TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTT KINH TẾ VÀ TMĐT

————

KHÓA LUẬN TỐT NGHIỆP
ĐỀ TÀI:
“GIẢI PHÁP ĐẢM BẢO AN TOÀN CƠ SỞ DỮ LIỆU TẠI CÔNG

TY CỔ PHẦN CÔNG NGHỆ SAVIS”

Giáo viên hướng dẫn : Th.S Cù Nguyên Giáp
Sinh viên thực hiện

: Trịnh Thị Linh

Mã sinh viên

: 15D190166

Lớp

: K51S3

Hà Nội, 2019


LỜI CẢM ƠN
Khóa luận này được hoàn thành là kết quả của bốn năm học tập, rèn luyện với sự
hướng dẫn chỉ bảo của các thầy cô giáo khoa Hệ thống thông tin kinh tế và Thương mại
điện tử, Trường Đại học Thương mại. Đây chính là khoảng thời gian quý báu giúp tác giả

tích lũy được các kiến thức nền tảng về hệ thống thông tin để có được cái nhìn toàn diện
và sâu sắc về vấn đề nghiên cứu. Để có thể hoàn thiện được khóa luận này không chỉ là sự
cố gắng nỗ lực của bản thân mà còn có sự giúp đỡ, chỉ bảo tận tình của thầy cô, các anh
chị trong Công ty Cổ phần Công nghệ SAVIS.
Trước hết, tác giả xin được gửi lời cảm ơn sâu sắc nhất tới ThS. Cù Nguyên Giáp –
người đã tận tình hướng dẫn, giúp đỡ em trong suốt quá trình thực hiện khóa luận. Em
cũng xin chân thành cám ơn đến Ban Giám Hiệu nhà trường và cùng toàn thể quý Thầy,
Cô giáo khoa Hệ thống Thông tin Kinh tế và Thương mại Điện tử (IS) đã quan tâm, nhiệt
tình giúp đỡ và tạo điều kiện cho em trong suốt quá trình học tập tại Trường.
Em cũng xin gửi lời cám ơn chân thành đến Ban Lãnh Đạo và toàn thể Cán bộ Nhân
viên công ty Cổ phần Công nghệ đã tận tình giúp đỡ, hướng dẫn và cung cấp số liệu giúp
em có thể hoàn thành khóa luận này với kết quả tốt nhất.
Trong khuôn khổ của một khóa luận và những hạn chế về mặt kiến thức, thời gian
tìm hiểu, mặc dù đã có nhiều nỗ lực cố gắng, tuy nhiên vẫn không tránh khỏi những thiếu
xót nhất định. Vì vậy, tác giả rất mong nhận được những ý kiến đóng góp từ quý thầy cô
và các bạn để giúp tác giả hoàn thiện hơn nữa đề tài nghiên cứu khóa luận của mình.
Em xin chân thành cảm ơn!
Sinh Viên
Trịnh Thị Linh

2


MỤC LỤC

3


DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
BẢNG

SƠ ĐỒ
Sơ đồ 1: Sơ đồ cơ cấu tổ chức của công ty Cổ phần Công nghệ SAVIS

4


DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
CSDL
HTTT
MIS
ATTT
TMĐT
DoS
TCP/IP
CNTT
AES
LAN
HTTPS
WEP
SQL

5

Diễn giải
Management Information System
Denial of Service
Internet protocol suite
Advanced Encryption Standard
Local Area Network

Hypertext Transfer Protocol Secure
Wireless Encryption Protocol
Structured Query Language

Nghĩa tiếng Việt
Cơ sở dữ liệu
Hệ thống thông tin
Hệ thống thông tin quản lý
An toàn thông tin
Thương mại điện tử
Tấn công từ chối dịch vụ
Bộ giao thức liên mạng
Công nghệ thông tin
Tiêu chuẩn mã hóa tiên tiến
Mạng cục bộ
Giao thức truyền tải siêu văn bản
Giao thức mã hoá mạng không
dây
Ngôn ngữ truy vấn cấu trúc


MỞ ĐẦU: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1. Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu

Thông tin luôn là một tài sản vô giá của doanh nghiệp và cần được bảo vệ bằng mọi
giá. Tuy nhiên, đối với những đòi hỏi gắt gao của môi trường kinh doanh yêu cầu doanh
nghiệp phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay
Intranet, việc bảo vệ thông tin trở nên ngày càng quan trọng và khó khăn hơn bao giờ hết.
Hầu hết các doanh nghiệp ngày nay đều sử dụng các hệ quản trị cơ sở dữ liệu để lưu
trữ tập trung tất cả các thông tin của doanh nghiệp mình. Vì vậy, hệ quản trị CSDL lưu trữ

