(Luận văn đại học thương mại) một số giải pháp bảo mật cho HTTT của công ty cổ phần truyền thông green stars
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (884.39 KB, 50 trang )
LỜI CẢM ƠN
Để hồn thành bài khóa luận này, bên cạnh sự cố gắng nỗ lực của bản thân, em
cũng đã nhận được sự chỉ dẫn, giúp đỡ nhiệt tình của giáo viên hướng dẫn Th.S
Nguyễn Quang Trung, cùng với sự hỗ trợ từ phía Cơng ty cổ phần truyền thông
Green Stars.
Em xin gửi lời cám ơn tới Khoa Hệ thống thông tin kinh tế và Thương mại
điện tử, trường Đại học Thương mại, cám ơn các quý thầy cô trong khoa đã tận tình
truyền đạt các kiến thức quý báu cho em trong suốt quá trình học tập và tạo điều
kiện tốt nhất cho em hoàn thành đề tài khóa luận của mình.
Em xin được gửi lời cảm ơn tới thầy Th.S Nguyễn Quang Trung – Giáo viên
hướng dẫn đã tận tình chỉ bảo em trong suốt quá trình thực hiện đề tài lời cảm ơn và biết
ơn sâu sắc nhất. Bên cạnh những kiến thức khoa học, thầy đã giúp em nhận ra những bài
học về phong cách học tập, làm việc và những kinh nghiệm sống quý báu.
Bên cạnh đó, em cũng xin gửi lời cảm ơn tới các anh/chị thuộc Công ty cổ
phần truyền thông Green Stars đã nhiệt tình giúp đỡ và tạo mọi điều kiện cho em
tìm hiểu các hoạt động thực tiễn bên trong công ty, cung cấp các tài liệu cần thiết để
em có thể thực hiện tốt bài khóa luận của mình.
Trong quá trình thực tập và làm bài khóa luận dù đã cớ gắng nhưng do thời
gian và trình độ cịn hạn chế nên khơng thể tránh khỏi những thiếu sót. Em rất mong
nhận được ý kiến đóng góp, bở sung ý kiến của thầy, cô để khóa luận tốt nghiệp này
được hoàn chỉnh hơn.
Em xin chân thành cảm ơn !
i
LUAN VAN CHAT LUONG download : add
MỤC LỤC
LỜI CẢM ƠN..........................................................................................................i
DANH MỤC TỪ VIẾT TẮT.................................................................................iv
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ....................................................v
1. Lý do lựa chọn đề tài nghiên cứu...........................................................................1
2. Mục tiêu và nhiệm vụ nghiên cứu.........................................................................1
3. Đối tượng và phạm vi nghiên cứu.........................................................................2
4. Phương pháp nghiên cứu.......................................................................................2
5. Nội dung khóa luận tốt nghiệp...............................................................................3
CHƯƠNG 1 CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT. . .4
1.1. Những khái niệm cơ bản.....................................................................................4
1.1.1. Khái niệm chung..............................................................................................4
1.1.2. Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp..........5
1.2. Một số lý thuyết về an toàn bảo mật HTTT trong doanh nghiệp........................9
1.2.1. Vai trò của an toàn bảo mật thông tin.............................................................9
1.2.2. Các nguy cơ mất an toàn và bảo mật trong HTTT...........................................9
1.2.3. Các giải pháp đảm bảo an toàn và bảo mật HTTT........................................11
1.2.4. Quy trình xây dựng hệ thống thông tin an toàn.............................................15
1.3. Tổng quan tình hình nghiên cứu.......................................................................16
1.3.1. Tình hình nghiên cứu trong nước..................................................................16
1.3.2. Tình hình nghiên cứu trên thế giới.................................................................16
CHƯƠNG 2 KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ĐẢM
BẢO AN TOÀN HTTT CHO CƠNG TY CỔ PHẦN TRUYỀN THƠNG
GREEN STARS.....................................................................................................18
2.1. Tởng quan về doanh nghiệp và tình hình hoạt động kinh doanh của doanh
nghiệp...................................................................................................................... 18
2.1.1 Thông tin chung về công cổ phần truyền thông Green Stars..........................18
2.1.2. Quá trình thành lập.......................................................................................18
2.1.3. Cơ cấu tổ chức...............................................................................................19
2.1.4. Lĩnh vực hoạt động........................................................................................20
2.1.5. Kết quả hoạt động kinh doanh trong 3 năm gần đây.....................................21
2.2 Thực trạng vấn đề đảm bảo an toàn HTTT cho Công ty cổ phần truyền thơng
Green Stars..............................................................................................................21
2.2.1. Phân tích thực trạng an tồn bảo mật thông tin của công ty........................21
2.2.2. Đánh giá thực trạng bảo mật thông tin cho hệ thống thông tin của công ty. 30
ii
LUAN VAN CHAT LUONG download : add
CHƯƠNG 3 CÁC ĐỊNH HƯỚNG VÀ ĐỀ XUẤT VỀ VẤN ĐỀ ĐẢM BẢO
AN TOÀN HTTT TRONG CÔNG TY CỔ PHẦN TRUYỀN THƠNG GREEN
STARS.................................................................................................................... 32
3.1. Định hướng phát triển của cơng ty....................................................................32
3.2 Một số giải pháp và kiến nghị với tổ chức cấp cao hơn.....................................32
3.2.1. Một số giải pháp cho công ty.........................................................................32
3.2.2. Các kiến nghị với các tổ chức cấp cao hơn...................................................41
KẾT LUẬN............................................................................................................42
iii
LUAN VAN CHAT LUONG download : add
DANH MỤC TỪ VIẾT TẮT
Tên từ viết tắt
Thuật ngữ
Giải nghĩa
ACL
Access Control
Danh sách quản lý truy cập,
nhiệm vụ cơ bản là lọc gói tin
AES
Advanced Encryption Standard
Tiêu chuẩn mã hóa tiên tiến
CNTT
Cơng nghệ thông tin
CMAC
Cipher-based Message Authentication Mã xác thực tin nhắn dựa trên
Code
mật mã
CPU
Central Processing Unit
Bộ xử lý trung tâm
CSDL
DMZ
Cơ sở dữ liệu
Demilitarized Zone
Là khu vực bảo mật thực hiện
ngăn những lưu lượng Internet
cách xa hệ thống mạng cuc bộ
HTTT
Hệ thống thông tin
LAN
Local Area Network
RDBMS
Relational Database
System
Secure Sockets Layer
SSL
TCP/IP
Transmission
Protocol
Control
Mạng cục bộ
Management Hệ thống quản lý cơ sở dữ liệu
Giao thức an ninh thông tin
mạng
/
TMĐT
Internet Bộ giao thức liên mạng
Thương mại điện tử
VPN
Virtual Private Network
Mạng riêng ảo
WLAN
Wifi Local Area Network
Mạng cục bộ không dây
WEP
Wireless Encryption Protocol
Giao thức mã hố mạng khơng
dây
WPA
WiFi Protected Access
Giao thức mã hố mạng khơng
dây
WPA2
WiFi Protected Access II
Giao thức mã hố mạng khơng
dây
iv
LUAN VAN CHAT LUONG download : add
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Bảng
Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước........................20
Bảng 2.2: Bảng báo cáo kết quả kinh doanh của công ty ba năm 2015-2017..........21
Bảng 2.3: Bảng thống kê sơ bộ về trang thiết bị các phòng ban trong công ty........22
Biểu đồ
Biểu đồ 2.1 Mức độ đảm bảo an toàn bảo mật HTTT trong công ty.......................25
Biểu đồ 2.2 Mức độ quan trọng của các thành phần trong HTTT của cơng ty.........26
Biểu đờ 2.3 Thách thức về an tồn bảo mật dữ liệu đối với công ty........................26
Biểu đồ 2.4 Mức độ an tồn, bảo mật thơng tin trong cơng ty.................................27
Biểu đồ 2.5 Tần suất sao lưu dữ liệu trong công ty.................................................28
Biểu đồ 2.6 Giao thức bảo mật mạng không dây trong công ty...............................28
Biểu đồ2.7 Mức độ trang thiết bị phần cứng bảo mật trong cơng ty........................29
Hình vẽ
Hình 2.1: Sơ đồ cơ cấu tổ chức của Công ty cổ phần truyền thông Green Stars......19
Hình 2.2 Cấu trúc mạng hình sao............................................................................23
Hình 3.1: Chức năng liệt kê các phần mềm được cài trong máy tính Programs and
Features................................................................................................................... 33
Hình 3.2: Chức năng tưởng lửa trên máy tính.........................................................34
Hình 3.3: Chức năng thiết lập cập nhật các phần mềm và hệ điều hành Windows. 35
Hình 3.4: Thiết bị định tuyến Cisco RV220W.........................................................36
Hình 3.5: Cấu hình điển hình...................................................................................37
v
LUAN VAN CHAT LUONG download : add
PHẦN MỞ ĐẦU
1. Lý do lựa chọn đề tài nghiên cứu
Trong mỗi tổ chức, mỗi doanh nghiệp việc thu thập và nắm bắt thông tin là
vấn đề hết sức quan trọng. Nó là một trong những yếu tố mang lại sự thành công
cho mỗi tổ chức, mỗi cá nhân biết tận dụng và khai thác nó.
