LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được
sự hướng dẫn nhiệt tình của giáo viên hướng dẫn ThS. Hàn Minh Phương cùng sự
nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty TNHH Dịch vụ
ERP FPT- công ty TNHH Hệ thống Thông tin FPT. Qua đây, em xin chân thành cảm
ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế - Trường Đại học Thương
Mại đã tận tình giảng dạy và trang bị cho em những kiến thức nền tảng, những kinh
nghiệm quý báu trong cuộc sống, giúp em đủ tự tin để khẳng định mình trong công
việc và cuộc sống sau này. Và đặc biệt, em xin chân thành cảm ơn cô ThS. Hàn Minh
Phương - người đã tận tình hướng dẫn, chỉ bảo và giúp đỡ em hoàn thành khóa luận tốt
nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban Giám đốc và toàn
thể nhân viên Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin
FPT, đặc biệt ông Mai Công Nguyên- Tổng Giám đốc của Công ty đã tiếp nhận và tạo
cho em môi trường làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát
chung về Công ty và hoàn thành được bài khóa luận tốt nghiệp của mình.
Tuy nhiên, do điều kiện thời gian có hạn, cũng như kiến thức còn hạn chế nên
trong Khóa luận tốt nghiệp này của vẫn còn nhiều hạn chế, thiếu sót. Vì vậy, em kính
mong nhận được những ý kiến đóng góp, chỉ bảo của các thầy cô.
Em xin chân thành cảm ơn!
Sinh viên
Hà Thùy Trang
i
MỤC LỤC
MỤC LỤC ii
DANH MỤC BẢNG BIỂU iii
DANH MỤC SƠ ĐỒ iii
DANH MỤC TỪ VIẾT TẮT iv
 !" #$
%&'()" *+!!, $/'0
123456&2,7 %!8 8$32%9222 +:;)'<
=> %!8 8&?!@ 8&',,,

!A''B!8%2%C(%2!1
%!D&2EF F.%GA1,%!8H5IJ55
%2D6'#2GA1,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,K
KẾT LUẬN 44
TÀI LIỆU THAM KHẢO 44
PHỤ LỤC 1 45
ii
DANH MỤC BẢNG BIỂU
MỤC LỤC ii
DANH MỤC BẢNG BIỂU iii
DANH MỤC SƠ ĐỒ iii
DANH MỤC TỪ VIẾT TẮT iv
KẾT LUẬN 44
TÀI LIỆU THAM KHẢO 44
PHỤ LỤC 1 45
DANH MỤC SƠ ĐỒ
iii
Sơ đồ 2.1. Cơ cấu tổ chức của FIS. Error: Reference source not found
DANH MỤC TỪ VIẾT TẮT
Danh mục từ viết tắt Tiếng Việt
STT Từ viết tắt Nghĩa đầy đủ
1 CNTT Công nghệ thông tin
iv
2 TMĐT Thương mại điện tử
3 HTTT Hệ thống thông tin
4 CSDL Cơ sở dữ liệu
5 TNHH Trách nhiệm hữu hạn
6 ATTT An toàn thông tin
7 BMTT Bảo mật thông tin
8 ATBMTT An toàn bảo mật thông tin

9 ATDL An toàn dữ liệu
10 HTTT Hệ thống thông tin

Danh mục từ viết tắt Tiếng Anh
STT Từ viết tắt Từ đầy đủ Nghĩa Tiếng Việt
1 SET Secure Electronic Transaction An toàn giao dịch điện tử
2 SSL Secure Sockets Layer Lớp ổ cắm an toàn
3 TLS Transport Layer Security An ninh tầng giao vận
4 ERP Enterprise Resource Planning
Hoạch định khai thác nguồn tài
nguyên
5 SAP Service Advertising Protocol Giải pháp dành cho doanh nghiệp
6 ITO
International Trade
Organization
Tổ chức mậu dịch quốc tế
7 BPO Business process outsourcing
Kinh doanh quá trình gia công phần
mềm
v
Chương 1. TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU
1.1. Tầm quan trọng và ý nghĩa của vấn đề cần nghiên cứu.
Thông tin được coi là một nhu cầu thiết yếu trong đời sống xã hội, là công cụ
để điều hành, quản lý, chỉ đạo của mỗi quốc gia, là phương tiện hữu hiệu để mở rộng
giao lưu hiểu biết giữa các quốc gia, dân tộc, là nguồn cung cấp tri thức mọi mặt cho
công chúng và là nguồn lực phát triển kinh tế - xã hội. Thiếu thông tin, sẽ gặp khó
khăn trong việc đưa ra các quyết định hoặc các quyết định sẽ bị sai lệch, thiếu cơ sở
khoa học, không thực tiễn và trở nên kém hiệu quả. Thành công hay thất bại của một
quốc gia tuỳ thuộc rất lớn vào khả năng làm chủ, chiếm được lợi thế thông tin. Trên
thực tế, thông tin đã từng được coi là yếu tố quyết định sự thành bại của một tổ chức.

