Công nghệ- ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn
Trọng Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ
liệu điện tử” của Đào Thọ Thu Hường. Ngoài ra còn có luận văn “Tìm hiểu an toàn và
bảo mật trên mạng”.
Các luận văn này đã đem đến cho người đọc những hiểu biết nhất định về an
toàn và bảo mật thông tin, đưa ra những nguyên nhân chủ quan cũng như khách quan
dẫn đến việc rò rỉ thông tin trong doanh nghiệp. Qua đó giúp doanh nghiệp hiểu rõ hơn
về hệ thống thông tin của mình và đưa ra những giải pháp khắc phục. Tuy nhiên, khoa
học công nghệ nói chung và CNTT nói riêng luôn có những bước phát triển từng phút,
từng giây. Nhờ đó trình độ con người cũng được nâng cao, nhu cầu của doanh nghiệp
cũng lớn hơn rất nhiều. Chính vì thế, những giải pháp này dường như chưa thể đầy đủ
và đáp ứng được yêu cầu bảo mật hiện nay. Hơn nữa, kết quả của những tài liệu kể
trên kết chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào
ứng dụng tại một cơ quan hay tổ chức cụ thể nào.
1.3. Mục tiêu nghiên cứu của đề tài.
Với mục tiêu nghiên cứu là đưa ra những giải pháp để hoàn thiện hệ thống
thông tin tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin
FPT. Mục tiêu cụ thể là:
Khảo sát và đánh giá thực trạng về việc đảm bảo ATBMTT tại Công ty
TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Đề xuất giải pháp hoàn thiện và nâng cao ATBMTT tại Công ty TNHH
Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT nhằm nâng cao năng lực
hoạt động của Công ty, tăng niềm tin của khách hàng đối với Công ty, từ đó nâng cao
vị thế cạnh tranh trên thị trường.
1.4. Phương pháp thực hiện đề tài.
Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số phương
pháp đã được sử dụng như sau:
3
Thu thập và phân tích số liệu thứ cấp ở Công ty TNHH Dịch vụ ERP
FPT - Công ty TNHH Hệ thống Thông tin FPT, thông qua các số liệu, báo cáo, kết quả
kinh doanh của Công ty.
Phỏng vấn trực tiếp các nhà quản lý và nhân viên về tình hình ATTT
trong Công ty.
Điều tra gián tiếp thông qua mẫu phiếu điều tra gửi tới các phòng ban
trong Công ty. Tiến hành khảo sát với 5 phiếu điều tra và câu hỏi phỏng vấn.
Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo ATBMTT cho
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
1.5.
Đối tượng và phạm vi nghiên cứu của đề tài.
Đối tượng nghiên cứu.
ATBMTT trong doanh nghiệp và tất cả các yếu tố có liên quan đến HTTT của
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, mà cụ
thể là: quy trình thu thập và xử lý thông tin, hệ thống phần cứng, phần mềm, hệ thống
mạng, cơ sở dữ liệu, nguồn nhân lực về HTTT.
Phạm vi nghiên cứu.
Phạm vi về không gian: Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ
thống Thông tin FPT.
Phạm vi về thời gian: Để có thể đánh giá về vấn đề đảm bảo ATBMTT trong
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, quá
trình nghiên cứu sẽ được thực hiện dựa trên số liệu về tình hình ATBMTT của Công ty
trong ba năm gần đây(từ 2010 đến 2012).
1.6. Kết cấu của khóa luận.
Ngoài các mục lời cảm ơn, mục lục, danh mục bảng biểu, hình vẽ,tài liệu tham
khảo và phụ lục. Cấu trúc khóa luận gồm 3 chương, cụ thể:
Chương I: Tổng quan đề tài nghiên cứu.
Chương II: Cơ sở lý luận và thực trạng của ATBMTT tại Công ty TNHH Dịch
vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Chương III: Một số giải pháp nâng cao tính ATBMTT tại Công ty TNHH Dịch
vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Chương 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG
TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN
FPT.
