Tải bản đầy đủ (.docx) (49 trang)

Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của công ty cổ phần công nghệ quang điện tử ánh sáng thời đại

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (274.61 KB, 49 trang )

LỜI CẢM ƠN

Trải qua bốn năm ngồi trên ghế giảng đường đại học để tiếp thu những kiến
thức cùng những kinh nghiệm quý báu mà thầy cô truyền đạt. Thời điểm này chính là
thời điểm quan trọng nhất cho quá trình bốn năm đại học của mỗi sinh viên, việc
nghiên cứu kháo luận tốt nghiệp là vô cùng quan trọng với mỗi sinh viên, là cơ hội để
sinh viên học cách làm việc, nghiên cứu chuyên nghiệp.
Lời đầu tiên, em xin chân thành cảm ơn cô giáo Đỗ Thị Thu Hiền đã tận tình
hướng dẫn, dạy bảo em trong suốt thời gian thực hiện đề tài để em có thể hoàn
thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn và bảo mật
cho hệ thống thông tin của Công ty cổ phần công nghệ quang điện tử ánh sáng thời
đại.
Em xin bày tỏ lòng cảm ơn sâu sắc tới những thầy cô giáo, đặc biệt là các thầy
cô ở Khoa Hệ thống thông tin kinh tế và Thương mại điện tử đã giảng dạy em trong
suốt 4 năm ngồi trên ghế giảng đường trường Đại học Thương Mại, giúp em trang bị
những kiến thức để làm tốt đề tài khóa luận này và vững bước vào tương lai.
Em xin chân thành cảm ơn quý Công ty Cổ phần công nghệ quang điện tử ánh
sáng thời đại, ban lãnh đạo công ty cùng toàn thể các anh chị nhân viên trong công ty
đã tạo điều kiện cho em tìm hiểu, nghiên cứu trong suốt quá trình thực tập để em có
thể hoàn thành tốt khóa luận tốt nghiệp của mình.
Mặc dù đã cố gắng hoàn thành đề tài với tất cả sự nỗ lực của bản thân, nhưng
do thời gian nghiên cứu còn hạn hẹp và khả năng của bản thân còn hạn chế. Chính vì
vậy, bài khóa luận của em vẫn không thể tránh khỏi những thiếu sót, kính mong các
thầy cô chỉ bảo, sửa chữa để bài của em được hoàn thiện hơn
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Lại Thị Thu Trang

1



MỤC LỤC

2


DANH MỤC BẢNG BIỂU
STT
1
2
3
4
5
6
7
8

3

Tên các bảng
Bảng các ngành nghề kinh doanh của công ty cổ phần công nghệ
quang điện tử ánh sáng thời đại
Tình hình kinh doanh của công ty qua các năm 2014, 2015, 2016
Thực trạng về cơ sở vật chất hiện có của công ty
Kết quả điều tra phần mềm công ty đã sử dụng
Tìm hiểu một số sự cố mất an toàn thông tin hay gặp tại công ty
Mức độ quan tâm của lãnh đạo đối với việc đảm bảo an toàn bảo mật
thông tin cho HTTT của công ty
Bảng thể hiện mức độ đánh giá của nhân viên về chất lượng sử dụng
phần mềm
Bảng thể hiện mức độ sử dụng biện pháp đảm bảo dữ liệu của nhân

viên

Trang
17
18
19
20
21
22
23
24


DANH MỤC HÌNH VẼ, SƠ ĐỒ

STT
1
2
3
4
5

4

Tên hình vẽ, sơ đồ
Sơ đồ 1: Mô hình cơ cấu tổ chức của Công ty Cổ phần công nghệ
quang điện tử ánh sáng thời đại
Biểu đồ 1: Đánh giá của nhân viên về sự cố an toàn bảo mật thông
tin hay gặp trong công ty
Biểu đồ 2: Biểu đồ thể hiện mức độ quan tâm của lãnh đạo công ty

đối với việc đảm bảo an toàn bảo mật cho HTTT của công ty
Biểu đồ 3: Đánh giá của nhân viên về chất lượng sử dụng phần mềm
Biểu đồ 4: Biểu đồ thể hiện tỉ lệ sử dụng các biện pháp đảm bảo dữ
liệu của nhân viên

Trang
15
22
23
24
25


DANH MỤC TỪ VIẾT TẮT

STT

5

Từ viết tắt

1

TIMESLIGHT.,CORP

2
3
4
5
6


HTTT
CNTT
CSDL
ATBM
CBNV

Giải nghĩa
TIMES LIGHT OPTOELECTRONIC
TECHNOLOGY CORPORATION.
Hệ thống thông tin
Công nghệ thông tin
Cơ sở dữ liệu
An toàn bảo mật
Cán bộ nhân viên


PHẦN MỞ ĐẦU

1. Tầm quan trọng và ý nghĩa của vấn đề nghiên cứu

Trong nền kinh tế toàn cầu hóa như hiện nay, công nghệ thông tin đã chi phối
mọi hoạt động trong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinh
doanh. Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin
một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy
nền kinh tế mở rộng và phát triển.
Và ngày nay, vấn đề an toàn và bảo mật thông tin được xem là sự sống còn đối
với các doanh nghiệp, nó quyết định sự thành bại của các doanh nghiệp trên thương
trường nếu như họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất. Dữ liệu
là phần không thể thiếu của bất cứ doanh nghiệp nào dù lớn hay nhỏ và nó được coi là

một phần tài sản của doanh nghiệp. Dữ liệu, thông tin luôn đối mặt với nguy cơ mất an
toàn của cả các yếu tố bên trong và bên ngoài doanh nghiệp. Việc đảm bảo an toàn
thông tin và dữ liệu của doanh nghiệp lại không hề dễ dàng. Sự phát triển bùng nổ của
công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn đến khả năng không kiểm soát
nổi hệ thống CNTT, làm tăng số điểm yếu và nguy cơ mất an toàn của hệ thống.
Các nguy cơ bảo mật ngày càng nở rộ, các rủi ro đối với các thông tin như bị lộ,
bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, uy tín,
chiến lược của doanh nghiệp. Vì vậy việc bảo vệ an toàn thông tin, đảm bảo tính bí
mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông tin trao đổi
là rất cần thiết. Hiện nay, việc đưa ra một số giải pháp đảm bảo an toàn và bảo mật
thông tin cho HTTT đã được rất nhiều doanh nghiệp quan tâm và đã triển khai. Trong
đó có Công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại nói riêng và với các
doanh nghiệp nói chung đã có các biện pháp đảm bảo an toàn thông tin, đó cũng là bảo
vệ sự sống còn của doanh nghiệp mình. Nhận thức được điều đó sau thời gian thực tập
tại công ty em quyết định chọn đề tài: Một số giải pháp đảm bảo an toàn và bảo mật
cho hệ thống thông tin của công ty cổ phần công nghệ quang điện tử ánh sáng thời đại.
2. Mục tiêu và nhiệm vụ nghiên cứu

