Một số giải pháp đảm bảo an toàn hệ thống thông tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (404.46 KB, 54 trang )
LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được
sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Đỗ Thị Thu Hiền, cùng sự giúp
đỡ của Ban giám đốc và toàn thể nhân viên công ty cổ phần vật liệu xây dựng và
phòng cháy chữa cháy Vinaconex 2.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới Th.S Đỗ Thị Thu Hiền – Giáo
viên hướng dẫn, người đã tận tình giúp đỡ em rất nhiều trong suốt quá trình làm khóa
luận. Đồng thời, em xin gửi lời cảm ơn tới các thầy cô trong nhà trường và các thầy cô
khoa Hệ thống thông tin kinh tế và Thương mại điện tử trường Đại học Thương Mại
đã truyền thụ cho em những kiến thức quý báu trong suốt quá trình học tập để em có
đủ kiến thức hoàn thành tốt bài khóa luận này.
Em cũng xin được gửi lời cảm ơn chân thành tới Ban giám đốc cũng như các
anh/chị làm việc tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Vinaconex 2 vì sự quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu
thập tài liệu.
Do thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bản
thân em còn hạn chế. Vì vậy, khóa luận chắc chắn sẽ gặp phải nhiều sai sót. Em kính
mong các thầy cô giáo trong khoa Hệ thống thông tin kinh tế và Thương mại điện tử,
các anh/chị nhân viên trong công ty cổ phần vật liệu xây dựng và phòng cháy chữa
cháy Vinaconex 2 góp ý, chỉ bảo để khóa luận hoàn thiện hơn.
Em xin chân thành cảm ơn!
Hà Nội, ngày 24 tháng 04 năm 2017
Sinh viên thực hiện
Nguyễn Thị Văn
1
1
MỤC LỤC
2
2
MỤC BẢNG BIỂU
3
3
DANH MỤC TỪ VIẾT TẮT
Tên từ viết tắt
ATBM
ATTT
CNTT
CSDL
HTTT
IP
LAN
PC
VND
4
Diễn giải
Internet Protocol
Local Area Network
Personal Computer
Vietnamese Dong
4
Giải thích
An toàn bảo mật
An toàn thông tin
Công nghệ thông tin
Cơ sở dữ liệu
Hệ thống thông tin
Giao thức Internet
Mạng cục bộ
Máy tính cá nhân
Đồng Việt Nam
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HỆ THỐNG
THÔNG TIN
1.1 Lí do lựa chọn đề tài
Vấn đề đảm bảo bảo an toàn cho các HTTT là một trong những vấn đề quan
trọng được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng
HTTT.
Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ
và xử lý thông tin, đặc biệt là khi thông tin đc xem như một phần của tư liệu sản xuất,
thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Bảo vệ thông tin là bảo vệ
tính bí mật và tính toàn vẹn của thông tin. Hơn nữa, thông tin không phải luôn được
con người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông tin.
Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó sẽ bị mất đi, bị sai lệch
toàn bộ hay một phần. Khi đó tính toàn vẹn của thông tin không còn được đảm bảo.
Khi máy tính được sử dụng để xử lý thông tin, hiệu quả xử lý thông tin được nâng cao
lên, khối lượng thông tin được xử lý ngày càng lớn, kéo theo nó là tầm quan trọng của
thông tin trong đời sống xã hội ngày càng tăng. Nếu như trước đây, việc bảo vệ thông
tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lý để bảo vệ thông tin
theo đúng nghĩa đen, thì càng về sau, vấn đề bảo vệ thông tin đã trở nên đa dạng và
phức tạp hơn. Đối với công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Vinaconex 2 cũng vậy, theo tìm hiểu thì em biết được công ty đã từng xảy ra vấn đề
mất an toàn thông tin dù đã khắc phục được rồi nhưng không đảm bảo rừng trong
tương lai sẽ không xảy ra vấn đề này nữa.
Trong đề tài này, với mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơn
trong vấn đề đảm bảo an toàn bảo mật thông tin. Em sẽ tập trung nghiên cứu cơ sở lý
luận về lý thuyết an toàn bảo mật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánh
giá thực trạng vấn đề bảo mật của công ty. Từ đó, bài khóa luận sẽ đưa ra một số giải
pháp bảo mật thông tin phù hợp nhằm khắc phục thực trạng của vấn đề tại công ty cổ
phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2. Quá trình nghiên cứu
cũng góp phần nâng cao nhận thức của nhân viên trong công ty về vấn đề an toàn và
bảo mật thông tin, trau dồi thêm những thông tin cần thiết cho nhân viên phục vụ cho
công việc vận hành và quản lý vấn đề an toàn thông tin hằng ngày.
5
5
Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến thức
em được học trên trường và sự lựa chọn của bản thân, em xin đưa ra đề tài trong bài khóa
luận tốt nghiệp: “Một số giải pháp đảm bảo an toàn hệ thống thông tin, nâng cao tính
bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex
2”.
1.2 Tổng quan tình hình nghiên cứu
1.2.1 Tình hình nghiên cứu ngoài nước
• Bài báo “Computer security” của tác giả Dieter Gollmann giới thiệu ngắn gọn về an
ninh mạng, an ninh máy tính. Từ đó đưa ra các cơ chế thực thi khác nhau vào bối cảnh
với các chính sách và kiến trúc CNTT quy định việc truy cập vào các tài nguyên được
bảo vệ. Bài báo sẽ đưa ra kết luận với nhận xét về việc đánh giá an ninh hệ thống
mạng máy tính.
• Bài báo “Manage component specific access control with differentiation and
composition” của tác giả Zhiqing Liu giới thiệu một cách trực tiếp về các chính sách
kiểm soát truy cập. Để hệ thống đảm bảo được sự an toàn thì việc kiểm soát quyền
truy cập không được có thiếu sót. Vì vậy mà bài báo trình bày về bối cảnh và chi tiết
cách tiếp cận hệ thống của con người, sự khác biệt cụ thể các chính sách kiểm soát
truy cập tĩnh và truy cập động, thành phần và cấu hình các chính sách kiểm soát truy
cập tĩnh, truy cập động.
