Khóa luận tốt nghiệp _ 2015
LỜI CẢM ƠN
Cùng với sự phát triển của công nghệ thông tin, mạng máy tính và Internet ngày
càng phát triển đa dạng phong phú. Các dịch vụ trên mạng đã thâm nhập vào hầu hết
các lĩnh vực trong đời sống xã hội. Các thông tin trên Internet cũng đa dạng hơn về nội
dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính
kinh tế, chính xác và tính tin cậy của nó.
Nên hiện nay, an toàn bảo mật thông tin đang là một trong những vấn đề được
quan tâm nhiều nhất trên khắp thế giới từ chính phủ các quốc gia, doanh nghiệp, tổ
chức hay cá nhân. Tầm quan trọng của an toàn bảo mật thông tin là không thể phủ
nhận tuy nhiên không phải bất kì doanh nghiệp nào cũng có thể đạt được những tiêu
chí trong đánh giá về an ninh thông tin. Trong khóa luận tốt nghiệp này, em xin trình
bày về một số yếu điểm mà Công ty Cổ phần Truyền thông Việt gặp phải trong bảo
mật thông tin và giải pháp khắc phục những yếu điểm đó.
Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm ơn sâu
sắc đến cá nhân thầy hướng dẫn làm khóa luận của em là thầy PGS.TS Đàm Gia Mạnh
cũng như các thầy cô trong bộ môn Công nghệ thông tin đã tận tình chỉ bảo và giúp
em bổ sung kiến thức trong lí thuyết cũng như thực tiễn. Ngoài ra em xin gửi lời cảm
ơn chân thành tới ban lãnh đạo Công ty Cổ phần Truyền thông Việt đã tạo điều kiện
giúp đỡ em trong suốt quá trình thực tập cũng như làm khóa luận tốt nghiệp. Cuối
cùng em xin cảm ơn tới toàn thể thầy cô giáo, lãnh đạo trường Đại học Thương Mại đã
cho em môi trường học tập chuyên nghiệp trong suốt 4 năm qua. Sự giúp đỡ và giảng
dạy tận tình của thầy cô và các anh chị trong công ty là hành trang quý báu cho em sau
này.
Em xin kính chúc quý thầy cô cùng các anh chị luôn dồi dào sức khỏe và thành
công trong cuộc sống.
Nguyễn Thị Thúy Vân Page 1
Khóa luận tốt nghiệp _ 2015
MỤC LỤC
Nguyễn Thị Thúy Vân Page 2
Khóa luận tốt nghiệp _ 2015
DANH MỤC BẢNG
DANH MỤC BIỂU ĐỒ
DANH MỤC HÌNH
Nguyễn Thị Thúy Vân Page 3
Khóa luận tốt nghiệp _ 2015
DANH MỤC CÁC TỪ VIẾT TẮT
HTTT Hệ thống thông tin
CP Cổ phần
WLAN Wireless local area network Mạng cục bộ không dây
XSS Cross-Site Scripting Tấn công vào kịch bản site
SQLI
Structured Query Language
injection
Tiêm vào cấu trúc ngôn ngữ
truy vấn
HTML HyperText Markup Language
Ngôn ngữ đánh dấu siêu văn
bản
XSRF Cross-site Request Forgery
Tấn công bằng cách sử dụng
quyền chứng thực của người
dùng
WPA Wi-Fi protected access
Truy cập được bảo vệ không
dây
WPA2 Wi-Fi protected access
Truy cập được bảo vệ không
dây phiên bản 2
WEP Wired Equivalent Privacy Bảo mật tương đương có dây
WPS Wifi protected setup
Thiết lập bảo vệ mạng không
dây
SSID Service Set Identifier Đặt dịch vụ định danh
IP Internet Protocol Giao thức mạng
TCP Transmission Control Protocol
Giao thức kiểm soát truyền
vận
VPN Virtual Private Network Mạng riêng ảo
DoS Denial of Service Tấn công từ chối dịch vụ
NXB Nhà xuất bản
Nguyễn Thị Thúy Vân Page 4
Khóa luận tốt nghiệp _ 2015
PHẦN 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1. Tầm quan trọng, ý nghĩa của đề tài.
1.1.1. Tầm quan trọng của đề tài.
Vấn đề đảm bảo an toàn cho các HTTT là một trong những vấn đề quan trọng
được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng HTTT.
Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ
và xử lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu sản
xuất, thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Bảo vệ thông tin là bảo
vệ tính bí mật và tính toàn vẹn của thông tin. Hơn nữa thông tin không phải luôn được
con người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông tin.
Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó bị mất đi, bị sai lệch
toàn bộ hay một phần. Khi đó tính toàn vẹn thông tin không còn được đảm bảo.
Khi máy tính được sử dụng để xử lí thông tin, hiệu quả xử lí thông tin được
nâng cao lên, khối lượng thông tin được xử lí ngày càng lớn, kéo theo nó, tầm quan
trọng của thông tin trong đời sống xã hội ngày càng tăng. Nếu như trước đây, việc bảo
vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lí để bảo vệ
thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đã
trở nên đa dạng và phức tạp hơn. Đối với Công ty CP Truyền thông Việt cũng vậy theo
tìm hiểu thì em biết được công ty đã từng xảy ra vấn đề mất an toàn thông tin dù đã
khắc phục được rồi nhưng không đảm bảo rằng trong tương lai sẽ không xảy ra vấn đề
này nữa.
Trong đề tài này với mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơn
trong vấn đề đảm bảo an toàn bảo mật thông tin. Em sẽ tập trung nghiên cứu cơ sở lý
luận về lý thuyết an toàn bảo mật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánh
giá thực trạng vấn đề bảo mật của công ty. Để từ đó khóa luận đưa ra một số giải pháp
bảo mật thông tin phù hợp nhằm khắc phục thực trạng của vấn đề tại công ty CP
Truyền thông Việt. Quá trình nghiên cứu cũng góp phần nâng cao nhận thức của nhân
viên trong công ty về vấn đề an toàn và bảo mật thông tin, trau dồi thêm những thông
tin cần thiết cho nhân viên phục vụ cho công việc vận hành và quản lý vấn đề an toàn
thông tin hàng ngày.
Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến
Nguyễn Thị Thúy Vân Page 5
Khóa luận tốt nghiệp _ 2015
thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài :
‘‘Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của công ty
Cổ phần Truyền thông Việt”.
