Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn các thầy cô trong Khoa Hệ thống thông
tin – Trường Đại học Thương Mại đã tận tình dạy bảo, truyền đạt kiến thức và nhiều
kinh nghiệm qúy báu cho em trong suốt thời gian em học tại trường.
Trong thời gian nghiên cứu và thực hiện khoá luận tốt nghiệp, em xin chân
thành cảm ơn cô Lê Thị Thu đã tận tình giúp đỡ, chỉ dẫn, động viên em trong suốt thời
gian thực hiện khoá luận.
Em cũng không quên gửi lời cảm ơn đến các bạn của em luôn giúp đỡ, động
viên em trong lúc em gặp khó khăn.
Sau cùng em xin chúc toàn thể thầy cô trong khoa Hệ thống thông tin, cô Lê
Thị Thu một lời chúc sức khoẻ, luôn thành công trong công việc và cuộc sống.
Do kiến thức còn hạn chế nên chắc chắn đề tài còn nhiều sai sót. Em rất mong
nhận được sự góp ý từ qúy thầy cô và bạn bè.
Một lần nữa em xin chân thành cảm ơn!
Sinh viên thực hiện
Vũ Thị Minh Nguyệt
DANH MỤC CÁC BẢNG
SVTH: Vũ Thị Minh Nguyệt i MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Tên bảng Nội dung Trang số
Bảng 2.1 Kết quả hoạt động kinh doanh giai đoạn 2008 – 2011 của
công ty cổ phần Kỹ thuật số Sài Gòn
Bảng 2.2 Thực trạng hiểu biết về các phương pháp bảo mật thông tin
của nhân viên công ty
Bảng 3.1 Bảng báo giá các phần mềm diệt virus phổ biến năm 2012
SVTH: Vũ Thị Minh Nguyệt ii MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
DANH MỤC HÌNH VẼ
Tên hình Nội dung Trang số
Hình 2.1 Tình hình máy tính cá nhân bị tấn công gây mất an toàn
Hình 2.2 Tình trạng cài đặt mật khẩu và sử dụng phần mềm diệt virus
trên máy tính cá nhân
Hình 2.3 Thực trạng phân quyền người dùng cho máy tính
Hình 2.4 Thực trạng mã hóa và sao lưu dữ liệu
Hình 2.5 Tình hình quan tâm đến vấn đề an toàn thông tin của nhân
viên công ty
Hình 2.6 Thực trạng hiểu biết về cách đảm bảo an toàn thông tin cho
máy tính cá nhân của nhân viên công ty
Hình 2.7 Thực trạng an toàn thông tin tại công ty
Hình 3.1 Giao diện chính của Acronis True Image 2012
Hình 3.2 Giao diện chính của Folder Lock 7
Hình 3.3 Bảng đánh giá chất lượng phần mềm diệt virus của người sử
dụng
Hình 3.4 Mô hình cài đặt PC Tools Firewall Plus
Hình 3.5 Giao diện chính của PC Tools Firewall Plus
SVTH: Vũ Thị Minh Nguyệt iii MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
DANH MỤC TỪ VIẾT TẮT
ATTT An toàn thông tin
CP Cổ Phần
CNTT Công nghệ thông tin
ĐHQG Đại học Quốc Gia
HTTT Hệ thống thông tin
NXB Năm xuất bản
ThS Thạc sĩ
IT Information technology
ISO International Organization for Standardization
IEC International Electrotechnical Commission
SPSS Statistical Package for the Social Sciences
IOS International Organization for Standardization
DOS Denial of Service
DDOS Distributed Denial of Service
TCP Transmission Control Protocol
UDP User Datagram Protocol
IP Internet Protocol
ADSL Asymmetric Digital Subscriber Line
LAN Local Area Network
PC Personal computer
SVTH: Vũ Thị Minh Nguyệt iv MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Chương I: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
1.1. Tầm quan trọng và ý nghĩa của an toàn thông tin
Trong thời đại ngày nay, thế giới đang có xu hướng toàn cầu hóa, xóa bỏ các
rào cản văn hóa, thương mại tiến tới sự hòa nhập. Việt Nam cũng đang có những thay
đổi lớn và có những bước tiến quan trọng. Đây là cơ hội cũng là thách thức lớn, mỗi
doanh nghiệp đều phải thận trọng trong từng bước đi của mình. Trong môi trường
cạnh tranh bằng thông tin hiện nay thì việc đảm bảo ATTT trở thành vấn đề vô cùng
quan trọng. Hẳn chúng ta đều biết việc mất cắp dữ liệu trong các cơ quan an ninh hay
quân sự sẽ ảnh hưởng như thế nào đối với tình hình chính trị của một quốc gia. Hay
ngay trong các ngành kinh tế như ngân hàng, tài chính cũng có thể xảy ra nguy cơ
thông tin bị rò rỉ. Chỉ cần một dữ liệu bị sửa đổi, hoặc bị đánh cắp, hay bị mất có thể
sẽ ảnh hưởng nghiêm trọng tới doanh nghiệp hoặc khách hàng của doanh nghiệp đó.
Bảo vệ thông tin và dữ liệu là một trong những vấn đề quan trọng nhất của các mạng
thông tin trong thời đại internet, đặc biệt với sự phát triển của công nghệ, ngày càng có
nhiều cách kết nối, nhiều phương thức trao đổi từ xa sử dụng công nghệ di động và
không dây. Có thể nói chưa bao giờ mức độ rủi ro liên quan đến ATTT trong doanh
nghiệp lại trở thành vấn đề bức xúc như hiện nay.
Đồng thời trong một nền kinh tế toàn cầu hóa thì vấn đề thông tin được xem là
sự sống còn đối với các doanh nghiệp. Thế nhưng, rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề ATTT và những nguy cơ có thể xảy ra từ
việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình.
Theo một cuộc khảo sát về vấn đề ATTT của tổ chức nghiên cứu thị trường
Việt Nam, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về ATTT, 65% bị
tấn công bởi nhân viên nội bộ, 49% chưa xem ATTT là ưu tiên hàng đầu, 40% không
nghiên cứu về các vấn đề rủi ro trong ATTT. Trong khi đó, với những lĩnh vực quan
trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tin mang lại như vừa nêu thì chưa
có sự đầu tư cân xứng cho việc đảm bảo ATTT. Chỉ có ngành công nghệ là chi khoảng
22,6% từ ngân sách IT cho đảm bảo ATTT, còn các ngành khác thì tỷ lệ lần lượt là:
dược (16,4%), dịch vụ tài chính (16,3%), dịch vụ công cộng (15,2%), dịch vụ chăm
sóc sức khỏe và năng lượng (12,9%).
Công ty CP Kỹ thuật số Sài Gòn là một doanh nghiệp hoạt động kinh doanh
trên lĩnh vực về thiết bị an ninh và thiết bị thông minh vì vậy các thiết bị tin học tại
SVTH: Vũ Thị Minh Nguyệt 1 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
doanh nghiệp là khá hiện đại. Tính tới thời điểm hiện nay, doanh nghiệp chưa xảy ra
vấn đề lớn về thông tin doanh nghiệp đặc biệt chưa có trường hợp mất cắp thông tin do
cố ý và doanh nghiệp đã có những biện pháp phòng ngừa từ khi bắt đầu kinh doanh
bằng cách sử dụng các phần mềm diệt virus, firewall…tuy nhiên còn ở mức sơ khai,
chưa chặt chẽ để có thể đảm bảo ATTT ở mức cao.