Cùng với sự phát triển mạnh mẽ của công nghệ như hiện nay, việc thu thập, xử
lý thơng tin khá dễ dàng và nhanh chóng. Song song với sự phát triển này, cùng với
cách quản lý nhân lực, tài sản nói chung và tài sản thơng tin nói riêng của mỗi tổ
chức, là sự phát triển của các loại hình đánh cắp thơng tin, xâm nhập hệ thống thông
tin (HTTT) trái phép, bao gồm cả bên trong nội bộ và bên ngồi tổ chức. Có thể coi
HTTT như là thành phần quan trọng của doanh nghiệp, nó quyết định mọi hoạt
động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọng đó mà khi
HTTT bị mất an tồn có thể gây thiệt hại nặng nề cho doanh nghiệp. Chính vì vậy,
cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp.
Là một doanh nghiệp kinh doanh trong lĩnh vực bất động sản, việc đảm bảo an
toàn thông tin và HTTT trong doanh nghiệp là rất cần thiết, nó ảnh hưởng trực tiếp
và gián tiếp đến các hoạt động kinh doanh của công ty. Tuy nhiên, trong quá trình
thực tập và tìm hiểu tại Công ty cổ phần Truyền thơng Green Stars, em thấy cơng ty
vẫn chưa có sự đầu tư đúng mức cho vấn đề an toàn bảo mật hệ thống thơng tin của
mình. Trong cơng ty vẫn còn xảy ra tình trạng thất lạc thông tin dữ liệu, hệ thống
gặp sự cố, sự đồng bộ hóa thông tin chưa cao. Chính vì vậy, em xin được thực hiện
đề tài khóa luận: “Một số giải pháp bảo mật cho HTTT của Công ty cổ phần Truyền
thông Green Stars ”.
2. Mục tiêu và nhiệm vụ nghiên cứu
Mục tiêu và nhiệm vụ nghiên cứu của đề tài là tập hợp và hệ thống hóa một
số lý thuyết cơ bản về an toàn bảo mật HTTT, để từ đó xem xét đánh giá phân tích
thực trạng vấn đề an tồn bảo mật HTTT trong cơng ty. Từ những đánh giá phân
tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính an
tồn bảo mật HTTT trong doanh nghiệp.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
- Làm rõ cơ sở lý luận về an tồn bảo mật HTTT trong Cơng ty cổ phần truyền
thơng Green Stars.
tồn bảo mật HTTT trong Cơng ty cổ phần Truyền thông Green Stars dựa trên
tài liệu thu thập được.
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mật
HTTT trong Công ty cổ phần truyền thông Green Stars.
1
LUAN VAN CHAT LUONG download : add
3. Đối tượng và phạm vi nghiên cứu
3.1 Đối tượng nghiên cứu
Giải pháp bảo mật cho HTTT của Công ty cổ phần Truyền thông Green Stars
3.2 Phạm vi nghiên cứu
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu
của đề tài chỉ giới hạn trong một doanh nghiệp và chỉ trong khoảng thời gian ngắn
hạn. Cụ thể:
- Về không gian: Nội dung đề tài chỉ mang tính vi mơ, tập trung nghiên cứu
tình hình an tồn bảo mật HTTT tại Cơng ty cổ phần Truyền thông Green Stars
nhằm đưa ra một số giải pháp nâng cao an toàn bảo mật HTTT.
- Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời
trình bày các nhóm giải pháp, định hướng phát triển trong tương lai của công ty.
4. Phương pháp nghiên cứu
4.1. Phương pháp thu thập dữ liệu
Thu thập dữ liệu thứ cấp: Tìm hiểu các thông tin về an toàn bảo mật HTTT
qua Internet, qua các công trình nghiên cứu khoa học đã thực hiện và tài liệu sách
báo có liên quan.
Thu thập dữ liệu sơ cấp:
Phương pháp sử dụng phiếu điều tra:
- Nội dung: Xây dựng phiếu điều tra thu thập dữ liệu từ đối tượng là nhân
viên công ty về hoạt động đảm bảo an toàn bảo mật HTTT bên trong doanh nghiệp.
- Cách thức tiến hành: Phiếu điều tra sẽ được phát cho 10 nhân viên trong
công ty để thu thập dữ liệu.
- Mục đích: Nhằm thu thập những thơng tin về hoạt động an tồn bảo mật
HTTT của cơng ty, từ đó phân tích, đánh giá thực trạng triển khai và đưa ra những
giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn bảo
mật HTTT trong Công ty cổ phần truyền thông Green Stars.
Phương pháp phỏng vấn trực tiếp:
- Nội dung: Đưa ra một số câu hỏi về tình trạng mất an toàn và bảo mật
HTTT của công ty trong vòng 3 năm gần đây.
- Cách thức tiến hành: Phỏng vấn riêng 2 nhân viên của cơng ty về hoạt đợng
đảm bảo an tồn bảo mật HTTT bên trong doanh nghiệp.
- Mục đích: Nhằm khảo sát ý kiến một cách trực quan nhất về hoạt động an
toàn bảo mật HTTT trong doanh nghiệp.