thông tin trở thành mục tiêu tấn công nhằm gây thiệt hại cho tổ chức, doanh nghiệp. Ở
mức độ nhẹ, các tấn công sẽ làm cho hệ thống CSDL bị hỏng hóc, hoạt động không ổn
định, mất mát dữ liệu dẫn đến các giao dịch hàng ngày của doanh nghiệp bị đình trệ.
Nghiêm trọng hơn, các thông tin quan trọng của như chiến lược kinh doanh, các thông tin
về khách hàng, hoạt động tài chính của doanh nghiệp bị tiết lộ và được đem bán cho các
công ty đối thủ. Có thể thấy, thiệt hại của việc thông tin bị rò rỉ là rất nghiêm trọng. Đó sẽ
là một đòn chí mạng đối với uy tín của doanh nghiệp đối với khách hàng và đối tác.
Vì vậy, vấn đề bảo mật CSDL trở nên cấp bách và rất cần thiết cho tất cả mọi người
và nhất là đối với các hoạt động của doanh nghiệp. Trong thời gian thực tập tại Công ty
Cổ phần Công nghệ SAVIS, nhận thấy những giải pháp hiện nay doanh nghiệp đang lựa
chọn để đảm bảo tính an toàn bảo mật cho CSDL đã phần nào đáp ứng được yêu cầu đặt
ra nhưng vẫn chưa triệt để. Nhận thức được điều đó sau thời gian thực tập tại công ty em
quyết định chọn đề tài: “Giải pháp đảm bảo an toàn Cơ sở dữ liệu tại công ty Cổ phần
Công nghệ SAVIS” làm đề tài nghiên cứu của mình. Bản thân em mong muốn được góp
một phần nhỏ vào sự phát triển, hoàn thiện cũng như khắc phục những hạn chế về mặt
đảm bảo an toàn CSDL tại công ty. Từ đó đề xuất được biện pháp đảm bảo an toàn CSDL
phù hợp với điều kiện hiện có và sự phát triển lâu dài của công ty.
Vận dụng kiến thức của bản thân, em mong rằng khóa luận trước tiên là tài liệu
tham khảo cho công ty Cổ phần Công nghệ SAVIS. Thông qua đó công ty có thể hoàn
thiện hơn trong quá trình hoạt động kinh doanh của doanh nghiệp mình. Khóa luận sẽ dựa
trên những mặt hạn chế, thiếu sót và những vấn đề cần cải thiện trong quy trình đảm bảo
an toàn dữ liệu của công ty Cổ phần Công nghệ SAVIS đã được phân tích thông qua việc
thu tập dữ liệu từ công ty, qua đó đề xuất hướng giải quyết phù hợp nhất với điều kiện
hiện có của công ty. Bên cạnh đó khóa luận được xem như là tài liệu tham khảo cần thiết
6


cho việc nghiên cứu – học tập của giáo viên và các bạn sinh viên thuộc các trường đại
học, cao đẳng trên cả nước muốn tìm hiểu những chủ đề liên quan. Sinh viên có thể tham
khảo nhằm tích lũy nhiều hơn về môi trường thực tế, môi trường làm việc tại doanh

nghiệp.
2. Mục tiêu nghiên cứu của đề tài

Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hóa một số lý thuyết cơ bản
về đảm bảo an toàn CSDL cho hệ thống thông tin. Từ đó, đánh giá phân tích thực trạng
vấn đề đảm bảo an toàn dữ liệu cho HTTT tại công ty Cổ phần Công nghệ SAVIS để đưa
ra những đánh giá về ưu, nhược điểm của dữ liệu trong hệ thống thông tin. Từ những
đánh giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao
tính an toàn dữ liệu cho HTTT. Giúp cho công ty nhận diện những nguy cơ và thách thức
của vấn đề đảm bảo cho an toàn dữ liệu HTTT. Từ đó, có những giải pháp nâng cao tính
an toàn bảo mật, ngăn chặn các nguy cơ tấn công dữ liệu - HTTT hiện tại và tương lai.
3. Đối tượng và phạm vi nghiên cứu của đề tài

Đối tượng nghiên cứu

3.1.

Đối tượng nghiên cứu của đề tài là:
3.2.

Vấn đề an toàn thông tin cho CSDL của công ty Cổ phần Công nghệ SAVIS
Giải pháp đảm bảo an toàn CSDL cho HTTT tại công ty Cổ phần Công nghệ SAVIS
Phạm vi nghiên cứu của đề tài
Đề tài sẽ tập trung nghiên cứu trong phạm vi công ty Cổ phần Công nghệ SAVIS
Về mặt không gian: Dựa trên tài liệu thu thập được tại công ty, các phiếu điều tra và
các tài liệu tham khảo được, đề tài tập trung nghiên cứu vấn đề an toàn và bảo mật CSDL
tại Công ty Cổ phần Công nghệ SAVIS
Về thời gian: Dựa tài liệu thu thập năm 2016 - 2018 và số liệu báo cáo tài chính, tài
liệu liên quan của công ty giai đoạn 2016 - 2018. Các số liệu được khảo sát trong quá
trình thực tập tại công ty.


4. Phương pháp thực hiện đề tài
4.1.

Phương pháp thu thập dữ liệu
Phương pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài
liệu chứa đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài thực hiện. Việc
thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra: Thiết kế
những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết nhằm thăm
7


dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi.
Bảng câu hỏi gồm các câu hỏi về các thông tin chung của công ty, về đều xoay
quanh các hoạt động đảm bảo an toàn CSDL của doanh nghiệp
Mục đích: Thu thập thông tin về hoạt động an toàn cho thông tin của công ty để từ
đó đánh giá thực trạng và đưa ra nhưng giải pháp phù hợp đảm bảo an toàn cho CSDL của
Công ty Cổ phần Công nghệ SAVIS.
Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cấp là những thông tin đã được
thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty.
Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của
công ty trong vòng 3 năm: 2016-2018 được thu thập từ phòng kế toán, phòng nhân sự của
công ty, từ phiếu điều tra và tài liệu thống kê khác.
Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo
của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet.
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì tiến hành phân loại sơ bộ các
tài liệu đó. Nếu thu thập thông tin hoàn tất thì bước tiếp theo là xử lý dữ liệu.
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập
và xử lý thông tin từ các nguồn thu thập.

Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office
excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên
trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2016 –
2018, từ phiếu điều tra và tài liệu thống kê khác.
Phương pháp phán đoán: dùng để đưa ra các dự báo, phán đoán về tình hình phát triển
HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng
như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu.
4.2.

