LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận đƣợc
sự hƣớng dẫn nhiệt tình của giáo viên hƣớng dẫn ThS. Hàn Minh Phƣơng cùng sự
nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty TNHH Dịch vụ
ERP FPT- công ty TNHH Hệ thống Thông tin FPT. Qua đây, em xin chân thành cảm
ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế - Trƣờng Đại học Thƣơng
Mại đã tận tình giảng dạy và trang bị cho em những kiến thức nền tảng, những kinh
nghiệm quý báu trong cuộc sống, giúp em đủ tự tin để khẳng định mình trong công
việc và cuộc sống sau này. Và đặc biệt, em xin chân thành cảm ơn cô ThS. Hàn Minh
Phƣơng - ngƣời đã tận tình hƣớng dẫn, chỉ bảo và giúp đỡ em hoàn thành khóa luận tốt
nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban Giám đốc và toàn
thể nhân viên Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin
FPT, đặc biệt ông Mai Công Nguyên- Tổng Giám đốc của Công ty đã tiếp nhận và tạo
cho em môi trƣờng làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát
chung về Công ty và hoàn thành đƣợc bài khóa luận tốt nghiệp của mình.
Tuy nhiên, do điều kiện thời gian có hạn, cũng nhƣ kiến thức còn hạn chế nên
trong Khóa luận tốt nghiệp này của vẫn còn nhiều hạn chế, thiếu sót. Vì vậy, em kính
mong nhận đƣợc những ý kiến đóng góp, chỉ bảo của các thầy cô.
Em xin chân thành cảm ơn!
Sinh viên
Hà Thùy Trang
i
MỤC LỤC
LỜI CẢM ƠN ...................................................................................................................i
MỤC LỤC ...................................................................................................................... ii
DANH MỤC BẢNG BIỂU ............................................................................................iv
DANH MỤC SƠ ĐỒ .......................................................................................................v
DANH MỤC TỪ VIẾT TẮT .........................................................................................vi
Chƣơng 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU .......................................................1
1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu..........................................1
1.2. Tổng quan đề tài nghiên cứu...................................................................................2
1.3. Mục tiêu nghiên cứu của đề tài. ..............................................................................3
1.4. Phƣơng pháp thực hiện đề tài. ................................................................................4
1.5. Đối tƣợng và phạm vi nghiên cứu của đề tài. ......................................................... 4
1.6. Kết cấu của khóa luận............................................................................................. 4
Chƣơng 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG TY TNHH
DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT. ...................5
2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP. ..........................................5
2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT........................................................... 5
2.1.1.1. Thông tin trong doanh nghiệp. ...........................................................................5
2.1.1.2. Đảm bảo ATBMTT trong doanh nghiệp. ........................................................... 6
2.1.2. Một số lý thuyết liên quan. .................................................................................9
2.1.2.1. Các rủi ro mất ATBMTT trong doanh nghiệp. ..................................................9
2.1.2.2. Yêu cầu của đảm bảo ATBMTT doanh nghiệp. ..............................................11
2.1.2.3. Quy trình chung đảm bảo ATBM hệ thống......................................................14
2.1.3. Phân định nội dung nghiên cứu. .......................................................................14
2.1.3.1. Các phƣơng pháp phòng tránh và khắc phục. ..................................................14
2.1.3.2. Một số công nghệ sử dụng nhằm phòng tránh và khắc phục rủi ro mất ATTT
trong doanh nghiệp. .......................................................................................................15
2.2. THỰC TRẠNG VỀ VẤN ĐỀ ATBMTT TRONG CÔNG TY TNHH DỊCH VỤ
ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT. ...................................19
2.2.1. Giới thiệu về Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT. ...............................................................................................................19
2.2.1.1. Giới thiệu chung. .............................................................................................. 19
2.2.1.2. Sứ mệnh. ...........................................................................................................20
2.2.1.3. Chiến lƣợc. .......................................................................................................20
2.2.1.4. Lịch sử hình thành và phát triển. ......................................................................21
2.2.1.5. Cơ cấu tổ chức của FIS. ...................................................................................22
ii
2.2.1.6. Giá trị cốt lõi và một số thành tích đã đạt đƣợc. ..............................................23
2.2.1.7. Lĩnh vực hoạt động của Công ty. .....................................................................24
2.2.1.8. Sản phẩm- dịch vụ của Công ty........................................................................25
2.2.2. Thực trạng về vấn đề ATBMTT của Công ty. .................................................26
2.2.2.1. Khái quát về vấn đề xử lý lƣu trữ thông tin trong Công ty. ............................. 26
2.2.2.2. Kết quả phân tích và xử lý dữ liệu điều tra. .....................................................28