4.2. Phương pháp xử lý dữ liệu
Từ những dữ liệu thu thập được sau khi tiến hành điều tra phỏng vấn và thu
thập tài liệu sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin
2
LUAN VAN CHAT LUONG download : add
phù hợp với mục đích nghiên cứu của đề tài. Trong q trình xử lý thơng tin, ta cần
chia thơng tin ra làm hai phương pháp chính:
- Phương pháp định lượng: Sử dụng phần mềm Excel nhằm phân tích, so
sánh các nguồn thông tin thu thập được để có cái nhìn chính xác nhất về tình hình
an toàn bảo mật HTTT trong doanh nghiệp.
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi
phỏng vấn, phiếu điều tra và các tài liệu thu thập được.
5. Nội dung khóa luận tốt nghiệp
Chương 1: Cơ sở lý luận đảm bảo an toàn HTTT.
Chương 2: Phân tích, đánh giá thực trạng đảm bảo an toàn HTTT cho Công ty
cổ phần truyền thông Green Stars.
Chương 3: Các kết luận và đề xuất giải pháp đảm bảo an toàn HTTT trong
Công ty cổ phần truyền thông Green Stars.
3
LUAN VAN CHAT LUONG download : add
CHƯƠNG 1
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT
1.1. Những khái niệm cơ bản
1.1.1. Khái niệm chung
- Theo [1] thì khái niệm dữ liệu là: các giá trị phản ánh về sự vật, hiện tượng
trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử
dụng. Có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng.
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình
ảnh,...
- Theo [1] thì thông tin là: ý nghĩa được rút ra từ dữ liệu thơng qua q trình
xử lý (phân tích, tổng hợp…), phù hợp với mục đích của người sử dụng. Thông tin
có thể gồm nhiều giá trị dữ liệu được tổ chức sao cho nó mang lại một ý nghĩa cho
một đối tượng cụ thể, trong một ngữ cảnh cụ thể. Những thông tin có giá trị là
những thông tin mang các đặc điểm sau: chính xác, xác thực; đầy đủ, chi tiết; rõ
ràng (dễ hiểu); đúng lúc, thường xuyên; thứ tự, có liên quan;…
- Theo [1] thì khái niệm hệ thống là: một tập hợp có tổ chức gồm nhiều phần
tử có các mối quan hệ ràng buộc lẫn nhau và cùng hoạt động hướng tới một mục
tiêu chung. Phần tử ở đây có thể là vật chất hoặc phi vật chất: con người, máy móc,
thông tin, dữ liệu, phương pháp xử lý, quy tắc, quy trình xử lý.
- Theo [1] thì hệ thống thông tin được xác định như: một tập hợp các thành
phần được tổ chức (người, thủ tục, và các nguồn lực) để thu thập, xử lý, lưu trữ,
truyền và phát thông tin trong tổ chức. Hệ thống thông tin có thể là thủ công nếu
dựa vào các công cụ như giấy, bút. Hệ thống thông tin hiện đại là hệ thống tự động
hóa dựa vào máy tính (phần cứng, phần mềm) và các cơng nghệ thơng tin khác.
- Theo [2] thì khái niệm an tồn thơng tin: Thơng tin được coi là an tồn khi
thơng tin đó khơng bị làm hỏng hóc, khơng bị sửa đổi, thay đổi, sao chép hoặc xóa
bỏ bởi người không được phép.
- Bảo mật thông tin là duy trì tính bí mật (Confidentiality), tính tồn vẹn
(Integrity) và tính sẵn sàng (Availability) của thơng tin.
+ Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp
quyền mới được phép truy cập vào hệ thống. Đây là u cầu quan trọng của bảo mật
thơng tin bởi vì đối với các tổ chức doanh nghiệp thì thơng tin là tài sản có giá trị
hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống
sẽ làm cho thơng tin bị thất thốt đồng nghĩa với việc tài sản của công ty bị xâm hại,
có thể dẫn đến phá sản.
4
LUAN VAN CHAT LUONG download : add
+ Tính tồn vẹn (Integrity): Đảm bảo rằng thơng tin ln ở trạng thái đúng,
chính xác, người sử dụng ln được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thơng tin. Kẻ tấn cơng
khơng chỉ có ý định đánh cắp thơng tin mà cịn mong muốn làm cho thông tin bị
mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho cơng ty.
+ Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy
nhập được vào hệ thống. Có thể nói rằng đây là yêu cầu quan trọng nhất, vì thơng
tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được
đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thơng tin cũng trở nên
mất giá trị.
1.1.2. Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh
nghiệp
1.1.2.1. Khái niệm về phần mềm độc hại
- Phần mềm độc hại (Malware) là bất kỳ loại phần mềm nào có thể làm hại
máy tính của bạn, các phần mềm độc hại tấn công bằng nhiều phương pháp khác
nhau để xâm nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy
tính (Worm), phần mềm gián điệp (Spyware),...
+ Virus: Là một chương trình máy tính có thể tự sao chép chính nó lên những
đĩa, file khác mà người sử dụng không hay biết. Thông thường virus máy tính mang
tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các
tính chất: Kích thước nhỏ, có tính lây lan từ chương trình này sang chương trình
khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá
hoại thơng thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy
nhiên cũng có một số virus khơng gây hại như chương trình được tạo ra chỉ với mục
đích trêu đùa).
Các nguồn phổ biến nhất để lây nhiễm virus là ổ đĩa USB, Internet và file đính
kèm trong email. Để ngăn chặn virus lây lan từ USB, bạn nên làm cho nó an tồn
bằng cách qt virus trước khi sử dụng trên máy tính.
+ Sâu máy tính (Worm): Là loại virus lây từ máy tính này sang máy tính khác
qua mạng, khác với loại virus truyền thống trước đây chỉ lây trong nội bộ một máy
tính và nó chỉ lây sang máy khác khi ai đó đem chương trình nhiễm virus sang máy
này. Chúng thường sử dụng các lỗ hổng bảo mật của một mạng lưới để trốn bên
trong mỗi máy tính thuộc mạng này mà khơng cần sự can thiệp của người dùng.
Chúng có thể phá hủy tất cả các máy tính trong mạng chỉ trong vịng vài phút.
Sự khác biệt chính giữa một loại virus và worms chính là việc worms thực
hiện sao chép chính nó qua mạng và nó là một chương trình độc lập riêng, trong khi
5
LUAN VAN CHAT LUONG download : add
virus có thể lây lan thơng qua các phương tiện khác như thiết bị truyền thơng di
động, và chúng có thể gắn với các chương trình khác. Một số ví dụ nổi tiếng của
worms như sâu Iloveyou, Conficker,…
Nếu hệ thống mạng máy tính dính worms, bạn nên ngắt kết nối tất cả các máy
tính trong mạng đó, sau đó qt toàn bộ với một phần mềm chống virus tốt, rồi kết
nối chúng trở lại với mạng khi đã chắc chắn rằng khơng cịn dấu vết nào của worms,
nếu khơng worms sẽ tự tái tạo lại và khởi động lại toàn bộ chu kỳ.
+ Ngựa Trojan/Backdoor: Trojan là một trong những mối đe dọa nguy hiểm
nhất với máy tính. Chúng là một mã độc ẩn bên trong một phần mềm có vẻ hữu ích
nhưng bí mật kết nối đến máy chủ độc hại và chạy nền nên bạn không hề hay biết.
