Tải bản đầy đủ (.doc) (73 trang)

Một số giải pháp đảm bảo an toàn , bảo mật cho HTTT của công ty TNHH MTV TÙNG bắc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.04 MB, 73 trang )

Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế
LỜI CẢM ƠN

Hiện nay, an toàn bảo mật thông tin đang là một trong những vấn đề được quan
tâm nhiều nhất từ những doanh nghiệp lớn tới doanh nghiệp nhỏ, các tổ chức hay
người sử dụng cá nhân. Tầm quan trọng của an toàn bảo mật thông tin là không thể
phủ nhận tuy nhiên không phải bất kì doanh nghiệp nào cũng có thể đạt được những
tiêu chí về một HTTT an toàn bảo mật. Trong khóa luận tốt nghiệp này, em xin trình
bày về lý luận chung của một HTTT được coi là an toàn và bảo mật, từ đó đi sâu và
một doanh nghiệp cụ thể, chỉ ra những lỗ hổng hiện có của HTTT trong doanh nghiệp,
đưa ra những giải pháp khắc phục cụ thể và những hình thức tấn công mới gần đây
giúp doanh nghiệp có hướng nhìn khái quát về vấn đề an toàn bảo mật.
Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm ơn
sâu sắc đến cô hướng dấn làm khóa luận là cô Th.s NGUYỄN THỊ HỘI cũng như các
thầy cô trong bộ môn đã tận tình chỉ bảo và giúp em bổ sung kiến thức trong lí thuyết
cũng như thực tiễn. Ngoài ra em xin gửi lời cảm ơn chân thành tới ban lãnh đạo Công
ty TNHH MTV TÙNG BẮC đã tạo điều kiện giúp đỡ em trong suốt quá trình thực tập
cũng như làm khóa luận tốt nghiệp.
Trong suốt thời gian thực tập và thời gian làm bài khóa luận ,em đã cố gắng
tìm hiểu rõ ràng, đi sâu vào thực trạng HTTT quản lý của Công ty. Tuy nhiên, thời
gian còn hạn chế nên chưa thể nói rõ ràng hết được toàn bộ những lỗ hổng nhỏ, cũng
như những biện pháp khác. Vì vậy, mong thầy cô đóng góp thêm ý kiến giúp em khắc
phục.
Em xin chân thành cảm ơn !
Sinh viên thực hiện
Nguyễn Thị Tường Vi

GVHD: ThS. Nguyễn Thị Hội


i

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế
MỤC LỤC

Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ trợ NAT(PAT).......................................iii
Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN................................................................iii
Bảng so sánh kỹ thuật giữa server cũ và server đề xuất.........................................................iv
a.Trang thiết bị phần cứng............................................................................................................18
c.Về con người..............................................................................................................................21
d.Sơ đồ hệ thống mạng................................................................................................................22
HP ProLiant DL320e G8 E3-1230v2...........................................................................................38
Bảng 3.1 Bảng so sánh kỹ thuật giữa server cũ và server đề xuất........................................38
( Nguồn : )................................................................................38
Nâng cấp một máy chủ có cấu hình ổn định tốc độ xử lý dữ liệu nhanh, cho phép sao lưu,
lưu trữ dữ liệu ở mức độ lớn, phù hợp cho doanh nghiệp vừa và nhỏ và đáp ứng được
nhucầu mở rộng trong tương lai. Để nâng cấp máy chủ cần chú ý một số vấ đề như sau : . 38

chặn truy cập theo khu vực địa lý, quản lý chất lượng QoS, Proxy, quản trị mạng không dây,
hỗ trợ VLAN, cân bẳng tải, VPN theo 4 giao thức, giám sát/phân tích mạng, quản lý tên miền
(DC), hỗ trợ tên miền động (DynDNS), cho phép chạy song hành, failover, hỗ trợ ngôn ngữ
tiếng Việt , tự động cập nhật black list., tự động nâng cấp phiên bản… ................................41
Lợi ích mà pfSense đem tới là :................................................................................................41
Cấm truy cập theo thời gian biểu.....................................................................................................43
Cho phép truy cập máy chủ nội bộ từ internet.................................................................................43

Hình 3.3 Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ trợ NAT(PAT)........................44
Hình 3.4 Cho phép truy cập máy chủ nội bộ từ internet hỗ trợ reverve proxy.................................44
Kết nối mạng nội bộ của các chi nhánh với nhau..............................................................................44
.........................................................................................................................................................45
Hình 3.5 Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN.................................................45

GVHD: ThS. Nguyễn Thị Hội

ii

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
DANH MỤC HÌNH VẼ
Hình
Hình 2.1

Tên hình
Mối quan hệ giữa các yếu tố của một HTTT an toàn, bảo mật

Hình 2.2
Hình 2.3
Hình 3.1
Hình 3.2
Hình 3.3


Các phòng ban của Công ty
Hệ thống mạng của công ty TNHH MTV Tùng Bắc
Lợi ích của tường lửa pfSense
Mô tả tính năng cập nhập theo thời gian biểu của pfSense
Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ

16
23
43
44
45

Hình 3.4

trợ NAT(PAT)
Cho phép truy cập máy chủ nội bộ từ internet hỗ trợ reverve

45

Hình 3.5
Hình 3.6
Hình 3.7
Hình 3.8
Hình 3.9
Hình 3.10
Hình 3.11
Hình 3.12
Hình 3.13
Hình 3.14


proxy
Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN
Minh họa mạng riêng ảo cho công ty trong tương lai
Hướng dẫn sử dụng phần mềm AMIS.VN
Hướng dẫn sử dụng phần mềm AMIS.VN
Hướng dẫn sử dụng phần mềm AMIS.VN
Mô phỏng giao thức đường truyền SSL
Quy trình sao lưu dữ liệu theo chu kỳ
Sao lưu dữ liệu trực tuyến
Sao lưu dữ lieu bằng đường truyền cao tốc
Quy trình an toàn và bảo mật

46
49
50
50
51
53
54
55
55
60

GVHD: ThS. Nguyễn Thị Hội

iii

Trang
10


SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế
DANH MỤC BẢNG BIỂU

Bảng
Bảng 2.1
Bảng 2.2

Tên bảng
Doanh thu công ty 2009-2013
Kết quả tổng hợp trang thiết bị phần cứng tại công