Thông tin ngày càng khẳng định là phương tiện thiết yếu của đời sống xã hội.
Ngày nay với sự phát triển mang tính toàn cầu của Internet và TMĐT đã tạo ra
những cơ hội lớn cho các doanh nghiệp. Bên cạnh đó những nguy cơ, rủi ro cũng dần
xuất hiện và ảnh hưởng trực tiếp tới nền kinh tế và xã hội hiện đại. Sự phát triển nhanh
chóng của các thiết bị kỹ thuật, phương tiện truyền tin và mạng internet dẫn đến các
dữ liệu số hiện nay được sao chép, truyền tải và phổ biến dễ dàng, nhanh chóng, tức
thời. Cùng với sự tiện nghi đó đã xuất hiện rất nhiều vấn đề đáng quan tâm, nhất là
việc BMTT, an toàn mạng ngày càng trở nên cấp bách hơn. Các thông tin cần bảo mật
có thể dùng phương pháp mã hóa, song khi sử dụng gặp nhiều khó khăn, phức tạp cho
việc lưu giữ, truyền tải, giải mã, tốn nhiều thời gian, công sức
Những ẩn họa khách quan trong bối cảnh cơ sở hạ tầng Việt Nam, ngoài việc
đối mặt với nguy cơ mất dữ liệu từ tin tặc, vẫn còn trong giai đoạn đang hoàn thiện.
Đây chính là những thách thức cho bộ phận IT của các doanh nghiệp. Các vấn đề về
truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống, vấn đề về an toàn
trong giao dịch điện tử, an toàn về cơ sở dữ liệu hệ thống đã trở thành mối lo ngại
cho các nhà quản lý điều hành ở mọi cấp ở bất kỳ quốc gia nào, từ cấp độ cao nhất đến
các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề ATBMTT trở thành
nhu cầu cấp thiết của mọi tầng lớp trong xã hội.
Đối với các doanh nghiệp việc đảm bảo ATBMTT luôn được đăt lên hàng đầu,
là vấn đề mang ý nghĩa sống còn với hoạt động kinh doanh của doanh nghiệp. Đảm
bảo được ATBMTT sẽ giúp doanh nghiệp tiết kiệm được chi phí, thời gian, tránh được
sự cạnh tranh không lành mạnh của đối thủ cạnh tranh hay sự phá hoại của đối tượng
bên ngoài. Nếu ATBMTT không được quan tâm đúng, khi xảy ra vấn đề liên quan lúc
đó trách nhiệm sẽ là rất lớn, doanh nghiệp sẽ bị ảnh hưởng, có thể dẫn tới phá sản hay
chịu trách nhiệm trước pháp luật
Để hiểu rõ về an ATBMTT, em đã lựa chọn Công ty TNHH Dịch vụ ERP FPT-
Công ty TNHH Hệ thống Thông tin FPT để tìm hiểu, đi sâu nghiên cứu các vấn đề cần
quan tâm trong ATBMTT. Qua quá trình tìm hiểu, nghiên cứu tại công ty, em đã lựa
1
chọn đề tài “ Một số giải pháp nâng cao tính ATBMTT cho công ty TNHH Dịch vụ

ERP FPT- Công ty TNHH Hệ thống Thông tin FPT” để làm đề tài khóa luận của
mình, nhằm giải đáp những vấn đề quan tâm.
1.2. Tổng quan đề tài nghiên cứu.
Qua một thời gian tìm hiểu, nhận thấy việc các doanh nghiệp hiện nay ứng
dụng các phương thức bảo mật hệ thống thông tin ngày càng trở nên rộng rãi. Trước
tình hình trên trong nước đã có những đề tài nghiên cứu về ATBMTT ở doanh nghiệp.
Các đề tài thường ở mức là các bài luận văn cho tới các bài nghiên cứu khoa học. Đặc
điểm chung của các đề tài này là đi sâu vào các khái niệm và tìm phương hướng bảo
mật cho doanh nghiệp. Sau đây là một số đề tài mà em đã tìm hiểu…
Trong 3 - 5 năm trở lại đây thì cũng có khá nhiều các đề tài nghiên cứu, sách,
đề tài khoa học, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội thảo khoa học
về vấn đề an toàn thông tin, dữ liệu và bảo mật. Tuy nhiên lượng giáo trình về vấn đề
này còn khá ít, hầu hết là sách nước ngoài. Ở Việt Nam có thể kể tới:
Giáo trình “An toàn dữ liệu”- Bộ môn CNTT, Đại học Thương Mại, 2007.
Trong giáo trình, tác giả đã cung cấp những kiến thức cơ bản về an toàn dữ liệu và sự
cần thiết của việc đảm bảo an toàn dữ liệu. Cung cấp thông tin về các nguy cơ tấn
công dữ liệu và phương pháp đảm bảo an toàn cho hệ thống dữ liệu. Bên cạnh đó giới
thiệu một số ứng dụng của an toàn dữ liệu trong TMĐT.
Giáo trình “ Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia Hà Nội,
Phan Đình Diệu, 1999. Nội dung chính là khái quát chung về lý thuyết mật mã, các
công cụ toán học có liên quan đến việc đảm bảo ATTT. Hệ mật khoá đối xứng, hệ mật
khoá công khai; DES; Hệ Balô, hệ RSA và một số hệ khoá công khai khác; Chữ ký
điện tử, ứng dụng và thực hành
Một số đề tài nghiên cứu xây dựng hệ thống lưu trữ và quản lý tài liệu. Nghiên
cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao. Sử dụng cho mục đích xây
dựng các dịch vụ lưu trữ, tìm kiếm hồ sơ, tài liệu cho các tổ chức hoặc cá nhân thông
qua Internet Các luận văn nghiên cứu về mật mã và các vấn đề ATTT trên cơ sở
nghiên cứu các phương pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử
dụng khoá công khai. Các tính chất của chữ ký số trong việc bảo đảm ATBMTT. Sử
dụng thuật toán mã hoá RSA và thuật toán băm MD5 để xây dựng ứng dụng chữ ký số

tích hợp trên MSWORD.
Đề tài nghiên cứu khoa học “ Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học
Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và
nghiên cứu công nghệ IDS cứng và mềm.
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại
điện tử”, Vũ Anh Tuấn, Khoa CNTT, Đại học Thái Nguyên. Luận văn đã đưa ra được
2
một số công cụ và phương pháp nhằm đảm bảo ATBMTT trong TMĐT như: mã hóa,
chữ ký số….Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo
ATBMTT trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATBMTT nói
chung và đi sâu vào một doanh nghiệp cụ thể.
Đề tài “Tìm hiểu thực trạng bảo mật và an toàn mạng tại Việt Nam giai đoạn
2006- 2009, Đại học An Giang, “Tìm hiểu vấn đề bảo mật mạng Lan” của Nguyễn Thị
Thúy, ĐHDL Hải Phòng, “Bảo mật cho mạng máy tính và các ứng dụng Web” của Đỗ
Trường Thọ, Đại học Bách Khoa Hà Nội, “Bảo mật dữ liệu trong mạng Wimax” của
Đan Hồng Sơn.
Luận văn “Nghiên cứu bảo mật Web Services” của Nguyễn Thị Thanh Thủy,
Đại học Công nghệ- ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn
Trọng Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ
liệu điện tử” của Đào Thọ Thu Hường. Ngoài ra còn có luận văn “Tìm hiểu an toàn và
bảo mật trên mạng”.
Các luận văn này đã đem đến cho người đọc những hiểu biết nhất định về an
toàn và bảo mật thông tin, đưa ra những nguyên nhân chủ quan cũng như khách quan
dẫn đến việc rò rỉ thông tin trong doanh nghiệp. Qua đó giúp doanh nghiệp hiểu rõ hơn
về hệ thống thông tin của mình và đưa ra những giải pháp khắc phục. Tuy nhiên, khoa
học công nghệ nói chung và CNTT nói riêng luôn có những bước phát triển từng phút,
từng giây. Nhờ đó trình độ con người cũng được nâng cao, nhu cầu của doanh nghiệp
cũng lớn hơn rất nhiều. Chính vì thế, những giải pháp này dường như chưa thể đầy đủ
và đáp ứng được yêu cầu bảo mật hiện nay. Hơn nữa, kết quả của những tài liệu kể
trên kết chỉ là tìm hiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào

ứng dụng tại một cơ quan hay tổ chức cụ thể nào.
1.3. Mục tiêu nghiên cứu của đề tài.
Với mục tiêu nghiên cứu là đưa ra những giải pháp để hoàn thiện hệ thống
thông tin tại Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin
FPT. Mục tiêu cụ thể là:
- Khảo sát và đánh giá thực trạng về việc đảm bảo ATBMTT tại Công ty
TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
- Đề xuất giải pháp hoàn thiện và nâng cao ATBMTT tại Công ty TNHH
Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT nhằm nâng cao năng lực
hoạt động của Công ty, tăng niềm tin của khách hàng đối với Công ty, từ đó nâng cao
vị thế cạnh tranh trên thị trường.
1.4. Phương pháp thực hiện đề tài.
Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số
phương pháp đã được sử dụng như sau:
3
• Thu thập và phân tích số liệu thứ cấp ở Công ty TNHH Dịch vụ ERP
FPT - Công ty TNHH Hệ thống Thông tin FPT, thông qua các số liệu, báo cáo, kết quả
kinh doanh của Công ty.
• Phỏng vấn trực tiếp các nhà quản lý và nhân viên về tình hình ATTT
trong Công ty.
• Điều tra gián tiếp thông qua mẫu phiếu điều tra gửi tới các phòng ban
trong Công ty. Tiến hành khảo sát với 5 phiếu điều tra và câu hỏi phỏng vấn.
• Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo ATBMTT cho
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
1.5. Đối tượng và phạm vi nghiên cứu của đề tài.
 Đối tượng nghiên cứu.
ATBMTT trong doanh nghiệp và tất cả các yếu tố có liên quan đến HTTT của
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, mà cụ
thể là: quy trình thu thập và xử lý thông tin, hệ thống phần cứng, phần mềm, hệ thống
mạng, cơ sở dữ liệu, nguồn nhân lực về HTTT.

 Phạm vi nghiên cứu.
Phạm vi về không gian: Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ
thống Thông tin FPT.
Phạm vi về thời gian: Để có thể đánh giá về vấn đề đảm bảo ATBMTT trong
Công ty TNHH Dịch vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT, quá
trình nghiên cứu sẽ được thực hiện dựa trên số liệu về tình hình ATBMTT của Công ty
trong ba năm gần đây(từ 2010 đến 2012).
1.6. Kết cấu của khóa luận.
Ngoài các mục lời cảm ơn, mục lục, danh mục bảng biểu, hình vẽ,tài liệu tham
khảo và phụ lục. Cấu trúc khóa luận gồm 3 chương, cụ thể:
Chương I: Tổng quan đề tài nghiên cứu.
Chương II: Cơ sở lý luận và thực trạng của ATBMTT tại Công ty TNHH Dịch
vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Chương III: Một số giải pháp nâng cao tính ATBMTT tại Công ty TNHH Dịch
vụ ERP FPT - Công ty TNHH Hệ thống Thông tin FPT.
Chương 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ATBMTT TẠI CÔNG
TY TNHH DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN
FPT.
2.1. CƠ SỞ LÝ LUẬN VỀ ATBMTT DOANH NGHIỆP.
4
2.1.1. Khái niệm cơ bản về đảm bảo ATBMTT.
2.1.1.1. Thông tin trong doanh nghiệp.
 Khái niệm thông tin.
Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến
thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong
những nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái
niệm cơ bản, chung của nhiều khoa học. Để đưa ra được khái niệm về thông tin, trước
hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng
trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử

dụng. [4]
“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân
tích, tổng hợp,….), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin
là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng”. [3]
Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối
quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.
Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được
liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.
 Đối tượng khai thác và sử dụng thông tin.
Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết
định. Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các
quyết định của bản thân mình. Vì vậy, mọi thành viên trong xã hội con người cần khai
thác và sử dụng thông tin để phục vụ cho cuộc sống của mình.
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của cá nhân và đơn vị mình. Trước đây người ta hiểu rằng thông tin chỉ nhằm để
phục vụ cho các công việc quản lý điều hành của người lãnh đạo. Gần đây người ta
nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyết
định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động
tác nghiệp, thông tin cần được sử dụng bởi các nhân viên; trong hoạt động quản lý,
điều hành, thông tin cần được sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp.
Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp
cao trong việc đề ra các quyết định về chiến lược hoạt động của tổ chức. [5]
 Vai trò của thông tin.
Trong cuộc sống con người, mọi hoạt động đều không thể thiếu vai trò của
thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định một công việc.
Chúng ta thống nhất với nhau một quan điểm rằng: Vai trò của thông tin trong đời
5
sống xã hội là vô cùng quan trọng, nó thúc đẩy tiến trình phát triển của mọi lĩnh vực.
Nhờ có thông tin mà người lãnh đạo có thể đưa ra những quyết định kinh doanh đúng

đắn và mang tính sống còn. Một đất nước văn minh thì nhất định công nghệ thông tin
cũng phát triển hiện đại. Xã hội càng phát triển thì vai trò của thông tin càng trở nên
quan trọng, là yếu tố hàng đầu làm nên sức cạnh tranh kinh tế, chính trị và văn hóa của
một quốc gia. Thông tin là sức mạnh, là tiền bạc vì nó có một vị thế tiên phong trong
bối cảnh cạnh tranh toàn cầu hiện nay.
Trong việc kinh doanh, chính mảng thông tin sẽ tạo ra nhiều lợi nhuận nhất
cho các doanh nghiệp, vì nó cung cấp một cổng vào ngay lập tức cho khách hàng hay
cho các đối tác tiềm năng. Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh
nghiệp trong nền kinh tế thị trường. Có thể nói rằng, doanh nghiệp cần thông tin như
cá cần nước. Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng
đó là sẽ mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh
chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh
doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có
các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro. [7]
2.1.1.2. Đảm bảo ATBMTT trong doanh nghiệp.
ATBMTT có vai trò quan trọng đối với sự phát triển bền vững của các doanh
nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một
HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một
môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu
chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo
điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ
tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất
thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất
của doanh nghiệp. Do vậy, đảm bảo ATBMTT doanh nghiệp cũng có thể coi là một
hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải
vấn đề riêng của người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức
doanh nghiệp.
 An toàn thông tin( ATTT).
Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và bên bán theo
hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo. Ngày nay thì việc giao

dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng. Bên mua và bên bán
không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng như
tài sản. Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên
6
thứ ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo
để lừa đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh
toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do
thông tin bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta
cần tìm hiểu thế nào là ATTT?
Một HTTT được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa
đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. ATTT là quá trình
đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các
nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật
lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật
lí, can thiệp có chủ ý…[1]
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến
cho chủ sở hữu. ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu
của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa
đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng. Đồng
thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng. [1]
Trên thực tế không thể đảm bảo an toàn 100%, nhưng có thể giảm bớt các rủi ro
không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội
. Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện
pháp đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ
thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls
và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức.
ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người.
Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như:

trình duyệt Internet và phần mềm nhận Email từ máy trạm.
Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với
thông tin và sử dụng máy tính trong công việc của mình. [6]
Theo ISO 17799, ATTT là khả năng bảo vệ đối với môi trường thông tin kinh
tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công
dân, mọi tổ chức và của quốc gia. Thông qua các chính sách về ATTT, lãnh đạo thể
hiện ý chí và năng lực của mình trong việc quản lý HTTT. ATTT được xây dựng trên
nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật
nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như
các tài nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông
7
tin toàn cầu. Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề ATTT
phải bắt đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất.
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin .
Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các
điểm yếu của HTTT và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra. Việc
nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây
ra tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong
các chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện
chặt chẽ. Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ,
quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm
nhập và tấn công.[4]
 Bảo mật thông tin( BMTT)
Thông tin là một loại tài sản cũng giống như các tài sản khác của một doanh
nghiệp. Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì vậy
thông tin cần phải được bảo vệ thích hợp. Bảo vệ thông tin khỏi sự “mất cắp” cũng
chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp. Đảm bảo cho
doanh nghiệp tối thiểu hóa được các thiệt hại khi có rủi ro xẩy ra, đồng thời tối đa
được các lợi nhuận thu được từ các hoạt động kinh doanh. Thông tin trung thực, tin
cậy và sẵn sàn là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu

lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp.
BMTT là ngăn chặn, phát hiện và xác định những tiếp cận thông tin trái phép.
Nói chung, BMTT là bảo vệ thông tin trong các môi trường cần bảo mật cao, ví dụ
như các trung tâm quân sự hoặc kinh tế quan trọng.
BMTT là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin. [1]
• Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người
được cấp quyền tương ứng. Bí mật là yếu tố quan trọng nhất để đảm bảo trong các môi
trường, cả quân sự lẫn thương mại.
• Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông
tin chỉ được thay đổi bởi những người được cấp quyền.
• Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có
thể truy xuất thông tin khi họ cần.
BMTT chỉ mang lại lợi ích thiết thực khi chúng ta xây dựng một qui trình kiểm
soát chặc chẽ và hoàn chỉnh bao gồm các chính sách , các thủ tục, cơ cấu tổ chức….
Các qui trình này phải được xây dựng đáp ứng được nhu cầu bảo mật cho từng đối
tượng cụ thể.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được
đảm bảo theo đúng tiêu chí trong một thời gian xác định. [1]
8
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống
mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất
an toàn. Tuy nhiên, nếu phân tích theo mô hình OSI sự an toàn của HTTT được thực
hiện chủ yếu ở các tâng dưới, còn việc bảo mật nội dung thông tin được thực hiện ở
các tầng trên. [6]
2.1.2. Một số lý thuyết liên quan.
2.1.2.1. Các rủi ro mất ATBMTT trong doanh nghiệp.
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT
cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta
đang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm
2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật

nước ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên
gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn
công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện
tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế
nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền
kinh tế.
Xét theo nguyên nhân, có thể chia nguy cơ mất ATBMTT thành 2 loại:
 Nguy cơ ngẫu nhiên( nguyên nhân khách quan).
Nguy cơ mất ATBMTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách
quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện, hạ tầng năng
lượng, truyền thông…Đây là những nguyên khách quan, khó dự đoán trước, khó tránh
được nhưng đó lại không phải là nguy cơ chính của việc mất ATBMTT.
 Nguy cơ có chủ định( nguyên nhân chủ quan).
Nguy cơ mất ATBMTT có chủ định xuất phát từ tin tặc, cá nhân bên ngoài, phá
hỏng vật lý, can thiệp có chủ ý.
Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực
tế, vấn đề ATBMTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất
phát từ chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy
chủ, HTTT, ); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong
quy trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo
đức nghề nghiệp). [1]
Tấn công vào HTTT là hình thức làm hỏng hóc, thay đổi, sao chép, xóa bỏ hay
can thiệp vào hoạt động HTTT. Có ba kịch bản tấn công điển hình: thu thập thông tin,
khai thác lỗ hổng, tấn công từ chối dịch vụ. Xét theo cách thức thì có tấn công chủ
động và bị động. Xét theo tài nguyên có tấn công do yếu tố con người và công nghệ.
9
Xét theo hệ thống có tấn công máy đầu cuối, tấn công đường truyền và tấn công máy
chủ. Xét theo hình thức có tấn công vật lý và tấn công phần mềm. [1]
Ở đây ta xét đến hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có
thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép, vi phạm tính

toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra. Thông thường kẻ tấn công sẽ sử dụng các thiết bị phần cứng như
thiết bị bắt sóng Wifi để tóm những gói tin được truyền trong vùng phủ sóng hay sử
dụng các chương trình phần mềm packet sniff nhằm bắt các gói tin. Các kiểu tấn công
của thường gặp là nghe trộm đường truyền và phân tích lưu lượng. Nghe trộm đường
truyền là hình thức hay dùng trong do thám, kẻ nghe lén bằng cách nào đó xen ngang
quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra những
thông tin quan trọng. Phân tích lưu lượng là dựa vào sự thay đổi lưu lượng của luồng
thông tin truyền trên mạng nhằm xác định được một số thông tin có ích.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi
thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập
máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu
thập dữ liệu của người dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí
nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để
lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn
nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông
người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự
cả tin của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao,
lên đến 3% (theo một báo cáo của Computer World). Hình thức phổ biến nhất của tấn
công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các

thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức
của người dùng.
10
Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp
vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là
có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay
đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được. Tấn công chủ
động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn
công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt
nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo
hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu
nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ
chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình
không cần thiết Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc"
sang các website lừa đảo.
Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan để ăn cắp dữ liệu,
lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục
đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng.
2.1.2.2. Yêu cầu của đảm bảo ATBMTT doanh nghiệp.
 Các yêu cầu của ATTT hệ thống:
- Tính bí mật( Security): đảm bảo dữ liệu của người sử dụng luôn được
bảo vệ, không bị xâm phạm bởi những người không được phép.
- Tính toàn vẹn( Integrity): dữ liệu không bị tạo ra, sửa đổi hay xóa bỏ bởi
những người không sở hữu.

- Tính sẵn sàng( Availability): dữ liệu phải luôn trong trạng thái sẵn sang.
- Tính tin cậy( Confidentiality): thông tin người dùng nhận được là đúng.
Doanh nghiệp phải đảm bảo các yếu tố của mô hình C-I-A ( Confidentiality,
Intergrity, Availability). Xây dựng trung tâm dự phòng thông tin trong tổng thể an
ninh hệ thống phần nào đảm bảo tính liên tục( Availability). [1]
 Các yêu cầu của hệ thống đảm bảo ATBMTT cho doanh nghiệp.
 Yêu cầu về các thiết bị phần cứng.
Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy
tính như là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi
xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ
11
DVD, Dựa trên chức năng và cách thức hoạt động người ta còn phân biệt phần cứng
ra thành thiết bị nhập (Input), thiết bị xuất (Output), thiết bị xử lý (Processing Device)
và thiết bị lưu trữ (Storage Device). Ngoài yêu cầu các thiết bị phần cứng cơ bản như
máy tính, máy in, máy fax, thiết bị và đường truyền mạng phải hoạt động tốt, ổn định
thì doanh nghiệp nên sử dụng các thiết bị bảo mật: thiết bị bảo mật đa chức năng
Firebox X(WatchGuard), thiết bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện
tử chuyên dụng của hãng O2Micro’s SifoML,… [6]
 Yêu cầu về phần mềm.
Phần mềm (tiếng Việt còn được gọi là nhu liệu; tiếng Anh: software) là một tập
hợp những câu lệnh được viết bằng một hoặc nhiều ngôn ngữ lập trình theo một trật tự
xác định nhằm tự động thực hiện một số chức năng hoặc giải quyết một bài toán nào
đó. Theo phương thức hoạt động, phần mềm được chia thành hai loại là phần mềm hệ
thống và phần mểm ứng dụng.
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần
không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATBMTT, các phần
mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các
phần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất
nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật.
Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc

cài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phần
mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã
hóa dữ liệu, phần mềm chống thư rác….[6]
 Yêu cầu về mạng.
Hệ thống mạng là một tập hợp các thiết bị và hệ thống đầu cuối được kết nối
với nhau sao cho chúng có thể giao tiếp (chia sẻ dữ liệu, tài nguyên) được với nhau.
Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây dựng các
mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hay Kerberos.
Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế
sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trường mạng
Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của
HTTT, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ
không cần thiết. Đối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu
nhằm tăng cường công tác bảo mật. [6]
 Yêu cầu về CSDL.
CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng. Bất kỳ
người sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có
quyền truy nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay
12
tương tác mà không phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên
đó. Thiết lập và cấu hình CSDL an toàn, luôn cập nhật bản vá lỗi mới nhất cho hệ
quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ
sở dữ liệu. Gỡ bỏ các CSDL không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu hóa
quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như:
nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi, Thường xuyên kiểm tra,
giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo
danh mục, thư mục cho từng phòng/đơn vị trực thuộc. [6]
 Con người.
Đối với một hệ thống đảm bảo ATBMTT doanh nghiệp, con người luôn có vai
trò rất quan trọng. Có thể coi con người như là não bộ của hệ thống, điều hành mọi

hoạt động của hệ thống. Một hệ thống được xây dựng nhằm mục đích đảm bảo
ATBMTT, dù cho các thành phần cơ bản trên có được đầu tư nhiều đến đâu mà yếu tố
con người không đáp ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể
phát huy được tính năng và hiệu quả của nó.
Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm
thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu
ra mong muốn.
Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về
ATBMTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm
bảo an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp
vụ cho đội ngũ cán bộ ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng
máy tính về phòng, chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet. [6]

2.1.2.3. Quy trình chung đảm bảo ATBM hệ thống.
Bước 1: thành lập bộ phận chuyên trách về vấn đề ATBM.
Bước 2: thu thập thông tin.
Bước 3: thẩm định tính rủi ro của HTTT.
Bước 4: xây dựng giải pháp bảo đảm an toàn cho hệ thống.
Bước 5: thực hiện và giáo dục.
Bước 6: kiểm tra, phân tích và thực hiện.
2.1.3. Phân định nội dung nghiên cứu.
Với đề tài: “Một số giải pháp nâng cao tính an toàn và bảo mật thộng tin cho
Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống Thông tin FPT”, mục
tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATBMTT, thực trạng và giải pháp nâng
cao ATBMTTT cho Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT.
13
Căn cứ vào tên và những mục tiêu của đề tài, trong phần 3 định hướng và đề
xuất giải pháp em sẽ tập trung vào những giải pháp cho phần cứng và phần mềm cho
Công ty.