Hiện nay, hầu hết các doanh nghiệp đang phải đối mặt với các nguy cơ mất an
toàn thông tin nhưng việc đảm bảo an toàn thông tin lại không được chú trọng, không
được thực hiện thường xuyên. Nguyên nhân là do phần lớn các cán bộ, nhân viên
không chú trọng tới việc bảo đảm an toàn thông tin của doanh nghiệp, không ý thức
được tầm quan trọng của việc đảm bảo an toàn thông tin trong doanh nghiệp, các quy
6


trình đảm bảo an toàn thông tin chưa rõ ràng và thống nhất. Do vậy mục tiêu nghiên
cứu của đề tài này là:
- Đưa ra lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin
- Trình bày, tìm hiểu, phân tích đánh giá thực trạng của công ty và đưa ra các thiếu

sót và lỗ hổng của HTTT của doanh nghiệp dựa trên các tài liệu, các phiếu điều tra.
- Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề
xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mật
thông tin có thể áp dụng với công ty.
3. Đối tượng và phạm vi nghiên cứu
3.1. Đối tượng nghiên cứu của đề tài
Trong đề tài nghiên cứu này đối tượng nghiên cứu của đề tài là:
- Hệ thống mạng các máy chủ máy trạm của công ty
- Các phần cứng và phần mềm được sử dụng tại công ty.
- Cơ sở dữ liệu và lưu trữ tại các máy chủ, máy trạm của công ty
- Nhân viên và quản lý, yếu tố liên quan đến bảo mật, con người trong công ty.
Từ đó đưa ra các giải pháp về công nghệ và con người để đảm bảo an toàn
thông tin trong doanh nghiệp.
3.2. Phạm vi nghiên cứu của đề tài
Đề tài sẽ tập trung nghiên cứu trong phạm vi Công ty Cổ phần công nghệ
quang điện tử ánh sáng thời đại, cụ thể:
-Về mặt không gian: Dựa trên tài liệu thu thập được tại công ty, các phiếu điều
tra và các tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an toàn và bảo
mật CSDL tại công ty Cổ phần công nghệ quang điện tử ánh sáng thời đại.
- Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan của công
ty giai đoạn 2014- 2016. Các số liệu được khảo sát trong quá trình thực tập tại công ty.
4. Phương pháp nghiên cứu
4.1. Phương pháp thu thập dữ liệu
- Phương pháp thu thập dữ liệu thứ cấp:
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên
quan đến đề tài nghiên cứu qua internet và các bài báo. Phân tích, tổng hợp các tài liệu
có liên quan đến đề tài.
7



Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết
kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết
nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi.
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu
thập và xử lý thông tin từ các nguồn thu thập.
-

Phương pháp thu thập dữ liệu sơ cấp:
Phương pháp quan sát: là phương pháp ghi lại có kiểm soát các sự kiện hoặc
các hành vi ứng xử của con người. Cụ thể với đề tài này, phương pháp quan sát nhằm
ghi lại các hoạt động, hành vi, sự kiện của các nhân viên, ban lãnh đạo của Công ty Cổ
phần công nghệ quang điện tử ánh sáng thời đại. Phương pháp này thường dùng kết
hợp với các phương pháp khác để kiểm tra chéo độ chính xác của dữ liệu thu thập.
Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán về tình hình phát
triển HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước và thế
giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty
sẽ hứng chịu.
4.2. Phương pháp xử lí dữ liệu
Trong đề tài nghiên cứu này em sẽ sử dụng các phương pháp xử lý thông tin sau:
- Dữ liệu sau khi thu thập sẽ được đưa ra phân tích bằng excel và word.Từ
những biểu đồ được hoàn thành sau khi nhập dữ liệu vào ta sẽ có những đánh giá cụ
thể về tình hình kinh doanh cũng như tình hình ứng dụng CNTT của Công Ty Cổ Phần
công nghệ quang điện tử ánh sáng thời đại.
- Đối với các số dữ liệu thu thập được ở dạng số liệu có thể thống kê phân tích
và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõ các thuộc tính, bản
chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp thành nguyên nhân
của vấn đề được phát hiện. Thường sử dụng để đưa ra các bảng số liệu thống kê, các
biểu đồ thống kê, đồ thị.
5. Kết cấu khóa luận
Ngoài lời cảm ơn, phần mở đầu, khóa luận gồm các chương:

CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU
CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA
VẤN ĐỀ NGHIÊN CỨU
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT VẤN ĐỀ
NGHIÊN CỨU
8


CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU

1.1.
Những khái niệm cơ bản
1.1.1. Khái niệm thông tin, hệ thống thông tin( HTTT), dữ liệu và cơ sở dữ liệu(CSDL)

Thông tịn là một bộ dữ liệu được tổ chức, doanh nghiệp sử dụng một phương
thức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn có của
bản thân dữ liệu. Thông tin chính là dữ liệu đã qua xử lí (phân tích, tổng hợp, thống
kê). (PGS.TS Đàm Gia Mạnh, 2017, Giáo trình Hệ thống thông tin quản lí, Nhà xuất
bản Thống kê, Hà Nộ )
Hệ thống thông tin là một tập hợp phần cứng, phần mềm, cơ sở dữ liệu, mạng
viễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ và
truyền phát thông tin trong một tổ chức, doanh nghiệp. (PGS.TS Đàm Gia Mạnh,
2017, Giáo trình Hệ thống thông tin quản lí, Nhà xuất bản Thống kê, Hà Nội)
Dữ liệu là những sự kiện hoặc những quan sát về hiện tượng vật lý hoặc các
giao dịch kinh doanh, dữ liệu chính là các giá trị phản ánh về sự vật hiện tượng trong
thế giới khách quan, bao gồm tập giá trị mà người dùng có thể chưa biết được sự liên
hệ giữa các giá trị này. (PGS.TS Đàm Gia Mạnh, 2017, Giáo trình Hệ thống thông tin
quản lí, Nhà xuất bản Thống kê, Hà Nội)
Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ
trên các phương tiện lưu trữ như đĩa từ, băng từ v..v nhằm thỏa mãn các yêu cầu khai

thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng
dụng. (Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông tin
doanh nghiệp, Trường ĐH Thương Mại)
1.1.2. Khái niệm an toàn và bảo mật CSDL

Một hệ thống thông tin được coi là an toàn( security) khi thông tin không bị làm
hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
(Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông tin doanh
nghiệp, Trường ĐH Thương Mại)
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho
hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà
không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. ( Bộ môn Công nghệ
thông tin (2010), Bài giảng An toàn và bảo mật thông tin doanh nghiệp, Trường
ĐH Thương Mại)

9


Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo mật trở
nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng các
công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên
(các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) và
lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ
quan hoặc người sở hữu hệ thống). (Bộ môn Công nghệ thông tin (2010), Bài giảng An
toàn và bảo mật thông tin doanh nghiệp, Trường ĐH Thương Mại)
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin
+ Bí mật nghĩa (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi
những người được cấp quyền tương ứng.
+ Tính trọn vẹn (Integrity) là bảo vệ sự chính xác hoàn chỉnh của thông tin và
thông tin chỉ được thay đổi bởi những người được cấp quyền.

+ Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử
dụng có thể truy xuất thông tin khi họ cần.
(Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông tin
doanh nghiệp, Trường ĐH Thương Mại)
Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được
những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thông
tin CSDL. (Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông
tin doanh nghiệp, Trường ĐH Thương Mại)
1.2.
Một số lý thuyết về vấn đề nghiên cứu
1.2.1. Các yêu cầu của một hệ thống thông tin an toàn

Thông tin là tài sản vô giá của doanh nghiệp, do đó rủi ro thông tin của mỗi
doanh nghiệp có thể gây thất thoát tiền bạc, tài sản, con người gây thiệt hại đến hoạt
động kinh doanh sản xuất của doanh nghiệp; ảnh hưởng đến uy tín và sự phát triển của
doanh nghiệp nhưng lại là vấn đề rất khó tránh khỏi.
Trong mỗi tổ chức, mỗi doanh nghiệp việc thu thập và nắm bắt thông tin là vấn
đề hết sức quan trọng. Nó là một trong những yếu tố mang lại sự thành công cho mỗi
tổ chức, mỗi cá nhân biết tận dụng và khai thác nó.
Chính vì vậy, một HTTT được gọi là an toàn khi đảm bảo các yêu cầu sau:
-

Tính tin cậy: chỉ có người dùng có thẩm quyền mới được truy nhập thông tin.
Tính toàn vẹn: thông tin chỉ có thể được sửa đổi bởi những người dùng có thẩm quyền.
Tính sẵn sàng: thông tin có thể truy nhập bởi người dùng hợp pháp bất cứ khi nào họ
yêu cầu.
10


(Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông tin

doanh nghiệp, Trường ĐH Thương Mại)
1.2.2. Hình thức tấn công HTTT

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn
công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái
phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
 Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền

mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công
thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công
thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi
tấn công xảy ra. Tấn công thụ động có các phương thức sau: thực hiện bằng các thiết
bị phần cứng (các thiết bị bắt sóng wifi để tóm những gói tin được truyền trong vùng
phủ sóng); hoặc thực hiện bằng các chương trình phần mềm (chương trình packet sniff
nhằm bắt các gói tin được truyền qua lại trong mạng LAN).
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Tấn công thụ động gồm 2 loại sau:
-









-




Nghe trộm đường truyền: Kẻ nghe lén sẽ bằng một cách nào đó xen ngang được quá
trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra được những
thông tin quan trọng.
Một số phương pháp:
Bắt gói tin trong mạng wifi
Bắt thông điệp trong mạng quảng bá
Đánh cắp password
Xem lén thư điện tử
Biện pháp phòng chống:
Bảo mật đường truyền: sử dụng các giao thức SSL,SET, WEP,…
Mã hóa dữ liệu: sử dụng các phương pháp mã hóa, cơ chế dùng chữ kí
điện tử.
Phân tích lưu lượng: dựa vào sự thay đổi của lưu lượng của luồng thông tin truyền trên
mạng nhằm xác định được một số thông tin có ích; rất hay dùng trong do thám; sử
dụng khi dữ liệu bị mã hóa mà không giải mã được.
Biện pháp ngăn chặn: độn thêm dữ liệu thừa -> lưu lượng thông tin không bị thay đổi

-> không thể phán đoán được.
 Hình thức tấn công chủ động: là hình thức tấn công có sự can thiệp vào dữ liệu nhằm
sửa đổi, thay thế, làm lệch đường đi của đường truyền. Đặc điểm của nó là có khả năng
chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công
chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.
11


Các loại hình thức tấn công chủ động:
Giả mạo người gửi: lấy cắp password, tài khoản, phá hủy dữ liệu. Chỉ áp dụng với
mạng bảo mật kém, không có mã hóa hay xác thực.
• Ngăn chặn: sử dụng những phương pháp để xác thực cả 2 bên gửi và nhận -> hệ thống

-

xác thực, nguyên tắc bắt tay.
Thay đổi thông điệp: chặn thông điệp trên đường truyền, thay đổi nội dung và tiếp tục
gửi cho người nhận.
• Ngăn chặn: mã hóa dữ liệu trước khi gửi, sử dụng chữ kí điện tử để đảm bảo tinh toàn
-

vẹn cho thông điệp.
- Tấn công lặp lại: kẻ tấn công bắt và lưu thông điệp lại một thời gian, đến một thời
điểm thích hợp gửi lại cho bên nhận => bên nhận khó phát hiện.
• Ngăn chặn: sử dụng mã hóa hoặc chữ kí điện tử có thêm thời gian gửi vào trong








thông báo => bên gửi phát hiện nếu thông báo bị lặp lại dựa vào trường thời gian
này.
Tấn công từ chối dịch vụ( DoS): là tên gọi chung của kiểu tấn công làm cho một hệ
thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ hoặc phải ngưng hoạt động.
Đặc điểm:
Lợi dụng sự yếu kém trong mô hình bắt tay 3 bước của TCP/IP
Liên tục gửi các gói tin yêu cầu kết nối đến server
Server bị quá tải dẫn đến không thể phục vụ các kết nối khác
Các kiểu DoS:
Tấn công từ chối dịch vụ cổ điển DoS: là một phương pháp tấn công từ chối dịch vụ


xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack,…
Các kiểu tấn công này thường được áp dụng đối với đối tượng tấn công là hệ thống
máy chủ bảo mật kém, băng thông ( bandwidth) yếu, thậm chí trong nhiều trường hợp
đối tượng tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng có thể thực hiện
thành công các kiểu tấn công này.
 Tấn công từ chối dịch vụ phân tán DDoS ( Distributed Denial of Service ): Hầu hết các
cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạng hệ thống,
dẫn đến ngưng hoạt động hệ thống. Để thực hiện DDoS, kẻ tấn công tìm cách chiếm
dụng và điều khiển nhiều máy tính/ mạng máy tính trung gian được gọi là botnet
( đóng vai trò là zombie ) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin ( packet ) với
số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một
mục tiêu xác định nào đó..
 Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS ( Distributed Reflection Denial
of Service ): là kiểu tấn công kiểu mới nhất, mạnh nhất trong các kiểu tấn công DoS.
Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không một máy khách nào có
thể kết nối được vào máy chủ đó. Tất cả các dịch vụ chạy trên nền TCP/IP như DNS,
HTTP, FTP, POP3,…đều bị vô hiệu hóa. Về cơ bản, DRDoS là sự phối hợp giữa 2
12