Trang
16
18

Bảng 2.3

ty(2009- nay)
Tổng hợp về các phần mềm ứng dụng tại công ty

20

Bảng 2.4


(2009- nay)
Bảng tổng hợp tình hình nhân sự tại công ty (từ năm

21

Bảng 2.5
Bảng 2.6
Bảng 2.7
Bảng 2.8
Bảng 2.9
Bảng 3.1

2009- nay)
Thống kê số phần mềm hiện tại của Công ty
Tốc độ truy cập và xử lý dữ liệu của máy chủ
Đánh giá chung về chất lượng phần cứng
Mức độ an toàn toàn phần mềm
Mức độ an toàn của mạng nội bộ
Bảng so sánh kỹ thuật giữa server cũ và server đề

25
27
28
29
31
39

xuất

Bảng 3.2


Mô tả phần mềm Kế toán Doanh nghiệp vừa và nhỏ

48

MISA SME.NET 2015

GVHD: ThS. Nguyễn Thị Hội

iv

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế
DANH MỤC BIỂU ĐỒ

Biểu đồ
Biểu đồ 2.1
Biểu đồ 2.2
Biểu đồ 2.3

Tên biểu đồ
Doanh thu công ty 2009-2013
Mức độ sử dụng mạng máy tính trong công ty
Đánh gía mức độ quan trọng của việc ứng dụng công

Biểu đồ 2.4

Biểu đồ 2.5
Biểu đồ 2.6
Biểu đồ 2.7
Biểu đồ 2.8
Biểu đồ 2.9
Biểu đồ 2.10
Biểu đồ 2.11

nghệ thông tin, hệ thống thông tin của cán bộ nhân viên
Đánh giá tốc độ truy cập và xử lý dữ liệu của máy chủ
Đánh giá chung chất lượng phần cứng
Mức độ an toàn bảo mật của phần mềm hiện tại
Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT
Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT
Mức độ an toàn của hệ thống mạng nội bộ
Các nguy cơ tấn công mà tổ chức gặp phải là gì?
Mục tiêu của HTTT trong thời gian tới

GVHD: ThS. Nguyễn Thị Hội

v

Trang
17
20
22
28
29
30
30

31
32
32
33

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế
DANH MỤC TỪ VIẾT TẮT

HTTT
TNHH
MTV
WLAN
XSS
SQLI

Hệ thống thông tin
Trách nhiệm hữu hạn
Một thành viên
Wireless local area network
Cross-Site Scripting
Structured Query Language

Mạng cục bộ không dây
Tấn công vào kịch bản site
Tiêm vào cấu trúc ngôn ngữ truy


HTML

injection
HyperText Markup Language

XSRF

Cross-site Request Forgery

WPA

Wi-Fi protected access

WPA2

Wi-Fi protected access

WEP
WPS
SSID
IP
TCP
VPN
DoS

Wired Equivalent Privacy
Wifi protected setup
Service Set Identifier
Internet Protocol

Transmission Control Protocol
Virtual Private Network
Denial of Service

GVHD: ThS. Nguyễn Thị Hội

vấn
Ngôn ngữ đánh dấu siêu văn bản
Tấn công bằng cách sử dụng quyền
chứng thực của người dùng
Truy cập được bảo vệ không dây
Truy cập được bảo vệ không dây

vi

phiên bản 2
Bảo mật tương đương có dây
Thiết lập bảo vệ mạng không dây
Đặt dịch vụ định danh
Giao thức mạng
Giao thức kiểm soát truyền vận
Mạng riêng ảo
Tấn công từ chối dịch vụ

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế


PHẦN 1 : TỔNG QUAN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI
CÔNG TY TNHH MTV TÙNG BẮC
1.1 Tầm quan trọng, ý nghĩa của vấn đề an toàn bảo mật cho HTTT
doanh nghiệp
1.1.1 Tầm quan trọng của vấn đề an toàn bảo mật HTTT trong doanh nghiệp
Vấn đề đảm bảo an toàn cho các HTTT là một trong những vấn đề quan trọng
được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng HTTT.
Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ và xử
lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu sản xuất, thì
nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Bảo vệ thông tin là bảo vệ tính bí
mật và tính toàn vẹn của thông tin. Một số loại thông tin chỉ có ý nghĩa khi chúng
được giữ kín hoặc giới hạn trong một số đối tượng nào đó ví dụ như thông tin về chiến
lược quân sự. Đây là tính bí mật của thông tin. Hơn nữa thông tin không phải luôn
được con người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông
tin. Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó bị mất đi, bị sai
lệch toàn bộ hay một phần. Khi đó tính toàn vẹn thông tin không còn được đảm bảo.
Khi máy tính được sử dụng để xử lí thông tin, hiệu quả xử lí thông tin được nâng cao
lên, khối lượng thông tin được xử lí ngày càng lớn, kéo theo nó, tầm quan trọng của
thông tin trong đời sống xã hội ngày càng tăng. Nếu như trước đây, việc bảo vệ thông
tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lí để bảo vệ thông tin
theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đã trở nên đa
dạng và phức tạp hơn. Có thể nhận ra hai điều thay đổi sau đây về bảo vệ thông tin. Sự
ứng dụng của máy tính trong việc xử lí thông tin làm thay đổi dạng lưu trữ thông tin và
phương thức xử lí thông tin. Cần thiết phải xây dựng cơ chế bảo vệ thông tin theo đặc
thù hoạt động của máy tính. Từ đây xuất hiện yêu cầu bảo vệ sự an toàn hoạt động của
máy tính tồn tại song song với yêu cầu bảo vệ sự an toàn của thông tin. Sự phát triển
của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi xử lí thông tin.
Thông tin được trao đổi giữa các thiết bị xử lí thông qua một khoảng cách vật lí rất
lớn, gần như không giới hạn, làm xuất hiện nhiều nguy cơ làm mất sự an toàn của

thông tin. Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng, gồm các cơ
chế và kỹ thuật phù hợp với việc bảo vệ sự an toàn của thông tin khi chúng được trao
đổi giữa các thiết bị mạng.
GVHD: ThS. Nguyễn Thị Hội

