Tải bản đầy đủ (.doc) (62 trang)

Một số giải pháp nâng cao tính an toàn bảo mật cho HTTT của công ty cổ phần công nghệ tinh vân

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.08 MB, 62 trang )

LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được
sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Nguyễn Thị Hội, cùng sự giúp
đỡ của ban giám đốc và toàn thể nhân viên công ty cổ phần công nghệ Tinh Vân.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Nguyễn Thị Hội –
Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện
khóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các
anh/chị làm việc tại công ty cổ phần công nghệ Tinh Vân vì sự quan tâm, ủng hộ và hỗ
trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông
Tin Kinh Tế về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập
và hoàn thành khóa luận này.
Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu
về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu khóa luận khá hạn
hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, khóa luận chắc chắn
sẽ gặp phải nhiều sai sót. Em kính mong cô giáo Nguyễn Thị Hội, các thầy cô giáo
trong khoa Hệ Thống Thông Tin Kinh Tế, các anh/chị nhân viên trong công ty cổ phần
công nghệ Tinh Vân góp ý, chỉ bảo để khóa luận có giá trị cả về lý luận và thực tiễn.
Em xin chân thành cảm ơn!

i


MỤC LỤC

LỜI CẢM ƠN..............................................................................................................i
MỤC LỤC.................................................................................................................... ii
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ.......................................................iii
DANH MỤC TỪ VIẾT TẮT.....................................................................................iv
CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU........................................1


1.1. Tầm quan trọng, ý nghĩa của đề tài.....................................................................1
1.2. Tổng quan vấn đề nghiên cứu..............................................................................2
1.5.2.2. Phương pháp xử lý dữ liệu.................................................................................................................5

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA ATBM THÔNG TIN
TRONG HTTT CỦA CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN...............6
2.1. Cơ sở lý luận ATBM thông tin trong HTTT ......................................................7
2.1.1. Một số khái niệm cơ bản....................................................................................7
2.1.1.1. Khái niệm dữ liệu, thông tin, HTTT trong doanh nghiệp.....................................................................7

CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG
CAO HIỆU QUẢ ATBM TRONG HTTT TẠI CÔNG TY CỔ PHẦN CÔNG
NGHỆ TINH VÂN.....................................................................................................26
3.1 Định hướng phát triển ATBM thông tin trong HTTT của công ty cổ phần
Tinh Vân..................................................................................................................... 27
Đầu tư trang thiết bị.......................................................................................................................................53
Nâng cấp máy chủ tại công ty lên Windows server 2008 để phù hợp với các ứng dụng trong hệ thống mới,
cấu hình cao hơn phù hợp với tình hình phát triển của công ty....................................................................53
Cập nhật trang thiết bị phần cứng, phần mềm để thích ứng với những giải pháp mới về an toàn bảo mật
thông tin trong hệ thống mạng của doanh nghiệp. ......................................................................................53
Các trang thiết bị về công nghệ thông tin phải được kiểm tra thường xuyên, khắc phục các lỗi và trục trặc
nhanh chóng và kịp thời.................................................................................................................................53

KẾT LUẬN CỦA KHÓA LUẬN..............................................................................54
DANH MỤC TÀI LIỆU THAM KHẢO..................................................................vii
PHỤ LỤC 1...............................................................................................................viii

ii



DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ

Hình
Hình 2.1
Hình 2.2
Hình 2.3
Hình 2.4

Tên Hình
Ba mục tiêu bảo mật thông tin
Các hình thức tấn công vào HTTT doanh nghiệp
Sơ đồ tổ chức của công ty cổ phần công nghệ Tinh Vân
Bảng kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm

Hình 2.5

2010- 2012
Thông số về phần cứng máy trạm tại công ty cổ phần công nghệ Tinh

Hình 2.6

Vân
Cơ cấu nguồn nhân lực của công ty cổ phần Tinh Vân từ 2010 đến
2012
iii


Hình 2.7
Hình 2.8
Hình 2.9

Hình 2.10
Hình 2.11
Hình 2.12
Hình 2.13
Hình 2.14
Hình 2.15

Kết quả sử dụng SPSS đánh giá phiếu điều tra – 1
Kết quả sử dụng SPSS đánh giá phiếu điều tra – 2
Kết quả sử dụng SPSS đánh giá phiếu điều tra – 3
Kết quả sử dụng SPSS đánh giá phiếu điều tra - 4
Kết quả sử dụng SPSS đánh giá phiếu điều tra - 5
Kết quả sử dụng SPSS đánh giá phiếu điều tra - 6
Kết quả sử dụng SPSS đánh giá phiếu điều tra - 7
Bảng so sánh kỹ thuật giữa server cũ và server đề xuất
Các tùy chọn Netsh wlan

Hình 2.16
Hình 2.17
Hình 2.18
Hình 2.19
Hình 2.20

Một ví dụ export Netsh wlan
Bổ sung thêm một profile mới với Netsh wlan
Hiện các profile không dây với Netsh wlan
Các kết quả của việc kết nối với WLAN
Bảng thông số yêu cầu đối với máy trạm khi cài đặt Kaspersky® Small