2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP.
4
2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT.
2.1.1.1.
Thông tin trong doanh nghiệp.
Khái niệm thông tin.
Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến
thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong
những nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái
niệm cơ bản, chung của nhiều khoa học. Để đưa ra được khái niệm về thông tin, trước
hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng
trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử
dụng. [4]
“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân
tích, tổng hợp,….), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin
là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng”. [3]
Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối
quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.
Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được
liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.
Đối tượng khai thác và sử dụng thông tin.
Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết
định. Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các
quyết định của bản thân mình. Vì vậy, mọi thành viên trong xã hội con người cần khai
thác và sử dụng thông tin để phục vụ cho cuộc sống của mình.
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của cá nhân và đơn vị mình. Trước đây người ta hiểu rằng thông tin chỉ nhằm để
phục vụ cho các công việc quản lý điều hành của người lãnh đạo. Gần đây người ta
nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyết
định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động
tác nghiệp, thông tin cần được sử dụng bởi các nhân viên; trong hoạt động quản lý,
điều hành, thông tin cần được sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp.
Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp
cao trong việc đề ra các quyết định về chiến lược hoạt động của tổ chức. [5]
Vai trò của thông tin.
Trong cuộc sống con người, mọi hoạt động đều không thể thiếu vai trò của
thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định một công việc.
Chúng ta thống nhất với nhau một quan điểm rằng: Vai trò của thông tin trong đời
5
sống xã hội là vô cùng quan trọng, nó thúc đẩy tiến trình phát triển của mọi lĩnh vực.
Nhờ có thông tin mà người lãnh đạo có thể đưa ra những quyết định kinh doanh đúng
đắn và mang tính sống còn. Một đất nước văn minh thì nhất định công nghệ thông tin
cũng phát triển hiện đại. Xã hội càng phát triển thì vai trò của thông tin càng trở nên
quan trọng, là yếu tố hàng đầu làm nên sức cạnh tranh kinh tế, chính trị và văn hóa của
một quốc gia. Thông tin là sức mạnh, là tiền bạc vì nó có một vị thế tiên phong trong
bối cảnh cạnh tranh toàn cầu hiện nay.
Trong việc kinh doanh, chính mảng thông tin sẽ tạo ra nhiều lợi nhuận nhất cho
các doanh nghiệp, vì nó cung cấp một cổng vào ngay lập tức cho khách hàng hay cho
các đối tác tiềm năng. Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh
nghiệp trong nền kinh tế thị trường. Có thể nói rằng, doanh nghiệp cần thông tin như
cá cần nước. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng
đó là sẽ mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh
chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh
doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có
các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro. [7]
2.1.1.2.
Đảm bảo ATBMTT trong doanh nghiệp.
ATBMTT có vai trò quan trọng đối với sự phát triển bền vững của các doanh
nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một
HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một
môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu
chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo
điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ
tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất
thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất
của doanh nghiệp. Do vậy, đảm bảo ATBMTT doanh nghiệp cũng có thể coi là một
hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải
vấn đề riêng của người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức
doanh nghiệp.
An toàn thông tin( ATTT).
Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và bên bán theo
hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo. Ngày nay thì việc giao
dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng. Bên mua và bên bán
không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng như
tài sản. Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên
6
thứ ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo
để lừa đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh
toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do
thông tin bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta
cần tìm hiểu thế nào là ATTT?
Một HTTT được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa
đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. ATTT là quá trình
đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các
nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật
lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật
lí, can thiệp có chủ ý…[1]
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến
cho chủ sở hữu. ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu
của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa
đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng. Đồng
thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng. [1]
Trên thực tế không thể đảm bảo an toàn 100%, nhưng có thể giảm bớt các rủi ro
không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội
. Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện
pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ
thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls
và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức.
ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người.
Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như:
trình duyệt Internet và phần mềm nhận Email từ máy trạm.
Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với
thông tin và sử dụng máy tính trong công việc của mình. [6]
Theo ISO 17799, ATTT là khả năng bảo vệ đối với môi trường thông tin kinh tế
xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân,
mọi tổ chức và của quốc gia. Thông qua các chính sách về ATTT, lãnh đạo thể hiện ý
chí và năng lực của mình trong việc quản lý HTTT. ATTT được xây dựng trên nền
tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm
mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài
nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàn
7
cầu. Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT phải bắt
đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất.
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin .
Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các
điểm yếu của HTTT và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra. Việc
nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây
ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong
các chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện
chặt chẽ. Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ,
quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm
nhập và tấn công.[4]
Bảo mật thông tin( BMTT)
Thông tin là một loại tài sản cũng giống như các tài sản khác của một doanh
nghiệp. Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì vậy
thông tin cần phải được bảo vệ thích hợp. Bảo vệ thông tin khỏi sự “mất cắp” cũng
chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp. Đảm bảo cho
doanh nghiệp tối thiểu hóa được các thiệt hại khi có rủi ro xẩy ra, đồng thời tối đa
được các lợi nhuận thu được từ các hoạt động kinh doanh. Thông tin trung thực, tin
cậy và sẵn sàn là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu
lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp.
BMTT là ngăn chặn, phát hiện và xác định những tiếp cận thông tin trái phép.
Nói chung, BMTT là bảo vệ thông tin trong các môi trường cần bảo mật cao, ví dụ như
các trung tâm quân sự hoặc kinh tế quan trọng.
BMTT là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin. [1]
Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người
được cấp quyền tương ứng. Bí mật là yếu tố quan trọng nhất để đảm bảo trong các môi
trường, cả quân sự lẫn thương mại.
Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông
tin chỉ được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có
thể truy xuất thông tin khi họ cần.
BMTT chỉ mang lại lợi ích thiết thực khi chúng ta xây dựng một qui trình kiểm
soát chặc chẽ và hoàn chỉnh bao gồm các chính sách , các thủ tục, cơ cấu tổ chức….
Các qui trình này phải được xây dựng đáp ứng được nhu cầu bảo mật cho từng đối
tượng cụ thể.
8
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được
đảm bảo theo đúng tiêu chí trong một thời gian xác định. [1]
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống
mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất
an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI sự an toàn của HTTT được thực
hiện chủ yếu ở các tâng dưới, còn việc bảo mật nội dung thông tin được thực hiện ở
các tầng trên. [6]
2.1.2. Một số lý thuyết liên quan.
2.1.2.1.
Các rủi ro mất ATBMTT trong doanh nghiệp.
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT
cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta
đang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm
2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật
nước ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên
gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn
công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện
tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế
nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền
kinh tế.
Xét theo nguyên nhân, có thể chia nguy cơ mất ATBMTT thành 2 loại:
Nguy cơ ngẫu nhiên( nguyên nhân khách quan).
Nguy cơ mất ATBMTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách
quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện, hạ tầng năng
lượng, truyền thông…Đây là những nguyên khách quan, khó dự đoán trước, khó tránh
được nhưng đó lại không phải là nguy cơ chính của việc mất ATBMTT.
Nguy cơ có chủ định( nguyên nhân chủ quan).
Nguy cơ mất ATBMTT có chủ định xuất phát từ tin tặc, cá nhân bên ngoài, phá
hỏng vật lý, can thiệp có chủ ý.
Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực
tế, vấn đề ATBMTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất
phát từ chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy
chủ, HTTT,..); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong
quy trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo
đức nghề nghiệp). [1]
Tấn công vào HTTT là hình thức làm hỏng hóc, thay đổi, sao chép, xóa bỏ hay
can thiệp vào hoạt động HTTT. Có ba kịch bản tấn công điển hình: thu thập thông tin,
9
khai thác lỗ hổng, tấn công từ chối dịch vụ. Xét theo cách thức thì có tấn công chủ
động và bị động. Xét theo tài nguyên có tấn công do yếu tố con người và công nghệ.
