Đăng ký Đăng nhập
Trang chủ Một số giải pháp nâng cao tính atbmtt cho công ty tnhh dịch vụ erp fpt- công ty ...

Tài liệu Một số giải pháp nâng cao tính atbmtt cho công ty tnhh dịch vụ erp fpt- công ty tnhh hệ thống thông tin fpt

.PDF
57
158
72

Mô tả:

LỜI CẢM ƠN Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận đƣợc sự hƣớng dẫn nhiệt tình của giáo viên hƣớng dẫn ThS. Hàn Minh Phƣơng cùng sự nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty TNHH Dịch vụ ERP FPT- công ty TNHH Hệ thống Thông tin FPT. Qua đây, em xin chân thành cảm ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế - Trƣờng Đại học Thƣơng Mại đã tận tình giảng dạy và trang bị cho em những kiến thức nền tảng, những kinh nghiệm quý báu trong cuộc sống, giúp em đủ tự tin để khẳng định mình trong công việc và cuộc sống sau này. Và đặc biệt, em xin chân thành cảm ơn cô ThS. Hàn Minh Phƣơng - ngƣời đã tận tình hƣớng dẫn, chỉ bảo và giúp đỡ em hoàn thành khóa luận tốt nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban Giám đốc và toàn thể nhân viên Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT, đặc biệt ông Mai Công Nguyên- Tổng Giám đốc của Công ty đã tiếp nhận và tạo cho em môi trƣờng làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát chung về Công ty và hoàn thành đƣợc bài khóa luận tốt nghiệp của mình. Tuy nhiên, do điều kiện thời gian có hạn, cũng nhƣ kiến thức còn hạn chế nên trong Khóa luận tốt nghiệp này của vẫn còn nhiều hạn chế, thiếu sót. Vì vậy, em kính mong nhận đƣợc những ý kiến đóng góp, chỉ bảo của các thầy cô. Em xin chân thành cảm ơn! Sinh viên Hà Thùy Trang i MỤC LỤC LỜI CẢM ƠN ...................................................................................................................i MỤC LỤC ...................................................................................................................... ii DANH MỤC BẢNG BIỂU ............................................................................................iv DANH MỤC SƠ ĐỒ .......................................................................................................v DANH MỤC TỪ VIẾT TẮT .........................................................................................vi Chƣơng 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU .......................................................1 1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu..........................................1 1.2. Tổng quan đề tài nghiên cứu...................................................................................2 1.3. Mục tiêu nghiên cứu của đề tài. ..............................................................................3 1.4. Phƣơng pháp thực hiện đề tài. ................................................................................4 1.5. Đối tƣợng và phạm vi nghiên cứu của đề tài. ......................................................... 4 1.6. Kết cấu của khóa luận............................................................................................. 4 Chƣơng 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT. ...................5 2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP. ..........................................5 2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT........................................................... 5 2.1.1.1. Thông tin trong doanh nghiệp. ...........................................................................5 2.1.1.2. Đảm bảo ATBMTT trong doanh nghiệp. ........................................................... 6 2.1.2. Một số lý thuyết liên quan. .................................................................................9 2.1.2.1. Các rủi ro mất ATBMTT trong doanh nghiệp. ..................................................9 2.1.2.2. Yêu cầu của đảm bảo ATBMTT doanh nghiệp. ..............................................11 2.1.2.3. Quy trình chung đảm bảo ATBM hệ thống......................................................14 2.1.3. Phân định nội dung nghiên cứu. .......................................................................14 2.1.3.1. Các phƣơng pháp phòng tránh và khắc phục. ..................................................14 2.1.3.2. Một số công nghệ sử dụng nhằm phòng tránh và khắc phục rủi ro mất ATTT trong doanh nghiệp. .......................................................................................................15 2.2. THỰC TRẠNG VỀ VẤN ĐỀ ATBMTT TRONG CÔNG TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT. ...................................19 2.2.1. Giới thiệu về Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT. ...............................................................................................................19 2.2.1.1. Giới thiệu chung. .............................................................................................. 