1

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

1.1.2 Ý nghĩa của vấn đề an toàn bảo mật HTTT doanh nghiệp
Ý nghĩa nghiên cứu của đề tài là đưa ra những lý luận cơ bản được đúc kết lại từ
nhiều tài liệu khác nhau, đưa ra một cách nhìn tổng quan về thực trạng an toàn bảo mật
của cách doanh nghiệp hiện nay. Đồng thời định hướng một số giải pháp nhằm khắc
phục những lỗ hổng an toàn bảo mật cho doanh nghiệp, đưa ra xu hướng an toàn bảo
mật cho năm tiếp theo và những giải pháp mới nhất đang được các doanh nghiệp lớn
thực hiện.
Ý nghĩa thưc tế đối với Công ty là mong muốn giúp doanh nghiệp đạt được hiệu
quả cao hơn trong vấn đề đảm bảo an toàn và bảo mật thông tin. Đề tài sẽ tập trung
nghiên cứu cơ sở lý luận về lý thuyết an toàn, bảo mật thông tin nói chung và an toàn,
bảo mật thông tin HTTT quản lý nói riêng, đặc biệt là các yếu tố ảnh hưởng và các tiêu
chí đo lường hiệu quả các giải pháp đảm bảo an toàn, bảo mật thông tin HTTT quản lý
để có thể đánh giá được chính xác nhất về thực trạng cũng như hiệu quả của các giải
pháp đảm bảo an toàn, bảo mật thông tin của công ty. Từ đó khóa luận đưa ra những
biện pháp phù hợp nhằm khắc phục thực trạng của vấn đề tại công ty TNHH MTV
Tùng Bắc.

Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến
thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài
“ Một số giải pháp đảm bảo an toàn , bảo mật cho HTTT của công ty TNHH
MTV TÙNG BẮC “
1.2 Tổng quan vấn đề nghiên cứu.
An toàn và bảo mật hệ thống thông tin không còn là vấn đề xa lạ đối với thời đại
công nghệ số hiện nay. Ở Việt Nam những năm gần đây không ngừng gia tang số
lượng người sử dụng Internet, và chính vì đó nguy cơ mất an toàn bảo mật càng lớn.
Vì vậy các doanh nghiệp trong nước đang cố gắng đầu tư hoàn thiện lại hệ thống TT
quản lý an toàn bảo mật hơn. Đã có rất nhiều sách báo, công trình nghiên cứu về vấn
đề này được thực hiện, tuy nhiên mỗi công trình nghiên cứu đề cập đến một khía cạnh
của vấn đề an toàn bảo mật mà chưa thực rõ ràng cho một doanh nghiệp cụ thể. Ví dụ
một số tài liệu tham khảo sau :
Tài liệu nước ngoài
WILLIAM STALLING, 2011, Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.

GVHD: ThS. Nguyễn Thị Hội

2

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

Nội dung chính của cuốn sách nói về vấn đề mật mã và an ninh mạng , đưa ra
những nguyên tắc và thực hành về hệ thống mật mã và an ninh mạng , đồng thời khám

phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Nêu tóm lược về
các thuật toán mã hóa cơ bản như mã hóa khóa đối xứng, mã hóa cổ điển, mã hóa
khối, mã hóa tiên tiến và các tiêu chuẩn của mã hóa tiên tiến. Nội dung tiếp theo là đề
cập tới hàm băm và thuật toán mã hóa khóa công khai, về chữ ký số và an ninh mạng:
ứng dụng xác thực an ninh thư điện tử, IP an ninh, bảo mật web và hệ thống an ninh
cho hệ thống thông tin bao gồm phương pháp phòng tránh, mở rộng cập nhật những
phần mềm độc hại và những kẻ xâm hại.
Đây là cuốn sách đưa ra được nhiều vấn đề cơ bản của một hệ thống mạng, vấn
đề an toàn bảo mật được nói rõ ràng. Trình bày những phương pháp, cách thức chung
của một hệ thống từ cơ bản tới mở rộng, nâng cao. Cuốn sách được ứng dụng hầu hết
trong các giáo trình, bài giảng của các trường đại học đến những công trình nghiên cứu
tầm cỡ, và ngày càng phổ biến.
Tuy nhiên, nội dung cuốn sách chỉ đề cập tới 2 vấn đề chính là tường lửa liên
quan tới phần cứng máy tính, tiếp theo là các phần mềm độc hại. Đây là 2 vấn đề cơ
bản, nhưng ngoài ra đối với một hệ thống thông tin không chỉ xảy ra sự cố do 2 yếu tố
đó, mà còn bị ảnh hưởng bởi các nguy cơ xâm hại khác. Vì vậy, chưa thể áp dụng đối
với một doanh nghiệp cụ thể.
Tài liệu trong nước
ĐÀM GIA MẠNH, 2009, Giáo trình an toàn dữ liệu trong thương mại điện
tử, Đại học Thương Mại.
Giáo trình này đưa ra các vấn đề cơ bản về an toàn dữ liệu trong thương mại điện
tử bao gồm đại cương về an toàn dữ liệu trong thương mại điện tử, mô hình đảm bảo
an toàn dữ liệu. Đưa ra các hình thức tấn công, cùng với các biện pháp phòng tránh khi
sự cố chưa xảy ra và cách khắc phục khi đã xảy ra sự cố. Tài liệu cũng trình bày về
vấn đề mã hóa dữ liệu và ứng dụng của an toàn dữ liệu trong thương mại điện tử , các
giải pháp đảm bảo an toàn dữ liệu trong thương mại điện tử.
Điểm nổi bật của tài liệu là trình bày từ lý thuyết chung cơ bản tới những nhận
xét đánh giá khách quan có tính chuyên sâu về vấn đề. Đầu tiên đưa ra các khái niệm
căn bản như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như
những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Từ đó giúp

những người kinh doanh trong thương mại điện tử có cái nhìn tổng thể về hoạt động
kinh doanh của mình. Giáo trình cũng đào sâu nghiên cứu về các kiểu tấn công phổ
GVHD: ThS. Nguyễn Thị Hội

3

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

biến và cách khắc phục sự cố, phương pháp mã hóa dữ liệu, ứng dụng chữ ký điện tử
và các biện pháp đảm bảo an toàn dữ liệu, giúp các nhà kinh doanh có cái nhìn toàn
diện và vận dụng thuận lợi hơn vào doanh nghiệp của mình.
Tuy nhiên đây là giáo trình nghiên cứu một vấn đề cụ thể của an toàn bảo mật
trong lĩnh vực thương mại điện tử, không đi sâu nghiên cứu khía cạnh an toàn bảo mật
riêng cho một hệ thống thông tin doanh nghiệp.
TS. NGUYỄN VĂN KHANH , 2014, Giáo trình cơ sở an toàn thông tin, NXB
Bách Khoa - Hà Nội
Giáo trình cung cấp một cách tiếp cận tổng thể các khái niệm cơ bản về các vấn
đề xung quanh bảo vệ hệ thống tin học, đồng thời giới thiệu các kiến thức về lĩnh vực
an toàn và bảo mật máy tính ở mức độ tiệm cận và chuyên sâu bao gồm giới thiệu tổng
quan về an toàn thông tin, đưa ra cơ sở lý thuyết mật mã và ứng dụng, hệ thống mật
mã khóa công khai, chữ ký điện tử, hàm băm, quản lý khóa, xác thực, điều khiển truy
cập. Giáo trình cũng đi sâu phân tích về an toàn trên internet, mã độc, an toàn phần
mềm, các giao thức mật mã và ứng dụng của nó. Qua đó, người đọc có thể hình dung
cụ thể về các chủ đề nghiên cứu chính của vấn đề này
Thành công của tài liệu là tác giả đã tập trung diễn giải cặn kẽ các kiến thức căn