Phương pháp phân tích và xử lý số liệu
Phương pháp định lượng: Dữ liệu sau khi thu thập sẽ được đưa ra phân tích thông
qua việc sử dụng Microsoft Office Excel 2019. Từ những biểu đồ được hoàn thành sau
khi nhập dữ liệu vào ta sẽ có những đánh giá cụ thể về thực trạng an toàn bảo mật thông
tin trong doanh nghiệp và tính cấp thiết của việc nâng cao tính an toàn bảo mật cho thông
tin
Phương pháp định tính: Chọn lọc, phân tích, tổng hợp các dữ liệu thu thập được
thông quá các câu hỏi phỏng vấn và các dữ liệu, thông tin được thu thập từ nhiều nguồn
8


khác để phân tích làm rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ
từng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện. Thường sử dụng để
đưa ra các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.
5. Kết cấu của khóa luận

Kết cấu khóa luận gồm 3 chương:
Chương 1: Cơ sở lý luận về an toàn bảo mật CSDL
Chương 2: Phân tích, đánh giá thực trạng an toàn và bảo mật CSDL tại Công ty Cổ
phần Công nghệ SAVIS
Chương 3: Đề xuất giải pháp đảm bảo an toàn CSDL tại công ty Cổ phần Công

nghệ SAVIS

9


CHƯƠNG I. CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT CSDL TRONG HỆ
THỐNG THÔNG TIN
1. Một số khái niệm cơ bản
1.1.

Một số khái niệm về dữ liệu, cơ sở dữ liệu, thông tin, HTTT, HTTT quản lý trong
doanh nghiệp
Dữ liệu: Dữ liệu là các thông tin của đối tượng (ví dụ: người, vật, một khái niệm, sự
việc…) được lưu trữ trên máy tính. Dữ liệu được mô tả dưới nhiều dạng khác nhau
(những ký tự, hình ảnh, âm thanh, ký hiệu) …Dữ liệu chưa mang cho con người sự hiểu
biết mà phải thông qua quá trình xử lý dữ liệu thành thông tin thì con người mới có thể
hiểu được về đối tượng mà dữ liệu đang biểu hiện.
Cơ sở dữ liệu (CSDL): Cơ sở dữ liệu là tập hợp dữ liệu tương quan có tổ chức được
lưu trữ trên các phương tiện lưu trữ như đĩa từ, băng từ v..v nhằm thỏa mãn các yêu cầu
khai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng
dụng với nhiều mục đích khác nhau.
Thông tin: Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa
đối với người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau
quá trình xử lý dữ liệu.
Hệ thống thông tin (HTTT): là một tập hợp và kết hợp của các phần cứng, phần
mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo,
phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức.
Hệ thống thông tin quản lý (MIS): là tập hợp các phương tiện, các phương pháp và
các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm

kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý.

1.2.

Khái niệm về an toàn, bảo mật CSDL trong HTTT
An toàn dữ liệu: một hệ thống thông tin được coi là an toàn khi thông tin không bị
sửa đổi, sao chép hoặc xóa bỏ bởi người không được phép. Như vậy, an toàn dữ liệu chính
là việc bảo vệ được thông tin trong CSDL tránh được những truy cập trái phép đến CSDL,
từ đó có thể thay đổi hay suy diễn nội dung thông tin CSDL.
Cơ sở dữ liệu của doanh nghiệp, của một ngành … thường được cài đặt tập trung
hay phân tán trên các máy chủ, là tài nguyên thông tin chung cho nhiều người, cùng sử
dụng. Vì vậy các hệ cơ sở dữ liệu cần phải có cơ chế kiểm soát, truy xuất, quản lý, khai
10


thác thông tin sao cho dữ liệu phải được an toàn, toàn vẹn. An toàn dữ liệu có nghĩa là các
hệ cơ sở dữ liệu cần phải được bảo vệ chống truy nhập nhằm sửa đổi hay phá hoại một
cách chủ định. Như vậy các hệ thống cơ sở dữ liệu cần thiết phải được bảo vệ tập trung
nhằm đảm bảo tính toàn vẹn và an toàn dữ liệu.
Bảo mật cơ sở dữ liệu: là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của dữ
liệu. Hệ thống thông tin được coi là bảo mật nếu tính riêng tư của nội dung dữ liệu được
đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
+

Tính bí mật: Dữ liệu và thông tin được phân thành các cấp độ bảo mật khác nhau để bảo

+

đảm rằng chỉ người dùng được cấp phép mới có thể truy cập vào thông tin.
Tính toàn vẹn: Đảm bảo thông tin và dữ liệu là nhất quán và xác nhận. Dữ liệu và thông


tin là chính xác và được bảo vệ khỏi những phá rối bởi những người trái phép.
+ Tính sẵn sàng: Dữ liệu và thông của hệ thống phải luôn ở trong tình trạng sẵn sàng phuc
vụ bất cứ lúc nào đối với những người dùng có thẩm quyền sử dụng một cách thuận lợi.
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất
an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất an
toàn
An toàn và bảo mật CSDL có vai trò quan trọng đối với sự phát triển bền vững của
các doanh nghiệp, vì thông tin là tài sản vô cùng quý giá của mỗi doanh nghiệp, rủi ro về
thông tin có thể gây thất thoát tiền bạc, tài sản, con người, gây thiệt hại đến hoạt động
kinh doanh, sản xuất của doanh nghiệp, ảnh hưởng đến uy tín và sự phát triển của doanh
nghiệp nhưng lại là vấn đề rất khó tránh khỏi. Do vậy, đảm bảo ATTT doanh nghiệp cũng
có thể coi là một hoạt động quan trọng để doanh nghiệp phát triển.
2. Một số vấn đề lý thuyết liên quan đến an toàn và bảo mật CSDL
2.1.

Các nguy cơ mất an toàn dữ liệu
Mối đe dọa được xem là bất kỳ hoàn cảnh hoặc sự kiện vô tình hay cố ý mà gây ra
tác động bất lợi cho hệ thống. Các đe dọa tiềm năng của hệ thống máy tính có thể xuất
phát từ: phần cứng, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng, mạng truyền tin, cơ
sở dữ liệu, người sử dụng, người quản trị cơ sở dữ liệu. Các mối đe dọa này đều có thể
làm mất hoặc ảnh hưởng đến tính bí mật của dữ liệu.
Một hiểm họa có thể được xác định khi đối phương (người, hoặc nhóm người) sử
dụng các kỹ thuật đặc biệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quan
trọng do hệ thống quản lý.
Các xâm phạm tính an toàn CSDL bao gồm đọc, sửa, xóa dữ liệu trái phép. Thông
11


qua những xâm phạm này, đối phương có thể:

+
+
+

Khai thác dữ liệu trái phép thông qua suy diễn thông tin được phép
Sửa đổi dữ liệu trái phép
Từ chối dịch vụ hợp pháp
Một vấn đề có thể làm lộ thông tin của mọi hệ thống cơ sở dữ liệu, dù được thiết kế
và kiểm soát chặt chẽ đến đâu là khả năng suy diễn của người dùng dựa trên những nguồn
thông tin khác nhau. Có một số cách suy diễn có thể giúp người dùng dù không đủ thẩm
quyền nhưng vẫn có thể đoán biết được thông tin bí mật:
+ Suy diễn dựa trên số liệu thống kê
+ Thu thập các thông tin từ nguồn khác nhau
+ Suy diễn dựa trên các ràng buộc của cơ sở dữ liệu

2.2.