19 2.2.1.2. Sứ mệnh. ...........................................................................................................20 2.2.1.3. Chiến lƣợc. .......................................................................................................20 2.2.1.4. Lịch sử hình thành và phát triển. ......................................................................21 2.2.1.5. Cơ cấu tổ chức của FIS. ...................................................................................22 ii 2.2.1.6. Giá trị cốt lõi và một số thành tích đã đạt đƣợc. ..............................................23 2.2.1.7. Lĩnh vực hoạt động của Công ty. .....................................................................24 2.2.1.8. Sản phẩm- dịch vụ của Công ty........................................................................25 2.2.2. Thực trạng về vấn đề ATBMTT của Công ty. .................................................26 2.2.2.1. Khái quát về vấn đề xử lý lƣu trữ thông tin trong Công ty. ............................. 26 2.2.2.2. Kết quả phân tích và xử lý dữ liệu điều tra. .....................................................28 2.2.3. Đánh giá thực trạng đảm bảo ATBMTT tại Công ty TNHH Dịch vụ ERP FPTCông ty TNHH Hệ thống Thông tin FPT. .....................................................................35 Chƣơng 3: NGHIÊN CỨU VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP NÂNG CAO ATBMTT CHO CÔNG TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT........................................................................................... 37 3.1. Định hƣớng của Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT về việc đảm bảo ATBMTT. ..................................................................37 3.2. Đề xuất giải pháp đảm bảo ATBMTT cho Công ty. ............................................37 3.2.1. Thiết bị phần cứng. ........................................................................................... 37 3.2.2. Phần mềm. ........................................................................................................39 3.2.2.1. Phần mềm bảo mật. .......................................................................................... 39 3.2.2.2. Phần mềm mã hóa. ........................................................................................... 39 3.2.3. Hệ thống mạng. ................................................................................................ 40 3.2.4. Cơ sở dữ liệu. ...................................................................................................41 3.2.5. Đào tạo nhân lực. .............................................................................................. 43 3.3. Một số kiến nghị. ..................................................................................................43 KẾT LUẬN ...................................................................................................................45 TÀI LIỆU THAM KHẢO ............................................................................................. 46 PHỤ LỤC 1 ...................................................................................................................47 PHỤ LỤC 2 ...................................................................................................................50 iii DANH MỤC BẢNG BIỂU Biểu đồ 2.2. Những sự cố hay gặp về ATBMTT ............................................................ 29 Biểu đồ 2.3. Cách thức đảm bảo ATBMTT được sử dụng ...........................................29 Biểu đồ 2.4. Cách thức bảo vệ CSDL trong Công ty ...................................................30 Biểu đồ 2.5. Tần suất sao lưu dữ liệu ...........................................................................30 Biểu đồ 2.6. Trình độ hiểu biết của nhân viên về HTTT và ATBMTT ......................... 31 Biểu đồ 2.7. Mức độ trang bị thiết bị phần cứng bảo mật ...........................................31 Biểu đồ 2.8. Nhận thức về tầm quan trọng của ATBMTT.............................................32 Biểu đồ 2.10. Trở ngại khi xây dựng và phát triển ATBMTT của Công ty ..................33 iv DANH MỤC SƠ ĐỒ Sơ đồ 2.1. Cơ cấu tổ chức của FIS. ...............................................................................22 v DANH MỤC TỪ VIẾT TẮT Danh mục từ viết tắt Tiếng Việt STT Từ viết tắt Nghĩa đầy đủ 1 CNTT Công nghệ thông tin 2 TMĐT Thƣơng mại điện tử 3 HTTT Hệ thống thông tin 4 CSDL Cơ sở dữ liệu 5 TNHH Trách nhiệm hữu hạn 6 ATTT An toàn thông tin 7 BMTT Bảo mật thông tin 8 ATBMTT An toàn bảo mật thông tin 9 ATDL An toàn dữ liệu 10 HTTT Hệ thống thông tin Danh mục từ viết tắt Tiếng Anh STT Từ viết tắt Từ đầy đủ Nghĩa Tiếng Việt 1 SET Secure Electronic Transaction An toàn giao dịch điện tử 2 SSL Secure Sockets Layer Lớp ổ cắm an toàn 3 TLS Transport Layer Security An ninh tầng giao vận 4 ERP Enterprise Resource Planning 5 SAP Service Advertising Protocol 6 ITO 7 BPO International Trade Organization Business process