1.1.2. Ý nghĩa của đề tài.
Các thông tin trong đề tài phục vụ cho việc quản lí và đảm bảo an toàn thông
tin của Công ty CP Truyền thông Việt. Đề tài được hình thành từ hoạt động của Công
ty, chứa nhiều thông tin, là căn cứ để lãnh đạo Công ty ra quyết định phục vụ cho quá
trình phát triển của Công ty. Tài liệu là kiến thức cho đội ngũ nhân viên Công ty có thể
một phần nào đó nâng cao nhận thức và kiến thức về an toàn bảo mật thông tin tại
Công ty CP Truyền thông Việt.
1.2. Tình hình nghiên cứu vấn đề bảo mật thông tin trong và ngoài nước
1.2.1. Tình hình nghiên cứu ngoài nước.
Theo những nghiên cứu về hành vi tổ chức tấn công về bảo mật, Phó chủ tịch
Trend Micro tại khu vực Châu Âu, ông Dervla Mannion cho biết với sự quan sát đánh
giá của mình ông thấy rõ tốc độ tấn công nhanh, mở rộng thêm phạm vi của các cuộc
tấn công. Tấn công vào thông tin bảo mật không còn chỉ là nhằm vào các cá nhân
riêng lẻ mà còn nhằm vào các doanh nghiệp và chính phủ các nước. Lỗ hổng bảo mật
của các doanh nghiệp góp phần làm các cuộc tấn công không chỉ còn ở phạm vi quốc
gia, một châu lục mà toàn thế giới. Năm 2014 là năm sung mãn của tội phạm mạng,
bảo mật toàn cầu.
Tội phạm ngày các phát triển thì vai trò của người dùng cũng như các công ty
bảo mật cần được nâng cao. Bảo vệ chính mình dường như không còn là quan niệm lạ
đối với người dùng công nghệ nữa. Đặc biệt mạng công cộng, phần mềm miễn phí,
thiết bị di động nên là điều mà người dùng lưu ý mỗi khi kết nối sử dụng.
1.2.2. Tình hình trong nước
Vấn đề mất an toàn thông tin đang là mối e ngại lớn đối với Việt Nam. Vào
ngày 17-18/10/2014 thì không chỉ cướp tên miền, hack và xóa nội dung của nhiều
website do VCCorp đầu tư hoặc quản lý hạ tầng kỹ thuật, kẻ tấn công VCCorp còn
điều khiển URL của báo Dân Trí trỏ về địa chỉ khác. Trong một vài năm trở lại đây thì
tình hình nghiên cứu về vấn đề an toàn bảo mật thông tin cho các doanh nghiệp, tổ
chức trong nước diễn ra khá nhiều. Nhận thấy bảo mật thông tin là vấn đề vô cùng
Nguyễn Thị Thúy Vân Page 6
Khóa luận tốt nghiệp _ 2015
quan trọng trong thời buổi hội nhập hiện nay nên đã có rất nhiều công ty, doanh
nghiệp, tổ chức đã tập trung xây dựng và đưa vấn đề bảo mật thông tin thành mục tiêu
quan trọng trong quá trình phát triển của công ty. Trong bối cảnh như vậy, nhiều công
trình nghiên cứu của các sinh viên, các cá nhân, tổ chức đã ra đời để phục vụ cho nhu
cầu phát triển của phần lớn các công ty hiện nay ở Việt Nam. Trong số đó tôi đã đọc và
tham khảo một số công trình nghiên cứu như:
– “ Phương pháp bảo mật trên WLAN” của Nguyễn Hữu Hiền, sinh viên ngành công
nghệ thông tin trường Học viện bưu chính viễn thông. Trong công trình nghiên cứu về
phương pháp bảo mật trên WLAN của sinh viên Nguyễn Hữu Hiền đã tập trung phân
tích khá rõ ràng và có chiều sâu về vấn đề bảo mật trong mạng không dây wireless.
Công trình nghiên cứ đã tập trung chỉ ra được những yếu điểm về bảo mật trong mạng
không dây và đã đưa ra được nhiều giải pháp khắc phục khá hay và tốt. Mặc dù vậy thì
công trình nghiên cứu này còn có một số hạn chế đó là mới chỉ đưa ra được những giải
pháp trước mắt chứ chưa đưa ra được giải pháp lâu dài trong bối cảnh công nghệ phát
triển như vũ bão hiện nay.
– ‘‘Đồ án tìm hiểu về virus máy tính và cách phòng chống” của sinh viên Lê Văn Hưng
khoa Tin học trường đại học Bách khoa Hà Nội. Trong công trình nghiên cứu này tác
giả đã đưa ra một số phân tích cơ bản đối với mảng kiến thức hệ thống, các nguyên tắc
thiết kế, hoạt động của các loại virus máy tính và từ đó đưa ra phương pháp phòng
tránh, phát hiện và phân tích đối với một số loại virus máy tính.
– Luận văn về an toàn, bảo mật thông tin: “Giải pháp nhằm nâng cao bảo mật HTTT
quản trị tại công ty cổ phần công nghệ cao’’ của sinh viên Nguyễn Hữu Dũng – Khoa
Thương Mại Điện Tử - ĐH Thương Mại (2009). Luận văn cũng đã đưa ra được lý
thuyết và một số giải pháp nhưng các giải pháp vẫn đang ở mức khái quát và chưa
mang tính khả thi, cụ thể.
– “Đồ án an ninh mạng và kĩ thuật tấn công mạng” của Phạm Minh Tuấn, khoa quốc tế
và đào tạo sau đại học trường Học viện bưu chính viễn thông. Trong công trình nghiên
cứu này thì tác giả đã chỉ ra được rất nhiều kiểu tấn công qua mạng và cách khắc phục.
Tác giả đã đi sâu nghiên cứu về các lỗ hổng thường gặp trong bảo mật mạng. Em đánh
giá đây là một công trình nghiên cứu rất hay về vấn đề an ninh mạng mà có thể lấy làm
tài liệu tham khảo.