•
Bài báo “A cryptographic checksum for Integrity protection” của tác giả Frederick
B.Cohen mô tả một kỹ thuật mật mã để xác minh tính toàn vẹn của thông tin trong các
hệ thống máy tính. Kỹ thuật này được dựa trên việc sử dụng mã hóa RSA hệ mật lặp đi
lặp lại.
1.2.2 Tình hình nghiên cứu trong nước
• Luận văn “Thiết kế tường lửa” của thạc sĩ Vũ Anh Tuấn khoa CNTT trường đại học
Thái Nguyên năm 2012 đã đưa ra phương pháp xây dựng tường lửa và đề xuất nhiều
tiện ích mới mà tường lửa đem lại, đề xuất một số quy trình xây dựng tường lửa sao
cho có hiệu quả nhất, đưa ra những hạn chế mà tường lửa không làm được. Tuy nhiên,
báo cáo cũng chỉ dừng lại ở việc chỉ ra những hạn chế của tường lửa mà chưa đề xuất
được giải pháp nào để khắc phục vấn đề này.
• Đồ án “An ninh mạng và lỹ thuật tấn công mạng” của sinh viên Phạm Minh Tuấn –
Khoaquốc tế và đào tạo sau đại học trường Học viện bưu chính viễn thông đã chỉ ra
được rất nhiều kiểu tấn công qua mạng và cách khắc phục. Đồ án đã đi sâu nghiên cứu
6
6
về các lỗ hổng thường gặp trong bảo mật mạng và đã được nhiều giảng viên trong
khoa đánh giá là một công trình nghiên cứu rất hay về vấn đề an ninh mạng, có thể lấy
làm tài liệu tham khảo cho những thế hệ sau.
• Đề tài nghiên cứu khoa học “Ứng dụng hỗ trợ bảo mật HTTT cho mạng tin học Việt
Nam” của Trịnh Ngọc Minh nhằm xây dựng website với độ bảo mật cao và nghiên cứu
công nghệ IDS cứng và mềm.
1.3 Mục tiêu nghiên cứu
• Các mục tiêu cần giải quyết trong đề tài:
- Tập hợp và hệ thống hóa một số lý thuyết cơ bản về đảm bảo an toàn cho
HTTT bao gồm đảm bảo an toàn cho: phần cứng, phần mềm, CSDL, mạng và con
người.
- Đánh giá phân tích thực trạng vấn đề đảm bảo an toàn cho HTTT của công ty
cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 để đưa ra những ưu,
nhược điểm.
- Từ thực trạng đã phân tích để đề xuất những giải pháp tối ưu, hiệu quả nhất để
đảm bảo an toàn cho HTTT của công ty cổ phần vật liệu xây dựng và phòng cháy chữa
cháy Vinaconex 2.
1.4 Đối tượng và phạm vi nghiên cứu
• Đối tượng:
- Vấn đề an toàn bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy
chữa cháy Vinaconex 2.
- Giải pháp đảm bảo cho HTTT của công ty cổ phần vật liệu xây dựng và phòng
cháy chữa cháy Vinaconex 2.
• Phạm vi nghiên cứu:
- Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn hệ thống thông tin
tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2 để từ đó
đưa ra các giải pháp nâng cao tính bảo mật hệ thống thông tin.
- Về thời gian: Các hoạt động an toàn bảo mật hệ thống thông tin của công ty
thông qua các báo cáo tài chính kinh doanh, số liệu khảo sát từ năm 2014 đến năm
2016, đồng thời trình bày các nhóm giải pháp, định hướng phát triển trong tương lai
của công ty.
7
7
1.5 Phương pháp nghiên cứu
1.5.1 Phương pháp thu thập dữ liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phương
pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa
đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài.
- Sử dụng phiếu điều tra: Xây dựng các phiếu điều tra từ đối tượng là nhân viên
công ty về những nội dung phục vụ cho bài nghiên cứu.
- Tìm hiểu các thông thông qua internet, qua các tài liệu sách báo liên quan đến
an toàn bảo mật hệ thống thông tin
- Phỏng vấn ban giám đốc và bộ phận kỹ thuật của công ty: Lập ra danh mục các
câu hỏi và khảo sát ý kiến của mọi người để phục vụ cho việc đánh giá trình độ nguồn
nhân lực trong quá trình nghiên cứu.
- Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của đề tài để tham khảo và đưa
ra định hướng, giải quyết tốt mục tiêu đề ra.
1.5.2 Phương pháp xử lí dữ liệu
Từ những dữ liệu thu thập được, sau khi tiền hành phỏng vấn và thu thập tài liệu
sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục
đích nghiên cứu của đề tài.
1.5.3 Phương pháp nghiên cứu
- Phương pháp nghiên cứu định tính: Quan sát, phỏng vấn các nhân viên của
công ty, nắm bắt một cách chủ quan tình hình an toàn bảo mật thông tin trên mọi mặt
của doanh nghiệp. Từ đó, có thể phân tích và tổng hợp thông tin đã có.
- Phương pháp nghiên cứu định lượng: Lập phiếu điều tra, sau đó tổng hợp lại, từ
đó đưa ra được cái nhìn chính xác hơn về tình hình của công ty.
1.6 Kết cấu khóa luận tốt nghiệp
Khóa luận gồm 3 chương:
Chương 1: Tổng quan về vấn đề an toàn bảo mật hệ thống thông tin.
Chương 2: Cơ sở lý luận và phân tích, đánh giá thực trạng của an toàn hệ thống thông
tin, nâng cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa
cháy Vinaconex 2.
Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả an toàn thông
8
8
tin, dữ liệu tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex
2.