2.1.3.1. Các phương pháp phòng tránh và khắc phục.
 Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ
thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Để phòng tránh nguy cơ mất ATBMTT, trước hết, doanh nghiệp cần bố trí nhân
lực để tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT
và ngăn chặn, khắc phục kịp thời các sự cố ATBMTT trên mạng máy tính. Đặc biệt,
cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn
cho các HTTT, lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ
ATBMTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng,
chống các nguy cơ mất ATBMTT khi sử dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo
ATBMTT, chống virus và mã độc hại cho các HTTT và máy tính cá nhân có kết nối
mạng Internet. [1]
 Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật
nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi
máy chủ, máy trạm. Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi
lưu tập trung biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục
sự cố mạng. [1]
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng
lên bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác
thường, cần thực hiện các bước cơ bản sau:
• Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng.
• Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu
trữ (phục vụ cho công tác phân tích).
• Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất
để hệ thống hoạt động.
 Các phương pháp đảm bảo ATBMTT.
Các phương pháp đảm bảo ATBMTT có thể được quy tụ vào 3 nhóm sau:
• Bảo vệ ATBMTT bằng các biện pháp hành chính

• Bảo vệ ATBMTT bằng các biện pháp kỹ thuật( phần cứng)
• Bảo vệ ATBMTT bằng các thuật toán( phần mềm)
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường khó
bảo vệ ATBMTT nhất và cũng là môi trường đối phương dễ xâm nhập nhất đó là môi
14
trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên mạng
truyền tin và mạng máy tính là biện pháp thuật toán.
2.1.3.2. Một số công nghệ sử dụng nhằm phòng tránh và khắc phục rủi
ro mất ATTT trong doanh nghiệp.
 Giao thức SSL
Trong các giao dịch điện tử trên mạng và các giao dịch thanh toán trực tuyến,
thông tin/dữ liệu trên môi trường mạng Internet không an toàn thường được bảo đảm
bởi cơ chế bảo mật thực hiện trên tầng vận tải có tên Lớp cổng bảo mật SSL (Secure
Socket Layer) - một giải pháp kỹ thuật hiện nay được sử dụng khá phổ biến trong các
hệ điều hành mạng máy tính trên Internet ) cho phép bạn truyền đạt thông tin một cách
bảo mật và an toàn qua mạng. SSL là giao thức đa mục đích được thiết kế để tạo ra các
giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm
mã hoá toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số
liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. SSL không phải là
một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá
Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP
nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
- Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của
kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người
sử dụng.
- Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại
trừ việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua Internet, dữ
liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người
gửi và người nhận.
- Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện

chính xác thông tin gốc gửi đến.
SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thành toán qua mạng,
được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server, được thiết kế
độc lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng khác nhau và mọi
hoạt động của SSL đều trong suốt với người sử dụng.
 Giao thức SET
Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát triển giao
thức giao thức SET - Secure Electronic Transaction-Giao dịch điện tử an toàn nhằm hỗ
trợ bảo mật trong thanh toán trực tuyến qua mạng dựa trên kỹ thuật sử dụng đồng tiền
số. Giao thức này được hỗ trợ bởi các công ty lớn như IBM, Microsolf, HP,
Netscape…
15
Giao thức SET đáp ứng được 4 yêu cầu về bảo mật cho TMĐT giống như SSL:
sự xác thực, mã hóa, tính chân thực, và không thoái thác. Dưới đây là cách mà hệ
thống này làm việc. Khi một giao dịch SET được xác nhận quyền xử dụng, mã khoá
riêng của người sử dụng sẽ thực hiện chức năng giống như một chữ ký số, để chứng
minh cho người bán về tính xác thực của yêu cầu giao dịch từ phía người mua và các
mạng thanh toán công cộng. Trong thực tế nó giống như là việc ký vào tờ giấy thanh
toán trong nhà hàng. Chữ ký số chứng minh là ta đã ăn thịt trong món chính và chấp
nhận hoá đơn. Do người mua không thể thoát ra khỏi một giao dịch SET, để khiếu nại
về việc họ không mua hàng nên các giao dịch SET theo lý thuyết sẽ chạy qua các hệ
thống thanh toán giống như ta mua hàng ở thiết bị đầu cuối tại các cửa hàng bách hoá
thực.
SET đảm bảo tính chính xác của thông tin cho bên gửi và bên nhận, đảm bảo
tính toàn vẹn của thông tin, rất an toàn do khó bị bẻ khóa. Qua đó người dùng không
sợ lộ các thông tin về tài khoản của mình khi tiến hành các giao dịch trên mạng do tiến
hành xác nhận qua ngân hàng trung gian.
. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của các thuật toán mã
hóa công khai, do thường xuyên tiến hành giao dịch với các ngân hàng trung gian, hệ
thống công kềnh và quá trình giao dịch chậm, thường xuyên backup các dữ liệu, chi

phí cao cho thiết bị phần cứng, yêu cầu các thiết bị phần cứng chuyên dụng, yêu cầu
cài đặt phần mềm chuyên dụng. Vì thế, nhiều ngân hàng ảo và cửa hàng điện tử duy trì
giao thức SSL, thậm chí một số cửa hàng điện tử, như Wal-Mart Online, đi theo cả hai
giao thức SSL vàS ET. Ngoài ra, theo một cuộc khảo sát do Forrest Research thực
hiện, chỉ có 1% kế hoạch kinh doanh điện tử di chuyển sang SET.
 Giao thức Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy
tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả
năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ
liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy
khách (client-server) và đảm bảo nhận thực cho cả hai chiều. Giao thức được xây dựng
dựa trên mật mã hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia
giao dịch tin tưởng.
Mỗi người sử dụng (cả máy chủ và máy khách) trong hệ thống chia sẻ một khóa
chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để
chứng minh nhân dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử
dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao
dịch đó. Những mục tiêu chính của hệ thống có thể được tóm tắt như sau:
16
• Kerberos không bao giờ truyền đi trên mạng mật khẩu không được mã
hóa, tức là “dưới dạng rõ”.
• Có khả năng chống lại dạng tấn công “sử dụng lại”(“replay attack”)
• Kerberos không yêu cầu người dùng lặp đi lặp lại thao tác nhập mật
khẩu trước khi truy nhập vào các dịch vụ thường dùng.
• Hệ Kerberos được thiết kế nhằm dung hoà giữa yêu cầu về mức độ bảo
mật và ý muốn tiện dụng cho người dùng. Bản Kerberos tiêu chuẩn do MIT phân phối
có kèm theo một vài chương trình ứng dụng cơ bản, trong đó có telnet, thư điện tử
POP và các lệnh “R-commands” của UNIX (như rlogin). Các ứng dụng khác có thể
được Kerberos hoá bằng cách sử dụng các hàm thư viện của Kerberos.
Kerberos là hệ xác thực dựa trên nguyên lý mã hóa sử dụng khóa mật. Trong hệ