Nguyễn Thị Thúy Vân Page 7
Khóa luận tốt nghiệp _ 2015
– Đề tài: ‘‘Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của công ty Cổ
phần Truyền thông Việt” tập trung vào việc đánh giá và đưa ra giải pháp nâng cao hiệu
quả các hoạt động đảm bảo an toàn và bảo mật HTTT tại một doanh nghiệp cụ thể và
đề tài không trùng lặp nội dung với các công trình nghiên cứu trước đó.
1.3. Mục tiêu cần giải quyết của đề tài.
Từ việc tìm hiểu phân tích thực trạng từ đó đưa ra giải pháp đảm bảo an toàn và
bảo mật thông tin trong Công ty CP Truyền thông Việt cụ thể là:
+ Đưa ra các giải pháp cho vấn đề bảo mật an ninh thông tin của công ty
+ Đưa ra giải pháp cho hệ thông máy tính nội bộ của công ty
+ Đưa ra giải pháp bảo mật website của công ty
1.4. Đối tượng, phạm vi nghiên cứu đề tài
Là một đề tài nghiên cứu khóa luận của sinh nên phạm vi nghiên cứu của đề tài
chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn. Cụ thể:
Về không gian: là đưa ra các giải pháp đảm bảo an toàn thông tin cho hệ thống
thông tin của công ty Cổ phần Truyền thông Việt.
Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trình
bày các nhóm giải pháp định hướng phát triển trong tương lai.
1.5. Phương pháp thực hiện đề tài.
+ Phương pháp thu thập dữ liệu:
• Xây dựng các phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên công ty về
những nội dung phục vụ cho bài nghiên cứu.
• Tìm hiểu các thông tin về an toàn bảo mật thương mại điện tử qua Internet, qua các tài
liệu sách báo liên quan đến an toàn bảo mật HTTT.
• Phương pháp phỏng vấn: phỏng vấn ban Giám đốc và bộ phận IT của công ty. Phương
pháp trưng cầu ý kiến bằng bảng hỏi: lập ra danh mục các câu hỏi và khảo sát ý kiến
của nhân viên cũng như ban Giám đốc công ty để phục vụ cho việc đánh giá trình độ
nguồn nhân lực trong quá trình nghiên cứu.
• Phương pháp chuyên gia: Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của đề tài
để tham khảo và đưa ra định hướng và giải quyết tốt mục tiêu đề ra.
• Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu và phương pháp
Nguyễn Thị Thúy Vân Page 8
Khóa luận tốt nghiệp _ 2015
phỏng vấn là 2 phương pháp chủ đạo còn các phương pháp còn lại là các phương pháp
bổ trợ cho việc nghiên cứu thực hiện đề tài.
+ Phương pháp xử lý dữ liệu:
• Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu sẽ
được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục
đích nghiên cứu của đề tài.
+ Phương pháp nghiên cứu:
• Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các nhân viên, lãnh đạo của
công ty, nắm bắt một cách chủ quan tình hình an toàn, bảo mật thông tin trên mọi mặt
của doanh nghiệp.
• Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ đó đưa
ra được cái nhìn chính xác hơn về tình hình của công ty.
1.6. Kết cấu khóa luận.
Khóa luận gồm 3 phần chính:
− Phần 1: Tổng quan vấn đề an toàn bảo mật hệ thống thông tin.
− Phần 2: Cơ sở lí luận và thực trạng của vấn đề an toàn bảo mật hệ thông tin.
− Phần 3: Giải pháp bảo mật và định hướng phát triển hệ thống thông tin.
Để hoàn thành đề tài này em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đàm Gia
Mạnh đã tận tình hướng dẫn em trong suốt quá trình thực hiện đề tài. Và cán bộ nhân
viên Công ty Cổ phần Truyền thông Việt đã tạo điều kiện tốt nhất để giúp em nghiên
cứu và hoàn thành mục tiêu của đề tài.
Nguyễn Thị Thúy Vân Page 9
Khóa luận tốt nghiệp _ 2015
PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN BẢO MẬT
HỆ THỐNG THÔNG TIN TẠI CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT
2.1. Cơ sở lí luận.
2.1.1. Một số khái niệm cơ bản:
2.1.1.1. Khái niệm về mạng máy tính, hệ thống thông tin, website
Mạng máy tính: Mạng máy tính là một tập hợp các máy tính được nối với nhau
bởi đường truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi
thông tin qua lại cho nhau. (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền
thông )
Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để
chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu điện tử đó
biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off). Tất cả các tín hiệu
được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy theo tần số của
sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu. Ở
đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây
điện thoại, sóng vô tuyến Các đường truyền dữ liệu tạo nên cấu trúc của mạng. Hai
khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của mạng máy tính
Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức. (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông )
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
Website: là một tập hợp các trang web (web pages) bao gồm văn bản, hình ảnh,
video, flashvv…thường chỉ nằm trong một tên miền (domain name) hoặc tên miền phụ
(subdomain). Trang web được lưu trữ (web hosting) trên máy chủ web (web server) có
thể truy cập thông qua Internet.
Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng Internet – nơi
Nguyễn Thị Thúy Vân Page 10
Khóa luận tốt nghiệp _ 2015
giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cung
cấp… Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giao
dịch với các khách hàng, đối tác trên Internet.
2.1.1.2. Khái niệm về an toàn, bảo mật thông tin
An toàn thông tin: thông tin được coi là an toàn khi thông tin đó không bị làm
hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được
phép (Bài giảng môn : An toàn và bảo mật Thông tin doanh nghiệp, Đại học Thương
mại)
Bảo mật thông tin: là ngăn chặn các truy cập không được phép, hạn chế tối đa
các sai sót của người dùng, đảm bảo các thông tin không bị mất hoặc bị thay đổi ngoài
ý muốn, không tiết lộ nội dung dữ liệu, chương trình xử lí. (Giáo trình mạng máy
tính,2008, NXB Thông tin và Truyền thông)
2.1.2. Các đặc trưng của một HTTT bảo mật.
Một HTTT bảo mật (Secure Information System) là một hệ thống mà thông tin
được xử lí trên nó phải đảm bảo được 3 đặc trưng sau đây:
− Tính bí mật của thông tin (Confidentiality)
− Tính toàn vẹn của thông tin (Integrity)
− Tính khả dụng của thông tin (Availability).