Trojan thường được sử dụng để điều khiển hoàn toàn máy tính từ xa. Nếu máy tính
bị nhiễm trojan, bạn nên ngắt kết nối Internet và không kết nối lại cho đến khi trojan
đó được loại bỏ hoàn toàn.
Tường lửa có thể sẽ phát hiện các hoạt động đáng ngờ của trojan. Windows
Firewall là một tường lửa rất cơ bản có sẵn của Windows, bạn có thể sử dụng các công
cụ nâng cao đi kèm phần mềm diệt virus như Kaspersky Internet Security. Chỉ cần nhớ
rằng trojan không thể cài đặt tự động như virus, chúng cần phải được cài đặt bởi người
sử dụng. Bạn phải rất cẩn thận trong khi cài đặt hoặc chạy bất kỳ chương trình nào, chỉ
nên chạy những công cụ được cung cấp từ nguồn mà bạn tin tưởng.
+ Phần mềm quảng cáo (Adware) sẽ phục vụ quảng cáo trên máy tính, có thể
hoặc khơng có thể đóng/vơ hiệu hóa bởi người sử dụng. Phần mềm quảng cáo
khơng có hại, nhưng chúng sẽ tiếp tục hiển thị quảng cáo trên máy tính, gây khó
chịu cho người dùng. Phần mềm quảng cáo thường đi kèm với các ứng dụng hợp
pháp. Cách tốt nhất để ngăn cản chúng cài vào máy tính của bạn là thận trọng mỗi
khi đánh dấu "check" vào các tùy chọn lúc cài đặt ứng dụng. Ngày nay, phần mềm
quảng cáo chủ yếu được cài đặt trên thanh cơng cụ của trình duyệt. Vì vậy, gỡ bỏ
các thành phần bổ sung rác sẽ giúp bạn được thốt khỏi các quảng cáo khó ưa.
+ Phần mềm gián điệp (Spyware): Như tên của nó, phần mềm gián điệp được
phát triển nhằm đánh cắp thông tin của bạn từ máy tính và gửi lại cho người viết ra
nó. Một số thơng tin dễ bị đánh cắp bởi phần mềm gián điệp bao gồm thơng tin thẻ
tín dụng, thông tin đăng nhập trang web, tài khoản email,... Phần mềm gián điệp sẽ
không gây tổn hại cho hệ thống của bạn, chính vì vậy mà hầu hết người dùng khơng
nhận thấy sự tồn tại của nó. Hiện nay, các phần mềm chống virus hiện đại cũng bao
gồm công cụ chống phần mềm gián điệp.
1.1.2.2 Khái niệm về một số biện pháp, cơng nghệ an tồn bảo mật thơng tin
Để bảo vệ người dùng, các chuyên gia bảo mật nghiên cứu thiết kế các hệ
phòng vệ như tường lửa (Firewall), mã hóa (Encryption), xác thực (Authentication),
6
LUAN VAN CHAT LUONG download : add
quét virus (Anti-virus), lọc thư rác (Spam filter), chống gián điệp (Anti-spyware)...
Tuy nhiên các cơng cụ này chỉ có thể phát huy tác dụng đối với người dùng cẩn
trọng.
- Trong Công nghệ mạng thông tin, tường lửa (Firewall) là một kỹ thuật được
tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số
thông tin khác không mong muốn.
+ Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn
truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá
hoại hay làm tê liệt hệ thống của bạn. Ngồi ra vì các nguồn truy cập ra vào giữa
mạng nội bộ và mạng khác đều phải thông qua tường lửa nên tường lửa cịn có tác
dụng theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với
những luồng lưu lượng đáng ngờ như khố lại một số nguồn dữ liệu khơng cho
phép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó.
Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với những
máy tính thường xuyên kết nối Internet.
- Mã hóa là cơ chế cơ bản nhất nhằm đảm bảo tính bí mật của thơng tin. Mã
hóa (Encryption) là q trình chuyển văn bản rõ thành văn bản mã hóa. Giải mã
(Decryption) là quá trình đưa văn bản mã hóa về lại văn bản gốc ban đầu.
+ Mã hóa là một kỹ thuật cơ sở quan trọng trong bảo mật thông tin. Nguyên
tắc của mã hóa là biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có
những thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu được.
+ Một thực thể hợp lệ có thể là một người, một máy tính hay một phần mềm
nào đó được phép nhận thông tin. Để có thể giải mã được thông tin mật, thực thể đó
cần phải biết cách giải mã (tức là biết được thuật toán giải mã) và các thông tin
cộng thêm (khóa bí mật).
+ Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào
đó được gọi là quá trình mã hóa. Quá trình biến đổi thông tin mật về dạng thông tin
gốc ban đầu gọi là quá trình giải mã. Đây là hai quá trình không thể tách rời của một
kỹ thuật mã hóa bởi vì mã hóa (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã
(phục hồi lại) được thông tin đó. Do vậy, khi chỉ dùng thuật ngữ mã hóa thì nó có
nghĩa bao hàm cả mã hóa và giải mã.
- Trong An ninh máy tính, xác thực là một quy trình nhằm cố gắng xác minh
nhận dạng số của phần truyền gửi thông tin trong giao thông liên lạc chẳng hạn như
một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng sử
dụng một máy tính, bản thân một máy tính hoặc một chương trình ứng dụng máy.
7
LUAN VAN CHAT LUONG download : add
+ Các cơ chế xác thực như hàm băm và chữ ký số có chức năng bảo đảm tính
toàn vẹn của thông tin. Nguyên tắc của hàm băm là biến đổi khối thông tin gốc có
độ dài bất kỳ thành một đoạn thông tin ngắn hơn có độ dài cố định gọi là mã băm.
Mã băm được dùng để kiểm tra tính chính xác của thông tin nhận được. Thông
thường, mã băm được gởi kèm với thông tin gốc. Ở phía nhận, hàm băm lại được áp
dụng đối với thông tin gốc để tìm ra mã băm mới, giá trị này được so sánh với mã
băm đi kèm với thông tin gốc.
+ Chữ ký số là một cơ chế xác thực cho phép người tạo ra thông tin gắn thêm
một đoạn mã đặc biệt vào thông tin có tác dụng như một chữ ký. Chữ ký được tạo ra
bằng cách áp dụng một hàm băm lên thông tin gốc, sau đó mã hóa thông tin gốc
dùng khóa riêng của người gửi. Chữ ký số có mục đích đảm bảo tính toàn vẹn về
nguồn gốc và nội dung của thông tin.
- Để có thể bảo vệ dữ liệu khỏi những người truy cập không được phép, người
ta dùng khái niệm “kiểm soát truy cập” (Access Control). Khái niệm kiểm soát truy
cập này có hai yếu tố sau:
+ Chứng thực truy cập (Authentication): Xác nhận rằng đối tượng (con người
hay chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: Để sử
dụng máy tính thì trước tiên đối tượng cần phải đăng nhập (logon) vào máy tính
bằng tên đăng nhập (username) và mật khẩu (password). Ngồi ra, cịn có các
phương pháp chứng thực khác như sinh trắc học (dấu vân tay, mống mắt…) hay
dùng thẻ (thẻ ATM…).