9
9
CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG
CỦA AN TOÀN HỆ THỐNG THÔNG TIN, NÂNG CAO TÍNH BẢO MẬT TẠI
CÔNG TY CỔ PHẦN VẬT LIỆU XÂY DỰNG VÀ PHÒNG CHÁY CHỮA
CHÁY VINACONEX 2
2.1 Cơ sở lý luận về an toàn hệ thống thông tin, nâng cao tính bảo mật tại
công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.1.1 Một số khái niệm cơ bản về an toàn bảo mật hệ thống thông tin
• Mạng máy tính là một tập hợp các máy tính được kết nối với nhau bởi đường truyền
theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại với
nhau. (Theo [3]).
Mạng máy tính có hai đặc trưng cơ bản: Đường truyền và cấu trúc. Đường truyền
là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để chuyển các tín hiệu
điện tử từ máy tính này đến máy tính khác. Các tín hiệu điện tử đó biểu thị các giá trị
dữ liệu dưới dạng các xung nhị phân. Tất cả các tín hiệu được truyền giữa các máy
tính đều thuộc một dạng sóng điện từ. Tùy theo tần số của sóng điện từ có thể dùng
các đường truyền vật lý khác nhau để truyền các tín hiệu. Các đường truyền dữ liệu tạo
nên cấu trúc của mạng.
• Dữ liệu là những con số, ký tự hay hình ảnh phản ánh về sự vật hay hiện tượng trong
thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
(Theo [2])
• Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,
tổng hợp, ...), phù hợp với mục đích của người sử dụng. Có thể nói cách khác,
thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người
sử dụng. (Theo [2])
• Hệ thống thông tin là một tập hợp và sự kết hợp của các phần cứng, phần mềm và các
hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và
chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức. ( Theo
[3])
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.
10
10
Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng
hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
• Website là một tập hợp các trang web bao gồm văn bản, hình ảnh, video, flash, ...
thường chỉ nằm trong một tên miền hoặc tên miền phụ. Trang web được lưu trữ trên
máy chủ web có thể truy cập thông qua Internet (Theo [4])
Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng Internet –
nơi giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cung
cấp,... Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giao
dịch với khách hàng, đối tác trên Internet.
• An toàn hệ thống thông tin: thông tin được coi là an toàn khi thông tin đó không bị làm
hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được
phép (Theo [1])
• Bảo mật thông tin: là ngăn chặn các truy cập không được phép, hạn chế tối đa các sai
sót của người dùng, đảm bảo các thông tin không bị mất hoặc bị thay đổi ngoài ý
muốn, không tiết lộ nội dung dữ liệu, chương trình xử lý. (Theo [3])
2.1.2 Cơ sở lý luận về đảm bảo an toàn hệ thống thông tin, nâng cao tính bảo
mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.1.2.1 Các đặc trưng của một hệ thống thông tin bảo mật.
Một HTTT bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm
bảo được 3 đặc trưng sau:
(1) Tính bí mật của thông tin.
(2) Tính toàn vẹn của thông tin.
(3) Tính khả dụng của thông tin.
Ba đặc trưng này liên kết lại và được xem như là mô hình tiêu chuẩn của các hệ
thống thông tin bảo mật. Mô hình này được sử dụng rộng rãi trong nhiều ngữ cảnh và
nhiều tài liệu khác nhau và được gọi tắt là mô hình CIA.
(1) Tính bí mật, một số loại thông tin có giá trị đối với một đối tượng xác định
khi chúng không phổ biến cho đối tượng khác. Tính bí mật của thông tin là tính giới
hạn về đối tượng được quyền truy xuất thông tin. Đối tượng truy xuất có thể là con
người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, spywware,
worn,... Thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép. (Theo
[3])
11
11
Tùy theo tính chất của thông tin mà mức độ bí mật của chúng sẽ khác nhau. Để
đảm bảo tính bí mật của thông tin, ngoài các phương tiện vật lý như nhà xưởng, thiết
bị lưu trữ, dịch vụ bảo vệ thì công cụ bảo vệ trong phần mềm được xem là công cụ bảo
vệ thông tin hữu hiệu nhất trong môi trường máy tính.
Sự bí mật của thông tin phải xem xét ở hai yếu tố là sự tồn tại của thông tin và
nội dung của thông tin đó. Đôi khi, sự tồn tại của thông tin có ý nghĩa cao hơn .
(2) Tính toàn vẹn của thông tin: Thông tin chỉ được xóa hoặc sửa bởi những đối
tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ
hay truyền đi. (Theo [3])
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi
dữ liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể vi
phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết.
Một số trường hợp tính toàn vẹn của thông tin bị phá vỡ:
•
•
•
•
Thay đổi giao diện trang chủ của một website.
Chặn đứng và thay đổi gói tin được gửi qua mạng.
Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị
sai lệch.
Tính toàn vẹn được xét trên 2 khía cạnh: Tính nguyên vẹn của nội dung thông tin
và tính xác thực của nguồn gốc thông tin. Sự toàn vẹn về nguồn gốc thông tin trong
một số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo không thể chối cãi của hệ
thống thông tin. Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành hai
loại: cơ chế ngăn chặn và cơ chế phát hiện. Cơ chế ngăn chặn có chức năng ngăn cản
các hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin. Các cơ chế
phát hiện chỉ thực hiện chức năng giám sát và thông báo khi có các thay đổi diễn ra
trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ thống.
Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộ
hay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác của thông
tin và cả mức độ tin cậy của thông tin. Các yếu tố như nguồn gốc thông tin, cách thức
bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định
độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin. Vì vậy,
việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức tạp.
12
12
(3) Tính khả dụng của thông tin: là tính sẵn sàng của thông tin cho các nhu cầu
truy xuất hợp lệ. Nghĩa là thông tin được truy xuất bởi những người được phép vào bất
cứ khi nào họ muốn. (Theo [3])
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống
tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ
thống thông tin nào. Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu
quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra. Tính khả dụng được xem
là nền tảng của một hệ thống bảo mật. Khi hệ thống không sẵn sàng thì việc đảm bảo
hai đặc trưng còn lại (tính bí mật và tính toàn vẹn) sẽ trở nên vô nghĩa.