Mặt khác, khi đi khảo sát thực tế tại công ty, tác giả thấy rằng hầu hết các nhân
viên trong công ty đều cho rằng ATTT là rất cần thiết đối với doanh nghiệp mà nhất là
khi doanh nghiệp đang kinh doanh thương mại điện tử. Tuy nhiên khi được hỏi chi tiết
về vấn đề đó như: thế nào là ATTT hay làm thế nào đề đảm bảo ATTT đối với mỗi cá
nhân…thì rất ít người trả lời được hay trả lời còn mơ hồ, chung chung…Từ đó cho
thấy, nhận thức về ATTT của nhân viên công ty còn chưa cao - một yếu tố quan trọng
trong việc thực hiện đảm bảo ATTT trong doanh nghiệp.
Xuất phát từ thực tiễn và qua quá trình thực tập tại công ty, tác giả nhận thấy
vấn đề đảm bảo ATTT tại công ty còn nhiều vướng mắc. Từ những đòi hỏi nâng cao
chất lượng thông tin phục vụ cho hoạt động kinh doanh của công ty tác giả xin đưa ra
đề tài nghiên cứu: “Nghiên cứu một số giải pháp nhằm đảm bảo an toàn thông tin
tại công ty cổ phần Kỹ thuật số Sài Gòn”.
1.2. Tổng quan về vấn đề nghiên cứu
Qua thời gian tìm hiểu từ các nguồn tài liệu khác nhau, tác giả đã thu thập được
một số đề tài nghiên cứu về vấn đề an toàn bảo mật thông tin. Và sau đây tác giả xin
đưa ra các đề tài trong nước có liên quan nhất cùng nhận xét của bản thân:
- Luận văn: “Đảm bảo an toàn thông tin bằng kiểm soát truy cập” – Tác giả:
Đoàn Trọng Hiệp - khoa CNTT - trường Đại học dân lập Hải Phòng - năm 2009.
Luận văn đã đưa ra được đầy đủ các vấn đề liên quan đến kiểm soát truy cập,
một trong những vấn đề cần quan tâm để bảo đảm an toàn thông tin như phương pháp
kiểm soát truy cập, chính sách truy cập, kỹ thuật kiểm soát truy cập…nhưng còn dừng
lại ở mức lý thuyết, chưa đi vào áp dụng thực tế.
- Khóa luận: “Một số vấn đề về an toàn cơ sở dữ liệu” – Tác giả: Lương Văn
Phượng - trường Đại học Công nghệ - ĐHQG Hà Nội - năm 2008.
Khóa luận trình bày về cơ sở dữ liệu, các vấn đề an toàn trong cơ sở dữ liệu,
kiểm soát an toàn, thiết kế và xây dựng giải pháp bảo vệ dữ liệu cơ sở dữ liệu khi lưu
chuyển trên kênh giữa dữ liệu của máy chủ (Database server) và dữ liệu của máy
SVTH: Vũ Thị Minh Nguyệt 2 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
khách (Database client) dựa trên mô hình Winsock. Đề tài chỉ nghiên cứu về an toàn
cho cơ sở dữ liệu.
- Khóa luận: “Nghiên cứu kỹ thuật che giấu tin trong tài liệu số hóa” – Tác giả:
Nguyễn Thị Thùy Liên - khoa CNTT – trường Đại học dân lập Hải Phòng - năm 2009.
Nội dung chủ yếu của khóa luận là trình bày các vấn đề xoay quanh mã hóa và
che giấu tin, đưa ra được các phương pháp mã hóa và giấu tin thông dụng để đảm bảo
thông tin trên tài liệu số hóa. Việc bảo vệ thông tin bằng hai lớp mã hóa và giấu tin có
thể bảo đảm truyền thông tin được an toàn, hiệu quả, song với tình hình phát triển của
các hình thức đánh cắp thông tin như hiện nay thì các phương pháp này chưa thực sự
chặt chẽ.
Ngoài ra, tác giả còn thu thập được một số cuốn sách nước ngoài đề cập đến
vấn đề an toàn thông tin sau:
- Sách “Information Security: An Integrated Collection of Essays” – Biên
tập: Marshall D. Abrams, Sushil G. Jajodia, H. J. Podell – NXB: 1995
- Sách “Information management and security system” – Tác giả: Virupax M.
Nerlikar – NXB: 1997
- Sách “Information security management: a new paradigm” – Tác giả: Jan
H. P. Eloff and Mariki Eloff – NXB: 2003
- Sách “Information Security: Best Practice Based on ISO/IEC 17799” – Tác
giả: Saint Germain – NXB: 2005
Nhìn chung các đề tài luận văn, khóa luận tốt nghiệp hay các cuốn sách về vấn
đề an toàn bảo mật thông tin hiện nay khá nhiều. Tuy nhiên nội dung các bài viết chủ
yếu tập trung về các vấn đề lý thuyết mà chưa đi sâu tìm hiểu về thực trạng vấn đề ở
các tổ chức, doanh nghiệp. Các giải pháp đưa ra về ATTT được trình bày thường chưa
gắn liền với thực tế của một doanh nghiệp cụ thể. Vì thế nhằm mục đích góp thêm hiểu
biết đã tìm hiểu được về vấn đề ATTT, đánh giá thực trạng, đưa ra các giải pháp đảm
bảo ATTT và đề xuất áp dụng cho hệ thống thông tin trong một doanh nghiệp cụ thể.
Tác giả xin đề xuất đề tài nghiên cứu khóa luận: “Nghiên cứu một số giải pháp đảm
bảo an toàn thông tin cho công ty cổ phần Kỹ thuật số Sài gòn”.
1.3. Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu chung của đề tài là đề xuất những giải pháp nhằm đảm bảo
an toàn thông tin cho công ty CP Kỹ thuật số Sài Gòn.
Từ mục tiêu nghiên cứu chung trên mục tiêu cụ thể của đề tài gồm:
SVTH: Vũ Thị Minh Nguyệt 3 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
- Khái quát những lý luận có liên quan tới an toàn thông tin nói chung và an
toàn thông tin tại công ty nói riêng.
- Phân tích tình hình sử dụng thông tin và hoạt động đảm bảo an toàn thông tin
của công ty.
- Đề xuất một số giải pháp nhằm đảm bảo an toàn thông tin tại công ty.
1.4. Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng nghiên cứu là các giải pháp đảm bảo an toàn thông tin cho công ty
CP Kỹ thuật số Sài Gòn.
Đề tài tập trung nghiên cứu về an toàn thông tin và các giải pháp đảm bảo an
toàn thông tin tại công ty.
Phạm vi nghiên cứu giới hạn trong công ty CP Kỹ thuật số Sài Gòn và đưa ra
các giải pháp đảm bảo an toàn thông tin cho công ty.