Các hình thức tấn công an toàn CSDL
Dữ liệu được lưu trữ trong cơ sở dữ liệu cần được bảo vệ để tránh việc truy nhajao
trái phép và phá hoại có chủ ý hay không chủ ý. Cách thức tiến hành các hành vi phá hoại
các phần mềm cơ sở dữ liệu có thể là virus, con ngựa thành Tơroa, worm, các cửa sập.
+ Virus: Là một đoạn mã lệnh có thể sao chép chính nó và phá hủy dữ liệu hệ thống,
hoạt động chủ yếu là lây nhiễm trực tiếp vào file đối tượng.
+ Worm (“sâu” máy tính): Là chương trình có khả năng “tự nhân bản” “tự chuyển”
từ máy tính này sang máy tính khác, mà không nhờ vào bất kỳ tác động nào của người
dùng. Thông thường Worm lây truyền qua Email, internet, qua các ổ đĩa lưu động.
+ Con ngựa thành Tơroa (Trojan Horse): là một chương trình núp dưới những
tiện ích xác định, nó tập hợp thông tin, sở hữu thông tin đó và có khả năng sử dụng gia
mạo những thông tin mà nó làm chủ. Nó là một chương trình được cài đặt trong hê
thống. Nó có thể khai thác những đặc quyền của người sử dụng hợp pháp tạo ra một lỗ

hổng bảo mật.
+ Cửa sập (trapdoor): là một đoạn mã lệnh ẩn trong một chương trình. Một đầu vào
đặc biệt nào đó sẽ khởi động đoạn mã này và cho phép chủ của nó bỏ qua các cơ chế bảo
vệ và có thể truy nhập đến những tài nguyên hệ thống không thuộc quyền hạn của anh ta.

2.3.

Các yêu cầu bảo vệ CSDL
+ Bảo vệ chống truy nhập trái phép: Chỉ trao quyền cho những người dùng hợp
pháp. Việc kiểm soát truy nhập cần tiến hành trên những đối tượng dữ liệu mức thấp hơn
file: bản ghi, thuộc tính.
+ Bảo vệ chống suy diễn: Suy diễn là khả năng có được các thông tin bí mật từ
12


những thông tin không bí mật
+ Bảo vệ toàn vẹn CSDL: Bảo vệ CSDL khỏi những người dùng không hợp pháp,
tránh sửa đổi nội dung dữ liệu trái phép.
+ Toàn vẹn dữ liệu thao tác: Đảm bảo tính tương thích logic của dữ liệu khi có nhiều
thao tác thực hiện đồng thời
+ Toàn vẹn ngữ nghĩa của dữ liệu: Đảm bảo tính tương thích logic của các dữ liệu bị
thay đổi, bằng cách kiểm tra các giá trị dữ liệu có nằm trong khoảng cho phép hay không.
+ Xác thực người dùng: Xác định tính duy nhất của người dùng, là cơ sở cho việc
truy quyền. Người dùng được phép truy nhập dữ liệu, khi hệ thống xác định được người
dùng này là hợp pháp.
+ Bảo vệ nhiều mức: Phân loại các mục thông tin khác nhau, đồng thời phân quyền
cho các mức truy nhập khác nhau vào mục riêng biệt.
2.4.

Phân loại các hình thức tấn công HTTT

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công
chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép,
vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện
bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất
thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và
cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn
công này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin
có tên dễ đoán trên đĩa cứng. Tấn công trực tuyến không có mục tiêu cụ thể. Kẻ tấn
công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống
lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản. Hình thức phổ
biến nhất của tấn công trực tuyến là phishing. Phishing là một loại tấn công phi kỹ
13


thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng
tránh duy nhất là ý thức của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các
gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động
tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.

Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
2.5.

Vấn đề con người trong bảo mật hệ thống:
Một hệ thống thông tin hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả
môi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.
Tuy nhiên, con người là yếu tố quan trong nhất, quyết định sự thành công trong tiến trình
kiến tạo hệ thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành HTTT.
Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả các cơ chế, các
kỹ thuật được áp dụng để đảm bảo an toàn hệ thống đều có thể dễ dàng bị vô hiệu hóa bởi
con người trong chính hệ thống đó.
Ví dụ: Hệ thống xác thực người dùng yêu cầu mỗi người sử dụng trong hệ thống khi
muốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu. Tuy nhiên
nếu người được cấp mật khẩu không bảo quản được kỹ thông tin này, hoặc tiết lộ cho
người khác biết, thì khả năng xảy ra các vi phạm đối với chính sách an toàn là rất cao vì
hệ thống xác thực đã bị vô hiệu hóa.
Thực tế đã chứng minh thấy rằng chính những người bên trong hệ thống, những
người có điều kiện tiếp cận hệ thống lại là những người có khả năng tấn công hệ thống
cao nhất. Những người không có kiến thức về an toàn hệ thống cũng là nơi tiềm ẩn các
nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra an toàn,
không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư mục an toàn,
14


làm lộ thông tin mật khẩu người dùng, …

2.6.

