Giải pháp nâng cao an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị công nghiệp Hoàng Mai
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (373.33 KB, 49 trang )
LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sự
hướng dẫn nhiệt tình của giáo viên hướng dẫn là Thạc sỹ Nguyễn Thị Hội cùng sự
nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty Cổ phần Thiết bị
Công nghiệp Hoàng Mai. Qua đây, em xin chân thành cảm ơn nhà trường, quý thầy cô
đã tạo mọi điều kiện cho em tham gia học tập, rèn luyện, trao dồi kiến thức chuyên
môn cũng như kiến thức thực tế cuộc sống trong suốt 4 năm học. Và đặc biệt, em xin
chân thành cảm ơn Thạc sỹ Nguyễn Thị Hội - người đã tận tình hướng dẫn, chỉ bảo
và giúp đỡ em hoàn thành khóa luận tốt nghiệp này. Đồng thời em cũng gửi lời cảm ơn
chân thành đến ban giám đốc và toàn thể nhân viên , Công ty Cổ phần Thiết bị Công
nghiệp Hoàng Mai, đặc biệt Anh Nguyễn Văn Tuấn - Trường phòng Công nghệ thông
tin của công ty đã tiếp nhận và tạo cho em môi trường làm việc chuyên nghiệp, giúp
em có điều kiện nắm bắt tổng quát chung về tình hình hoạt động của công ty và hoàn
thành được bài khóa luận tốt nghiệp của mình.
Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu
về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu luận văn khá hạn
hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, luận văn chắc chắn sẽ
gặp phải nhiều sai sót. Em kính mong cô giáo Nguyễn Thị hội, các thầy cô giáo trong
bộ môn Công nghệ thông tin, các anh chị nhân viên trong công ty cổ phần thiết bị công
nghiệp Hoàng Mai góp ý, chỉ bảo để luận văn có giá trị cả về lý luận và thực tiễn.
Em xin chân thành cảm ơn!
MỤC LỤC
!"#!$%&'()
*+!,-'(!.%/*
012345"45676%897%6%6"9934":63;68"*<<**
)0=">4?4)9@;A4!BC!='AD"E2F!G."*<<HI
J?BC!"?;=33K49L555M%N4)9@;A"E2"OE"*<<PI
I0M%Q.!.%/%&'()R
RFBS!,)5=,!.%/%&'()R
TBC!5>5!.%/%&'()T
TG>A5BC!5>5!.%/T
T*>%5BC!5>5'BS%3D9M!4!'()U4>;VT
WGX%-%&UY;VW
*C3Z;#;V,(4),)[\4V9@;A]
*0^3FU>A%C[\]
**OB@9@;AH
*I>%!8%C,)?/%-%_!9@;A
**>!>"5`a%b%=!4),)[\4V9@;A=_!8+5X[c_!
!A54)!0I
**dA,(_!8+5X[c_!!A54)!0I
***>%;$,b%4='^!,)U94%&8X%&%_!8T
**IG>>4='^!3\e-U94%&_!8+5X[c_!!A54)!
0W
**R`a%b%=!4),)[\4V9@;A=_!8+5X[c_!!A5
4)!0]
**TGX\eD;f5X'(,)5`a%%>%9@;A/%-5**
**T>!>b%=!4),)[\4V9@;A=_!8+5X[c_!!A5
4)!0*]
I>%'(e-g`!%44),)[\4V9@;A=_!8+5X[c_!
!A54)!0*P
I`!%-5AF!>8%&*P
I*`!%-5AF!K6[36I<
II7D9M!%>%?/%;B@,)h4>9@;AdI*
IR`!%4i!;b%\;#94!A5,)5`8(!Bj3D9M!IW
I*(UAb%.%>%!\5>5R<
I*)4=4`;b%,(R<
I**+[XUX/%,(4)[\4VR<
I*IB!X[cR
IIcBd!5>k%&,-'(!.%/R
lmnGlRR
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Tên Trang
Hình 2.1 Logo của công ty
Hình 2.2 Bảng cơ cấu nhân lực của công ty
Hình 2.3 Sơ đồ cơ cấu bộ máy của công ty
Hình 2.4 Bảng : Kết quả hoạt động sản xuất kinh doanh của công
ty trong ba năm 2008- 2010
Hình 2.5. Kết quả sử dụng SPSS đánh giá phiếu điều tra-1
Hình 2.6. Kết quả sử dụng SPSS đánh giá phiếu điều tra-2
Hình 2.7. Kết quả sử dụng SPSS đánh giá phiếu điều tra-3
Hình 2.8. Kết quả sử dụng SPSS đánh giá phiếu điều tra-4
Hình 2.9. Kết quả sử dụng SPSS đánh giá phiếu điều tra-5
Hình 2.10. Kết quả sử dụng SPSS đánh giá phiếu điều tra-6
,
DANH MỤC TỪ VIẾT TẮT
Tên từ viết tắt Thuật ngữ Giải nghĩa
TS Tiến sĩ Tiến sĩ
NXB Nhà xuất bản Nhà xuất bản
TMĐT Thương mại điện tử Thương mại điện tử
LĐXH Lao động xã hội Lao động xã hội
CNTT Công nghệ thông tin Công nghệ thông tin
CSDL Cơ sở dữ liệu Cơ sở dữ liệu
XNK Xuất nhập khẩu Xuất nhập khẩu
ĐVT Đơn vị tính Đơn vị tính
PKI Public Key Infrastructure Khoá công cộng
AES Advanced Encryption Standard Tiêu chuẩn mã hoá tiên tiến
CPU Central Processing Unit Bộ xử lý trung tâm
DOS Denial of Service Từ chối dịch vụ
LAN Local Area Network Mạng cục bộ
CLR Common Language Runtime Bộ thực thi
NAT Network Address Translation Chuyển đổi địa chỉ mạng
WEP Wireless Encryption Protocol Giao thức mã hoá mạng không dây
HTTP HyperText Transport Protocol Giao thức truyền tải siêu văn bản
IMAP Internet Messaging Access Protocol Chuẩn giao diện giữa chương
trình E-mail client với Mail
Server
FTP File Transport Protocol Giao thức truyền tập tin
CA Certificate authority Cơ quan chứng thực
,
Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1. Tầm quan trọng, ý nghĩa của đề tài.
Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết, Trong bất cứ lĩnh vực
nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thông
tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đưa ra
nhưng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự thay đổi
của xã hội.