+ Phân quyền (Authorization): Các hành động được phép thực hiện sau khi đã
truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào hệ
điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc bạn chỉ
có quyền đọc file mà khơng có quyền xóa file. Với ngun tắc như vậy thì một máy
tính hoặc một mạng máy tính được bảo vệ khỏi sự thâm nhập của các đối tượng
không được phép.
- Mạng riêng ảo VPN (Virtual Private Network) được hiểu đơn giản như là sự
mở rộng của một mạng riêng (Private Network) thông qua các mạng công cộng. Về
căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là
Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng
từ xa. Thay cho việc sử dụng các kết nối thực, chuyên dùng, mỗi VPN sử dụng các
kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site
hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng
mà vẫn bảo đảm tính an tịan và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu
trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi. Các dữ
liệu quan trọng sẽ được che giấu đối với những người khơng có quyền truy cập và
cho phép truy cập đối với những người dùng có quyền truy cập.
1.2. Mợt sớ lý thuyết về an toàn bảo mật HTTT trong doanh nghiệp
8
LUAN VAN CHAT LUONG download : add
1.2.1. Vai trò của an toàn bảo mật thông tin
Khi cơng nghệ thơng tin (CNTT), máy tính, Internet, các phương tiện truyền tải
thông tin ngày càng phát triển, hiện đại và tiện dụng, con người phụ thuộc nhiều hơn
vào máy móc thì nguy cơ rị rỉ, thất thốt thơng tin càng cao. Việc xảy ra mất cắp hoặc
rị rỉ thơng tin dẫn đến mức độ ảnh hưởng và thiệt hại khơng thể lường hết được.
An tồn bảo mật thơng tin có vai trị quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thơng tin có thể coi là tài sản vơ
giá. Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thơng tin an tồn, trong sạch sẽ có tác động khơng
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao
uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường
thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của doanh
nghiệp.
Do vậy, đảm bảo an tồn thơng tin doanh nghiệp cũng có thể coi là một hoạt
động quan trọng trong sự nghiệp phát triển của doanh nghiệp.
1.2.2. Các nguy cơ mất an toàn và bảo mật trong HTTT
- Nguy cơ mất an tồn thơng tin về khía cạnh vật lý:
Nguy cơ mất an tồn thơng tin về khía cạnh vật lý là nguy cơ do mất điện,
nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng,
các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài. Đây đều là
những nguy cơ ngẫu nhiên khó dự đoán được, nhưng không phải là những nguyên
nhân chính gây mất an toàn HTTT.
- Nguy cơ bị tấn công bởi các phần mềm độc hại:
Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm
nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm),
phần mềm gián điệp (Spyware),... Mục đích chính của phần mềm độc hại là ngăn
chặn hoạt động bình thường của hệ thống, lây nhiễm hệ thống, che giấu mục đích,
thu lợi,… bằng cách làm chậm hoặc gián đoạn dịch vụ của hệ thống.
- Nguy cơ xâm nhập từ lỗ hổng bảo mật:
Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm
trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài
đặt trên máy tính. Hiện nay, các lỗ hổng bảo mật được phát hiện ngày càng nhiều
trong các hệ điều hành, các web server hay các phần mềm khác,... Và các hãng sản
xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trước.
9
LUAN VAN CHAT LUONG download : add
- Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu:
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản
mục người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi
mục đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật
khẩu ra và để nó cơng khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm
việc của mình. Những kẻ tấn cơng có rất nhiều cách khác phức tạp hơn để tìm mật
khẩu truy nhập. Những kẻ tấn cơng có trình độ đều biết rằng ln có những khoản
mục người dùng quản trị chính.
Kẻ tấn cơng sử dụng một phần mềm dị thử các mật khẩu khác nhau có thể. Phần
mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các
số. Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đốn mật khẩu trên
mạng Internet như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng này
làm việc tương đối nhanh và ln có trong tay của những kẻ tấn cơng.
- Nguy cơ mất an tồn thơng tin do sử dụng email:
Tấn cơng có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống
như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết
bị bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ
chức cụ thể. Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là
một đồng nghiệp hoặc một đối tác nào đó. Người dùng bị tấn cơng bằng thư điện tử
có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus.
Rất nhiều người sử dụng email nhận ra rằng họ có thể là nạn nhân của một
cuộc tấn công email. Một tấn cơng email có vẻ như xuất phát từ một nguồn thân
thiện, hoặc thậm chí là tin cậy như: một cơng ty quen, một người thân trong gia
đình hay một đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng
một khoản mục email mới để gửi email phá hoại đến người nhận. Đôi khi một email
được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just won free
software”. Những email phá hoại có thể mang một tệp đính kèm chứa một virus,
một sâu mạng, phần mềm gián điệp hay một trojan horse. Một tệp đính kèm dạng
văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương trình hoặc
một tập các chỉ thị) chứa mã độc. Ngồi ra, email cũng có thể chứa một liên kết tới
một website giả.
- Nguy cơ mất an tồn thơng tin trong q trình truyền tin:
Trong q trình lưu thơng và giao dịch thơng tin trên mạng Internet, nguy cơ
mất an tồn thơng tin trong q trình truyền tin là rất cao do kẻ xấu chặn đường
truyền và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người
nhận.
10
LUAN VAN CHAT LUONG download : add
1.2.3. Các giải pháp đảm bảo an toàn và bảo mật HTTT
- Bảo vệ thông tin về mặt vật lý:
Để bảo vệ an tồn thơng tin của hệ thống cần có các thiết bị và biện pháp
phịng chống các nguy cơ gây mất an tồn thơng tin về khía cạnh vật lý như: Thiết
bị lưu điện, lắp đặt hệ thống điều hịa nhiệt độ và độ ẩm. Ln sẵn sàng các thiết bị
chữa cháy nổ, khơng đặt các hóa chất gần hệ thống. Thường xuyên sao lưu dữ liệu.
Sử dụng các chính sách vận hành hệ thống đúng quy trình an toàn và bảo mật.
- Bảo vệ với nguy cơ mất thông tin:
Cung cấp những hướng dẫn, những quy tắc, và những quy trình để thiết lập
một mơi trường thơng tin an tồn. Các chính sách của hệ thống có tác dụng tốt nhất
khi người dùng được tham gia vào xây dựng chúng, làm cho họ biết rõ được tầm
quan trọng của an toàn. Đào tạo và cho người dùng tham gia vào uỷ ban chính sách
an tồn là 2 cách để bảo đảm rằng người dùng cảm thấy chính bản thân họ là những
nhân tố trong việc xây dựng HTTT an toàn. Một ưu điểm của việc gắn người dùng
theo cách này là nếu người dùng hiểu được bản chất của các mối đe dọa về an toàn,
họ sẽ khơng làm trái các nỗ lực bảo đảm an tồn. Một chính sách của một tổ chức
có thể tập trung vào một số vấn đề sau:
+ Đào tạo cho người dùng về các kỹ thuật an toàn và các phần mềm phá hoại.
+ Yêu cầu người dùng phải quét các thiết bị lưu trữ bằng các phần mềm
quét virus trước khi sử dụng chúng.
+ Thiết lập các chính sách quy định những phương tiện nào từ bên ngồi có
thể mang được vào hệ thống và cách sử dụng chúng như thế nào.
