Tải bản đầy đủ (.pdf) (60 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu khoa học “Phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của công ty cổ phần Sao Mai”.

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (598.1 KB, 60 trang )

BÀI NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ SINH VIÊN

Giáo viên hướng dẫn: Ths. Nguyễn Thị Hội
Bộ môn: Công nghệ thông tin
Khoa: Tin học Thương Mại
Các thành viên trong nhóm:
1.

Nguyễn Văn Thông (Nhóm trưởng) – SDT: 01658135882 – Lớp K45S5

2.

Phạm Thị Minh Thu – Lớp K45S3

3.

Nguyễn Phương Thảo – Lớp K45S4

1. Tên đề tài: “Phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của công ty cổ
phần Sao Mai”.
2. Thời gian thực hiện: Từ tháng 09 năm 2011 đến tháng 02 năm 2012.

MỤC LỤC
1


 
DANH MỤC HÌNH ẢNH ....................................................................................................... 4 
DANH MỤC TỪ VIẾT TẮT .................................................................................................. 5 
CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI ........................................................... 6 
1. Tính cấp thiết của đề tài. .................................................................................................. 6 


2. Xác lập và tuyên bố vấn đề nghiên cứu trong đề tài. ....................................................... 6
3. Mục tiêu của đề tài……………………………………………………………………....7
4. Các câu hỏi đặt ra khi nghiên cứu. ................................................................................... 7 
5. Phạm vi nghiên cứu của đề tài. ........................................................................................ 7 
6. Ý nghĩa của nghiên cứu. .................................................................................................. 7 
7. Kết cấu của báo cáo đề tài. ............................................................................................... 8 
CHƯƠNG 2: CÁC KHÁI NIỆM LIÊN QUAN VÀ THỰC TRẠNG VỀ CÁC LỖ HỔNG BẢO
MẬT TRONG HTTT CỦA CÔNG TY CỔ PHẦN SAO MAI .............................................. 9 
A. Tổng quan về an toàn và bảo mật thông tin doanh nghiệp. ......................................... 9 
1. Hệ thống thông tin. ................................................................................................... 9 
2. An toàn bảo mật thông tin. ..................................................................................... 10 
3. Lỗ hổng bảo mật và phát hiện lỗ hổng trong HTTT doanh nghiệp. ....................... 13 
a) Khái niệm ............................................................................................................ 13 
b) Một số lỗ hổng trong hệ thống thông tin của doanh nghiệp. ............................. 14 
B. Phát hiện các lỗ hổng bảo mật trong HTTT của công ty cổ phần Sao Mai. ................. 23 
I. Thực trạng chung về tình hình bảo mật trong hệ thống thông tin của các doanh nghiệp
tại Việt Nam. .................................................................................................................. 23 
1. Sự quan tâm của các doanh nghiệp Việt Nam tới vấn đề an toàn bảo mật............ 23 
2. Thực trạng ứng dụng CNTT trong kinh doanh và sản xuất. .................................. 26 
II. Thực trạng tình hình bảo mật trong HTTT của công ty cổ phần Sao Mai. ............... 27
1. Giới thiệu về công ty. ............................................................................................. 27 
2. Tình hình ứng dụng công nghệ thông tin trong công ty cổ phần Sao Mai. ........... 30 
3. Thực trạng vấn đề bảo mật và một số lỗ hổng trong HTTT của công ty. .............. 31 

2


CHƯƠNG 3: PHƯƠNG PHÁP NGHIÊN CỨU VÀ CÁC KẾT QUẢ PHÂN TÍCH THỰC
TRẠNG VẤN ĐỀ NGHIÊN CỨU........................................................................................ 34 
A. Một số phương pháp dùng để nghiên cứu. .................................................................... 34 

B. Chi tiết về đánh giá tổng quan tình hình bảo mật của công ty qua phiếu điều tra. ....... 35 
I. Đánh giá hệ thống thông tin của công ty. ................................................................... 35 
II. Về lỗ hổng phần cứng trong hệ thống thông tin của công ty. ................................... 39 
III. Về lỗ hổng phần mềm trong hệ thống thông tin công ty. ......................................... 40 
IV. Lỗ hổng xuất phát từ yếu tố con người. ................................................................... 41 
V. Về giải pháp của công ty trong vấn đề an toàn bảo mật............................................ 42 
C. Các kết luận rút ra từ phiếu điều tra. ............................................................................. 42 
CHƯƠNG 4: CÁC KẾT LUẬN, THẢO LUẬN VÀ ĐỀ XUẤT VỚI VẤN ĐỀ NGHIÊN
CỨU…………………………………………………………………………….…………………...44

A. Một số giải pháp đưa ra cho công ty. ............................................................................ 44 
I. Xây dựng HTTT an toàn bảo mật từ nhân tố khách quan: Phần cứng, phần mềm. ... 44 
II. Xây dựng HTTT an toàn bảo mật từ nhân tố chủ quan: con người,cơ cấu tổ chức...45  
1. Xây dựng đồng bộ các nhóm giải pháp. ................................................................. 45 
2. Áp dụng quy trình xây dựng một hệ thống thông tin an toàn cho doanh nghiệp. .. 46 
B. Các kết luận rút ra từ báo cáo nghiên cứu. .................................................................... 47 
I. Các vấn đề đạt được của báo cáo nghiên cứu. ............................................................ 47 
II. Các vấn đề mà báo cáo đặt ra cần tiếp tục nghiên cứu. ............................................. 48 
C. Các đề xuất, kiến nghị với vấn đề nghiên cứu. ............................................................ 49 
I. Đề xuất, kiến nghị với ban giám đốc của công ty cổ phần Sao Mai........................... 49 
II. Đề xuất, kiến nghị với nhà nước và các cơ quan liên quan. ...................................... 50
TÀI LIỆU THAM KHẢO ..................................................................................................... 52
PHỤ LỤC……………………………………………………………………………………………53

3


DANH MỤC HÌNH ẢNH

Hình 2.1


Thông điệp của nhóm hacker SwaggSec trên Twitter sau khi tấn công máy chủ nội
bộ Foxconn.

Hình 2.2

Cáp đồng trục.

Hình 2.3

Cấu trúc sợi cáp quang.

Hình 2.4

Sơ đồ bộ máy tổ chức CTCP Sao Mai.

Hình 3.1

Tỉ lệ doanh nghiệp gặp lỗ hổng trong hệ thống thông tin.

Hình 3.2

Bộ phận phụ trách HTTT của công ty.

Hình 3.3

Nhận thức của nhân viên về mức độ an toàn của HTTT trong công ty (khảo sát từ
nhân viên CTCP Sao Mai).

Hình 3.4


Đánh giá mức độ nguy hiểm của lỗ hổng phần cứng đến HTTT. (khảo sát từ nhân
viên của CTCP Sao Mai).

Hình 3.5

Mức độ hiểu biết về các lỗ hổng phần mềm. (khảo sát từ nhân viên CTCP Sao
Mai).

Hình 3.6

Những hoạt động của nhân viên gây mất an toàn thông tin công ty.