Vai trò của an toàn bảo mật CSDL
Theo trang antoanthongtin.vn đã thống kê rằng, hiện nay có khoảng 90% dữ liệu
trong máy tính được lưu trữ dưới dạng CSDL. Tất cả các thông tin về ngân hàng, kho
tàng, quản lý cơ sở vật chất, dân số, tài nguyên khoáng sản, sách trong thư viện, ... đều ở
dạng CSDL. Các dạng thông tin khác như thư tín (bao gồm tất cả các hệ Internet Mail,
IBM Lotus Notes, Microsoft Exchange Server, ...), văn bản (được soạn thảo bằng
Microsoft Word, Word Perfect, ...), các thông tin đồ hoạ khác (được soạn bằng Power
Point, Corel Draw, AutoCad, ...) và các dạng khác chỉ chiếm 10%.
Thông tin được coi là tài sản và CSDL không chỉ lưu trữ các thông tin có liên quan
tới bí mật nhà nước hay những thông tin trong lĩnh vực kinh tế (ngân hàng, tốc độ tăng
trưởng của các ngành sản xuất, ...), mà chứa cả thông tin cá nhân (số điện thoại nhà riêng,
sở thích, ...) và chúng đều cần được bảo vệ.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh
bạch hơn, có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của
doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập
một môi trường thông tin lành mạnh. Điều này làm tăng ưu thế cạnh tranh của tổ chức.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại
đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo an toàn bảo mật
CSDL, cũng như thông tin doanh nghiệp cũng có thể coi là một hoạt động quan trọng
trong sự nghiệp phát triển của doanh nghiệp. Đây không phải vấn đề riêng của người làm
CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.
3. Tổng quan đề tài nghiên cứu

3.1.

Tổng quan tình hình nghiên cứu ở Việt Nam
Hiện tại các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng
có nhiều khởi sắc tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về an

toàn và bảo mật thông tin được thực hiện, điển hình như:
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB
Thống kê.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong
TMĐT. Cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT.
15


Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu
trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phương
pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục
hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi
hơn trong các công việc hằng ngày của mình.
Vũ Văn Trường (2012), Luận văn thạc sĩ với đề tài: “Nghiên cứu giải pháp đảm bảo
an toàn và bảo mật cho Trung tâm tích hợp dữ liệu”, Đại học Công nghệ
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn và
bảo mật dữ liệu như: cơ chế xác thực, bảo vệ dữ liệu tại CSDL, Bảo vệ ứng dụng truy cập
CSDL, bảo vệ dữ liệu trên đường truyền mạng công cộng cho Trung tâm tích hợp dữ liệu.
Tuy nhiên nội dung nghiên cứu chỉ dừng lại việc thiết lập bảo vệ CSDL riêng lẻ, chưa
đồng bộ giữa các server CSDL.
Nguyễn Dương Hùng (2013), Luận văn thạc sĩ với đề tài: “Các vấn đề bảo mật và
an toàn dữ liệu của ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây”.
Luận văn đã nêu ra lợi ích của việc ứng công nghệ điện toán đám mây vào các ngân
hàng là một xu thế tất yếu trong trong thời đại CNTT phát triển mạnh mẽ như hiện nay.
Sự ra đời của công nghệ điện toán đám mây (ĐTĐM) cùng với khả năng cung cấp một cơ
sở hạ tầng không giới hạn để truy suất, lưu trữ dữ liệu tại các vị trí địa lý khác nhau là một
giải pháp tốt cho cơ sở hạ tầng công nghệ thông tin (CNTT) để các ngân hàng xử lý các
vấn đề khó khăn trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ
Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên cứu mang tính

lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được những khuyến nghị về an ninh
bảo mật trong ĐTĐM.
3.2.

Tổng quan tình hình nghiên cứu trên thế giới
William Stallings (2005), Cryptography and network security principles and
pratices, Fourth Edition, Prentice Hall
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề
cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh mạng thông
qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày nay. Cung
cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc dễ
dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng, thuật toán, hoạt động mã hóa,
CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng thực.
16


Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hài và những
kẻ xâm hại.
Bài báo “Manage component specific access control with differentiation and
composition” của tác giả Zhiqing Liu (Tháng 4 năm 2005 từ Đại học Ấn Độ)
Zhiqing Liu giới thiệu một cách trực tiếp về các chính sách kiểm soát truy cập. Để
hệ thống đảm bảo được sự an toàn thì việc kiểm soát quyền truy cập không được có thiếu
sót. Vì vậy mà bài báo trình bày về bối cảnh và chi tiết cách tiếp cận hệ thống của con
người, sự khác biệt cụ thể các chính sách kiểm soát truy cập tĩnh và truy cập động, thành
phần và cấu hình các chính sách kiểm soát truy cập tĩnh, truy cập động.
Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and
protocols. John Wiley & Sons
Cuốn sách đã trình bày lý thuyết và thực hành về bảo mật Internet được thông qua
một cách nghiêm ngặt, kỹ lưỡng và chất lượng. Nêu lên vai trò trung tâm của các hoạt
động, nguyên tắc, các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc

phục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực,
tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet.
Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập
vào mạng.

17


CHƯƠNG II. PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN VÀ BẢO MẬT
CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS
1. Tổng quan về Công ty Cổ phần Công nghệ SAVIS
1.1.
Giới thiệu về công ty
1.1.1. Sơ lược về công ty

Tên công ty:
Tên tiếng anh:
Trụ sở chính:
Văn phòng đại diện:
Website:
Email:
Điện thoại:

Công ty Cổ phần Công nghệ SAVIS
SAVIS TECHNOLOGY GROUP
Tầng 9, tòa nhà Việt Á, số 9 phố Duy Tân, phường
Dịch Vọng Hậu, quận Cầu Giấy, TP. Hà Nội.
Số 21K Nguyễn Văn Trỗi, Phường 12, Quận Phú
Nhuận, Thành phố Hồ Chí Minh, Việt Nam