Giới hạn về thời gian: đề tài nghiên cứu thực trạng tình hình an toàn thông tin
trong hai năm trở lại đây (2010-2011) và đưa ra một số giải pháp đảm bảo an toàn
thông tin trong những năm tiếp theo (2012-2015).
1.5. Phương pháp nghiên cứu
1.5.1. Phương pháp thu thập dữ liệu
1.5.1.1. Phương pháp thu thập dữ liệu sơ cấp
• Phương pháp sử dụng phiếu điều tra trắc nghiệm
Phiếu điều tra được sử dụng gồm các câu hỏi trắc nghiệm đơn giản, dễ trả lời,
có nội dung xoay quanh vấn đề an toàn thông tin của công ty CP Kỹ thuật số Sài Gòn.
• Phương pháp phỏng vấn trực tiếp
Nhân viên điều tra đến gặp trực tiếp đối tượng được điều tra để phỏng vấn theo
một bảng câu hỏi đã soạn sẵn. Áp dụng khi hiện tượng nghiên cứu phức tạp, cần phải
thu thập nhiều dữ liệu; khi muốn thăm dò ý kiến đối tượng qua các câu hỏi ngắn gọn
và có thể trả lời nhanh được.
1.5.1.2. Phương pháp thu thập dữ liệu thứ cấp
Dữ liệu thứ cấp là những dữ liệu có sẵn đã được thu thập từ trước, đã qua xử lý
và đã được ghi nhận. Thu thập dữ liệu thứ cấp thông qua các báo cáo kinh doanh, tài
liệu thống kê, internet, website thegioianninh.com.vn …
1.5.2. Phương pháp phân tích dữ liệu
1.5.2.1. Các phương pháp định lượng
SVTH: Vũ Thị Minh Nguyệt 4 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Sử dụng phần mềm SPSS: Là một hệ thống phần mềm thống kê toàn diện được
thiết kế để thực hiện tất cả các bước trong phân tích thống kê mô tả, xử lý dữ liệu được
thu thập qua các phiếu điều tra.
1.5.2.2. Các phương pháp định tính
Ngoài các phương pháp định lượng, khóa luận còn sử dụng các phương pháp
định tính như phân tích tổng hợp, quy nạp, diễn dịch, để nhìn nhận vấn đề nghiên cứu
một cách toàn diện và khoa học
1.6. Kết cấu khóa luận
Ngoài phần lời cảm ơn, mục lục, danh mục các bảng, hình vẽ, danh mục từ viết
tắt và tài liệu tham khảo thì nội dung khóa luận tốt nghiệp gồm 3 chương:
Chương I: Tổng quan về đề tài nghiên cứu.
Chương II: Cơ sở lý luận và thực trạng về vấn đề đảm bảo an toàn thông tin tại công ty
cổ phần Kỹ thuật số Sài Gòn.
Chương III: Định hướng phát triển và đề xuất một số giải pháp nhằm đảm bảo an toàn
thông tin cho công ty cổ phần Kỹ thuật số Sài Gòn.
CHƯƠNG II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ ĐẢM
BẢO AN TOÀN THÔNG TIN TẠI CÔNG TY CỔ PHẦN KỸ THUẬT SỐ
SÀI GÒN
2.1. Cơ sở lý luận
2.1.1. Khái niệm thông tin và an toàn thông tin
2.1.1.1. Khái niệm thông tin
Khái niệm thông tin đã được giải thích nhiều nhưng khó có một định nghĩa tổng
quát. Để trả lời câu hỏi: “Thông tin là gì?”, cho đến nay có rất nhiều cách hiểu về
thông tin, tuy nhiên các định nghĩa sau đây là tương đối cô đọng và đầy đủ ý nghĩa:
Theo Le Moigne (1978): Thông tin là một đối tượng đã được chỉnh dạng, nó
được tạo ra bởi con người đang là đại diện cho một kiểu sự kiện mà người đó có thể
nhận thức và xác định được trong thực tế”. Còn theo từ điển Oxford English
SVTH: Vũ Thị Minh Nguyệt 5 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Dictionary, thông tin là “điều mà người ta đánh giá hoặc nói đến; là tri thức, tin tức”
và “sự chuyển giao thông tin làm tăng thêm sức mạnh của con người”.
2.1.1.2. Khái niệm an toàn thông tin
“An toàn thông tin” là thuật ngữ dùng để chỉ việc bảo vệ thông tin và các hệ
thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng, phát
tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm đảm bảo cho các hệ thống thông
tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và
tin cậy. (Nguyễn Hữu Tuân, 2008)
2.1.2. Một số lý thuyết về vấn đề đảm bảo an toàn thông tin
2.1.2.1. Vai trò của thông tin và an toàn thông tin
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của mình từ người lãnh đạo đến mọi thành viên, của mọi cấp trong mọi tổ chức
hoạt động. Những người kiểm soát được thông tin có thể chi phối, tác động đến những
thành viên khác.
Có thể nói rằng thông tin là một trong những yếu tố cấu thành nên thế giới
khách quan; nó vừa là sức mạnh, cũng vừa là năng lượng và là nguồn tài nguyên của
xã hội con người.
- Thông tin là sức mạnh vì nó được sử dụng để làm nền tảng cho mọi hoạt động
của xã hội, kể cả hoạt động kinh doanh.
- Thông tin cũng là năng lượng, là nguồn tài nguyên. Trước đây người ta cho
rằng trong một tổ chức kinh doanh có năm nguồn tài nguyên: (1)Con người; (2)Thiết
bị, máy móc; (3)Tài chính; (4)Nguyên vật liệu, năng lượng; và (5)Quản lý. Tuy nhiên,
với sự phát triển nhanh chóng của xã hội ngày nay, thông tin có thể được xem như là
một nguồn tài nguyên mới, đặc thù, rất đa dạng và được sử dụng kết hợp các nguồn tài
nguyên khác để đem lại hiệu quả cho hoạt động kinh doanh.
Thực vậy, trong hoạt động kinh doanh, nhiều người quản lý đã nhận thấy rằng
thông tin là nguồn sức mạnh, đảm bảo thắng lợi trong cạnh tranh. Thông tin giúp cho
họ có khả năng vượt trước các đối thủ cạnh tranh của mình ở những thời điểm cạnh
tranh quyết liệt, đặc biệt khi tham gia thị trường mới hoặc khi đưa ra các sản phẩm
mới. Nếu không có thông tin chính xác, đầy đủ, kịp thời để phục vụ công việc xử lý,
điều hành thì tình huống mất khả năng kiểm soát, mất khả năng điều khiển có thể xảy
SVTH: Vũ Thị Minh Nguyệt 6 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
ra và sẽ đem lại những tổn thất. Trong thực tế đã có nhiều quyết định sai lầm là kết quả
của việc khai thác, sử dụng thông tin thiếu chính xác hoặc không đầy đủ.
Từ đó cho thấy vai trò của an toàn thông tin đối với doanh nghiệp nói riêng và
các tổ chức hoạt động nói chung là hết sức quan trọng. Thông tin muốn được đầy đủ
và chính xác thì ngoài yếu tố nguồn cung cấp thông tin và người thu thập thông tin ra
thì thông tin cần phải được đảm bảo an toàn, an toàn trong khi truyền nhận, an toàn
trong khi lưu trữ và an toàn trong khi sử dụng.