Hình 2.21


Office Security
Bảng thông số yêu cầu đối với máy chủ khi cài đặt Kaspersky® Small
Office Security

DANH MỤC TỪ VIẾT TẮT

Tên từ viết tắt
ATBM
ATTT
CA
CNTT
CPU
CSDL
CRM
DOS
ĐVT
HTTP
HTTT
NAT
LAN
SSL
WEP

Thuật ngữ

Network Address Translation
Local Area Network
Secure Sockets Layer


Giải nghĩa
An toàn bảo mật
An toàn thông tin
Cơ quan chứng thực
Công nghệ thông tin
Bộ xử lý trung tâm
Cơ sở dữ liệu
Quản lý quan hệ khách hàng
Từ chối dịch vụ
Đơn vị tính
Giao thức truyền tải siêu văn bản
Hệ thống thông tin
Chuyển đổi địa chỉ mạng
Mạng cục bộ
Giao thức an ninh thông tin

Wireless Encryption Protocol

mạng
Giao thức mã hoá mạng không

Certificate authority
Central Processing Unit
Customer Relationship Management
Denial of Service
HyperText Transport Protocol

dây

iv



CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
1.1. Tầm quan trọng, ý nghĩa của đề tài
Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vực
nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thông
tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đưa ra
nhưng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự thay đổi
của xã hội.
Ngày nay, với sự phát triển của công nghệ thông tin, Internet trở thành cầu nối
chia sẻ kiến thức, thông tin giúp con người đến gần nhau hơn. Ứng dụng tin học vào
lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp
phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển. Vì
vậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy rõ được tầm quan
trọng của hệ thống thông tin (HTTT). Nó không những giúp doanh nghiệp đáp ứng
mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất, giúp
cho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước.
Có thể coi HTTT như là thành phần quan trọng của doanh nghiệp, nó quyết định
mọi hoạt động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọng đó
mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp. Chính vì
vậy, cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp.
Công ty cổ phần công nghệ Tinh Vân chuyên cung cấp các sản phẩm phần
mềm đóng gói và phần mềm giải pháp, sản phẩm trực tuyến và mobile cho nên các
thông tin và dữ liệu liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng, bản
quyền phần mềm… là rất quan trọng. Nó ảnh hưởng trực tiếp và gián tiếp đến hoạt
động kinh doanh và sản xuất của công ty. Tuy nhiên, công ty vẫn chưa có sự đầu tư
đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT) của mình.
Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, tính nhất quán
chưa cao.
Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần công nghệ Tinh

Vân em xin thực hiện đề tài khoá luận: “ Một số giải pháp nâng cao tính an toàn bảo
mật cho HTTT của công ty cổ phần công nghệ Tinh Vân”.

1


1.2. Tổng quan vấn đề nghiên cứu
An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình,
nghiên cứu chuyên sâu về vấn đề này. Tuy nhiên, mỗi công trình nghiên cứu về những
khía cạnh riêng của hệ thống thông tin, thương mại điện tử, …
+ Nước ngoài:
- William Stallings (2005),Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh
mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng
ngày nay. Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard)
cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng,
thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để
xác thực, mã hoá chứng thực. Bao gồm phương pháp phòng tránh, mở rộng cập nhật
những phần mềm độc hại và những kẻ xâm hại.
- Man Young Rhee (2003). Internet Security: Cryptographic principles,
algorithms and protocols. John Wiley & Sons.
Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên
tắc , các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc phục các
mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực, tính
toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet.
Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đó
truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi
bởi kẻ tấn công thông qua đường truyền Internet. Các tài liệu trong cuốn sách này trình

bày lý thuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt,
kỹ lưỡng và chất lượng. Kiến thức của cuốn sách được viết để phù hợp cho sinh viên
và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo
mật Internet.
+ Trong nước
- Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB Thống Kê.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong
TMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong

2


TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an
toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến
một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các
biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh
có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình.
- Phan Đình Diệu (2002), Giáo trình “ Lý thuyết mật mã và an toàn thông
tin”, Đại học Quốc gia Hà Nội.
Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học có
liên quan đến việc đảm bảo an toàn thông tin. Hệ mật khoá đối xứng, hệ mật khoá
công khai; Chữ ký điện tử, ứng dụng và thực hành…
Thành công: Đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục
tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, các
hình thức tấn công. Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránh
các tấn công gây mất an toàn thông tin cũng như biện pháp khắc phục hậu quả thông
dụng, phổ biến hiện nay.
Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thương

mại điện tử, hệ thống mạng hoặc website. Vẫn chưa đi sâu nghiên cứu về nguy cơ mất
an toàn HTTT, liên quan đến con người ( nhà quản trị mạng, nhân viên công nghệ
thông tin )…
Như đã nêu ở phần 1.1 em lựa chọn đề tài: “ Một số giải pháp nâng cao an toàn
bảo mật cho HTTT của công ty cổ phần công nghệ Tinh Vân” sẽ kế thừa và phát triển,
phân tích rõ hơn các nguy cơ gây mất an toàn HTTT. Để từ đó đưa ra các giải pháp
nhằm khắc phục, nâng cao an toàn và bảo mật HTTT trong công ty.