kiểu DoS và DDoS. Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết
hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS. Kẻ tấn công thực
hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi yêu cầu SYN đến các
máy chủ lớn như Yahoo, Microsoft, Google,…để các máy chủ này gửi các gói tin
SYN/ACK đến máy chủ mục tiêu. Qua trình cứ lặp lại liên tục với nhiều máy chủ lớn
tham gia nên máy chủ mục tiêu nhanh chóng bị quá tải, băng thông bị chiếm dụng bới
máy chủ lớn dẫn đến máy chủ mục tiêu không thể hoạt động bình thường.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông
tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với

mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình
ứng dụng.
(Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông tin
doanh nghiệp, Trường ĐH Thương Mại)
1.2.3.




Các nguy cơ mất an toàn thông tin trong hệ thống thông tin
Nguy cơ từ bên trong
Nguy cơ do yếu tố kỹ thuật ( thiết bị mạng, máy chủ, hệ thống thông tin,…)
Thiết bị di động: Hơn 71% doanh nghiệp cho phép nhân viên sử dụng điện thoại di

động khi làm việc. Số lượng ứng dụng được sử dụng trên một thiết bị là vô cùng
lớn trong khi người dùng không có khả năng hoặc không có kiến thức thường
trao toàn quyền hệ thống cho các ứng dụng. Những lỗ hổng trên hệ điều hành
hoặc ứng dụng có thể dẫn tới nguy cơ bị khai thác, chiếm quyền và điều khiển
thiết bị từ xa.
 Thiết bị mạng: Đa số các lỗ hổng nguy hiểm này thường tồn tại ở trong các cơ chế
xác thực của các trang quản trị đến từ thiết bị và lợi dụng vào các lỗ hổng này để
vượt qua các cơ chế bảo mật vốn đã suy yếu của các thiết bị và xâm nhập vào hệ
thống thông qua các đường truyền nội bộ để tự máy chủ đến các máy tính con. Một
trong những thiết bị dính lỗ hổng nặng nhất chính là các bộ định tuyến mạng mà
chúng ta vẫn thường gọi là router, thiết bị dùng để liên kết máy tính, chuyển và
nhận dữ liệu từ máy chủ đến client.
• Nguy cơ từ quy trình, chính sách an toàn bảo mật
• Nguy cơ do yếu tố con người: vận hành, đạo đức nghề nghiệp. Nhân viên bắt nguồn
từ những bất mãn trong công ty có thể gây ra hậu quả khôn lường đối với mạng
máy tính như: truy cập dữ liệu trái phép, thay đổi hoặc xóa dữ liệu, hủy cơ sở dữ

liệu hay chương trình và phá hủy phần cứng hay các linh kiện.
 Nguy cơ bên ngoài
• Nguy cơ mất an toàn thông tin có thể xuất phát từ các hiện tượng khách quan
như thiên tai ( lũ lụt, sóng thần, động đất,…), hỏng vật lý, mất điện. Đây là
13


những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được
nhưng đó không phải là nguy cơ chính gây mất an toàn thông tin.
• Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong 3 cách:
 Bắt thông tin ở giữa đường di chuyển từ nguồn tới đích, sửa đổi hay chèn xóa thông
tin và gửi đi tiếp.
 Tạo một nguồn thông tin giả mạo
 Tạo đích giả để lấy thông tin từ nguồn đích thật
(Bộ môn Công nghệ thông tin (2010), Bài giảng An toàn và bảo mật thông tin
doanh nghiệp, Trường ĐH Thương Mại)
1.3.
1.3.1.

Tổng quan tình hình nghiên cứu
Tình hình nghiên cứu trong nước
Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin trong
trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và
tài liệu khoa học về an toàn và bảo mật thông tin ra đời như:
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an
toàn thông tin trong thương mại điện tử”, , Đại học Bách Khoa.
Nội dung của luận văn là nghiên cứu các kĩ thuật và phương pháp để thực hiện
nhiệm vụ bảo mật và an toàn trong thương mại điện tử, quá trình thực hiện và các kiến
thức khoa học và thuật toán liên quan như: xác thực, bảo mật, bảo toàn dữ liệu, mật
mã, chữ lí số,…Sâu đó, áp dụng các kết quả đã nghiên cứu để xây dựng các kỹ thuật

bảo mật và an toàn trong thương mại điện tử với một số tính năng cơ bản như: hệ
thống chứng thực, các cơ chế phân bố khóa tự động, mã hóa các thông tin cần thiết, kỹ
thuật ngăn ngừa các rủi ro trong thương mại điện tử.
Kết quả đạt được: Các vấn đề về bảo mật chứng thực trong thương mại điện tử,
sử dụng chữ kí số, các kỹ thuật sử dụng và các phương pháp kết hợp các hệ mật mã
trong bảo mật. Cài đặt thử nghiệm vấn đề về bảo mật và an toàn trong thương mại điện
tử đã nghiên cứu.
Cục an toàn thông tin (2017), Hội thảo và triển lãm quốc gia về an ninh bảo
mật (Security World), IDG VIETNAM.
Ngày 26/12/2017, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT)
thuộc Bộ TT&TT, Cơ quan điều phối ứng cứu sự cố quốc gia đã có thông tin cảnh báo
về vụ lộ thông tin của 1,4 tỷ tài khoản thư điện tử.
Trung tâm VNCERT cho biết, qua theo dõi các sự cố trên không gian mạng,
Trung tâm đã ghi nhận được số lượng lớn tài khoản sử dụng thư điện tử và mật khẩu bị
14


lộ lọt thông tin trên toàn thế giới từ các mạng xã hội và dịch vụ trực tuyến như Bitcoin,
Pastebin, LinkedIn, MySpace, Netflix, Last.FM, Zoosk, Badoo, RedBox…
Cụ thể, đã có tổng cộng có hơn 41GB dữ liệu ước tính khoảng 1,4 tỷ tài khoản
sử dụng thư điện tử và mật khẩu trên thế giới đã bị lộ. Đáng chú ý, trong 1,4 tỷ tài
khoản thư điện tử trên thế giới bị lộ thông tin, Trung tâm VNCERT đã phân tích và
phát hiện số tài khoản sử dụng thư điện tử tại Việt Nam có đuôi “.vn” là 437.664 tài
khoản, bao gồm cả các tài khoản sử dụng thư điện tử của cơ quan nhà nước có đuôi
“gov.vn” là 930 tài khoản. Đáng lo ngại hơn, trong số này có rất nhiều tài khoản sử
dụng thư điện tử của các tập đoàn, doanh nghiệp hạ tầng quan trọng của Việt Nam.
Để hỗ trợ người dùng kiểm tra xem email của mình có bị lộ mật khẩu trong đợt
lộ, lọt thông tin của 1,4 tỷ tài khoản email nêu trên hay không, ngày 28/12/2017, Cục
An toàn thông tin - Bộ TT&TT cho biết, cơ quan này đã hoàn thành việc xây dựng
trang web .