Hiện nay, các hình thức tấn công từ chối dịch vụ DOS và DDOS được đánh giá
là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra những
thiệt hại lớn và đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu. Các hình thức tấn
công này đều nhằm vào tính khả dụng của hệ thống.
Hiểu rõ 3 mục tiêu của bảo mật là bước căn bản đầu tiên trong quá trình xây dựng
một hệ thống thông tin an toàn nhất có thể. Tuy nhiên hiện nay, một số nghiên cứu đang
hướng tới và đưa ra các mô hình mới cho việc mô tả các hệ thống an toàn. Theo đó, mô
hình CIA không mô tả được đầy đủ các yêu cầu an toàn của hệ thống mà cần phải định
nghĩa lại một mô hình khác với các đặc tính của thông tin cần được đảm bảo như: tính khả
dụng, tính tiện ích, tính toàn vẹn, tính xác thực, tính bảo mật và tính sở hữu.
2.1.2.2 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật hệ thống thông tin
trong doanh nghiệp.
Một hệ thống thông tin hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ
cả môi trường bên trong và môi trường bên ngoài, môi trường vi mô và môi trường vĩ
mô. Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an
toàn và bảo mật hệ thống thông tin trong doanh nghiệp đó là:
•
- Yếu tố con người
- Yếu tố công nghệ
Về yếu tố con người: con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi
vì tất cả các cơ chế, các kỹ thuật được áp dụng để đảm bảo an toàn hệ thống đều có thể
dễ dàng bị vô hiệu hóa bởi con người trong chính hệ thống đó.
Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọi
chung là những người xâm nhập. Tuy nhiên, những người bên trong hệ thống, những
người có điều kiện tiếp cận với hệ thống lại là những người có khả năng tấn công hệ
13
13
thống cao nhất. Đó có thể là một nhân viên đang bất mãn và muốn phá hoại, hoặc chỉ
là một người thích khám phá và chứng tỏ mình. Các tấn công gây ra bởi các đối tượng
này thường khó phát hiện và gây thiệt hại nhiều hơn so với các tấn công từ bên ngoài.
Những người không được đào tạo về an toàn hệ thống cũng là nơi tiềm ẩn các
nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra an
toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư mục
an toàn, ghi mật khẩu lên bàn làm việc,...
•
Về yếu tố công nghệ, công nghệ là yếu tố tạo nên nền móng cho các hoạt động sản
xuất kinh doanh của doanh nghiệp. Công nghệ thông tin đang có khuynh hướng mở ra
không gian rộng rãi hơn cho các doanh nghiệp. Vì thế ứng dụng công nghệ thông tin
đang tạo ra những cơ hội mới với những nguyên tắc mới. Công nghệ thông tin như
một thách thức, đồng thời cũng là công nghệ quan trọng phổ biến nhất giúp các doanh
nghiệp Việt Nam nhanh chóng hòa nhập vào nền kinh tế toàn cầu.
Yếu tố công nghệ bao gồm những sản phẩm như Firewall, phần mềm phòng
chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như
trình duyệt Internet và phần mềm nhận Email từ máy trạm.
2.1.3 Các nguy cơ và hình thức tấn công trong hệ thống thông tin doanh nghiệp
hiện nay
2.1.3.1 Các nguy cơ mất an toàn thông tin trong hệ thống thông tin hiện nay
•
Về nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các
hiện tượng khách quan như thiên tai ( lũ lụt, song thần, động đất,…) hỏng vật lý, mất
điện,… Đây là những nguyên nhân khách quan, khó dựđoán trước, khó tránh được
•
nhưng đó lại không phải là nguy cơ chính gây ra việc mất ATTT.
Về nguy cơ có chủ đích: Nguy cơ mất ATTT có chủ đích thường là xuất phát
từ con người. Các hacker điều khiển với mục đích đánh cắp thông tin có sẵn của hệ
thống. Đây là nguy cơ chính và quan trọng gây ra việc hệ thống của các công ty, doanh
nghiệp bị tấn công, mất an toàn thông tin và ảnh hưởng rất lớn đến hoạt động của tổ
chức.
Hai hình thức tấn công vào hệ thống thông tin phổ biến hiện nay là tấn công từ
chối dịch vụ DDOS/DOS và sử dụng virus tấn công thông qua lỗ hổng bảo mật. Tấn
công từ chối dịch vụ DDOS/DOS là dạng tấn công nhằm ngăn chặn người dùng hợp
pháp truy cập vào các tài nguyên mạng. Nó là mối đe dọa thường trực đối với hệ thống
14
14
và máy chủ của các tổ chức bởi nó rất khó phát hiện và khó phòng chống hiệu quả do
số lượng các host bị điều khiển tham gia tấn công thường rất lớn và nằm rải rác ở
nhiều nơi. Tấn công từ chối dịch gây cạn kiệt tài nguyên hệ thống hoặc ngập lụt đường
truyền, làm ngắt quãng quá trình cung cấp dịch vụ cho người dùng hợp pháp, nguy
hiểm hơn là có thể khiến cả hệ thống ngừng hoạt động. Virus máy tính là một chương
trình phần mềm có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối
tượng lây nhiễm khác. Virus máy tính do con người tạo ra nên chúng hoạt động và phá
hoại theo những gì mà chủ nhân của nó nhắm tới. Virus có thể tàn phá nặng nề dữ liệu,
ổ đĩa và hệ thống. Và nguy hiểm hơn là chúng có thể ăn cắp các thông tin như mật
khẩu, hòm thư, thông tin thẻ tín dụng hay các thông tin quan trọng khác để phục vụ
nhu cầu của con người.
Ngoài hai hình thức tấn công phổ biến trên, hệ thống thông tin trong doanh
nghiệp còn bị tấn công theo kiểu tấn công deface website, DNS attack và một số hình
thức tấn công khác.