+ (84-24) 3782 2345

1.1.2. Lịch sử phát triển của công ty

Công ty Cổ phần Công nghệ SAVIS là một trong những công ty công nghệ hàng đầu
với đội ngũ chuyên môn có kinh nghiệm, tâm huyết, sáng tạo và tài năng; chuyên cung
cấp các sản phẩm, giải pháp và dịch vụ công nghệ thông tin cho các khách hàng thuộc
khối như Chính phủ, Tài chính – Ngân hàng, Truyền hình – Viễn thông, Y tế, Giáo dục,
Doanh nghiệp… Được thành lập bởi ông Hoàng Nguyên Vân, trải qua hơn 14 năm phát
triển công ty đã dần trước thành và từng bước khẳng định vị thế của mình.
Năm 2004, SAVIS được thành lập bởi những người tài năng, những người đam mê
công nghệ và có nhiều kinh nghiệm trong lĩnh vực CNTT.
Năm 2011, lần đầu tái cấu trúc và thực hiện cổ phần hóa. Thành lập trung tâm phần
mềm, Trung tâm công nghệ và Trung tâm nghiên cứu và phát triển R&D với mục đích trở
thành một công ty giải pháp công nghệ hàng đầu trong lĩnh vực CNTT.
Năm 2012, SAVIS trở thành đối tác của nhiều công ty công nghệ thông tin hàng đầu
thế giới với tư cách là nhà tích hợp hệ thống, đối tác cao cấp trong việc triển khai và phát
triển dịch vụ, và người hỗ trợ kỹ thuật hàng đầu với một nhóm chuyên gia đã được các
nhà cung cấp công nghệ thông tin hàng đầu thế giới trao chứng chỉ.
Năm 2014, SAVIS ký kết thỏa thuận trở thành đối tác thương mại của 2 tập đoàn
truyền hình: Frogbywyplay và Wtvision. Đây là bước đi chiến lược của SAVIS với mục
tiêu từng bước tiếp cận và phát triển mảng dịch vụ truyền hình số tại thị trường Việt Nam.
Năm 2015, SAVIS cán mốc doanh thu 130 tỷ đồng cho các lĩnh vực phần mềm, tích
hợp hệ thống và dịch vụ.
18


Năm 2016, SAVIS được Hiệp hội Công nghệ thông tin và Phần mềm Việt Nam
(VINASA) xếp hạng là một trong 50 công ty CNTT hàng đầu tại Việt Nam.

Năm 2017, cùng với 5 công ty hàng đầu khác tại Việt Nam, SAVIS đã được cấp
Giấy phép kinh doanh của Bộ Thông tin và Truyền thông để cung cấp các sản phẩm và
dịch vụ bảo mật thông tin.
Năm 2018, SAVIS đạt giải thưởng Sao Khuê cho sản phẩm Giải pháp, lưu trữ số hóa
điện tử tập trung trên nền tảng Bigdata
1.2.
Cơ cấu tổ chức
1.2.1. Sơ đồ cơ cấu của tổ chức

Sơ đồ 1: Sơ đồ cơ cấu tổ chức của công ty Cổ phần Công nghệ SAVIS

19


1.2.2. Chức năng nhiệm vụ, thành phần các bộ phận trong công ty, cơ cấu nhân lực của

công ty
Ban Giám đốc:
Tổng Giám đốc:
Phó Tổng Giám đốc:

ông Hoàng Nguyên Vân
ông Tô Văn Hà
ông Nguyễn Quốc Huy
Nhiệm vụ: Ban giám đốc công ty có chức năng xây dựng chiến lược, cung cấp tầm
nhìn, sứ mệnh, nhiệm vụ, mục tiêu phát triển của tổ chức. Đảm bảo các bộ phận trong
doanh nghiệp thực hiện đúng lộ trình, công việc như trong kế hoạch, đánh giá tình hình
hoạt động của các phòng ban chức năng.
Khối kinh doanh: Thực hiện việc theo dõi, quản trị và báo cáo các dự án, hợp đồng
được giao, tổ chức ký kết và thương thảo hợp đồng, tổ chức các cuộc họp, đào tạo trong

quá trình thực hiện. Phòng Quản lý các dự án và thầu pháp chế quản lý các hợp đồng hợp
tác đầu tư, tham gia vào việc chuẩn bị hồ sơ cho các gói thầu của công ty; soạn thảo, kiểm
tra, kiểm soát về mặt pháp lý các văn bản, các loại công văn, hợp đồng kinh tế, hồ sơ pháp
lý, giúp đỡ tất cả các phòng ban về khía cạnh pháp lý. Rà soát và hệ thống hóa các văn
bản pháp luật có liên quan đến hoạt động của công ty
Khối tích hợp: Nghiên cứu và thử nghiệm các giải pháp mới về bảo mật mạng, bảo
mật ứng dụng. Tham gia các công việc triển khai và cung cấp dịch vụ hạ tầng CNTT hệ
thống cho khách hàng, tham gia hỗ trợ kỹ thuật, vận hành hệ thống sau quá trình triển khai
dự án. Tham gia hỗ trợ công việc tư vấn dịch vụ về hạ tầng CNTT hệ thống cho khách
hàng khi có yêu cầu, đề xuất các giải pháp để tối ưu và nâng cao chất lượng dịch vụ cung
cấp ra cho khách hàng.
Khối phần mềm: Thức hiện nhiệm vụ thu thập các yêu cầu nghiệp vụ từ phía đối tác
và khách hàng. Làm việc trực tiếp với đối tác/ khách hàng để làm rõ nghiệp vụ, từ đó phân
tích nghiệp vụ và tài liệu hóa yêu cầu nghiệp vụ dưới dạng văn bản nhằm đảm bảo yêu
cầu nghiệp vụ được tất cả các vị trí trong dự án hiểu thông suốt. Tham gia phát triển sản
phẩm phần mềm trên nền tảng .NET; tham gia phát triển các dự án trên ngôn ngữ Java, sử
dụng nhiều nền tảng công nghệ của IBM.
Khối BO: Phòng Marketing thực hiện giới thiệu, quảng cáo sản phẩm, dịch vụ của
công ty. Thực hiện giao dịch trao đổi với khách hàng về sản phẩm phần mềm cũng như
dịch vụ của công ty. Xây dựng và thực hiện các kế hoạch quảng cáo, truyền thông trên các
phương tiện thông tin đại chúng. Quản lý các kênh truyền thông của công ty (website,
20