4


DANH MỤC TỪ VIẾT TẮT
STT

Từ viết tắt

Nghĩa tiếng Anh

Nghĩa tiếng Việt

1

HTTT

Hệ thống thông tin


2

Sở TT&TT

Sở Thông tin và Truyền thông

3

TP. HCM

Thành phố Hồ Chí Minh

4

VNCERT

Vietnam Computer
Emergency Response Team

Trung tâm Ứng cứu khẩn cấp máy
tính Việt Nam

5

IDG

International Data Group

Tập đoàn dữ liệu quốc tế


6

DN

7

IT

8

CNTT

Công nghệ thông tin

9

CEO

Người lãnh đạo cao nhất trong
một công ty hoặc một tổ chức,
chịu trách nhiệm thực hiện hàng
ngày các chính sách của hội đồng
quản trị.

10

GSM

11


TNHH

Trách nhiệm hữu hạn

12

CTCP

Công ty cổ phần

13

ISMS

Doanh nghiệp
Information Technology

Chief Executive Officer

Global System Mobile
Communication

Information Security
Management System

Công nghệ thông tin

Hệ thống truyền thông di động
toàn cầu


Hệ thống an toàn thông tin

5


CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1. Tính cấp thiết của đề tài.
An toàn bảo mật thông tin đã và đang là vấn đề nóng bỏng đối với tất cả các doanh nghiệp
trong và ngoài nước. Cùng với sự phát triển không ngừng của công nghệ thông tin và tình trạng
thiếu hụt nhân sự, vấn đề bảo mật đang ngày càng trở nên phức tạp hơn, khiến cho các doanh
nghiệp gặp phải không ít khó khăn trong việc phát hiện, ngăn chặn các cuộc tấn công vào chính
hệ thống thông tin của mình. Để tăng cường bảo mật hệ thống thông tin cho doanh nghiệp, một
trong những giải pháp quan trọng và cần thiết là thường xuyên theo dõi, kiểm tra nhằm phát
hiện các lỗ hổng bảo mật trong hệ thống thông tin để kịp thời ngăn chặn các cuộc tấn công từ
bên trong cũng như bên ngoài gây mất mát hay sai lệch thông tin, làm ảnh hưởng xấu tới hoạt
động sản xuất kinh doanh của doanh nghiệp.
Kinh tế suy giảm khiến cho các doanh nghiệp cắt giảm tối đa chi phí, trong đó có chi phí
dành cho bảo mật thông tin. Tuy nhiên, theo các chuyên gia cảnh báo đây lại là một hướng đi
rất sai lầm. Hiện nay nạn tội phạm công nghệ cao đang ngày càng gia tăng trong bối cảnh kinh
tế thế giới chuyển biến theo hướng xấu đi. Các doanh nghiệp đang đứng trước nguy cơ mất an
toàn trong hệ thống thông tin của doanh nghiệp. Chính vì vậy, việc phát hiện các lỗ hổng bảo
mật trong hệ thống thông tin của doanh nghiệp là điều vô cùng cần thiết và cấp bách nếu như
doanh nghiệp không muốn bị tấn công và phải chịu những tổn thất khó lường.
2. Xác lập và tuyên bố vấn đề nghiên cứu trong đề tài.
- Dựa trên tình hình bảo mật trong hệ thống thông tin của doanh nghiệp, đề tài nghiên cứu
đưa ra dự đoán về một số lỗ hổng hay gặp phải trong quá trình bảo mật hệ thống thông tin
doanh nghiệp.
- Đề tài nghiên cứu cũng đưa ra một số phương pháp phát hiện các lỗ hổng bảo mật trong
hệ thống thông tin của doanh nghiệp.

- Bên cạnh đó, đề tài nghiên cứu cũng đưa ra một số giải pháp để khắc phục các lỗ hổng
bảo mật trong bảo đảm an toàn hệ thống thông tin doanh nghiệp.
3. Mục tiêu của đề tài.

6


Báo cáo nghiên cứu sẽ giới thiệu các nguy cơ và một số lỗ hổng bảo mật mà hệ thống thông
tin của doanh nghiệp thường gặp phải. Đồng thời báo cáo nghiên cứu cũng sẽ đưa ra một số
phương pháp phát hiện các lỗ hổng bảo mật trong hệ thống thông tin của doanh nghiệp và một
số giải pháp để khắc phục các lỗ hổng bảo mật đã phát hiện được.
4. Các câu hỏi đặt ra khi nghiên cứu.
- Vai trò của bảo mật hệ thống thông tin trong sự phát triển doanh nghiệp?
- Vai trò của việc phát hiện các lỗ hổng bảo mật đối với sự phát triển của hệ thống thông
tin doanh nghiệp. Các lỗ hổng bảo mật trong hệ thống thông tin của doanh nghiệp hiện nay là
gì?
- Những phương pháp có thể phát hiện các lỗ hổng bảo mật trong HTTT doanh nghiệp?
Có giải pháp gì để khắc phục các lỗ hổng bảo mật đó không?
5. Phạm vi nghiên cứu của đề tài.
- Đối tượng nghiên cứu: Các lỗ hổng bảo mật trong hệ thống thông tin của các doanh
nghiệp nói chung.
- Phạm vi nghiên cứu: Hệ thống thông tin của Công ty cổ phần Sao Mai và một số doanh
nghiệp có ứng dụng hệ thống thông tin trong việc xây dựng hệ thống thông tin của doanh
nghiệp.
6. Ý nghĩa của nghiên cứu.
- Ý nghĩa lý luận: Dùng làm tài liệu tham khảo cho các doanh nghiệp trong vấn đề an toàn
bảo mật hệ thống thông tin doanh nghiệp. Đồng thời báo cáo nghiên cứu còn là cơ sở và là tài
liệu để nghiên cứu các vấn đề liên quan khác. Báo cáo nghiên cứu sẽ hệ thống hóa được các lỗ
hổng và cách phát hiện lỗ hổng trong bảo mật hệ thống thông tin doanh nghiệp để từ đó làm cơ
sở để xây dựng các biện pháp đảm bảo an toàn hệ thống thông tin cho doanh nghiệp.

- Ý nghĩa thực tiễn: Báo cáo nghiên cứu cho thấy được thực trạng các lỗ hổng bảo mật
trong hệ thống thông tin doanh nghiệp và từ đó đưa ra các giải pháp giúp doanh nghiệp khắc
phục được các lỗ hổng bảo mật đó.

7


7. Kết cấu của báo cáo đề tài.
- Chương 1: Tổng quan nghiên cứu đề tài.
- Chương 2: Các khái niệm liên quan và thực trạng về các lỗ hổng bảo mật trong hệ thống
thông tin của công ty cổ phần Sao Mai.
- Chương 3: Phương pháp nghiên cứu và các kết quả phân tích thực trạng vấn đề nghiên
cứu.
- Chương 4: Các kết luận, thảo luận và đề xuất với vấn đề nghiên cứu.