Cụ thể, trên trang web do Cục An toàn thông tin xây
dựng, người dùng có thể kiểm tra xem email của mình có bị lộ mật khẩu hay không
bằng cách nhập địa chỉ mail của mình vào ô “Kiểm tra lộ lọt thông tin tài khoản” trên
trang và bấm vào nút “Kiểm tra”.
Theo hướng dẫn của Cục An toàn thông tin, kết quả kiểm tra sẽ được gửi tới địa
chỉ email của người dùng sau khi đơn vị này hoàn thành việc kiểm tra thông tin.
Trần Văn Hòa (2017), chủ đề “An toàn Thông tin cho doanh nghiệp trong cuộc
cách mạng 4.0”, Cyber Security 2017.
Ở đây, tác giả đã nêu lên các cuộc tấn công mạng lớn vào nền tảng thương mại
điện tử và thanh toán điện tử cùng với các ứng dụng di động và IoT, thanh toán POS,
online mPOS, ứng dụng QR Pay, Samsung Pay… Phổ biến nhất là các loại tấn công
Ransomware, DDOS, APT, hacking vào cơ sở dữ liệu của các công ty bán hàng online,
thanh toán trực tuyến như bán vé máy bay trực tuyến, đặt chỗ khách sạn, bán hàng có
kết nối mPOS, để lấy cắp dữ liệu khách hàng, bí mật thương mại, thông tin thẻ tín
dụng. Phần lớn các doanh nghiệp chưa nhận biết được hệ thống đã bị tấn công, cài mã
độc, bị kiểm soát hệ thống, theo dõi bí mật, lấy cắp, phá hoại thông tin… Khi bị tấn
công, chỉ tập trung vào dựng lại hệ thống, chứ không chú trọng lưu lại dấu vết và yêu
cầu các cơ quan chức năng điều tra tìm thủ phạm. Do vậy, hacker có điều kiện tấn
công tiếp tục nhiều lần, gây thiệt hại lớn cho DN.

15


Trong bài viết này, tác giả đã đưa ra tiêu chuẩn để đánh giá sự tuân thủ của các
bộ phận bên trong tổ chức cũng như các bộ phận liên quan bên ngoài tổ chức. Tiêu
chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví
dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận v.v…). Nội dung
tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai, điều hành, giám sát,
xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để đảm bảo an toàn thông tin
trước những tất cả các rủi ro có thể xảy ra với tổ chức. Tiêu chuẩn này cũng chỉ rõ các

yêu cầu khi triển khai các biện pháp bảo vệ an toàn đã được chọn lọc phù hợp với nhu
cầu của tổ chức hoặc một bộ phận của tổ chức.
1.3.2.

Tình hình nghiên cứu thế giới
Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm
và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông
tin nói chung. Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức
tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các
doanh nghiệp lớn nhỏ, các tổ chức, chính phủ…
Hay gần đây nhất là vụ tấn công vào các trang thông tin điện tử của Cơ quan
tình báo Trung ương Mỹ CIA và Interpol, gây những hậu quả đặc biệt nghiêm trọng.
Các số liệu thống kê và thực tế cho thấy các cuộc tấn công mạng sẽ ngày càng mạnh
mẽ hơn, chuyên nghiệp hơn và ngày càng khó khăn hơn để ngăn chặn.
William Stallings(2005), Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall, 2005
Nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ
bản của công nghệ mật mã và an ninh mạng. Kiểm tra các thực hành an ninh mạng
thông qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụng ngày nay. Các
chương trình mã hóa được sử dụng rộng rãi nhất dựa trên các dữ liệu Encryption
Standard (DES) được thông qua vào năm 1977 của Cục Tiêu chuẩn Quốc gia, nay là
Viện Tiêu chuẩn và Công nghệ (NIST), như tiêu chuẩn xử lý thông tin liên bang 46
(FIPS PUB 46). Đối với DES, dữ liệu được mã hóa trong khối 64-bit sử dụng một chìa
khóa 56-bit. Các thuật toán biến đổi 64-bit đầu vào trong một loạt các bước vào một
đầu ra 64-bit. Các bước tương tự, với cùng một phím, được sử dụng để đảo ngược mã
hóa. DES với việc sử dụng rộng rãi. Nó cũng đã là chủ đề của nhiều cuộc tranh cãi liên
quan đến bảo mật của DES là. Để đánh giá đúng bản chất của sự tranh cãi, chúng ta
hãy nhanh chóng xem lại lịch sử của DES.
Tính năng ngăn chặn chế độ thuật toán, mã hoá hoạt động, bao gồm cả chế độ
CMAC (Cipher-based Message Authentication Code) để xác thực và chế độ mã hoá

16


chứng thực. Bao gồm phương pháp giải quyết, mở rộng cập nhật những phần mềm độc
hại và những kẻ xâm hại.
Chuyên san nghiên cứu khoa học an toàn thông tin (2017), Constructing
Heuristic Malware Detection Mechanism Based on Static Analysis, Ban cơ yếu chính
phủ an toàn thông tin.
Nội dung bài báo trình bày về cơ sở lý thuyết về khả năng sử dụng không gian
đặc trưng mới, được trích chọn trong quá trình phân tích tĩnh các tập tin thực thi để
giải quyết bài toán nhận diện mã độc.
Đóng góp khoa học trong bài báo bao gồm: Xây dựng bộ phân lớp tập tin thực
thi trong trường hợp thiếu các thông tin tiên nghiệm, mô hình hóa lớp các tập tin bị lây
nhiễm và phần mềm độc hại trong quá trình học máy; Xây dựng phương thức phát
hiện phần mềm độc hại sử dụng mạng nơron và cây quyết định. Bài báo cũng mô tả
mô hình hệ thống phát hiện phần mềm độc hại bằng cách sử dụng phương pháp phân
tích tĩnh các tập tin thực thi. Phần kết luận trình bày các kết quả thực nghiệm để đánh
giá hiệu suất mô hình phát hiện đã được đề xuất. Các kết quả thu được đã khẳng định
giả thuyết về khả năng xây dựng công cụ phân tích phần mềm độc hại sử dụng phương
pháp heuristic dựa trên các đặc trưng được trích chọn trong quá trình phân tích tĩnh các
tập tin thực thi.
HIROKAZU HIGUMA (2017), chủ đề “An toàn cho một thế giới kết nối”,
Cyber Security 2017.
Công trình nghiên cứu của Hirokazu Higuma nói về hệ thống phòng chống vi
phạm thông minh không dựa trên các kỹ thuật phát hiện (AppGuard®). Công cụ bảo
vệ AppGuard® nhỏ hơn 1MB, rất nhỏ so với các sản phẩm bảo mật truyền thống.
AppGuard® không yêu cầu cập nhật. Không phải tải thường xuyên các tệp tin chữ ký
hoặc các engine AI / ML. Hệ thốngAppGuard® không quét hệ thống để phát hiện phần
mềm độc hại. Tính năng “Đặt và Quên” đảm bảo rằng hệ thống điểm cuối an toàn khi
cài đặt AppGuard®.AppGuard® không sử dụng dữ liệu tình báo phát hiện đe dọa, dữ

