Tải bản đầy đủ (.docx) (38 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

THỰC TRẠNG CỦAAN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦNTHƯƠNG MẠI TỰ ĐỘNG HÓA NASACO

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (343.04 KB, 38 trang )

LỜI CẢMƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sự
hướng dẫn nhiệt tình của thầy hướng dẫnTh.s Nguyễn Quang Trung, cùng sự giúp đỡ của
ban giám đốc và toàn thể nhân viên công ty cổ phần thương mại tự động hóa NASACO.
Trước hết, em xin gửi lời cảmơn sâu sắc nhất tới giáo viên hướng dẫnTh.s Nguyễn
Quang Trung. Thầyđã giúp đỡ em có nhữngđịnh hướngđúng đắn khi thực hiện khóa luận
tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin gửi lời cảmơn chân thành tới ban giám đốc cũng như những anh/chị
làm việc tại công ty cổ phần thương mại tự động hóa NASACO vì sự quan tâm, ủng hộ
hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin gửi lời cảmơn tới các thầy cô giáo trong khoa Hệ thống thông tin kinh tế
về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập và hoàn thành
khóa luận này.
Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu về
vấn đề này còn nhiều giới hạn.Mặt khác, thời gian nghiên cứu khóa luận khá hạn hẹp,
trìnhđộ và khả năng của bản thân em còn hạn chế.Vì vậy, khóa luận chắc chắn sẽ gặp
nhiều sai sót. Em kính mong thầyNguyễn Quang Trung, các thầy cô giáo trong khoa Hệ
thống thông tin kinh tế, các anh/ chị nhân viên trong công ty cổ phần thương mại tự động
hóa NASACO gópý, chỉ bảo để khóa luận có giá trị cả về lý luận và thực tiễn.
Em xin chân thành cảmơn!


CHƯƠNG 1 : TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
1.1 Tầm quan trọng, ý nghĩa của đề tài

Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vực nào,
từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thông tin, dữ
liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chứcđưa ra được những
quyết sáchđúngđắn, giúp họ đứng vững và phát triển trước sự thay đổi của xã hội.
Ngày nay, với sự phát trển của công nghệ thông tin, Internet trở thành cấu nối chia sẻ
kiến thức, thông tin giúp con người đến gần nhau hơn. Ứng dụng tin học vào lĩnh vực


kinh tế giúp ta nắm bắt thông tin một cách chính xác, kịp thời, đầyđủ, góp phần nâng cao
hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển. Vì vậy, trong quá trình
quản lý các cơ quan, doanh nghiệp phải thấy rõ được tầm quan trọng của hệ thống thông
tin(HTTT). Nó không những giúp doanh nghiệpđápứng mọi nhu cầu của khách hàng hiện
tại mà còn nâng cao được năng lực sản xuất, giúp cho các doanh nghiệp cóđủ sức cạnh
tranh với thị trường trong và ngoài nước.
Có thể coi HTTT là thành phần quan trọng của doanh nghiệp, nó quyếtđịnh mọi hoạt
động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọngđó mà khi HTTT
bị mấtan toàn có thể gây thiệt hại nặng nề cho doanh nghiệp. Chính vì vậy, cần có những
giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp.
Công ty cổ phần thương mại tự động hóa NASACO là công ty phân phối,cung cấp, tích
hợp hệ thống: điện, điện tử, đo lường, tự động hoá của các hãng SIEMENS,
ABB, OMRON, BALS, IFM,SCHNEIDER, DANFOSS, ENDRESS + HAUSE,
MITSUBISHI, LG, DELTA …Tư vấn thiết kế, thi công lắp đặt, bảo dưỡng bảo trì và
chuyển giao công nghệ tự động hoá tiên tiến: PLC, DCS, SCADA...
Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần thương mại tự động hóa
NASACO em xin thực hiện đề tài khóa luận“Giải pháp an toàn bảo mật cơ sở dữ liệu của
công ty cổ phần thương mại tự động hóa NASACO”.
1.2 Tổng quan vấn đề nghiên cứu.

An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình, nghiên cứu
chuyên sâu về vấn đề này. Tuy nhiên, mỗi công trình nghiên cứu về những khía cạnh
riêng của hệ thống thông tin, thương mại điện tử,….
+ Nước ngoài:


-

William Stallings (2005), Cryptography and network security principles and
pratices, Fourth Edition, Prentice Hall.


Cuốn sách nói về vấn đề mật mã vàan ninh mạng hiện nay, khám phá những vấn đề
cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh mạng thông
qua các ứng dụng thực tếđã được triển khai thực hiện vàđược sử dụng ngày nay. Cung
cấp giải phápđơn giản hóa AES (Advanced Encryption Standard) cho phép ngườiđọc dễ
dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng, thuật toán, hoạt động mã hóa,
CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng
thực.Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềmđộc hài và
những kẻ xâm hại.
-

Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms
and protocols. John Wiley & Sons.

Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động, nguyên
tắc, các thuật toán và giao thức bảo mật Internet.Đưa ra các biện pháp khắc phục các
mốiđe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực, tính toàn
vẹn và thông điệp mã hóa là rất quan trọng trong việcđảm bảoan ninh Internet. Nếu
không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào
mạng.Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ tấn công
thông qua đường truyền Internet.Các tài liệu trong cuốn sách này trình bày lý thuyết và
thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất
lượng.Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ
sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet.
+ Trong nước:
-

Đàm Gia Mạnh (2009), Giáo trìnhan toàn dữ liệu trong thương mại điện tử, NXB
Thống kê.