Biểu đồ 2.1 Các hình thức tấn công vào HTTT doanh nghiệp hiện nay
(Nguồn: Bộ thông tin và truyền thông – VNCERT năm 2013)
Cùng với sự phát triển của xã hội và sự bùng nổ công nghệ thông tin thì nguy
cơ mất an toàn hệ thống thông tin cũng ngày càng gia tăng. Nguy cơ mất an toàn hệ
thống thông tin ở Việt Nam đang tăng lên khi chúng ta đang đứng thứ 5 trong tổng số
10 nước có nguy cơ mất an toàn hệ thống thông tin cao nhất trong năm 2013 dựa trên
các báo cáo tổng hợp về an ninh hệ thống của nhiều hãng bảo mật nước ngoài như
McAffe, Checkpoint,... Theo đánh giá của các chuyên gia, tội phạm công nghệ cao
đang gia tăng với xu hướng có tính quốc tế rõ rệt. Việc tấn công hệ thống thông tin của
các cơ quan, công ty, doanh nghiệp liên tục xảy ra. Ngoài ra số lượng lớn các vụ tấn
công gây thiệt hại về kinh tế nhưng rất khó ước tính đã trở thành mối đe dọa cho sự
cạnh tranh, phát triển của nền kinh tế.
Ngoài các nguy cơ đến từ môi trường bên ngoài kể trên, vấn đề an toàn hệ
thống thông tin của doanh nghiệp còn phải đối mặt với các nguy cơ xuất phát từ chính
nội bộ các doanh nghiệp như do yếu tố kỹ thuật (thiết bị mạng, máy chủ,...), nguy cơ
do lập kế hoạch triển khai, thực thi, vận hành, nguy cơ trong quy trình, chính sách an
ninh bảo mật, nguy cơ do yếu tố con người tác động vào.
15
15
2.1.3.2 Các biện pháp phòng tránh và khắc phục
Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật nhằm
ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Để phòng tránh nguy cơ mất an toàn hệ thống thông tin, doanh nghiệp cần bố trí
nhân lực để tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ thống
CNTT và ngăn chặn, khắc phục kịp thời các sự cố an toàn hệ thống thông tin trên
mạng máy tính. Đặc biệt là cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu
trách nhiệm đảm bảo an toàn cho các hệ thống thông tin, lập kế hoạch đào tạo bồi
dưỡng nghiệp vụ cho đội ngũ cán bộ an toàn thông tin, đào tạo, phổ biển kiến thức, kỹ
năng cho người dùng máy tính về phòng, chống các nguy cơ mất an toàn thông tin khi
sử dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo ATTT,
chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có kết nối
mạng Internet.
Công ty cũng nên dùng một số biên pháp công nghệ để đảm bảo an toàn hệ thống
thông tin như sử dụng công nghệ bảo mật đường truyền, công nghệ điện toán đám
mây, hoặc dùng tường lửa.
• Công nghệ bảo mật đường truyền là quá trình mật mã dữ liệu khi truyền đi khỏi máy
tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các
hệ thống mã hóa máy tính thuộc 1 trong 2 loại là mã hóa sử dụng khóa riêng hoặc mã
hóa sử dụng khóa công khai.
• Công nghệ điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, hay còn biết
đến với tên gọi “Điện toán máy chủ ảo”) là mô hình máy tính dựa trên nền tảng phát
triển của Internet.
Hình 2.1: Mô hình điện toán đám mây
16
16
Điện toán đám mây là sự nâng cấp từ mô hình máy chủ mainframe sang mô
hình cleint-server. Cụ thể, người dùng sẽ không còn phải có các kiến thức về chuyên
mục để điều khiển các công nghệ, máy móc và cơ sở hạ tầng, mà các chuyên gia trong
“đám mây” của các hãng cung cấp sẽ giúp thực hiện điều đó.
Thuật ngữ “đám mây” ở đây là lối nói ẩn dụ chỉ mạng Internet và như một liên
tưởng về độ phức tạp của các cơ sở hạ tầng chứa trong nó. Ở mô hình điện toán này,
mọi khả năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các
“dịch vụ”, cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung
cấp nào đó “trong đám mây” mà không cần phải có các kiến thức, kinh nghiệm về
công nghệ đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ
đó.
Tài nguyên, dữ liệu, phần mềm và các thông tin liên quan đều được chứa trên
các server. Nói một cách đơn giản nhất, “ứng dụng điện toán đám mây” chính là những
ứng dụng trực tuyến trên Internet. Trình duyệt là nơi ứng dụng hiện hữu và vận hành,
còn dữ liệu được lưu trữ và xử lý ở máy chủ của nhà cung cấp ứng dụng đó.
Có 3 kiểu hình thành điện toán đám mây là công cộng, riêng tư và lai.
- Các đám mây công cộng có sẵn cho công chúng hoặc một nhóm ngành nghề
lớn và do một tổ chức bán các dịch vụ đám mây sở hữu và cung cấp. Một đám mây
công cộng là cái mà người ta hình dung là đám mây theo nghĩa thông thường, đó là các
tài nguyên được cung cấp động trên Internet bằng cách sử dụng các ứng dụng web từ
một nhà cung cấp bên thứ ba cung cấp các tài nguyên chia sẻ và gửi hóa đơn tính cước
trên cơ sở tính toán việc sử dụng.
- Các đám mây riêng tư tồn tại bên trong tường lửa của công ty bạn và do tổ
chức của bạn quản lý. Chúng là các dịch vụ đám mây do bạn tạo ra và kiểm soát trong
doanh nghiệp của mình. Các đám mây riêng tư cũng cung cấp nhiều lợi ích tương tự
như các đám mây công cộng – sự khác biệt chủ yếu là tổ chức của bạn chịu trách
nhiệm thiết lập và duy trì đám mây đó.