2.1.2.2. Các yêu cầu về đảm bảo an toàn thông tin
2.1.2.2.1. Yêu cầu bảo mật thông tin
Theo tổ chức quốc tế về chuẩn (IOS – International Organization for
Standardization) tính bí mật là thông tin chỉ được phép truy nhập bởi người có quyền
truy nhập. Đây là một trong bốn đặc tính quan trọng nhất của an toàn thông tin. Tính
bí mật là một trong những mục tiêu của các hệ mã hoá.
2.1.2.2.2. Yêu cầu bảo toàn thông tin
Trong lĩnh vực an toàn thông tin, tính bảo toàn (toàn vẹn) bảo đảm các mục tiêu
sau: ngăn ngừa việc thay đổi thông tin trái phép của người dùng không có thẩm quyền,
ngăn ngừa việc vô ý thay đổi thông tin của người dùng có thẩm quyền, duy trì tính
nhất quán của thông tin.
2.1.2.2.3. Yêu cầu sẵn sàng
Tính sẵn sàng được thể hiện là thông tin được đưa đến người dùng kịp thời,
không bị gián đoạn. Mọi hành vi làm gián đoạn quá trình truyền thông tin, khiến thông
tin không đến được người dùng, chính là đang tấn công vào tính sẵn sàng của hệ thống
đó.
2.1.2.2.4. Yêu cầu xác thực
Ngoài ba đặc tính trên, người ta còn đưa ra tính xác thực. Tính xác thực là đảm
bảo thông tin cần được xác thực nguồn gốc. Tính xác thực thường đi kèm với tính
chống chối cãi, không cho phép người dùng chối bỏ thông tin của họ.
2.1.2.3. Nguy cơ và hiểm họa đối với hệ thống thông tin doanh nghiệp
Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình
hay cố ý, chủ động hay thụ động.
Hiểm họa vô tình là trường hợp khi người dùng khởi động lại hệ thống ở chế độ
đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ
SVTH: Vũ Thị Minh Nguyệt 7 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. Còn
hiểm họa cố ý thì như cố tình truy nhập hệ thống trái phép.
Hiểm họa thụ động là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên
hệ thống, như nghe trộm các gói tin trên đường truyền. Còn hiểm họa chủ động là việc
sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống.
Đối với mỗi hệ thống thông tin, mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có
thể xuất phát từ những nguyên nhân như sau:
Từ phía người sử dụng có thể xảy ra sự xâm nhập bất hợp pháp, ăn cắp tài sản
có giá trị. Trong kiến trúc hệ thống thông tin thì tổ chức hệ thống kỹ thuật có thể
không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin.
Ngay trong chính sách an toàn an toàn thông tin cũng có khả năng không chấp
hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. Thông
tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý,
kiểm tra và điều khiển hệ thống.
Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong
phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý
đồ định trước, gọi là 'bom điện tử'. Nguy hiểm nhất đối với mạng máy tính mở là tin
tặc, từ phía bọn tội phạm.
2.1.2.4. Phân loại các kiểu tấn công phá hoại an toàn thông tin
Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công. Có rất
nhiều kiểu tấn công vào các máy tính, một số kiểu tấn công nhằm vào các hệ điều
hành, một số lại nhằm vào các mạng máy tính, còn một số lại nhằm vào cả hai. Sau
đây tác giả xin đưa ra một số kiểu tấn công điển hình. (ThS. Nguyễn Công Nhật, 2010)
2.1.2.4.1. Tấn công vào máy chủ hoặc máy trạm độc lập
Cách đơn giản nhất để tấn công một hệ điều hành là lợi dụng một máy tính đang
ở trạng thái đăng nhập (logged-on) của một người nào đó khi người đó bỏ ra ngoài
hoặc bận làm việc khác. Rất nhiều người dùng không tắt máy hoặc đăng xuất (log off)
khi đi ra ngoài hoặc không cài đặt mật khẩu màn hình chờ (screen saver). Rất nhiều hệ
điều hành cho phép người dùng cấu hình một màn hình chờ xuất hiện sau một khoảng
thời tĩnh nào đó (khoảng thời gian người dùng không thao tác với máy). Màn hình chờ
này có thể được cài đặt để yêu cầu người dùng nhập mật khẩu trước khi thao tác lại với
máy.
SVTH: Vũ Thị Minh Nguyệt 8 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Máy trạm hoặc máy chủ không được bảo vệ theo cách này là mục tiêu dễ nhất
để tấn công khi không có người xung quanh. Ví dụ, trong một số cơ quan, các nhân
viên có thể cùng nhau đi uống cà phê trong giờ giải lao mà không chú ý đến văn phòng
của mình. Trong tình huống này, một máy tính ở trạng thái đăng nhập sẽ là một lời
mời hấp dẫn cho một kẻ tấn công. Đôi khi các máy chủ cũng là các mục tiêu tấn công,
vì quản trị viên hoặc người điều hành máy chủ cũng có thể đi ra ngoài bỏ lại máy chủ
trong trạng thái đăng nhập với một khoản mục có đặc quyền của quản trị viên mà bất
cứ ai cũng có thể sử dụng. Thậm chí cả những máy chủ đặt trong các phòng máy được
khoá cẩn thận, thì máy chủ này cũng trở thành một mục tiêu tấn công cho bất cứ ai vào
được phòng đó, những người này có thể là những lập trình viên, những nhà quản lý,
thợ điện, nhân viên bảo trì,…
2.1.2.4.2. Tấn công bằng cách phá mật khẩu
Quá trình truy trập vào một hệ điều hành có thể được bảo vệ bằng một khoản
mục người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi mục
đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra
và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của
mình.
Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy
nhập. Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người
dùng quản trị chính, những kẻ tấn công sẽ cố gắng đăng nhập bằng các khoản mục này
một cách cục bộ hoặc từ trên mạng.
Sau khi tìm ra được tên khoản mục người dùng, kẻ tấn công này sẽ sử dụng một
phần mềm liên tục thử các mật khẩu khác nhau có thể. Phần mềm này sẽ tạo ra các mật
khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số. Ta có thể dễ dàng tìm
kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet như: Xavior,
Authforce và Hypnopaedia. Các chương trình dạng này làm việc tương đối nhanh và
luôn có trong tay những kẻ tấn công.
2.1.2.4.3. Virus, sâu mạng và trojan horse
Hầu như ai cũng đã từng nghe hay gặp phải virus, sâu mạng hoặc trojan horse.
Virus là một chương trình gắn trong các ổ đĩa hoặc các tệp và có khả năng nhân bản
trên toàn hệ thống. Một số virus có thể phá hoại các tệp hoặc ổ đĩa, còn một số khác
chỉ nhân bản mà không gây ra một sự phá hoại thường trực nào. Một virus hoax không
SVTH: Vũ Thị Minh Nguyệt 9 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
phải là một virus, mà là một e-mail cảnh báo sai về một virus. Một số virus hoặc e-
mail chứa các hướng dẫn cách xoá một tệp được cho là một virus nguy hiểm – nhưng
thực chất tệp này lại là một tệp hệ thống. Người nào mà làm theo “cảnh báo” này có
thể sẽ mắc phải các lỗi hệ thống hoặc có thể cài đặt lại tệp đó. Ngoài ra, mục đích của
virus hoax là lừa để cho người dùng chuyển tiếp các cảnh báo cho nhau, làm tăng một
số lượng lớn e-mail trên mạng, tạo ra những lo ngại không cần thiết và gây ra những
rắc rối về lưu lượng mạng.