Giáo trình nàyđưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong thương
mạiđiện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng
như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Từđó, giúp các
nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể vềan toàn dữ liệu trong hoạt động
của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phương pháp phòng
tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục hậu quả
thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn
trong các công việc hằng ngày của mình.


-

Phan Đình Diệu (2002), Giáo trình “Lý thuyết mật mã và an toàn thông tin”, Đại
học Quốc Gia Hà Nội.

Nội dung chính là khái quátchung về lý thuyết mật mã, các công cụ toán học có liên
quan đến việcđảm bảo an toàn thông tin. Hệ mật khóa đối xứng, hệ mật khóa công khai,
chữ kýđiện tử, ứng dụng và thực hành…..
Thành công: Đãđưa ra những vấnđề cơ bản liên quan đến: Khái niệm, mục tiêu, yêu
cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, các hình thức
tấn công. Bên cạnhđó, các đề tài còn đề cập đến phương pháp phòng tránh các tấn công
gây mấtan toàn thông tin cũng như các biện pháp khắc phục hậu quả thông dụng, phổ
biến hiện nay.
Tồn tại: Các đề tài chủ yếuđi sâu nghiên cứu vềan toàn dữ liệu trong thương mạiđiện
tử, hệ thống mạng hoặcwebsite. Vẫn chưađi sâu nghiên cứu về nguy cơ mất an toàn
HTTT, liên quan đến con người( nhà quản trị mạng, nhân viên CNTT,…).
Một số đề tài nghiên cứu xây dựng hệ thống lưu trữ và quản lý tài liệu. Nghiên
cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao. Sử dụng cho mục đích xây
dựng các dịch vụ lưu trữ, tìm kiếm hồ sơ, tài liệu cho các tổ chức hoặc cá nhân thông qua
Internet.. Các luận văn nghiên cứu về mật mã và các vấn đề ATTT trên cơ sở nghiên cứu

các phương pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử dụng khoá công
khai. Các tính chất của chữ ký số trong việc bảo đảm ATBMTT. Sử dụng thuật toán mã
hoá RSA và thuật toán băm MD5 để xây dựng ứng dụng chữ ký số tích hợp trên
MSWORD.
Đề tài nghiên cứu khoa học “ Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học
Việt Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và nghiên
cứu công nghệ IDS cứng và mềm.
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện
tử”, Vũ Anh Tuấn, Khoa CNTT, Đại học Thái Nguyên.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo
ATBMTT trong TMĐT như: mã hóa, chữ ký số….Tuy nhiên, nội dung nghiên cứu của
luận văn chỉ dừng lại ở việc đảm bảo ATBMTT trong TMĐT chứ không bao quát được
toàn bộ các vấn đề về ATBMTT nói chung và đi sâu vào một doanh nghiệp cụ thể.
Đề tài “Tìm hiểu thực trạng bảo mật và an toàn mạng tại Việt Nam giai đoạn
2006- 2009, Đại học An Giang, “Tìm hiểu vấn đề bảo mật mạng Lan” của Nguyễn Thị
Thúy, ĐHDL Hải Phòng, “Bảo mật cho mạng máy tính và các ứng dụng Web” của Đỗ


Trường Thọ, Đại học Bách Khoa Hà Nội, “Bảo mật dữ liệu trong mạng Wimax” của Đan
Hồng Sơn.
Luận văn “Nghiên cứu bảo mật Web Services” của Nguyễn Thị Thanh Thủy, Đại
học Công nghệ- ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn Trọng
Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ liệu điện
tử” của Đào Thọ Thu Hường.
Ngoài ra còn có luận văn “Tìm hiểu an toàn và bảo mật trên mạng”.
Các luận văn này đã đem đến cho người đọc những hiểu biết nhất định về an toàn
và bảo mật thông tin, đưa ra những nguyên nhân chủ quan cũng như khách quan dẫn đến
việc rò rỉ thông tin trong doanh nghiệp. Qua đó giúp doanh nghiệp hiểu rõ hơn về hệ
thống thông tin của mình và đưa ra những giải pháp khắc phục. Tuy nhiên, khoa học
công nghệ nói chung và CNTT nói riêng luôn có những bước phát triển từng phút, từng

giây. Nhờ đó trình độ con người cũng được nâng cao, nhu cầu của doanh nghiệp cũng lớn
hơn rất nhiều. Chính vì thế, những giải pháp này dường như chưa thể đầy đủ và đáp ứng
được yêu cầu bảo mật hiện nay. Hơn nữa, kết quả của những tài liệu kể trên kết chỉ là tìm
hiểu, nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ
quan hay tổ chức cụ thể nào.
Nhưđã nêu ở phần 1.1 em lựa chọn đề tài:“Giải pháp an toàn bảo mật cơ sở dữ liệu
của công ty cổ phầnthương mại tự động hóa NASACO” sẽ kế thừa và phát triển, phân
tích rõ hơn các nguy cơ gây mất an toàn HTTT. Để từđóđưa ra các giải pháp nhằm khắc
phục, nâng cao an toàn và bảo mật HTTT trong công ty.
1.3 Mục tiêu nghiên cứu của đề tài.

Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hóa một số lý thuyết cơ bản về
an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau nhưthu thập các
cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó, xem xétđánh giá phân tích thực trạng vấn đềan
toàn bảo mật HTTT đểđưa ra nhữngưu nhượcđiểm. Từ nhữngđánh giá phân tích này, đưa
ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tínhan toàn bảo mật HTTT.
Giúp cho công ty nhận diện được những nguy cơ và thách thức của vấn đềan toàn bảo
mật HTTT. Từ đó, có những giải pháp nâng cao tínhan toàn bảo mật, ngăn chặn các nguy
cơ tấn công HTTT hiện tại và tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty cổ phần thương mại tự
động hóa NASACO.