Ba đặc trưng này được liên kết lại và được xem như là mô hình tiêu chuẩn của
các thông hệ thống thông tin bảo mật, hay nói cách khác đây là 3 thành phần cốt yếu
của hệ thống thông tin bảo mật. Mô hình này được sử dụng rộng rãi trong nhiều ngữ
cảnh và nhiều tài liệu khác nhau và được gọi tắt là mô hình CIA.
2.1.2.1. Tính bí mật.
Một số loại thông tin có giá trị đối với một đối tượng xác định khi chúng không
phổ biến cho đối tượng khác. Tính bí mật của thông tin là tính giới hạn về đối tượng
được quyền truy xuất thông tin. Đối tượng truy xuất có thể là con người, là máy tính
hoặc phần mềm, kể cả phần mềm phá hoại như virus, spyware, worm…
Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau. Để
đảm bảo tính bí mật của thông tin, ngoài các phương tiện vật lí như nhà xưởng, thiết bị
lưu trữ, dịch vụ bảo vệ thì công cụ bảo vệ trong phần mềm được xem là công cụ bảo
vệ thông tin hữu hiệu nhất trong môi trường máy tính.
Nguyễn Thị Thúy Vân Page 11
Khóa luận tốt nghiệp _ 2015
Sự bí mật của thông tin phải xem xét ở hai yếu tố là sự tồn tại của thông tin và
nội dung của thông tin đó.
Đôi khi, sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó. Ví
dụ: chiến lược kinh doanh bí mật mang tính sống còn của công ty đã bị tiết lộ cho một
công ty đối thủ khác. Việc nhận thức được rằng có điều đó tồn tại sẽ quan trọng hơn
nhiều so với việc biết cụ thể nội dung thông tin.
Cũng vì lí do này, trong một số hệ thống xác thực người dùng (Userauthentication)
ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào hộp thư điện tử
hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng
(user name) sai, thay vì thông báo rằng user name này không tồn tại thì một số hệ
thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác sẽ chỉ thông
báo chung là “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).
Dụng ý đằng sau thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại hay
không tồn tại một user name như thế trong hệ thống. Điều này làm khó khăn cho
những người muốn đăng nhập bất hợp pháp vào hệ thống một cách ngẫu nhiên.
2.1.2.2. Tính toàn vẹn.
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay
đổi của thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hay
phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh:
− Tính nguyên vẹn của nội dung thông tin.
− Tính xác thực của nguồn gốc thông tin.
Nói cách khác tính toàn vẹn thông tin phải được đánh giá trên 2 mặt: toàn vẹn
về nội dung và toàn vẹn về nguồn gốc thông tin.
Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ:
Thay đổi giao diện trang chủ của một trang website
Chặn đứng và thay đổi gói tin được gửi qua mạng
Chỉnh sửa trái phép các file được lưu trữ trên máy tính
Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông
tin bị sai lệch…
Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủ
tài khoản với đầy đủ những thông tin cần thiết. Nội dung thông tin được bảo toàn vì
Nguyễn Thị Thúy Vân Page 12
Khóa luận tốt nghiệp _ 2015
ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như người
xưng là chủ tài khoản gửi đi).
Tuy nhiên, nếu lệnh thanh toán này không phải cho chính chủ tài khoản đưa ra
mà do một người nào khác nhờ biết được thông tin bí mật về tài khoản đã mạo danh
chủ tài khoản để đưa ra, ta nói nguồn gốc của thông tin đã không được bảo toàn.
Một ví dụ khác, một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan
quan trọng của chính phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan
đó. Tuy nhiên, nếu tin đó thật sự không phải do người phát ngôn công bố mà được lấy
từ một kênh thông tin khác, không xét đến việc nội dung thông tin có đúng hay không,
ta nói rằng nguồn gốc thông tin đã không được bảo toàn.
Sự toàn vẹn về nguồn gốc thông tin trong một số ngữ cảnh có ý nghĩa tương
đương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ thống thông
tin.
Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các cơ chế
ngăn chặn (Prevention mechanisms) và các cơ chế phát hiện (Detection mechanisms).
Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nội
dung và nguồn gốc của thông tin. Các hành vi này bao gồm 2 nhóm: hành vi cố gắng
thay đổi thông tin khi không được phép truy xuất đến thông tin và hành vi thay đổi
thông tin theo cách khác với cách đã được cho phép.
Ví dụ: một người ngoài công ty cố gắng truy xuất đến cơ sở dữ liệu kế toán của
một công ty và thay đổi dữ liệu trong đó. Đây là hành vi thuộc nhóm thứ nhất. Trường
hợp một nhân viên kế toán được trao quyền quản lý cơ sở dữ liệu kế toán của công ty,
và đã dùng quyền truy xuất của mình để thay đổi thông tin nhằm biển thủ ngân quỹ,
đây là hành vi thuộc nhóm thứ hai. Nhóm các cơ chế phát hiện chỉ thực hiện chức
năng giám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân
tích các sự kiện diễn ra trên hệ thống mà không thực hiện chức năng ngăn chặn các
hành vi truy xuất trái phép đến thông tin.
Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộ
hay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác của thông
tin và cả mức độ tin cậy của thông tin. Các yếu tố như nguồn gốc thông tin, cách thức
bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định
Nguyễn Thị Thúy Vân Page 13
Khóa luận tốt nghiệp _ 2015
độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin. Nói
chung, việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức
tạp.
2.1.2.3. Tính khả dụng.
“Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu
truy xuất hợp lệ.” (Giáo trình mạng máy tính, 2008, NXB Thông tin và Truyền thông).
Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính,
được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ
hay thay đổi. Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy
xuất được vì lỗi hệ thống. Khi đó, thông tin hoàn toàn không sử dụng được và ta nói
tính khả dụng của thông tin không được đảm bảo.
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống
tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ
thống thông tin nào. Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu
quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra. Trong thực tế, tính khả
dụng được xem là nền tảng của một hệ thống bảo mật, bởi vì khi hệ thống không sẵn
sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toàn vẹn) sẽ trở nên vô nghĩa.
Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và
DDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với
sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có
giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều nhắm vào tính khả dụng
của hệ thống.