8


CHƯƠNG 2: CÁC KHÁI NIỆM LIÊN QUAN VÀ THỰC TRẠNG
VỀ CÁC LỖ HỔNG BẢO MẬT TRONG HTTT CỦA CÔNG TY CỔ
PHẦN SAO MAI
A. Tổng quan về an toàn và bảo mật thông tin doanh nghiệp.
1. Hệ thống thông tin.
Dữ liệu biểu diễn một tập hợp các giá trị mà khó biết được sự liên hệ giữa chúng, là các
mẩu thông tin thô chưa được xử lý. Dữ liệu có thể biểu diễn dưới dạng âm thanh, hình ảnh, văn
bản…
Thông tin bao gồm nhiều giá trị dữ liệu và luôn mang một ý nghĩa nào đó.
Hệ thống thông tin là tập hợp người, thủ tục và các nguồn lực để thu thập, xử lý, truyền và
phát thông tin trong một tổ chức.
Hệ thống thông tin hiện đại là hệ thống tự động hóa dựa vào máy tính (phần cứng, phần

mềm) và các công nghệ thông tin khác.
Hệ thống thông tin hiện đại bao gồm phần cứng, phần mềm, dữ liệu, con người, quy trình
xử lý và có các đặc điểm: Tổ chức lưu trữ, xử lý và truyền bá thông tin, cung cấp thông tin cho
tổ chức theo yêu cầu một cách chính xác và nhanh chóng. Nhiệm vụ của hệ thống thông tin là
thu thập thông tin từ môi trường ngoài, đưa thông tin ra ngoài (thông tin về giá cả, thị trường,
sức lao động, nhu cầu hàng hóa), làm cầu nối liên lạc giữa các bộ phận của hệ kinh doanh, cung
cấp thông tin cho hệ tác nghiệp, hệ quyết định (như thông tin phản ánh tình trạng nội bộ của cơ
quan tổ chức trong hệ thống, thông tin về tình trạng hoạt động kinh doanh của hệ thống).
Hệ thống thông tin là một chức năng chính của doanh nghiệp tương tự như kế toán, tài
chính, quản trị hoạt động, tiếp thị, quản trị nguồn nhân lực. Hệ thống thông tin không chỉ góp
phần quan trọng vào hiệu quả hoạt động, tinh thần và năng suất lao động nhân viên, phục vụ và
đáp ứng thỏa mãn khách hang mà còn là một nguồn thông tin và hỗ trợ chính vô cùng cần thiết
nhằm tăng hiệu quả việc ra quyết định của các cấp quản trị và các doanh nhân. Hệ thống thông

9


tin là một yếu tố sống còn trong phát triển thị trường cạnh tranh, tăng cường lợi thế chiến lược
của một tổ chức trên thị trường toàn cầu.
Các thành phần của hệ thống thông tin:
- Phần cứng: Phần cứng là các bộ phận (vật lý) cụ thể của máy tính hay hệ thống máy
tính, hệ thống mạng sử dụng làm thiết bị kỹ thuật hỗ trợ hoạt động trong HTTT.
- Phần mềm: Phần mềm là một tập hợp các câu lệnh được viết bằng một hoặc nhiều ngôn
ngữ lập trình theo một trình tự xác định nhằm tự động thực hiện một số chức năng hoặc giải
quyết một bài toán nào đó.
- Hệ thống mạng: Mạng máy tính là một tập hợp các máy tính độc lập được kết nối với
nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó.
- Dữ liệu: Cơ sở dữ liệu là một tập hợp dữ liệu có tổ chức, có liên quan được lưu trữ trên
các thiết bị lưu trữ thứ cấp (băng từ, đĩa từ…) để có thể thỏa mãn nhu cầu khai thác thông tin
đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng với nhiều mục đích khác

nhau.
- Con người: Cong người là chủ thể điều hành và sử dụng HTTT của doanh nghiệp. Con
người trong HTTT chia thành 2 nhóm chính: những người sử dụng HTTT trong công việc,
những người xây dựng và bảo trì HTTT.
2. An toàn bảo mật thông tin.
An toàn thông tin: Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm
hỏng hóc, không bị sửa đổi, thay đổi, sao chép, hoặc xóa bỏ bởi những người không được phép.
Các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và các sự cố đó
sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật hệ thống: Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng
của thông tin. Trong đó: tính bí mật là đảm bảo thông tin chỉ được tiếp cận bởi những người
được cấp quyền tương ứng, tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và
thông tin chỉ được thay đổi bởi những người được cấp quyền, tính sẵn sàng của thông tin là
những người được quyền sử dụng có thể truy xuất thông tin khi họ cần. HTTT được coi là bảo

10


mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một
thời gian xác định.
Các yếu tố cần xem xét trong bảo mật hệ thống thông tin:
- Yếu tố công nghệ: Công nghệ là một yếu tố không thể thiếu trong bảo mật hệ thống
thông tin. Những sản phẩm như Firewall, phần mềm chống virus, giải pháp mật mã, sản phẩm
mạng, hệ điều hành…đang được con người sử dụng và khai thác tối ưu các công dụng của nó
nhằm ngăn chặn các nguy cơ từ bên trong cũng như bên ngoài, bảo vệ tính an toàn của thông
tin ở từng mức: mức vật lý, mức hệ điều hành, mức mạng, mức dữ liệu,…Ngày nay sự phát
triển của công nghệ khiến cho các phần mềm bảo mật không ngừng được nâng cao cả về chất
lượng và giá thành. Tuy nhiên sự phát triển của công nghệ cũng tiềm ẩn những nguy cơ như các
cuộc tấn công vào các sản phẩm kỹ thuật số, điện thoại di động…diễn ra khắp nơi và gây thiệt
hại lớn về tài chính cho doanh nghiệp, công nghệ điện toán đám mây khiến cho việc bảo vệ an

toàn bảo mật thông tin ngày càng gay go. Do đó, doanh nghiệp cần quan tâm đúng mức đối với
các sản phẩm công nghệ mới phục vụ cho bảo mật thông tin, khi cần thiết phải có sự đầu tư
thích hợp nhằm nâng cao tính an toàn, bảo mật cho hệ thống thông tin của mình. Đồng thời
doanh nghiệp cần có những hiểu biết nhất định để có các biện pháp nhằm ngăn chặn nguy cơ
mất an toàn thông tin từ các sản phẩm công nghệ khác.
- Yếu tố con người: bao gồm những người sử dụng máy tính, những người làm việc với
thông tin và sử dụng máy tính trong công việc của mình. Theo nhận định của các chuyên gia tại
Hội nghị Lãnh đạo an ninh thông tin (CSO) được Sở TT&TT TP.HCM phối hợp cùng
VNCERT và Tập đoàn dữ liệu quốc tế IDG tổ chức vừa qua tại TP.HCM, môi trường mạng
ngày càng nguy hiểm và tội phạm công nghệ tấn công với mục đích chính là để kiếm tiền. Vì
thế, để đảm bảo an toàn trong an ninh bảo mật, con người là yếu tố quan trọng và đóng vai trò
quyết định. An toàn thông tin phải bắt đầu từ con người, cần có sự phối hợp giữa các bên liên
quan, cũng như nâng cao nhận thức của mỗi người về những hiểm họa do lỗ hổng bảo mật gây
ra. Chiến lược đầu tư vào con người là chiến lược quan trọng nhất và nó quyết định đến sự an
toàn của doanh nghiệp.
Các yêu cầu của an toàn hệ thống thông tin:

11


- Tính bí mật: dữ liệu của người sử dụng luôn được bảo vệ, không bị xâm phạm bởi những
người không được phép.
- Tính toàn vẹn: dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu.
- Tính tin cậy: thông tin người dùng nhận được là chính xác.
HTTT trong doanh nghiệp có thể gặp các rủi ro từ bên thứ ba. Kiểu truy cập đưa cho các tổ
chức này là vấn đề hết sức quan trọng. Có hai kiểu truy cập là: truy cập vật lý (phòng máy, tủ
tài liệu...) và truy cập logic (cơ sở dữ liệu, các HTTT). Tổ chức thứ 3 có thể được quyền truy
cập với một số lý do. Ví dụ, tổ chức thứ 3 là cung cấp dịch vụ cho tổ chức và không có trụ sở
nhưng có thể được quyền truy cập logic cũng như truy cập vật lý, như:
- Các nhân viên hỗ trợ phần cứng và phần mềm, những người cần truy cập mức hệ thống

hoặc các chức năng ứng dụng mức thấp;
- Các đối tác hoặc các liên doanh, những người có thể trao đổi thông tin, truy cập hệ thống
thông tin hoặc chia sẻ cơ sở dữ liệu.
Thông tin có thể gặp rủi ro từ việc truy cập của tổ chức thứ 3 cùng với vấn đề quản lý an
toàn thiếu chặt chẽ. Tại đó, có yêu cầu nghiệp vụ để liên kết với tổ chức thứ 3 tiến hành thực
hiện việc xác định các thủ tục cho các quy tắc quản lý nhất định. Nó cần được đưa vào danh
mục kiểu truy cập được yêu cầu, giá trị của thông tin, các quy tắc đã thuê tổ chức thứ 3 cũng
như các vấn đề liên quan đến vấn đề an toàn thông tin tổ chức của sự truy cập này.
Ngoài ra, để đảm bảo an toàn và bảo mật HTTT, DN cần chú ý đến các hoạt động như:
- Các tài sản công được sử dụng vào việc xử lý thông tin kinh doanh nhạy cảm và có tính
quyết định cần được đưa vào vùng an toàn, được bảo vệ bởi vành đai an toàn đã định sẵn, với
các rào cản về bảo mật cũng như các quy tắc truy cập. Chúng cần được bảo vệ về mặt vật lý từ
các sự truy cập bất hợp pháp, sự phá hủy cũng như sự can thiệp trái phép.
- Đối với những thiết bị không có nhu cầu sử dụng nữa, việc loại bỏ thiết bị này cần được
đảm bảo một cách an toàn. Các thông tin nhạy cảm có thể bị dò rỉ ra bên ngoài nếu một cá nhân
bất cẩn trong việc loại bỏ thiết bị.
- Thông tin có thể gặp các nguy cơ truy cập bất hợp pháp, lợi dụng hoặc bị làm sai lệch
trong quá trình truyền tải vật lý, ví dụ như trường hợp gửi qua dịch vụ bưu điện hoặc qua người
đưa thư…
12


An toàn bảo mật có vai trò quan trọng đối với sự phát triển bền vững của mỗi doanh
nghiệp. Trong suốt quá trình hình thành và phát triển, thông tin là tài sản vô giá đối với mỗi
doanh nghiệp. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, cong người và gây thiệt
hại đến hoạt động sản xuất kinh doanh, ảnh hưởng tới uy tín và sự phát triển của doanh nghiệp
song lại là vấn đề rất khó tránh khỏi. Bởi vậy, an toàn bảo mật không phải là công việc của
riêng người làm công nghệ thông tin mà là của mọi cá nhân và đơn vị trong tổ chức doanh
nghiệp.
3. Lỗ hổng bảo mật và phát hiện lỗ hổng trong HTTT doanh nghiệp.

a) Khái niệm
Lỗ hổng bảo mật là những yếu kém trên hệ thống hoặc ẩn chứa trong một dịch vụ nào đó,
mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc
chiếm đoạt tài nguyên bất hợp pháp.
Nguyên nhân gây ra các lỗ hổng bảo mật là khác nhau: do lỗi bản thân hệ thống, do phần
mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp,…
Mức độ ảnh hưởng của các lỗ hổng là khác nhau: có lỗ hổng chỉ ảnh hưởng tới chất lượng
dịch vụ, có lỗ hổng ảnh hưởng sâu sắc tới toàn bộ hệ thống.
VD: Nguồn tin từ Electronista cho hay một nhóm hacker tự xưng là SwaggSec đã công bố
dữ liệu từ máy chủ nội bộ của Foxconn mà nhóm đã đột nhập vào. Dữ liệu này bao gồm cả tên
sử dụng và mật khẩu các cán bộ quản lý, thậm chí cả Giám đốc điều hành. Cuộc tấn công có thể
đã tận dụng lỗ hổng bảo mật của trình duyệt Internet Explorer chưa được cập nhập trên một
máy chủ của Foxconn.

13


Hình 2.1: Thông điệp của nhóm hacker SwaggSec trên Twitter
sau khi tấn công máy chủ nội bộ Foxconn

b) Một số lỗ hổng trong hệ thống thông tin của doanh nghiệp.
 Lỗ hổng phần cứng.
- Lỗi tràn bộ nhớ đệm.
Trong các lĩnh vực an ninh máy tính và lập trình, một lỗi tràn bộ nhớ đệm hay gọi tắt là lỗi
tràn bộ đệm là một lỗi lập trình có thể gây ra một ngoại lệ truy nhập bộ nhớ máy tính và
chương trình bị kết thúc, hoặc khi người dùng có ý phá hoại, họ có thể lợi dụng lỗi này để phá
vỡ an ninh hệ thống.
Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu vượt ra ngoài
biên của một bộ nhớ đệm có chiều dài cố định. Kết quả là dữ liệu đó sẽ đè lên các vị trí bộ nhớ
liền kề. Dữ liệu bị ghi đè có thể bao gồm các bộ nhớ đệm khác, các biến và dữ liệu điều khiển

luồng chạy của chương trình (program flow control).
Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quả sai. Các lỗi
này có thể được kích hoạt bởi các dữ liệu vào được thiết kế đặc biệt để thực thi các đoạn mã
phá hoại hoặc để làm cho chương trình hoạt động một cách không như mong đợi. Bằng cách
đó, các lỗi tràn bộ đệm gây ra nhiều lỗ hổng bảo mật (vulnerability) đối với phần mềm và tạo
14