1.3. Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơ
bản về an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau như
thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó, xem xét đánh giá phân tích thực
trạng vấn đề an toàn bảo mật HTTT để đưa ra những ưu nhược điểm. Từ những đánh
giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao
tính an toàn bảo mật HTTT. Giúp cho công ty nhận diện những nguy cơ và thách thức
của vấn đề an toàn bảo mật HTTT. Từ đó, có những giải pháp nâng cao tính an toàn
bảo mật, ngăn chặn các nguy cơ tấn công HTTT hiện tại và tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:

3


- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty cổ phần công
nghệ Tinh Vân.
- Đánh giá thực trạng an toàn bảo mật HTTT trong công ty cổ phần công nghệ
Tinh Vân dựa trên tài liệu thu thập được.
-

Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo


mật HTTT trong công ty cổ phần công nghệ Tinh Vân.

1.4. Đối tượng và phạm vi nghiên cứu của đề tài
-

Đối tượng của đề tài là vấn đề an toàn bảo mật HTTT tại công ty cổ phần

công nghệ Tinh Vân.
- Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTT
của doanh nghiệp.
- HTTT của doanh nghiệp.
- Các chính sách phát triển đảm bảo an toàn bảo mật (ATBM) thông tin trong
công ty.
- Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của doanh nghiệp.
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề
tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn. Cụ thể:
- Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT
tại công ty cổ phần công nghệ Tinh Vân nhằm đưa ra một số giải pháp nâng cao an
toàn bảo mật HTTT.
- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo
cáo kinh doanh, số liệu được khảo sát từ năm 2010 giữa năm 2013, đồng thời trình bày
các nhóm giải pháp, định hướng phát triển trong tương lai của công ty.

1.5. Phương pháp nghiên cứu của đề tài
1.5.1. Khái niệm phương pháp nghiên cứu
Phương pháp là phạm trù trung tâm của phương pháp luận nghiên cứu khoa học,
phương pháp không chỉ là vấn đề lý luận mà còn vấn đề có ý nghĩa thực tiễn to lớn,
bởi vì chính phương pháp quyết định thành công của mọi nghiên cứu khoa học.
Bản chất của phương pháp nghiên cứu khoa học chính là việc con người sử

dụng một cách có ý thức các quy luật vận động như một phương tiện để khám phá
chính đối tượng đó. ( Dương Thiệu Thống, Phương pháp nghiên cứu khoa học giáo
dục và tâm lý, NXB Thống Kê, 2007).

1.5.2. Các phương pháp được sử dụng trong đề tài khoá luận
1.5.2.1. Phương pháp thu thập dữ liệu

4


Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phương
pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa
đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện.
Phương pháp sử dụng phiếu điều tra:
- Nội dung: Bảng câu hỏi gồm 7 câu hỏi, các câu hỏi đều xoay quanh các hoạt
động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối
với công ty cổ phần công nghệ Tinh Vân.
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công
ty để thu thập ý kiến.
- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của
công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để
nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty cổ phần
công nghệ Tinh Vân.
Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các
mục tiêu khác nhau của công ty.
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh
của công ty trong vòng 3 năm: 2010, 2011, 2012 được thu thập từ phòng hành chính,
phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu
thống kê khác.

- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí,
sách báo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet.
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ
bộ các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung
vào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu.
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu
liên quan đến vấn đề an toàn bảo mật tại công ty cổ phần công nghệ Tinh Vân.
1.5.2.2. Phương pháp xử lý dữ liệu
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta cần
chia thông tin ra làm hai phương pháp chính:
5


- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
Social Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê
trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản
để thực hiện hầu hết các công việc thống kê phân tích số liệu. Người dùng có thể dễ
dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi
phỏng vấn, phiếu điều tra và các tài liệu thu thập được.
Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luận
nhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công ty cổ
phần công nghệ Tinh Vân, để từ đó đưa ra các giải pháp phù hợp.

1.6 Kết cấu khóa luận
Khóa luận bao gồm ba phần:
Phần 1: Tổng quan về đề tài nghiên cứu.

Phần 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT của công
ty cổ phần công nghệ Tinh Vân.
Phần 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBM
thông tin trong HTTT tại công ty cổ phần công nghệ Tinh Vân.