Sâu mạng là một chương trình nhân bản không ngừng trên cùng một máy tính
hoặc gửi chính nó đến các máy tính khác trong mạng. Sự khác nhau giữa sâu mạng và
virus là sâu mạng tiếp tục tạo các tệp mới, còn virus thì nhiễm ổ đĩa hoặc tệp rồi ổ đĩa
hoặc tệp đó sẽ nhiễm các ổ đĩa hoặc các tệp khác. Sâu mạng là một chương trình có vẻ
là hữu ích và vô hại, nhưng thực tế lại gây hại cho máy tính của người dùng. Sâu mạng
thường được thiết kế để cho phép kẻ tấn công truy nhập vào máy tính mà nó đang chạy
hoặc cho phép kẻ tấn công kiểm soát máy tính đó. Ví dụ, các sâu mạng như
Trojan.Idly, B02K và NetBus là các sâu mạng được thiết kế để cho phép kẻ tấn công
truy nhập và điều khiển một hệ điều hành. Cụ thể, Trojan.Idly được thiết kế để chuyển
cho kẻ tấn công khoản mục người dùng và mật khẩu để truy nhập máy tính nạn nhân.
2.1.2.4.4. Tấn công bộ đệm (buffer attack)
Rất nhiều hệ điều hành sử dụng bộ đệm (buffer) để lưu dữ liệu cho đến khi nó
sẵn sàng được sử dụng. Giả sử, một máy chủ với một kết nối tốc độ cao đang truyền
dữ liệu đa phương tiện tới một máy trạm trên mạng, và máy chủ truyền nhanh hơn
máy trạm có thể nhận. Khi đó giao diện mạng của máy trạm sẽ sử dụng phần mềm lưu
tạm (đệm) thông tin nhận được cho đến khi máy trạm sẵn sàng xử lý nó. Các thiết bị
mạng như switch cũng sử dụng bộ đệm để khi lưu lượng mạng quá tải nó sẽ có chỗ để
lưu dữ liệu cho đến khi chuyển tiếp xong dữ liệu đến đích. Tấn công bộ đệm là cách
mà kẻ tấn công lừa cho phần mềm đệm lưu trữ nhiều thông tin trong bộ đệm hơn kích
cỡ của nó (trạng thái này gọi là tràn bộ đệm). Phần thông tin thừa đó có thể là một
phần mềm giả mạo sau đó sẽ truy nhập vào máy tính đích.
2.1.2.4.5. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ DOS được sử dụng để can thiệp vào quá trình truy
nhập đến một máy tính, một trang web hay một dịch vụ mạng bằng cách làm lụt mạng
đó bằng các thông tin vô ích hoặc bằng các frame hay packet chứa các lỗi mà một dịch
SVTH: Vũ Thị Minh Nguyệt 10 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
vụ mạng không nhận biết được. Mục đích chính của tấn công DOS là chỉ làm sập một
trang cung cấp thông tin hoặc làm tắt một dịch vụ chứ không làm hại đến thông tin
hoặc các hệ thống. Trên thực tế, sự phá hoại đó là làm cho người dùng không thể truy
nhập được một trang web hoặc một máy tính trên mạng trong một khoảng thời gian
nào đó, điều này làm mất các chức năng của các giao dịch trực tuyến. Một số trang
web thương mại điện tử đã từng bị các tấn công DOS đó là Amazon.com, Buy.com và
eBay.com.
Một kẻ tấn công từ xa (không khởi tạo tấn công từ trong mạng cục bộ) có thể
thực hiện một dạng tấn công đơn giản đó là làm lụt một hệ thống bằng nhiều gói tin.
Một kiểu tấn công từ xa khác đó là sử dụng các gói tin được định dạng không chuẩn
hoặc các gói tin có lỗi. Trong một số loại tấn công, máy tính khởi tạo tấn công có thể
làm cho rất nhiều máy tính khác gửi đi các gói tin tấn công. Các gói tin tấn công có thể
nhắm vào một site, một máy đích hay nhiều máy tính có thể tấn công nhiều máy đích.
Kiểu tấn công này được gọi là tấn công từ chối dịch vụ phân tán DDOS.
2.1.2.4.6. Tấn công định tuyến nguồn (source routing attack)
Trong định tuyến nguồn, người gửi gói sẽ xác định chính xác tuyến đường mà
gói sẽ đi qua để đến được đích. Thực chất, định tuyến nguồn chỉ sử dụng trong các
mạng token ring và để gỡ rối các lỗi mạng.
Trong tấn công định tuyến nguồn, kẻ tấn công sửa đổi địa chỉ nguồn và thông
tin định tuyến làm cho gói tin có vẻ như đến từ một địa chỉ khác, ví dụ một địa chỉ tin
cậy để truyền thông trên một mạng. Ngoài việc đóng giả làm một người tin cậy trong
mạng, kẻ tấn công còn có thể sử dụng định tuyến nguồn để thăm dò thông tin của một
mạng riêng.
2.1.2.4.7. Tấn công giả mạo
Tấn công giả mạo làm cho địa chỉ nguồn của gói tin bị thay đổi làm cho có vẻ
như được xuất phát từ một địa chỉ (máy tính) khác. Sử dụng tấn công giả mạo, kẻ tấn
công có thể truy nhập được vào một hệ thống được bảo vệ. Tấn công định tuyến nguồn
cũng được coi là một dạng tấn công giả mạo. Ngoài ra, tấn công DOS làm lụt một máy
đích bằng các gói tin có địa chỉ nguồn giả mạo cũng là một dạng tấn công giả mạo.
2.1.2.4.8. Tấn công sử dụng e-mail
Rất nhiều người sử dụng e-mail nhận ra rằng họ có thể là nạn nhân của một tấn
công e-mail. Một tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện, hoặc
SVTH: Vũ Thị Minh Nguyệt 11 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
thậm chí là tin cậy như: một công ty quen, một người thân trong gia đình hay một
đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng một khoản mục e-
mail mới để gửi e-mail phá hoại đến người nhận. Những e-mail phá hoại có thể mang
một tệp đính kèm chứa một virus, một sâu mạng hay một trojan horse. Một tệp đính
kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương
trình hoặc một tập các chỉ thị) chứa mã độc. Ngoài ra, e-mail cũng có thể chứa một
liên kết tới một website giả.
2.1.2.4.9. Tấn công quét cổng
Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổng UDP
nếu giao thức UDP được sử dụng cùng với giao thức IP. Cổng TCP hoặc UDP là một
con đường để truy nhập hệ thống đích, thông thường nó liên quan đến một dịch vụ,
một tiến trình hay một chức năng nhất định.