bản và then chốt với mức ưu tiên cao hơn với các kỹ thuật chuyên sâu hơn. Giáo trình
trình bày kỹ lưỡng các kiến thức cơ bản của lý thuyết mật mã, một lĩnh vực tương đối
khó với sinh viên ngành CNTT.
Tồn tại: Giáo trình tuy trình bày rất cụ thể về các vấn đề của an toàn và bảo mật
hệ thống thông tin nhưng không tập trung vào đảm bảo an toàn bảo mật cho bất kỳ một
doanh nghiệp hay trường hợp cụ thể nào. Vì vậy sẽ rất khó cho người dùng để xây
dựng được 1 cách toàn diện các giải pháp đảm bảo an toàn bảo mật chặt chẽ cho doanh
nghiệp của mình
NGUYỄN MINH HIỂN, 2011 , Luận văn thạc sĩ với đề tài: “Nghiên cứu một
số phương pháp đảm bảo an toàn hệ thống thông tin bằng kiểm soát truy nhập”
Học viện Công nghệ bưu chính viễn thông.
Luận văn đưa ra được cơ sở lý thuyết của an toàn thông tin, những lý thuyết toán
học cơ bản mà bất kỳ bài toán nào cũng cần đề cập tới như khái niệm vê hàm băm, mã
hóa, chữ ký số…Ngoài ra luận văn còn đề cập tới một số phương pháp kiểm soát truy
nhập hệ thống thông tin, và thử nghiệm chữ ký số RSA để kiểm soát truy nhập hệ
thống thông tin.
Tuy nhiên, muốn một hệ thống được an toàn không chỉ có một vấn đề là kiểm
GVHD: ThS. Nguyễn Thị Hội

4

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

soát truy nhập mà còn liên quan tới hệ thống mạng…phần mềm, phần cứng, cũng như
yếu tố tác động là con người. Vì vậy tài liệu chỉ đóng góp một khía cạnh nhỏ về an

toàn bảo mật hệ thống thông tin. Trên đây là một số tài liệu nghiên cứu về an ninh
thông tin trên thế giới và trong nước. Các tài liệu trên xuất phát từ các cá nhân, tổ chức
từ các nước khác nhau nhưng đều hướng tới mục tiêu chung là xây dựng một HTTT an
toàn.
1.3. Mục tiêu đề tài.
Việc nghiên cứu khóa luận nhằm mục tiêu sau
Hệ thống hóa một số cơ sở lý luận về an toàn, bảo mật HTTT quản lý trong
doanh nghiệp. Trên cơ sở lý luận, các công cụ phân tích đánh giá thực trạng hoạt động
hoạt động đảm bảo an toàn và bảo mật HTTT quản lý tại công ty TNHH MTV Tùng
Bắc. Và đưa ra những giải pháp khả thi nhằm đảm bảo tính an toàn, bảo mật cho công
ty TNHH MTV Tùng Bắc.
1.4. Đối tượng và phạm vi của đề tài.
a. Đối tượng nghiên cứu : Các giải pháp công nghệ và giải pháp con người để
đảm bảo an toàn, cũng như nâng cao được hoạt động an toàn bảo mật HTTT quản lý là
đối tượng nghiên cứu chính của đề tài.
b. Phạm vi nghiên cứu
Phạm vi thời gian : Đề tài sẽ phân tích các hoạt động an toàn và bảo mật HTTT
của doanh nghiệp qua các báo cáo kinh doanh, tài liệu lien quan tới trong vòng 3 năm
gần đây nhất (2011, 2012, 2013) và định hướng đến 5 năm tiếp theo.
Phạm vi không gian : Nghiên cứu thực trạng hoạt động an toàn bảo mật HTTT
quản lý của công ty TNHH MTV Tùng Bắc.
Phạm vi nội dung : Nội dung xoay quanh hoạt động an toàn, bảo mật HTTT quản
lý trong công ty để xác định ưu nhược điểm của các hoạt động đó. Đồng thời phân tích
thực trạng triển khai, thuận lợi, khó khan, đánh giá hiệu quả và có những đề xuất cụ
thể nhằm nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty.

GVHD: ThS. Nguyễn Thị Hội

5


SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

1.5. Phương pháp nghiên cứu, thực hiện đề tài.
1.5.1 Các phương pháp thu thập thông tin
Dữ liệu được thu thập từ nhiều nguồn khác nhau và xử lý :
Nguồn tài liệu bên trong : các báo cáo kết quả hoạt động kinh doanh của công ty
gần nhất. Nguồn tài liệu bên ngoài : từ các công trình nghiên cứu khoa học, tạp chí,
sách báo, của các năm có liên quan tới đề tài.
a. Phương pháp sử dụng phiếu điều tra.
Khái niệm : Là phương pháp đơn giản, sử dụng bảng câu hỏi có sẵn khảo sát
trên một nhóm đối tượng có sẵn để thu thập những thông tin cần thiết.
Nội dung : Bảng câu hỏi xoay quanh vấn đề an toàn bảo mật của công ty. Những
câu hỏi đặt ra để đánh giá thực trạng triển khai các hoạt động đảm bảo an toàn bảo
mật,từ đó đề xuất một số giải pháp có tính khả thi hỗ trọ hoạt động an toàn bảo mật
HTTT quản lý của công ty.
Cách thức tiến hành: Bảng câu hỏi được phát trực tiếp cho nhân viên công ty để
thu thập ý kiến.
Mục đích : Nhằm thu thập những thông tin về hoạt động an toàn và bảo mật
HTTT quản lý của công ty từ đó đánh giá thực trạng triển khai và đưa ra những giải
pháp đúng đắn để nâng cao hiệu quả của các hoạt động an toàn bảo mật.
Kết quả được sử dụng vào phần 2.2.2 và Chương 3 phần 3.1, 3.2
b. Phương pháp phỏng vấn chuyên gia.
Khái niệm : Là phương pháp dùng một hệ thống câu hỏi miệng để người được
phỏng vấn trả lời bằng miệng nhằm thu được những thông tin nói lên nhận thức hoặc thái
độ của cá nhân họ đối với một sự kiện hoặc vấn đề được hỏi. Đây là hình thức điều tra cá