facebook, …) và phụ trách truyền thông nội bộ. Phòng Hành chính nhân sự thực hiện các
công việc liên quan đến đánh giá nhân sự, năng lực cán bộ, quy trình, quy định và một số
công việc có liên quan. Phòng Tài chính- Kế toán kiểm soát đối chiếu đầu ra/đầu vào theo
từng dự án. Phối hợp với các bộ phận/phòng ban liên quan trong Công ty trong việc chuẩn
bị hồ sơ thầu, soạn thảo hợp đồng với khách hàng để đảm bảo các điều khoản về thanh
toán/tài chính tuân thủ theo quy định

1.3.

Các lĩnh vực hoạt động
• Tích hợp hệ thống: SAVIS cung cấp các giải pháp như:
- Hạ tầng CNTT: Thiết bị lưu khóa bảo mật (HSM Network, HSM USB, HSM PCI),
eToken, EMV Smart Card, Hạ tầng mạng Campus, Hạ tầng mạng diện rộng WAN, hệ
-

thống máy chủ, hệ thống lưu trữ, …
Các giải pháp an ninh bảo mật: bảo mật mạng, bảo mật ứng dụng, mã hóa dữ liệu, chữ ký

-

số, …
Các giải pháp Trung tâm dữ liệu: Hạ tầng trung tâm dữ liệu, tối ưu trung tâm dữ liệu, dự

phòng thảm họa, di rời và cải tạo trung tâm dữ liệu …
- Các giải pháp truyền thông hợp nhất, giám sát và quản trị hạ tầng CNTT NOC/SOC.
• Phát triển phần mềm: SAVIS phát triển nhiều phần mềm và ứng dụng khác nhau như:
- Giải pháp lưu trữ số hóa điện tử tập trung trên nền tảng BigData
- Hệ thống phần mềm ký số tập trung (Signing-Hub) and Mobile PKI
- Hệ thống 1 Cửa điện tử
• Dịch vụ công nghệ thông tin: Các dịch vụ chính SAVIS cung cấp bao gồm:
- Dịch vụ tư vấn chiến lược công nghệ thông tin
- Dịch vụ bảo hành và hỗ trợ kỹ thuật
- Dịch vụ an toàn thông tin
- Dịch vụ hạ tầng mạng
- Dịch vụ vận hành trung tâm dữ liệu
- Dịch vụ hệ thống và điện toán đám mây
- Ngoài ra, SAVIS còn liên kết với các đơn vị đào tạo ủy quyền CNTT của các hãng cung

1.4.

cấp và chia sẻ các dịch vụ đào tạo chuyên gia CNTT cho từng yêu cầu cụ.
Tình hình hoạt động kinh doanh
Bảng 1: Tình hình hoạt động kinh doanh của công ty
Đơn vị: tỷ đồng
STT Chỉ tiêu
Năm 2016
Năm 2017
Năm 2018
1
Doanh thu
160
175
200
2
Chi phí
90
95
105
3
Thuế phải nộp
14
16
19
4
Lợi nhuận trước thuế
70
80
95

5
Lợi nhuận sau thuế
56
64
76
Thông qua một số chỉ tiêu về kết quả kinh doanh trên (từ năm 2016 – 2018) ta thấy
tình hình hoạt động kinh doanh của công ty tăng có sự chuyển biến khá mạnh. Nó biểu
21


hiện ở doanh thu và lợi nhuận sau thuế của công ty cho thấy từ năm 2016 đến năm 2018
doanh thu và lợi nhuận đều tăng đều qua các năm.
Qua bảng phân tích, doanh thu của năm 2017 là 175 tỷ cao hơn doanh thu của năm
2016 là 15 tỷ; lợi nhuận tăng 8 tỷ so với năm 2016. Doanh thu năm 2018 là 200 tỷ đồng,
tăng 25 tỷ so với năm 2017 với lợi nhuận sau thuế là 76 tỷ đồng
Có được những thành quả như vậy là nhờ sự nỗ lực của ban lãnh đạo, sự đồng tâm
nhất trí phấn đấu của cán bộ công nhân viên. Công ty đã nỗ lực không ngừng để tìm cách
mở rộng kinh doanh dịch vụ: Triển khai đồng bộ các hoạt động trên nhiều lĩnh vực, tăng
cường công tác truyền thông, quảng cáo, quảng bá hình ảnh, sản phẩm dịch vụ... Ngoài ra
công ty còn không ngừng nâng cao chất lượng dịch vụ nhằm đáp ứng tốt nhất nhu cầu của
khách hàng.
Chứng tỏ rằng công ty đang quản trị hoạt động kinh doanh đã có sự phù hợp và
đúng hướng.
2. Phân tích, đánh giá thực trạng an toàn bảo mật CSDL tại Công ty Cổ phần công

nghệ SAVIS
Trong quá trình thu thập dữ liệu tại Công ty Cổ phần Công nghệ SAVIS, để phục vụ
cho nghiên cứu của mình em có tiến hành phỏng vấn và tiến hành phát phiếu điều tra với số
lượng 20 phiếu. Nhằm thu được số liệu chân thực và chính xác nhất về vấn đề nghiên cứu.
Nội dung của phiếu điều tra sẽ nêu rõ câu hỏi mang nội dung rõ ràng và chính xác