2.2.3. Đánh giá thực trạng đảm bảo ATBMTT tại Công ty TNHH Dịch vụ ERP FPTCông ty TNHH Hệ thống Thông tin FPT. .....................................................................35
Chƣơng 3: NGHIÊN CỨU VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NÂNG CAO
ATBMTT CHO CÔNG TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ
THỐNG THÔNG TIN FPT........................................................................................... 37
3.1. Định hƣớng của Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT về việc đảm bảo ATBMTT. ..................................................................37
3.2. Đề xuất giải pháp đảm bảo ATBMTT cho Công ty. ............................................37
3.2.1. Thiết bị phần cứng. ........................................................................................... 37
3.2.2. Phần mềm. ........................................................................................................39
3.2.2.1. Phần mềm bảo mật. .......................................................................................... 39
3.2.2.2. Phần mềm mã hóa. ........................................................................................... 39
3.2.3. Hệ thống mạng. ................................................................................................ 40
3.2.4. Cơ sở dữ liệu. ...................................................................................................41
3.2.5. Đào tạo nhân lực. .............................................................................................. 43
3.3. Một số kiến nghị. ..................................................................................................43
KẾT LUẬN ...................................................................................................................45
TÀI LIỆU THAM KHẢO ............................................................................................. 46
PHỤ LỤC 1 ...................................................................................................................47
PHỤ LỤC 2 ...................................................................................................................50
iii
DANH MỤC BẢNG BIỂU
Biểu đồ 2.2. Những sự cố hay gặp về ATBMTT ............................................................ 29
Biểu đồ 2.3. Cách thức đảm bảo ATBMTT được sử dụng ...........................................29
Biểu đồ 2.4. Cách thức bảo vệ CSDL trong Công ty ...................................................30
Biểu đồ 2.5. Tần suất sao lưu dữ liệu ...........................................................................30
Biểu đồ 2.6. Trình độ hiểu biết của nhân viên về HTTT và ATBMTT ......................... 31
Biểu đồ 2.7. Mức độ trang bị thiết bị phần cứng bảo mật ...........................................31
Biểu đồ 2.8. Nhận thức về tầm quan trọng của ATBMTT.............................................32
Biểu đồ 2.10. Trở ngại khi xây dựng và phát triển ATBMTT của Công ty ..................33
iv
DANH MỤC SƠ ĐỒ
Sơ đồ 2.1. Cơ cấu tổ chức của FIS. ...............................................................................22
v
DANH MỤC TỪ VIẾT TẮT
Danh mục từ viết tắt Tiếng Việt
STT
Từ viết tắt
Nghĩa đầy đủ
1
CNTT
Công nghệ thông tin
2
TMĐT
Thƣơng mại điện tử
3
HTTT
Hệ thống thông tin
4
CSDL
Cơ sở dữ liệu
5
TNHH
Trách nhiệm hữu hạn
6
ATTT
An toàn thông tin
7
BMTT
Bảo mật thông tin
8
ATBMTT
An toàn bảo mật thông tin
9
ATDL
An toàn dữ liệu
10
HTTT
Hệ thống thông tin
Danh mục từ viết tắt Tiếng Anh
STT
Từ viết tắt
Từ đầy đủ
Nghĩa Tiếng Việt
1
SET
Secure Electronic Transaction
An toàn giao dịch điện tử
2
SSL
Secure Sockets Layer
Lớp ổ cắm an toàn
3
TLS
Transport Layer Security
An ninh tầng giao vận
4
ERP
Enterprise Resource Planning
5
SAP
Service Advertising Protocol
6
ITO
7
BPO
International Trade
Organization
Business process outsourcing
vi
Hoạch định khai thác nguồn tài
nguyên
Giải pháp dành cho doanh nghiệp
Tổ chức mậu dịch quốc tế
Kinh doanh quá trình gia công phần
mềm
Chương 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU
1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu.
Thông tin đƣợc coi là một nhu cầu thiết yếu trong đời sống xã hội, là công cụ để
điều hành, quản lý, chỉ đạo của mỗi quốc gia, là phƣơng tiện hữu hiệu để mở rộng giao
lƣu hiểu biết giữa các quốc gia, dân tộc, là nguồn cung cấp tri thức mọi mặt cho công
chúng và là nguồn lực phát triển kinh tế - xã hội. Thiếu thông tin, sẽ gặp khó khăn
trong việc đƣa ra các quyết định hoặc các quyết định sẽ bị sai lệch, thiếu cơ sở khoa
học, không thực tiễn và trở nên kém hiệu quả. Thành công hay thất bại của một quốc
gia tuỳ thuộc rất lớn vào khả năng làm chủ, chiếm đƣợc lợi thế thông tin. Trên thực tế,
thông tin đã từng đƣợc coi là yếu tố quyết định sự thành bại của một tổ chức. Thông
tin ngày càng khẳng định là phƣơng tiện thiết yếu của đời sống xã hội.
Ngày nay với sự phát triển mang tính toàn cầu của Internet và TMĐT đã tạo ra
những cơ hội lớn cho các doanh nghiệp. Bên cạnh đó những nguy cơ, rủi ro cũng dần
xuất hiện và ảnh hƣởng trực tiếp tới nền kinh tế và xã hội hiện đại. Sự phát triển nhanh
chóng của các thiết bị kỹ thuật, phƣơng tiện truyền tin và mạng internet dẫn đến các dữ
liệu số hiện nay đƣợc sao chép, truyền tải và phổ biến dễ dàng, nhanh chóng, tức thời.
Cùng với sự tiện nghi đó đã xuất hiện rất nhiều vấn đề đáng quan tâm, nhất là việc
BMTT, an toàn mạng ngày càng trở nên cấp bách hơn. Các thông tin cần bảo mật có
thể dùng phƣơng pháp mã hóa, song khi sử dụng gặp nhiều khó khăn, phức tạp cho
việc lƣu giữ, truyền tải, giải mã, tốn nhiều thời gian, công sức...
Những ẩn họa khách quan trong bối cảnh cơ sở hạ tầng Việt Nam, ngoài việc
đối mặt với nguy cơ mất dữ liệu từ tin tặc, vẫn còn trong giai đoạn đang hoàn thiện.
