Tải bản đầy đủ (.doc) (53 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

An toàn bảo mật dữ liệu

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.1 MB, 53 trang )

.

Danh mục từ viết tắt
CNTT

Công nghệ thông tin

HTTT

Hệ thống thông tin

TMĐT

Thương mại điện tử

CSDL

Cơ sở dữ liệu

BKAV

Bách khoa anti-virus

IP

Internet Protocol

Giao thức mạng

WLAN


Wireless local area network

Mạng cục bộ không dây

LAN

Local area network

Mạng cục bộ

VPN

Virtual Private Network

Mạng riêng ảo

VNPT

Vietnam Posts and

Tập đoàn bưu chính viễn thông

Telecommunications

Việt Nam

XSS

Cross-Site Scripting


Tấn công vào kịch bản site

SQLI

Structured Query Language

Tiêm vào cấu trúc ngôn ngữ

injection

truy vấn

DoS

Denial of Service

Tấn công từ chối dịch vụ

HTML

HyperText Markup Language

Ngôn ngữ đánh dấu siêu văn
bản

WPA2

Wi-Fi protected access

Truy cập được bảo vệ không

dây phiên bản 2

WPA

Wi-Fi protected access

Truy cập được bảo vệ không
dây

WEP

Wired Equivalent Privacy

Bảo mật tương đương có dây


TCP

Transmission Control Protocol

Giao thức kiểm soát truyền vận

LỜI MỞ ĐẦU
Cùng với sự phát triển của CNTT, công nghệ máy tính và đặc biệt là mạng
internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên internet đã xâm
nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trao đổi trên
internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần
bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó. Bên cạnh đó, các hình
thức phá hoại mạng ngày càng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ
thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hết sức quan trọng và cần thiết.

Trong khóa luận tốt nghiệp này, em xin trình bày về một số yếu điểm mà doanh
nghiệp gặp phải trong bảo mật thông tin và giải pháp khắc phục những yếu điểm đó.
Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm
ơn sâu sắc nhất đến thầy Nguyễn Quang Trung – Giảng viên bộ môn CNTT đã tận tình
chỉ bảo và hướng dẫn em trong suốt quá trình làm khóa luận tốt nghiệp. Em xin bày tỏ
lời cảm ơn sâu sắc đến toàn thể thầy cô giáo, ban lãnh đạo trường Đại học Thương
Mại đã cho em môi trường học tập chuyên nghiệp trong suốt 4 năm qua, những kiến
thức mà em nhận được sẽ là hành trang giúp em vững bước trong tương lai. Ngoài ra,
em xin gửi lời cảm ơn chân thành tới ban lãnh đạo Công ty cổ phần phần mềm
EFFECT đã tạo điều kiện giúp đỡ em trong suốt quá trình thực tập cũng như làm khóa
luận tốt nghiệp.
Mặc dù em đã cố gắng hoàn thành bài khóa luận tốt nghiệp trong phạm vi và
khả năng bản thân nhưng chắc chắn sẽ không tránh khỏi những thiếu sót. Kính mong
nhận được sự chỉ bảo và giúp đỡ của quý thầy cô và các bạn để bài làm ngày một
hoàn thiện hơn.
Em xin chân thành cảm ơn!

Sinh viên thực hiện
Nguyễn Thị Vân



CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1 Tính cấp thiết của đề tài
CNTT đang ngày càng phát triển mạnh mẽ và ảnh hưởng lớn tới sự phát triển
kinh

tế




hội

của

hầu

hết

các

quốc

gia

trên

thế

giới.

Trong một nền kinh tế toàn cầu hóa như hiện nay thì thông tin, dữ liệu được xem là sự
sống còn đối với các doanh nghiệp. Nó không những giúp doanh nghiệp đáp ứng mọi
nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất, giúp cho
các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước. Vì vậy các
doanh nghiệp cần nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và
những nguy cơ có thể xảy ra từ việc rò rỉ thông tin, dữ liệu trong và ngoài nội bộ
doanh nghiệp. Do vậy nhu cầu tất yếu đòi hỏi các doanh nghiệp phải áp dụng những
thành tựu của CNTT vào việc xử lý thông tin để hiệu quả xử lý thông tin được nâng
cao lên và khối lượng thông tin được xử lý ngày càng lớn.

Tuy nhiên, việc lựa chọn ra một giải pháp đảm bảo an toàn phù hợp cho HTTT
của doanh nghiệp không dễ dàng, luôn đặt ra thách thức với hầu hết các doanh nghiệp;
đặc biệt đối với các doanh nghiệp vừa và nhỏ. Một giải pháp đúng đắn sẽ là tiền đề
vững chắc cho những công việc về sau.
Từ khi con người có nhu cầu lưu trữ và xử lí thông tin, đặc biệt là khi thông tin
được xem như một phần của tư liệu sản xuất, thì nhu cầu bảo vệ thông tin ngày càng
trở nên cấp thiết. Bảo vệ thông tin chính là bảo vệ tính bí mật và tính toàn vẹn của
thông tin. Một số loại thông tin chỉ có ý nghĩa khi chúng được giữ kín hoặc giới hạn
trong một số đối tượng nào đó ví dụ như thông tin về chiến lược kinh doanh. Đây là
tính bí mật của thông tin. Hơn nữa do sự hữu hạn của bộ óc con người nên cần phải có
thiết bị lưu trữ thông tin. Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên
đó bị mất đi, bị sai lệch toàn bộ hay một phần. Khi đó tính toàn vẹn thông tin không
còn được đảm bảo.
Trong quá trình được thực tập tại công ty Cổ phần phần mềm EFFECT em đã
có thời gian tìm hiểu về các hoạt động nghiệp vụ của công ty. Được tiếp cận sâu hơn
quy trình lưu trữ và xử lý thông tin tại công ty. Công ty Cổ phần phần mềm EFFECT
là một công ty chuyên cung cấp các phần mềm kế toán quản trị và phần mềm quản trị
doanh nghiệp. Vì vậy, các thông tin, dữ liệu về khách hàng và bản phần mềm của