các từ để hỏi, không mang hình thức gợi nhớ hay đa nghĩa. Phiếu điều tra có 2 hình thức
trả lời đó là hình thức trả lời đóng và hình thức trả lời mở. Phiếu điều tra giúp người làm
phiếu có thể bày tỏ được mong muốn và cho thấy được thông tin chính xác nhất. Gồm có
20 cán bộ công nhân viên trong Công ty tham gia điền phiếu gồm có:
Số lượng phiếu phát ra: 20 phiếu
Số lượng phiếu thu về: 20 phiếu
Sau khi tiến hành phát phiếu điều tra và kết hợp với phương pháp phỏng vấn, em đã
thu được kết quả sau:
Hiện nay, công ty đang sử dụng kiểu dữ liệu tập trung. Tất cả các nghiệp vụ quản lý
và tác nghiệp đều được xử lý trên máy tính một cách chính xác và nhanh chóng, nâng cao
tốc độ xử lý dữ liệu. Các dữ liệu được quản lý theo từng module một cách khoa học:
CSDL tài chính, CSDL nhân sự, CSDL khách hàng, CSDL sản phẩm... việc xử lý trên
máy tính đối với các file dữ liệu giúp cho công tác lưu trữ đơn giản hơn
22


Cơ sở hạ tầng mạng: Hệ thống mạng được trang bị đầu tư với hệ thống mạng LAN
và mạng không dây Wifi chuyên nghiệp phục vụ cho các phòng ban.
Hệ thống mạng hoạt động đảm bảo tốc độ ổn định không có lỗi do đường truyền.
Điều này vô cùng quan trọng để đảm bảo cho tất cả các thông tin truyền trên mạng được
thông suốt và đạt hiệu quả cao nhất. Việc đảm bảo an toàn cho thông tin trên mạng và
an toàn cho cơ sở hạ tầng hỗ trợ nhằm ngăn ngừa sự tiết lộ, sửa đổi, xóa bỏ hoặc phá
hoại bất hợp pháp các tài sản và sự gián đoạn các hoạt động nghiệp vụ chính yếu.
Lưu trữ thông tin và quản lý kho thông tin là rất quan trọng đối với thành công
của mỗi doanh nghiệp. Hiện nay có rất nhiều lựa chọn lưu trữ thông tin cho các doanh
nghiệp nhỏ, và thường thì việc kết hợp các lựa chọn lưu trữ khác nhau sẽ là giải pháp
tốt nhất. Cách thức lưu trữ dữ liệu của công ty thu thập được thông qua các phiếu khảo
sát được biểu hiện qua sơ đồ sau:

23



Biểu đồ 1: Cách thức lưu trữ dữ liệu:

(Nguồn: Phiếu điều tra khảo sát thực trạng sử dụng CSDL tại công ty Cổ phần
Công nghệ SAVIS)
Nhìn vào biểu đồ ta thấy, cách thức quản lý dữ liệu của công ty còn đang thủ công.
Phần lớn dữ liệu được lưu vào máy tính cá nhân là các dữ liệu được dùng cho các hoạt
động nghiệp vụ của cá nhân. CSDL được lưu dữ vào máy chủ, là những thông tin chung,
thông tin mật của công ty, còn lại là những dữ liệu cần thiết là cá tài liệu hồ sơ thầu, tài
liệu hướng dẫn sử dụng dùng cách lưu trữ bằng giấy, được quản lý thủ công.
Hiện nay, trong công ty có một số nhân viên đã đặt password cho máy tính và tài
liệu của mình để bảo vệ thông tin dữ liệu. Bên cạnh đó, hệ thống CSDL của công ty đã
được phân quyền sử dụng một cách cụ thể để đảm bảo tính bí mật của thông tin, tránh
trường hợp người không có hoạt động liên quan được truy cập tự do vào CSDL công
ty
Lưu trữ dữ liệu là một trong những yêu cầu không thể thiếu của một hệ thống
CNTT. Để đảm bảo an toàn và tính sẵn sàng, dữ liệu cần phải được lưu dự phòng và khôi
phục lại trong trường hợp bản dữ liệu chính gặp lỗi hay có mất mát dữ liệu. Hiện nay, tần
suất lưu trữ dữ liệu ở công ty thu được thông qua phiếu khảo sát được biểu hiện ở sơ đồ
sau:

24


Biểu đồ 2: Tần suất lưu trữ dữ liệu

(Nguồn: Phiếu điều tra khảo sát thực trạng sử dụng CSDL tại công ty Cổ phần
Công nghệ SAVIS)
Dữ liệu trong công ty được lưu trữ với tần suất sao lưu dữ hiện nay là 3 tháng/lần,

hệ quản trị CSDL công ty đang dùng là SQL Server 2008 không đáp ứng được yêu cầu
sao lưu dữ liệu thường xuyên như hiện nay và việc nâng cấp dữ liệu.
Công ty đã sử dụng biện pháp mã hóa thông tin để bảo vệ tính bí mật, xác thực và
nguyên vẹn của dữ liệu. Đồng thời, sử dụng các biện pháp như phân quyền người sử
dụng, đặt password để hạn chế những người không có quyền sử dụng truy cập vào dữ
liệu.
Công ty đã đánh giá được tầm quan trong của yếu tố con người trong vấn đề đảm
bảo an toàn và bảo mật HTTT. Những nhân viên mới hay nhân viên chưa có kinh
nghiệm sẽ được các nhân viên có kinh nghiệm trực tiếp đào tạo, bổ sung thêm kiến
thức để phục vụ công việc. Việc làm này giúp giảm bớt chi phí đào tạo và tăng tinh
thần đồng đội đoàn kết, thân thiết hơn. Ngoài ra cách thức mở lớp đào tạo và gửi nhân
viên đi học được công ty áp dụng và cũng mang lại giá trị đáng kể tuy nhiên sẽ mất
nhiều chi phí hơn.
3. Đánh giá thực trạng bảo mật, an toàn cơ sở dữ liệu tại Công ty cổ phần Công nghệ

SAVIS
Đảm bảo an toàn thông tin trên mạng và an toàn cho cơ sở hạ tầng hỗ trợ nhằm ngăn
ngừa sự tiết lộ, sửa đổi hoặc xóa bỏ hoặc phá hoại bất hợp pháp các tài sản và sự gián
25