+ Thiết lập các chính sách để ngăn chặn người dùng tự cài đặt các phần mềm
riêng của họ, giảm thiểu hoặc ngăn chặn người dùng tải về các tệp và yêu cầu người
dùng phải quét virus đối với các tệp này.
+ Tạo một vùng riêng để người dùng cách ly các tệp có nguồn gốc khơng rõ
ràng để quét chúng trước khi sử dụng.
+ Xây dựng chính sách giới hạn quyền để kiểm soát truy cập vào hệ thống.
+ Thường xuyên sao lưu tài nguyên thông tin quan trọng với hệ thống dự
phòng. Sao lưu dự phòng hệ thống là việc quan trọng để bảo vệ hệ thống do lỗi đĩa,
mất mát dữ liệu hay do phần mềm phá hoại. Nếu ta sao lưu dữ liệu mà sau đó hệ
thống bị nhiễm một mã độc phá hoại hay xố các tệp, thì ta có thể khơi phục lại
được các tệp đó hay tồn bộ hệ thống.
- Bảo vệ với nguy cơ bị tấn công bởi các phần mềm độc hại :
Phần mềm độc hại có thể xâm nhập vào máy tính của bạn theo một số cách
khác nhau. Dưới đây là một số ví dụ phổ biến:
11
LUAN VAN CHAT LUONG download : add
+ Tải xuống phần mềm miễn phí từ Internet bí mật chứa phần mềm độc hại.
+ Tải xuống phần mềm hợp pháp bí mật có kèm theo phần mềm độc hại.
+ Truy cập vào trang web bị nhiễm phần mềm độc hại.
+ Nhấp vào thông báo lỗi hoặc cửa sổ bật lên giả mạo bắt đầu tải xuống phần
mềm độc hại.
+ Mở tệp đính kèm email chứa phần mềm độc hại.
Có nhiều cách khác nhau để phần mềm độc hại phát tán, nhưng điều đó khơng
có nghĩa là bạn khơng có cách để ngăn chặn phần mềm độc hại. Sau đây là một số
cách để ngăn chặn phần mềm độc hại:
+ Ln cập nhật máy tính và phần mềm đang dùng: Người dùng Windows có
thể cài đặt bản cập nhật bằng cách sử dụng tính năng được gọi là "Cập nhật
Windows", trong khi người dùng các sản phẩm khác có thể cài đặt bản cập nhật
bằng cách sử dụng tính năng được gọi là "Cập nhật phần mềm". Nếu người dùng
khơng quen với các tính năng này thì nên tìm kiếm trang web Microsoft và trang
các hãng tương ứng để biết thêm thông tin về cách cài đặt bản cập nhật hệ thống
trên máy tính của mình. Ngồi hệ điều hành của máy tính, phần mềm máy tính cũng
phải được cập nhật với phiên bản mới nhất. Phiên bản mới hơn thường chứa bản
sửa lỗi bảo mật hơn để ngăn chặn phần mềm độc hại tấn công.
+ Sử dụng tài khoản không phải là quản trị bất cứ khi nào có thể: Hầu hết các
hệ điều hành đều cho phép người dùng tạo nhiều tài khoản người dùng trên máy
tính để những người dùng khác nhau có thể có các cài đặt khác nhau. Người dùng
có thể thiết lập những tài khoản này để có các cài đặt bảo mật khác nhau.
+ Hãy cân nhắc mỗi khi nhấp vào liên kết hoặc tải bất cứ thứ gì về máy: Trong
thế giới thực, hầu hết mọi người đều có thể hơi nghi ngờ khi bước vào tịa nhà có vẻ
khả nghi với bảng hiệu trưng bày "Máy tính miễn phí!" có đèn nhấp nháy. Trên
web, bạn cũng nên áp dụng mức độ thận trọng tương tự khi truy cập vào trang web
không quen thuộc tuyên bố cung cấp những thứ miễn phí. Tải xuống là một trong
những cách chính khiến mọi người bị nhiễm phần mềm độc hại, vì vậy, hãy nhớ suy
nghĩ thật kỹ về nội dung bạn tải xuống và nơi bạn tải xuống.
+ Hãy thận trọng khi mở tệp đính kèm hoặc hình ảnh trong email: Người dùng
nên thận trọng nếu một người nào đó gửi cho mình email đáng ngờ có chứa tệp đính
kèm hoặc hình ảnh. Đơi khi, những email đó có thể chỉ là spam, nhưng đơi khi,
những email đó có thể bí mật chứa phần mềm độc hại gây hại.
+ Sử dụng phần mềm diệt virus: Nếu bạn cần phải tải xuống mục gì đó, bạn
nên sử dụng chương trình diệt virus để qt phần mềm độc hại cho bản tải xuống đó
trước khi mở. Phần mềm diệt virus cũng cho phép quét phần mềm độc hại trên tồn
bộ máy tính của người dùng. Nên thường xun qt máy tính của mình để sớm
12
LUAN VAN CHAT LUONG download : add
phát hiện phần mềm độc hại và ngăn chặn phần mềm độc hại đó phát tán. Sử dụng
các cơng cụ quét phần mềm phá hoại là một cách hiệu quả để bảo vệ hệ điều hành.
Mặc dù chúng có thể quét hệ thống để phát hiện virus, sâu mạng và trojan horse,
nhưng chúng thường được gọi là công cụ quét virus.
- Bảo vệ với dạng tấn công lỗ hổng bảo mật:
Một số hệ điều hành mới thường có những lỗ hổng bảo mật truy nhập Internet
hoặc các lỗi làm cho hệ thống bị các xung đột không mong muốn, làm cho các lệnh
khơng hoạt động bình thường và nhiều vấn đề khác. Hiện nay nhiều kẻ xấu hay lợi
dụng những lỗ hổng bảo mật để tấn công vào các hệ thống để phá hoại hoặc lấy cắp
thơng tin vì vậy người dùng nên thường xuyên cài đặt các bản cập nhật (updates)
bảo vệ hệ thống của mình. Việc cài đặt các bản cập nhật và các bản vá lỗi (patches)
là cách rất hiệu quả để chống lại các tấn công trên một hệ điều hành.
- Bảo vệ thông tin trước nguy cơ tấn công bằng cách phá mật khẩu:
+ Sử dụng phương thức chứng thực tên truy cập và mật khẩu là phương pháp
được dùng phổ biến đối với các hệ thống vì vậy xây dựng một chính sách sử dụng
mật khẩu tốt sẽ đạt hiệu quả cao như: Tạo một quy tắc đặt mật khẩu riêng cho mình,
khơng nên dùng lại mật khẩu đã sử dụng, tránh những mật khẩu dễ đoán như ngày
sinh, tên người thân,… thường xuyên thay đổi mật khẩu đăng nhập hệ thống để
tránh trường hợp người dùng vơ tình làm lộ mật khẩu hoặc kẻ xấu cố tình lấy cắp
mật khẩu.