- Đánh giá thực trạng an toàn bảo mật HTTT trong công ty cổ phần thương mại tự
động hóa NASACO dựa trên tài liệuthu thập được.
- Trên cơ sở lý luân và thực trạng đề ra các giải pháp nâng cao an toàn bảo mật HTTT
trong công ty cổ phần thương mại tự động hóa NASACO.
1.4 Đối tượng và phạm vi nghiên cứu của đề tài.
- Đối tượng của đề tài là vấn đềan toàn bảo mật HTTT tại công ty cổ phần thương mại

tự động hóa NASACO.
- Các giải pháp công nghệ và giải pháp con người đểđảm bảo ATBM HTTT của
doanh nghiệp.
- HTTT của doanh nghiệp.
- Các chính sách phát triểnđảm bảoan toàn bảo mật (ATBM) thông tin trong công ty.
- Các giải pháp ATBM trên thế giớiáp dụng được cho HTTT của doanh nghiệp.
Là một đề tài nghiên cứu luận văn của sinh viên nên phạmvi nghiên cứu của đề tài chỉ
mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong một thời gian ngắn hạn,
cụ thể:
- Về không gian: Đề tài tập trung nghiên cứu tình hìnhan toàn bảo mật HTTT tại công
ty cổ phần thương mại tự động hóa NASACO nhằmđưa ra một số giải pháp nâng cao an
toàn bảo mật HTTT.
- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáo kinh
doanh, số liệu khảo sát từ năm 2011 đến năm 2014, đồng thời trình bày các nhóm giải
pháp, định hướng phát triển trong tương lai của công ty
1.5 Phương pháp nghiên cứu của đề tài.
1.5.1 Khái niệm phương pháp nghiên cứu.
Phương pháp là phạm trù trung tâm của phương pháp luận nghiên cứu khoa học,
phương pháp không chỉ là vấn đề lý luận mà còn vấn đề cóý nghĩa thực tiễn to lớn bởi vì
chính phương pháp quyếtđịnh thành công của mọi nghiên cứu khoa học.
Bản chất của phương pháp nghiên cứu khoa học chính là việc con người sử dụng một
cách có quy luật vận động như một phương tiện để khám phá chính đối tượng đó.


(DươngTriệu Thống, Phương pháp nghiên cứu khoa học giáo dục và tâm lý, NXB Thống
Kê, 2007).
1.5.2 Các phương pháp được sử dụng trong đề tài khóa luận.
1.5.2.1 Phương pháp thu thập dữ liệu.
Việcthu thập dữ liệu là công việc đầu tiên trong quá trình nghiên cứu. Phương
phápthu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu

chứađựng các thông tin liên quan đến đối tượng nghiên cứu của đề tài mình thực hiện.
Phương pháp sử dụng phiếuđiều tra:
- Nội dung: Bảng câu hỏi gồm20 câu hỏi, các câu hỏi đều xoay quanh các hoạt
động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối với
công ty cổ phần thương mại tự động hóa NASACO.
- Cách thức tiến hành: Bảng câu hỏi sẽ được gửi cho 10 nhân viên trong công ty
đểthu thậpý kiến.
- Mụcđích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của công
ty để từđóđánh giá thực trạng triển khai vàđưa ra những giải pháp đứng đắn để nâng cao
hiệu quả của các hoạt độngđảm bảo ATBM HTTT trong công ty cổ phần thương mại tự
động hóa NASACO.
Phương phápthu thập dữ liệu thứ cấp:
Dữ liệu thứ cập là những thông tin đã đượcthu thập và xử lý trướcđây vì các mục
tiêu khác nhau của công ty.
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của
công ty trong vòng 3 năm: 20011, 2012, 2013 đượcthu thập từ phòng hành chính, kế
toán, phòng nhân sự của công ty, từ phiếuđiều tra phỏng vấn và các tài liệu thống kê
khác.
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách
báo của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet.
Sau khi đãthu thập đầyđủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ
các tài liệuđó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào,
nếuđủ rồi thì tiến hành bước xử lý dữ liệu.


Phương pháp này được sử dụng cho chương của khóa luận đểthu thập dữ liệu liên
quan đến vấn đề an toàn bảo mật tại công ty cổ phần thương mại tự động hóa NASACO.
1.5.2.2 Phương pháp xử lý dữ liệu.
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật,
ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan hoàn cảnh và cụ thể về tình

hìnhnghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta cần chia
thông tin ra làm hai phương pháp chính:
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
Social Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê
trong một môi trường đồ họa, sử dụng các trìnhđơn mô tả và các hộp thoạiđơn giản để
thực hiện hầu hết các công việc thống kê phân tích số liệu. Người dùng có thể dễ dàng sử
dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…
- Phương phápđịnh tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng
vấn, phiếuđiều tra và các loại tài liệuthu được.
Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khóa luận
nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công ty cổ
phần thương mại tự động hóa NASACO, để từđóđưa ra các giải pháp phù hợp.
1.6 Kết cấu của khóa luận.
Khóa luận bao gồm 3 phần:
Phần 1: Tổng quan về đề tài nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT của công ty
cổ phần thương mại tự động hóa NASACO.
Phần 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBM thông
tin trong HTTT tại công ty cổ phần thương mại tự động hóa NASACO.


CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦAAN TOÀN BẢO MẬT
THÔNG TIN TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ
PHẦNTHƯƠNG MẠI TỰ ĐỘNG HÓA NASACO.
2.1 Cơ sở lý luận ATBM thông tin trong HTTT
2.1.1 Một số khái niệm cơ bản





Khái niệm thông tin.
Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần đến
thông tin. Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những
nhu cầu sống còn của con người và khái niệm "thông tin" đang trở thành khái niệm cơ
bản, chung của nhiều khoa học.Để đưa ra được khái niệm về thông tin, trước hết ta cần
hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong
thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,
tổng hợp,….), phù hợp với mục đích của người sử dụng. Nói cách khác, thông tin là
những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng”.
Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối quan
hệ, là dữ liệu đã được xử lý để trở nên hữu ích.
Cookie Monster định nghĩa thông tin là kiến thức truyền đạt hoặc nhận được liên
quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.
Đối tượng khai thác và sử dụng thông tin.
Có thể nói thông tin là những gì mà người ra quyết định cần để làm ra quyết định.
Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết
định của bản thân mình. Vì vậy, mọi thành viên trong xã hội con người cần khai thác và
sử dụng thông tin để phục vụ cho cuộc sống của mình.
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm bảo
cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt động của
cá nhân và đơn vị mình. Trước đây người ta hiểu rằng thông tin chỉ nhằm để phục vụ cho
các công việc quản lý điều hành của người lãnh đạo. Gần đây người ta nhận biết rằng
thông tin được sử dụng trong những tình huống cần đề ra các quyết định của mọi thành
viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động tác nghiệp, thông tin cần
được sử dụng bởi các nhân viên; trong hoạt động quản lý, điều hành, thông tin cần được





sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp. Hơn nữa, thông tin có thể được
chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp cao trong việc đề ra các quyết định
về chiến lược hoạt động của tổ chức.
Vai trò của thông tin.
Trong cuộc sống con người, mọi hoạt động đều không thể thiếu vai trò của thông
tin, đây là điều kiện quan trọng để thực hiện hay quyết định một công việc. Chúng ta
thống nhất với nhau một quan điểm rằng: Vai trò của thông tin trong đời sống xã hội là
vô cùng quan trọng, nó thúc đẩy tiến trình phát triển của mọi lĩnh vực. Nhờ có thông tin
mà người lãnh đạo có thể đưa ra những quyết định kinh doanh đúng đắn và mang tính
sống còn. Một đất nước văn minh thì nhất định công nghệ thông tin cũng phát triển hiện
đại. Xã hội càng phát triển thì vai trò của thông tin càng trở nên quan trọng, là yếu tố
hàng đầu làm nên sức cạnh tranh kinh tế, chính trị và văn hóa của một quốc gia. Thông
tin là sức mạnh, là tiền bạc vì nó có một vị thế tiên phong trong bối cảnh cạnh tranh toàn
cầu hiện nay.
Trong việc kinh doanh, chính mảng thông tin sẽ tạo ra nhiều lợi nhuận nhất cho
các doanh nghiệp, vì nó cung cấp một cổng vào ngay lập tức cho khách hàng hay cho các
đối tác tiềm năng. Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp
trong nền kinh tế thị trường. Có thể nói rằng, doanh nghiệp cần thông tin như cá cần
nước.Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ mất
đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính xác,
việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ trở nên
thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyết định kinh
doanh kịp thời, hợp lý và ít rủi ro.
2.1.2 Đảm bảo ATBMTT trong doanh nghiệp.
ATBMTT có vai trò quan trọng đối với sự phát triển bền vững của các doanh
nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Xây dựng một
HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một môi
trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí

quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện
thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động
mạnh đến ưu thế cạnh tranh của tổ chức.Rủi ro về thông tin có thể gây thất thoát tiền bạc,
tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh
nghiệp.Do vậy, đảm bảo ATBMTT doanh nghiệp cũng có thể coi là một hoạt động quan


trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải vấn đề riêng của
người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.
 An toàn thông tin( ATTT).
Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và bên bán theo
hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo. Ngày nay thì việc giao
dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng. Bên mua và bên bán
không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng như tài
sản.Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên thứ ba
biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừa đảo.
Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh toán, sử dụng
thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin bị lộ.
Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta cần tìm hiểu thế
nào là ATTT?
Một HTTT được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi,
thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. ATTT là quá trình đảm bảo
cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm
ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất điện… và
các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ
ý…
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến
cho chủ sở hữu. ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu
của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa đổi

hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng. Đồng thời có
tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng.
Trên thực tế không thể đảm bảo an toàn 100%, nhưng có thể giảm bớt các rủi ro
không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội .
Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp
đối phó về ATTT, họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật)
đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm Anti-virus, Firewalls và các
công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là
một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người.


Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như:
trình duyệt Internet và phần mềm nhận Email từ máy trạm.
Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với
thông tin và sử dụng máy tính trong công việc của mình.
Theo ISO 17799, ATTT là khả năng bảo vệ đối với môi trường thông tin kinh tế
xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân,
mọi tổ chức và của quốc gia.Thông qua các chính sách về ATTT, lãnh đạo thể hiện ý chí
và năng lực của mình trong việc quản lý HTTT. ATTT được xây dựng trên nền tảng một
hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm
bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin
của các đối tác, các khách hàng trong một môi trường thông tin toàn cầu. Như vậy, với vị
trí quan trọng của mình, có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách
trong đó con người là mắt xích quan trọng nhất.
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin .
Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm
yếu của HTTT và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra. Việc nhận
thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình
trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong các chính

sách về ATTT song việc tuân thủ các quy định lại không được thực hiện chặt chẽ. Việc
đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu
lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công.
2.1.3 Các nguy cơ và hình thức tấn công trong HTTT doanh nghiệp.
2.1.3.1 Các nguy cơ mất ATTT trong HTTT
Xéttheo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
- Nguy cơ ngẫu nhiên
Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan như
thiên tai ( lũ lụt, song thần, động đất,…) hỏng vật lý, mấtđiện,… Đây là những nguyên
nhân khách quan, khó dựđoán trước, khó tránh được nhưngđó lại không phải là nguy cơ
chính gây ra việc mất ATTT.
- Nguy cơ có chủđịch


Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp
(Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2013)
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT thì nguy cơ mất ATTT cũng
ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta đang
đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm 2013 dựa
trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài
như McAfee, Kaspersky hay CheckPoint… Theo đánh giá của các chuyên gia, tội phạm
công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn công cơ sở dữ
liệu của các cơ quan nhà nước, E-Banking, các công ty thương mạiđiện tử liên tục xảy ra.
Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế nhưng rất khó ước tính trở
thành mốiđe dọa cho sự cạnh tranh, phát triển của nền kinh tế.
Vina phía Nam đã thực hiện một cuộc khảo sát đối với 300 doanh nghiệp về
ATTT cho thấy có 33% doanh nghiệp cho hay họđã phát hiện sự cố tấn công an ninh
mạng, giảm 1% so với năm 2013. Tuy nhiên, có 29%doanh nghiệp không thể biết đượchệ
thống mạng của mình có bị tấn công hay không. Trong số cuộc tấn công an ninh mạng
được phát hiện, có 27,5% do Trojan hay Rootkit, 42% là do virus hay worm. Hầu hết các

doanh nghiệp nhậnđịnh rằng, động cơ tấn công đểthu lợi bất chính tăng lên gấp 3 lần so
với năm trước. 40% doanh nghiệp ước tính mức độ thiệt hại lớn nhất do các sự cố gây ra
là từ virus.
Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực tế,
vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát chính
nội tại các doanh nghiệp như: nguy cơ do yếu tố kĩ thuật( thiết bị mạng, máy chủ, HTTT,
…), nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành, nguy cơ trong quy trình,
chính sách an ninh bảo mật,…, nguy cơ do yếu tố con người ( vận hành, đạo đức nghề
nghiệp).
2.1.3.2 Các phương pháp phòng tránh và khắc phục
Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật nhằm
ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Để phòng tránh nguy cơ mất ATTT, trước hết, doanh nghiệp cần bố trí nhân lực để
tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống CNTT và ngăn
chặn, khắc phục kịp thời các sự cố ATTT trên mạng máy tính. Đặc biệt, cần bố trí cán bộ


quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các HTTT, lập kế
hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến
thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mất ATTT khi sử
dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo ATTT,
chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có kết nối
mạng Internet.
Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật nhằm
phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi
máy chủ, máy trạm.
Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trung biên
bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng.

Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên
bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác thường... cần
thực hiện các bước cơ bản sau:

• Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng.


Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho

công tác phân tích).
• Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạt
động.
2.1.3.3 Yêu cầu của hệ thống đảm bảo ATTT doanh nghiệp.

Yêu cầu về các thiết bị phần cứng
Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax, thiết
bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử dụng các
thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết bị tối ưu
mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng O2Micro’s
SifoML,…..
Yêu cầu về phần mềm


Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần
không thể thiếu đối với hoạt động của doanh nghiệp. Để đảm bảo ATTT, các phần mềm
đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó phải là các phần
mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuất nhằm giảm
bót các nguy cơ từ lỗ hổng bảo mật.
Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việc
cài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phần

mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã hóa
dữ liệu, phần mềm chống thư rác….
Yêu cầu về mạng
Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây dựng
các mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hay
Kerberos.
Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử
dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trường mạng Internet,
chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống
thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ
không cần thiếtĐối với hệ thống mạng không dây: định kỳ 3 tháng thay đổi mật khẩu
nhằm tăng cường công tác bảo mật.
Yêu cầu về cơ sở dữ liệu
Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất cho
hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ
sở dữ liệu.
Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu hóa
quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nội
dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,...
Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài
nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc.
Yêu cầu về con người
Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về
ATTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an
toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội
ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng,
chống các nguy cơ mất ATTT khi sử dụng mạng Internet.
2.1.4Phân định nội dung nghiên cứu



Với đề tài: “Giải pháp an toàn bảo mật cơ sở dữ liệu của công ty thương mại tự
động hóa NASACO”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATTT, thực
trạng và giải pháp ATTT cho Công ty cổ phần thương mại tự động hóa NASACO.
Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:

• Nghiên cứu tổng quan về vấn đề ATTT trong doanh nghiệp.
• Nghiên cứu về các nguy cơ mất ATTT doanh nghiệp, các biện pháp phòng tránh và khắc
phục hậu quả.
• Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty
• Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty

2.2 Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của công ty cổ phần
thương mại tự động hóa NASACO.
2.2.1 Tổng quan về công ty cổ phần thương mại tự động hóa NASACO.
2.2.1.1 Thông tin chung về doanh nghiệp.
- Tên doanh nghiệp: Công ty cổ phần thương mại tự động hóa NASACO.
- Tên viết tắt: NASACO.
- Ngày thành lập:
- Địa chỉ: Số 12, Ngõ162/28, Đường Khương Đình, P.Hạ Đình, Q.Thanh Xuân, Hà Nội.
- Email:
- Điện thoại: 0435576176

Fax: 04 3557 6315

- Tổng giám đốc: Nguyễn Hải Nam
2.2.1.2 Sơ đồ tổ chức và tình hình nhân sự.
Giám Đốc


Phó Giám Đốc


Trưởng phòng kế toán

Trưởng phòng kỹ thuật

Sơ đồ 2.1: Cơ cấu tổ chức của công ty

(Nguồn:Website công ty)

2.2.2 Tình hình hoạt động kinh doanh của công ty cổ phần thương mại tự động hóa
NASACO.


Phân phối,cung cấp, tích hợp hệ thống: điện, điện tử, đo lường, tự động hoá của
các hãng SIEMENS, ABB, OMRON, BALS, IFM,SCHNEIDER, DANFOSS,
ENDRESS + HAUSE, MITSUBISHI, LG, DELTA …



Tư vấn thiết kế, thi công lắp đặt, bảo dưỡng bảo trì và chuyển giao công nghệ tự
động hoá tiên tiến: PLC, DCS, SCADA...



sửa chữa vỉ mạch điện tử CN - Công suất như: biến tần, PLC, Servo- driver, máy
CNC, NC, các dây chuyền công nghiệp…

DỊCH VỤ SAU BÁN HÀNG:



Toàn bộ các sản phẩm và dịch vụ do NASACO cung cấp đều có chế độ bảo hành
miễn phí theo nhà sản xuất hoặc theo quy định của công ty Nasaco. Các thiết bị hư
hỏng sẽ được sửa chữa, thay thế, đổi mới bằng vật tư của chính hãng. Sau thời
gian bảo hành nếu quý khách có nhu cầu NASACO sẽ tiếp tục ký kết dịch vụ bảo
trì, đào tạo và chuyển giao công nghệ Điện - Tự động hoá…



NASACO luôn có các giải pháp công nghệ tự động hoá cung cấp, lắp đặt cho
nhiều ngành, địa phương trong cả nước,đóng góp tích cực vào quá trình công
nghiệp hóa - hiện đại hóa đất nước.
(Đơn vị: Đồng)

Năm
2011
2012
2013

Lợi Nhuận Trước Thuế
1 525 524 389
1 842 637 138
2 243 252 728

Lợi Nhuận Sau Thuế
1 278 328 527
1 427 354 273
1 785 652 123

Bảng 2.1: Tình hình kết quả hoạt động kinh doanh của NASACO
(Nguồn:Phòng tài chính & kế toán)


GHI CHÚ


Nhìn vào bảng số liệu về kế quả hoạt động kinh doanh của công ty cổ phầnthương mại
tự động hóa NASACO cho ta thấy từ năm 2011 đến năm 2013 lợi nhuận sau thuế tăng
mạnh, từ 1.2 tỷ đồng (năm 2011) lên 1.7 tỷ đồng (năm 2013).
2.2.3 Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong công ty cổ
phần thương mại tự động hóa NASACO.
2.2.3.1 Trang thiết bị phần cứng.
Máy chủ
Máy trạm
Máy tính xách tay
Máy in lazer A4 –
2 mặt
Máy scan A4
Switch 8 cổng

2 máy
30 máy
16 máy
4 máy
2 máy
8 cái

Bảng 2.2 Trang thiết bị phần cứng
(Nguồn:Thu thập qua khảo sát doanh nghiệp)

Hệ thống máy chủ: Số lượng máy chủ 2 cái được cài đặt hệ điều hành linux. Máy
chủ PowerEdge của Dell, dòng máy này rất thích hợp làm máy chủ chứa file cho các máy

trạm, chia sẻ internet trên mạng LAN, làm máy dịch vụ in(printer server) hoặc làm
hosting cho website nhỏ cũng như những mạng khác. Dòng máy này được gắn bộ vi xử
lý Inter Xeon 3400 series và hệ điều hành Microsoft Windows Server 2008 R2, cung cấp
những tính năng cần thiết cho hoạt động của công ty.
Hệ thống máy trạm, máy tính xách tay: Công ty trang bị 30 máy nhãn hiệu
Samsung Syncmaster743NX với các thông số kĩ thuật: Inter® pentiun® dual CPU,
T3400 @2,16GHZ, 0,99 GB of RAM.
Máy in: Công ty trang bị hệ thống 4 máy in lazer A4 2 mặt và 20 máy scan A4
phục vụ cho việc in ấn, photo nghiệp vụ giữa các phòng ban trong doanh nghiệp.
2.2.3.2 Trang thiết bị phần mềm.