Sau khi một kẻ tấn công đã biết được một hoặc nhiều địa chỉ IP của các hệ
thống đang sống (tồn tại) trên mạng, kẻ tấn công sẽ chạy phần mềm quét cổng để tìm
ra những cổng quan trọng nào đang mở, những cổng nào chưa được sử dụng. Có hai
phần mềm quét cổng thông dụng đó là Nmap và Strobe. Nmap thường được sử dụng
để quét các máy tính chạy hệ điều hành Unix/Linux, ngoài ra còn một phiên bản được
sử dụng cho các máy chủ và máy trạm Windows. Ngoài những kẻ tấn công, một số
chuyên gia về an toàn cũng sử dụng Nmap để phát hiện các lỗ hổng an toàn trên các
cổng mở. Strobe cũng được sử dụng để quét các cổng mở, nhưng nó được thiết kế để
tấn công các hệ thống Unix/Linux.
2.1.2.4.10. Tấn công không dây
Các mạng không dây thường rất dễ bị tấn công, vì rất khó để biết được người
nào đó đã xâm hại đến mạng này. Đôi khi các tấn công trên mạng không dây còn được
gọi là war-drives, vì kẻ tấn công có thể lái xe lòng vòng quanh một khu vực, dùng một
máy tính xách tay để thu thập các tín hiệu không dây. Tuy nhiên, kẻ tấn công cũng có
thể làm điều đó bằng cách đi bộ hoặc ở một nơi nào đó với chiếc máy tính xách tay
của mình.
Hai thành phần quan trọng được sử dụng trong các tấn công không dây là một
cạc mạng không dây và một ăng ten đa hướng, có thể thu tín hiệu từ tất cả các hướng.
Một thành phần khác đó là phần mềm war-driving được sử dụng để bắt và chuyển đổi
các tín hiệu từ ăng ten qua card mạng không dây. Các tấn công không dây thường
SVTH: Vũ Thị Minh Nguyệt 12 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
được thực hiện bằng cách quét rất nhiều kênh sử dụng cho các truyền thông không
dây, tương tự như việc sử dụng một máy quét để nghe các kênh của cảnh sát và chữa
cháy.
2.1.3. Phân định nội dung nghiên cứu
- Nghiên cứu lý thuyết về đảm bảo ATTT trên các tài liệu, giáo trình về an toàn
bảo mật thông tin và trên mạng Internet.
- Tìm hiểu thực tế vấn đề đảm bảo ATTT tại công ty CP Kỹ thuật số Sài Gòn.
- Tiến hành phân tích, đánh giá thực trạng đảm bảo ATTT tại công ty CP Kỹ
thuật số Sài Gòn.
- Đề xuất giải pháp đảm bảo ATTT cho phù hợp với yêu cầu của công ty CP Kỹ
thuật số Sài Gòn.
2.2. Phân tích, đánh giá thực trạng vấn đề an toàn thông tin tại công ty cổ phần
Kỹ thuật số Sài Gòn
2.2.1. Giới thiệu về công ty cổ phần Kỹ thuật số Sài Gòn
2.2.1.1. Quá trình hình thành và phát triển
Tên đơn vị: Công ty cổ phần Kỹ Thuật Số Sài Gòn
Địa chỉ : Số 154 - Phố Yên Duyên - Phường Yên Sở - Q.Hoàng Mai -TP. Hà Nội.
Điện thoại: 04-36369436
Fax : 04-36369438
Website :
Công ty cổ phần Kỹ thuật số Sài Gòn được chia tách hoạt động độc lập từ công
ty mẹ là Công ty cổ phần Công nghệ cao Sài Gòn (Saigon HTE) từ năm 2008. Sau một
thời gian hoạt động công ty đã trưởng thành nhanh chóng và phát triển mạnh mẽ.
Với phương châm chọn sự hài lòng của khách hàng làm mục tiêu, công ty không
ngừng phấn đấu đề có thể mang đến cho khách hàng những hàng hóa, dịch vụ : RẺ
HƠN, TỐT HƠN, PHỤC VỤ CHU ĐÁO HƠN.
Quyết tâm xây dựng một đội ngũ vững mạnh về tư tưởng đường lối, tinh nhuệ về
chuyên môn nghiệp vụ và chuyên nghiệp về khả năng cung cấp sản phẩm và dịch vụ.
Xây dựng hệ thống khách hàng bao gồm hai kênh: Phân phối qua hệ thống đại
lý, công ty đối tác và bán trực tiếp đến người tiêu dùng.
2.2.1.2. Các lĩnh vực hoạt động
Các lĩnh vực hoạt động chính của công ty bao gồm:
• Tư vấn, thiết kế các thiết bị thông minh.
SVTH: Vũ Thị Minh Nguyệt 13 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
• Triển khai, cung cấp thiết bị và dịch vụ chuyên ngành tự động hóa và các thiết bị
thông minh.
Bằng quan hệ trực tiếp với các nhà sản xuất hàng đầu thế giới trong lĩnh vực tự
động hóa và thiết bị thông minh như SMARTHOME, 4XEM, X10, IDF Group,
TEXECOM, LEXING, SONY, PANASONIC, AXIS, NICE
Công ty CP Kỹ Thuật Số Sài Gòn là một công ty tư vấn và cung cấp các thiết bị
thông minh và tự động hóa chuyên nghiệp tại Việt Nam trong lĩnh vực phát triển các
giải pháp an ninh.
2.2.1.3. Chức năng nhiệm vụ của hội đồng cổ đông, ban giám đốc và các phòng ban
- Hội đồng cổ đông: bao gồm tất cả các cổ đông có quyền biểu quyết hoặc
người được ủy quyền. Quyết định cơ cấu tổ chức của công ty, chiến lược phát triển, bổ
nhiệm hội đồng quản trị và hoạt động theo quy định của Pháp luật và Điều lệ công ty.
- Hội đồng quản trị: là cơ quan quản lý công ty do Đại hội đồng cổ đông bầu ra,
có toàn quyền nhân danh công ty để quyết định mọi vấn đề quan trọng liên quan đến
mục đích, quyền lợi của công ty, trừ những vấn đề thuộc thẩm quyền của Đại hội đồng
cổ đông. Hội đồng quản trị có quyền và nghĩa vụ giám sát Tổng Giám đốc điều hành
và những người quản lý khác trong công ty.
- Giám đốc: Là người điều hành, quyết định các vấn đề liên quan đến hoạt động
hàng ngày của công ty, chịu trách nhiệm trước Hội đồng quản trị về việc thực hiện các
quyền và nghĩa vụ được giao, đại diện cho công ty trước nhà nước và pháp luật. Giúp
việc cho giám đốc là phó giám đốc phụ trách hoạt động kỹ thuật, kinh doanh của công
ty và được giám đốc uỷ quyền điều hành công ty khi vắng mặt.
- Phòng tổ chức, nhân sự: Có chức năng tham mưu cho giám đốc về việc sắp
xếp, bố trí cán bộ, đào tạo và phân loại lao động để bố trí đúng người, đúng ngành
nghề công việc, thanh quyết toán chế độ cho người lao động theo chính sách, chế độ
nhà nước và quy chế của công ty.