cơ sở cho nhiều thủ thuật khai thác (exploit). Nhiều kỹ thuật đa dạng với nhiều ưu nhược điểm
đã được sử dụng để phát hiện hoặc ngăn chặn hiện tượng tràn bộ đệm. Cách đáng tin cậy nhất
để tránh hoặc ngăn chặn tràn bộ đệm là sử dụng bảo vệ tự động tại mức ngôn ngữ lập trình. Tuy
nhiên, loại bảo vệ này không thể áp dụng cho mã thừa kế (legacy code), và nhiều khi các ràng
buộc kỹ thuật, kinh doanh hay văn hóa lại đòi hỏi sử dụng một ngôn ngữ không an toàn. Các
phương pháp thông dụng hiện nay là: lựa chọn ngôn ngữ lập trình, sử dụng các thư viện an
toàn, chống tràn bộ nhớ đệm trên stack, bảo vệ không gian thực thi, ngẫu nhiên hóa sơ đồ
không gian địa chỉ và kiểm tra sâu đối với gói tin.
- Lỗ hổng liên quan đến đường cáp nối, đường truyền.
Cáp đồng trục: Cáp đồng trục là kiểu cáp đầu tiên được dùng trong các LAN, được chế tạo
gồm một dây đồng ở trung tâm được bao bọc bởi một vật liệu cách li là chất điện môi không
dẫn điện, chung quanh chất điện môi được quấn bằng dây bện kim loại vừa dùng làm dây dẫn
vừa bảo vệ khỏi sự phát xạ nhiễm điện từ. Ngoài cùng lại là một lớp vỏ bọc làm bằng chất
không dẫn điện (thường là PVC, PE). Dây đồng trục có hai loại, loại nhỏ và loại to. Dây cáp
đồng trục được thiết kế để truyền tin cho bǎng tần cơ bản hoặc bǎng tần rộng. Tuy nhiên việc
sử dụng cáp đồng trục có thể bị nghe lén trên đường truyền hay tín hiệu truyền bị phát hiện và
thu trộm bởi người khác. Khi truyền dữ liệu, việc đứt cáp truyền cũng có thể gây mất mát thông
tin.

15



Hình 2.2: Cáp đồng trục

Cáp quang: Cáp sợi quang bao gồm một dây dẫn trung tâm (là một hoặc một bó sợi thủy
tinh có thể truyền dẫn tín hiệu quang) được bọc một lớp vỏ bọc có tác dụng phản xạ các tín hiệu
trở lại để giảm sự mất mát tín hiệu. Bên ngoài cùng là lớp vỏ plastic để bảo vệ cáp. Cáp quang
chỉ truyền sóng ánh sáng (không truyền tín hiệu điện) với băng thông rất cao nên không gặp các
sự cố về nhiễu hay bị nghe trộm. Cáp dùng nguồn sáng laser, diode phát xạ ánh sáng. Cáp
quang không thể bị bẻ cong nên các sự cố trong việc nối cáp tạo lỗ hổng trong đường truyền
cũng là một nguy cơ khiến thông tin có thể bị mất mát hay đánh cắp khi truyền.

Hình 2.3: Cấu trúc sợi cáp quang.

Cuối tháng 8 năm ngoái, việc trao đổi, liên lạc thông tin từ Việt Nam ra nước ngoài qua
mạng Internet bị chậm, nghẽn mạng bởi tuyến cáp quang biển AAG (Asia America Gateway)
lại bị đứt. Phía Công ty Viễn thông Viettel (Viettel Telecom) cho hay, sự cố đứt cáp này sẽ
khiến tất cả lưu lượng của các nhà cung cấp dịch vụ viễn thông tại Việt Nam hoạt động trên

16


tuyến AAG sẽ bị ảnh hưởng, trong đó có đơn vị này. Thuê bao của một số hãng khác sử dụng
hệ thống cáp quang Liên Á thông qua EVN Telecom cũng bị tác động tương tự.
- Thiết bị USB:
Gồm 2 loại phổ biến là thẻ nhớ USB và máy MP3. Chúng sử dụng flash memory, đây là
bộ nhớ kiểu EEPROM (Electrically Erasable Programmable Read-Only Memory). Thiết bị
USB là phương tiện lây lan virus chủ yếu, dễ dàng đánh cắp dữ liệu.
Để hạn chế sử dụng thiết bị USB có thể thực hiện các biện pháp như: không sử dụng các
loại thẻ nhớ cắm vào máy tính, USB bằng BIOS, USB bằng hệ điều hành (di chuyển file
Winnt\DriverCache\i386\DRIVER.CAB đi nơi khác), USB bằng phần mềm.
- Một số lỗi phần cứng khác.

Trong quá trình làm việc với máy tính, người dùng thường hay gặp những lỗi như bad ổ
cứng, hỏng cơ ổ cứng, chết RAM... Những lỗi này không trực tiếp dẫn tới các lỗ hổng bảo mật,
nhưng nếu không được khắc phục kịp thời sẽ gây ảnh hưởng không nhỏ đến dữ liệu trong máy.
Lúc đó, dữ liệu không phải bị đánh cắp hay sửa đổi mà có khả năng mất sạch, không thể phục
hồi vì những lỗi như trên.
 Lỗ hổng phần mềm.
- Lỗ hổng trong mã chương trình
Tội phạm mạng thường sử dụng lỗ hổng trong mã chương trình để truy cập vào dữ liệu và
tài nguyên trên máy tính bị lỗi bảo mật. Các chương trình độc hại được thiết kế đặc biệt để khai
thác lỗ hổng, được gọi là kỹ thuật exploit, đang ngày càng phổ biến nhanh chóng.
Điển hình như sâu Stuxnet khét tiếng, vốn không chỉ khai thác một mà đến 4 lỗ hổng cùng
lúc trong hệ điều hành Windows, là một trong những minh chứng rõ ràng nhất về việc sử dụng
kỹ thuật exploit ngày càng phổ biến của tội phạm mạng.
Chuyên viên phân tích virus của Kaspersky Lab, Vyacheslav Zakorzhevsky nhận xét:
"Trước đây, tội phạm chủ yếu nhắm mục tiêu vào các lỗ hổng bảo mật trong hệ điều hành

17


Microsoft Windows. Tuy nhiên trong vài năm gần đây, hacker đã chuyển trọng tâm vào những
sản phẩm như Adobe Flash Player và Adobe Reader".
Do vậy một sản phẩm mới có tên Adobe Updater đã được phát hành để thực hiện một chức
năng tương tự như của Windows Update, nhằm tự động tải về và cài đặt bản vá lỗi cho các
chương trình cài đặt trên máy tính của người dùng. Hiện nay, công cụ Java của Sun cũng đã trở
thành mục tiêu của tấn công khai thác lỗ hổng bảo mật. Sun cũng đang cố gắng giải quyết tình
hình cập nhật bản vá của mình.
- Lỗ hổng zero day
Lỗ hổng bảo mật này được biết đến với cái tên kinh điển là zero-day đã bị sử dụng bởi loại
sâu khét tiếng mang tên Stuxnet. Tên đầy đủ của nó là Worm.Win32.Stuxnet, cơ bản được xem
là một công cụ gián điệp công nghiệp, bởi nó được thiết kế để khuếch đại số lần truy cập vào hệ