Một số hướng nghiên cứu đang đưa ra các mô hình mới cho việc mô tả các hệ
thống an toàn. Theo đó, mô hình CIA không mô tả được đầy đủ các yêu cầu an toàn
của hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thông
tin cần được đảm bảo như:
− Tính khả dụng (Availability)
− Tính tiện ích (Utility)
− Tính toàn vẹn (Integrity)
− Tính xác thực (Authenticity)
− Tính bảo mật (Confidentiality)
Nguyễn Thị Thúy Vân Page 14
Khóa luận tốt nghiệp _ 2015
− Tính sở hữu (Possession)
2.1.3 Một số khái niệm về
2.1.3. Nguyên tắc xây dựng hệ thống bảo mật.
2.1.3.1. Chính sách và cơ chế.
Hai khái niệm quan trọng thường được đề cập khi xây dựng một hệ thống bảo
mật:
− Chính sách bảo mật (Security policy)
− Cơ chế bảo mật (Security mechanism)
Chính sách bảo mật là hệ thống các quy định nhằm đảm bảo sự an toàn của hệ
thống.
Cơ chế bảo mật là hệ thống các phương pháp, công cụ, thủ tục, …dùng để thực
thi các quy định của chính sách bảo mật.
Chính sách bảo mật có thể được biểu diễn bằng ngôn ngữ tự nhiên hoặc ngôn
ngữ toán học.
Ví dụ: trong một hệ thống, để bảo đảm an toàn cho một tài nguyên (resource) cụ
thể, chính sách an toàn quy định rằng chỉ có người dùng nào thuộc nhóm quản trị hệ
thống (Administrators) mới có quyền truy xuất, còn những người dùng khác thì không.
Đây là cách biểu diễn bằng ngôn ngữ tự nhiên.
Cơ chế bảo mật thông thường là các biện pháp kỹ thuật.
Ví dụ: xây dựng bức tường lửa (firewall), xác thực người dùng, dùng cơ chế
bảo vệ tập tin của hệ thống quản lý tập tin NTFS để phân quyền truy xuất đối với từng
tập tin/thư mục trên đĩa cứng, dùng kỹ thuật mật mã hoá để che giấu thông tin, v.v…
Tuy nhiên, đôi khi cơ chế chỉ là những thủ tục (procedure) mà khi thực hiện nó
thì chính sách được bảo toàn.
Ví dụ: phòng thực hành máy tính của trường đại học quy định: sinh viên không
được sao chép bài tập của sinh viên khác đã được lưu trên máy chủ. Đây là một quy
định của chính sách bảo mật. Để thực hiện quy định này, các cơ chế được áp dụng bao
gồm: tạo thư mục riêng trên máy chủ cho từng sinh viên, phân quyền truy xuất cho
từng sinh viên đến các thư mục này và yêu cầu sinh viên phải lưu bài tập trong thư
mục riêng, mỗi khi rời khỏi máy tính phải thực hiện thao tác logout khỏi hệ thống.
Trong cơ chế này, các biện pháp như tạo thư mục riêng, gán quyền truy xuất, …
Nguyễn Thị Thúy Vân Page 15
Khóa luận tốt nghiệp _ 2015
là các biện pháp kỹ thuật. Biện pháp yêu cầu sinh viên thóat khỏi hệ thống (logout) khi
rời khỏi máy là một biện pháp thủ tục. Nếu sinh viên ra về mà không thóat ra khỏi hệ
thống, một sinh viên khác có thể sử dụng phiên làm việc đang mở của sinh viên này để
sao chép bài tập. Khi đó, rõ ràng chính sách bảo mật đã bị vi phạm.
Cho trước một chính sách bảo mật, cơ chế bảo mật phải đảm bảo thực hiện
được 3 yêu cầu sau đây:
− Ngăn chặn các nguy cơ gây ra vi phạm chính sách
− Phát hiện các hành vi vi phạm chính sách
− Khắc phục hậu quả của rủi ro khi có vi phạm xảy ra.
Thông thường, việc xây dựng một hệ thống bảo mật phải dựa trên 2 giả thiết
sau đây:
− Chính sách bảo mật phân chia một cách rõ ràng các trạng thái của hệ thống
thành 2 nhóm: an toàn và không an toàn.
− Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào các trạng thái không
an toàn.
Chỉ cần một trong hai giả thiết này không đảm bảo thì hệ thống sẽ không an
toàn. Từng cơ chế riêng lẻ được thiết kế để bảo vệ một hoặc một số các quy định trong
chính sách. Tập hợp tất cả các cơ chế triển khai trên hệ thống phải đảm bảo thực thi tất
cả các quy định trong chính sách.
Hai nguy cơ có thể xảy ra khi thiết kế hệ thống bảo mật do không đảm bảo 2 giả
thiết ở trên:
− Chính sách không liệt kê được tất cả các trạng thái không an toàn của hệ thống,
hay nói cách khác, chính sách không mô tả được một hệ thống bảo mật thật sự.
− Cơ chế không thực hiện được tất cả các quy định trong chính sách, có thể do
giới hạn về kỹ thuật, ràng buộc về chi phí, …
2.1.4. Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật Hệ thống thông tin
trong Doanh nghiệp
Một Hệ thống thông tin hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả
môi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi
mô. Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an
toàn và bảo mật Hệ thống thông tin trong doanh nghiệp là: yếu tố con người và yếu tố
Nguyễn Thị Thúy Vân Page 16
Khóa luận tốt nghiệp _ 2015
công nghệ.
Con người: Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất
cả các cơ chế, các kỹ thuật được áp dụng để bảo đảm an toàn hệ thống đều có thể dễ
dàng bị vô hiệu hoá bởi con người trong chính hệ thống đó.
Ví dụ: hệ thống xác thực người sử dụng yêu cầu mỗi người trong hệ thống khi
muốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu. Tuy
nhiên, nếu người được cấp mật khẩu không bảo quản kỹ thông tin này, hoặc thậm chí
đem tiết lộ cho người khác biết, thì khả năng xảy ra các vi phạm đối với chính sách an
toàn là rất cao vì hệ thống xác thực đã bị vô hiệu hoá.
Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọi
chung là những người xâm nhập (intruder hoặc attacker) và theo cách nghĩ thông
thường thì đây phải là những người bên ngoài hệ thống.
Tuy nhiên, thực tế đã chứng minh được rằng chính những người bên trong hệ
thống, những người có điều kiện tiếp cận với hệ thống lại là những người có khả năng
tấn công hệ thống cao nhất. Đó có thể là một nhân viên đang bất mãn và muốn phá
hoại, hoặc chỉ là một người thích khám phá và chứng tỏ mình. Các tấn công gây ra bởi
các đối tượng này thường khó phát hiện và gây thiệt hại nhiều hơn các tấn công từ bên
ngoài.