outsourcing vi Hoạch định khai thác nguồn tài nguyên Giải pháp dành cho doanh nghiệp Tổ chức mậu dịch quốc tế Kinh doanh quá trình gia công phần mềm Chương 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU 1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu. Thông tin đƣợc coi là một nhu cầu thiết yếu trong đời sống xã hội, là công cụ để điều hành, quản lý, chỉ đạo của mỗi quốc gia, là phƣơng tiện hữu hiệu để mở rộng giao lƣu hiểu biết giữa các quốc gia, dân tộc, là nguồn cung cấp tri thức mọi mặt cho công chúng và là nguồn lực phát triển kinh tế - xã hội. Thiếu thông tin, sẽ gặp khó khăn trong việc đƣa ra các quyết định hoặc các quyết định sẽ bị sai lệch, thiếu cơ sở khoa học, không thực tiễn và trở nên kém hiệu quả. Thành công hay thất bại của một quốc gia tuỳ thuộc rất lớn vào khả năng làm chủ, chiếm đƣợc lợi thế thông tin. Trên thực tế, thông tin đã từng đƣợc coi là yếu tố quyết định sự thành bại của một tổ chức. Thông tin ngày càng khẳng định là phƣơng tiện thiết yếu của đời sống xã hội. Ngày nay với sự phát triển mang tính toàn cầu của Internet và TMĐT đã tạo ra những cơ hội lớn cho các doanh nghiệp. Bên cạnh đó những nguy cơ, rủi ro cũng dần xuất hiện và ảnh hƣởng trực tiếp tới nền kinh tế và xã hội hiện đại. Sự phát triển nhanh chóng của các thiết bị kỹ thuật, phƣơng tiện truyền tin và mạng internet dẫn đến các dữ liệu số hiện nay đƣợc sao chép, truyền tải và phổ biến dễ dàng, nhanh chóng, tức thời. Cùng với sự tiện nghi đó đã xuất hiện rất nhiều vấn đề đáng quan tâm, nhất là việc BMTT, an toàn mạng ngày càng trở nên cấp bách hơn. Các thông tin cần bảo mật có thể dùng phƣơng pháp mã hóa, song khi sử dụng gặp nhiều khó khăn, phức tạp cho việc lƣu giữ, truyền tải, giải mã, tốn nhiều thời gian, công sức... Những ẩn họa khách quan trong bối cảnh cơ sở hạ tầng Việt Nam, ngoài việc đối mặt với nguy cơ mất dữ liệu từ tin tặc, vẫn còn trong giai đoạn đang hoàn thiện. Đây chính là những thách thức cho bộ phận IT của các doanh nghiệp. Các vấn đề về truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống, vấn đề về an toàn trong giao dịch điện tử, an toàn về cơ sở dữ liệu hệ thống... đã trở thành mối lo ngại cho các nhà quản lý‎điều hành ở mọi cấp ở bất kỳ quốc gia nào, từ cấp độ cao nhất đến các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề ATBMTT trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội. Đối với các doanh nghiệp việc đảm bảo ATBMTT luôn đƣợc đăt lên hàng đầu, là vấn đề mang ý nghĩa sống còn với hoạt động kinh doanh của doanh nghiệp. Đảm bảo đƣợc ATBMTT sẽ giúp doanh nghiệp tiết kiệm đƣợc chi phí, thời gian, tránh đƣợc sự cạnh tranh không lành mạnh của đối thủ cạnh tranh hay sự phá hoại của đối tƣợng bên ngoài. Nếu ATBMTT không đƣợc quan tâm đúng, khi xảy ra vấn đề liên quan lúc đó trách nhiệm sẽ là rất lớn, doanh nghiệp sẽ bị ảnh hƣởng, có thể dẫn tới phá sản hay chịu trách nhiệm trƣớc pháp luật... Để hiểu rõ về an ATBMTT, em đã lựa chọn Công ty TNHH Dịch vụ ERP FPTCông ty TNHH Hệ thống Thông tin FPT để tìm hiểu, đi sâu nghiên cứu các vấn đề cần 1 quan tâm trong ATBMTT. Qua quá trình tìm hiểu, nghiên cứu tại công ty, em đã lựa chọn đề tài “ Một số giải pháp nâng cao tính ATBMTT cho công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT” để làm đề tài khóa luận của mình, nhằm giải đáp những vấn đề quan tâm. 1.2. Tổng quan đề tài nghiên cứu. Qua một thời gian tìm hiểu, nhận thấy việc các doanh nghiệp hiện nay ứng dụng các phƣơng thức bảo mật hệ thống thông tin ngày càng trở nên rộng rãi. Trƣớc tình hình trên trong nƣớc đã có những đề tài nghiên cứu về ATBMTT ở doanh nghiệp. Các đề tài thƣờng ở mức là các bài luận văn cho tới các bài nghiên cứu khoa học. Đặc điểm chung của các đề tài này là đi sâu vào các khái niệm và tìm phƣơng hƣớng bảo mật cho doanh nghiệp. Sau đây là một số đề tài mà em đã tìm hiểu… Trong 3 - 5 năm trở lại đây thì cũng có khá nhiều các đề tài nghiên cứu, sách, đề tài khoa học, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội thảo khoa học.. về vấn đề an toàn thông tin, dữ liệu và bảo mật. Tuy nhiên lƣợng giáo trình về vấn đề này còn khá ít, hầu hết là sách nƣớc ngoài. Ở Việt Nam có thể kể tới: Giáo trình “An toàn dữ liệu”- Bộ môn CNTT, Đại học Thƣơng Mại, 2007. Trong giáo trình, tác giả đã cung cấp những kiến thức cơ bản về an toàn dữ liệu và sự cần thiết của việc đảm bảo an toàn dữ liệu. Cung cấp thông tin về các nguy cơ tấn công dữ liệu và phƣơng pháp đảm bảo an toàn cho hệ thống dữ liệu. Bên cạnh đó giới thiệu một số ứng dụng của an toàn dữ liệu trong TMĐT. Giáo trình “ Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia Hà Nội, Phan Đình Diệu, 1999. Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học có liên quan đến việc đảm bảo ATTT. Hệ mật khoá đối xứng, hệ mật khoá công khai; DES; Hệ Balô, hệ RSA và một số hệ khoá công khai khác; Chữ ký điện tử, ứng dụng và thực hành.. Một số đề tài nghiên cứu xây dựng hệ thống lƣu trữ và quản lý tài liệu. Nghiên cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao. Sử dụng cho mục đích xây dựng các dịch vụ lƣu trữ, tìm kiếm hồ sơ, tài liệu cho các tổ chức hoặc cá nhân thông qua Internet.. Các luận văn nghiên cứu về mật mã và các vấn đề ATTT trên cơ sở nghiên cứu các phƣơng pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử dụng khoá công khai. Các tính chất của chữ ký số trong việc bảo đảm ATBMTT. Sử dụng thuật toán mã hoá RSA và thuật toán băm MD5 để xây dựng ứng dụng chữ ký số tích hợp trên MSWORD. Đề tài nghiên cứu khoa học “ Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và nghiên cứu công nghệ IDS cứng và mềm. 2 Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thƣơng mại điện tử”, Vũ Anh Tuấn, Khoa CNTT, Đại học Thái Nguyên. Luận văn đã đƣa ra đƣợc một số công cụ và phƣơng pháp nhằm đảm bảo ATBMTT trong TMĐT nhƣ: mã hóa, chữ ký số….Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo ATBMTT trong TMĐT chứ không bao quát đƣợc toàn bộ các vấn đề về ATBMTT nói chung và đi sâu vào một doanh nghiệp cụ thể. Đề tài “Tìm hiểu thực trạng bảo mật và an toàn mạng tại Việt Nam giai đoạn 2006- 2009, Đại học An Giang, “Tìm hiểu vấn đề bảo mật mạng Lan” của Nguyễn Thị Thúy, ĐHDL Hải Phòng, “Bảo mật cho mạng máy tính và các ứng dụng Web” của Đỗ Trƣờng Thọ, Đại học Bách Khoa Hà Nội, “Bảo mật dữ liệu trong mạng Wimax” của Đan Hồng Sơn. Luận văn “Nghiên cứu bảo mật Web Services” của Nguyễn Thị Thanh Thủy, Đại học Công nghệ- ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn Trọng Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ liệu điện tử” của Đào Thọ Thu Hƣờng. Ngoài ra còn có luận văn “Tìm hiểu an toàn và bảo mật trên mạng”. Các luận văn này đã đem đến cho ngƣời đọc những hiểu biết nhất định về an toàn và bảo mật thông tin, đƣa ra những nguyên nhân chủ quan cũng nhƣ khách quan dẫn đến việc rò rỉ thông tin trong doanh nghiệp. Qua đó giúp doanh nghiệp hiểu rõ hơn về hệ thống thông tin của mình và đƣa ra những giải pháp khắc phục. Tuy nhiên, khoa học công nghệ nói chung và CNTT nói riêng luôn có những bƣớc phát triển từng phút, từng giây. Nhờ đó trình độ con ngƣời cũng đƣợc nâng cao, nhu cầu của doanh nghiệp cũng lớn hơn rất nhiều. Chính vì thế, những giải pháp này dƣờng nhƣ chƣa thể đầy đủ và đáp ứng đƣợc yêu cầu bảo mật hiện nay. Hơn nữa, kết quả của những tài liệu kể trên kết chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức cụ thể nào. 1.3. Mục tiêu nghiên cứu của đề tài. Với mục tiêu nghiên cứu là đƣa ra những giải pháp để hoàn thiện hệ thống thông tin tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT. Mục tiêu cụ thể là: Khảo sát và đánh giá thực trạng về việc đảm bảo ATBMTT tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT. Đề xuất giải pháp hoàn thiện và nâng cao ATBMTT tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT nhằm nâng cao năng lực hoạt động của Công ty, tăng niềm tin của khách hàng đối với Công ty, từ đó nâng cao vị thế cạnh tranh trên thị trƣờng. 3 1.4. Phương pháp thực hiện đề tài. Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số phƣơng pháp đã đƣợc sử dụng nhƣ sau:  Thu thập và phân tích số liệu thứ cấp ở Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, thông qua các số liệu, báo cáo, kết quả kinh doanh của Công ty.  Phỏng vấn trực tiếp các nhà quản lý và nhân viên về tình hình ATTT trong Công ty.  Điều tra gián tiếp thông qua mẫu phiếu điều tra gửi tới các phòng ban trong Công ty. Tiến hành khảo sát với 5 phiếu điều tra và câu hỏi phỏng vấn.  Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo ATBMTT cho Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT. 1.5. Đối tượng và phạm vi nghiên cứu của đề tài.  Đối tượng nghiên cứu. ATBMTT trong doanh nghiệp và tất cả các yếu tố có liên quan đến HTTT của Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, mà cụ thể là: quy trình thu thập và xử lý thông tin, hệ thống phần cứng, phần mềm, hệ thống mạng, cơ sở dữ liệu, nguồn nhân lực về HTTT.  Phạm vi nghiên cứu. Phạm vi về không gian: Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT. Phạm vi về thời gian: Để có thể đánh giá về vấn đề đảm bảo ATBMTT trong Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, quá trình nghiên cứu sẽ đƣợc thực hiện dựa trên số liệu về tình hình ATBMTT của Công ty trong ba năm gần đây(từ 2010 đến 2012). 1.6. Kết cấu của khóa luận. Ngoài các mục lời cảm ơn, mục lục, danh mục bảng biểu, hình vẽ,tài liệu tham khảo và phụ lục. Cấu trúc khóa luận gồm 3 chƣơng, cụ thể: Chương I: Tổng quan đề tài nghiên cứu. Chương II: Cơ sở lý luận và thực trạng của ATBMTT tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT. Chương III: Một số giải pháp nâng cao tính ATBMTT tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT. 4 Chương 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT. 2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP. 2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT. 2.1.1.1. Thông tin trong doanh nghiệp.  