Đây chính là những thách thức cho bộ phận IT của các doanh nghiệp. Các vấn đề về
truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống, vấn đề về an toàn
trong giao dịch điện tử, an toàn về cơ sở dữ liệu hệ thống... đã trở thành mối lo ngại
cho các nhà quản lýđiều hành ở mọi cấp ở bất kỳ quốc gia nào, từ cấp độ cao nhất đến
các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề ATBMTT trở thành
nhu cầu cấp thiết của mọi tầng lớp trong xã hội.
Đối với các doanh nghiệp việc đảm bảo ATBMTT luôn đƣợc đăt lên hàng đầu,
là vấn đề mang ý nghĩa sống còn với hoạt động kinh doanh của doanh nghiệp. Đảm
bảo đƣợc ATBMTT sẽ giúp doanh nghiệp tiết kiệm đƣợc chi phí, thời gian, tránh đƣợc
sự cạnh tranh không lành mạnh của đối thủ cạnh tranh hay sự phá hoại của đối tƣợng
bên ngoài. Nếu ATBMTT không đƣợc quan tâm đúng, khi xảy ra vấn đề liên quan lúc
đó trách nhiệm sẽ là rất lớn, doanh nghiệp sẽ bị ảnh hƣởng, có thể dẫn tới phá sản hay
chịu trách nhiệm trƣớc pháp luật...
Để hiểu rõ về an ATBMTT, em đã lựa chọn Công ty TNHH Dịch vụ ERP FPTCông ty TNHH Hệ thống Thông tin FPT để tìm hiểu, đi sâu nghiên cứu các vấn đề cần
1
quan tâm trong ATBMTT. Qua quá trình tìm hiểu, nghiên cứu tại công ty, em đã lựa
chọn đề tài “ Một số giải pháp nâng cao tính ATBMTT cho công ty TNHH Dịch vụ
ERP FPT- Công ty TNHH Hệ thống Thông tin FPT” để làm đề tài khóa luận của mình,
nhằm giải đáp những vấn đề quan tâm.
1.2. Tổng quan đề tài nghiên cứu.
Qua một thời gian tìm hiểu, nhận thấy việc các doanh nghiệp hiện nay ứng dụng
các phƣơng thức bảo mật hệ thống thông tin ngày càng trở nên rộng rãi. Trƣớc tình
hình trên trong nƣớc đã có những đề tài nghiên cứu về ATBMTT ở doanh nghiệp. Các
đề tài thƣờng ở mức là các bài luận văn cho tới các bài nghiên cứu khoa học. Đặc điểm
chung của các đề tài này là đi sâu vào các khái niệm và tìm phƣơng hƣớng bảo mật
cho doanh nghiệp. Sau đây là một số đề tài mà em đã tìm hiểu…
Trong 3 - 5 năm trở lại đây thì cũng có khá nhiều các đề tài nghiên cứu, sách,
đề tài khoa học, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội thảo khoa học..
về vấn đề an toàn thông tin, dữ liệu và bảo mật. Tuy nhiên lƣợng giáo trình về vấn đề
này còn khá ít, hầu hết là sách nƣớc ngoài. Ở Việt Nam có thể kể tới:
Giáo trình “An toàn dữ liệu”- Bộ môn CNTT, Đại học Thƣơng Mại, 2007.
Trong giáo trình, tác giả đã cung cấp những kiến thức cơ bản về an toàn dữ liệu và sự
cần thiết của việc đảm bảo an toàn dữ liệu. Cung cấp thông tin về các nguy cơ tấn
công dữ liệu và phƣơng pháp đảm bảo an toàn cho hệ thống dữ liệu. Bên cạnh đó giới
thiệu một số ứng dụng của an toàn dữ liệu trong TMĐT.
Giáo trình “ Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia Hà Nội,
Phan Đình Diệu, 1999. Nội dung chính là khái quát chung về lý thuyết mật mã, các
công cụ toán học có liên quan đến việc đảm bảo ATTT. Hệ mật khoá đối xứng, hệ mật
khoá công khai; DES; Hệ Balô, hệ RSA và một số hệ khoá công khai khác; Chữ ký
điện tử, ứng dụng và thực hành..
Một số đề tài nghiên cứu xây dựng hệ thống lƣu trữ và quản lý tài liệu. Nghiên
cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao. Sử dụng cho mục đích xây
dựng các dịch vụ lƣu trữ, tìm kiếm hồ sơ, tài liệu cho các tổ chức hoặc cá nhân thông
qua Internet.. Các luận văn nghiên cứu về mật mã và các vấn đề ATTT trên cơ sở
nghiên cứu các phƣơng pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử
dụng khoá công khai. Các tính chất của chữ ký số trong việc bảo đảm ATBMTT. Sử
dụng thuật toán mã hoá RSA và thuật toán băm MD5 để xây dựng ứng dụng chữ ký số
tích hợp trên MSWORD.
Đề tài nghiên cứu khoa học “ Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học
Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và
nghiên cứu công nghệ IDS cứng và mềm.
2
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thƣơng mại điện
tử”, Vũ Anh Tuấn, Khoa CNTT, Đại học Thái Nguyên. Luận văn đã đƣa ra đƣợc một
số công cụ và phƣơng pháp nhằm đảm bảo ATBMTT trong TMĐT nhƣ: mã hóa, chữ
ký số….Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo
ATBMTT trong TMĐT chứ không bao quát đƣợc toàn bộ các vấn đề về ATBMTT nói
chung và đi sâu vào một doanh nghiệp cụ thể.