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA ATBM
THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN
CÔNG NGHỆ TINH VÂN

6


2.1. Cơ sở lý luận ATBM thông tin trong HTTT
2.1.1. Một số khái niệm cơ bản
2.1.1.1. Khái niệm dữ liệu, thông tin, HTTT trong doanh nghiệp
Theo [1] thì khái niệm dữ liệu là: những ký tự, số liệu, các tập tin rời rạc hoặc
các dữ liệu chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải
thông qua quá trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được
về đối tượng mà dữ liệu đang biểu hiện.
Theo [1] thì khái niệm thông tin là: điều hiểu biết về một sự kiện, một hiện
tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá
trình xử lý dữ liệu.
Theo [1] thì khái niệm hệ thống thông tin là: một tập hợp và kết hợp của các
phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu
thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ
các mục tiêu của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội

bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh
tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách
hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
2.1.1.2. Khái niệm về an toàn, bảo mật HTTT
Theo [2] thì khái niệm an toàn thông tin: Thông tin được coi là an toàn khi
thông tin đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ
bởi người không được phép.
Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của
thông tin.

7


Tính sẵn
sàng

Tính toàn vẹn

Tính bảo mật

Hình 2.1: Ba mục tiêu bảo mật thông tin
(Nguồn:[ 2])

- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp
quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật
thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng
đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm
cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể
dẫn đến phá sản.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,

chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ
các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không
chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị
sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập
được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu
ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo
nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.
Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn và bảo
mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong
một thời gian xác định.
2.1.1.3. Các nhân tố ảnh hưởng đến hiệu quả ATBM HTTT trong doanh nghiệp
Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môi
trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.
Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo ATBM
HTTT trong doanh nghiệp là: Yếu tố con người và yếu tố công nghệ.

8


Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ
thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.
Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng
lực sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt động độc lập
hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của
hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ
trong các tổ chức. Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lập

nên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận
hành của mạng lưới thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc
nghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp
xác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời
vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm
việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát
triển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả
năng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả
như thế nào.
Những người quản lý HTTT máy tính phân công công việc cho những người
phân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác
có liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và
nâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển
mạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc
biệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công
nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động
sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.
CNTT là yếu tố quyết định đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảm
bảo an toàn và bảo mật HTTT.

9


CNTT đang có khuynh hướng mở rộng không gian cho hoạt động sản xuất kinh
doanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới và
các thách thức mới cho doanh nghiệp. CNTT cũng là nhân tố quan trọng phổ biến
nhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam nhanh chóng hòa

nhập vào nền kinh tế toàn cầu.
Công nghệ được chia làm hai loại: Phần cứng và phần mềm.
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị
thu thập, xử lý và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng
chống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
2.1.1.4. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy
tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin
lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt
hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là một
hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp.

2.1.2. Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp
2.1.2.1. Các nguy cơ mất ATTT trong HTTT
Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
- Nguy cơ ngẫu nhiên
Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan
như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những
nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là
nguy cơ chính của việc mất ATTT.
- Nguy cơ có chủ định

10



Hình 2.2. Các hình thức tấn công vào HTTT doanh nghiệp.
(Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2010)

Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT
cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta
đang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm
2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật
nước ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên
gia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn
công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện
tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế
nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền
kinh tế.
Vnisa phía Nam đã thực hiện một cuộc khảo sát đối với 300 doanh nghiệp về
ATTT tính từ tháng 1-2010 đến tháng 6-2012 cho thấy có 33% doanh nghiệp cho hay
họ đã phát hiện sự cố tấn công an ninh mạng, giảm 1% so với năm 2009. Tuy nhiên,
có 29% doanh nghiệp không thể biết được hệ thống mạng của mình có bị tấn công hay
không. Trong số cuộc tấn công an ninh mạng được phát hiện, có 27,5% do Trojan hay
Rootkit, 42% là do virus hay worm. Hầu hết các doanh nghiệp nhận định rằng, động
cơ tấn công để thu lợi bất chính tăng lên gấp 3 lần so với năm trước. 40% doanh
nghiệp ước tính mức độ thiệt hại lớn nhất do các sự cố gây ra là từ virus.
11


Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực
tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từ
chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ,
HTTT,..); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quy

trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo đức
nghề nghiệp).
2.1.2.2. Hình thức tấn công HTTT
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công
chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép.
Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi
thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập
máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu
thập dữ liệu của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các
gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động
tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém

12



trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợi
dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích
nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng.

2.1.3 Phân định nội dung nghiên cứu
Thông tin doanh nghiệp: Là những thông tin của doanh nghiệp về nhân sự, cơ cấu
tổ chức, các văn bản, chính sách, mục tiêu sản xuất kinh doanh của doanh nghiệp. Những
thông tin quan trọng như: Báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông
tin khách hàng,… Vì vậy, công ty cần phải chú tâm đến vấn đề ATBM HTTT.
Để đảm bảo một HTTT được an toàn bảo mật tức là phải đảm bảo thông tin đầu
vào và đầu ra của HTTT đó được đảm bảo an toàn bảo mật. Do đó đối tượng chính của
HTTT cần đảm bảo đó là thông tin của hệ thống đó.
Thông tin trong doanh nghiệp có ở nhiều mức độ và mỗi mức độ cần có những
chính sách về an toàn bảo mật khác nhau. Có những thông tin được đưa vào diện bảo
mật ở mức rất cao và rất ít người được biết đến những thông tin này, có những thông
tin lại ở những mức độ cần an toàn, bảo mật ở mức thấp hơn. Doanh nghiệp cần xác
định đúng đắn các thông tin cần đảm bảo an toàn, bảo mật để từ đó có các chính sách,
công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này.
Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn các
công cụ thích hợp để đảm bảo an toàn, bảo mật HTTT.
- Các công cụ kỹ thuật được sử dụng trong đề tài:
+ Sử dụng phần mềm diệt virus
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết
nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết
được các virus mới.
+ Firewall
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy

cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập
vào hệ thống của một số thông tin khác không mong muốn.
+ Bảo vệ dữ liệu máy tính

13


Để bảo vệ sự toàn vẹn dữ liệu, hay các thông tin quan trọng thì chúng ta nên có
những biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổi thông tin.
Sau đây có một số cách để bảo vệ dữ liệu:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu.
Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có
của hệ điều hành (ví dụ System Restore của Windows Me, XP...) mà có thể cần đến
các phần mềm của hãng thứ ba.
Thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết bị nhớ
mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...), hình thức này có thể thực hiện theo chu
kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn.
Đứng trước những thách thức và nguy cơ mất an toàn thông tin đang ngày càng
gia tăng và phức tạp hơn, doanh nghiệp phải có những biện pháp để tự bảo vệ mình.
Bên cạnh các công cụ kỹ thuật mà doanh nghiệp đã sử dụng thì công ty cũng cần chú
trọng đến các giải pháp nâng cao ATBM HTTT trong công ty.
- Dưới đây là các giải pháp nâng cao ATBM HTTT của công ty cổ phần công
nghệ Tinh Vân đưa ra trong đề tài:
+ Giải pháp phần cứng: Nâng cấp máy chủ.
+ Giải pháp phần mềm: Ứng dụng các phần mềm bảo mật, phần mềm mã hóa mới.
+ Nâng cao hiệu quả quản lý cơ sở dữ liệu.
+ Đào tạo nguồn nhân lực và nâng cao kỹ năng sử dụng các thiết bị cho nhân
viên.

2.2. Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của

công ty cổ phần công nghệ Tinh Vân.
2.2.1. Tổng quan về công ty cổ phần công nghệ Tinh Vân.
2.2.1.1. Thông tin chung
Công ty cổ phần công nghệ Tinh Vân
Địa chỉ: Tầng 3, Khách sạn Thể Thao, Làng Sinh viên Hacinco, Quận Thanh
Xuân, Hà Nội
Điện thoại: (+84) 4 3558 9970
Fax: (+84) 4 3558 9971
Website: tinhvan.com
Chính thức thành lập ngày 20/07/1997, với tiền thân là Trung tâm Thí nghiệm
Mạng Netlab, Công ty Cổ phần Công nghệ Tinh Vân đã trải qua 26 năm hình thành và
phát triển, với tập thể lãnh đạo đam mê và gắn kết, đội ngũ nhân viên nhiệt huyết và
chuyên nghiệp, văn hóa doanh nghiệp đặc trưng, lịch sử tăng trưởng ổn định, Tinh Vân
14


đã luôn khẳng định mình là một trong những đơn vị đi đầu trong lĩnh vực công nghệ
thông tin, đặc biệt là phần mềm và nội dung số tại Việt Nam.
Tầm nhìn
Tinh Vân định hướng thành một tập đoàn công nghệ hàng đầu, phát triển bền
vững trên nền tảng của sức mạnh tri thức và tính nhân bản, vươn ra thị trường toàn
cầu, nỗ lực đóng góp cộng đồng và phát huy tối đa tài năng, sức sáng tạo cho mỗi
thành viên.
Chiến lược
Trong chặng đường phát triển 2010-2015, tất cả các đơn vị thành viên của Tinh
Vân đang được định hướng phát triển với chiến lược “mass hóa”. Phục vụ cho hàng
ngàn tổ chức, cho hàng triệu người Việt Nam và vươn tới thị trường toàn cầu là mục
tiêu và niềm cảm hứng của chúng tôi. Để phục vụ cho chiến lược này, hiện tại Tinh
Vân đang chú trọng đầu tư cho những công nghệ nền tảng như Cloud, chuyển hướng
phát triển sản phẩm sang SaaS, cũng như tập trung mạnh hơn vào thị trường internet

và công nghệ mobile.
2.2.1.2. Sơ đồ tổ chức

Hình 2.3: Sơ đồ tổ chức của công ty cổ phần công nghệ Tinh Vân

15


(Nguồn: Phòng Hành chính – Nhân sự)