Ngày nay, với sự phát triển của công nghệ thông tin, Internet trở thành cầu nối chia
sẻ kiến thức, thông tin và giúp con người đến gần nhau hơn. Các công ty có cơ hội
quảng bá sản phẩm, tìm đối tác làm ăn, đàm phán kinh doanh và chia sẻ thông tin. Bên
cạnh đó, công nghệ thông tin và các ứng dụng của nó giúp công ty phân tích, lữu trữ
thông tin và dữ liệu để phục vụ cho việc điều hành và ra quyết định kinh doanh. Tuy
nhiên vấn đề mất mát dữ liệu, dữ liệu bị ăn cắp là vấn đề nóng mà các công ty và tổ
chức lo lắng. Cho nên việc đảm bảo và nâng cao an toàn và bảo mật dữ liệu được quan
tâm hàng đầu. Vấn đề tuy được nhiều tổ chức và công ty nói đến, nhưng mức độ thiệt
hại liên quan đến an toàn và bảo mật dữ liệu không ngừng gia tăng. Chính vì vậy cần
có những giải pháp đồng bộ và quyết liệt để đảm bảo an toàn và bảo mật dữ liệu.
Công ty cổ phần thiết bị công nghiệp Hoàng Mại chuyên nhập khẩu và phân phối
các thiết bị công nghiệp, cho nên các thông tin và dữ liệu liên quan đến : Nhà cung
cấp, đối tác nhập khẩu, khách hàng, tình hình biến động hàng hoá… là rất quan trọng.
Nó ảnh hưởng trực tiếp và gián tiếp đến doanh thu và lợi nhuận của công ty. Lãnh đạo
công ty cũng đã ý thức được tầm quan trọng của an toàn và bảo mật của dữ liệu.
Nhưng trên thực tế vẫn ra tình trạng mất mát thông tin, dữ liệu, đặc biệt khi công ty áp
dụng hình thức giao dịch và thanh toán trực tuyến qua mạng internet.
Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần thiết bị công nghiệp
Hoàng Mai em xin thực hiện đề tài khoá luận: “ Giải pháp nâng cao an toàn và bảo
mật dữ liệu tại công ty cổ phần thiết bị công nghiệp Hoàng Mai”.
Đề tài khóa luận này sẽ giúp công ty:
- Nâng cao nhận thức của lãnh đạo và toàn thể nhân viên về an toàn và bảo mật
dữ liệu.
- Hiểu rõ thực trạng và tồn tại trong hệ thống an toàn và bảo mật dữ liệu tại công
ty.
- Đưa ra các phương pháp giải quyết nhằm nâng cao an toàn và bảo mật dữ liệu
tại công ty.
1.2. Tổng quan vấn đề nghiên cứu.
An toàn và bảo mật dữ liệu không phải là vấn đề mới, đã có nhiều công trình,
nghiên cứu chuyên sâu về vấn đề này. Tuy nhiên, mỗi công trình nghiên cứu về những
khía cạnh riêng của hệ thống thông tin, dữ liệu thương mại điện tử…
+ Nước ngoài:
Matt Bishop, Computer Security: Art and Science, Addison, Wesley,2002.
Cuốn sách này có ba mục tiêu. Đầu tiên là để cho thấy tầm quan trọng của lý thuyết
đến thực hành và thực hành lý thuyết. Tất cả các quá thường xuyên, các học viên về lý
thuyết là không thích hợp và lý thuyết thực hành như là tầm thường. Trong thực tế, lý
thuyết và thực hành là cộng sinh.
Mục tiêu thứ hai là để nhấn mạnh rằng bảo mật máy tính và mật mã khác nhau. Mặc
dù mật mã là một thành phần thiết yếu của bảo mật máy tính, nó không có nghĩa là
thành phần. Mật mã cung cấp một cơ chế để thực hiện các chức năng cụ thể, chẳng hạn
như ngăn chặn những người không được phép đọc và thay đổi tin nhắn trên mạng.
Mục tiêu thứ ba là để chứng minh rằng bảo mật máy tính không phải là chỉ là một
khoa học mà còn là một nghệ thuật. Nó là một nghệ thuật bởi vì hệ thống không thể
được coi là an toàn mà không có một kiểm tra làm thế nào nó được sử dụng. Định
nghĩa của một "máy tính an toàn" đòi hỏi một tuyên bố yêu cầu và biểu hiện những
yêu cầu trong các hình thức hành động và người sử dụng được uỷ quyền.
- William Stallings, Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall, 2005.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề
cơ bản của công nghệ mật mã và an ninh mạng. Kiểm tra các thực hành an ninh mạng
thông qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụng ngày nay.
Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard) cho phép
người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Tính năng ngăn chặn chế độ
thuật toán, mã hoá hoạt động, bao gồm cả chế độ CMAC (Cipher-based Message
Authentication Code) để xác thực và chế độ mã hoá chứng thực. Bao gồm phương
pháp giải quyết, mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại.
+ Trong nước
*
Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống
Kê, 2009.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như
những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Từ đó, giúp các
nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong hoạt
động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phương pháp
phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục
hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng
thuận lợi hơn trong những công việc hàng ngày của mình.
Vũ Đình Cương, Tìm lại Password & pp phục hồi an toàn dữ liệu, NXB, LĐXH,
2008.
Tập trung giải quyết các vấn đề liên quan đến Email như: Một số thủ thuật
Yahoo Messenger, cách xác định vị trí đại lý của email, Mail server, cách sử dụng một
số phần mềm Spam, gửi thư nặc danh bằng Ghost mail, phương pháp chống Bomb
mail. Giải quyết triệt để các vấn đề liên quan đến password Windows, từ cách reset
password khi lỡ quên hoặc bị Hack cho đến những phương pháp tìm lại mật khẩu bằng
những phần mềm lớn và phức tạp. Tác giả tuyển chọn và giới thiệu một số phần mềm
tìm password mạnh nhất và thông dụng nhất hiện nay. Tập trung giải quyết các vấn đề
về password tập tin như: Tìm lại password các tập tin .pdf (Adobe). Ngoài ra, hướng
dẫn bạn cách đặt những mật khẩu an toàn cho tập tin. Hướng dẫn bạn đọc các phương
pháp phục hồi dữ liệu tập tin đã mất. Những tập tin bạn đã vô tình xóa hoặc tập tin bị
mất do các tác nhân phá hoại như virus, trojan hay các hình thức phá hoại của đối thủ
cạnh tranh. Ngoài ra, cuốn sách còn giới thiệu đến bạn các phương pháp phục hồi dữ
liệu ngay trên những phân vùng đã bị xóa, những ổ đĩa đã format. Tập trung giải quyết
các vấn đề về an toàn dữ liệu. Hướng dẫn bạn cách xóa sạch các tài liệu mật, dữ liệu
riêng tư theo chuẩn Quốc tế. Giới thiệu phương pháp cơ bản giúp nhanh chóng xóa
sạch các dấu vết trong máy tính.