liệu quá khứ như trong các công nghệ dựa trên sự phát hiện. AppGuard® sẽ ngăn
chặn tất cả các quy trình có hại cho hệ thống và đảm bảo sự an toàn cho hệ thống.
AppGuard® không chỉ là công nghệ để bảo vệ điểm cuối mà còn là khung bảo
mật bao gồm Công nghệ Cách ly, Nền tảng trustica, và Công nghệ AnonymousID.
AppGuard® cung cấp một nền tảng để cung cấp quản lý quan hệ tin cậy cần thiết cho
một thế giới kết nối. AppGuard® cung cấp các giải pháp cho các thiết bị di động, iot
và các phương tiện kết nối Internet. Công nghệ AppGuard® đã được kiểm chứng bởi
các cơ quan của Chính phủ Hoa Kỳ và không bị xâm phạm trong hơn một thập kỷ.
17


18


CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG
CỦA VẤN ĐỀ NGHIÊN CỨU

2.1. Tổng quan về công ty
2.1.1. Quá trình thành lập và phát triển công ty
Tên công ty: Công ty cổ phần công nghệ quang điện tử ánh sáng thời đại
Tên tiếng anh: TIMES LIGHT OPTOELECTRONIC TECHNOLOGY
CORPORATION.
- Tên viết tắt: TIMES LIGHT.,CORP
- Địa chỉ trụ sở: Tầng 1, số nhà 81, phố Vũ Ngọc Phan, phường Láng Hạ,quận Đống
Đa, thành phố Hà Nội, Việt Nam.
- Điện thoại: 0437761761
- Fax : 0437761789
- Mã số thuế: 0105416887
- Giấy phép kinh doanh: 0105416887 do Sở Kế Hoạch và Đầu Tư Hà Nội cấp
 Sơ lược về công ty:

-

Công ty cổ phần công nghệ quang điện tử ánh sáng thời đại (TIMESLIGHT) là
công ty tiên phong trong ứng dụng các công nghệ mới trong lĩnh vực quảng cáo – rút
ngắn khoảng cách giữa ý tưởng và thể hiện, làm cho nội dung quảng cáo được truyền
tải phong phú và hấp dẫn hơn tại thị trường Việt Nam. TIMESLIGHT chuyên tư vấn
thiết kế, sản xuất các sản phẩm cho quảng cáo ngoài trời, các sự kiện lớn, trang trí nội
ngoại thất. TIMESLIGHT mong muốn cung cấp cho khách hàng các giải pháp xuất sắc
và dịch vụ chuyên nghiệp với những ý tưởng sáng tạo phù hợp với nhu cầu phát triển
trong thời đại mới.
TIMESLIGHT đã và đang hoàn thiện chính mình và phát triển mạnh mẽ về cơ
sở vật chất và năng lực cán bộ nhân viên. TIMESLIGHT đã dần khẳng định được vị trí
của mình trên thị trường quảng cáo có sự cạnh tranh gay gắt và đào thải mạnh mẽ như
hiện nay. Trong tương lai với bối cảnh phát triển như hiện nay, khả năng cung cấp sản
phẩm và dịch vụ của TIMESLIGHT chắc chắn sẽ tạo cho TIMESLIGHT một lợi thế
trong xu hướng đón đầu.

19


2.1.2. Cơ cấu tổ chức của công ty
2.1.2.1. Sơ đồ cơ cấu tổ chức của công ty

Sơ đồ 1: Mô hình cơ cấu tổ chức của công ty Cổ phần cổ phần công nghệ quang
điện tử ánh sáng thời đại

2.1.2.2. Chức năng, nhiệm vụ của từng bộ phận
-

-


-

Phòng kỹ thuật: chịu trách nhiệm trong công tác xây dựng, tiếp nhận chuyển giao và
quản lý các dịch vụ, ứng dụng. Thực hiện các chương trình nghiên cứu phát triển dịch
vụ, ứng dụng, kết nối với nhà mạng, áp dụng công nghệ tiên tiến trong xây dựng phần
mềm, dịch vụ, cũng như ứng dụng mới đáp ứng nhu cầu sử dụng của khách hàng; khắc
phục lỗi phát sinh trong quá trình kinh doanh…
Phòng sản xuất: Tham mưu cho Ban giám đốc trong công tác hoạch định sản xuất, bố
trí nguồn nhân lực phù hợp để đảm bảo hiệu quả hoạt động của công ty. Khai thác và
vận hành hiệu quả hệ thống dây chuyền công nghệ của công ty đạt chất lượng sản
phẩm đáp ứng yêu cầu khách hàng và tiết kiệm nguyên liệu.
Phòng kinh doanh:
+ Lập kế hoạch kinh doanh cho công ty theo tháng/ quý/ năm, báo cáo việc thực
hiện, đánh giá các chỉ tiêu hoạt động kinh doanh từng kỳ.
+ Phối hợp lập kế hoạch, đưa ra yêu cầu cho phòng kỹ thuật thực hiện chiến
lược kinh doanh của công ty.
+ Phối hợp triển khai, thực hiện, giám sát đánh giá hoạt động kinh doanh, xây
dựng các kế hoạch marketing sao cho hoạt động kinh doanh hiệu quả nhất, đưa ra các
biện pháp khắc phục để nâng cao hoạt động.
20


-

+ Đảm bảo việc tiếp nhận đầy đủ các ý kiến khiếu nại, phân loại, chuyển thông
tin đến các bộ phận có chức năng thực hiện, theo dõi, ghi chép hồ sơ các khiếu nại của
khách hàng.
+ Tìm kiếm cơ hội phát triển, thị trường mới, khách hàng mới. Duy trì hồ sơ, có
đánh giá, các biện pháp để giữ và tăng thị phần Công ty.