Ban Công đoàn: Thực hiện chức năng đại diện, bảo vệ quyền lợi, lợi ích hợp
pháp, chính đáng của các thành viên trong tổ chức. Chăm lo đời sống vật chất, văn
hóa, tinh thần cho anh em. Tuyên truyền các quy định, chính sách của ban giám đốc
tới anh chị em trong tổ chức.
Phòng Kinh doanh – Thị trường, Hỗ trợ khách hàng: Thực hiện chức năng là
cầu nối giữa công ty và khách hàng, thực hiện nhiệm vụ sau bán hàng của công ty – hỗ
trợ khách hàng.
Phòng Công nghệ - Giái pháp, Quản lý chất lượng: Thực hiện việc xây dựng và
phát triển các giải pháp phần mềm, các giải pháp tích hợp. Đây là bộ phận quan trọng
trong việc tạo ra và triển khai các sản phẩm, giải pháp, dịch vụ chất lượng, hữu ích góp
phần nâng cao uy tín của công ty với các khách hàng và xã hội.
Phòng Tài chính – Kế toán, Hành chính – Nhân sự, IT: Thực hiện chức năng
quản trị văn phòng, các thủ tục hành chính và kế toán của công ty, phụ trách việc
tuyển dụng, quản lý, đào tạo nhân sự. Hỗ trợ và triển khai các vấn đề về IT.

2.2.2. Vài nét về hoạt động sản xuất kinh doanh của công ty cổ phần
Tinh Vân
2.2.2.1. Các lĩnh vực hoạt động kinh doanh chủ yếu của doanh nghiệp
- Phát triển các sản phẩm phần mềm, xây dựng các giải pháp CNTT chuyên
nghiệp cho khách hàng thuộc khối Chính phủ và Giáo dục.

- Tư vấn, triển khai ERP, HRM và các giải pháp CNTT khác cho doanh nghiệp.
- Gia công và xuất khẩu phần mềm.
- Phát triển các dịch vụ trực tuyến, ứng dụng trên mobile và nội dung số.
- Kinh doanh và phát triển game cho mobile.
Tinh Vân nhận được những giải thưởng uy tín trong lĩnh vực CNTT tại Việt
Nam trong nhiều năm liên tục từ 2002 đến 2011 như: Sao Khuê, Cúp vàng CNTT,
TOP5 ICT, Giải thưởng CNTT-TT Thành phố Hồ Chí Minh, Bằng khen của Bộ
trưởng Bộ Thông tin và Truyền thông… Sản phẩm và dịch vụ của Tinh Vân luôn
giành được những giải thưởng cao nhất của Hội Tin học Việt Nam, Hội Tin học Thành
phố Hồ Chí Minh và Hiệp hội doanh nghiệp Phần mềm Việt Nam.
Toàn bộ lãnh đạo và nhân viên Tinh Vân cam kết không ngừng phấn đấu, phát huy
trí tuệ và sức sáng tạo, tập trung tối đa sức mạnh đoàn kết tập thể, mang lại cho khách hàng
sự hài lòng và những giá trị nổi trội thông qua các sản phẩm và dịch vụ hoàn hảo, trở thành
một trong những doanh nghiệp hàng đầu trong thời đại hội nhập ngày nay.
16


2.2.2.2. Khái quát hoạt động sản xuất kinh doanh của Công ty Cổ phần
Công nghệ Tinh Vân.
Kết quả hoạt động kinh doanh của công ty trong 3 năm từ 2010-2012
( ĐVT: triệu đồng )
TT
1
2
3
4
5
6
7


Chỉ tiêu
Tổng tài sản
Tổng nợ phải trả
Tài sản ngắn hạn
Tổng nợ ngắn hạn
Doanh thu
Lợi nhuận trước thuế
Lợi nhuận sau thuế

Năm 2010
42.502.105.817
35.915.672.515
39.246.393.270
34.805.982.615
87.545.196.231
465.954.688
264.879.456

Năm 2011
54.532.532.689
47.321.697.580
47.456.672.571
47.361.786.580
127.240.678.437
670.167.212
545.976.232

Năm 2012
77.125.584.899
64.612.354.534

70.588.669.214
64.305.222.870
199.288.297.614
999.977.456
860.452.454

Hình 2.4 Bảng kết quả hoạt động sản xuất kinh doanh của công ty ba năm 2010- 2012
( Thông tin nội bộ do công ty cung cấp)

Qua bảng kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm cho
chúng ta thấy:
Về doanh thu: Năm 2010 tổng doanh thu đạt 87.545.196.231. Năm 2011 và
2012 doanh thu liên tục tăng và đạt mức lần lượt là 127.240.678.437 và
199.288.297.614. Chứng tỏ hoạt động kinh doanh của công ty ngày càng hiệu quả.
Về lợi nhuận sau thuế: Công ty có dấu hiệu của sự tăng trưởng nhưng mức tăng
trưởng không đồng đều qua các năm. Năm 2012 do ảnh hưởng của lạm phát nên mức
tăng trưởng lợi nhuận sau thuế của công ty giảm hơn so vơi mức tăng năm 2011.