Những người không được huấn luyện về an toàn hệ thống cũng là nơi tiềm ẩn
các nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra
an toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư
mục an toàn, ghi mật khẩu lên bàn làm việc,…
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh
doanh của doanh nghiệp. Công nghệ thông tin đang có khuynh hướng xóa nhòa các
biên giới, mở ra không gian rộng rãi hơn cho các doanh nghiệp, vì thế ứng dụng công
nghệ thông tin đang tạo ra những cơ hội mới với những nguyên tắc mới. Công nghệ
thông tin như một thách thức đồng thời cũng là công nghệ quan trọng phổ biến nhất,
lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập
vào nền kinh tế toàn cầu.
Công nghệ thông tin có thể nói tới các bộ phận cấu thành như:
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu thập,
Nguyễn Thị Thúy Vân Page 17
Khóa luận tốt nghiệp _ 2015
xử lý và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trống virus,
những ứng dụng, hệ điều hành, giải pháp mã hóa….
2.2. Thực trạng vấn đề bảo mật HTTT tại Công ty Cổ phần Truyền thông Việt
2.2.1. Giới thiệu về Công ty Cổ phần Truyền thông Việt
Tên Công ty: CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT
Loại hình Công ty: Công ty Cổ phần
Tên giao dịch: VIET COMMUNICATIONS JOINSTOCK COMPANY
Tên viết tắt: VIETCOMS
Chủ tịch hội đồng quản trị kiêm giám đốc: Ông ĐỖ ĐỨC KHANG
Số cổ đông đóng góp cổ phần: 3 người
Địa chỉ trụ sở chính: 201 Đặng Tiến Đông, Phường Trung Liệt, Quận Đống Đa,
TP. Hà Nội.
Văn phòng giao dịch: Phòng 803, Tòa nhà Thăng Long, 98A Ngụy Như Kon
Tum, Thanh Xuân, Hà Nội
Điện thoại: + 84 (4) 62691874 – Fax: + 84 (4) 62691873
E-mail:
Website: www.vietcoms.com
Ngày thành lập: 28 tháng 07 năm 2005
Mã số doanh nghiệp: 0101739527
Đăng kí lần đầu: ngày 28 tháng 07 năm 2005
Đăng kí thay đổi lần 6 ngày 13 tháng 11 năm 2012
Kinh doanh: Kinh doanh vật tư thiết bị trong lĩnh vực bưu chính viễn thông, tin
học điện tử, phát thanh, truyền hình, điện lực, hàng không, xây dựng, giao thông, vận
tải, dầu khí.
Vốn điều lệ: 20.000.000.000 đồng
Mệnh giá cổ phần: 100.000 đồng
Tổng cổ phần: 200.000
Về chiến lược thì: Công ty luôn luôn hướng tới là một tập thể đoàn kết, mỗi thành viên
trong công ty luôn ý thức được vai trò nhiệm vụ của mình và luôn tạo điều kiện hỗ trợ
nhau trong mọi công việc cũng như trong cuộc sống. Đồng thời, với tiềm lực sẵn có thì
Nguyễn Thị Thúy Vân Page 18
Khóa luận tốt nghiệp _ 2015
Công ty Cổ phần Truyền thông Việt đã vạch ra chiến lược hướng tới sự hoàn thiện,
không ngừng nâng cao chất lượng sản phẩm dịch vụ, đa dạng hoá sản phẩm dịch vụ,
cải tiến công nghệ nhằm đáp ứng cho khách hàng những sản phẩm tốt nhất với dịch vụ
sau bán hàng tuyệt vời nhất và coi đó là nền tảng cơ bản giúp cho Công ty Cố phần
Truyền thông Việt phát triển vững chắc trong tương lai với phương châm:
“ Giá cả cạnh tranh – Công nghệ tiên tiến – Chất lượng hàng đầu”.
Tình hình hoạt động kinh doanh của công ty 3 năm gần nhất
Bảng 2.1: Báo cáo kinh doanh của Công ty Cổ phần Truyền thông Việt
từ năm 2011-2013
STT Tài sản 2011 2012 2013
1 Tổng tài sản 69.049.595.446 44.983.429.623 76.939.330.140
2 Tổng nợ phải trả 48.517.241.982 24.153.615.064 56.428.572.180
3 Tài sản ngắn hạn 68.265.099.711 44.384.003.225 76.593.938.481
4 Tổng nợ ngắn hạn 48.517.241.982 24.135.615.064 56.428.572.180
5 Doanh thu 87.221.585.979 65.217.474.318 38.119.287.162
6 Lợi nhuận trước thuế 483.140.985 315.461.095 114.247.596
7 Lợi nhuận sau thuế 328.605.739 315.461.095 114.247.596
( Nguồn: phòng tài chính kế toán của Công ty Cố phần Truyền thông Việt )
Nguyễn Thị Thúy Vân Page 19
Khóa luận tốt nghiệp _ 2015
Website của Công ty: www.vietcoms.com
Sử dụng công nghệ: ASP.Net.
Website được ra đời vào năm 2005 do Công ty tự xây dựng. Website có thể thực
hiện một số chức năng sau:
- Cung cấp thông tin về Công ty và là nơi để tiếp nhận các thông tin đối ngoại.
- Quảng bá thương hiệu, hình ảnh về dự án và các sản phẩm kinh doanh, dịch vụ của
Công ty.
- Giới thiệu các sản phẩm, dịch vụ của Công ty.