khách hàng có ý nghĩa sống còn đối với công ty. Nó ảnh hưởng trực tiếp đến hoạt
động sản xuất kinh doanh của công ty. Tuy nhiên, công ty vẫn chưa chú trọng trong
vấn đề đảm bảo an toàn thông tin khi lưu trữ và xử lý. Do vậy với mong muốn có thể
giúp đội ngũ nhân viên công ty một phần nào đó nâng cao nhận thức và kiến thức về
an toàn và bảo mật thông tin em đã quyết định đề xuất đề tài khóa luận: “Giải pháp
đảm bảo an toàn thông tin cho hệ thống thông tin của Công ty Cổ Phần phần mềm
EFFECT”. Được sự đồng ý của Hội đồng Khoa Hệ Thống Thông Tin Kinh Tế cùng
giảng viên hướng dẫn Thạc sĩ Nguyễn Quang Trung em đã tiến hành các nghiên cứu
thực hiện đề tài với mong muốn phục vụ cho việc quản lí và đảm bảo an toàn thông tin
của công ty Cổ phần phần mềm EFFECT. Đề tài chứa nhiều thông tin, là căn cứ để

lãnh đạo công ty ra quyết định phục vụ cho quá trình phát triển của công ty.
1.2 Tổng quan vấn đề nghiên cứu
An toàn và bảo mật hệ thống thông tin không phải vấn đề mới, đã có nhiều công trình
nghiên cứu về vấn đề này. Tuy nhiên mỗi công trình nghiên cứu những khía cạnh
riêng như an toàn dữ liệu trong thương mại điện tử, bảo mật dữ liệu trong HTTT kế
toán quản trị,…
1.2.1 Tài liệu nước ngoài
William stalling, Cryptography and network security principles and practices,
Fourth Edition, Prentice Hall, 2011
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Trình bày về các thuật toán
mã hóa cơ bản như mã hóa khóa đối xứng, mã hóa cổ điển, mã hóa khối, mã hóa tiên
tiến và các tiêu chuẩn của mã hóa tiên tiến. Cuốn sách cũng nói về hàm băm và thuật
toán mã hóa khóa công khai, về chữ ký số và an ninh mạng: ứng dụng xác thực an
ninh thư điện tử, IP an ninh, bảo mật web và hệ thống an ninh cho hệ thống thông tin
bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hại và
những kẻ xâm hại.
Điểm thành công của cuốn sách là đưa ra được hầu hết các vấn đề cũng như
các giải pháp của vấn đề an toàn, bảo mật hệ thống thông tin. Trình bày từ cơ bản đến
nâng cao. Tính ứng dụng của tài liệu rất cao vì các nội dung được trình bày hết sức cụ
thể. Và trong điều kiện hiện nay, khi mà các vấn đề và giải pháp bảo mật liên tục lỗi


thời, thì cuốn sách - dù đã xuất bản từ năm 2011 nhưng đến nay, nội dung trong cuốn
sách gần như vẫn còn nguyên giá trị.
Tuy nhiên điểm còn tồn tại của cuốn sách đó là chỉ đưa có 2 giải pháp là phần
mềm độc hại và tường lửa trong khi các vấn đề an ninh mạng và việc xuất hiện các
vấn đề mất an ninh cho hệ thống thông tin xảy ra hàng ngày. Nên nếu chỉ áp dụng các
giải pháp trong cuốn sách thì không thể đảm bảo an toàn bảo mật cho hệ thống thông
tin của 1 doanh nghiệp cụ thể.

1.2.2 Tài liệu trong nước
Đàm Gia Mạnh, Giáo trình an toàn dữ liệu trong thương mại điện tử, Đại học
Thương Mại, 2009
Giáo trình này đưa ra các vấn đề cơ bản về an toàn dữ liệu trong TMĐT bao
gồm đại cương về an toàn dữ liệu trong TMĐT, mô hình đảm bảo an toàn dữ liệu.
Đưa ra các hình thức tấn công, cùng với các biện pháp phòng tránh khi sự cố chưa
xảy ra và cách khắc phục khi đã xảy ra sự cố. Tài liệu cũng trình bày về vấn đề mã
hóa dữ liệu và ứng dụng của an toàn dữ liệu trong TMĐT, các giải pháp đảm bảo an
toàn dữ liệu trong TMĐT.
Ưu điểm của tài liệu là trình bày từ cơ bản đến nâng cao. Bao gồm các khái niệm
căn bản như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như
những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Từ đó giúp
những người kinh doanh trong thương mại điện tử có cái nhìn tổng thể về hoạt động
kinh doanh của mình. Giáo trình cũng đào sâu nghiên cứu về các kiểu tấn công phổ
biến và cách khắc phục sự cố, phương pháp mã hóa dữ liệu, ứng dụng chữ ký điện tử
và các biện pháp đảm bảo an toàn dữ liệu, giúp các nhà kinh doanh có cái nhìn toàn
diện và vận dụng thuận lợi hơn vào doanh nghiệp của mình.
Tuy nhiên, giáo trình chỉ nghiên cứu an toàn dữ liệu trong lĩnh vực thương mại
điện tử, không tập trung nghiên cứu vào các lĩnh vực khác của an toàn bảo mật hệ
thống thông tin.
Vũ Văn Trường , Luận văn thạc sĩ với đề tài: “Nghiên cứu giải pháp đảm bảo an
toàn cho trung tâm tích hợp dữ liệu của Cục Đăng Kiểm Việt Nam”, Khoa HTTT,
Đại Học Công nghệ, Đại học Quốc gia Hà Nội.
Luận văn đã đưa ra được một số công cụ và phương pháp, mô hình nhằm đảm
bảo an toàn bảo mật CSDL như: phương pháp mã hóa, chữ ký số, mô hình clientserver, bảo mật đường truyền, bảo mật CSDL tại chỗ….


Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn
bảo mật CSDL cho Trung tâm tích hợp dữ liệu của Cục Đăng Kiểm Việt Nam chứ
không bao quát được toàn bộ các vấn đề về an toàn bảo mật nói chung và việc thiết lập

bảo vệ CSDL còn riêng lẻ chưa đồng bộ giữa các server CSDL.
Nguyễn Hữu Hiền, Luận văn với đề tài: “ Phương pháp bảo mật trên WLAN”,
Khoa CNTT, Học viện bưu chính viễn thông.
Trong công trình nghiên cứu về phương pháp bảo mật trên WLAN của sinh
viên Nguyễn Hữu Hiền đã tập trung phân tích khá rõ ràng và có chiều sâu về vấn đề
bảo mật trong mạng không dây wireless. Công trình nghiên cứ đã tập trung chỉ ra được
những yếu điểm về bảo mật trong mạng không dây và đã đưa ra được nhiều giải pháp
khắc phục khá hay và tốt. Mặc dù vậy thì công trình nghiên cứu này còn có một số hạn
chế đó là mới chỉ đưa ra được những giải pháp trước mắt chứ chưa đưa ra được giải
pháp lâu dài trong bối cảnh công nghệ phát triển như vũ bão hiện nay.
Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới và trong
nước. Các tài liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng
đều hướng tới mục tiêu chung là xây dựng một HTTT an toàn. Và em lựa chọn đề tài:
“Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của Công ty Cổ Phần
phần mềm EFFECT” sẽ kế thừa và phát triển, phân tích rõ hơn các nguy cơ gây mất
an toàn dữ liệu HTTT. Để từ đó đưa ra các giải pháp nhằm khắc phục, nâng cao an
toàn và bảo mật dữ liệu cho HTTT trong công ty.
1.3 Mục tiêu cần giải quyết của đề tài
Mục tiêu nghiên cứu của đề tài là hệ thống hoá một số lý thuyết cơ bản về đảm bảo an
toàn thông tin, dữ liệu trong HTTT. Bằng những phương pháp nghiên cứu khác nhau
như thu thập các cơ sở dữ liệu, xử lý dữ liệu…từ đó xem xét đánh giá phân tích thực
trạng vấn đề đảm bảo an toàn thông tin, dữ liệu cho HTTT để đưa ra những ưu nhược
điểm. Từ những đánh giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải
pháp nhằm nâng cao tính an toàn thông tin, dữ liệu cho HTTT. Giúp cho công ty nhận
diện những nguy cơ và thách thức của vấn đề đảm bảo an toàn thông tin, dữ liệu cho
HTTT. Từ đó, có những giải pháp nâng cao tính an toàn bảo mật, ngăn chặn các nguy cơ
tấn công dữ liệu trong hiện tại và tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:



- Hệ thống hóa cơ sở lý luận và lý thuyết về an toàn bảo mật cho HTTT chung trong
doanh nghiệp hiện nay.
- Từ đó phân tích, đánh giá thực trạng an toàn bảo mật dữ liệu trong công ty Cổ phần Cổ
phần phần mềm EFFECT dựa trên những tài liệu thu thập được.
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp an toàn bảo mật thông tin cho
HTTT trong công ty Cổ phần phần mềm EFFECT.
1.4 Đối tượng và phạm vi nghiên cứu của đề tài
1.4.1 Đối tượng nghiên cứu
Đối tượng của đề tài là:
+Hệ thống mạng.
+ Các phần cứng và phần mềm được sử dụng tại công ty.
+ Cơ sở dữ liệu và lưu trữ.
+ Con người.
Quá trình nghiên cứu có sử dụng giáo trình, bài giảng, sách báo, tài liệu luận văn và
các tài liệu khác có liên quan.
1.4.2 Phạm vi nghiên cứu
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề tài chỉ
mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng thời
gian ngắn hạn. Cụ thể:
• Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn dữ liệu cho
HTTT tại công ty Cổ phần phần mềm EFFECT nhằm đưa ra một số giải
pháp đề đảm bảo an toàn thông tin, dữ liệu cho HTTT.


Về thời gian: Do điều kiện thời gian không cho phép nên em không thể
thu thập được đầy đủ thông tin về tất cả hoạt động của doanh nghiệp, trong
đề tài chỉ đề cập đến các hoạt động an toàn thông tin, dữ liệu cho HTTT
của công ty thông qua các báo cáo kinh doanh, số liệu được khảo sát từ
năm 2012 đến năm 2014, đồng thời trình bày các nhóm giải pháp, định
hướng phát triển trong tương lai của công ty.


1.5 Phương pháp thực hiện đề tài
1.5.1 Các phương pháp thu thập thông tin
Phương pháp nghiên cứu tài liệu:


- Nội dung: Nghiên cứu các tài liệu về quy trình lưu trữ và xử lý thông tin tại công ty
Cổ phần phần mềm EFFECT. Các tài liệu về các đề tài luận văn, chuyên đề khác đã
nghiên cứu về vấn đề liên quan tới đề tài.
- Cách thức tiến hành: Dữ liệu được thu thập từ nhiều nguồn khác nhau và xử lý.
+ Nguồn tài liệu bên trong: các báo cáo kết quả hoạt động kinh doanh của
công ty trong 3 năm gần nhất.
+ Nguồn tài liệu bên ngoài: từ các công trình nghiên cứu khoa học, tạp chí,
sách báo, của các năm có liên quan tới đề tài.
Phương pháp sử dụng phiếu điều tra:
- Nội dung: Bảng câu hỏi xoay quanh vấn đề an toàn bảo mật của công ty. Những câu
hỏi đặt ra để đánh giá thực trạng triển khai các hoạt động đảm bảo an toàn bảo mật, từ
đó đề xuất một số giải pháp có tính khả thi hỗ trợ hoạt động an toàn bảo mật HTTT
quản lý của công ty.
- Cách thức tiến hành: Trong khoảng thời gian làm khóa luận, em đã tiến hành phát 10
phiếu điều tra trắc nghiệm cho các nhân viên trong các bộ phận của công ty để thu thập
các thông tin về thực trạng vấn đề an toàn thông tin trong quá trình lưu trữ và xử lý
thông tin tại công ty Cổ phần phần mềm EFFECT
- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn và bảo mật HTTT
của công ty từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để
nâng cao hiệu quả của các hoạt động an toàn bảo mật.
Phương pháp phỏng vấn chuyên gia:
- Nội dung: Gồm những câu hỏi mở để phỏng vấn trực tiếp chuyên gia quản lý trong
công ty.
- Cách thức tiến hành: Phỏng vấn cá nhân.