Thành công: Đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục
tiêu, yêu cầu an toàn dữ liệu, cũng như các nguy cơ gây ra mất an toàn dữ liệu, các
hình thức tấn công. Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránh
các tấn công gây mất an toàn dữ liệu cũng như biện pháp khắc phục hậu quả thông
dụng, phổ biến hiện nay.
I
Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thương
mại điện tử, hệ thống mạng hoặc website. Vẫn chưa đi sâu nghiên cứu về nguy cơ mất
an toàn dữ liệu trong quá trình lưu trữ và sao in dữ liệu, liên quan đến con người ( nhà
quản trị mạng, nhân viên công nghệ thông tin )…
Đề tài: “ Giải pháp nâng cao an toàn và bảo mật dữ liệu tại công ty cổ phần
thiết bị công nghiệp Hoàng Mai” sẽ kế thừa và phát triển, phân tích rõ hơn các nguy
cơ gây mất an toàn dữ liệu trong lưu trữ, sao in dữ liệu, con người . Để từ đó đưa ra
các giải pháp nhằm khắc phục, nâng cao an toàn và bảo mật dữ liệu trong công ty.
1.3. Mục tiêu nghiên cứu của đề tài.
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ sở lý luận cơ
bản về an toàn và bảo mật dữ liệu, nghiên cứu bằng những phương pháp khác nhau
như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích
thực trạng vấn đề an toàn và bảo mật dữ liệu để đưa ra những ưu nhược điểm. Từ
những đánh giá phân tích này đưa ra một số kiến nghị đề xuất một số giải pháp nhằm
nâng cao tính an toàn và bảo mật của dữ liệu. Giúp cho công ty nhận diện những nguy
cơ và thách thức của vấn đề an toàn và bảo mật dữ liệu. Từ đó có những biện pháp
nâng cao tính an toàn và bảo mật, ngăn chặn các nguy cơ tấn công dữ liệu hiện tại và
tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
- Làm rõ cơ sở lý luận về vấn đề nghiên cứu: an toàn và bảo mật dữ liệu
- Đánh giá thực trạng an toàn và bảo mật dữ liệu trong doanh nghiệp, đưa ra các
nguyên nhân và nguy cơ tấn công dữ liệu tại công ty cổ phần thiết bị công nghiệp
Hoàng Mai.
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn và bảo
mật dữ liệu trong công ty cổ phần thiết bị công nghiệp Hoàng Mai.
1.4. Đối tượng và phạm vi nghiên cứu của đề tài.
Đối tượng của đề tài vấn đề an toàn và bảo mật dữ liệu tại công ty cổ phần thiết bị
công nghệ công nghiệp Hoàng Mai.
- Mạng và website.
- Các phần cứng và phần mềm được sử dụng tại công ty.
- Cơ sở dữ liệu và lưu trữ
- Con người.
R
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề
tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn. Cụ thể:
Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo mật dữ liệu
tại công ty cổ phần thiết bị công nghiệp Hoàng Mai nhằm đưa ra một số giải pháp
nâng cao an toàn và bảo mật dữ liệu.
Về thời gian: Các số liệu được khảo sát từ năm 2009 - 2011, đồng thời trình bày
các nhóm giải pháp định hướng phát triển đến trong thời gian tới.
1.5. Phương pháp nghiên cứu của đề tài.
1.5.1. Khái niệm phương pháp nghiên cứu.
Phương pháp là phạm trù trung tâm của phương pháp luận nghiên cứu khoa học,
phương pháp không chỉ là vấn đề lý luận mà còn vấn đề có ý nghĩa thực tiễn to lớn,
bởi vì chính phương pháp quyết định thành công của mọi nghiên cứu khoa học.
Bản chất của phương pháp nghiên cứu khoa học chính là việc con người sử dụng
một cách có ý thức các quy luật vận động như một phương tiện để khám phá chính đối
tượng đó. ( Dương Thiệu Thống, Phương pháp nghiên cứu khoa học giáo dục và tâm
lý, NXB Thống Kê, 2007).
1.5.2. Các phương pháp được sử dụng trong đề tài khoá luận.
1.5.2.1. Phương pháp thu thập dữ liệu.
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phương pháp
thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa đựng
các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện. Về nguyên
tắc, tất cả các thông tin liên quan tới đối tượng nghiên cứu thuộc các nguồn khác nhau
với các hình thức công bố khác nhau đều phải được thu thập. Các nguồn thông tin cần
thu thập có thể từ các cơ quan lưu trữ phổ biến thông tin, tư liệu khoa học-công nghệ
có vị trí quan trọng đặc biệt, tiếp theo đó là các thư viện khoa học, cơ quan, giáo viên
hướng dẫn, bạn bè, internet, câu hỏi điều tra phỏng vấn chuyên gia… Sau khi đã thu
thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ các tài liệu đó. Có
thể phân loại theo tên tác giả, theo thời gian công bố hoặc theo hình thức công bố. Từ
đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào, nếu đủ rồi thì
tiến hành bước tiếp theo là xử lý dữ liệu.
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu liên
quan đến vấn đề an toàn và bảo mật tại công ty cổ phần thiết bị công nghiệp Hoàng Mai.
T
1.5.2.2. Phương pháp xử lý dữ liệu.
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta cần
chia thông tin ra làm hai nhóm chính
+ Nhóm 1: Xử lý thông tin định lượng. Được thể hiện thông qua phương pháp mô
tả bằng số liệu, theo các này các số liệu được mô tả, phân tích, thống kê và so sánh
nhằm làm bộc lộ rõ các thuộc tính bản chất của sự vật hiện tượng hoặc làm sáng tỏ
từng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện. Thường sử dụng
các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.
+ Nhóm 2: Xử lý thông tin định tính, tức là sử dụng ngôn ngữ để tiến hành các
thao tác suy luận, phân tích, tổng hợp, quy nạp-diễn dịch…Thường thiết lập các sơ đồ
phản ánh các mối liên hệ của các thành tố nằm trong cấu trúc của đối tượng.
Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luận
nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn và bảo mật dữ liệu tại công ty
Hoàng Mai, để từ đó đưa ra các giải pháp phù hợp.