- Các đám mây lai là một sự kết hợp của đám mây công cộng và riêng tư khi
sử dụng các dịch vụ có trong cả hai vùng công cộng và riêng tư. Các trách nhiệm quản
lý được phân chia giữa các nhà cung cấp dịch vụ đám mây công cộng và chính doanh
nghiệp. Khi sử dụng một đám mây lai, các tổ chức có thể xác định các mục tiêu và yêu
cầu của các dịch vụ được tạo ra và có được chúng dựa vào sự lựa chọn thích hợp nhất.
17
17
Điện toán đám mây gồm 3 tầng: Tầng cơ sở hạ tầng, tầng giữa và tầng trên
cùng.
- Tầng cơ sở hạ tầng là nền tảng của đám mây. Nó gồm có các tài sản vật lý –
các máy chủ, các thiết bị mạng, các ổ đĩa lưu trữ. Cơ sở hạ tầng là một dịch vụ (IaaS)
có các nhà cung cấp.
- Tầng giữa là nền tảng của hệ thống. Nó cung cấp cơ sở hạ tầng của ứng
dụng. Nền tảng hệ thống là một dịch vụ (PaaS) cung cấp sự truy cập đến các hệ điều
hành và các dịch vụ có liên quan.
- Tầng trên cùng là tầng ứng dụng. Tầng mà hầu hết mọi người thường xem
như là đám mây. Các ứng dụng chạy ở đâu và được cung cấp theo yêu cầu của những
người dùng. Phần mềm là một dịch vụ (SaaS) có các nhà cung cấp như Google Pack.
Google Pack bao gồm các ứng dụng, các công cụ có thể sử dụng được qua Internet
như Gmail, Docs và nhiều hơn nữa.
Hình 2.2 Các tầng của đám mây
Tại các quốc gia phát triển trên thế giới, điện toán đám mây được sử dụng ưa
chuộng và phổ biến. Từ năm 2009 trở lại đây, công nghệ này không có nhiều thay đổi
về mặt khái niệm cũng như lợi ích cơ bản mà nó mang lại cho các doanh nghiệp, song
lại có sự thay đổi lớn trên khía cạnh thị trường và xu hướng ứng dụng của các doanh
nghiệp, đặc biệt là doanh nghiệp vừa và nhỏ.
• Tường lửa (Thuật ngữ tiếng Anh: Firewall) là rào chắn mà một số cá nhân, tổ chức,
doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không
mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo
mật nằm trong mạng nội bộ xuất ra ngoài Internet mà không được cho phép.
Tường lửa là một thiết bị phần cứng hoặc một phần mềm hoạt động trong một
môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an
18
18
ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn
lửa trong các tòa nhà.
Hình 2.3: Tường lửa làm nhiệm vụ bảo vệ
Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng
có độ tin cậy khác nhau. Các vùng tin cậy điển hình bao gồm mạng Internet và mạng
nội bộ. Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin
cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa
trên nguyên tắc quyền tối thiểu.
Tường lửa không chỉ là một dạng phần mềm mà nó còn có thể là phần cứng
chuyên dụng trong các mạng doanh nghiệp.
- Tường lửa mềm là những tường lửa được cài đặt trên máy chủ (Server). Và
nó có các đặc điểm như tính linh hoạt cao (có thể thêm bớt các quy tắc, các chức
năng), hoạt động ở tầng Applycation, có thể kiểm tra được nội dung của gói tin (thông
qua các từ khóa). Một số tường lửa mềm thông dụng như Zone Alarm, Microsoft ISA
Server 2006, Norton Firewall,...
Hình 2.4: Tường lửa mềm
- Tường lửa cứng là những tường lửa được tích hợp trên thiết bị định tuyến
(Router). Trước khi một gói tin Internet đến máy tính, thì Firewall phần cứng sẽ giám
sát các gói tin và kiểm tra xem nó đến từ đâu. Nó cũng kiểm tra nếu địa chỉ IP hoặc
tiêu đề có thể tin cậy được. Sau khi kiểm tra, gói tin sẽ đến máy tính. Nó ngăn chặn bất
19
19
kỳ liên kết nào có hành vi nguy hiểm dựa trên các thiết lập Firewall hiện tại trong thiết
bị. Firewall về phần cứng thường không cần phải có rất nhiều cấu hình. Hầu hết các
quy tắc được xây dựng và được xác định trước, dựa trên những quy tắc trong xây
dựng, lọc gói được thực hiện. Nó có các đặc điểm: không được linh hoạt như tường
lửa mềm (không thể thêm chức năng, thêm quy tắc), hoạt động ở tầng thấp là tầng
Network và tầng Transport, không thể kiểm tra nội dung của một gói tin. Một số tường
lửa cứng thông dụng như NAT, Cisco ASA 5500,...
Hình 2.5: Tường lửa cứng
Tường lửa đóng vai trò rất quan trọng để ngăn chặn các thành phần nguy hiểm
như hacker, sâu, hay các loại virus trước khi chúng có thể xâm nhập vào máy tính của
ta. Vì vậy, các cá nhân, tổ chức, cơ quan và nhà nước thường sử dụng tường lửa để
ngăn chặn chúng.
Khắc phục hậu quả khi hệ thống thông tin bị tấn công là sử dụng các phương
pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động
chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi
máy chủ, máy trạm.
Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trung
biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng.
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên
bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động nhanh chậm khác
thường,... cần thực hiện các bước cơ bản:
• Bước 1: Ngắt kết nối máy chủ ra khỏi mạng.
• Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ
cho công tác phân tích)..
• Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống
hoạt động
2.1.4 Vai trò của an toàn hệ thống thông tin, nâng cao tính bảo mật trong
doanh nghiệp
20
20
An toàn bảo mật HTTT có vai trò quan trọng đối với sự phát triển bền vững của
các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh
bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến
việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của
doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành
mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông
tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh
doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo An toàn bảo mật HTTT doanh
nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của
doanh nghiệp. Đây không phải vấn đề riêng của người làm CNTT mà là của mọi cá
nhân và đơn vị trong tổ chức doanh nghiệp.