Đề tài “Tìm hiểu thực trạng bảo mật và an toàn mạng tại Việt Nam giai đoạn
2006- 2009, Đại học An Giang, “Tìm hiểu vấn đề bảo mật mạng Lan” của Nguyễn Thị
Thúy, ĐHDL Hải Phòng, “Bảo mật cho mạng máy tính và các ứng dụng Web” của Đỗ
Trƣờng Thọ, Đại học Bách Khoa Hà Nội, “Bảo mật dữ liệu trong mạng Wimax” của
Đan Hồng Sơn.
Luận văn “Nghiên cứu bảo mật Web Services” của Nguyễn Thị Thanh Thủy,
Đại học Công nghệ- ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn
Trọng Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ
liệu điện tử” của Đào Thọ Thu Hƣờng. Ngoài ra còn có luận văn “Tìm hiểu an toàn và
bảo mật trên mạng”.
Các luận văn này đã đem đến cho ngƣời đọc những hiểu biết nhất định về an
toàn và bảo mật thông tin, đƣa ra những nguyên nhân chủ quan cũng nhƣ khách quan
dẫn đến việc rò rỉ thông tin trong doanh nghiệp. Qua đó giúp doanh nghiệp hiểu rõ hơn
về hệ thống thông tin của mình và đƣa ra những giải pháp khắc phục. Tuy nhiên, khoa
học công nghệ nói chung và CNTT nói riêng luôn có những bƣớc phát triển từng phút,
từng giây. Nhờ đó trình độ con ngƣời cũng đƣợc nâng cao, nhu cầu của doanh nghiệp
cũng lớn hơn rất nhiều. Chính vì thế, những giải pháp này dƣờng nhƣ chƣa thể đầy đủ
và đáp ứng đƣợc yêu cầu bảo mật hiện nay. Hơn nữa, kết quả của những tài liệu kể
trên kết chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào
ứng dụng tại một cơ quan hay tổ chức cụ thể nào.
1.3. Mục tiêu nghiên cứu của đề tài.
Với mục tiêu nghiên cứu là đƣa ra những giải pháp để hoàn thiện hệ thống
thông tin tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin
FPT. Mục tiêu cụ thể là:
Khảo sát và đánh giá thực trạng về việc đảm bảo ATBMTT tại Công ty
TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Đề xuất giải pháp hoàn thiện và nâng cao ATBMTT tại Công ty TNHH
Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT nhằm nâng cao năng lực
hoạt động của Công ty, tăng niềm tin của khách hàng đối với Công ty, từ đó nâng cao
vị thế cạnh tranh trên thị trƣờng.
3
1.4. Phương pháp thực hiện đề tài.
Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số phƣơng
pháp đã đƣợc sử dụng nhƣ sau:
Thu thập và phân tích số liệu thứ cấp ở Công ty TNHH Dịch vụ ERP
FPT - Công ty TNHH Hệ thống Thông tin FPT, thông qua các số liệu, báo cáo, kết quả
kinh doanh của Công ty.
Phỏng vấn trực tiếp các nhà quản lý và nhân viên về tình hình ATTT
trong Công ty.
Điều tra gián tiếp thông qua mẫu phiếu điều tra gửi tới các phòng ban
trong Công ty. Tiến hành khảo sát với 5 phiếu điều tra và câu hỏi phỏng vấn.
Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo ATBMTT cho
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
1.5.
Đối tượng và phạm vi nghiên cứu của đề tài.
Đối tượng nghiên cứu.
ATBMTT trong doanh nghiệp và tất cả các yếu tố có liên quan đến HTTT của
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, mà cụ
thể là: quy trình thu thập và xử lý thông tin, hệ thống phần cứng, phần mềm, hệ thống
mạng, cơ sở dữ liệu, nguồn nhân lực về HTTT.
Phạm vi nghiên cứu.
Phạm vi về không gian: Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ
thống Thông tin FPT.
Phạm vi về thời gian: Để có thể đánh giá về vấn đề đảm bảo ATBMTT trong
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, quá
trình nghiên cứu sẽ đƣợc thực hiện dựa trên số liệu về tình hình ATBMTT của Công ty
trong ba năm gần đây(từ 2010 đến 2012).
1.6. Kết cấu của khóa luận.
Ngoài các mục lời cảm ơn, mục lục, danh mục bảng biểu, hình vẽ,tài liệu tham
khảo và phụ lục. Cấu trúc khóa luận gồm 3 chƣơng, cụ thể:
Chương I: Tổng quan đề tài nghiên cứu.
Chương II: Cơ sở lý luận và thực trạng của ATBMTT tại Công ty TNHH Dịch
vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Chương III: Một số giải pháp nâng cao tính ATBMTT tại Công ty TNHH Dịch
vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
4
Chương 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG
TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN
FPT.
2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP.
2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT.
2.1.1.1.
Thông tin trong doanh nghiệp.
Khái niệm thông tin.
Trong lịch sử tồn tại và phát triển của mình, con ngƣời thƣờng xuyên cần đến
thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong
những nhu cầu sống còn của con ngƣời và khái niệm "thông tin" đang trở thành khái
niệm cơ bản, chung của nhiều khoa học. Để đƣa ra đƣợc khái niệm về thông tin, trƣớc
hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tƣợng
trong thế giới khách quan. Dữ liệu là các giá trị thô, chƣa có ý nghĩa với ngƣời sử
dụng. [4]
“Thông tin là ý nghĩa đƣợc rút ra từ dữ liệu thông qua quá trình xử lý (phân
tích, tổng hợp,….), phù hợp với mục đích của ngƣời sử dụng. Nói cách khác, thông tin
là những dữ liệu đã đƣợc xử lý sao cho nó thực sự có ý nghĩa với ngƣời sử dụng”. [3]
Theo Russell Ackoff, thông tin là dữ liệu đã đƣợc ý nghĩa bằng cách kết nối
quan hệ, là dữ liệu đã đƣợc xử lý để trở nên hữu ích.
Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận đƣợc
liên quan đến một sự kiện, hiện tƣợng thực tế trong hoàn cảnh cụ thể.
Đối tượng khai thác và sử dụng thông tin.
Có thể nói thông tin là những gì mà ngƣời ra quyết định cần để làm ra quyết
định. Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các
quyết định của bản thân mình. Vì vậy, mọi thành viên trong xã hội con ngƣời cần khai
thác và sử dụng thông tin để phục vụ cho cuộc sống của mình.
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của cá nhân và đơn vị mình. Trƣớc đây ngƣời ta hiểu rằng thông tin chỉ nhằm để
phục vụ cho các công việc quản lý điều hành của ngƣời lãnh đạo. Gần đây ngƣời ta
nhận biết rằng thông tin đƣợc sử dụng trong những tình huống cần đề ra các quyết
định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động
tác nghiệp, thông tin cần đƣợc sử dụng bởi các nhân viên; trong hoạt động quản lý,
điều hành, thông tin cần đƣợc sử dụng bởi những ngƣời lãnh đạo, quản lý ở mọi cấp.
5
Hơn nữa, thông tin có thể đƣợc chỉnh dạng thêm để phục vụ cho ngƣời lãnh đạo cấp
cao trong việc đề ra các quyết định về chiến lƣợc hoạt động của tổ chức. [5]
Vai trò của thông tin.
Trong cuộc sống con ngƣời, mọi hoạt động đều không thể thiếu vai trò của
thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định một công việc.
Chúng ta thống nhất với nhau một quan điểm rằng: Vai trò của thông tin trong đời
sống xã hội là vô cùng quan trọng, nó thúc đẩy tiến trình phát triển của mọi lĩnh vực.
Nhờ có thông tin mà ngƣời lãnh đạo có thể đƣa ra những quyết định kinh doanh đúng
đắn và mang tính sống còn. Một đất nƣớc văn minh thì nhất định công nghệ thông tin
cũng phát triển hiện đại. Xã hội càng phát triển thì vai trò của thông tin càng trở nên
quan trọng, là yếu tố hàng đầu làm nên sức cạnh tranh kinh tế, chính trị và văn hóa của
một quốc gia. Thông tin là sức mạnh, là tiền bạc vì nó có một vị thế tiên phong trong
bối cảnh cạnh tranh toàn cầu hiện nay.
Trong việc kinh doanh, chính mảng thông tin sẽ tạo ra nhiều lợi nhuận nhất cho
các doanh nghiệp, vì nó cung cấp một cổng vào ngay lập tức cho khách hàng hay cho
các đối tác tiềm năng. Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh
nghiệp trong nền kinh tế thị trƣờng. Có thể nói rằng, doanh nghiệp cần thông tin nhƣ
cá cần nƣớc. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng
đó là sẽ mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đƣa ra quyết định kinh doanh
chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trƣờng kinh
doanh sẽ trở nên thiếu tin cậy. Ngƣợc lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có
các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro. [7]
2.1.1.2.
Đảm bảo ATBMTT trong doanh nghiệp.
ATBMTT có vai trò quan trọng đối với sự phát triển bền vững của các doanh
nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một
HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một
môi trƣờng thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu
chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo
điều kiện thuận lợi cho sự hội nhập một môi trƣờng thông tin lành mạnh. Điều này sẽ
tác động mạnh đến ƣu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất
thoát tiền bạc, tài sản, con ngƣời và gây thiệt hại đến hoạt động kinh doanh sản xuất
của doanh nghiệp. Do vậy, đảm bảo ATBMTT doanh nghiệp cũng có thể coi là một
hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải
vấn đề riêng của ngƣời làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức
doanh nghiệp.
6
An toàn thông tin( ATTT).
Trƣớc đây việc giao dịch đƣợc thực hiện trực tiếp giữa bên mua và bên bán theo
hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo. Ngày nay thì việc giao
dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng. Bên mua và bên bán
không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng nhƣ
tài sản. Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên
thứ ba biết đƣợc. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo
để lừa đảo. Có thể kể tới các trƣờng hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh
toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do
thông tin bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta
cần tìm hiểu thế nào là ATTT?
Một HTTT đƣợc coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa
đổi, thay đổi, sao chép hoặc xóa bỏ bởi ngƣời không đƣợc phép. ATTT là quá trình
đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các
nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên nhƣ thiên tai, hỏng vật
lí, mất điện… và các nguy cơ có chủ định nhƣ tin tặc, cá nhân bên ngoài, phá hỏng vật
lí, can thiệp có chủ ý…[1]
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và chúng sẽ đƣợc khắc phục kịp thời mà không gây thiệt hại đến
cho chủ sở hữu. ATTT đó là việc đảm bảo đƣợc tính bảo mật qua việc đảm bảo dữ liệu
của ngƣời sử dụng luôn đƣợc bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa
đổi hay xóa bởi những ngƣời không sở hữu và luôn trong trạng thái sẵn sàng. Đồng
thời có tính tin cậy đảm bảo thông tin mà ngƣời dùng nhận đƣợc là đúng. [1]
Trên thực tế không thể đảm bảo an toàn 100%, nhƣng có thể giảm bớt các rủi ro
không mong muốn dƣới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội
. Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện
pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ
thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls
và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức.
ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con ngƣời.
Yếu tố công nghệ: bao gồm những sản phẩm nhƣ Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng nhƣ:
trình duyệt Internet và phần mềm nhận Email từ máy trạm.
Yếu tố con ngƣời: Là những ngƣời sử dụng máy tính, những ngƣời làm việc với
thông tin và sử dụng máy tính trong công việc của mình. [6]
7
Theo ISO 17799, ATTT là khả năng bảo vệ đối với môi trƣờng thông tin kinh tế
xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân,
mọi tổ chức và của quốc gia. Thông qua các chính sách về ATTT, lãnh đạo thể hiện ý
chí và năng lực của mình trong việc quản lý HTTT. ATTT đƣợc xây dựng trên nền
tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm
mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng nhƣ các tài
nguyên thông tin của các đối tác, các khách hàng trong một môi trƣờng thông tin toàn
cầu. Nhƣ vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT phải bắt
đầu từ các chính sách trong đó con ngƣời là mắt xích quan trọng nhất.
Con ngƣời – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin .
Hầu nhƣ phần lớn các phƣơng thức tấn công đƣợc hacker sử dụng là khai thác các
điểm yếu của HTTT và đa phần các điểm yếu đó rất tiếc lại do con ngƣời tạo ra. Việc
nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây
ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã đƣợc quy định rất rõ trong
các chính sách về ATTT song việc tuân thủ các quy định lại không đƣợc thực hiện
chặt chẽ. Việc đặt một mật khẩu kém chất lƣợng, không thay đổi mật khẩu định kỳ,
quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm
nhập và tấn công.[4]
Bảo mật thông tin( BMTT)
Thông tin là một loại tài sản cũng giống nhƣ các tài sản khác của một doanh
nghiệp. Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì vậy
thông tin cần phải đƣợc bảo vệ thích hợp. Bảo vệ thông tin khỏi sự “mất cắp” cũng
chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp. Đảm bảo cho
doanh nghiệp tối thiểu hóa đƣợc các thiệt hại khi có rủi ro xẩy ra, đồng thời tối đa
đƣợc các lợi nhuận thu đƣợc từ các hoạt động kinh doanh. Thông tin trung thực, tin
cậy và sẵn sàn là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu
lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp.
BMTT là ngăn chặn, phát hiện và xác định những tiếp cận thông tin trái phép.
Nói chung, BMTT là bảo vệ thông tin trong các môi trƣờng cần bảo mật cao, ví dụ nhƣ
các trung tâm quân sự hoặc kinh tế quan trọng.
BMTT là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin. [1]
Bí mật nghĩa là đảm bảo thông tin chỉ đƣợc tiếp cận bởi những ngƣời
đƣợc cấp quyền tƣơng ứng. Bí mật là yếu tố quan trọng nhất để đảm bảo trong các môi
trƣờng, cả quân sự lẫn thƣơng mại.
Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông
tin chỉ đƣợc thay đổi bởi những ngƣời đƣợc cấp quyền.
8
Tính sẵn sàng của thông tin là những ngƣời đƣợc cấp quyền sử dụng có
thể truy xuất thông tin khi họ cần.
BMTT chỉ mang lại lợi ích thiết thực khi chúng ta xây dựng một qui trình kiểm
soát chặc chẽ và hoàn chỉnh bao gồm các chính sách , các thủ tục, cơ cấu tổ chức….
Các qui trình này phải đƣợc xây dựng đáp ứng đƣợc nhu cầu bảo mật cho từng đối
tƣợng cụ thể.
Hệ thống đƣợc coi là bảo mật nếu tính riêng tƣ của nội dung thông tin đƣợc
đảm bảo theo đúng tiêu chí trong một thời gian xác định. [1]
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống
mất an toàn thì không bảo mật đƣợc và ngƣợc lại hệ thống không bảo mật đƣợc thì mất
an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI sự an toàn của HTTT đƣợc thực
hiện chủ yếu ở các tâng dƣới, còn việc bảo mật nội dung thông tin đƣợc thực hiện ở
các tầng trên. [6]
2.1.2. Một số lý thuyết liên quan.
2.1.2.1.
Các rủi ro mất ATBMTT trong doanh nghiệp.
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT
cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta
đang đứng thứ 5 trong tổng số 10 nƣớc có nguy cơ mất ATTT cao nhất trong năm
2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật
nƣớc ngoài nhƣ McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên
gia, tội phạm công nghệ cao đang gia tăng với xu hƣớng có tính quốc tế rõ rệt, việc tấn
công cơ sở dữ liệu của các cơ quan nhà nƣớc, e-banking, các công ty thƣơng mại điện
tử liên tục xảy ra. Ngoài ra, số lƣợng lớn các vụ tấn công gây thiệt hại về kinh tế
nhƣng rất khó ƣớc tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền
kinh tế.
Xét theo nguyên nhân, có thể chia nguy cơ mất ATBMTT thành 2 loại:
Nguy cơ ngẫu nhiên( nguyên nhân khách quan).
Nguy cơ mất ATBMTT ngẫu nhiên có thể xuất phát từ các hiện tƣợng khách
quan nhƣ thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện, hạ tầng năng
lƣợng, truyền thông…Đây là những nguyên khách quan, khó dự đoán trƣớc, khó tránh
đƣợc nhƣng đó lại không phải là nguy cơ chính của việc mất ATBMTT.
Nguy cơ có chủ định( nguyên nhân chủ quan).