Phòng sáng tạo và thiết kế:
+ Nghiên cứu thiết kế và phát triển sản phẩm
+ Đưa ra các ý tưởng sáng tạo, các đột phá trong quá trình thiết kế sản phẩm
đảm bảo tính cạnh tranh của sản phẩm
+ Triển khai các dự án thiết kế và phát triển sản phẩm.
Phòng kế toán: Có nhiệm vụ tổ chức toàn bộ công tác tài chính kế toán, tín
dụng theo đúng luật kế toán của Nhà nước, cụ thể là: Tổ chức và lưu trữ hệ thống sổ
sách, chứng từ kế toán và các vấn đề liên quan đến công tác kế toán của Công ty theo
đúng chế độ kế toán hiện hành. Cung cấp các thông tin kế toán cho các bộ phận liên
quan, cố vấn cho Tổng giám đốc trong việc quản trị tài chính của Công ty.
2.1.2.3. Cơ cấu nhân sự của công ty

-

-

-

TIMESLIGHT xác định con người là yếu tố quyết định đến sự tồn tại và phát triển
của một tổ chức. TIMESLIGHT đã không ngừng nỗ lực đầu tư vào các yếu tố kỹ thuật,
cơ sở vật chất, đào tạo nhân viên chuyên nghiệp, tạo ra một môi trường làm việc năng
động hiệu quả. Từ đó, con người đã trở thành thế mạnh cạnh tranh của công ty, mang
đến cho khách hàng những dịch vụ với chất lượng tốt nhất.
TIMESLIGHT đã không ngừng nỗ lực đầu tư vào các yếu tố kỹ thuật, cơ sở vật chất,
đào tạo nhân viên chuyên nghiệp, tạo ra một môi trường làm việc năng động và hiệu
quả. Xác định được tầm quan trọng của yếu tố nhân sự, TIMESLIGHT luôn có chính
sách đầu tư cho các thành viên trong công ty có điều kiện tốt nhất để học hỏi, trau dồi
kiến thức, kinh nghiệm, được tập huấn, đào tạo những khóa học ngắn hạn và dài hạn
để giúp họ phát triển được tài năng một cách toàn diện nhất.
Đến nay, tổng số nhân viên của TIMESLIGHT là 34 người với 65% nhân viên trong

công ty có trình độ đại học, là cử nhân các ngành kinh tế, điện tử, quản trị kinh doanh,
tài chính kế toán. Các chuyên viên được đào tạo với trình độ năng lực đảm bảo nhất
với vốn kinh nghiệm thực tế từ các dự án trong việc cung cấp các dịch vụ của công ty.
2.1.3. Lĩnh vực hoạt động,các ngành nghề kinh doanh của công ty
Hiện tại, công ty đang kinh doanh đang rất nhiều các ngành nghề với mục đích
giúp cho khách hàng biết đến thương hiệu của mình hơn. Dưới đây là các ngành nghề
kinh doanh của công ty:
Bảng 1: bảng các ngành nghề kinh doanh của công ty cổ phần công nghệ
quang điện tử ánh sáng thời đại.
21


ST
T

Mã ngành
2610
( chính )
2612
2732
7310
5210

1

Sản xuất linh kiện điện tử

2
3
4

5

Sản xuất thiết bị sử dụng năng lượng chiếu lưu
Sản xuất dây, cáp điện và điện tử khác
Quảng cáo
Kho bãi và lưu giữ hàng hóa
Bán buôn máy móc, thiết bị và phụ tùng máy khác:
Chi tiết: bán buôn máy móc, thiết bị điện, vật liệu điện (máy
4659
phát điện, động cơ điện, dây điện và thiết bị khác dùng trong
mạch điện )
Bán buôn đồ dùng khác cho gia đình
4649
Chi tiết: bán buôn đồ điện gia dụng, đèn và bộ đèn điện
Bán lẻ đồ điện gia dụng, giường, tủ, bàn, ghế và đồ nội thất
tương tự, đèn và bộ đèn điện, đồ dùng gia đình khác chưa được
4759
phân vào đâu trong các cửa hàng chuyên doanh
Sản xuất thiết bị truyền thông
2630
Sản xuất sản phẩm điện tử dân dụng
2640
Sửa chữa thiết bị điện tử và quang học
3313
Vận tải hành khách đường bộ khác
4932
Sản xuất thiết bị điện chiếu sáng
2740
Hoạt động dịch vụ công nghệ thông tin và dịch vụ khác liên
6209

quan đến máy vi tính
Dịch vụ liên quan đến in
1812
Vận tải hàng hóa bằng đường bộ
4933
Sửa chữa thiết bị điện
3314
Lắp đặt hệ thống điện
4321
Bán buôn thiết bị và linh kiện điện tử, viễn thông
4652
Nghiên cứu thị trường và thăm dò dư luận
7320
In ấn
1811
Hoạt động dịch vụ hỗ trợ kinh doanh doanh khác còn lại chưa
được phân vào đâu:
8299
Chi tiết: xuất nhập khẩu các mặt hàng công ty kinh doanh
Sản xuất thiết bị dây dẫn điện các loại:
Chi tiết: sản xuất bộ phận ngắt mạch cho dây dẫn điện ( ứng
suất, nút bấm, lẫy khóa); sản xuất ổ cắm, dây dẫn điện; sản xuất
2733
hộp đựng dây điện( ví dụ mối nối, công tắc); sản xuất cáp,máy
móc điện; sản xuất thiết bị nối và dẫn.
Hoạt động thiết kế chuyên dụng
7410
Tổ chức giới thiệu và xúc tiến thương mại
8230
( Đối với những nghành nghề kinh doanh có điều kiện, doanh

nghiệp chỉ hoạt động kinh doanh khi có đủ điều kiện theo quy
định của pháp luật)
(Nguồn: phiếu điều tra)

6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

23
24
25
26

22

Tên ngành



2.1.4. Tình hình hoạt động của công ty trong 3 năm gần đây
Bảng 2: tình hình kinh doanh của công ty qua các năm 2014, 2015, 2016
Đơn vị: triệu đồng
STT
1
2
3
4
5
6

Các tiêu chí
Tổng doanh thu
Tổng chi phí
Tổng quỹ tiền lương
Lợi nhuận trước thuế
Thuế thu nhập doanh
nghiệp
Lợi nhuận sau thuế

Năm 2014
8560
4025
510
4025

Năm 2015
8705

4145
558
4002

Năm 2016
9386
4317
650
4419

805

800.4

883.8

3220

3201.6

3535.2
(Nguồn: phòng kế toán)

Nhận thấy công ty đã tích cực trong đào tạo và phát triển đội ngũ nhân viên
năng động, nhiệt tình trong công việc luôn cố gắng phục vụ khách hàng tốt nhất, mang
lại cho khách hàng sự hài lòng cũng như mang lại nguồn doanh thu cho công ty. Do
vậy, hoạt động của công ty 3 năm gần đây có sự phát triển đáng kể.
Cụ thể theo như số liệu trên thì năm 2015 giảm 0,57% so với năm 2014 – một
con số không đáng kể. Năm 2016 tăng 9,44% so với năm 2015.