2.2.3 Thực trạng của công tác ATBM HTTT trong công ty cổ phần công
nghệ Tinh Vân.
2.2.3.1. Trang thiết bị phần cứng
Công ty có 2 máy chủ được đặt tại phòng quản trị mạng. Mỗi phòng ban được
trang bị từ 7 – 8 máy tính bàn cho nhân viên ngoài ra có 2 – 4 máy tính cá nhân. Tất cả
đều được kết nối trực tiếp vào mạng internet thông qua các cổng mạng đã lắp đặt sẵn.
- Hệ thống máy chủ
+ Máy chủ chỉ dùng các phần mềm bình thường, chạy Windows server 2003
các ứng dụng chia sẻ tài nguyên.
+ Máy chủ HP Proliant ML115 T01 (457772-371) AMD Opteron 4450B Dual Core
+ Processor: 2.30 Ghz / 4(2-32bit/33MHz 2-PCIE)/ 1024 MB PC2-6400 ECC
(DDR2-800Mhz)/ 160GB Non-Hot Plug SATA/ 48x IDE/ nVidia MCP55S Pro/

Network Controller: Embedded NC320i PCIe Gigabit Server Adapter.
17


- Hệ thống máy trạm
Cấu hình mỗi máy:
Cấu hình
Bộ vi xử lý (CPU)
Ổ cứng (HDD)
Bộ nhớ trong (RAM)
Chipset
Card Đồ họa (VGA)
Ổ đĩa
Nguồn điện
Bàn phím + Chuột Multimedia
Hệ điều hành

Mô tả
Intel Pentium 4
160Gb / 4MB cache/SATA
2Gb DDR2
Chipset Intel H61 Express
share onboad
CD
350W công suất thực
Windown XP service pack 2,3

Hình 2.5: Thông số về phần cứng máy trạm tại công ty cổ phần công nghệ Tinh Vân

Các máy trạm được lắp đặt trong từng phòng ban, được cài đặt các phần mềm

chuyên dụng để đáp ứng, phục vụ cho hệ thống thông tin của công ty.
-

Máy tính cá nhân

+
+
+
+

Cấu hình : Intel Pentium 4
Ram 2GB BUSS 1066/1333Mhz
HDD 160GB
VGA 384MB onboard

2.2.3.2. Về các phần mềm ứng dụng
Phần mềm ứng dụng bao gồm các phần mềm quản lý văn phòng cơ bản như
word, excel, phần mềm chuyên dụng của công ty được cài đặt cho mỗi máy tính để
quản lý các báo cáo từ kế toán, tình hình hoạt động kinh doanh.
Phần mềm ứng dụng chuyên biệt: phần mềm Kế toán Misa, phần mềm quản lý
nhân sự,... Phần mềm kế toán hỗ trợ đắc lực trong nghiệp vụ kế toán cũng như quản lý
doanh nghiệp, sở dĩ phần mềm tuân thủ theo đúng chế độ kế toán, tự động hóa toàn bộ
các khâu kế toán từ khâu lập chứng từ, hạch toán, báo cáo. Ngoài ra, phần mềm có tính
an toàn và bảo mật tốt, đơn giản, dễ sử dụng.
+ Phần mềm kế toán – tài chính là phần mềm kế toán phản ánh hiện trạng và sự
biến động về vốn, tài sản của doanh nghiệp dưới dạng tổng quát hay nói cách khác là
phản ánh các dòng vật chất và dòng tiền tệ trong mối quan hệ giữa doanh nghiệp với môi
trường kinh tế bên ngoài. Sản phẩm của kế toán tài chính là các báo cáo tài chính. Ngoài
việc sử dụng cho ban lãnh đạo doanh nghiệp còn để cung cấp cho các đối tượng khác như:
nhà đầu tư, cơ quan thuế, cơ quan tài chính, lương nhân viên…

18


+ Việc ứng dụng công nghệ thông tin đã mang lại bước đột phá mới cho công
tác quản lý tài chính - kế toán, giúp doanh nghiệp nắm bắt thông tin về tài chính, ngân
sách, quỹ tổ chức… một cách chính xác và kịp thời. Từ đó bộ phận kế toán có thể đưa
ra các kế hoạch và quyết định đúng đắn, giảm chi phí và tăng khả năng cạnh tranh,
nâng cao kết quả hoạt động nhờ dự đoán được hướng sản xuất kinh doanh.
Công ty sử dụng phần mềm quản trị cơ sở dữ liệu SQL 2008. Mỗi phòng ban
sử dụng những phần mềm khác nhau tùy từng nghiệp vụ của phòng ban đó.
2.2.3.3. Thực trạng sử dụng và quản lý website
- Tên Website: tinhvan.com.
- Website này cung cấp chủ yếu các thông tin về:
+ Giới thiệu về công ty
+ Giới thiệu các sản phẩm, dịch vụ của công ty
+ Các tin tức được đăng tải về công ty
+ Báo giá giao dịch
+ Tư vấn khách hàng
+ Thông tin tuyển dụng của công ty
+ Thông tin đối tác.
Nhìn chung, website còn khá đơn giản, chỉ mới giới thiệu chung nhất về Công
ty cũng như các sản phẩm, dịch vụ mà Công ty cung cấp, chưa có sự giao dịch trực
tiếp giữa khách hàng với nhân viên của công ty. Có thể nói đây là một điểm hạn chế
của website này.
Website cung cấp tất cả các tính năng giúp các nhà lãnh đạo điều hành công
việc, nhân viên có thể tìm hiểu thông tin khách hàng, khách hàng tìm hiểu và giao dịch
với công ty… Website còn cung cấp tính năng chăm sóc khách hàng, tư vấn cho khách
hàng khi họ yêu cầu.
Chưa có giao dịch trực tuyến giữa khách hàng và công ty qua website, khách
hàng chỉ có thể tìm hiểu thông tin về doanh nghiệp.