Ngoài phần mềm văn phòng Microsoft office, phần mềm diệt virus BKAV, hệ
điều hành windows công ty còn trang bị một số phần mềm sau:
-Phần mềm spack: Cũng như Yahoo! Skype, Spack là hệ thống chat nội bộ cho
phép chat theo nhóm, chia sẽ dữ liệu, chia sẻ màn hình, lưu lại lịch sử các cuộc trò
chuyện một cách dễ dàng, nhanh chóng.
Phần mềm spack này đặc biệt hữu ích với những công ty lớn, có nhiều bộ phần,
chi nhánh, phòng ban.Với việc sử dụng chính tài khoản Email của công ty để đăng nhập
hệ thống và hiển thị tài khoản của tất cả nhân viên NASACO.
Công ty đã yêu cầu mọi nhân viên làm việc tại các phòng ban trong công ty sử
dụng phần mềm này để trao đổi công việc hằng ngày.
-Phần mềm kế toán doanh nghiệp MISA SMI.NET: Là một phần mềm kế toán khá
phổ biến và hữu ích do công ty cổ phần MISA xây dựng và được áp dụng cho hầu hết các
doanh nghiệp.
Góp phần giảm thiểu các thao tác thủ công trong kế toán, xây dựng một cái nhìn
bao quát về các chỉ tiêu thông qua bảng biếu sơ đồ, qua đó giúp nhân viên kế toán cũng
như các nhà quản trị quản lý tình hình hoạt động kinh doanh của công ty được tốt hơn.
-Phần mềm quản lý nhân sự tiền lương CIS-HR: quản lý một cách có hiệu quả
nguồn nhân lực hiện có và liên hệ chặt chẽ, chia sẻ thông tin quản trị nguồn nhân lực

trong toàn doanh nghiệp. Là công cụ tối ưu cho hoạt động quản trị, kiểm soát nguồn lực
và hỗ trợ ra quyết định bằng các báo cáo phân tích số liệu đa dạng, kịp thời ở mọi thời
điểm.
2.2.3.3 Cơ sở hạ tầng HTTT trong doanh nghiệp.
Mạng Internet: Công ty sử dụng mạng của cả 3 hãng là: FPT, viettel và VNPT kết
nối theo mô hình mạng LAN, tổng băng thông kết nối Internet lên tới 100Mbps.Các máy


trạm được bố trí theo kiểu hình sao đảm bảo việc hỏng hóc của mỗi máy cá nhân không
ảnh hướng đến toàn hệ thống.
Mạng VPN(Virtual Private Networth): Là một mạng dành riêng để kết nối các
máy tính của các công ty hay các tổ chức thông qua mạng Internet công cộng.
2.2.4. Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp.
2.2.4.1. Khái quát vấn đề xử lý thông tin trong công ty.
Thông tin rất quan trọng đối với doanh nghiệp, do đó, thông tin trong doanh
nghiệp cần phải được thu thập từ nhiều nguồn khác nhau nhằm đảm bảo tính đúng đắn và
khách quan nhất.
Các nguồn thu thập thông tin của doanh nghiệp:


Điều tra, nghiên cứu thị trường: phòng kinh doanh của công ty là bộ phận chủ chốt trong
việc điều tra, nghiên cứu thị trường để đưa ra những dự báo và lập kế hoạch trong thời
gian tới.



Báo, đài, các phương tiện truyền thông, mạng Internet




Thông tin từ các đối tác - khách hàng, nhà cung ứng: trước khi thực hiện giao dịch luôn
có sự trao đổi giữa công ty với đối tác, từ đó hình thành nên nguồn thông tin của công ty.



Thông tin nội bộ doanh nghiệp - thông tin từ ban giám đốc, các phòng ban: là thông tin,
báo cáo tình hình hoạt động hàng ngày của công ty, là những chỉ thị từ ban giám đốc
xuống các phòng ban.



Thông tin vào

Các nguồn khác: thông
tin truyền miệng, Chọn
quyếtlọcđịnh, chỉ thị của các
Xử cơ
lý quan hành
Thu thập
chính…
- Thông tin trong quản lý kinh tế được tuân theo quy trình sau:
Phân loại
-

Bảo quản

Truyền đạt thông tin

Thông tin ra



Hình 2.2. Quy trình thông tin trong quản lý kinh tế
(Nguồn: Bài giảng Tổ chức HTTT thông tin TT&TM, ĐH Thương mại)
- Tại Công ty cổ phần thương mại tự động hóa NASACO.việc thu thập, chọn lọc,
xử lý, phân loại và lưu trữ thông tin được thực hiện bởi phòng kinh doanh.
- Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quan đến hoạt động
của Công ty thông qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những
thông tin nhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm
thu gọn và giảm số lượng thông tin cần xử lý.
Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máy
chủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm. Ban giámđốc sẽ đưa ra
quyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ công ty.
Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm vụ của từng
phòng, nhằm phục vụ hoạt động một cách hiệu quả nhất. Do đó, mọi nhân viên trong
Công ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếm thông
tin phục vụ cho công việc của mình.
Để thu thập thông tin về tình hình ứng dụng CNTT tại Công ty cổ phần thương
mại tự động hóa NASACO., em đã thực hiện điều tra sơ bộ thông qua mẫu phiếu điều tra
được gửi tới các nhân viên trong Công ty. Điều tra được thực hiện với sự đóng góp ý kiến
của 15 nhân viên trong Công ty. Kết quả thu được như sau:
(1). Các hình thức giao dịch chủ yếu của khách hàng với Công ty?

Biểu đồ 2.2. Các hình thức giao dịch chủ yếu của công ty


Ở câu hỏi thứ nhất: “Các hình thức giao dịch chủ yếu của khách hàng với Công
ty?” ý kiến cho rằng “giao dịch trực tiếp” là nhiều nhất (7/15), tiếp đến là “giao dịch qua
điện thoại” (4/15). Như vậy, theo ý kiến của phần đông nhân viên thì hiện nay hình thức
giao dịch chủ yếu của Công ty vẫn là giao dịch truyền thống. Việc giao dịch bằng phương
pháp truyền thống không những tốn kém về thời gian, chi phí mà đồng thời rấtdễ bị lộ

vàmất mát thông tin. Điều này ảnh hưởng lớn đến công tác đảm bảo ATTT cho doanh
nghiệp.
(2). Mức độ trang bị các thiết bị phần cứng bảo mật trong Công ty?