- Mục đích: Thu thập những thông tin chuyên sâu và chi tiết về các hoạt động đảm bảo
an toàn và bảo mật HTTT quản lý của công ty.
1.5.2 Phương pháp phân tích và xử lý số liệu :


Phương pháp định lượng: là phương pháp nghiên cứu mà dữ liệu thu thập được là số
lượng (number). Công cụ thường được sử dụng trong phương pháp là khảo sát bằng
phiếu điều tra. Sử dụng phần mềm thống kê phân tích số liệu.
Phương pháp định tính: là phương pháp nghiên cứu mà dữ liệu thu thập được không
mô tả số lượng. Phỏng vấn là công cụ thường được sử dụng trong phương pháp này.
Phỏng vấn là đưa ra những câu hỏi với người đối thoại để thu thập thông tin.
- Quy trình thực hiện là quy trình khảo sát bằng câu hỏi phỏng vấn.
- Dữ liệu được tập hợp bằng bảng Excel và mô phỏng bằng biểu đồ, sơ đồ đặc trưng.
Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu, phương pháp dử
dụng các phiếu điều tra khảo sát và phương pháp phỏng vấn là các phương pháp chủ
đạo còn các phương pháp còn lại là các phương pháp bổ trợ cho việc nghiên cứu thực
hiện đề tài.
1.6 Kết cấu khóa luận
Khóa luận gồm 3 chương chính:
− Chương 1: Tổng quan vấn đề an toàn bảo mật hệ thống thông tin.
− Chương 2: Cơ sở lí luận và thực trạng của vấn đề an toàn bảo mật hệ thống
thông tin.
− Chương 3: Giải pháp bảo mật và định hướng phát triển hệ thống thông tin.


CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA VẤN ĐỀ AN
TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN
2.1 Cơ sở lý luận về vấn đề an toàn bảo mật HTTT
2.1.1 Một số khái niệm cơ bản
Thông tin và an toàn thông tin

Thông tin: (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông) theo
nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện, một hiện tượng nào đó,
thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….Thông tin là những dữ
liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử dụng. Thông tin
được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu.
An toàn thông tin: (Bài giảng môn: An toàn và bảo mật Thông tin doanh nghiệp, Đại
học Thương mại) thông tin được coi là an toàn khi thông tin đó không bị làm hỏng
hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Dữ liệu và an toàn dữ liệu
Dữ liệu: (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông) là những
ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu chưa mang
cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành thông tin
thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện. Dữ liệu
qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục
đích khác nhau của con người.
Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên các
phương tiện lưu trữ như đĩa từ, băng từ… nhằm thỏa mãn các yêu cầu khai thác thông
tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng.
An toàn dữ liệu: (Giáo trình an toàn dữ liệu, Trường Đại học Thương mại Hà Nội)
một hệ thống thông tin được coi là an toàn khi thông tin không bị sửa đổi, sao chép
hoặc xóa bỏ bởi người không được phép. Như vậy, an toàn dữ liệu chính là việc bảo vệ
được thông tin trong CSDL tránh được những truy cập trái phép đến CSDL, từ đó có
thể thay đổi hay suy diễn nội dung thông tin CSDL.


HTTT và bảo mật HTTT
Khái niệm HTTT: (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông) là
một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông
được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu,
thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.

Bảo mật HTTT: là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin. Hệ
thống thông tin được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm
bảo theo đúng các tiêu chí trong một thời gian xác định.
+ Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp
quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của
bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài
sản có giá trị hàng đầu, việc các cá nhân không được cấp quyền truy nhập
trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc
tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.
+ Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân
thực. Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin.
Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm
cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch
gây thiệt hại cho công ty.
+ Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể
truy nhập được vào hệ thống. Có thể nói rằng đây là yêu cầu quan trọng
nhất, vì thông tin chỉ hữu ích khi người sử dụng có thể dùng được khi có
nhu cầu sử dụng, nếu thông tin đảm bảo được 2 yêu cầu: tính toàn vẹn và
tính bảo mật nhưng không đảm bảo tính sẵn sàng thì thông tin cũng không
có giá trị.

2.1.2 Một số lý thuyết của vấn đề an toàn bảo mật


Đối tượng tấn công mạng: là những cá nhân hoặc tổ chức sử dụng các công cụ phá
hoại như phần mềm hoặc phần cứng đề dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ
thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép.
Một số đối tượng tấn công mạng là:

-Hacker: là kẻ xâm nhập vào mạng trái phép, bằng cách sử dụng các công cụ
phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập trên hệ thống.
- Masquerader: là những kẻ giả mạo thông tin trên mạng. Một số hình thức
giả mạo địa chỉ IP, tên miển, định danh người dùng…
- Eavesdropping: là những đối tượng nghe trộm thông tin trên mạng, sử dụng
các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông
tin có giá trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như: ăn cắp
những thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc cũng
có thể chỉ là những hành động vô ý thức, thử nghiệm các chương trính không kiểm tra
cẩn thận.
Lỗ hổng bảo mật: là những yếu kém trên hệ thống hoặc ẩn chứa trọng một dịch vụ
nào đó, mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành
động phá hoại, hoặc chiếm đoạt tài nguyên bất hợp pháp.
Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bản thân
hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu
sắc các dịch vụ cung cấp…
Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ ảnh hưởng tới
chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng tới toàn bộ hệ
thống…
Chính sách và cơ chế bảo mật:
Chính sách bảo mật: là hệ thống các quy định nhằm đảm bảo sự an toàn của hệ thống.
Chính sách bảo mật có thể được biểu diễn bằng ngôn ngữ tự nhiên hoặc ngôn ngữ toán
học.
Ví dụ: trong một hệ thống, để bảo đảm an toàn cho một tài nguyên (resource) cụ thể,
chính sách an toàn quy định rằng chỉ có người dùng nào thuộc nhóm quản trị hệ thống
(Administrators) mới có quyền truy xuất, còn những người dùng khác thì không. Đây
là cách biểu diễn bằng ngôn ngữ tự nhiên.