điều hành Siemens WinCC, phục vụ cho việc thu thập dữ liệu và giám sát sản xuất.
Kể từ khi xuất hiện vào tháng 7, các chuyên gia bảo mật IT đã luôn dành cho
Worm.Win32.Stuxnet sự theo dõi sát sao. Các chuyên gia của Kaspersky Lab phát hiện ra rằng
ngoài việc sử dụng lỗ hổng bảo mật khi xử lý các tập tin LNK và PIF, Stuxnet còn sử dụng
thêm 4 lỗ hổng khác nữa của Windows. Một trong 4 lỗ hổng này đã từng được sâu Kido
(Conficker) sử dụng hồi đầu năm 2009.
Một lỗ hổng khác nằm trong dịch vụ Windows Print Spooler của Windows. Stuxnet sử
dụng lỗ hổng này để gửi các đoạn mã độc đến thực thi ở các máy tính từ xa. Nhờ chức năng của
lỗ hổng này, sự lây nhiễm sẽ được mở rộng đến các máy tính sử dụng chung một máy in hay
chia sẻ việc truy cập vào một máy in. Nếu một trong các máy tính này đang kết nối vào một
mạng thì các máy tính khác trong mạng cũng sẽ bị nhiễm.
- Lỗ hổng do không cập nhật phần mềm.
Theo báo cáo bảo mật Microsoft Security intelligence, 90% lỗ hổng bảo mật xuất hiện do
không cập nhật phần mềm cho máy. Công nghệ thông tin đang phát triển từng phút từng giây,
các hacker, virus.... cũng theo đó phát triển từng ngày. Các công ty phần mềm luôn theo sát thị
trường và mục đích của người dùng, điều tra nghiên cứu để phát triển sản phẩm của mình tốt
18


hơn, ưu việt hơn và an toàn hơn. Nếu người dùng bỏ qua bước cập nhật phiên bản mới, có thể
họ đã vô tình rút ra một viên gạch trên bức tường bảo mật của mình.
- Lỗ hổng từ các phần mềm xâm nhập qua web.
Virus, phần mềm gián điệp… thường được đính kèm thư điện tử, ảnh cũng là một trong
những phương tiện chính để tin tặc có thể xâm nhập vào máy tính của nạn nhân.
Spyware (phần mềm gián điệp): Chuyên thu thập các thông tin từ các máy chủ qua mạng
Internet mà không có nhận thức của chủ máy. Spyware được cài đặt một cách bí mật như là một
bộ phận kèm theo của các chương trình Freeware (phần mềm miễn phí) và Shareware (phần
mềm chia sẻ) mà người dung máy tính có thể đưa về từ Internet. Một khi đã cài đặt, spyware
điều phối hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một
máy khác (như của những tay hacker). Spyware cũng thu thập tin tức về địa chỉ email và ngay

cả mật khẩu cũng như là số thẻ tín dụng. Mốt số spyware nổi tiếng: WildTangent, Xupiter,
DoubleClick… Một số biểu hiện của spyware là làm chậm máy tính, máy tính bị đóng băng
hoặc khởi động lại thường xuyên, thêm thanh công cụ hoặc menu mới cho trình duyệt, tạo
shortcut mới trên desktop, thay đổi trang web mặc định, xuất hiện nhiều cửa sổ quảng cáo. Để
phòng chống spyware, người sử dụng cần tránh xa các trang web đen, nơi luôn cung cấp các tập
tin ảnh hay phim ngắn miễn phí. Nếu bạn tải các hình ảnh hay đoạn phim này, spyware sẽ theo
đó để xâm nhập vào máy của bạn. Hãy dùng phần mềm chống spyware, quét thường xuyên để
loại bỏ spyware. Khởi động lại máy và chạy kiểm tra lại lần nữa sau mỗi lần lại bị nhiễm
spyware mới để chống sự tái nhiễm.
Virus: là một chương trình có khả năng tự nhân lên sau một thời gian, tự kích hoạt tại một
thời điểm, tự phá hủy một số định dạng file, tự di chuyển đến các thư mục và máy tính khác
theo thông điệp gửi nhằm mục đích lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình
ứng dụng (liên tục khởi động lại máy, xóa file trên đĩa cứng, cài đặt các chương trình lấy cắp
thông tin, làm đầy đĩa cứng, chỉnh sửa cấu hình bảo mật, format đĩa cứng).
Ví dụ: Virus “xrobot” xuất hiện 09/04/2006, lây lan nhanh qua yahoo Messenger trên trang
web . Công tác trinh sát đã xác định virus này được viết bởi một sinh viên năm

19


thứ 2 trường Đại học Kinh tế quốc dân Hà Nội hồi tháng 04/2006. Xrobot được phát tán lên
mạng Internet vào khoảng 3 giờ chiều ngày 09/04/2006, và đến ngày 10/04/2006 đã có tới
khoảng 10.000 máy tính bị nhiễm.
 Lỗ hổng liên quan đến yếu tố con người.
- Nguy cơ từ nhân viên sa thải.
Các công ty và doanh nghiệp trên toàn thế giới đang đua nhau sa thải nhân viên, kiến tạo lại
bộ máy sản xuất nhằm giảm chi phí nhưng có nhiều vấn đề mà doanh nghiệp cần phải chú ý.
Khi những nhân viên làm lâu năm ra đi thì có thể một số thông tin quan trọng của công ty cũng
ra đi theo. Đó có thể là những thông tin kinh doanh quan trọng của doanh nghiệp mà các hãng
đối thủ đang thèm muốn.

Theo nhận định của Symantec, dưới tác động của khủng hoảng tài chính, nguy cơ mất dữ
liệu từ nhân tố bên trong ngày càng tăng cao. Bản nghiên cứu của Viện Ponemon do Symantec
tài trợ, công bố thực tế rằng 59% nhân viên đã nghỉ việc hoặc bị đề nghị nghỉ việc đang lấy cắp
dữ liệu; và 79% trong số này biết rằng họ không được phép. Cũng theo đó, chỉ 15% các tổ chức
tiến hành kiểm tra lại những văn bản và tài liệu bị đánh cắp.
Với việc sa thải nhân viên thì các doanh nghiệp có thể sẽ phải đối đầu với nguy cơ một số
thông tin quan trọng của mình có thể bị tiết lộ cho các đối thủ cạnh tranh. Khi mà chính các đối
thủ cạnh tranh lại là người tiếp nhận những nhân viên mà công ty đã sa thải thì rất có thể chính
những người nhân viên này sẽ sử dụng những thông tin mà mình biết và có được về doanh
nghiệp để giúp các đối thủ cạnh tranh gây ra những cản trở và khó khăn cho doanh nghiệp. Đây
vừa là một nguy cơ lại vừa là một lỗ hổng rất lớn trong hệ thống thông tin của doanh nghiệp mà
xuất phát từ yếu tố con người. Nếu doanh nghiệp không có các biện pháp để phòng tránh và
ngăn ngừa thì đây sẽ là một lỗ hổng vô cùng tai hại và sẽ gây ra những hậu quả, những thiệt hại
rất lớn mà doanh nghiệp có thể không lường hết trước được. Khi mà các thông tin quan trọng
của doanh nghiệp bị tiết lộ sẽ làm ảnh hưởng đến hoạt động kinh doanh cũng như các chiến
lược mà công ty đã đề ra rất có thể dẫn đến bị phá sản. Các đối thủ cạnh tranh khi mà có được
những thông tin quan trọng về doanh nghiệp thì họ có thể đi trước để biến chiến lược kinh