Xét theo hệ thống có tấn công máy đầu cuối, tấn công đường truyền và tấn công máy
chủ. Xét theo hình thức có tấn công vật lý và tấn công phần mềm. [1]
Ở đây ta xét đến hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có
thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép, vi phạm tính
toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra. Thông thường kẻ tấn công sẽ sử dụng các thiết bị phần cứng như
thiết bị bắt sóng Wifi để tóm những gói tin được truyền trong vùng phủ sóng hay sử
dụng các chương trình phần mềm packet sniff nhằm bắt các gói tin. Các kiểu tấn công
của thường gặp là nghe trộm đường truyền và phân tích lưu lượng. Nghe trộm đường
truyền là hình thức hay dùng trong do thám, kẻ nghe lén bằng cách nào đó xen ngang
quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra những
thông tin quan trọng. Phân tích lưu lượng là dựa vào sự thay đổi lưu lượng của luồng
thông tin truyền trên mạng nhằm xác định được một số thông tin có ích.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi
thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập
máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu
thập dữ liệu của người dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí
nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để
lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn
nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông
người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự
cả tin của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao,
lên đến 3% (theo một báo cáo của Computer World). Hình thức phổ biến nhất của tấn
công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các
10
thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức
của người dùng.
Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp
vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là
có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay
đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được. Tấn công chủ
động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn
công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt
nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo
hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu
nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ
chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình
không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc"
sang các website lừa đảo.
Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan để ăn cắp dữ liệu,
lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục
đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng.
2.1.2.2.
Yêu cầu của đảm bảo ATBMTT doanh nghiệp.
Các yêu cầu của ATTT hệ thống:
Tính bí mật( Security): đảm bảo dữ liệu của người sử dụng luôn được
bảo vệ, không bị xâm phạm bởi những người không được phép.
Tính toàn vẹn( Integrity): dữ liệu không bị tạo ra, sửa đổi hay xóa bỏ bởi
những người không sở hữu.
Tính sẵn sàng( Availability): dữ liệu phải luôn trong trạng thái sẵn sang.
Tính tin cậy( Confidentiality): thông tin người dùng nhận được là đúng.
Doanh nghiệp phải đảm bảo các yếu tố của mô hình C-I-A ( Confidentiality,
Intergrity, Availability). Xây dựng trung tâm dự phòng thông tin trong tổng thể an
ninh hệ thống phần nào đảm bảo tính liên tục( Availability). [1]
Các yêu cầu của hệ thống đảm bảo ATBMTT cho doanh nghiệp.
Yêu cầu về các thiết bị phần cứng.
11
Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy
tính như là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi
xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ
DVD, ...Dựa trên chức năng và cách thức hoạt động người ta còn phân biệt phần cứng
ra thành thiết bị nhập (Input), thiết bị xuất (Output), thiết bị xử lý (Processing Device)
và thiết bị lưu trữ (Storage Device). Ngoài yêu cầu các thiết bị phần cứng cơ bản như
máy tính, máy in, máy fax, thiết bị và đường truyền mạng phải hoạt động tốt, ổn định
thì doanh nghiệp nên sử dụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng
Firebox X(WatchGuard), thiết bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện
tử chuyên dụng của hãng O2Micro’s SifoML,…..[6]
Yêu cầu về phần mềm.
Phần mềm (tiếng Việt còn được gọi là nhu liệu; tiếng Anh: software) là một tập
hợp những câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tự
xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào
đó. Theo phương thức hoạt động, phần mềm được chia thành hai loại là phần mềm hệ
thống và phần mểm ứng dụng.
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần
không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATBMTT, các phần
mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các
phần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất
nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật.
Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc
cài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phần
mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã
hóa dữ liệu, phần mềm chống thư rác….[6]
Yêu cầu về mạng.
Hệ thống mạng là một tập hợp các thiết bị và hệ thống đầu cuối được kết nối
với nhau sao cho chúng có thể giao tiếp (chia sẻ dữ liệu, tài nguyên) được với nhau.
Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây dựng các
mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hay Kerberos.
Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế
sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trường mạng
Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của
HTTT, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ
không cần thiết. Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu
nhằm tăng cường công tác bảo mật. [6]
Yêu cầu về CSDL.
12
CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng. Bất kỳ
người sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có
quyền truy nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay
tương tác mà không phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên
đó. Thiết lập và cấu hình CSDL an toàn, luôn cập nhật bản vá lỗi mới nhất cho hệ quản
trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ
liệu. Gỡ bỏ các CSDL không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu hóa quá
trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nội
dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,...Thường xuyên kiểm tra, giám
sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh
mục, thư mục cho từng phòng/đơn vị trực thuộc. [6]
Con người.
Đối với một hệ thống đảm bảo ATBMTT doanh nghiệp, con người luôn có vai
trò rất quan trọng. Có thể coi con người như là não bộ của hệ thống, điều hành mọi
hoạt động của hệ thống. Một hệ thống được xây dựng nhằm mục đích đảm bảo
ATBMTT, dù cho các thành phần cơ bản trên có được đầu tư nhiều đến đâu mà yếu tố
con người không đáp ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể
phát huy được tính năng và hiệu quả của nó.
Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm
thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu
ra mong muốn.
Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về
ATBMTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm
bảo an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp
vụ cho đội ngũ cán bộ ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng
máy tính về phòng, chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet. [6]
2.1.2.3.
Quy trình chung đảm bảo ATBM hệ thống.
Bước 1: thành lập bộ phận chuyên trách về vấn đề ATBM.
Bước 2: thu thập thông tin.
Bước 3: thẩm định tính rủi ro của HTTT.
Bước 4: xây dựng giải pháp bảo đảm an toàn cho hệ thống.
Bước 5: thực hiện và giáo dục.
Bước 6: kiểm tra, phân tích và thực hiện.
2.1.3. Phân định nội dung nghiên cứu.
Với đề tài: “Một số giải pháp nâng cao tính an toàn và bảo mật thộng tin cho
Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT”, mục
tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATBMTT, thực trạng và giải pháp nâng
13
cao ATBMTTT cho Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT.
Căn cứ vào tên và những mục tiêu của đề tài, trong phần 3 định hướng và đề
xuất giải pháp em sẽ tập trung vào những giải pháp cho phần cứng và phần mềm cho
Công ty.
2.1.3.1.
Các phương pháp phòng tránh và khắc phục.
Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ
thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Để phòng tránh nguy cơ mất ATBMTT, trước hết, doanh nghiệp cần bố trí nhân
lực để tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT
và ngăn chặn, khắc phục kịp thời các sự cố ATBMTT trên mạng máy tính. Đặc biệt,
cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn
cho các HTTT, lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ
ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng,
chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo
ATBMTT, chống virus và mã độc hại cho các HTTT và máy tính cá nhân có kết nối
mạng Internet. [1]
Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật
nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi
máy chủ, máy trạm. Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi
lưu tập trung biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục
sự cố mạng. [1]
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng
lên bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác
thường,.... cần thực hiện các bước cơ bản sau:
Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng.
Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu
trữ (phục vụ cho công tác phân tích).
Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất
để hệ thống hoạt động.
Các phương pháp đảm bảo ATBMTT.
Các phương pháp đảm bảo ATBMTT có thể được quy tụ vào 3 nhóm sau:
Bảo vệ ATBMTT bằng các biện pháp hành chính
Bảo vệ ATBMTT bằng các biện pháp kỹ thuật( phần cứng)
Bảo vệ ATBMTT bằng các thuật toán( phần mềm)
14
- Xem thêm -