1.6. Kết cấu của khóa luận.
Kết cấu của khóa luận gồm 3 phần, cụ thể:
Phần 1: Tổng quan vấn đề nghiên cứu.
Phần 2: Cơ sở lý luận, thực trạng của an toàn và bảo mật dữ liệu.
Phần 3: Định hướng phát triển, đề xuất giải pháp an toàn và bảo mật dữ liệu cho
Công ty Cổ phần thiết bị công nghiệp Hoàng Mai.
W
PHẦN 2: CƠ SỞ LÝ LUẬN, THỰC TRẠNG CỦA AN TOÀN VÀ BẢO MẬT DỮ
LIỆU
2.1. Cơ sở lý luận về an toàn và bảo mật dữ liệu.
2.1.1. Một số khái niệm cơ bản.
2.1.1.1. Khái niệm về dữ liệu và thông tin.
Dữ liệu là những gì chúng ta thu thập được, đa phần là dữ liệu thô, chưa qua xử lý,
tồn tại nhưng không có một ý nghĩa rõ ràng, bao gồm hai loại dữ liệu hữu dụng và dữ
liệu không hữu dụng. (Hà Thị Thanh- Nguyễn Văn Tảo, An toàn và bảo mật thông tin,
Đại học Thái Nguyên, 2007).
Thông tin là sự hiểu biết của con người về một sự kiện, một hiện tượng nào đó thu
nhận được qua nghiên cứu, trao đổi, nhận xét, học tập, truyền thụ cảm nhận…. ((Hà
Thị Thanh- Nguyễn Văn Tảo, An toàn và bảo mật thông tin, Đại học Thái Nguyên,
2007).
Dữ liệu qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho
các mục đích khác nhau của con người.
2.1.1.2 Khái niệm về an toàn và bảo mật dữ liệu.
Theo từ điển Tiếng Việt, an toàn ( security) có nghĩa là được bảo vệ, không xâm
phạm.
An toàn dữ liệu (ATDL) là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi
những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn
thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định
như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý Nhu cầu bảo mật
thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong thương mại
điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi
những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch
thương mại điện tử (Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện
tử, NXB Thống Kê, 2009, Trang 20).
An toàn dữ liệu đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu của
người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa đổi hay
xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng. Đồng thời có tính
tin cậy đảm bảo thông tin mà người dùng nhận được là đúng. Trong TMĐT, cần chú
trọng đến việc dữ liệu lưu trữ cũng như trao đổi giữa hai bên giao dịch phải được giữ bí
]
mật, đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị sửa đổi hay bị giả
mạo bởi một bên thứ ba. Đảm bảo độ minh bạch giữa hai bên thực hiện giao dịch. . (Đàm
Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê,
2009, Trang 21).
Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán
trước những nguy cơ tấn công, ngăn chặn những hành động gây mất an toàn dữ liệu từ
bên trong cũng như bên ngoài. Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công.
Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao
dịch và thanh toán điện tử, đưa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT
đạt được độ an toàn cao nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích
cho người sử dụng.
2.1.1.3 Mục tiêu của an toàn dữ liệu.
Đảm bảo an toàn dữ liệu là một công việc phức tạp, nhằm đặt được những mục tiêu
cụ thể sau:
(1) Phát hiện các lỗ hổng của hệ thống cũng như dự đoán trước được những nguy
cơ tấn công vào hệ thống thông tin.
(2) Ngăn chặn các hành động gây mất an toàn dữ liệu từ bên trong cũng như bên
ngoài,
(3) Phục hồi tổn thất trong trường hợp hệ thống bị tấn công nhằm đưa hệ thống
vào hoạt động trong thời gian sớm nhất.
(Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống
Kê, 2009, Trang 22).
2.1.1.4 Các yêu cầu của an toàn dữ liệu
An toàn dữ liệu là vấn đề phức tạp, liên quan đến nhiều yếu tố khác nhau. Các yếu
tố cơ bản cần phải giải quyết, bao gồm: tính bảo mật, tính toàn vẹn, tính sẵn sang và
tính tin cậy.
- Tính bảo mật: Trong an toàn dữ liệu, bảo mật ( security) là yêu cầu đảm bảo cho
dữ liệu của người sử dụng phải được bảo vệ, không bị mất mát vào những người
không được phép. Nói cách khác đi là phải đảm bảo được ai là người được phép dụng
các thông tin.
- Tính toàn vẹn: Trong an toàn dữ liệu, tính toàn vẹn (integrity) có nghĩa dữ liệu
không bị tạo ra, sửa đổi hay xoá bởi những người không sở hữu. Tính toàn vẹn đề cập
P
đến khả năng đảm bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách
nào bởi người không được không được phép trong quá trình truyền thông.
- Tính sẵn sàng : Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với
người sử dụng , dữ liệu phải luôn trong trạng thái sẵn sàng ( availability).
- Tính tin cậy: Yêu cầu về tính tin cậy (confidentiality) liên quan đến khả năng đảm
bảo rằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập
những dữ liệu có giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng
nhận được là đúng với sự mong muốn của họ, chưa hề bị mất mát hay lọt vào tay
những người dùng không được phép.
2.1.2 Lưu trữ dữ liệu.
2.1.2.1. Khái niệm lưu trữ.
Lưu trữ dữ liệu là hoạt động giữ lại các nguồn thông tin viết, thông tin nói, thông
tin hình ảnh và các nguồn thông tin khác để tiện cho việc truy xuất và xử lý khi cần
thiết
Lưu trữ thông tin trong máy tính điện tử là khái niệm chỉ các cấu kiện máy tính,
thiết bị và phương tiện ghi/chứa dữ liệu cho phép lưu trữ dữ liệu số sử dụng trong tính
toán trong một khoảng thời gian nhất định. (Bộ môn CNTT, Giáo trình An toàn dữ
liệu, Đại học Thương Mại, 2007, Trang 15).
Tại sao cần lưu trữ thông tin : Nhu cầu lưu trữ thông tin xuất hiện khi lượng thông
tin trong tổ chức ngày càng lớn, vấn đề đặt ra là thông tin cần lưu trữ rất nhiều trong
khi nhu cầu sử dụng không thường xuyên nhưng vẫn đòi hỏi tính kịp thời của thông tin
cần thiết.