2.2.2. Phân tích, đánh giá thực trạng vấn đề bảo mật Hệ thống thông tin của Công
ty Cổ phần Truyền thông Việt
Tại công ty CP Truyền thông Việt thực trạng vấn đề bảo mật đang đặt ra nhiều
khó khăn khiến nhất là trong xu thế thương mại điện tử phát triển như hiện nay. Sau
đây là số liệu thống kê về tình trạng bảo mật của công ty trong 3 năm trở lại đây:
2.2.2.1. Thực trạng vấn đề bảo mật của công ty Cổ phần Truyền thông Việt
Hệ thống mạng của công ty gồm 15 máy tính để bàn được kết nối trực tiếp với
mạng Internet có dây. Ngoài ra thì hầu như mỗi thành viên của công ty đều có laptop
riêng và kết nối vào mạng chung của công ty qua mạng Wifi. Những năm trở lại đây,
tần suất máy tính của công ty bị nhiễm virus là khá cao và sau đây là biểu đồ thống kê
Nguyễn Thị Thúy Vân Page 20
Khóa luận tốt nghiệp _ 2015
tần suất máy tính bị nhiểm virus trong 3 năm trở lại đây:
Biểu đồ 2.1: Thống kê tần suất máy tính bị nhiễm virus
(Nguồn: phòng công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)
Không đơn thuần chỉ là hệ thống máy tính bị nhiễm virus với tần suất khá cao
như thống kê ở trên mà trong những năm gần đây, hệ thống mạng, website, server
(máy chủ) của công ty cũng bị hacker tấn công khá nhiều và lấy đi nhiều thông tin, dữ
liệu quan trọng trong các giao dịch với khách hàng. Dưới đây là những thống kê quan
trọng:
• Thống kê về số lần bị hacker tấn công vào mạng máy tính nội bộ công ty làm tê
liệt mọi hoạt động của công ty.
Bảng 2.2: Thống kê số lần bị hacker tấn công
Năm Số lần bị tấn công
Thời gian khắc
phục
Tổng thiệt hại
2011 6 3 ngày 20 000 000 VNĐ
2012 5 2 ngày 45 800 000 VNĐ
2013 3 2 ngày 36 600 000 VNĐ
(Nguồn: phòng công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)
Biểu đồ 2.2:Thống kê số lần hệ thống máy tính của công ty bị tấn công qua các đường
mạng dây và mạng wifi
(Nguồn: Theo phòng Công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)
Qua bảng và biểu đồ trên ta thấy thiệt hại rất lớn khi phải hứng chịu các cuộc
tấn công từ hacker gây ra. Không chỉ mất thời gian và tiền bạc mà còn làm suy giảm
uy tín của công ty. Thống kê chỉ ra rằng, hacker có xu hướng chuyển từ tấn công qua
đường mạng có dây sang tấn công từ đường mạng không dây. Điều đó đặt ra nhiều vấn
đề mới trong công tác bảo mật thông tin của công ty.
Nguyễn Thị Thúy Vân Page 21
Khóa luận tốt nghiệp _ 2015
Website là một trong những địa chỉ mà hacker ưa thích. Cũng giống như các
công ty hay doanh nghiệp khác trên thế giới, website chính thức của Công ty CP
Truyền thông Việt đã từng bị tấn công không chỉ một lần mà là rất nhiều lần. Dựa vào
các lỗ hổng trong bảo mật website như XSS, SQL injection, DoS ( Dinal of Services_
Từ chối dịch vụ)… Các lỗ hổng này có mức độ nguy hiểm không giống nhau tuy
nhiên đều gây ra những thiệt hại to lớn cho công ty, làm ảnh hưởng đến mọi hoạt động
trong công ty.
• Biểu đồ thống kê tần suất website của công ty bị khai thác lỗ hổng bảo mật
XSS, SQL injection…
Biểu đồ 2.3:Thống kê số lần website bị khai thác lỗ hổng bảo mật
(Nguồn: Theo phòng Công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)
Từ biểu đồ trên chúng ta xác định được hacker đã tập trung đánh vào 2 lỗ hổng
bảo mật XSS và SQL injection. Đây là điều quan trọng mà phòng nghiên cứu an ninh
mạng của công ty đã chỉ ra để có những giải pháp quan trọng khắc phục triệt để vấn
nạn hacker.
• Khảo sát kiến thức nhân viên công ty về lĩnh vực bảo mật thông tin
Trong quá trình thực tập tại Công ty CP Truyền thông Việt thì em đã làm một
cuộc điều tra khảo sát và thống kê về vấn đề trình độ hiểu biết của nhân viên công ty
trong lĩnh vực bảo mật thông tin như sau:
Biểu đồ 2.4: Khảo sát kiến thức nhân viên công ty về lĩnh vực bảo mật thông tin
Qua biểu đồ thống kê trên cho thấy tỉ lệ nhân viên có kiến thức trong vấn đề bảo
mật thông tin của Công ty CP Truyền thông Việt là còn khá thấp. Trong khi đó bảo mật
thông tin đang là vấn đề quan trọng của nghành công nghệ thông tin trên khắp các
quốc gia trên thế giới và Việt Nam không nằm ngoài số này. Cùng với mục tiêu đưa
lĩnh vực an toàn bảo mật thông tin đến năm 2016 là thế mạnh của công ty như ban
giám đốc đã đề ra thì với tỉ lệ như vậy là quá thấp.
2.2.2.2. Phân tích, đánh giá thực trạng vấn đề bảo mật của Công ty CP Truyền
thông
Qua thống kê thực trạng vấn đề bảo mật như trên ta thấy có rất nhiều việc phhải
Nguyễn Thị Thúy Vân Page 22
Khóa luận tốt nghiệp _ 2015
làm để khắc phục tình trạng mất an toàn thông tin của hệ thống mạng trong công ty CP
Truyền thông Việt. Nhìn một cách tổng quát thì công ty đang tồn tại những vấn đề như
sau cần phải giải quyết:
• Hệ thống mạng
Hiện tại công ty CP Truyền thông Việt đang sử dụng cả mạng dây và mạng
không dây (Wireless). Với mạng dây thì cơ chế bảo mật của công ty hiện tại được
đánh giá là khá tốt khi được trang bị các phương pháp chống lại sự xâm nhập trái phép
từ môi trường Internet. Trái ngược với mạng dây là mạng không dây (Wireless) hiện
đang tồn tại khá nhiều vấn đề về bảo mật. Theo thống kê như trên ta thấy được xu
hướng hacker tấn công vào hệ thống máy tính nội bộ của công ty thông qua mạng
không dây có xu hương tăng mạnh kể từ năm 2011 đến nay. Điều này chứng tỏ vấn đề
bảo mật mạng không dây đã không được chú trọng trong vài năm trở lại đây. Theo
nghiên cứu thì hacker đã thông qua hệ thống mạng wifi của công ty để xâm nhập vào
các thiết bị ngoại vi như smartphone, tablet, để từ đó xâm nhập một cách dễ dàng vào
hệ thống máy tính và chiếm đoạt dữ liệu, thông tin người dùng và nhiều tài nguyên nội
bộ khác. Đây là điểm yếu về bảo mật mà công ty phải có giải pháp nhanh chóng để
khắc phục.