2.1.5 Phân định nội dung nghiên cứu đề tài khóa luận
Với đề tài khóa luận: “Một số giải pháp đảm bảo an toàn hệ thống thông tin, nâng
cao tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Vinaconex 2”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về an toàn hệ thống
thông tin, thực trạng và giải pháp an toàn hệ thống thông tin, nâng cao tính bảo mật
cho công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:
• Nghiên cứu tổng quan về vấn đề an toàn hệ thống thông tin trong doanh nghiệp.
•
Nghiên cứu về các nguy cơ mất an toàn hệ thống thông tin doanh nghiệp, các biện
pháp phòng tránh và khắc phục hậu quả.
• Nghiên cứu thực trạng vấn đề an toàn bảo mật hệ thống thông tin trong Công ty.
• Đưa ra các giải pháp nhằm đảm bảo an toàn hệ thống thông tin cho Công ty.
2.2 Phân tích, đánh giá thực trạng của an toàn hệ thống thông tin, nâng cao
tính bảo mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Vinaconex 2.
2.2.1 Tổng quan về công ty cổ phần vật liệu xây dựng và phòng cháy chữa
cháy Vianconex 2.
2.2.1.1 Thông tin chung về doanh nghiệp.
- Tên công ty: Công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy
Vinaconex 2.
21
21
- Tên giao dịch quốc tế: VINACONEX2 FIRE PREVENTION AND
CONSTRUCTION MATERIALS JOINT STOCK COMPANY.
- Tên viết tắt: VINACONEX 2 FCM JSC
- Vốn điều lệ: 8.000.000.000 đồng.
- Mã số thuế: 0104346228.
- Mã số doanh nghiệp: 0104346228 cấp ngày 24 tháng 12 năm 2009 do Sở Kế
hoạch & đầu tư Thành phố Hà Nội cấp.
- Loại hình doanh nghiệp: Công ty cổ phần.
- Địa chỉ: Tầng 2, tòa nhà D, KĐT Kim Văn, Kim Lũ, Phường Đại Kim, Quận
Hoàng Mai, Thành Phố Hà Nội.
- Điện thoại: 0435558155.
Vinaconex 2 chính thức hoạt động trên thị trường năm 2009. Trong giai đoạn
đầu, công ty chủ yếu sản xuất và kinh doanh vật liệu xây dựng. Năm 2010, công ty đã
mở rộng quy mô kinh doanh về hoạt động xây dựng,lắp ráp. Đến nay, vinaconex 2 đã
có gần 100 cán bộ nhân viên với chuyên gia trong và ngoài nước, nhân viên được đào
tạo chuyên môn hóa cao.
-
Công ty hoạt động với các lĩnh vực kinh doanh chính:
+ Sản xuất và kinh doanh vật liệu xây dưng như: Sản xuất và kinh doanh bê tông
thương phẩm; khai thác và sản xuất đá.
+ Kinh doanh phương tiện và Thi công lắp đặt thiết bị phòng cháy chữa cháy
+ Xây dựng các công trình dân dụng, công nghiệp, giao thông đường bộ.
+ Lắp đặt hệ thống điện, hệ thống cấp thoát nước và lắp đặt xây dựng khác.
2.2.1.2 Cơ cấu tổ chức công ty
22
22
Đại hội cổ đông
Hình trị
2.6 Sơ đồ cơ cấu tổ chức công
Hội đồng quản
Ban ty
kiểm soát
Đại hội đồng cổ đông: thảo luận và phê chuẩn những chính sách dài hạn và
ngắn hạn về phát triển của Công ty, quyết định về cơ cấu vốn, bầu ra bộ máy quản lý
giám
đốccủa Công ty.
và điều hành các hoạt động sản xuấtBan
kinh
doanh
Hội đồng quản trị: xây dựng các kế hoạch sản xuất kinh doanh, xây dựng cơ
cấu tổ chức, quy chế quản lý Công ty.
Phòng
thuật
Phòng
Bannhân
kiểmsựsoát:
Phòng
giámtàisát,
chính
kiểm
kế tra
toán
tính Phòng
hợp lý kinh
hợp doanh
pháp trong
điều kỹ
hành
hoạt
động của Công ty, đánh giá kết quả hoạt động sản xuất kinh doanh của Công ty một
cách khách quan.
Ban giám đốc: Gồm có Tổng giám đốc điều hành và phó tổng giám đốc phụ
trách kinh doanh và giám đốc phụ trách kỹ thuật
Phòng nhân sự: Phụ trách các vấn đề về nhân sự, tiền lương, các hoạt động văn
hóa đoàn thể. Tham mưu, cố vấn cho giám đốc về công tác quản lý và các phong trào
hoạt động của doanh nghiệp. Có nhiệm vụ kê khai, làm các chứng từ của công ty.
Phòng tài chính kế toán
Là bộ phận quản lý toàn bộ thu chi của công ty, đảm bảo đầy đủ chi phí cho hoạt
động kinh doanh, lương thưởng cho nhân viên,... Lập phiếu thu chi đầy đủ cho các
hoạt động theo quy định của công ty, lưu trữ đầy đủ, chính xác.
Ghi chép, cập nhật nhanh chóng chính xác tình hính biến động tài chính trong công
ty. Lập báo cáo tài chính hàng tháng, hàng quý, hàng năm để báo cáo ban giám đốc.
Phối hợp với phòng nhân sự để trả lương, thưởng cho nhân viên hàng tháng đầy
đủ kịp thời. Theo dõi quá trình chuyển tiền qua ngân hàng, lập và lưu trữ các chứng từ
có liên quan.
Phòng kinh doanh
Lập kế hoạch kinh doanh, báo cáo việc thực hiện, đánh giá các chỉ tiêu hoạt động
kinh doanh từng kỳ, đề xuất các biện pháp nâng cao hiệu quả kinh doanh.