2.1.2.2 Thiết bị lưu trữ dữ liệu
Lưu trữ dữ liệu máy tính hay thường gọi là lưu trữ hay bộ nhớ là khái niệm chỉ
các cấu kiện máy tính, thiết bị và các phương tiện ghi/chứa dữ liệu cho phép lưu trữ dữ
liệu số sử dụng trong tính toán trong một khoảng thời gian nhất định. Lưu trữ dữ liệu
đóng một trong các chức năng chính của tính toán hiện đại: lưu giữ thông tin. Lưu trữ
là một cấu phần cơ bản của tất cả hệ thống tính toán hiện đại. Lưu trữ và bộ xử lí trung
tâm (CPU) là mô hình máy tính cơ bản kể từ những năm 1940.
Trong ngôn ngữ hiện đại bộ nhớ thường được hiểu là một dạng lưu trữ sử dụng
chất bán dẫn cho phép truy cập ngẫu nhiên với tốc độ cao nhưng thường là lưu trữ tạm
thời (RAM). Tương tự lưu trữ thường chỉ tới các phương tiện từ tính có dung lượng
H
lớn như đĩa cứng, băng từ; các phương tiện quang học như đĩa quang (optical disk),
CD, DVD, BlueRay; và các phương thức khác có tốc độ thấp hơn RAM nhưng có khả
năng lưu trữ lâu hơn RAM.
- Lưu trữ sơ cấp
Lưu trữ sơ cấp (hay bộ nhớ chính hoặc bộ nhớ trong) hoặc đơn giản là bộ
nhớ được truy cập trực tiếp bởi CPU. CPU liên tục đọc các lệnh được lưu trong bộ nhớ
này, thực hiện các lệnh. Các dữ liệu được xử lí thường xuyên cũng được lưu trong bộ
nhớ này.
- Lưu trữ thứ cấp
Lưu trữ thứ cấp (hay bộ nhớ ngoài) khác lưu trữ sơ cấp ở chỗ CPU không đọc trực
tiếp. Máy tính thường sử dụng các kênh nhập/xuất để truy cập bộ nhớ thứ cấp và
chuyển các dữ liệu được yêu cầu sử dụng bộ đệm trên bộ nhớ sơ cấp. Dữ liệu trên lưu
trữ thứ cấp không bị mất khi thiết bị bị tắt điện. Về chi phí, lưu trữ thứ cấp cũng rẻ hơn
rất nhiều so với lưu trữ sơ cấp. Vì vậy, thông thường các máy tính hiện đại sẽ có dung
lượng lưu trữ thứ cấp lớn hơn nhiều lần so với sơ cấp và dữ liệu được lưu trữ lâu dài
trên lưu trữ thứ cấp.
Với máy tính hiện nay, lưu trữ thứ cấp thường là đĩa cứng. Thời gian để đĩa cứng
quay và định vị một dữ liệu cụ thể thường là một vài phần nghìn giây. Ngược lại, thời
gian để truy xuất dữ liệu tương tự trên RAM được tính bằng phần tỉ giây. Điều này
minh họa sự khác biệt đáng kể về tốc độ truy xuất trên các đĩa từ tính quay so với lưu
trữ ở dạng rắn: thông thường đĩa cứng chậm hơn RAM một triệu lần. Các đĩa quang
quay như CD, DVD thậm chí còn có tốc độ truy xuất chậm hơn. Với đĩa cứng, khi đầu
đọc định vị được dữ liệu, truy xuất dữ liệu sẽ tương đối nhanh. Vì vậy, để giảm thời
gian truy xuất, dữ liệu trên đĩa cứng thường được ghi thành các khối có kích thước lớn
và liền kề nhau.
Một số ví dụ về công nghệ lưu trữ thứ cấp gồm: bộ nhớ flash, đĩa mềm, băng từ, ổ
Iomega Zip v.v
Lưu trữ thứ cấp thường được định dạng theo định dạng Hệ thống tệp tin cho phép
tổ chức dữ liệu thành các tệp tin và thư mục đồng thời chứa các thông tin bổ sung (gọi
là metadata) mô tả người sở hữu tệp tin, thời gian tạo, thời gian truy cập cuối cùng,
thời gan thay đổi cuối cùng, quyền truy cập v.v
<
Hầu hết các hệ điều hành đều sử dụng khái niệm bộ nhớ ảo. Bộ nhớ ảo là sủ dụng
bộ nhớ thứ cấp để giải phóng bộ nhớ sơ cấp. Khi bộ nhớ sơ cấp đầy, các dữ liệu ít
được sử dụng nhất trên bộ nhớ sơ cấp sẽ được chuyển xuống bộ nhớ thứ cấp và được
ghi vào một tệp tin gọi là tệp tin hoán đổi (swap file) và sẽ được đọc lại vào bộ nhớ sơ
cấp khi cần.
- Lưu trữ cấp ba
Lưu trữ cấp ba thường bao gồm một cơ chế tay máy làm nhiệm vụ "lắp" và "gỡ"
các phương tiện lưu trữ có thể tháo rời (removable storage media) tùy theo yêu cầu của
máy tính và thường đươcợc sao chép vào Lưu trữ thứ cấp trước khi sử dụng. Thông
thường lưu trữ cấp ba được dùng để lưu trữ lâu dài dữ liệu ít được truy cập vì lớp lưu
trữ này chậm hơn nhiều so với lưu trữ thứ cấp. Lớp lưu trữ này thường hữu dụng với
kho dữ liệu lớn và đòi hỏi truy cập mà không cần can thiệp của người vận hành. Một
số ví dụ điển hình là Thư viện băng từ (tape library) và tủ đĩa quang (optical jukebox).
Khi máy tính cần đọc thông tin từ lưu trữ cấp ba, đầu tiên nó sẽ tra danh mục để
tìm xem phương tiện nào chứa thông tin cần truy xuất. Sau đó, máy tính sẽ ra lệnh cho
tay máy tìm và nạp phương tiện đó (băng từ, đĩa quang) vào đầu đọc. Khi đọc xong,
máy tính sẽ ra lệnh cho tay máy cất phương tiện đó giải phóng đầu đọc cho các tác vụ
truy xuất tiếp theo.
- Lưu trữ ngoại tuyến
Lưu trữ ngoại tuyến là lưu trữ mà không thuộc khả năng điều khiển của CPU.
Thông thường, đây là những phương tiện lưu trữ thứ cấp hoặc cấp ba nhưng được tháo
ra khỏi các thiết bị này. Nếu máy tính muốn truy cập dữ liệu trên lưu trữ ngoại tuyến,
bắt buộc người vận hành phải lắp phương tiện vào một cách thủ công.