nhân, thường được sử dụng trong giai đoạn đầu khi mới làm quen khách thể.
Nội dung : Gồm những câu hỏi mở để phỏng vấn trực tiếp chuyên gia quản lý
trong công ty.
Cách thức tiến hành : Phỏng vấn cá nhân.
Mục đích : Thu thập những thông tin chuyên sâu và chi tiết về các hoạt động đảm
bảo an toàn và bảo mật HTTT quản lý của công ty.
Kết quả được sử dụng : 2.2.2 và chương 3
c. Phương pháp thu thập bằng tài liệu có liên quan.

GVHD: ThS. Nguyễn Thị Hội

6

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

Khái niệm : Phương pháp nầy là dựa trên nguồn thông tin sơ cấp và thứ cấp thu
thập được từ những tài liệu nghiên cứu trước đây để xây dựng cơ sở luận cứ để chứng
minh giả thuyết.
Nội dung : Tài liệu liên quan gồm sách đã xuất bản, giáo trình giảng dậy, tài liệu
nước ngoài, trong nước, báo chí, công trình nghiên cứu các cấp, luận văn tiến sĩ, luận
văn thạc sĩ có liên quan tới đề tài…
Kết quả thu thập được sử dụng trong phần chương 1 phần 1.1, và phần 3.2
chương 3
1.5.2 Phương pháp phân tích và xử lý số liệu :
Khái niệm : Phương pháp định lượng là phương pháp nghiên cứu mà dữ liệu thu

thập được là số lượng (number). Công cụ thường được sử dụng trong phương pháp là
khảo sát bằng phiếu điều tra.
Khái niệm : Phương pháp định tính là phương pháp nghiên cứu mà dữ liệu thu
thập được không mô tả số lượng. Phỏng vấn là công cụ thường được sử dụng trong
phương pháp này. Phỏng vấn là đưa ra những câu hỏi với người đối thoại để thu thập
thông tin.
Quy trình thực hiện là quy trình khảo sát bằng câu hỏi phỏng vấn.
Dữ liệu được tập hợp bằng bảng Excel và mô phỏng bằng biểu đồ, sơ đồ đặc trưng.
1.6. Kết cấu của khóa luận.
Phần 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI
CÔNG TY TNHH MTV TÙNG BẮC.
Phần 2 : CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT
HTTT QUẢN LÝ CỦA CÔNG TY TNHH MTV TÙNG BẮC.
Phân 3 : ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI
PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT CHO HTTT QUẢN LÝ CỦA CÔNG
TY TNHH MTV TÙNG BẮC.

GVHD: ThS. Nguyễn Thị Hội

7

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

PHẦN 2 : CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT
HTTT QUẢN LÝ CỦA CÔNG TY TNHH MTV TÙNG BẮC

I. CƠ SƠ LÝ LUẬN
2.1.1 Một số khái niệm cơ bản:
2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong DN:
Dữ liệu: Có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên
phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, theo [ 1 ] thì
dữ liệu là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu
chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành
thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện.
Thông tin cũng trích dẫn từ [ 1 ] thì theo nghĩa thông thường, thông tin là điều
hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo
lường, trao đổi, nghiên cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá
trình xử lý dữ liệu.
Hệ thống thông tin trích từ [ 1 ] là một tập hợp và kết hợp của các phần cứng,
phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái
tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu
của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Hệ thống thông tin quản lý (MIS) được trích từ [ 1 ] là khái niệm đầy đủ và
ngắn gọn xúc tích nhất.
Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành
quản lý cùng với những thông tin được cung cấp thường xuyên. Ngày nay, do công
nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói
đến hệ thống thông tin quản lý được trợ giúp của máy tính. Theo quan điểm của các
nhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp

GVHD: ThS. Nguyễn Thị Hội

8

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

việc thu thập, xử lý và truyền thông tin. MIS là tập hợp các phương tiện, các phương
pháp và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập,
lưu trữ, tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý.
Nguồn [ 1 ] : Giáo trình mạng máy tính, 2008 , NXB Thông tin và Truyền thông.
2.1.1.2

Khái niệm về an toàn, bảo mật HTTT quản lý:

An toàn bảo mật thông tin là vấn đề cơ bản của một HTTT quản lý, có rất nhiều
sách báo, giáo trình đưa ra khái niệm này. Tổng kết từ nhiều giáo trình trong nước về
khái niệm này ta đi tới một khái niệm phổ thông nhất, được biên soạn trong các giáo
trình đại học như sau :
An toàn thông tin được trích dẫn từ [ 9 ] được viết như sau an toàn khi thông tin
đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người
không được phép.
Bảo mật thông tin theo [9 ] Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng
của thông tin.
Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền
mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông

tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu,
việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho
thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn
đến phá sản.
Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính
xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá
nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý
định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng
bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng
phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được
vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi
người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêu
cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.

GVHD: ThS. Nguyễn Thị Hội

9

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

Tính sẵn sàng

Tính toàn vẹn


Tính bảo mật

Hình 2.1 : Mối quan hệ giữa các yếu tố của một HTTT an toàn, bảo mật Bảo mật
HTTT quản lý:
(Nguồn [9] :Giáo trình an toàn dữ liệu, Bộ môn CNTT, Trường Đại học Thương
mại Hà Nội, 2007 )
Một HTTT nói chung và một HTTT quản lý nói riêng được coi là bảo mật khi
tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một
thời gian xác định.
2.1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT quản lý
trong DN
Một HTTT quản lý hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả
môi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi
mô. Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an toàn
và bảo mật HTTT quản lý trong doanh nghiệp là: yếu tố con người và yếu tố công nghệ.
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống
và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin
quản lý. Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề
nghiệp, năng lực sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt
động độc lập hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu
nhất định của hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ
trong các tổ chức. Người quản lý HTTT làm tất cả mọi thứ từ việc lập nên những kế
GVHD: ThS. Nguyễn Thị Hội

10

SVTH: Nguyễn Thị Tường Vi



Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng
lưới thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc
nghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp
xác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời
vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm
việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát
triển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả
năng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả
như thế nào.
Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân
tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ, và những nhân viên khác có
liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng
cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển mạng
máy tính và sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc biệt ngày
càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT quản lý.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công
nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất
kinh doanh của DN,
CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãi
hơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với những
nguyên tắc mới. CNTT như một thách thức đồng thời cũng là công nghệ quan trọng
phổ biến nhất, lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh
chóng hòa nhập vào nền kinh tế toàn cầu.