Nguy cơ mất ATBMTT có chủ định xuất phát từ tin tặc, cá nhân bên ngoài, phá
hỏng vật lý, can thiệp có chủ ý.
Trên đây là các nguy cơ đến từ môi trƣờng bên ngoài doanh nghiệp. Trên thực
tế, vấn đề ATBMTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất
9
phát từ chính nội tại doanh nghiệp nhƣ: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy
chủ, HTTT,..); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong
quy trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con ngƣời (vận hành, đạo
đức nghề nghiệp). [1]
Tấn công vào HTTT là hình thức làm hỏng hóc, thay đổi, sao chép, xóa bỏ hay
can thiệp vào hoạt động HTTT. Có ba kịch bản tấn công điển hình: thu thập thông tin,
khai thác lỗ hổng, tấn công từ chối dịch vụ. Xét theo cách thức thì có tấn công chủ
động và bị động. Xét theo tài nguyên có tấn công do yếu tố con ngƣời và công nghệ.
Xét theo hệ thống có tấn công máy đầu cuối, tấn công đƣờng truyền và tấn công máy
chủ. Xét theo hình thức có tấn công vật lý và tấn công phần mềm. [1]
Ở đây ta xét đến hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có
thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép, vi phạm tính
toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy đƣợc thông tin trên đƣờng
truyền mà không gây ảnh hƣởng gì đến thông tin đƣợc truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trƣớc
khi tấn công xảy ra. Thông thƣờng kẻ tấn công sẽ sử dụng các thiết bị phần cứng nhƣ
thiết bị bắt sóng Wifi để tóm những gói tin đƣợc truyền trong vùng phủ sóng hay sử
dụng các chƣơng trình phần mềm packet sniff nhằm bắt các gói tin. Các kiểu tấn công
của thƣờng gặp là nghe trộm đƣờng truyền và phân tích lƣu lƣợng. Nghe trộm đƣờng
truyền là hình thức hay dùng trong do thám, kẻ nghe lén bằng cách nào đó xen ngang
quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra những
thông tin quan trọng. Phân tích lƣu lƣợng là dựa vào sự thay đổi lƣu lƣợng của luồng
thông tin truyền trên mạng nhằm xác định đƣợc một số thông tin có ích.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp đƣợc lƣu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi
thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập
máy tính của ngƣời dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu
thập dữ liệu của ngƣời dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí
nào. Ngƣời dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để
lộ password hay lƣu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
10
Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do ngƣời gần gũi với nạn
nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông
ngƣời dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự
cả tin của ngƣời dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao,
lên đến 3% (theo một báo cáo của Computer World). Hình thức phổ biến nhất của tấn
công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các
thông tin nhạy cảm bằng cách giả mạo ngƣời gửi, cách phòng tránh duy nhất là ý thức
của ngƣời dùng.
Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp
vào dữ liệu nhằm sửa đổi, thay thế làm lệch đƣờng đi của dữ liệu. Đặc điểm của nó là
có khả năng chặn các gói tin trên đƣờng truyền, dữ liệu từ nguồn đến đích sẽ bị thay
đổi. Tấn công chủ động tuy nguy hiểm nhƣng lại dễ phát hiện đƣợc. Tấn công chủ
động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn
công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt
nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía ngƣời dùng: đảm bảo
hệ điều hành và tất cả ứng dụng đƣợc cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu
nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ
chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chƣơng trình
không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng ngƣời dùng "đi lạc"
sang các website lừa đảo.
Ngoài ra còn một số hình thức tấn công nhƣ tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ, hoặc phải ngƣng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bƣớc của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công dữ liệu trên thực tế thƣờng là sử dụng virus, trojan để ăn cắp dữ liệu,
lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục
đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng nhƣ các chƣơng trình ứng dụng.
2.1.2.2.
Yêu cầu của đảm bảo ATBMTT doanh nghiệp.
Các yêu cầu của ATTT hệ thống:
Tính bí mật( Security): đảm bảo dữ liệu của ngƣời sử dụng luôn đƣợc
bảo vệ, không bị xâm phạm bởi những ngƣời không đƣợc phép.
Tính toàn vẹn( Integrity): dữ liệu không bị tạo ra, sửa đổi hay xóa bỏ bởi
những ngƣời không sở hữu.
11
-
Tính sẵn sàng( Availability): dữ liệu phải luôn trong trạng thái sẵn sang.
-
Tính tin cậy( Confidentiality): thông tin ngƣời dùng nhận đƣợc là đúng.
Doanh nghiệp phải đảm bảo các yếu tố của mô hình C-I-A ( Confidentiality,
Intergrity, Availability). Xây dựng trung tâm dự phòng thông tin trong tổng thể an
ninh hệ thống phần nào đảm bảo tính liên tục( Availability). [1]
Các yêu cầu của hệ thống đảm bảo ATBMTT cho doanh nghiệp.
Yêu cầu về các thiết bị phần cứng.
Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy
tính nhƣ là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi
xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ
DVD, ...Dựa trên chức năng và cách thức hoạt động ngƣời ta còn phân biệt phần cứng
ra thành thiết bị nhập (Input), thiết bị xuất (Output), thiết bị xử lý (Processing Device)
và thiết bị lƣu trữ (Storage Device). Ngoài yêu cầu các thiết bị phần cứng cơ bản nhƣ
máy tính, máy in, máy fax, thiết bị và đƣờng truyền mạng phải hoạt động tốt, ổn định
thì doanh nghiệp nên sử dụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng
Firebox X(WatchGuard), thiết bị tối ƣu mạng WAN Exinda, thiết bị bảo mật thƣ điện
tử chuyên dụng của hãng O2Micro’s SifoML,…..[6]
Yêu cầu về phần mềm.