2.1.3 Các nguy cơ và hình thức tấn công dữ liệu.
2.1.3.1 Các nguy cơ tiềm ẩn về mất an toàn dữ liệu.
Một số nguy cơ về khả năng mất an toàn dữ liệu trong hệ thống CNTT cần cảnh
báo.
(1) Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho bên
thứ ba.
(2) Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:
- “ Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi hay chèn,
xoá thông tin và gửi đi tiếp.
- Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”.
- Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật.
(3) Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông
tin có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng
người truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường
truyền lại quá nhỏ gây ra tắc nghẽn.
(Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống
Kê, 2009, Trang 23).
2.1.3.2 Hình thức tấn công dữ liệu.
Các hình thức tấn công dữ liệu có thể kể đến là hình thức tấn công dữ liệu thụ động
và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ
liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại
để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và
tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ
phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy
tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập
dữ liệu của người dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí
nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để
lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn
nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người
dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin
của người dùng để đánh cắp tài khoản.
*
Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của
Computer World). Hình thức phổ biến nhất của tấn công online là phishing. Phishing
là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả
mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng.
Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp vào
dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có
khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi.
Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy
tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật và vá
đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết
nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không
cài đặt những chương trình không cần thiết Bộ lọc chống phishing cũng giúp giảm
khả năng người dùng "đi lạc" sang các website lừa đảo.
Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp,
chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên
gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể
cung cấp dịch vụ, hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém trong mô hình
bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm
server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan để ăn cắp dữ liệu, lợi
dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích
nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng.
2.2 Đánh giá, phân tích thực trạng an toàn và bảo mật dữ liệu tại Công ty Cổ
phần Thiết bị Công nghiệp Hoàng Mai.
2.2.1 Giới thiệu về Công ty Cổ phần Thiết bị Công nghiệp Hoàng Mai.
Công ty cổ phần thiết bị công nghiệp Hoàng Mai
Tên giao dịch quốc tế: Hoang Mai Industrial Equiment Joint Stock Company
Địa chỉ: P110 - 23 Bà Triệu - Hoàn Kiếm - Hà Nội
Showroom: Số 30, ngách 19/9 Phố Kim Đồng, Hoàng Mai, Hà Nội
I
Điện thoại: 04.39366710 – 04. 39367154 - Fax:04. 38248768
Email:
Website: www.hoangmaijsc.com.
- Loại hình doanh nghiệp: Công ty cổ phần
- Logo của công ty:
Hình 2.1 Logo của công ty ( Từ website www.hoangmaijsc.com )
- Quá trình thành lập và phát triển của công ty:
Được thành lập theo giấy phép đăng ký kinh doanh số 0103016497 do Sở kế
hoạch và Đầu tư Hà Nội cấp ngày 19 tháng 10 năm 2001. Cổ đông sáng lập bao gồm
các cổ đông và các doanh nhân hoạt động tại Việt Nam. Công ty là một công ty kinh
doanh xuất nhập khẩu tại Việt nam hoạt động trên các lĩnh vực thương mại, dịch vụ,
chuyển giao công nghệ và môi giới thương mại.
Ngay từ những ngày đầu mới thành lập, ngành hàng kinh doanh chính của công ty
là Máy may công nghiệp và các linh kiện ngành may. Hiện nay, công ty là đại lý độc
quyền của hãng Mitsuyin Nhật Bản, sản xuất tại Trung Quốc. Ngoài ra công ty còn là
đại lý của hãng Sunsir Hàn Quốc tại miền bắc Việt Nam. Với số lượng máy may hàng
tháng mà công ty cung cấp ra thị trường là trên 400 chiếc (3-4 container), công ty đã
được khách hàng biết đến với tư cách là một đại lý cung cấp máy may công nghiệp lớn
ở Hà Nội nói riêng và trên toàn miền Bắc nói chung.
Công ty còn mở rộng kinh doanh những mặt hàng khác mà thị trường có nhu cầu
như giấy Kraft làm vỏ bao xi măng của Hàn Quốc, dây cáp quang cung cấp cho các
công ty viễn thông.
- Cơ cấu tổ chức, chức năng nhiệm vụ các bộ phận doanh nghiệp, cơ cấu nhân
lực của doanh nghiệp.
+ Doanh nghiệp có chủ tịch hội đồng quản trị, giám đốc, 2 phó giám đốc, các
phòng ban liên quan bao gồm: Phòng kinh doanh- XNK, Phòng kế toán tài chính,
Phòng kỹ thuật, Phòng quản trị nội bộ.
+ Cơ cấu nhân lực của doanh nghiệp:
Với đội ngũ nhân viên có tay nghề cao, chịu khó, ham học hỏi và sáng tạo
R
Tổng số nhân viên trong công ty là: 80
Tên vị trí Số lượng nhân viên
Nhân viên kinh doanh thị trường 40
Nhân viên hành chính 10
Nhân viên kỹ thuật 5
Nhân viên giao dịch- XNK 3
Nhân viên thủ kho- bảo vệ 7
Nhân viên kế hoạch và Marketing 10
Nhân viên kế toán tài chính 5
Hình 2.2 Bảng cơ cấu nhân lực của công ty ( Do công ty cung cấp)
Trong đó: 3 nhân viên là kỹ sư về kỹ thuật máy tính và mạng. 60% nhân viên
tốt nghiệp đại học và cao đẳng. 10 nhân viên trình độ cao học trở lên. 5 nhân viên
tốt nghiệp từ trường Đại học Thương mại.
+ Sơ đồ bộ máy tổ chức của công ty:
Hình 2.3 Sơ đồ cơ cấu bộ máy của công ty
( Nguồn: Tài liệu công ty)
2.2.2. Các lĩnh vực hoạt động và kinh doanh chủ yếu của công ty
- Nhập khẩu và mua bán các sản phẩm liên quan đến: Thiết bị ngành may, thiết
bị ngành y tế, thiết bị dạy nghề, thiết bị đúc-luyện kim, cáp quang viễn thông.
- Các thị trường nhập khẩu chính của công ty: công ty là đại lý độc quyền của
hãng Mitsuyin Nhật Bản, sản xuất tại Trung Quốc. Ngoài ra công ty còn là đại lý của
hãng Sunsir Hàn Quốc tại miền bắc Việt Nam. Với số lượng máy may hàng tháng mà
công ty cung cấp ra thị trường là trên 400 chiếc (3-4 container), công ty chúng tôi đã
T
được khách hàng biết đến với tư cách là một đại lý cung cấp máy may công nghiệp lớn
ở Hà Nội nói riêng và trên toàn miền bắc nói chung.