Công nghệ thông tin có thể nói tới các bộ phận cấu thành như những sản phẩm
phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu thập, xử lý và lưu trữ
thông tin. Những sản phẩm phần mềm như Firewall phần mềm, phần mềm phòng
trống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…

GVHD: ThS. Nguyễn Thị Hội

11

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

2.1.1.4 Thông tin doanh nghiệp và những tác động cụ thể của những công cụ
an toàn, bảo mật tới HTTT doanh nghiệp
Thông tin doanh nghiệp: Là những thông tin của DN về nhân sự, cơ cấu tổ chức,
các văn bản, chính sách, mục tiêu sản xuất kinh doanh của DN. Những thông tin có
tính nhệ cảm như: báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin
khách hàng,…Tác động của các công cụ đảm bảo an toàn và bảo mật tới HTTT DN:
Những công cụ an toàn, bảo mật thông tin hoạt động hiệu quả thì các sự cố tấn công từ
bên trong cũng như từ bên ngoài sẽ bị hạn chế và các hoạt động chủ yếu của DN vẫn
không ngừng hẳn. Đồng thời, khi các công cụ an toàn, bảo mật được ứng dụng thì các
hoạt động hay các thông tin sẽ được khắc phục kịp thời mà không gây thiệt hại về mặt
vật chất và thông tin cho DN. Khi HTTT quản lý hoạt động hiệu quả và an toàn thì các
thông tin mà HTTT cung cấp cho các cấp quản trị sẽ có chất lượng và độ tin cậy cao.
2.1.2 Phân định nội dung vấn đề nghiên cứu của đề tài
2.1.2.1 Xác định đối tượng cần đảm bảo an toàn, bảo mật

Để đảm bảo một HTTT quản lý được an toàn và bảo mật tức là phải đảm bảo
thông tin đầu vào và đầu ra của HTTT đó được đảm bảo an toàn và bảo mật. Do đó đối
tượng chính của HTTT quản lý cần đảm bảo đó là thông tin của HT đó.Thông tin trong
DN có ở nhiều mức độ và mỗi mức độ cần có những chính sách về an toàn, và bảo mật
khác nhau. Có những thông tin được đưa vào diện bảo mật ở mức rất cao và rất ít
người được biết đến những thông tin này, có những thông tin lại ở những mức độ cần
an toàn, bảo mật ở mức thập hơn. DN cần xác định đúng đắn các thông tin cần an toàn,
bảo mật để từ đó có các chính sách, công cụ hợp lý để hỗ trợ, kiểm soát các thông tin
này.
2.1.2.2 Xác định mục tiêu an toàn, bảo mật
Mục tiêu của an toàn bảo mật là phát hiện các lỗ hổng của HTTT, dự đoán trước
các nguy cơ tấn công và ngăn trặn những hành động gây mất an toàn, bảo mật thông
tin từ bên trong cũng như từ bên ngoài.Một hệ thống thông tin an toàn và bảo mật phải
đảm bảo được 3 yêu cầu : tính sẵn sàng, tính bảo mật và tính toàn vẹn. Trong kĩ thuật
bảo mật gọi là mục tiêu CIA. Để đạt được mục tiêu CIA không chỉ đơn giản là thực
hiện một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ
thống mà bảo mật là một chu trình liên tục theo thời gian.

GVHD: ThS. Nguyễn Thị Hội

12

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

2.1.2.3 Xác định các loại tấn công

Theo lý thuyết nghiên cứu trong Giáo trình an toàn bảo mật HTTT- Đại học
Thương Mại thì các loại hình tấn công chủ yếu là do nguyên nhân khách quan hoặc do
chủ quan của con người. Các nguyên nhân do khách quan mang lại được gọi là các
thảm họa (Disaster) là các sự cố xảy ra đột ngột không lường trước, có thể là các thiên
tai như động đất, núi lửa, sóng thần… hoặc cũng có thể là do con người gây nên như là
hỏa hoạn, mất điện hay sụp đổ hệ thống. Còn các nguyên nhân chủ quan chính là các
hành vi tấn công. Tấn công là các hành vi nhằm phá hoại mục tiêu an toàn và bảo mật.
Hình thức tấn công thường xảy ra hơn và cũng khó đối phó hơn vì hình thức thay đổi
liên tục, để đối phó được thì cần phải hiểu được các kĩ thuật được sử dụng để tấn công
ở mục này tôi sẽ trình bày chi tiết về các kĩ thuật tấn công thường gặp. Phân loại tấn
công: Các loại tấn công được phân làm 3 loại chính:
Thứ nhất là kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi
dụng sự bất cẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác
nhận quyền truy nhập của user và có thể truy nhập hê thống vào bằng thông tin
đó.Tiếp theo là tấn công phần mềm (Software Attacks) loại này nhằm vào các ứng
dụng ( applications), hệ điều hành (OS) và các giao thức ( protocols), mục đích là để
phá hủy hay vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên
các máy tính, để đạt được quyền truy nhập vào hệ thống và khai thác thông tin. Loại
tấn công này có dùng độc lập hoặc kết hợp với 1 số loại khác. Thứ ba là tấn công phần
cứng (Hardware Attacks) nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng …mục đích
là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho tấn công từ chối dịch vụ
(DoS).
2.1.2.4 Lựa chọn công cụ an toàn, bảo mật
Người dung thường quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để tiếp cận
được với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều lớp phức
tạp. Và tại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các hacker, người
làm công tác bảo mật cần xây dựng được một bức tranh toàn cảnh về đường đi của
thông tin và các biện pháp bảo mật thích hợp tại mỗi lớp. Trong các lớp của mô hình
TCP/IP thường tiến hành các phương pháp bảo mật kết hợp.