Đảm bảo việc tiếp nhận đầy đủ các ý kiến khiếu nại, phân loại, chuyển thông tin
đến các bộ phận có chức năng thực hiện, theo dõi, ghi chép hồ sơ các khiếu nại của
khách hàng.
Phòng kỹ thuật
23
23
Chịu trách nhiệm trong công tác xây dựng, tiếp nhận chuyển giao và quản lý
các dịch vụ - ứng dụng website, wapsite, ứng dụng chạy trên web đã triển khai kinh
doanh, thực hiện các chương trình nghiên cứu phát triển dịch vụ, áp dụng công nghệ
tiên tiến trong xây dựng phần mềm, dịch vụ, website cũng như ứng dụng mới đáp ứng
nhu cầu sử dụng của khách hàng, khắc phục lỗi phát sinh trong quá trình kinh doanh.
2.2.1.3 Tình hình hoạt động kinh doanh trong 3 năm gần đây
Bảng 2.1 Bảng kết quả hoạt động kinh doanh của công ty (Đơn vị: VNĐ)
(Nguồn: Báo cáo tài chính các năm)
STT
1
2
3
4
Danh mục
Doanh thu thuần
Chi phí kinh doanh
Lợi nhuận trước thuế
Lợi nhuận sau thuế
Năm 2014
3.322.767.223
1.432.234.000
1.900.533.223
1.482.415.914
Năm 2015
4.044.632.000
1.630.290.089
2.441.341.911
1.953.073.529
Năm 2016
4.988.933.210
1.901.470.568
3.087.462.642
2.469.970.114
Phân tích kết quả hoạt động kinh doanh
Tình hình kinh doanh của công ty trong 3 năm gần đây nhìn chung khá tốt. Các
chỉ tiêu doanh thu thuần, lợi nhuận trước thuế, lợi nhuận sau thuế đều tăng so với năm
trước. Cụ thể doanh thu thuần năm 2015 tăng 721.864.777 VNĐ so với cùng kỳ năm
2014, nghĩa là tăng 21,7%. Năm 2016 tăng 944.301.210 VNĐ so với năm 2015,tăng
23,3%. Sau 2 năm từ 2014 đến 2016, lợi nhuận sau thuế đã tăng mức đáng kể là
987.554.200 VNĐ, tương đương 66,6%. Như vậy, lợi nhuận của công ty tăng mạnh
qua các năm. Điều này cho thấy Vinaconex 2 đã có kế hoạch chiến lược kinh doanh
khá tốt. Để duy trì ổn định mức tăng trưởng này và nâng cao doanh thu, công ty cần
theo dõi tình hình hoạt động hằng ngày và đề ra các chiến thuật, chiến lược hợp lý, ổn
định.
2.2.2 Phân tích thực trạng của an toàn hệ thống thông tin, nâng cao tính bảo
mật tại công ty cổ phần vật liệu xây dựng và phòng cháy chữa cháy Vinaconex 2.
2.2.2.1 Trang thiết bị phần cứng
Hệ thống máy chủ:Số lượng máy chủ 1 cái được cài đặt hệ điều hành Linux. Máy
chủ PowerEdge của Dell, dòng máy này rất thích hợp làm máy chủ chứa file cho các
máy trạm, chia sẻ internet trên mạng LAN, làm máy dịch vụ in (printer server) hoặc
làm hosting cho website nhỏ cũng như những mạng khác. Dòng máy này được gắn bộ
vi xử lý Inter Xeon 3400 series và hệ điều hành Microsoft Windows Server 2008 R2,
cung cấp những tính năng cần thiết cho hoạt động của công ty.
24
24
Toàn bộ nhân viên trong công ty đều được trang bị 1 máy tính để bàn hoặc máy
tính xách tay có kết nối mạng Internet cáp quang tốc độ cao của FPT.
Máy in:Công ty trang bị hệ thống 2 máy in lazer A4 2 mặt và 5 máy scan A4
phục vụ cho việc in ấn, photo nghiệp vụ giữa các phòng ban trong doanh nghiệp.
Biểu đồ 2.2 Chất lượng các thiết bị phần cứng
(Nguồn: Phiếu điều tra)
Các thiết bị phần cứng của doanh nghiệp được đánh giá có chất lượng cao, đáp
ứng yêu cầu công việc. Đa phần người sử dụng đánh giá rằng chất lượng các thiết bị
rất tốt và hoạt động tương đối ổn định.
Hiện nay, công ty đã có những giải pháp bảo mật thông tin trên phần cứng như
sau:
Biểu đồ 2.3: Các giải pháp bảo mật hệ thống thông tin trên phần cứng
(Nguồn: Phiếu điều tra)
Công ty đã chú trọng đến việc bảo mật thông tin trên phần cứng, nhưng vẫn
chưa đi sâu và tập trung vào một biên pháp chuyên sâu cụ thể.
Các thiết bị bảo mật bằng phần cứng
Biểu đồ 2.4: Các thiết bị bảo mật bằng máy tính
(Nguồn: Phòng kỹ thuật)
Nhìn chung, các thiết bị bảo mật bằng phần cứng của công ty còn khá đơn giản,
chỉ để phục vụ cho công tác sao lưu dữ liệu. Vì vậy, công ty nên kết hợp cả các thiết bị
ổ usb, đĩa mềm và Firewall phần cứng để đạt được hiệu quả tốt nhất cho công tác bảo
mật thông tin cho phần cứng.
2.2.2.2 Trang thiết bị phần mềm
- Phần mềm quản lý nghiệp vụ - sử dụng CSDL là SQL sever
- Sử dụng các phần mềm tin nhắn nhanh ( yahoo messenger, skype,…)
- Công ty đã và đang sử dụng các phềm mềm như Office 2010, Office 2013…
tại các phòng ban công ty.
- Phần mềm kế toán MISA- giúp doanh nghiệp quản lí tình hình của doanh nghiệp,
góp phần giảm thiểu các thao tác thủ công trong kế toán, xây dựng một cái nhìn bao quát
25
25