Biểu đồ 2.3. Mức độ trang bị thiết bị phần cứngbảo mật
Ở câu hỏi thứ hai: “Mức độ trang bị thiết bị phần cứng bảo mật?” có trên 2/3 ý
kiến cho rằng các thiết bị bảo mật của Công ty còn rất thiếu thốn, chưa đáp ứng được yêu
cầu về ATTT cho công ty. Như vậy, muốn đảm bảo ATTT thì Công ty cần đầu tư
thêm cho cơ sở hạ tầng CNTT.

(3). Cách thức đảm bảo ATTT được sử dụng?


Biểu đồ 2.4. Cách thức đảm bảo ATTT được sử dụng
Ở câu hỏi thứ ba: “Cách thức đảm bảo ATTT được sử dụng trong Công ty?” hầu
hết nhân viên cho biết có sử dụng phần mềm diệt virus và sử dụng các giao thức mạng an
toàn. Số lượng nhân viên sử dụng các phần mềm bảo mật là rất ít, điều này sẽ là một
nguy cơ lớn đối với vấn đề ATTT cho Công ty.

(4). Cách thức bảo vệ CSDL được sử dụng trong Công ty?

Biểu đồ 2.5. Cách thức bảo vệ CSDL trong Công ty
Ở câu hỏi thứ tư: “Cách thức bảo vệ CSDL trong Công ty?”, ý kiến của các nhân
viên cho thấy hệ thống CSDL của Công ty đã được phân quyền sử dụng một cách rõ ràng
và cũng có khá nhiều nhân viên lựa chọn cách bảo vệ dữ liệu riêng cho mình là đặt mật
khẩu cho máy tình và tài liệu. Tuy vậy, để có thể nâng cao tính an toàn, nên sử dụng kết
hợp với các phương pháp mã hóa tài liệu.


(5). Trình độ hiểu biết của nhân viên về ATTT?

Biểu đồ 2.6. Trình độ hiểu biết của nhân viên về ATTT
Ở câu hỏi thứ năm: “Trình độ hiểu biết của nhân viên về ATTT?”, kết quả điều tra
cho thấy trình độ hiểu biết về ATTT của nhân viên còn chưa cao. Hầu hết nhân viên
trong Công ty chưa qua một lớp hoặc khóa đào tạo nào về ATTT. Để hướng tới mục tiêu
đảm bảo ATTT Công ty cần có kế hoạch đào tạo phát triển nguồn nhân lực trong thời
gian tới.
(6). Tần suất sao lưu dữ liệu?

Biểu đồ 2.7. Tần suất sao lưu dữ liệu của công ty
Ở câu hỏi thứ sáu: “Tần suất sao lưu dữ liệu của Công ty?” phần lớn ý kiến cho
rằng dữ liệu của công ty được sao lưu từ 1 đến 2 tháng một lần. Với tần suất sao lưu như
vậy, nếu có gặp sự cố về ATTT thì mức độ thiệt hại cũng giảm bớt đi vì thông tin không
bị mất đi nhiều.
(7). Tầm quan trọng của công tác ATTT đối với công ty?

Biểu đồ 2.8. Nhận thức về tầm quan trọng của ATTT
Ở câu hỏi thứ bảy: “Nhận thức về tầm quan trọng của ATTT?” kết quả cho thấy
phần lớn nhân viên trong Công ty đã ý thức được về tầm quan trọng của vấn đề ATTT.
Đây sẽ là một lợi thế cho công ty khi mà các nhân viên ý thức được việc bảo mật thông
tin cho Công ty.


(8). Trở ngại khi phát triển ATTT của công ty.

Biểu đồ 2.9. Trở ngại khi phát triển ATTT của công ty
Ở câu hỏi cuối cùng “Trở ngại khi phát triển ATTT của Công ty?”, ý kiến tập trung
vào trở ngại chính là “nguồn nhân lực”. Bởi nhận thức về ATTT của nhân viên chưa cao nên
khó có thể đạt được mục tiêu an toàn cho hệ thống.
2.2.4.2 Đánh giá thực trạngan toàn bảo mật thông tin tại công ty


Qua quá trình thu thập và phân tích kết quả điều tra, có thể đưa ra nhận xét về tình
hình đảm bảo ATTT của Công ty cổ phần thương mại tự động hóa NASACO:
 Điểm mạnh
• Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trong tình trạng còn

mới, hoạt động tốt và ổn định. Đây sẽ là một sự khởi đầu tốt cho kế hoạch xây dựng một
hệ thống đảm bảo ATTT cho Công ty.
• Các phần mềm ứng dụng là phần mềm có bản quyền. Việc mua bản quyền phần mềm
giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theo virus, mã
độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy cơ ATTT, cập


nhật các bản vá lỗi của nhà sản xuất.
Hệ thống phân quyền người sử dụng giúp làm giảm bớt sự tiếp xúc của thông tin với môi

trường ngoài, làm tăng tính bảo mật của thông tin.
• Cơ chế sao lưu dữ liệu thường xuyên giúp Công ty hạn chế tối thiểu những tổn thất khi
thông tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa.
• Phần lớn nhân viên và ban lãnh đạo Công ty đã nhận thức được tầm quan trọng của
ATTT đối với hoạt động kinh doanh và sự phát triển của Công ty.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×