20


doanh của doanh nghiệp thành chiến lược của mình và khi đó rất có thể doanh nghiệp sẽ phải
đứng trước bờ vực phá sản.
- Nguy cơ từ trình độ của người lao động.
Trong các công ty, doanh nghiệp thì có rất nhiều nhân viên và những người lao động. Việc
trang bị kến thức về công nghệ thông tin là vô cùng cần thiết và quan trọng đối với những
người lao động trong doanh nghiệp. Đặc biệt yếu tố công nghệ thông tin là vô cùng cần thiết và
quan trọng đối với các nhân viên mà thường xuyên sử dụng đến máy tính trong công việc. Tuy
nhiên điều này chưa được đánh giá đúng mức về vai trò và tầm quan trọng của công nghệ thông
tin trong kinh doanh. Nhân viên trong công ty thì được tiếp cận và làm việc với rất nhiều hệ

thống thông tin trong doanh nghiệp cho dù trình độ của họ thì lại không đảm bảo và cũng
không được quan tâm đúng mức. Có rất nhiều nhân viên không biết hoặc không quan tâm đến
tình trạng bảo mật trong hệ thống thông tin của doanh nghiệp nhưng lại được giao nhiệm vụ
quản lý hay thường xuyên tiếp cận với hệ thống thông tin của doanh nghiệp. Chính công việc
này đã tạo ra những nguy cơ, những thiệt hại rất lớn đối với doanh nghiệp. Nếu như những con
người này trong quá trình thao tác với hệ thống thông tin của doanh nghiệp do không hiểu biết
hay cố tình làm rò rỉ thông tin của doanh nghiệp thì sẽ gây ra những thiệt hại vô cùng to lớn cho
hoạt động kinh doanh của doanh nghiệp. Các thông tin rò rỉ có thể là những chiến lược, những
định hướng kinh doanh của doanh nghiệp thì sẽ là vô cùng tai hại khi mà đối thủ cạnh tranh biết
được thông tin đó và rất có thể doanh nghiệp sẽ rơi xuống bờ vực phá sản.
-

Nguy cơ đến từ những thói quen sử dụng Webmail (Gmail, Yahoo!, Mail).

Trong doanh nghiệp thì những nhân viên đều có các địa chỉ Mail hay Yahoo!. Mọi người
đều biết và hiểu được tầm quan trọng của những phương tiện này trong hoạt động sản xuất,
kinh doanh. Nhờ có những phương tiện như Mail, Yahoo! mà nhân viên làm việc hiệu quả với
tốc độ nhanh hơn. Tuy nhiên bên cạnh những mặt tích cực mà nó đem lại đã khiến cho mọi
người chỉ biết đến những tính năng tốt của nó mà lại không để ý đến những nguy cơ xuất phát
từ nó có thể gây ra nguy hại cho hoạt động sản xuất kinh doanh. Thói quen chung của mọi
người là sử dụng Mail hay Yahoo! rất nhiều ngay cả khi làm việc tại công ty. Đây là một lỗ
hổng rất nguy hiểm xuất phát từ bản thân của người lao động. Tại công ty nếu việc sử dụng
21


Mail hay Yahoo! trở thành một thói quen mà người nhân viên sử dụng không để ý thì rất có thể
những thông tin quan trọng của doanh nghiệp sẽ bị các Hacker tấn công và lấy đi. Các Hacker
có thể biến những địa chỉ Mail hay Yahoo! của mình thành trung gian để rùi từ đó xâm nhập
vào hệ thống thông tin của doanh nghiệp.
Với nguy cơ đến từ những thói quen sử dụng Webmail (Mail, Yahoo!, Gmail) thì rất có thể

sẽ gây ra những thiệt hại lớn đối với doanh nghiệp. Khi mà các Hacker biến những địa chỉ Mail
hay Yahoo! thành những trung gian để tấn công vào hệ thống thông tin của doanh nghiệp thì nó
sẽ lấy đi những thông tin quan trọng liên quan đến hoạt động kinh doanh của doanh nghiệp. Khi
mà các thông tin quan trọng của công ty lọt vào tay của đối thủ cạnh tranh thì doanh nghiệp sẽ
phải chịu những tổn thất vô cùng lớn và rất có thể đứng trước nguy cơ bờ vực phá sản.
- Nguy cơ đến từ điện thoại thông minh truy cập trái phép mạng Wi-Fi.
Điện thoại thông minh đã tạo ra một trong những nguy hiểm lớn nhất đối với bảo mật
doanh nghiệp, phần lớn là bởi chúng quá phổ biến và bởi một số nhân viên không thể không sử
dụng các thiết bị cá nhân ở nơi làm việc – ngay cả khi cấp trên của họ có những biện pháp được
thiết lập hoàn hảo nhằm ngăn cấm họ sử dụng những thiết bị này.
Chuyên gia bảo mật Robert Hansen, CEO của công ty tư vấn bảo mật Internet SecTheory
nói: “Sự nguy hiểm nằm ở chỗ điện thoại di động là “nhà” của 3 thiết bị – Bluetooth, Wi-Fi và
GSM. Nhân viên sử dụng các loại điện thoại thông minh cá nhân này tại nơi làm việc có thể sẽ
trở thành đường dẫn “giới thiệu” cho các vụ tấn công”.
Nếu chúng ta sử dụng một thiết bị điện thoại thông minh có thể mở rộng mạng không dây,
thì theo Hansen: “Ai đó tại một điểm đỗ xe nào đó có thể sử dụng thiết bị “bắn tỉa” Bluethooth
nhằm đọc Bluetooth trong khoảng cách một dặm, kết nối với một chiếc điện thoại thông minh
và cuối cùng là kết nối với mạng không dây của một doanh nghiệp”. Bluetooth là một cổng mở
cho phép hacker có thể truy cập mạng Wi-Fi rồi truy cập mạng của doanh nghiệp.
Hacker ẩn náu tại một điểm nào đó có thể sử dụng thiết bị “bắn tỉa” Bluetooth, để có thể
đọc Bluetooth từ khoảng cách một dặm và kết nối trái phép vào mạng không dây của một
doanh nghiệp.

22


B. Phát hiện các lỗ hổng bảo mật trong HTTT của công ty cổ phần Sao Mai.
I. Thực trạng chung về tình hình bảo mật trong hệ thống thông tin của các doanh
nghiệp tại Việt Nam.
1. Sự quan tâm của các doanh nghiệp Việt Nam tới vấn đề an toàn bảo mật.