Mục tiêu của chính sách bảo mật giúp người sử dụng biết được trách nhiệm của mình
trong việc bảo vệ các tài nguyên thông tin trên mạng, đồng thời giúp các nhà quản trị
thiết lập các biện pháp bảo đảm hữu hiệu trong quá trình trang bị, cấu hình, kiểm soát
hoạt động của hệ thống và mạng.
Một chính sách bảo mật được coi là hoàn hảo nếu có xây dựng bao gồm các pháp quy,
kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp người quản trị phát hiện,
ngăn chặn các xâm phạm trái phép.
Cơ chế bảo mật: Cơ chế bảo mật là hệ thống các phương pháp, công cụ, thủ tục,...dùng
để thực thi các quy định của chính sách bảo mật. Cơ chế bảo mật thông thường là các
biện pháp kỹ thuật.
Ví dụ: phòng thực hành máy tính của trường đại học quy định: sinh viên không được
sao chép bài tập của sinh viên khác đã được lưu trên máy chủ. Đây là một quy định
của chính sách bảo mật. Để thực hiện quy định này, các cơ chế được áp dụng bao gồm:
tạo thư mục riêng trên máy chủ cho từng sinh viên, phân quyền truy xuất cho từng sinh
viên đến các thư mục này và yêu cầu sinh viên phải lưu bài tập trong thư mục riêng,
mỗi khi rời khỏi máy tính phải thực hiện thao tác logout khỏi hệ thống.
Trong cơ chế này, các biện pháp như tạo thư mục riêng, gán quyền truy xuất,.… là các
biện pháp kỹ thuật. Biện pháp yêu cầu sinh viên thóat khỏi hệ thống (logout) khi rời
khỏi máy là một biện pháp thủ tục. Nếu sinh viên ra về mà không thóat ra khỏi hệ
thống, một sinh viên khác có thể sử dụng phiên làm việc đang mở của sinh viên này để
sao chép bài tập. Khi đó, rõ ràng chính sách bảo mật đã bị vi phạm.
Vai trò của an toàn bảo mật: An toàn và bảo mật có vai trò quan trọng đối với sự phát
triển bền vững của các doanh nghiệp vì: thông tin là tài sản vô giá của các doanh
nghiệp, rủi ro về thông tin của mỗi doanh nghiệp có thể gây thất thoát tiền bạc, tài sản,
con người, gây thiệt hại đến hoạt động kinh doanh, sản xuất của doanh nghiệp, rủi ro
thông tin doanh nghiệp ảnh hưởng đên uy tín và sự phát triển của doanh nghiệp nhưng
lại là vấn đề rất khó tránh khỏi. An toàn và bảo mật không phải công việc riêng người
làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.

2.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT quản lý trong

doanh nghiệp


Một HTTT quản lý hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả
môi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi
mô. Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an
toàn và bảo mật HTTT quản lý trong doanh nghiệp là: yếu tố con người và yếu tố công
nghệ.
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống và
tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin quản
lý. Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp,
năng lực sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt động
độc lập hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất
định của hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ trong
các tổ chức. Người quản lý HTTT làm tất cả mọi thứ từ việc lập nên những kế hoạch
cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng lưới
thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc nghiên
cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp xác định
được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời vạch ra
những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm việc với
đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát triển
những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả năng
tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả như thế
nào.
Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân
tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ, và những nhân viên khác có
liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng

cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển mạng
máy tính và sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc biệt
ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT quản
lý.


Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệ
thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh
doanh của doanh nghiệp.
CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãi
hơn cho các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với
những nguyên tắc mới. CNTT như một thách thức đồng thời cũng là công nghệ quan
trọng phổ biến nhất, lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam
nhanh chóng hòa nhập vào nền kinh tế toàn cầu.
Công nghệ được chia làm hai loại: Phần cứng và phần mềm.
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu
thập, xử lý và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trống
virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
2.1.4 Một số giải pháp chung bảo đảm an toàn thông tin
• Tưởng lửa (Firewall):
Khái niệm: Tường lửa là một hệ thống thiết bị hoặc phần mềm có chức năng chặn và
“lọc” giao thông dữ liệu giữa hệ thống bên trong và môi trường bên ngoài. Thông
thường, tường lửa là một chương trình cài đặt trên một thiết bị chuyên dụng, bố trí như
một cổng ra vào duy nhất cho liên lạc giữa phía bên trong hệ thống cần bảo vệ và phía
bên ngoài. Firewall bao gồm cả hệ thống phần cứng và phần mềm.
Chức năng: - Hạn chế truy nhập tại một nút mạng.
- Ngăn chặn các truy nhập không hợp pháp từ hệ thống ngoài vào trong hệ
thống cần bảo vệ.