- Công ty Cổ phần Thiết bị công nghiệp Hoàng Mai luôn luôn lấy chất lượng làm
tiêu chí phấn đấu, luôn giữ chữ tín với khách hàng. Không ngừng nâng cấp sự thoả
mãn của khách hàng. Đội ngũ cán bộ công nhân của Công ty đoàn kết, hợp lực phát
huy tính sáng tạo, không ngừng đổi mới công nghệ hoàn thiện cơ chế quản lý. Luôn
phục vụ tận tình và làm vừa lòng quý khách trên quan điểm hợp tác cùng phát triển
toàn diện.
- Công ty Cổ phần Thiết bị công nghiệp Hoàng Mai mong muốn và sẵn sàng hợp
tác với tất cả các đối tượng trong và ngoài nước để phát triển sản xuất kinh doanh. Sự
hợp tác của Quý vị chắc chắn là một động lực giúp Công ty hoàn thành nhiệm vụ sản
xuất kinh doanh và từng bước phát triển bền vững để Công ty thành một bộ máy kinh
tế mạnh trong khu vực và quốc tế
- Cung cấp trang thiết bị - vật tư – dụng cụ y tế có chất lượng cao của các hãng nổi
tiếng ở Châu Âu và Mỹ
- Cung cấp các giải pháp mới, các công nghệ hiện đại, đặc biệt là trong lĩnh vực
chấn thương chỉnh hình.
- Dịch vụ cung cấp nhanh chóng, chuyên nghiệp nhờ có kho hàng lớn đặt trên toàn
quốc.
2.2.3. Khái quát hoạt động sản xuất kinh doanh của Công ty Cổ phần Thiết bị
Công nghiệp Hoàng Mai.
Kết quả hoạt động kinh doanh của công ty trong 3 năm từ 2008-2010
ĐVT: triệu đồng
TT Chỉ tiêu Năm 2009 Năm 2010 Năm 2011
1 Tổng tài sản 41.402.185.907 53.432.432.789 75.112.487.998
2 Tổng nợ phải trả 34.805.982.615 46.341.796.470 63.503.333.690
3 Tài sản ngắn hạn 38.236.969.260 46.506.504.577 69.580.939.234
4 Tổng nợ ngắn hạn 34.805.982.615 46.341.796.470 63.503.333.690
5 Doanh thu 85.624.180.310 125.140.659.427 197.299.927.703
6 Lợi nhuận trước thuế 328.844.988 657.166.295 996.655.179
7 Lợi nhuận sau thuế 236.768.391 542.162.194 747.491.384
Hình 2.4 Bảng : Kết quả hoạt động sản xuất kinh doanh của công ty trong ba
năm 2008- 2010 ( Thông tin nội bộ- do công ty cung cấp)
Qua bảng kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm cho
chúng ta thấy:
W
Về doanh thu: Năm 2009 tổng doanh thu đạt 85.624.180.310. Năm 2010 và 2011
doanh thu liên tục tăng và đạt mức lần lượt là 125.140.659.427 và 197.299.927.703.
Chứng tỏ hoạt động kinh doanh của công ty ngày càng hiệu quả.
Về lợi nhuận sau thuế: Công ty có dấu hiệu của sự tăng trưởng nhưng mức tăng
trưởng không đồng đều qua các năm. Năm 2011 do ảnh hưởng của lạm phát nên mức
tăng trưởng lợi nhuận sau thuế của công ty giảm hơn so vơi mức tăng năm 2010.
2.2.4. Phân tích thực trạng an toàn và bảo mật dữ liệu tại Công ty Cổ phần
Thiết bị Công nghiệp Hoàng Mai.
2.2.4.1 Tình hình ứng dụng công nghệ thông tin, Phương pháp bảo mật dữ liệu
và đào tạo con người.
Trang thiết bị phần cứng:
Tổng số các mạng cục bộ(mạng Lan) trong công ty:
- Số máy tính kết nối vào mạng: 20 máy
- Số máy tính kết nối Internet: 20 máy
- Số phòng ban được kết nối vào mạng: 4 phòng
- Các hệ điều hành sử dụng cho máy chủ: Windows.
- Chương trình phòng chống bảo vệ cho mạng: Sử dụng FireWall ( cứng và
mềm), antivirut ( BKAV Pro), Web antivirut ( PC tools doctor ASD.Net), mail
antivirut (sccurity Plus for Mdea, Symante dùng cho các máy cá nhân).
Các phần mềm ứng dụng:
Tất cả các nhân viên đều biết sử dụng tin học văn phòng, sử dụng khai thác
các phần mềm ứng dụng của đơn vị để phục vụ cho công việc chuyên môn của
mình, bao gồm cả cán bộ CNTT chuyên trách.
Công ty sử dụng mạng cục bộ (LAN) có áp dụng các biện pháp an ninh gồm
có tường lửa, BKAV pro có đăng ký bản quyền .
Công ty cũng đã áp dụng các biện pháp sao lưu dữ liệu bằng CD, các ứng
dụng đã được thay thế hoặc nâng cấp trong năm 2010.
Công ty đã ứng dụng phần mềm nguồn mở : Văn phòng, thư điện tử, trình
duyệt web, bộ gõ tiếng Việt, hệ điều hành, hệ quản trị cơ sở dữ liệu, hệ quản trị
nội dung .Tất cả các loại văn bản : lịch công tác, giấy mời họp, tài liệu phục vụ
cuộc họp, những văn bản báo cáo, và nhiều văn bản khác đều được gửi qua đường
thư điện tử. Ngoài ra công ty còn sử dụng phần phềm quản lý nhân lực MISA. Đây
]
là phần mềm cho phép lập các kế hoạch nhằm phát triển nguồn nhân lực của đơn
vị như: tuyển dụng, đào tạo, phúc lợi, khen thưởng và mua sắm tài sản. Quản lý
quy trình tuyển dụng, từ khâu lập kế hoạch tuyển dụng đến khâu gửi thư mời ứng
viên trúng tuyển đi làm. Tự động phân loại, lọc hồ sơ ứng viên theo các tiêu chí
yêu cầu của đơn vị. Thực hiện sắp lịch phong vấn theo các tiêu chí yêu cầu của
đơn vị. Thực hiện sắp lịch phỏng vấn tự động và gửi Email, SMS hàng hàng loạt
để mời ứng viên tham gia tuyển dụng. Quản lý hoàn thành các thủ tục để tiếp nhận
ứng viên trúng tuyển thành nhân viên trong đơn vị: hoàn thiện hồ sơ, bàn giao tài
sản, thiết bị làm việc…
Máy chủ tại công ty: Máy chủ chỉ dùng các PM bình thường, chạy Win sever 2003
các ứng dụng chia sẻ tài nguyên.