+ Sử dụng các ký tự mật khẩu có tính an tồn cao như: Sử dụng mật khẩu có
độ dài đủ lớn (8 ký tự trở lên) và trong đó có sử dụng các ký tự chữ in, chữ thường,
ký tự đặc biệt, ký tự số,…
- Bảo vệ thông tin do nguy cơ do sử dụng email:
Trong thời gian gần đây virus hoành hành và tấn công vào các email đã trở
thành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn thất nặng
nề. Để đảm bảo an tồn cho email cần có ý thức bảo vệ được máy tính bằng việc
tn thủ các điều sau:
+ Khơng mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ email mà không
biết rõ hoặc không tin tưởng.
+ Khơng mở bất kỳ email nào mà mình cảm thấy nghi ngờ, thậm chí cả khi
email này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền qua
đường e-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book) trong
máy nạn nhân để tự phát tán. Do vậy, nếu không chắc chắn về một email nào thì
hãy tìm cách xác nhận lại từ phía người gửi.
+ Khơng mở những tập tin đính kèm theo các email có tiêu đề hấp dẫn, nhạy
cảm.
13
LUAN VAN CHAT LUONG download : add
+ Nên xóa các email khơng rõ hoặc khơng mong muốn và không forward
(chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi. Những
email này thường là thư rác (spam).
+ Không sao chép vào đĩa cứng bất kỳ tập tin nào mà bạn không biết rõ hoặc
không tin tưởng về nguồn gốc xuất phát của nó.
+ Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính. Dùng
một chương trình diệt virus được cập nhật thường xuyên để kiểm tra những tập tin
này. Nếu nghi ngờ về một tập tin chương trình hoặc một email thì đừng bao giờ mở
nó ra hoặc tải về máy tính của mình. Cách tốt nhất trong trường hợp này là xóa
chúng hoặc khơng tải về máy tính của mình.
+ Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên
như Norton Anti Virus, McAffee, Trend Micro, BKAV, D32... Sử dụng những
chương trình diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường xuyên
giám sát các hoạt động trên máy tính và ở chức năng quét email.
- Bảo vệ do mất an tồn thơng tin trong q trình lưu thông và truyền tin:
Để bảo vệ thông tin trong quá trình lưu thơng và truyền tin trên mạng thường
dùng các kỹ thuật an tồn thơng tin như: mã hóa, giấu tin, thủy vân số, chữ ký số,..
- Bảo vệ hệ thống bằng tường lửa (Firewall):
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu
là phần cứng thì sử dụng bộ bộ định tuyến (router). Bộ định tuyến có các tính năng
bảo mật cao cấp, trong đó có khả năng kiểm sốt địa chỉ IP (IP Address là sơ đồ địa
chỉ hoá để định nghĩa các trạm (host) trong liên mạng). Quy trình kiểm sốt cho
phép định ra những địa chỉ IP có thể kết nối với mạng của tổ chức, cá nhân và
ngược lại. Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc
truy nhập không hợp pháp căn cứ trên địa chỉ nguồn.
Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dịng thơng tin giữa mạng bên trong (Intranet)
và mạng Internet. Cụ thể là:
+ Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
+ Cho phép hoặc cấm những dịch vụ truy nhập vào trong (từ Internet vào
Intranet).
+ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
+ Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
+ Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
+ Kiểm sốt nội dung thơng tin thơng tin lưu chuyển trên mạng.
14
LUAN VAN CHAT LUONG download : add
1.2.4. Quy trình xây dựng hệ thống thông tin an toàn
Để có thể đảm bảo an toàn bảo mật cho HTTT, chúng ta cần xây dựng chính
sách bảo mật và cơ chế bảo mật.
Chính sách bảo mật là những tài liệu, đưa ra các mục tiêu an toàn hệ thống cần
phải được thực hiện đối với từng vấn đề chính, có vai trị quyết định sử dụng các
giải pháp an ninh hệ thống. Chính sách bảo mật có thể được biểu diễn bằng ngôn
ngữ tự nhiên hoặc ngôn ngữ toán học.
Cơ chế bảo mật là hệ thống các phương pháp, công cụ, thủ tục,… dùng để
thực thi các quy định của chính sách bảo mật. Cơ chế bảo mật thông thường là các
biện pháp kỹ thuật.
Sau đây là các bước xây dựng quy trình an toàn bảo mật HTTT:
Xác định nguy cơ
Xây dựng chính sách
Phân tích yêu cầu
Thiết kế
Triển khai
Vận hành, bảo trì
Hình 1.1: Các bước xây dựng quy trình an toàn bảo mật HTTT
(Nguồn: Phòng công nghệ)
Khi xây dựng quy trình an toàn bảo mật HTTT chúng ta cần lưu ý một số
vấn đề sau:
+ Các giai đoạn của quy trình được thực hiện tuần tự.
+ Ln có sự phản hồi của giai đoạn sau tới giai đoạn trước.
+ Sử dụng biện pháp chia để trị.
- Xác định nguy cơ là:
+ Xác định, phân vùng tài nguyên cần bảo vệ.
+ Xác định các thành phần, luồng dữ liệu, hành vi tương tác trên tài nguyên.
+ Phân tích các hoạt động diễn ra trên tài nguyên.
+ Xác định các nguy cơ có thể có, phân loại và đánh giá.
+ Xác định các lỗ hổng liên quan.
- Xây dựng chính sách có thể mơ tả ban đầu bằng ngơn ngữ tự nhiên các:
+ Hành vi phải thực hiện/được phép/ không được phép.
15
LUAN VAN CHAT LUONG download : add
+ Chủ thể của hành vi.
+ Đối tượng hành vi tác động tới.
+ Điều kiện.
- Phân tích yêu cầu là xác định thành phần nào của hệ thống chịu trách nhiệm
thực thi chính sách và đảm bảo việc thực thi chính sách.
- Thiết kế các thành phần theo yêu cầu.
- Quá trình triển khai cần chú ý đào tạo người dùng.
- Vận hành và bảo trì cần chú ý liên tục giám sát các cơ chế đang thực thi.
1.3. Tổng quan tình hình nghiên cứu
1.3.1. Tình hình nghiên cứu trong nước
Đã có khá nhiều những cơng trình nghiên cứu về vấn đề an tồn bảo mật
HTTT, tuy nhiên mỡi cơng trình nghiên cứu lại đề cập đến một khía cạnh riêng của
hệ thống thông tin, bảo mật thông tin, thương mại điện tử (TMĐT)… Sau đây là
một trong những công trình nghiên cứu trong nước:
- Luận văn thạc sĩ với đề tài “Bảo mật và an tồn thơng tin trong thương mại
điện tử”, Nguyễn Tuấn Anh, Khoa CNTT, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
tồn thơng tin trong TMĐT như: mã hóa, chữ ký số…. Tuy nhiên, nội dung nghiên
cứu của luận văn chỉ dừng lại ở việc đảm bảo an tồn thơng tin trong TMĐT chứ
khơng bao quát được toàn bộ các vấn đề về an toàn thơng tin nói chung và đi sâu
vào một doanh nghiệp cụ thể.
1.3.2. Tình hình nghiên cứu trên thế giới
Từ những năm 1980, cùng với sự phát triển của CNTT tin trên thế giới, HTTT
cũng bắt đầu phát huy vai trị trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an
ninh thơng tin được đặt ra. Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể
kể đến như:
- William Stallings (2005),Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh
mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng
ngày nay. Cung cấp giải pháp đơn giản hoá AES (Advanced Encryption Standard)
cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng,
thuật tốn, hoạt động mã hố, CMAC (Cipher-based Message Authentication Code)
để xác thực, mã hoá chứng thực. Bao gồm phương pháp phòng tránh, mở rộng cập
nhật những phần mềm độc hại và những kẻ xâm hại.