- Phòng tài chính kế toán: xây dựng kế hoạch tài chính, quản lý, sử dụng và đảm
bảo nguồn vốn, tài sản phục vụ cho hoạt động của công ty. Phản ánh toàn bộ hoạt
động sản xuất kinh doanh trong đơn vị về kết quả tài chính và hiệu quả kinh doanh của
công ty.
- Phòng kinh doanh: Tổ chức tư vấn, phân phối sản phẩm, tìm kiếm khách hàng,
tiếp thị và cung ứng trực tiếp sản phẩm cho mọi đối tượng khách hàng. Ngoài ra còn
SVTH: Vũ Thị Minh Nguyệt 14 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
phải quản lý tiền, hàng, cơ sở vật chất do công ty giao, thực hiện việc ghi chép ban đầu
và cung cấp thông tin cho phòng kế toán tổng hợp.
- Phòng kỹ thuật: chịu trách nhiệm thiết kế, lắp ráp thiết bị, cung ứng các thiết
bị của công ty kinh doanh và dịch vụ bảo hành sản phẩm sau khi mua, tư vấn giải đáp
thắc mắc của khách hàng về sản phẩm sau mua, hướng dẫn khách hàng sử dụng sản
phẩm.
- Kho: chịu trách nhiệm chuẩn bị đầy đủ và sắp xếp từng loại hàng hoá theo
đúng yêu cầu xuất nhập kho, ghi chép các số liệu xuất nhập kho và cung cấp số liệu
cho phòng tài chính kế toán.
2.2.2. Khái quát hoạt động sản xuất kinh doanh của công ty
Trong những năm gần đây, công ty phải đối mặt với không ít những khó khăn
phát sinh như sự cạnh tranh quyết liệt về thị trường, giá cả, nguồn hàng cũng như sự
cạnh tranh giữa các thành phần kinh tế trong và ngoài nước. Nhưng hoạt động kinh
doanh của công ty vẫn thu được kết quả cao và luôn hoàn thành vượt mức kế hoạch đề
ra, đảm bảo hoạt động kinh doanh có lãi, bảo toàn và phát triển vốn kinh doanh.
Năm
Doanh thu
(tỷ đồng)
Lợi nhuận
(tỷ đồng)
Số lượng
khách hàng
Số lượng
nhân viên
2011 39,89 8,0173892 987 50
2010 34,435 8,4827221 856 42
2009 28,378 5,67383 692 38
2008 18,142 2, 6574 485 30
Bảng 2.1: Kết quả hoạt động kinh doanh giai đoạn 2008 – 2011
của công ty CP Kỹ thuật số Sài Gòn
(Nguồn: Báo cáo kết quả kinh doanh của công ty năm 2008-2011)
Dựa vào bảng kết quả hoạt động kinh doanh của công ty trong 4 năm gần đây,
chúng ta có thể nhận thấy rằng tình hình hoạt động sản xuất kinh doanh của công ty
ngày càng khả quan. Bằng chứng là trong liên tiếp vài năm trở lại đây, doanh thu, lợi
nhuận luôn có xu hướng tăng lên. Mặc dù trong những năm qua công ty đã phải vượt
qua rất nhiều khó khăn, thách thức, nhưng đời sống vật chất, tinh thần và các quyền lợi
hợp pháp của các cán bộ công nhân viên trong công ty luôn được chú trọng và phát
triển; kế hoạch sản xuất kinh doanh không những đạt mà còn vượt chỉ tiêu đề ra; cơ
SVTH: Vũ Thị Minh Nguyệt 15 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
cấu tổ chức dần đi vào hoạt động và ổn định; môi trường làm việc trẻ trung, năng động
và chuyên nghiệp.
2.2.3. Phân tích thực trạng về vấn đề đảm bảo an toàn thông tin tại công ty
2.2.3.1. Tình hình an toàn thông tin chung của các doanh nghiệp
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem
là sự sống còn đối với các doanh nghiệp. Thế nhưng, rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề an toàn thông tin và những nguy cơ có thể
xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình.
Theo một số liệu thống kê về vấn đề an toàn thông tin của Tổ chức chứng nhận
TÜVRheinland Việt Nam cho biết, mỗi năm có trên 15.000 hồ sơ của các bệnh viện bị
tìm thấy trong thùng rác, 30.000 mật khẩu của các tài khoản Internet bị công bố trên
mạng, 25 người từ phòng phát triển kinh doanh của công ty này chuyển sang công ty
đối thủ, các ngân hàng phải trả hàng triệu USD do bị tấn công vào hệ thống giao dịch
nghiệp vụ và 300.000 số tài khoản tín dụng cá nhân bị trộm, một số bị công bố trên
Website.
Cùng với số liệu trên thì theo một cuộc khảo sát về vấn đề an toàn thông tin của
tổ chức nghiên cứu thị trường Việt Nam, có 66% các công ty được hỏi cho biết họ gặp
các vấn đề về an toàn thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem
an toàn thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro
trong an toàn thông tin.
Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do
rò rỉ thông tin mang lại như vừa nêu thì chưa có sự đầu tư cân xứng cho đảm bảo an
toàn thông tin. Chỉ có ngành công nghệ là chi khoảng 22,6% từ ngân sách IT cho an
toàn thông tin, còn các ngành khác thì tỷ lệ lần lượt là: dược (16,4%), dịch vụ tài chính
(16,3%), dịch vụ công cộng (15,2%), dịch vụ chăm sóc sức khỏe và năng lượng
(12,9%).
Từ đó cho thấy vấn đề an toàn thông tin hiện nay đang trở thành một vấn đề rất
cấp bách và cần có sự quan tâm hơn nữa từ các doanh nghiệp.
2.2.3.2. Các nhân tố ảnh hưởng đến vấn đề đảm bảo an toàn thông tin của công ty
2.2.3.2.1. Hạ tầng công nghệ thông tin
Cơ sở hạ tầng công nghệ thông tin đóng vai trò rất quan trọng trong việc bảo
đảm chất lượng, độ ổn định, khả năng khắc phục sự cố, khả năng mở rộng của hệ
SVTH: Vũ Thị Minh Nguyệt 16 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
thống CNTT. Cơ sở hạ tầng công nghệ thông tin là nền tảng vững chắc cho mọi hoạt
động và các ứng dụng liên quan đến công nghệ thông tin. Yếu tố công nghệ là một
trong những yếu tố quan trọng tác động đến việc đảm bảo ATTT trong doanh nghiệp.
Việc đảm bảo ATTT không thể thực hiện nếu thiếu các phần mềm, phần cứng chuyên
dụng. Một hạ tầng công nghệ được đầu tư hoàn chỉnh ngay từ ban đầu sẽ là nền tảng
cho việc đảm bảo ATTT được dễ dàng và hoàn thiện.