Kerberos, một bên thứ ba được tin cậy cấp khóa phiên để bên người dùng và bên cung
cấp dịch vụ có thể trao đổi thông tin với nhau trên mạng một cách an toàn. Đây là một
công nghệ đã chín muồi và được sử dụng rộng rãi, tuy còn một số mặt hạn chế đang
được tiếp tục khắc phục.
 Watch guard Firebox X Core 550E
Đây là một sản phẩm tích hợp các tính năng như bảo mật nội dung
(WebBlocker), ngăn ngừa spam (SpamScreen), mạng riêng ảo (VPN), ngăn ngừa xâm
nhập (Intrusion Prevention), có khả năng mở rộng, được thiết kế để đáp ứng với các
yêu cầu nâng cấp và sự phát triển của các doanh nghiệp, và nổi bật nhất là sự kết hợp
tốt nhất về khả năng bảo mật, tính dễ sử dụng khi cài đặt, cấu hình và quản lý với chi
phí sở hữu (TCO) là thấp nhất so với các sản phẩm cùng loại. Kiến trúc Intelligent
Layered Security của Watchguard bảo vệ chống lại các mối nguy hiểm từ bên ngoài
một cách hữu hiệu và hiệu quả, ngoài ra còn có tính linh động để tích hợp với các dịch
vụ cộng thêm được đưa ra bởi WatchGuard. Mỗi sản phẩm WatchGuard có kèm theo
các dịch vụ ban đầu như LiveSecurity, Service Subscription nhằm giúp khách hàng
yên tâm với những cảnh báo về các lỗ hổng bảo mật, cập nhật sản phẩm, sự hướng dẫn
của các chuyên gia bảo mật và sự chăm sóc khách hàng chu đáo.
 O2Micro: Giải pháp bảo mật cho Mail server
Vấn đề bảo mật hệ thống mail cho các doanh nghiệp hiện nay trở nên cần thiết
vì hằng ngày các thư rác (spam mail) có thể làm tràn ngập hộp thư dẫn đến sự trì trệ
trong công việc ảnh hưởng xấu đến năng suất của công ty, cũng như lợi dụng các thư
rác hay thư hợp pháp để thực hiện tấn công DoS, hay đánh cắp các thông tin cá nhân,
có thể lợi dụng các thông tin này thực hiện các giao dịch ngoài ý muốn, ngoài ra khi
nhận được các email với nội dung và các hình ảnh không lành mạnh gây ra sự khó
chịu cho các nhân viên và ảnh hưởng đến công việc. Micro đưa ra giải pháp bảo
17
mật SifoML ngay tại cổng vào cho Mail Server, cũng như cho các hệ thống Mail đặt ở
các nhà cung cấp dịch vụ ISP.
SifoMLTM tích hợp các chức năng như: anti-spam, anti-virus, anti-spyware,
anti-phishing, anti-relay, anti-DoS và anti-hacking vào trong một thiết bị, một gateway

phần cứng với performance cao, có thể triển khai ở E-Mail Server. Với những đặc
điểm quản lý bảo mật và lọc nội dung email (chẳng hạn như: địa chỉ From, To,
attachment file, subject, nội dung bên trong của email, và những hình ảnh không lành
mạnh hay những đường link đến trang web xấu bên trong email điều bị block,….),
SifoML thực hiện kiểm tra sâu vào ứng dụng và lọc những mối đe dọa mà Firewall
truyền thống không thể ngăn chặn được. Chính vì điều này sẽ làm tăng lượng spam
mail, virus, trojan horse, worm, virus trên mạng và những mối đe dọa từ những kẽ tấn
công trên mạng. SifoMLTM đơn giản là hệ thống quản lý bảo mật email tại gateway
tốt nhất cho những người quản trị hệ thống và những người sử dụng.
 Exinda: Thiết bị băng thông
Exinda là thiết bị hàng đầu phục vụ cho việc giám sát và tối ưu hóa băng thông.
Ưu điểm của Exinda là thiết bị hoạt đông ở transparent mode ( trong suốt) cho nên khi
ta gắn thiết bị vào trong mạng thì sẽ không cần chỉnh sửa hay thiết lập lại hệ thống
mạng hiện đang sử dụng. Exinda còn tích hợp tính năng “Ethernet Bypass” trong
trường hợp mất điện nguồn Exinda thì các gói tin sẽ bypass qua thiết bị và ra Internet
bình thường. Exinda cho phép giới hạn băng thông theo IP, dịch vụ và quản lý theo
user trên AD. Đặc biệt trên thiết bị Exinda có tạo sẵn các policy về các dịch vụ thường
dùng từ đó ta có thể tùy chỉnh, tạo thêm các policy mới theo ý thích để phục vụ cho
việc quản lý người dùng ( cấm không cho người dùng truy cập vào facebook, dùng
Yahoo + Skype để chat, cấm xem film và nghe nhạc online, cấm download + upload
…). Tính năng Real-time monitor hiển thị rõ URL website mà người dùng (theo IP
hay theo user trên AD) truy cập. Application Response Measurement cho phép người
quản trị biết được độ delay của từng service… từ đó giúp các nhà quản trị đưa ra
phương hướng cấu hình phù hợp nhất để performance được tối ưu nhất. Đặc biệt hơn
nữa là ta còn có thể quy định dung lượng down+upload của người dùng, nếu người
dùng nào sử dụng vượt quá dung lượng mà ta đã chỉ định thì sẽ bị chuyển qua sử dụng
Internet với băng thông ít hơn so với người dùng khác. Exinda cung cấp nhiều models
cho các doanh nghiệp lựa chọn: như Models 1700, 2800, 4x00 và 6x00.
2.2. THỰC TRẠNG VỀ VẤN ĐỀ ATBMTT TRONG CÔNG TY TNHH
DỊCH VỤ ERP FPT- CÔNG TY TNHH HỆ THỐNG THÔNG TIN FPT.