2.2.3.4. Công nghệ sử dụng trong đảm bảo an toàn bảo mật HTTT
- FireWall: NAT (Network Address Translation), 2008 và

Norton personal

Firewall 2010. FireWall kiểm soát luồng thông tin từ Intranet và Internet. Cho phép hoặc
cấm những dịch vụ truy cập ra ngoài ( Từ Intranet ra Internet). Cho phép hoặc cấm những
dịch vụ truy cập vào trong (Từ Internet vào Intranet ). Theo dõi luồng dữ liệu mạng giữa

19


Internet và Intranet. Kiểm soát địa chỉ truy cập, cấm địa chỉ truy cập. Kiểm soát người sử
dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên
mạng, antivirus ( BKAV Pro), Web antivirus (PC tools doctor ASD.Net), mail antivirus .
Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào mạng Internet.
Có những hạn chế trong khi bị tấn công từ bên trong mạng, như một người nào đó sử
dụng các thiết bị lưu trữ kết nối trực tiếp vào các máy tính và ăn cắp các thông tin trên
máy. Gây ra hiện tượng thắt cổ chai tại bức tường lửa.
-

Giao thức SSL: Phiên bản SSL 3.0, 2010 được thiết kế như là một giao thức

riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt
động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP
(Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) và
FTP (File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch
an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử
dụng chính cho các giao dịch trên Web.
- SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được

chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
- Xác thực server: Cho phép người sử dụng xác thực được server muốn kết
nối. Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng
certificate và public ID của server là có giá trị và được cấp phát bởi một CA
(certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất
quan trọng đối với người dùng. Ví dụ như khi gửi mã số credit card qua mạng thì
người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server
mà họ định gửi đến không.
- Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn
kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem
certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA
(certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này
rất quan trọng đối với các nhà cung cấp.
- Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã
hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối
với cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu
được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động

20


phát hiện các xáo trộn, thay đổi trong dữ liệu (đó là các thuật toán băm – hash
algorithm).
Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức
SSL handshake. Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu.
Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để
trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.
2.2.3.5. Tình hình tổ chức và quản lý con người
Do hoạt động kinh doanh của công ty ngày càng được mở rộng vì vậy mà cơ
cấu nguồn nhân lực của công ty được bổ sung thường xuyên cả về số lượng và chất

lượng. Tính đến năm 2012, tổng số cán bộ của công ty là 108, trong đó có 8 cán bộ có
trình độ trên đại học chiếm 7.4 %, nhân viên có trình độ đại học là 85 chiếm 78.7 %.
Đây là một tỷ lệ phản ánh nguồn nhân lực của công ty rất mạnh về trình độ học vấn
cũng như khả năng cạnh tranh với các doanh nghiệp có cùng lĩnh vực hoạt động.
Cơ cấu nguồn nhân lực của công ty thể hiện ở bảng :
Năm
Trình độ
Trên đại học
Đại học
Cao đẳng

2010
3
60
10

2011

4.1 %
82.2 %
13.7 %

5
67
15

5.74 %
77.01 %
17.25 %


2012
8
85
18

7.4 %
78.7 %
13,9%

Hình 2.6: Cơ cấu nguồn nhân lực của công ty cổ phần Tinh Vân từ 2010 đến 2012
(Nguồn: Phòng Hành chính - Nhân sự)

Công ty có 1 nhóm chuyên trách về CNTT, gồm một tổ trưởng và 4 thành viên.
Nhiệm vụ của tổ trưởng là chịu trách nhiệm điều hành chung, các thành viên còn lại
chịu trách nhiệm kiểm tra và khắc phục các lỗi trong quá trình hệ thống bị hỏng hóc,
tấn công và báo cáo những kết quả, tin tức mới nhất cho tổ trưởng.

2.2.4. Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp.
2.2.4.1. Kết quả xử lý phiếu điều tra
Sau khi phỏng vấn và thu thập dữ liệu từ các nhân viên trong công ty cổ phần
công nghệ Tinh Vân và xử lý qua SPSS, chúng ta có kết quả như sau:
Câu 1: Việc đảm bảo an toàn bảo mật HTTT được thực hiện thường xuyên không?

21


×