2.2.3.2.2. Nguồn nhân lực công nghệ thông tin
Nguồn nhân lực luôn là yếu tố sống còn quyết định sự tồn tại và phát triển của
doanh nghiệp. Mọi hoạt động liên quan đến hoạt động kinh doanh đều phụ thuộc vào
các nhân viên chuyên trách theo từng bộ phận khác nhau. Về hoạt động đảm bảo
ATTT cũng không ngoại lệ, tuy chưa được hình thành là một bộ phận của doanh
nghiệp nhưng vẫn đòi hỏi sự hiểu biết và khả năng công nghệ cao. Nhân viên có nhận
thức và hiểu biết về ATTT thì mới giảm thiểu được rủi ro thất thoát thông tin do nội
bộ, có như vậy vấn đề đảm bảo ATTT trong doanh nghiệp mới thực hiện một cách
chặt chẽ và có hiệu quả.
2.2.3.2.3. Nguồn lực tài chính công ty
Các nguồn lực tài chính và con người chưa bao giờ là vô hạn và chúng đang
ngày càng khan hiếm và quý giá hơn bao giờ hết. Quyết định phân bổ các nguồn lực
này vào đâu thực sự là khó khăn và rủi ro cao vì quyết định sai có thể gây tổn thất sâu
sắc cho một tổ chức, doanh nghiệp. Có thể thấy rằng nguồn lực về tài chính là một yếu
tố quan trọng cho việc xây dựng và thực hiện thành công một hay nhiều chiến lược
kinh doanh của doanh nghiệp, trong đó là cả chiển lược đảm bảo ATTT. Đối với các
doanh nghiệp có tiềm lực tài chính mạnh, để đầu tư CNTT cho việc đảm bảo ATTT
đối với họ không phải là điều khó khăn. Nhưng ngược lại, đối với doanh nghiệp có tài
chính hạn chế thì hoàn toàn không phải đơn giản. Nguồn lực tài chính sẽ buộc các
doanh nghiệp phải có sự lựa chọn cẩn thận sao cho hiệu quả đạt được là tối ưu so với
lượng chi phí bỏ ra. Với nguồn lực có hạn nên xây dựng chiến lược phải tính toán kỹ
càng.
2.2.3.3. Phân tích thực trạng vấn đề an toàn thông tin tại công ty
2.2.3.3.1. Thực trạng về cơ sở hạ tầng công ty
SVTH: Vũ Thị Minh Nguyệt 17 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Dựa trên những kết quả từ việc quan sát và phân tích phiếu điều tra giai đoạn
thực tập tốt nghiệp, tác giả có những đánh giá về hiện trạng cơ sở hạ tầng của công ty
như sau:
Hiện trạng về hạ tầng mạng và truyền thông:
Máy chủ được đặt tại FPT, máy tính có kết nối Internet băng thông rộng (kết
nối Internet thông qua đường truyền băng thông rộng ADSL…hoặc chia sẻ qua mạng
LAN). Hình thức truy cập Internet: Đường truyền riêng, ADSL. Doanh nghiệp có
website riêng: . Doanh nghiệp sử dụng website để giới
thiệu hình ảnh, sản phẩm, đã tận dụng được những lợi ích khác như hỗ trợ đặt hàng,
mua hàng, tư vấn và thanh toán trực tuyến
Cơ sở hạ tầng công nghệ thông tin:
Tổng số máy tính trong công ty: 50 máy (bao gồm máy chủ, máy tính để bàn và
máy tính xách tay). Máy chủ/server là: 1 máy. Tất cả các phòng ban đều được trang bị
máy tính nối mạng, máy in, máy fax.
2.2.3.3.2. Thực trạng an toàn thông tin tại công ty
Thông qua phương pháp bảng câu hỏi (phiếu điều tra), tác giả đã tiến hành điều
tra và khảo sát các cán bộ, nhân viên đang làm việc tại công ty CP Kỹ thuật số Sài
Gòn. Công tác khảo sát đã được tiến hành và thu thập được kết quả từ 20 cán bộ, nhân
viên tại các bộ phận trực thuộc: 5 cán bộ và nhân viên bộ phận quản lý nhân sự; 5 cán
bộ công nghệ thông tin; 5 cán bộ phòng kinh doanh và 5 cán bộ phòng kế toán. Kết
quả khảo sát như sau:
SVTH: Vũ Thị Minh Nguyệt 18 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Hình 2.1: Tình hình máy tính cá nhân bị tấn công gây mất an toàn
Theo như điều tra chúng ta có thể thấy khả năng mất an toàn thông tin ở công ty
là đáng báo động. Khi mà đến hơn một nửa số nhân viên (65%) được phát phiếu điều
tra đều trả lời mình đã từng bị tấn công gây mất an toàn thông tin và có đến 15% trong
số đó đã từng bị tấn công nhiều lần.
Đi sâu tìm hiểu tình hình sử dụng máy tính cá nhân và cách xử lý dữ liệu, tác
giả đã thu được những kết quả sau:
Hình 2.2: Tình trạng cài đặt mật khẩu và sử dụng phần mềm diệt virus
trên máy tính cá nhân
Đại đa số nhân viên đều biết cài đặt mật khẩu và phần mềm virus cho máy tính
cá nhân của mình. Cụ thể là 30% nhân viên được hỏi đã cài cả mật khẩu và phần mềm
diệt virus, 45% chỉ cài mật khẩu, 10% chỉ cài phần mềm diệt virus và 15% chưa cài
đặt mật khẩu và phần mềm diệt virus nào. Điều đó đã cho thấy được ý thức bảo mật an
toàn cho chính máy tính của mình của nhân viên công ty chưa được cao.
SVTH: Vũ Thị Minh Nguyệt 19 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Hình 2.3: Thực trạng phân quyền người dùng cho máy tính
Về phân quyền người dùng cho máy tính cá nhân thì có đến 60% nhân viên
được hỏi là chưa sử dụng đến phương pháp này, có thể khái niệm về phương pháp này
còn mơ hồ đối với họ và có thể nhiều người còn chưa biết tới.
Hình 2.4: Thực trạng mã hóa và sao lưu dữ liệu
Về mã hóa và sao lưu dữ liệu thì đã có khả quan hơn, công ty đã biết bảo mật
dữ liệu bằng phương pháp mã hóa và thường xuyên sao lưu để đảm bảo dữ liệu không
bị mất mát và sai lệch.
SVTH: Vũ Thị Minh Nguyệt 20 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Hình 2.5: Tình hình quan tâm đến vấn đề an toàn thông tin
của nhân viên công ty
Hình 2.6: Thực trạng hiểu biết về cách đảm bảo an toàn thông tin
cho máy tính cá nhân của nhân viên công ty
Từ hình 2.5 và 2.6, ta có thể thấy đại đa số nhân viên trong công ty đều có quan
tâm đến vấn đề an toàn thông tin, chiếm 60% trong tổng số nhân viên được hỏi. Tuy
nhiên 40% còn lại chưa quan tâm đến vần đề này cũng là một con số đáng lo ngại. Có
thể vì thế mà sự hiểu biết hay nhận thức về cách đảm bảo an toàn thông tin trên máy
tính cá nhân của nhân viên công ty vẫn còn hạn chế. Chỉ có 15% nhân viên được hỏi
khẳng đinh mình am hiểu trong việc đảm bảo bảo mật cho máy tính cá nhân, còn 50%
SVTH: Vũ Thị Minh Nguyệt 21 MSV: 08D190041