Phần mềm (tiếng Việt còn đƣợc gọi là nhu liệu; tiếng Anh: software) là một tập
hợp những câu lệnh đƣợc viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tự
xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào
đó. Theo phƣơng thức hoạt động, phần mềm đƣợc chia thành hai loại là phần mềm hệ
thống và phần mểm ứng dụng.
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần
không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATBMTT, các phần
mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các
phần mềm có bản quyền, đƣợc nâng cấp, cập nhật thƣờng xuyên bởi nhà sản xuất
nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật.
Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc
cài đặt các phần mềm bảo mật nhƣ phần mềm chống virus, spyware và phishing; phần
mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã
hóa dữ liệu, phần mềm chống thƣ rác….[6]
Yêu cầu về mạng.
Hệ thống mạng là một tập hợp các thiết bị và hệ thống đầu cuối đƣợc kết nối
với nhau sao cho chúng có thể giao tiếp (chia sẻ dữ liệu, tài nguyên) đƣợc với nhau.
12
Cùng với các thiết bị bảo mật đƣợc trang bị thì doanh nghiệp cũng cần xây dựng các
mô hình, giao thức mạng an toàn nhƣ giao thức bảo mật SSL, SET, TLS hay Kerberos.
Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế
sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trƣờng mạng
Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của
HTTT, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ
không cần thiết. Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu
nhằm tăng cƣờng công tác bảo mật. [6]
Yêu cầu về CSDL.
CSDL là tài nguyên thông tin chung cho nhiều ngƣời cùng sử dụng. Bất kỳ
ngƣời sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có
quyền truy nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay
tƣơng tác mà không phụ thuộc vào vị trí địa lý của ngƣời sử dụng với các tài nguyên
đó. Thiết lập và cấu hình CSDL an toàn, luôn cập nhật bản vá lỗi mới nhất cho hệ quản
trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ
liệu. Gỡ bỏ các CSDL không sử dụng, có các cơ chế sao lƣu dữ liệu, tài liệu hóa quá
trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung nhƣ: nội
dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,...Thƣờng xuyên kiểm tra, giám
sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh
mục, thƣ mục cho từng phòng/đơn vị trực thuộc. [6]
Con người.
Đối với một hệ thống đảm bảo ATBMTT doanh nghiệp, con ngƣời luôn có vai
trò rất quan trọng. Có thể coi con ngƣời nhƣ là não bộ của hệ thống, điều hành mọi
hoạt động của hệ thống. Một hệ thống đƣợc xây dựng nhằm mục đích đảm bảo
ATBMTT, dù cho các thành phần cơ bản trên có đƣợc đầu tƣ nhiều đến đâu mà yếu tố
con ngƣời không đáp ứng đƣợc yêu cầu của hệ thống thì hệ thống đó cũng không thể
phát huy đƣợc tính năng và hiệu quả của nó.
Con ngƣời là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm
thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu
ra mong muốn.
Những ngƣời sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về
ATBMTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm
bảo an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dƣỡng nghiệp
vụ cho đội ngũ cán bộ ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho ngƣời dùng
máy tính về phòng, chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet. [6]
13
2.1.2.3.
Quy trình chung đảm bảo ATBM hệ thống.
Bƣớc 1: thành lập bộ phận chuyên trách về vấn đề ATBM.
Bƣớc 2: thu thập thông tin.
Bƣớc 3: thẩm định tính rủi ro của HTTT.
Bƣớc 4: xây dựng giải pháp bảo đảm an toàn cho hệ thống.
Bƣớc 5: thực hiện và giáo dục.
Bƣớc 6: kiểm tra, phân tích và thực hiện.
2.1.3. Phân định nội dung nghiên cứu.
Với đề tài: “Một số giải pháp nâng cao tính an toàn và bảo mật thộng tin cho
Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT”, mục
tiêu cụ thể đặt ra là làm rõ đƣợc các vấn đề về ATBMTT, thực trạng và giải pháp nâng
cao ATBMTTT cho Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT.
Căn cứ vào tên và những mục tiêu của đề tài, trong phần 3 định hƣớng và đề
xuất giải pháp em sẽ tập trung vào những giải pháp cho phần cứng và phần mềm cho
Công ty.
2.1.3.1.
Các phương pháp phòng tránh và khắc phục.
Phòng tránh là cách thức sử dụng các phƣơng pháp, phƣơng tiện, kỹ
thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Để phòng tránh nguy cơ mất ATBMTT, trƣớc hết, doanh nghiệp cần bố trí nhân
lực để tăng cƣờng khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT
và ngăn chặn, khắc phục kịp thời các sự cố ATBMTT trên mạng máy tính. Đặc biệt,
cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn
cho các HTTT, lập kế hoạch đào tạo bồi dƣỡng nghiệp vụ cho đội ngũ cán bộ
ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho ngƣời dùng máy tính về phòng,
chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo
ATBMTT, chống virus và mã độc hại cho các HTTT và máy tính cá nhân có kết nối
mạng Internet. [1]
Khắc phục hậu quả là sử dụng các phƣơng pháp, phƣơng tiện và kỹ thuật
nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lƣu, phục hồi
máy chủ, máy trạm. Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi
lƣu tập trung biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục
sự cố mạng. [1]
14
- Xem thêm -