- Bảo mật thời kỳ suy thoái.
Kinh tế suy giảm khiến cho các doanh nghiệp cắt giảm tối đa chi phí, trong đó có chi phí
dành cho bảo mật thông tin. Tuy nhiên, các chuyên gia tại Security World 2009 cảnh báo rằng
đây là hướng đi rất sai lầm. Cũng theo các chuyên gia này, nạn tội phạm công nghệ cao đang
ngày càng gia tăng trong bối cảnh kinh tế thế giới chuyển biến theo hướng xấu. Đích ngắm chủ
yếu của giới tội phạm này là hệ thống mạng, cơ sở dữ liệu của các công ty thuộc lĩnh vực tài
chính, ngân hàng, thanh toán trực tuyến để kiếm tiền bất hợp pháp. Chính vì vậy, việc bảo đảm
an toàn thông tin, bảo đảm hoạt động sản xuất kinh doanh sẽ là vấn đề sống còn của các doanh
nghiệp trong thời kỳ này.
Theo hãng bảo mật McAfee, có ba nguy cơ chính dẫn đến tình trạng rò rỉ thông tin, xâm
nhập hệ thống bất hợp pháp, đó là cắt giảm chi phí, sao nhãng hệ thống an ninh, gia tăng tội
phạm công nghệ cao và từ chính nhân viên trong công ty.
Theo Bà Elaine Lee - chuyên gia phân tích cao cấp IDC Malaysia, khi kinh tế sụt giảm thì
các doanh nghiệp đang cố gắng giảm thiểu các khoản chi tiêu nhưng cần phải đánh giá được
thứ tự ưu tiên các nhu cầu bảo mật để đầu tư một cách hiệu quả và hợp lý nhất. Có như vậy mới
tối ưu hóa được chi phí dành cho bảo mật trong nguồn ngân sách bị cắt giảm mà vẫn đảm bảo
an toàn thông tin và ổn định hoạt động kinh doanh của doanh nghiệp.
Trong năm 2009, IDC nhận định ngân sách dành cho bảo mật sẽ giảm dần ở các mức độ
khác nhau đối với từng thị trường do chịu ảnh hưởng của môi trường kinh tế. Song ngân sách
dành cho bảo mật thông tin vẫn lớn hơn các lĩnh vực khác của công nghệ thông tin vì các yêu
cầu về vấn đề tuân thủ hoạt động của tổ chức.

23


Nhìn chung, doanh nghiệp có co hẹp chi phí để vượt qua cơn suy thoái kinh tế thì vẫn phải
chú trọng đến vấn đề bảo mật. Vì sự mất an toàn trong bảo mật thông tin không những làm cho
doanh nghiệp tăng chi phí mà đôi khi còn làm ngừng trệ hoạt động sản xuất kinh doanh của
doanh nghiệp đó
- Bảo mật trong thời kỳ kinh tế toàn cầu hóa.

Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sự sống
còn đối với các doanh nghiệp. Thế nhưng, rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm
quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò rỉ thông tin
trong chính nội bộ của doanh nghiệp mình. Theo một số liệu thống kê về vấn đề bảo mật thông
tin của Tổ chức chứng nhận TÜVRheinland Việt Nam cho biết, mỗi năm có trên 15.000 hồ sơ
của các bệnh viện bị tìm thấy trong thùng rác, 30.000 mật khẩu của các tài khoản Internet bị
công bố trên mạng, 25 người từ phòng phát triển kinh doanh của công ty này chuyển sang công
ty đối thủ, các ngân hàng phải trả hàng triệu USD do bị tấn công vào hệ thống giao dịch nghiệp
vụ và 300.000 số tài khoản tín dụng cá nhân bị trộm, một số bị công bố trên Web.
Theo một cuộc khảo sát về vấn đề bảo mật thông tin của Tổ chức nghiên cứu thị trường
EY, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn
công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không
nghiên cứu về các vấn đề rủi ro trong bảo mật.
Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông
tin mang lại như vừa nêu thì chưa có sự đầu tư cân xứng cho bảo mật thông tin. Chỉ có ngành
công nghệ là chi khoảng 22,6% từ ngân sách IT cho bảo mật thông tin, còn các ngành khác thì
tỷ lệ lần lượt là: dược (16,4%), dịch vụ tài chính (16,3%), dịch vụ công cộng (15,2%), dịch vụ
chăm sóc sức khỏe và năng lượng (12,9%).
Trong quản lý bảo mật thông tin hiện nay, vấn đề được đặt ra là Bảo mật thông tin là một
thách thức trong quản lý hay vấn đề về kỹ thuật, công nghệ? Ông Hans-Joachim Roderfeld cho
rằng thực chất 80% sẽ thuộc về quản lý. Vấn đề quản lý phải được hiểu bao gồm các chính sách
bảo mật thông tin, vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về

24


bảo mật thông tin, hoạch định đảm bảo việc kinh doanh liên tục. Chỉ có 20% là vấn đề kỹ thuật
gồm hệ thống, công cụ, cấu trúc…
- An ninh mạng.
An ninh mạng là vấn đề được thế giới đặc biệt chú trọng từ lâu. Dù vậy tại Việt Nam, nhiều

doanh nghiệp vẫn chưa thật sự quan tâm và đầu tư đúng mức để bảo đảm an toàn cho chính
mình và người sử dụng.
Theo khảo sát gần 300 doanh nghiệp mới được công bố giữa tháng 11/2010 vừa qua của
Chi hội An toàn thông tin (ATTT) phía Nam (VNISA), có đến 65% doanh nghiệp khảo sát trả
lời không tuân theo chuẩn các An toàn thông tin quốc tế. Đây là xu hướng đáng lo ngại chứng
tỏ sự hiểu biết về chuẩn, về ích lợi khi áp dụng chuẩn An toàn thông tin của doanh nghiệp Việt
Nam còn yếu. Bên cạnh đó, hơn 2/3 doanh nghiệp không có hoặc không biết có hay không quy
trình để phản ứng lại các cuộc tấn công máy tính.
Theo VNISA, điều này cho thấy sự chủ quan của doanh nghiệp, vì vậy thiệt hại sẽ rất nặng
nề nếu các cuộc tấn công máy tính thực sự xảy ra. Nguy hiểm hơn là trên 50% tổ chức được
khảo sát cho biết họ không có hoặc không biết có bắt tay vào việc xây dựng quy trình phản ứng
hay không. Con số này tăng cao so với năm 2009 (chỉ 38%).
Theo ông Ngô Văn Dũng - Giám đốc bộ phận an ninh mạng Công ty hệ thống thông tin
FPT - nhận thức của doanh nghiệp Việt Nam hiện nay về các vấn đề an ninh mạng chưa hoàn
toàn đầy đủ do thường mới chỉ nhìn được một góc của vấn đề an ninh mạng. Ví dụ đa phần đều
cho rằng các hiểm họa mất an ninh mạng là xuất phát từ ngoài Internet mà quên mất rằng hiểm
họa mất an ninh mạng có thể xuất hiện từ ngay bên trong hệ thống mạng nội bộ, hay từ ngay
những người sử dụng thông thường.
Theo ông Nguyễn Minh Đức - Giám đốc bộ phận an ninh mạng Công ty an ninh mạng
BKAV - nhận thức của nhiều doanh nghiệp về an ninh mạng hiện nay tuy có tăng với những
năm trước nhưng từ nhận thức đến hành động vẫn còn khoảng cách khá lớn. Việc đầu tư vào
thiết bị và giải pháp của doanh nghiệp chưa đồng bộ và chưa đầy đủ như chỉ đầu tư mua phần

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×