2.2.1. Giới thiệu về Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ
thống Thông tin FPT.
18
2.2.1.1. Giới thiệu chung.
Loại hình doanh nghiệp: Công ty TNHH (Công ty TNHH hai thành viên trở
lên).
Tên đầy đủ: Công ty TNHH Dịch vụ ERP FPT- Công ty TNHH Hệ thống
Thông tin FPT.
Tên giao dịch: FPT IS
Địa chỉ: Số 101 Láng Hạ, Đống Đa, Hà nội, Việt Nam.
Tel : +84 4 35626000 Fax: +84 4 35624850
Hotline: HN:(04)73007300 - TP.HCM:(08)73007300
Website: www.fis.com.vn
Công ty Hệ thống thông tin FPT (FPT Information System – FPT IS) là thành
viên của tập đoàn FPT. Hiện tại, FIS là công ty với 9 công ty thành viên và 1 liên
doanh với Nhật Bản. FIS có các văn phòng đại diện tại các nước Singapore, Lào,
Campuchia. FIS có hơn 2400 kỹ sư đang hoạt động chuyên sâu trong các lĩnh vực:
phát triển phần mềm ứng dụng, dịch vụ ERP, dịch vụ công nghệ thông tin, tích hợp hệ
thống, gia công quy trình doanh nghiệp và dịch vụ điện tử.
Với kinh nghiệm hoạt động lâu năm trong lĩnh vực CNTT, đội ngũ kỹ sư am
hiểu nghiệp vụ khách hàng, chuyên sâu trong từng ngành kinh tế, FIS hiện tại là nhà
cung cấp ERP hàng đầu Việt Nam hiện nay. Bằng việc xây dựng những gói sản phẩm
có tính thực tiễn cao dựa trên nền giải pháp của SAP, ORACLE và Peoplesoft,…FIS
đã xây dựng hệ thống ERP chuyên sâu cho từng ngày kinh tế.
2.2.1.2. Sứ mệnh.
FIS mong muốn trở thành công ty toàn cầu, dẫn đầu ASEAN về phát triển
phần mềm ứng dụng, dịch vụ CNTT và tích hợp hệ thống. Nâng sản phẩm phần mềm
và CNTT Việt Nam lên tầm quốc tế. Phấn đấu đem lại cuộc sống hạnh phúc, giàu có
cho toàn bộ cán bộ, đóng góp cho đất nước và cộng đồng.
2.2.1.3. Chiến lược.

Về cơ bản, FIS có bảy chiến lược kinh doanh cho tương lai.
Chiến lược kinh doanh đầu tiên là tổng thầu các dự án lớn. Trong giai đoạn 3
năm tới, FIS đặt mục tiêu tổng thầu các dự án cỡ 250 tỷ đồng (tương đương với 12
triệu USD) đến hơn 1000 tỷ đồng (tương đương với 50 triệu USD), trong đó giá trị
phần mềm có thể lên đến hơn 500 tỷ đồng (tương đương với 25 triệu USD). Giá trị các
dự án tổng thầu có thể lên đến cỡ 1000 tỷ đồng - 3000 tỷ đồng (tương đương với 50 -
150 triệu USD) ở giai đoạn 2012-2020.
Chiến lược kinh doanh thứ hai là phát triển phần mềm lõi. Nhiều giải pháp phần
mềm ứng dụng lõi của FIS đã được triển khai cho các khách hàng chiếm giữ những vị
19
trí xương sống của nền kinh tế của Việt Nam. FIS sẽ tiếp tục chú trọng đến việc tư vấn
tổng thể cho khách hàng với mục tiêu hiệu quả của toàn hệ thống đối với công tác
quản lý và nghiệp vụ của khách hàng, tập trung vào các giải pháp ứng dụng lõi với
mục tiêu trong giai đoạn từ nay đến năm 2012 sẽ có giải pháp trị giá trên 200 tỷ đồng
(tương đương với trên 10 triệu USD).
Chiến lược kinh doanh thứ ba là cung cấp dịch vụ ITO toàn cầu. Với sự phục
hồi của nhiều nền kinh tế và xu hướng đầu tư hiệu quả cho lĩnh vực công nghệ thông
tin trên thế giới sau khủng hoảng, làn sóng IT Outsourcing (ITO) đang được đánh giá
là sẽ tiếp nối làn sóng Software Outsourcing. IT Service được đặt mục tiêu trở thành
một trong những sức mạnh cốt lõi của FIS, chiếm 10% doanh số đến năm 2015, tương
đương với hơn 1600 tỷ đồng (tương đương với 78 triệu USD).
Chiến lược kinh doanh thứ tư là toàn cầu hóa. Xuyên suốt trong chiến lược của
FIS là tiếp tục và kiên trì toàn cầu hóa trên 4 hướng: dịch vụ ERP, ITO, BPO và bán
sản phẩm phần mềm do FIS phát triển. Với các yếu tố này, doanh số toàn cầu hóa đến
năm 2015 được hướng đến là 3000 tỷ đồng (tương đương với 150 triệu USD).
Chiến lược thứ năm là mở rộng tích hợp hệ thống. FIS cần mở rộng thêm các hệ
thống đặc chủng cho Ngân hàng, An ninh - Quốc phòng, giải pháp hệ thống thông tin
trọn gói cho doanh nghiệp vừa và nhỏ. Đặc biệt là các giải pháp tích hợp hệ thống cho
ngành Viễn thông.
Chiến lược thứ sáu là cung cấp dich vụ điện tử. Thị trường Việt Nam đã sang

giai đoạn mà tiêu dùng của cá nhân nhiều hơn nhiều lần tiêu dùng của các tổ chức. Để
phát triển và dẫn đầu, FIS cần có vai trò, vị trí, thị phần ở mảng thị trường đại chúng
(Mass).
Chiến lược cuối cùng là mua bán và sáp nhập. Mua bán và sáp nhập hay còn
gọi là M&A tuy là một khái niệm còn tương đối mới mẻ ở Việt Nam nhưng đã là một
xu thế đang phát triển trên thế giới. Bằng cách này, một doanh nghiệp sẽ nhanh chóng
có thêm các mảng thị trường mới, sản phẩm mới, dịch vụ mới,
2.2.1.4. Lịch sử hình thành và phát triển.
Được thành lập ngày 13/09/1988, đến nay, sau hơn 25 năm, FPT luôn là Công
ty CNTT và viễn thông hàng đầu Việt Nam với các mảng kinh doanh cốt lõi là viễn
thông, công nghiệp nội dung, phần mềm, các dịch vụ CNTT và giáo dục.
Một số mốc chính trong chặng đường phát triển của FPT:
Từ năm 1988 - 1990: Tìm hướng đi.
Công ty đã tìm ra hướng đi đúng đắn cho mình với ba mốc quan trọng sau đây:
13/9/1988, FPT ra đời với tên gọi Công ty Công nghệ Chế biến Thực phẩm (The Food
Processing Technology Company), kinh doanh trong lĩnh vực công nghệ thực phẩm,
20