Máy chủ HP Proliant ML115 T01 (457772-371)
AMD Opteron 4450B Dual Core
Processor: 2.30 Ghz / 4(2-32bit/33MHz 2-PCIE)/ 1024 MB PC2-6400 ECC
(DDR2-800Mhz)/ 160GB Non-Hot Plug SATA/ 48x IDE/ nVidia MCP55S Pro/
Network Controller: Embedded NC320i PCIe Gigabit Server Adapter.
Thực trạng sử dụng và quản lý website:
- Website của công ty:
+ Sử dụng công nghệ: ASP.Net: ASP.NET sử dụng .NET Framework, .NET
Framework là sự tổng hợp tất các các kỷ thuật cần thiết cho việc xây dựng một ứng
dụng nền desktop, ứng dụng web, web services
ASP.NET là một nền tảng ứng dụng web (web application framework) được phát
triển và cung cấp bởi Microsoft, cho phép những người lập trình tạo ra những trang
web động, những ứng dụng web và những dịch vụ web. Lần đầu tiên được đưa ra thị
trường vào tháng 2 năm 2002 cùng với phiên bản 1.0 của .NET framework, là công
nghệ nối tiếp của Microsoft's Active Server Pages(ASP). ASP.NET được biên dịch
dưới dạng Common Language Runtime (CLR), cho phép những người lập trình viết
mã ASP.NET với bất kỳ ngôn ngữ nào được hỗ trợ bởi .NET language.
+ Là kênh giao tiếp điện tử về đối nội và đối ngoại của công ty. Là nơi cung cấp
nhưng thông tin chung nhất, cần thiết về công ty: ngày thành lập, cơ cấu tổ chức,
các sản phẩm dịch vụ,các đối tác và khách hàng. Các thông tin tuyển dung.Ngoài
P
ra Website của công ty còn cung cấp thường xuyên các tin tức tài chính, chứng
khoán, công nghệ.
- Các tính năng:
+ Là kênh giao tiếp điện tử về đối nội và đối ngoại của công ty, nơi cung cấp
các thông tin về các hoạt động của công ty và là nơi để tiếp nhận các thông tin đối
ngoại.
+ Quảng bá thương hiệu, hình ảnh về con người, dự án và các sản phẩm kinh
doanh, dịch vụ của công ty.
+ Thực hiện các giao dịch thương mại điện tử.
+ Thực hiện kinh doanh các sản phẩm.
+ Thực hiện công tác tuyển dụng nhân sự qua mạng.
+ Là diễn đàn để các đối tác, là pháp nhân hoặc phế nhân, những người quan
tâm có thể đóng góp ý, trao đổi, cộng tác trên tinh thần các bên cùng có lợi.
+ Ngoài ra trang Web còn cung cấp các tin tức về công nghệ thông tin trong và
ngoài nước đê nhân viên và khách hàng nắm bắt xu hướng công nghệ.
Tần suất cập nhật Website của doanh nghiệp là hàng giờ.
- Thông tin, dữ liệu lập trình được cất trong máy chủ, nhân viên chỉ có
quyền xem dữ liệu, không được quyền xóa, sửa.
- Thông tin được lưu trữ trên mô hình server, client. Máy chủ (server)
cung cấp các tài nguyên và dịch vụ cho cả hệ thống mạng. Và các máy khách
(client) sử dụng các tài nguyên.Công ty có các loại server như sau:
- File Server: Phục vụ các yêu cầu hệ thống tập tin trong mạng.
- Mail Server: Cung cấp các dịch vụ về gởi nhận e-mail.
- Web Server: Cung cấp các dịch vụ về Web.
Do các dữ liệu được lưu trữ tập trung nên dễ bảo mật, backup và đồng bộ với
nhau. Tài nguyên và dịch vụ được tập trung nên dễ chia sẻ và quản lí và có thể
phục vụ cho nhiều người dùng.
Công nghệ sử dụng trong đảm bảo an toàn và bảo mật dữ liệu:
- FireWall: NAT (Network Address Translation), 2008 và Norton personal
Firewall 2010. FireWall kiểm soát luồng thông tin từ Intranet và Internet.Cho
phép hoặc cấm những dịch vụ truy cập ra ngoài ( Từ Intranet ra Internet). Cho
phép hoặc cấm những dịch vụ truy cập vào trong (Từ Internet vào Intranet ). Theo
dõi luồn dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy cập, cấm
địa chỉ truy cập. Kiểm soát người sử dụng và việc truy cập của người sử dụng.
H
Kiểm soát nội dung thông tin lưu chuyển trên mạng.), antivirut ( BKAV Pro), Web
antivirut (PC tools doctor ASD.Net), mail antivirut (sccurity Plus for Mdea,
Symante dùng cho các máy cá nhân).
Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào mạng internet.
Có những hạn chế trong khi bị tấn công từ bên trong mạng, như một người nào đó sử
dụng các thiết bị lưu trữ kết nối trực tiếp vào các máy tính và ăn cắp các thông tin trên
máy. Gây ra hiện tượng thắt cổ chai tại bức tường lửa.
- Giao thức WEP – Wireless Encryption Protocol: Tốc độ 64 bit, 2010, được thiết
kế để đảm bảo tính bảo mật cho mạng không dây, sử dụng phương thức mã hóa sử
dụng thuật toán đối xứng RC4. Với phương thức mã hóa RC4, WEP được xem như
một phương thức kiểm soát truy cập.
Do WEP có hạn chế là sử dụng RC4 cùng giá trị Initialization Vector (IV) nên có
các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện IV và bẻ khóa WEP,
tấn công thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Giải pháp
WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho
WEP như việc sử dụng khóa WEP có độ dài 128 bit, thực thi chính sách thay đổi khóa
WEP định kỳ, sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền
không dây.
- Giao thức SSL: Phiên bản SSL 3.0, 2010 được thiết kế như là một giao thức
riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt
động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP
(Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) và FTP
(File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an
toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng
chính cho các giao dịch trên Web.
- SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được
chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
- Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối.
Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng
certificate và public ID của server là có giá trị và được cấp phát bởi một CA
(certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất
quan trọng đối với người dùng. Ví dụ như khi gửi mã số credit card qua mạng thì
*<