• Hệ thống máy tính nội bộ công ty.
Với hệ thống 15 máy tính để bàn và nhiều máy tính xách tay thì số lượng máy
của công ty là khá lớn và rủi ro đi kèm cũng tăng lên do việc quản lí chưa được tốt của
quản trị mạng. Theo thống kê đã khảo sát như phần trên ta thấy được số lượng máy
tính bị nhiễm virus hàng năm của công ty là khá lớn. Nguyên nhân được tìm hiểu ở
đây là do việc phân quyền sử dụng máy tính chưa thật sự tốt. Các thiết bị ngoại vi như
usb, ổ cứng ngoài được sử dụng mà không phải qua một tầng lớp kiểm tra an ninh nào.
Chính vì thế việc máy tính nhiễm virus từ bên ngoài rất dễ xảy ra. Mặt khác hệ thống
máy tính chưa được trang bị các phần mềm quét virus thật sự mạnh nên có những loại
virus mà máy không có khả năng dò tìm và tiêu diệt. Ngoài ra việc nhiễm virus từ các
phần mềm độc hại trên mạng cũng xảy ra khá nhiều. Vậy vấn đề đặt ra ở đây là phải
nâng cao tính chiên đấu cho các máy tính để có thể chống lại được virus, song song
với việc đó là cần xem xét lại việc phân quyền người dùng và quản lí chặt hơn các hoạt
động của nhân viên sử dụng máy tính trong công ty.
Nguyễn Thị Thúy Vân Page 23
Khóa luận tốt nghiệp _ 2015
• Bảo mật website của công ty.
Website của công ty là mục tiêu ưu tiên và các hacker muốn tấn công. Việc xuất
hiện lỗ hổng bảo mật trên website đã làm gia tăng việc mất an toàn thông tin. Theo thống
kê thì hacker tập trung tấn công vào hai lỗ hổng bảo mật chính là XSS và SQL injection.
− Lỗ hổng bảo mật XSS (Cross – Site – Scripting)
XSS là một trong các kĩ thuật hack website phổ biến nhất hiện nay để chiếm
quyền điều khiển của nạn nhân hoặc thực hiện những mệnh lệnh mà hacker đưa ra.
Khi website bị chèn các đoạn mã HTML hay là những đoạn mã scipt nghĩa là đã gửi
các yêu cầu từ máy client đến server. Khi người dùng click vào link đó thì toàn bộ
cookes, mật khẩu lưu trên trình duyệt được gửi về cho hacker qua email hoặc một file
nào đó trên host đã được thiết lập từ trước hoặc bị dẫn tới một trang mới mà hacker đã
thiết lập từ trước hay bị cài đặt chương trình virus, Trojan, backdoor trên máy nạn
nhân tùy vào mệnh lệnh của hacker. Mức độ nguy hiểm của XSS gây ra là bị đánh cắp
cookes, mật khẩu, có thể bị dính các loại virus… (vi.wikipedia.org).
Với sự nguy hiểm như vậy thì việc để tồn tại lỗ hổng bảo mật này là mối nguy
cơ tiềm ẩn đối với sự an toàn của thông tin trong công ty.
− Lỗ hổng bảo mật SQL injection.
SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của
việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản
trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp,
Sql injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert,
update,… trên cơ sỡ dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang
chạy, lỗi này thường xãy ra trên các ứng dụng web có dữ liệu được quản lý bằng các
hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase
(vi.wikipedia.org).
Lỗi SQL injection dạng này thường xảy ra do lập trình viên hay người dùng
định nghĩa đầu vào dữ liệu không rõ ràng hoặc thiếu bước kiểm tra và lọc kiểu dữ liệu
đầu vào. Điều này có thể xảy ra khi một trường số được sử dụng trong truy vấn SQL
nhưng lập trình viên lại thiếu bước kiểm tra dữ liệu đầu vào để xác minh kiểu của dữ
liệu mà người dùng nhập vào có phải là số hay không. Đây là lỗi đáng lo ngại đang tồn
tại trên nền website của công ty và cần được khắc phục trong thời gian nhanh nhất.
Nguyễn Thị Thúy Vân Page 24
Khóa luận tốt nghiệp _ 2015
− Ngoài ra website của công ty cần kiểm tra lại các lỗ hổng bảo mật như CSRF, XSRF
(Cross – Site Request Foregy), cookie stealing, over posting, open redirection… để
hoàn thiện khả năng bảo mật của website và phòng tránh hacker có thể tấn công gây
thiệt hại về cả tài chính lẫn thương hiệu của công ty.
• Vấn đề trình độ nguồn nhân lực.
Hiện công ty đang sử dụng nguồn nhân lực khá chất lượng nhưng vẫn còn
những vấn đề cần giải quyết đó là tính chủ quan của nhân viên, kiến thức về mạng và
bảo mật thông tin của nhân viên chưa tốt…là điều đáng quan ngại. Con người là tác
nhân quan trọng nhân trong mọi hoạt động chính vì vậy công ty cần có chính sách đào
tạo và nâng cao trình độ nguồn nhân lực của công ty nhất là trong lĩnh vực bảo mật
thông tin, dữ liệu… và cần nâng cao ý thức bảo vệ tài nguyên của công ty.
PHẦN 3: GIẢI PHÁP BẢO MẬT THÔNG TIN CHO CÔNG TY CỔ PHẦN
TRUYỀN THÔNG VIỆT
3.1 Mục tiêu của Ban Giám Đốc công ty về vấn đề bảo mật.
3.1.1. Mục tiêu.
Với thực trạng đáng lo ngại hiện nay trong vấn đề bảo mật thông tin của công ty
thì Ban giám đốc đã đưa ra các mục tiêu cần đạt được trong thời gian tới như sau:
− Giải quyết triệt để những tồn tại trong vấn đề bảo mật an ninh mạng của công
ty.
− Nâng cấp hệ thống máy tính để đảm bảo đáp ứng được khối lượng công việc
Nguyễn Thị Thúy Vân Page 25