GVHD: ThS. Nguyễn Thị Hội

13

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

Lớp 1: Tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà
cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần mềm
IOS để bước đầu ngăn chặn ngay các dịch vụ không cần thiết.
Lớp 2: Sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra Internet, khi có
các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo cho trung tâm quản lý hoặc
trong trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
Lớp 3: Tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng-failover) cho
phép ngăn cách làm 3 vùng DMZ, Outside và Inside. Các Server công cộng sẽ thuộc
vùng DMZ và được bảo vệ rất nghiêm ngặt.
Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các Server. Hệ
thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài. Tại đây, HIPS sẽ
quan sát các dấu hiệu tấn công ngay trên các hệ điều hành và cho phép có những thông
báo cho quản trị mạng hoặc đóng băng các kết nối trong trường hợp khẩn cấp.
2.1.2.5 Hoạch định ngân sách an toàn, bảo mật
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo an toàn và bảo
mật HTTT quản lý sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo
mật, cũng như quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty
phải tính toán làm sao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà
HTTT quản lý cần hướng tới. các ngành khác nhau có mức ngân sách dành cho các

hoạt động an toàn và bảo mật khác nhau
Có bốn phương pháp xác định ngân sách dành cho hoạt động đảm bảo an toàn và
bảo mật HTTT quản lý mà các công ty thường áp dụng là xác định theo tỷ lệ phần
trăm trên doanh thu: Có nghĩa là ngân sách dành cho hoạt động an toàn và bảo mật
HTTT quản lý sẽ phụ thuộc vào biến động của mức tiêu thụ hằng năm của DN. Thứ
hai là cân bằng cạnh tranh tức là xác định ngân sách ngang bằng với mức chi của các
hãng cạnh tranh.“Căn cứ vào mục tiêu và nhiệm vụ” phải hoàn thành đòi hỏi người
quản trị HTTT phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo an
toàn và bảo mật HTTT rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt
được những mục tiêu đó.Theo khả năng tài chính của DN có nghĩa là ngân sách dành
cho chương trình đảm bảo an toàn và bảo mật HTTT quản lý nhiều hay ít là tùy thuộc
vào khả năng tài chính của DN. Phương pháp này bỏ qua sự ảnh hưởng của hoạt động
đảm bảo an toàn và bảo mật HTTT quản lý đối với mức doanh thu mà DN có được, nó
GVHD: ThS. Nguyễn Thị Hội

14

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

dẫn đến ngân sách dành cho an toàn và bảo mật HTTT quản lý hằng năm không ổn
định.
2.1.2.6 Đánh giá hiệu quả chương trình an toàn, bảo mật
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT quản lý, người
quản trị hệ thống phải đo lường được tác động của nó đến tổng thể DN như thế nào.
Điều này đòi hỏi người quản trị HTTT phải đánh giá tác động của các công cụ đảm

bảo an toàn và bảo mật HTTT trước khi áp dụng và sau khi áp dụng đã mang lại những
thuận lợi hay những khó khăn gì, hoạt động của DN có bị sáo trộn hay không,…
Người quản trị cần thu thập thông tin về tác động của chương trình đảm bảo an
toàn và bảo mật HTTT tới HTTT và phản ứng của các cấp lãnh đạo, các nhân viên
trong DN,…để làm cơ sở đánh giá những tác động của chương trình. Để có lượng
thông tin đầy đủ người quản trị cần thu thấp cả thông tin định lượng như doanh thu,
chi phí… và thông tin không định lượng được như mức độ hài lòng, thoái mái của
nhân viên, mức độ thu thập, lưu trữ, phản hồi thông tin của HT để có được cái nhìn
toàn diện về HTTT trước và sau khi áp dụng chương trình đảm bảo an toàn và bảo mật
HTTT quản lý của DN.
II. THỰC TRẠNG AN TOÀN BẢO MẬT HTTT QUẢN LÝ CỦA CÔNG
TY TNHH MTV TÙNG BẮC.
2.2.1 Tổng quan về công ty
2.2.1.1 Thông tin chung về công ty
Tên đầy đủ doanh nghiệp: Công ty TNHH MTV TÙNG BẮC
Tên giao dịch quốc tế: TUNG BAC company limited
Tên viết tắt:TB CO.LTD
Mã số thuế:0101105104
Địa chỉ trụ sở chính: Khu Phố- TT Lục Nam- Lục Nam- Bắc Giang
Hotline: 0240 3884415
Năm thành lập: 2009
Vốn điều lệ: 5 tỷ đồng
Gmail :
Người đại diện: Giám Đốc Nguyễn Thị Bắc
Công ty thành lập từ năm 2009 với ý tưởng kinh doanh táo bạo, lần đầu doanh
nghiệp mở rộng kinh doanh mảng xây dựng, đầu tư mua máy móc, ô tô tải,máy xúc,
GVHD: ThS. Nguyễn Thị Hội

15


SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

máy ủi,thuyền cỡ lớn …với mục đích trở thành doanh nghiệp đầu tiên có máy móc
hiện đại phát triển xây dựng các công trình cỡ lớn tại huyện Lục Nam. Sang năm 2010
doanh nghiệp bắt đầu đàu tư thêm dàn máy chế biến than phục vụ các công ty sản xuất
gạch trong huyện, tỉnh lân cận. Khách hàng dần biết tới Công ty nhiều hơn trong
những năm gần đây, công ty cũng từng bước kết hợp với nhiều dự án khác của các
công ty khác để mở rộng kinh doanh và phát triển thêm nhiều lĩnh vực khác.
Công ty bao gồm 1 giám đốc và 30 nhân viên làm việc tại 5 phòng ban. Các
phòng ban bao gồm

Hình 2.2 Các phòng ban của Công ty
(Nguồn: Phòng Kế toán- Tài Chính)
2.2.1.2 Khái quát hoạt động sản xuất kinh doanh của đơn vị.
Khi mới thành lập công ty TNHH MTV TÙNG BẮC chuyên kinh doanh về lĩnh
vực xây dựng và chỉ tập trung phát triển trong lĩnh này. Nhưng hiện nay công ty đã mở
rộng thêm lĩnh vực kinh doanh nhằm phát triển thị trường và đa dạng hóa khách hàng
hơn cho công ty.Tình hình kinh doanh trong 5 năm qua của công ty luôn trên đà đi lên,
doanh thu luôn đạt thậm chí vượt mục tiêu đề ra. Khách hàng của công ty ngày một
đông hơn, đa dạng hơn và tin tưởng vào chất lượng sản phẩm của công ty
Có thể thấy sự thay đổi đó qua bảng doanh thu các năm dưới đây:
Năm
2009
2010
2011