Khái niệm thông tin. Trong lịch sử tồn tại và phát triển của mình, con ngƣời thƣờng xuyên cần đến thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những nhu cầu sống còn của con ngƣời và khái niệm "thông tin" đang trở thành khái niệm cơ bản, chung của nhiều khoa học. Để đƣa ra đƣợc khái niệm về thông tin, trƣớc hết ta cần hiểu thế nào là dữ liệu? Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tƣợng trong thế giới khách quan. Dữ liệu là các giá trị thô, chƣa có ý nghĩa với ngƣời sử dụng. [4] “Thông tin là ý nghĩa đƣợc rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,….), phù hợp với mục đích của ngƣời sử dụng. Nói cách khác, thông tin là những dữ liệu đã đƣợc xử lý sao cho nó thực sự có ý nghĩa với ngƣời sử dụng”. [3] Theo Russell Ackoff, thông tin là dữ liệu đã đƣợc ý nghĩa bằng cách kết nối quan hệ, là dữ liệu đã đƣợc xử lý để trở nên hữu ích. Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận đƣợc liên quan đến một sự kiện, hiện tƣợng thực tế trong hoàn cảnh cụ thể.  Đối tượng khai thác và sử dụng thông tin. Có thể nói thông tin là những gì mà ngƣời ra quyết định cần để làm ra quyết định. Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết định của bản thân mình. Vì vậy, mọi thành viên trong xã hội con ngƣời cần khai thác và sử dụng thông tin để phục vụ cho cuộc sống của mình. Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt động của cá nhân và đơn vị mình. Trƣớc đây ngƣời ta hiểu rằng thông tin chỉ nhằm để phục vụ cho các công việc quản lý điều hành của ngƣời lãnh đạo. Gần đây ngƣời ta nhận biết rằng thông tin đƣợc sử dụng trong những tình huống cần đề ra các quyết định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động tác nghiệp, thông tin cần đƣợc sử dụng bởi các nhân viên; trong hoạt động quản lý, điều hành, thông tin cần đƣợc sử dụng bởi những ngƣời lãnh đạo, quản lý ở mọi cấp. 5 Hơn nữa, thông tin có thể đƣợc chỉnh dạng thêm để phục vụ cho ngƣời lãnh đạo cấp cao trong việc đề ra các quyết định về chiến lƣợc hoạt động của tổ chức. [5]  Vai trò của thông tin. Trong cuộc sống con ngƣời, mọi hoạt động đều không thể thiếu vai trò của thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định một công việc. Chúng ta thống nhất với nhau một quan điểm rằng: Vai trò của thông tin trong đời sống xã hội là vô cùng quan trọng, nó thúc đẩy tiến trình phát triển của mọi lĩnh vực. Nhờ có thông tin mà ngƣời lãnh đạo có thể đƣa ra những quyết định kinh doanh đúng đắn và mang tính sống còn. Một đất nƣớc văn minh thì nhất định công nghệ thông tin cũng phát triển hiện đại. Xã hội càng phát triển thì vai trò của thông tin càng trở nên quan trọng, là yếu tố hàng đầu làm nên sức cạnh tranh kinh tế, chính trị và văn hóa của một quốc gia. Thông tin là sức mạnh, là tiền bạc vì nó có một vị thế tiên phong trong bối cảnh cạnh tranh toàn cầu hiện nay. Trong việc kinh doanh, chính mảng thông tin sẽ tạo ra nhiều lợi nhuận nhất cho các doanh nghiệp, vì nó cung cấp một cổng vào ngay lập tức cho khách hàng hay cho các đối tác tiềm năng. Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền kinh tế thị trƣờng. Có thể nói rằng, doanh nghiệp cần thông tin nhƣ cá cần nƣớc. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đƣa ra quyết định kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trƣờng kinh doanh sẽ trở nên thiếu tin cậy. Ngƣợc lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro. [7] 2.1.1.2. Đảm bảo ATBMTT trong doanh nghiệp. ATBMTT có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một môi trƣờng thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trƣờng thông tin lành mạnh. Điều này sẽ tác động mạnh đến ƣu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con ngƣời và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATBMTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải vấn đề riêng của ngƣời làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp. 6  An toàn thông tin( ATTT). Trƣớc đây việc giao dịch đƣợc thực hiện trực tiếp giữa bên mua và bên bán theo hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo. Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng. Bên mua và bên bán không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng nhƣ tài sản. Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên thứ ba biết đƣợc. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừa đảo. Có thể kể tới các trƣờng hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta cần tìm hiểu thế nào là ATTT? Một HTTT đƣợc coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi ngƣời không đƣợc phép. ATTT là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên nhƣ thiên tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định nhƣ tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý…[1] Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ đƣợc khắc phục kịp thời mà không gây thiệt hại đến cho chủ sở hữu. ATTT đó là việc đảm bảo đƣợc tính bảo mật qua việc đảm bảo dữ liệu của ngƣời sử dụng luôn đƣợc bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những ngƣời không sở hữu và luôn trong trạng thái sẵn sàng. Đồng thời có tính tin cậy đảm bảo thông tin mà ngƣời dùng nhận đƣợc là đúng. [1] Trên thực tế không thể đảm bảo an toàn 100%, nhƣng có thể giảm bớt các rủi ro không mong muốn dƣới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội . Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con ngƣời. Yếu tố công nghệ: bao gồm những sản phẩm nhƣ Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng nhƣ: trình duyệt Internet và phần mềm nhận Email từ máy trạm. Yếu tố con ngƣời: Là những ngƣời sử dụng máy tính, những ngƣời làm việc với thông tin và sử dụng máy tính trong công việc của mình. [6] 7 Theo ISO 17799, ATTT là khả năng bảo vệ đối với môi trƣờng thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia. Thông qua các chính sách về ATTT, lãnh đạo thể hiện ý chí và năng lực của mình trong việc quản lý HTTT. ATTT đƣợc xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng nhƣ các tài nguyên thông tin của các đối tác, các khách hàng trong một môi trƣờng thông tin toàn cầu. Nhƣ vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con ngƣời là mắt xích quan trọng nhất. Con ngƣời – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin . Hầu nhƣ phần lớn các phƣơng thức tấn công đƣợc hacker sử dụng là khai thác các điểm yếu của HTTT và đa phần các điểm yếu đó rất tiếc lại do con ngƣời tạo ra. Việc nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã đƣợc quy định rất rõ trong các chính sách về ATTT song việc tuân thủ các quy định lại không đƣợc thực hiện chặt chẽ. Việc đặt một mật khẩu kém chất lƣợng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công.[4]  Bảo mật thông tin( BMTT) Thông tin là một loại tài sản cũng giống nhƣ các tài sản khác của một doanh nghiệp. Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì vậy thông tin cần phải đƣợc bảo vệ thích hợp. Bảo vệ thông tin khỏi sự “mất cắp” cũng chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp. Đảm bảo cho doanh nghiệp tối thiểu hóa đƣợc các thiệt hại khi có rủi ro xẩy ra, đồng thời tối đa đƣợc các lợi nhuận thu đƣợc từ các hoạt động kinh doanh. Thông tin trung thực, tin cậy và sẵn sàn là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp. BMTT là ngăn chặn, phát hiện và xác định những tiếp cận thông tin trái phép. Nói chung, BMTT là bảo vệ thông tin trong các môi trƣờng cần bảo mật cao, ví dụ nhƣ các trung tâm quân sự hoặc kinh tế quan trọng. BMTT là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin. [1]  Bí mật nghĩa là đảm bảo thông tin chỉ đƣợc tiếp cận bởi những ngƣời đƣợc cấp quyền tƣơng ứng. Bí mật là yếu tố quan trọng nhất để đảm bảo trong các môi trƣờng, cả quân sự lẫn thƣơng mại.  Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ đƣợc thay đổi bởi những ngƣời đƣợc cấp quyền. 8  Tính sẵn sàng của thông tin là những ngƣời đƣợc cấp quyền sử dụng có thể truy xuất thông tin khi họ cần. BMTT chỉ mang lại lợi ích thiết thực khi chúng ta xây dựng một qui trình kiểm soát chặc chẽ và hoàn chỉnh bao gồm các chính sách , các thủ tục, cơ cấu tổ chức…. Các qui trình này phải đƣợc xây dựng đáp ứng đƣợc nhu cầu bảo mật cho từng đối tƣợng cụ thể. Hệ thống đƣợc coi là bảo mật nếu tính riêng tƣ của nội dung thông tin đƣợc đảm bảo theo đúng tiêu chí trong một thời gian xác định. [1] Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật đƣợc và ngƣợc lại hệ thống không bảo mật đƣợc thì mất an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI sự an toàn của HTTT đƣợc thực hiện chủ yếu ở các tâng dƣới, còn việc bảo mật nội dung thông tin đƣợc thực hiện ở các tầng trên. [6] 2.1.2. Một số lý thuyết liên quan. 2.1.2.1. Các rủi ro mất ATBMTT trong doanh nghiệp. Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 5 trong tổng số 10 nƣớc có nguy cơ mất ATTT cao nhất trong năm 2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nƣớc ngoài nhƣ McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên gia, tội phạm công nghệ cao đang gia tăng với xu hƣớng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ liệu của các cơ quan nhà nƣớc, e-banking, các công ty thƣơng mại điện tử liên tục xảy ra. Ngoài ra, số lƣợng lớn các vụ tấn công gây thiệt hại về kinh tế nhƣng rất khó ƣớc tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền kinh tế. Xét theo nguyên nhân, có thể chia nguy cơ mất ATBMTT thành 2 loại:  Nguy cơ ngẫu nhiên( nguyên nhân khách quan). Nguy cơ mất ATBMTT ngẫu nhiên có thể xuất phát từ các hiện tƣợng khách quan nhƣ thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện, hạ tầng năng lƣợng, truyền thông…Đây là những nguyên khách quan, khó dự đoán trƣớc, khó tránh đƣợc nhƣng đó lại không phải là nguy cơ chính của việc mất ATBMTT.  