16
LUAN VAN CHAT LUONG download : add
- Man Young Rhee (2003), Internet Security: Cryptographic principles,
algorithms and protocols, John Wiley & Sons.
Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên
tắc, các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc phục
các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực,
tính tồn vẹn và thơng điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh
Internet. Nếu khơng có các thủ tục xác thực, kẻ tấn cơng có thể mạo danh bất cứ ai
và sau đó truy cập vào mạng. Tồn vẹn thơng điệp là cần thiết bởi vì dữ liệu có thể
bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet. Các tài liệu trong cuốn
sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một
cách nghiêm ngặt, kỹ lưỡng và chất lượng. Kiến thức của cuốn sách được viết để
phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên
cứu về các nguyên tắc bảo mật Internet.
Trên đây là một số tài liệu nghiên cứu về tình hình an ninh thông tin trên thế
giới. Các tài liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau
nhưng đều hướng tới mục tiêu chung là xây dựng một HTTT an toàn.
17
LUAN VAN CHAT LUONG download : add
CHƯƠNG 2
KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ĐẢM BẢO
AN TOÀN HTTT CHO CÔNG TY CỔ PHẦN
TRUYỀN THÔNG GREEN STARS
2.1. Tổng quan về doanh nghiệp và tình hình hoạt động kinh doanh của
doanh nghiệp
2.1.1 Thông tin chung về công cổ phần truyền thông Green Stars
- Tên công ty: Công ty CP Truyền thông Green Stars
- Ngày thành lập: 24/10/2010
- Địa chỉ: Tầng 4 - Tòa nhà 3D - KĐT Resco, đường Phạm Văn Đồng, Hà
Nội.( Đối diện Công Viên Hịa Bình)
- Tên giao dịch: GREEN STARS COMMUNICATIONS JOINT STOCK
COMPANY
- Điện thoại: 0987 595 996
- Fax: 04.36367728
- Website: vinamedeco.com.vn
- Mã số thuế: 0107608136
- Người ĐDPL: Nguyễn Thị Anh Đào
2.1.2. Quá trình thành lập
Cơng ty CP Truyền thơng Green Stars chính thức đi vào hoạt động từ tháng
10/2010. Với đội ngũ nhân sự trẻ, giàu tri thức, nhiệt huyết và sáng tạo là nền móng
để Cơng Ty đồng hành cùng nhiều chương trình lớn như: Thương hiệu Tin Dùng
Thủ Đơ năm 2014, Thương hiệu- Nhãn Hiệu Uy Tín ĐBSH, Thương hiệu Truyền
Thống, Gia Truyền nổi tiếng...
Qua các sự kiện đó, Cơng ty đã thấy được rằng: Tập thể Công Ty phải nỗ lực
thực hiện các hoạt động Truyền Thông hiệu quả hơn nữa, phấn đấu xây dựng khơng
những hình ảnh Doanh Nghiệp, Doanh nhân mà cịn của tồn thề đội ngũ nhân viên
của Công Ty.
18
LUAN VAN CHAT LUONG download : add
2.1.3. Cơ cấu tổ chức
Đại hội đồng
cổ đông
Hội đồng
Ban kiểm soát
quản trị
Ban giám đốc
Phòng hành
Phòng kế
Phòng kinh
chính nhân sự
toán
doanh
Phòng dự án
Phòng công
nghệ
Hình 2.1: Sơ đồ cơ cấu tổ chức của Công ty cổ phần truyền thông Green Stars
(Nguồn: Tài liệu công ty)
Từ ngày đầu thành lập công ty chỉ với 4 thành viên nhưng đến nay đội ngũ cán
bộ công nhân viên chức của công ty đã lên đến hơn 60 người, hầu hết là lao động trẻ
có trình độ đại học trong đó có 10 cán bộ là Đảng viên. Công ty rất quan tâm đến
việc tuyển chọn và thu hút nhân tài, đó là những người có tài năng, có trí tuệ, có
nhiệt huyết, được đào tạo cơ bản và tiếp tục nâng cao trình độ trên mọi lĩnh vực.
Công ty ưu tiên đặc biệt cho việc đào tạo chuyên sâu đội ngũ cán bộ quản lý và bồi
dưỡng cán bộ dự nguồn.
19
LUAN VAN CHAT LUONG download : add
Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước
Vị trí/chuyên môn
Số lượng
Trình độ
Đại hội đồng cổ đông
3
Trên đại học
Hội đồng quản trị
2
Trên đại học
Ban kiểm soát
2
Trên đại học
Ban giám đốc
2
Đại học và trên đại học
Phòng hành chính nhân sự
10
Đại học
Phòng kế toán
5
Đại học
Phòng kinh doanh
15
Đại học
Phòng dự án
12
Đại học
Phòng công nghệ
6
Đại học
(Nguồn: Phòng hành chính nhân sự)
- Đại hội đồng cổ đông cùng ban kiểm soát và hội đồng quản trị thực hiện
chức năng quản lý các hoạt động của toàn doanh nghiệp, chịu trách nhiệm về sự
phát triển của doanh nghiệp.
- Ban giám đốc là những người điều hành doanh nghiệp dưới sự định hướng
của hội đồng cổ đông, ban kiểm soát và hội đồng quản trị, có nhiệm vụ tổ chức bộ
máy hoạt động của doanh nghiệp, quản lý chỉ đạo điều hành toàn bộ hoạt động kinh
doanh, phương hướng phát triển và các vấn đề khác của doanh nghiệp.
- Phòng hành chính nhân sự: Đảm bảo tuyển dụng và xây dựng, phát triển đội
ngũ cán bộ công nhân viên theo yêu cầu, chiến lược của cơng ty.
- Phịng kế tốn: Theo dõi, thực hiện tồn bộ các cơng việc có liên quan đến
nghiệp vụ kế tốn, tài chính, giúp ban giám đốc trong việc định hướng đầu tư, phát
triển công ty.
- Phòng dự án: Tiếp thị, phát triển và thực hiện các dự án trong kinh doanh của
công ty. Giúp ban giám đốc trong việc định hướng chiến lược kinh doanh, chiến
lược đầu tư phát triển thị trường.
- Phịng cơng nghệ: Nghiên cứu cập nhật và phát triển công nghệ, nâng cao
HTTT của doanh nghiệp. Hỗ trợ phòng dự án trong các dự án lớn, phức tạp.
- Phòng kinh doanh: Thực hiện các công việc kinh doanh đối với mọi khách
hàng, tiếp thị, giới thiệu các dịch vụ của công ty. Hỗ trợ phịng dự án trong mọi
cơng việc liên quan đến mua bán và cho thuê bất động sản.
2.1.4. Lĩnh vực hoạt động
Công ty CP Truyền thông Green Stars (Green Stars Media) chuyên hoạt động
trong lĩnh vực truyền thông - quảng cáo, tổ chức các sự kiện truyền hình trực tiếp,
hội thảo, các chương trình tơn vinh doanh nhân, doanh nghiệp…
20
LUAN VAN CHAT LUONG download : add