2012
2013

Doanh thu(triệu đồng)
1.204,005
1.800,256
2.780,500
3.540,750
5.002,580
Bảng 2.1: Doanh thu công ty 2009-2013
(Nguồn:Phòng Kế toán- Tài chính)
Đơn vị : vnd

GVHD: ThS. Nguyễn Thị Hội

16

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

Biểu đồ 2.1: Doanh thu công ty 2009-2013.
(Nguồn: Phòng kế toán- tài chính)
Có được kết quả kinh doanh trên một phần là nhờ hiệu quả của việc ứng dụng
CNTT, HTTT trong quá trình hoạt động kinh doanh của công ty mang lại.
2.2.1.3 Phân tích thực trạng an toàn bảo mật HTTT quản lý tại công ty
Nắm bắt được tình hình phát triển của khoa học công nghệ và tầm quan trọng của

việc ứng dụng CNTT đối với hoạt động kinh doanh của công ty. Ban giám đốc công ty
đã cho triển khai bắt đầu ứng dụng CNTT từ năm 2010 và đến năm 2013 đã sử dụng
các phần mềm ứng dụng để tính toán, quản lý hoạt động kinh doanh của công ty.
Hiện tại công ty có 1 máy chủ được đặt tại phòng giám đốc và 7 máy tính để bàn
và 6 máy tính xách tay. Trong đó phòng giám đốc có 1 máy chủ và 2 máy tính xách
tay. Phòng kế toán tài chính có 3 máy tính để bàn, 2 máy tính xách tay.Phòng kinh
doanh và bán hàng có 3 máy tính để bàn và 3 máy tính xách tay. Bộ phận kho có 2
máy tính để bàn. Phòng kỹ thuật có 2 máy tính để bàn. Tổng số máy tính được kết nối
vào mạng nội bộ là 18 máy, số máy tính kết nối internet là 18 máy, số phòng ban được
kết nối vào mạng nội bộ là 5 phòng ban. Các hệ điều hành sử dụng cho máy chủ và các
máy tính trong công ty mới được nâng cấp lên bản Windows 7 Office 2010
Phương thức thu thập và truyền nhận thông tin của công ty: Sử dụng đường
truyền của mạng Lan và Internet để truyền nhận thông tin giữa cấp trên và cấp dưới và
giữa nhân viên các phòng ban với nhau.Công ty chưa có cán bộ chuyên trách quản trị
mạng và các HTTT riêng. Vấn đề này được xen kẽ trong công việc của các phòng ban
có sử dụng HTTT, hệ mạng, phần mềm.
GVHD: ThS. Nguyễn Thị Hội

17

SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

Khoa Hệ thống thông tin Kinh tế

a. Trang thiết bị phần cứng.
Sau đây là bảng tổng hợp trang thiết bị phần cứng đang sử dụng tại công ty.
STT

1

Tên Thiết Bị

Số
lượng
1

Máy chủ

Mục đích

Năm sử

Ghi
chú

Là nơi lưu trữ các phần mềm

dụng
2010

chính, dữ liệu của công ty. Nhằm
đảm bảo truy cập phân quyền và
2

Máy tính để bàn

10


an toàn nhất.
Lưu trữ các phần mềm, dữ liệu

2009

của công ty như thông tin sản
phẩm, thông tin khách hàng, dữ
3

Máy tính xách

4

7

liệu mua bán hàng.
Cài đặt các phần mềm bán hàng,

tay

dữ liệu cần thiết giúp cho người

Máy in/ máy fax

dùng dễ dàng sử dụng ở mọi nơi.
In báo cáo, hóa đơn bán

2010

hàng,phiếu thu chi, kê khai, …

Sony SSC- G103

2010

1/1

5
Camera

02

Dùng giám sát các hoạt động của
công ty.
Router Linksys E2000 Advance

6
Wireless Router
7

Modem ADSL

8

2010

1

1

2010


Wireless-N 01
Bộ phát Wifi.
Modem ADSL tp- link

2010

Dùng

Switch và hệ

1
thống dây mạng
Bảng 2.2 Kết quả tổng hợp trang thiết bị phần cứng tại công ty(2009- nay)
(Nguồn : tác giả thống kê)
b. Các phần mềm ứng dụng.

STT

Tên

Chức năng

Năm

Kết quả

Phần
1


mềm
Phần

Ghi
chú

Là các phần mềm văn 2009

mềm văn phòng chuyên dụng tạo
GVHD: ThS. Nguyễn Thị Hội

18

Tạo lập các văn bản, báo
cáo, thuyết trình chuyên
SVTH: Nguyễn Thị Tường Vi


Khóa luận tốt nghiệp

2

Khoa Hệ thống thông tin Kinh tế

phòng

lập các văn bản, báo cáo,

nghiệp,nhanh gọn.


Window

tính toán trực tiếp trên

Số liệu được xử lý, tính

7, office excel.

toán, điều chỉnh phù hợp

2010.
Phần Phần mềm cho phép lưu 2010

theo yêu cầu.
Nghiệp vụ kế toán trở

mềm kế trữ các số liệu chứng từ

lên nhanh gọn, dễ hàng

toán

hơn. Tiết kiệm chi phí,

kế toán hiệu quả, chính

Effect - xác.
standard

thời gian thực hiện.


Các nghiệp vụ đầu vào.
Nghiệp vụ cập nhật số
dư đầu kỳ. Nghiệp vụ
Tiền mặt, nghiệp vụ
ngân hàng, nghiệp vụ
nhập xuất kho, nghiệp
vụ Hóa đơn công nợ,

3

Phần

báo cáo tài chính…
Giải pháp phòng chống 2010

Cho phép lưu trữ dữ liệu

mềm an virus tổng thể dành cho

dạng an toàn bảo mật.

toàn bảo các

quan/doanh

Bảo vệ máy tính khỏi

mật


nghiệp có hệ thống

nguy cơ nhiễm virus,

BKAV.

mạng LAN quy mô vừa

Trojan,….



và nhỏ. Phiên bản này
được thiết kế đặc biệt
hoạt động theo mô hình
quản lý tập trung trên
Server, bảo vệ an toàn
tối đa cho từng máy
tính cũng như trên toàn
hệ thống mạng trước
những

nguy



về

virus, trojan, rootkit,
4.


Phần

spyware, adware....
Quản lý, phân quyền và 2010

Phần

mềm

theo dõi người dùng

hàng được tích hợp đầy

quản lý trong hệ thống.
GVHD: ThS. Nguyễn Thị Hội

mềm

bán

đủ các chức năng cơ bản
19

SVTH: Nguyễn Thị Tường Vi


×