Nguy cơ có chủ định( nguyên nhân chủ quan). Nguy cơ mất ATBMTT có chủ định xuất phát từ tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý. Trên đây là các nguy cơ đến từ môi trƣờng bên ngoài doanh nghiệp. Trên thực tế, vấn đề ATBMTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất 9 phát từ chính nội tại doanh nghiệp nhƣ: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ, HTTT,..); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quy trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con ngƣời (vận hành, đạo đức nghề nghiệp). [1] Tấn công vào HTTT là hình thức làm hỏng hóc, thay đổi, sao chép, xóa bỏ hay can thiệp vào hoạt động HTTT. Có ba kịch bản tấn công điển hình: thu thập thông tin, khai thác lỗ hổng, tấn công từ chối dịch vụ. Xét theo cách thức thì có tấn công chủ động và bị động. Xét theo tài nguyên có tấn công do yếu tố con ngƣời và công nghệ. Xét theo hệ thống có tấn công máy đầu cuối, tấn công đƣờng truyền và tấn công máy chủ. Xét theo hình thức có tấn công vật lý và tấn công phần mềm. [1] Ở đây ta xét đến hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép, vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy đƣợc thông tin trên đƣờng truyền mà không gây ảnh hƣởng gì đến thông tin đƣợc truyền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trƣớc khi tấn công xảy ra. Thông thƣờng kẻ tấn công sẽ sử dụng các thiết bị phần cứng nhƣ thiết bị bắt sóng Wifi để tóm những gói tin đƣợc truyền trong vùng phủ sóng hay sử dụng các chƣơng trình phần mềm packet sniff nhằm bắt các gói tin. Các kiểu tấn công của thƣờng gặp là nghe trộm đƣờng truyền và phân tích lƣu lƣợng. Nghe trộm đƣờng truyền là hình thức hay dùng trong do thám, kẻ nghe lén bằng cách nào đó xen ngang quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra những thông tin quan trọng. Phân tích lƣu lƣợng là dựa vào sự thay đổi lƣu lƣợng của luồng thông tin truyền trên mạng nhằm xác định đƣợc một số thông tin có ích. Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp đƣợc lƣu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của ngƣời dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của ngƣời dùng. Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào. Ngƣời dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lƣu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. 10 Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do ngƣời gần gũi với nạn nhân thực hiện. Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông ngƣời dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của ngƣời dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của Computer World). Hình thức phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo ngƣời gửi, cách phòng tránh duy nhất là ý thức của ngƣời dùng. Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đƣờng đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đƣờng truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhƣng lại dễ phát hiện đƣợc. Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía ngƣời dùng: đảm bảo hệ điều hành và tất cả ứng dụng đƣợc cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chƣơng trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng ngƣời dùng "đi lạc" sang các website lừa đảo. Ngoài ra còn một số hình thức tấn công nhƣ tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngƣng hoạt động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 bƣớc của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác. Tấn công dữ liệu trên thực tế thƣờng là sử dụng virus, trojan để ăn cắp dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng nhƣ các chƣơng trình ứng dụng. 2.1.2.2. Yêu cầu của đảm bảo ATBMTT doanh nghiệp.  Các yêu cầu của ATTT hệ thống: Tính bí mật( Security): đảm bảo dữ liệu của ngƣời sử dụng luôn đƣợc bảo vệ, không bị xâm phạm bởi những ngƣời không đƣợc phép. Tính toàn vẹn( Integrity): dữ liệu không bị tạo ra, sửa đổi hay xóa bỏ bởi những ngƣời không sở hữu. 11 - Tính sẵn sàng( Availability): dữ liệu phải luôn trong trạng thái sẵn sang. - Tính tin cậy( Confidentiality): thông tin ngƣời dùng nhận đƣợc là đúng. Doanh nghiệp phải đảm bảo các yếu tố của mô hình C-I-A ( Confidentiality, Intergrity, Availability). Xây dựng trung tâm dự phòng thông tin trong tổng thể an ninh hệ thống phần nào đảm bảo tính liên tục( Availability). [1]  Các yêu cầu của hệ thống đảm bảo ATBMTT cho doanh nghiệp.  Yêu cầu về các thiết bị phần cứng. Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy tính nhƣ là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ DVD, ...Dựa trên chức năng và cách thức hoạt động ngƣời ta còn phân biệt phần cứng ra thành thiết bị nhập (Input), thiết bị xuất (Output), thiết bị xử lý (Processing Device) và thiết bị lƣu trữ (Storage Device). Ngoài yêu cầu các thiết bị phần cứng cơ bản nhƣ máy tính, máy in, máy fax, thiết bị và đƣờng truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử dụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết bị tối ƣu mạng WAN Exinda, thiết bị bảo mật thƣ điện tử chuyên dụng của hãng O2Micro’s SifoML,…..