-

Nhận xét: Từ kết quả kinh doanh có thể thấy công ty đang hoạt động và phát triển tốt.
Tuy nhiên cần khắc phục một số vấn đề sau:
Cần thực hiện tốt hơn các chức năng nghiệp vụ của mỗi thành viên, góp phần năng cao
hiệu quả hoạt động kinh doanh của công ty
Cần có các chiến lược kinh doanh cụ thể hơn để giữ uy tín cũng như tạo lòng tin với
khách hàng, đồng thời quan hệ tốt với khách hàng cũ.
Công ty cần trú trọng vấn đề phát triển thị trường để việc kinh doanh đi đúng hướng,
thu hút nhiều tập khách hàng đem lại nguồn thu lớn cho công ty.
2.2. Thực trạng của vấn đề nghiên cứu
2.2.1. Tình hình ứng dụng công nghệ thông tin của công ty
- Trang thiết bị sử dụng trong công ty
Bảng 3: thực trạng về cơ sở vật chất hiện có của công ty

STT
1
2
23

Tên trang thiết bị
Máy chủ
Máy trạm

Số lượng
hiện tại
2
20

Mức độ đáp ứng nhu

cầu sử dụng
( tốt,khá, trung bình)
Tốt
Khá

Số lượng cần
bổ sung,thay
thế
0
3


3
4
5
6
7
8

Máy in
Máy chiếu
Máy photocopy
Máy tính laptop
Máy scan
Máy quét vân tay

2
2
2
2

1
1

Tốt
Tốt
Khá
Tốt
Tốt
Tốt

0
0
1
0
0
0
(Nguồn: phiếu điều tra)

Nhìn chung các trang thiết bị trong đơn vị đều được cung cấp đầy đủ, mức độ
sử dụng các thiết bị được đảm bảo độ chính xác.
-

Phần mềm hệ thống: Hệ thống sử dụng hệ điều hành Window, 95% đáp ứng nhu cầu
cho việc sử dụng trong công ty.
Phần mềm ứng dụng trong hoạt động nghiệp vụ gồm:
Bảng 4: Kết quả điều tra phần mềm công ty đã sử dụng
ST
T
1
2

3

Loại phần mềm

Có sử
dụng

Nguồn gốc

Soạn thảo văn bản
Quản lí nhân sự
Kế toán,tài chính





Microsoft office 2010
Perfect HRM
Vacom

% đáp
ứng yêu
cầu

Có nhu cầu
thay
thế,nâng cấp

90%

Không
95%
Không
98%
Không
(Nguồn: phiếu điều tra)

Các phần mềm được sử dụng với mục đích hỗ trợ cho công ty về việc quản lí
nhân sự, kế toán, soạn thảo văn bản, giúp giảm thiểu chi phí nhân lực, công việc
hoàn thành đảm bảo độ chính xác và kịp thời. Nâng cao hiệu quả và chất lượng của
công việc.
-

-

-

Dữ liệu của đơn vị: lưu trữ tập trung và lưu trữ phân tán.
Dữ liệu được tổ chức: trong cơ sở dữ liệu và trong các tập tin riêng rẽ.
Mạng trong đơn vị: Các dạng mạng được sử dụng là mạng LAN hữu tuyến và mạng
LAN vô tuyến với tốc độ cao được kết nối Internet nhằm mục đích hỗ trợ cho quá
trình vận hành và hoạt động của doanh nghiệp.
Vấn đề an toàn bảo mật thông tin: Đơn vị thường hay gặp sự cố như thông tin bị thất
lạc hay hệ thống gặp sự cố. Điều này gây khó khăn và ảnh hưởng cho doanh nghiệp
trong việc đảm bảo an toàn và bảo mật thông tin.
Nguồn nhân lực của công ty: Công ty Cổ phần công nghệ quang điện tử ánh sáng thời
đại là một trong những Công ty hàng đầu hoạt động trong lĩnh vực kinh doanh các sản
phẩm đèn Led chiếu sáng. Đội ngũ cán bộ nhân viên có trình độ cao là một lực lượng
nòng cốt, có ý nghĩa chính quyết định đến thành công của công ty. Đội ngũ nguồn
nhân lực không chỉ đông về số lượng mà còn có trình độ chuyên môn nghiệp vụ vững

24


vàng. Công ty luôn chú trọng công tác đào tạo nâng cao trình độ CNTT cho các cán bộ
nhân viên của công ty.
2.2.2. Thực trạng về vấn đề an toàn bảo mật tại công ty
Hiện tại, công ty chưa gặp phải vấn đề gì lớn về vấn đề bảo mật và an ninh
mạng. Tuy nhiên, các loại tội phạm trên mạng, các nguy cơ lừa đảo trên mạng đang
ngày môt gia tăng. Bởi vậy, trong tương lai công ty sẽ còn chú trọng hơn nữa vào vấn
đề bảo mật và an ninh mạng để làm nền tảng cơ sở vững chắc ứng dụng TMĐT vào
công ty.
Công ty đã áp dụng các chính sách bảo mật cho thông tin tại DN như:
- Sử dụng ổ cứng
- Sao lưu liên tục
- Đồng bộ lên mạng
- Sử dụng phần mềm diệt virut cho 100% các máy tính trong công ty
- Hệ thống tường lửa
- Cảnh báo truy cập trái phép…
- Hệ thống giám sát an ninh, camera theo dõi 24/24.
Có thể nói, an toàn bảo mật thông tin đang được coi là vấn đề hàng đầu với các
doanh nghiệp hiện nay.
Sau khi điều tra tại công ty thu được kết quả về thực trạng về an toàn bảo mật
của công ty như sau:
Một vài sự cố mà công ty hay gặp phải như:
Bảng 5: tìm hiểu một số sự cố hay gặp ở công ty
Câu trả lời
Thông tin bị thất lạc
Thông tin bị thay đổi
Hệ thống gặp sự cố
Hệ thống bị tấn công


Số phiếu chọn
4
2
3
1
( Nguồn: phiếu điều tra )

25


×