- Hạn chế truy cập từ mạng trong ra mạng ngoài.
Xây dựng firewall là một biện pháp khá hữu hiệu, cho phép bảo vệ và kiểm soát hầu
hết các dịch vụ. Đảm bảo an toàn cho mạng cần bảo vệ.
• Mạng riêng ảo
Khái niệm: Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng
để kết nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy


tính tham gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN
(Local Area Network).
Tác dụng: Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư
thông qua Internet là cực kỳ nguy hiểm vì những dữ liệu đó có thể dễ dàng bị rò rỉ, bị
ăn cắp... Mạng riêng ảo là giao thức trợ giúp việc kết nối các máy tính lại với nhau
thông qua một kênh truyền dẫn dữ liệu (tunel) riêng đã được mã hóa.
+ Mạng riêng ảo giúp bảo vệ dữ liệu trong khi chúng được truyền trên
Internet vì vậy mạng riêng ảo thường được ứng dụng trong các trường hợp sau:
+ Làm việc từ xa: Truy cập từ xa thông qua Internet vào mạng của công ty
để chia sẻ dữ liệu cũng như thực thi các ứng dụng nội bộ.
+ Kết nối nhiều mạng với nhau (Site-to-Site): Nếu công ty có nhiều văn
phòng, việc kết nối các mạng lại với nhau thành một mạng thống nhất sẽ đem
lại hiệu quả ấn tượng trong việc quản lý & chia sẻ thông tin.
+ Tạo phiên làm việc an toàn: Mạng riêng ảo là giải pháp tốt & với chi phí
thấp cho một số công việc đòi hỏi tính bảo mật cao như quản trị máy chủ,
website, cơ sở dữ liệu...
• Mã hóa:
Trong những năm gần đây, giới công nghệ thông tin đã chứng kiến sự bùng nổ của nền
công nghiệp mạng không dây. Khả năng liên lạc không dây đã gần như tất yếu trong
các thiết bị cầm tay, máy tính xách tay, điện thoại di động và các thiết bị số khác. Với
các tính năng ưu việt về vùng phục vụ kết nối linh động, khả năng triển khai nhanh
chóng, giá thành ngày càng giảm, mạng không dây đã trở thành một trong những giải

pháp cạnh tranh có thể thay thế mạng Ethernet LAN truyền thống. Tuy nhiên, sự tiện
lợi của mạng không dây cũng đặt ra một thử thách lớn về bảo mật đường truyền cho
các nhà quản trị mạng.
Bảo mật đường truyền là: quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một
quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá
máy tính thuộc về 1 trong 2 loại sau:
- Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
- Mã hoá sử dụng khoá công khai (Public-key encryption
• Điện toán đám mây


Khái niệm: Điện toán đám mây (cloud computing), còn gọi là điện toán máy chủ ảo, là
mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào mạng Internet.
Thuật ngữ "đám mây" ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa vào cách được bố trí
của nó trong sơ đồ mạng máy tính) và như một liên tưởng về độ phức tạp của các cơ sở
hạ tầng chứa trong nó.
Có thể hiểu một cách đơn giản là: các nguồn điện toán khổng lồ như phần mềm, dịch
vụ… sẽ nằm tại các máy chủ ảo trên Internet thay vì trong máy tính gia đình và văn
phòng (trên mặt đất) để mọi người kết nối và sử dụng mỗi khi họ cần. Với các dịch vụ
sẵn có trên Internet, doanh nghiệp không phải mua và duy trì hàng trăm, thậm chí hàng
nghìn máy tính cũng như phần mềm. Họ chỉ cần tập trung sản xuất bởi đã có người khác
lo cơ sở hạ tầng và công nghệ thay họ. Bạn có thể truy cập đến bất kỳ tài nguyên nào tồn
tại trong “đám mây” tại bất kỳ thời điểm nào và từ bất kỳ đâu thông qua hệ thống
Internet.
Tác dụng: ứng dụng điện toán đám mây” chính là những ứng dụng trực tuyến trên
Internet. Trình duyệt là nơi ứng dụng hiện hữu và vận hành còn dữ liệu được lưu trữ
và xử lý ở máy chủ của nhà cung cấp ứng dụng đó.
2.1.5 Vấn đề con người trong bảo mật hệ thống.
Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả các
cơ chế, các kỹ thuật được áp dụng để bảo đảm an toàn hệ thống đều có thể dễ dàng bị

vô hiệu hoá bởi con người trong chính hệ thống đó.
Ví dụ: hệ thống xác thực người sử dụng yêu cầu mỗi người trong hệ thống khi
muốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu. Tuy
nhiên, nếu người được cấp mật khẩu không bảo quản kỹ thông tin này, hoặc thậm chí
đem tiết lộ cho người khác biết, thì khả năng xảy ra các vi phạm đối với chính sách an
toàn là rất cao vì hệ thống xác thực đã bị vô hiệu hoá.
Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọi
chung là những người xâm nhập (intruder hoặc attacker) và theo cách nghĩ thông
thường thì đây phải là những người bên ngoài hệ thống.
Tuy nhiên, thực tế đã chứng minh được rằng chính những người bên trong hệ
thống, những người có điều kiện tiếp cận với hệ thống lại là những người có khả năng
tấn công hệ thống cao nhất. Đó có thể là một nhân viên đang bất mãn và muốn phá


hoại, hoặc chỉ là một người thích khám phá và chứng tỏ mình. Các tấn công gây ra bởi
các đối tượng này thường khó phát hiện và gây thiệt hại nhiều hơn các tấn công từ bên
ngoài.
Những người không được huấn luyện về an toàn hệ thống cũng là nơi tiềm ẩn
các nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra
an toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư
mục an toàn, ghi mật khẩu lên bàn làm việc,…
2.1.6 Phân định nội dung nghiên cứu
Với đề tài: “Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của Công ty
Cổ Phần phần mềm EFFECT”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về an
toàn thông tin, dữ liệu cho HTTT, thực trạng và giải pháp an toàn HTTT cho công ty Cổ
phần phần mềm EFFECT.
Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:

• Nghiên cứu tổng quan về vấn đề an toàn thông tin, an toàn dữ liệu cho HTTT
trong doanh nghiệp.

• Nghiên cứu về các nguy cơ mất an toàn dữ liệu doanh nghiệp, các biện pháp
phòng tránh và khắc phục hậu quả.
• Nghiên cứu thực trạng vấn đề an toàn bảo mật hệ thống thông tin trong Công
ty.

• Đưa ra các giải pháp nhằm đảm bảo an toàn dữ liệu cho HTTT của Công ty.