[6]  Yêu cầu về phần mềm. Phần mềm (tiếng Việt còn đƣợc gọi là nhu liệu; tiếng Anh: software) là một tập hợp những câu lệnh đƣợc viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tự xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào đó. Theo phƣơng thức hoạt động, phần mềm đƣợc chia thành hai loại là phần mềm hệ thống và phần mểm ứng dụng. Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATBMTT, các phần mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các phần mềm có bản quyền, đƣợc nâng cấp, cập nhật thƣờng xuyên bởi nhà sản xuất nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật. Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc cài đặt các phần mềm bảo mật nhƣ phần mềm chống virus, spyware và phishing; phần mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã hóa dữ liệu, phần mềm chống thƣ rác….[6]  Yêu cầu về mạng. Hệ thống mạng là một tập hợp các thiết bị và hệ thống đầu cuối đƣợc kết nối với nhau sao cho chúng có thể giao tiếp (chia sẻ dữ liệu, tài nguyên) đƣợc với nhau. 12 Cùng với các thiết bị bảo mật đƣợc trang bị thì doanh nghiệp cũng cần xây dựng các mô hình, giao thức mạng an toàn nhƣ giao thức bảo mật SSL, SET, TLS hay Kerberos. Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trƣờng mạng Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của HTTT, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ không cần thiết. Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu nhằm tăng cƣờng công tác bảo mật. [6]  Yêu cầu về CSDL. CSDL là tài nguyên thông tin chung cho nhiều ngƣời cùng sử dụng. Bất kỳ ngƣời sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truy nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay tƣơng tác mà không phụ thuộc vào vị trí địa lý của ngƣời sử dụng với các tài nguyên đó. Thiết lập và cấu hình CSDL an toàn, luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu. Gỡ bỏ các CSDL không sử dụng, có các cơ chế sao lƣu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung nhƣ: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,...Thƣờng xuyên kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục, thƣ mục cho từng phòng/đơn vị trực thuộc. [6]  Con người. Đối với một hệ thống đảm bảo ATBMTT doanh nghiệp, con ngƣời luôn có vai trò rất quan trọng. Có thể coi con ngƣời nhƣ là não bộ của hệ thống, điều hành mọi hoạt động của hệ thống. Một hệ thống đƣợc xây dựng nhằm mục đích đảm bảo ATBMTT, dù cho các thành phần cơ bản trên có đƣợc đầu tƣ nhiều đến đâu mà yếu tố con ngƣời không đáp ứng đƣợc yêu cầu của hệ thống thì hệ thống đó cũng không thể phát huy đƣợc tính năng và hiệu quả của nó. Con ngƣời là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu ra mong muốn. Những ngƣời sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về ATBMTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dƣỡng nghiệp vụ cho đội ngũ cán bộ ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho ngƣời dùng máy tính về phòng, chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet. [6] 13 2.1.2.3. Quy trình chung đảm bảo ATBM hệ thống. Bƣớc 1: thành lập bộ phận chuyên trách về vấn đề ATBM. Bƣớc 2: thu thập thông tin. Bƣớc 3: thẩm định tính rủi ro của HTTT. Bƣớc 4: xây dựng giải pháp bảo đảm an toàn cho hệ thống. Bƣớc 5: thực hiện và giáo dục. Bƣớc 6: kiểm tra, phân tích và thực hiện. 2.1.3. Phân định nội dung nghiên cứu. Với đề tài: “Một số giải pháp nâng cao tính an toàn và bảo mật thộng tin cho Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT”, mục tiêu cụ thể đặt ra là làm rõ đƣợc các vấn đề về ATBMTT, thực trạng và giải pháp nâng cao ATBMTTT cho Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT. Căn cứ vào tên và những mục tiêu của đề tài, trong phần 3 định hƣớng và đề xuất giải pháp em sẽ tập trung vào những giải pháp cho phần cứng và phần mềm cho Công ty. 2.1.3.1. Các phương pháp phòng tránh và khắc phục.  Phòng tránh là cách thức sử dụng các phƣơng pháp, phƣơng tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải. Để phòng tránh nguy cơ mất ATBMTT, trƣớc hết, doanh nghiệp cần bố trí nhân lực để tăng cƣờng khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT và ngăn chặn, khắc phục kịp thời các sự cố ATBMTT trên mạng máy tính. Đặc biệt, cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các HTTT, lập kế hoạch đào tạo bồi dƣỡng nghiệp vụ cho đội ngũ cán bộ ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho ngƣời dùng máy tính về phòng, chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet. Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo ATBMTT, chống virus và mã độc hại cho các HTTT và máy tính cá nhân có kết nối mạng Internet. [1]  Khắc phục hậu quả là sử dụng các phƣơng pháp, phƣơng tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó. Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lƣu, phục hồi máy chủ, máy trạm. Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lƣu tập trung biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng. [1] 14
- Xem thêm -

Tài liệu liên quan