2.2 Kết quả phân tích, đánh giá thực trạng về vấn đề bảo mật HTTT tại công ty
Cổ phần phần mềm EFFECT
2.2.1 Giới thiệu về công ty Cổ Phần phần mềm EFFECT
2.2.1.1 Thông tin chung về công ty
Tên công ty: CÔNG TY CỔ PHẦN PHẦN MỀM EFFECT.


Tên viết tắt: EFFECT.
Địa chỉ trụ sở chính: P502,Tòa nhà Viễn Đông, 36 Phố Hoàng Cầu, Phường Ô Chợ
Dừa, Quận Đống Đa, Thành phố Hà Nội.
Điện thoại: (04)37721635
Fax: (04)37721636
Email:
Tên website: />Công ty thuộc hình thức công ty cổ phần, hoạt động theo Luật Doanh nghiệp và các
quy định hiện hành khác của nước Cộng hoà xã hội chủ nghĩa Việt Nam.
2.2.1.2 Cơ cấu tổ chức
Công ty có 1 giám đốc và 40 nhân viên làm việc tại 5 phòng ban: phòng kế toán,
phòng hành chính, phòng kinh doanh, phòng kỹ thuật bảo trì, phòng chuyển giao.
Bộ máy tổ chức của công ty

Sơ đồ 2.1. Sơ đồ cấu trúc tổ chức của công ty
(Nguồn: Phòng hành chính)
2.2.1.3 Lĩnh vực và mục tiêu kinh doanh:



Công ty Cổ Phần phần mềm EFFECT là đơn vị chuyên cung cấp những giải pháp quản
trị cho doanh nghiệp với hai dòng sản phẩm chính là phần mềm kế toán quản trị và
phần mềm quản lý tổng thể doanh nghiệp nhằm đáp ứng nhu cầu quản trị của các đơn
vị doanh nghiệp thuộc mọi quy mô ngành nghề trên khắp cả nước.
Với phương châm “Ý tưởng hay, giải pháp tốt” EFFECT luôn đứng ở vị trí khách hàng
đề nhìn nhận vấn đề. Đề xuất những ý tưởng sáng tạo, chất lượng và hiện thực hóa nó
bằng những giải pháp phù hợp tối ưu nhằm giải quyết nhu cầu quản trị đa dạng của
doanh nghiệp, giúp các doanh nghiệp hoạt động hiệu quả hơn thông qua phần mềm
quản trị thông minh và các dịch vụ hỗ trợ, tư vấn hoàn hảo.
2.2.1.4 Chiến lược, định hướng phát triển của EFFECT trong thời gian tới:
Giữ được thị trường hiện có và mở thêm thị trường mới:
Xây dựng chính sách đối với khách hàng trước trong và sau khi đặt hàng, tạo ra sự gắn
kết lâu dài, kết hợp tốt các mặt: chất lượng tốt, thời gian đảm bảo, giá cả hợp lý với sự
tín nhiệm của khách hàng đối với doanh nghiệp.
Tiếp tục tăng cường công tác quản trị dự án, nâng cao năng lực đội ngũ nhân sự quản
lý.
Tăng cường bộ phận chăm sóc khách hàng và phát triển thị trường với kỹ năng tiếp
thị, nghệ thuật ứng xử. Bộ phận này sẽ chăm sóc và củng cố các khách hàng hiện có và
tìm kiếm những khách hàng tiềm năng.
Mở rộng thị trường kinh doanh sang các thành phố lớn như Đà Nẵng, Hải Phòng,
Quảng Ninh,…với mong muốn trở thành đơn vị cung cấp phần mềm kế toán quản trị
và phần mềm quản trị tổng thể doanh nghiệp hàng đầu Việt Nam.
Củng cố và tăng cường mặt nhân sự:
Chính sách tuyển dụng: Mục tiêu chính sách tuyển dụng của EFFECT là thu hút và
duy trì nguồn nhân lực chất lượng cao. Tiêu chí tuyển dụng dựa trên tố chất, tiềm năng
và thiện chí của ứng viên.
Chính sách đào tạo: Mọi cá nhân khi đã trở thành thành viên chính thức của EFFECT
đều được tham dự các khoá đào tạo nâng cao kiến thức, kỹ năng, khả năng của mình,

giúp hoàn thành tốt công việc hiện tại và tương lai, đáp ứng mục tiêu nghề nghiệp của


cá nhân và mục tiêu của tổ chức. EFFECT coi đào tạo là một cách đầu tư vào nguồn
nhân lực của công ty, giúp nâng cao vị thế cạnh tranh của công ty.
Chính sách duy trì nhân lực và quan hệ lao động: EFFECT áp dụng chính sách đãi ngộ
và trả công lao động xứng đáng với đóng góp của mỗi thành viên, EFFECT cam kết
đáp ứng đầy đủ các trang thiết bị và điều kiện làm việc phù hợp cho nhân viên,
EFFECT xây dựng và phát triển một môi trường làm việc trẻ trung, năng động, sáng
tạo và chuyên nghiệp, phát huy văn hóa doanh nghiệp ngày càng mạnh mẽ và không
ngừng nâng cao tính tự giác, sáng tạo của nhân viên để đem đến cho khách hàng các
dịch vụ, sản phầm và sự phục vụ tốt nhất.
Đồng thời, công ty Cổ Phần phần mềm EFFECT hướng tới sự hoàn thiện, không
ngừng nâng cao chất lượng sản phẩm dịch vụ, đa dạng hoá sản phẩm dịch vụ, cải tiến
công nghệ nhằm đáp ứng cho khách hàng những sản phẩm tốt nhất với dịch vụ sau bán
hàng hoàn hảo nhất và coi đó là nền tảng cơ bản giúp cho công ty phát triển vững chắc
trong tương lai.
2.2.1.5 Tình hình hoạt động của công ty 3 năm gần nhất:
Với kinh nghiệm hơn 15 năm hoạt động trong lĩnh vực sản xuất phần mềm kế toán
quản trị và phần mềm quản trị tổng thể doanh nghiệp, EFFECT đã trở thành một
thương hiệu đáng tin cậy, đạt được nhiều thành tựu và được đánh giá cao bởi hơn 3000
doanh nghiệp trong và ngoài nước hoạt động trên toàn lãnh thổ Việt Nam.
Trong 3 năm qua tình hình kinh doanh của công ty luôn trên đà đi lên, doanh thu luôn
đạt thậm chí vượt mục tiêu đề ra. Khách hàng của công ty ngày một đông hơn, đa dạng
hơn và tin tưởng vào chất lượng sản phẩm của công ty. Có thể thấy sự thay đổi đó qua
bảng doanh thu các năm dưới đây:

Đơn vị tính :VNĐ
Năm


Doanh thu

2012

10 307 837 402

2013

11 859 381 498

2014

14 012 899 238


Bảng2.2 Doanh thu công ty
( Nguồn: Báo cáo kết quả kinh doanh 2012-2014 công ty Cổ phần phần mềm
EFFECT)
2.2.2 Thực trạng vấn đề bảo mật HTTT của Công ty Cổ phần phần mềm
EFFECT
2.2.2.1 Thực trạng ứng dụng HTTT trong doanh nghiệp
Phương thức thu thập và truyền nhận thông tin của công ty: Sử dụng đường truyền của
mạng LAN và Internet để truyền nhận thông tin giữa cấp trên và cấp dưới và giữa
nhân viên các phòng ban với nhau. Công ty chưa có cán bộ chuyên trách quản trị mạng
và các HTTT riêng. Vấn đề này được xen kẽ trong công việc của các phòng ban có sử
dụng HTTT, mạng, phần mềm.
Trang thiết bị phần cứng
Hiện tại công ty có 1 máy chủ được đặt tại phòng giám đốc và 40 máy tính xách tay.
Trong đó:
Phòng giám đốc: có 1 máy chủ.

Phòng kế toán tài chính: có 2 máy tính xách tay.
Phòng kinh doanh: có 6 máy tính xách tay.
Phòng hành chính: 1 máy tính xách tay.
Phòng kỹ thuật bảo trì: có 21 máy tính xách tay.
Phòng chuyển giao: có 10 máy tính xách tay.
Số máy tính được kết nối vào mạng nội bộ: 41 máy.
Số máy tính kết nối internet: 41máy.
Số phòng ban được kết nối vào mạng nội bộ: 5 phòng ban.
Các hệ điều hành sử dụng cho máy chủ và các máy tính trong công ty: Windows 7.
Các máy tính đều được kết nối mạng internet và mạng nội bộ. Toàn bộ hoạt động của
các máy tính đều được phân quyền bởi máy chủ.
Tên

Máy tính để bàn

Máy tính xách tay

Chi tiết
Số lượng

1

40

Máy

Máy in ,máy

chủ


fax

1

2


Nhãn hiệu

Samsung

Dell

Dell

Thông số:Intell

Thông số: Inspiron

Dual Core Pen E

3542 i5

2.8×2 – E5500/

4210U/4G/500G/V

Main Ondi

GA 2G


Laser shot
LBP 1120
HP LaserJet
P3015dn
Printer

Chipset Intel
G41 / DDramIII
2Gb / Hdd 40Gb

Bảng 2.3 Thống kê trang thiết bị phần cứng
(Nguồn: Thông tin phiếu điều tra)
Qua những thiết bị phần cứng tìm hiểu thì các trang thiết bị phần cứng của công ty còn
nghèo nàn, số lượng các thiết bị phần cứng còn ít. Để đảm bảo công việc ngày một
tăng và sự phát triển của công ty thì cần tính đến biện pháp nâng cấp, cải thiện trang
thiết bị phần cứng. Ngoài ra máy tính để bàn, laptop, máy in, camera, router, máy
photocopy, modem đều được kết nối với nhau và kết nối với máy chủ qua hệ thống
dây mạng, phục vụ hoạt động trao đổi dữ liệu của công ty.
Các phần mềm ứng dụng
Hiện công ty đang sử dụng một số phần mềm ứng dụng phục vụ cho các hoạt động của
công ty cụ thể:
STT Tên phần mềm

Năm sử

Số

dụng


máy

Mô tả

sử
dụng
1

Hệ điều hành Window

2008

41

Cài đặt cho mỗi máy tính để lập

7,các phần mềm quản

các báo cáo, quản lý các báo cáo,

lý văn phòng cơ bản

ghi nhận tình hình hoạt động kinh

Office 2007

doanh lưu trữ dữ liệu của Công ty:
thông tin nhân viên và khách hàng



được lưu trên Excel.
2

Hệ quản trị CSDL

2008

40

SQL sever 2008

Sử dụng SQL Server để lưu trữ dữ
liệu về bảng chấm công nhân viên.
Lưu trữ các dữ liệu trong quá trình
xây dựng phần mềm cho khách
hàng.

3

Phần mềm kế toán

2010

2

EFFECT phiên bản 6.0

Phần mềm này do chính công ty
thiết kế và được cài đặt trên một số
máy tính để quản lý các báo cáo

,chứng từ kế toán....Phần mềm kế
toán phản ánh hiện trạng và sự
biến động về vốn, tài sản của
doanh nghiệp dưới dạng tổng
quát ,cho phép lưu trữ các số liệu
chứng từ kế toán hiệu quả, chính
xác. Phần mềm kế toán hỗ trợ đắc
lực trong nghiệp vụ kế toán cũng
như quản lý doanh nghiệp.

4

Phần mềm quản lý

2003

1

chấm công

Công ty tự thiết kế một modul
chấm công riêng để phục vụ việc
quản lý chấm công của các nhân
viên trong công ty. Việc sử dụng
phần mềm chấm công này sẽ giúp
cho giám đốc có thể dễ dàng theo
dõi và quản lý ngày giờ làm việc
của nhân viên, từ đó tính lương
cho từng nhân viên.


5

Một số phần mềm bảo

2003

41

Giúp bảo vệ máy tính, mạng, dữ

vệ như

liệu ở các máy tính của Công ty,

antivirus( BKAV

quản trị hệ cơ sở dữ liệu của Công

Pro.avira antivirus

ty.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×