TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTT KINH TẾ & TMĐT
------

KHÓA LUẬN TỐT NGHIỆP
đề tài:
Một số giải pháp đảm bảo an toàn và bảo mật thông tin của Sở Tài
chínhThái Bình

Giáo viên hướng dẫn:Sinh viên thực hiện: Trần Công
MinhThS. Nguyễn Quang TrungMã sinh viên: K51S2Lớp: K51: 15D190102

Thái bình, 2019

Giáo viên hướng dẫn:Sinh viên thực hiện: Th.S. Lê Trâm AnhHoàng
Thu ThảoLớp: K51D2Mã SV: 15D150333

HÀ NỘI - 2019


LỜI CẢM ƠN
Hoàn thành khóa luận tốt nghiệp này, em xin dành những tình cảm trân trọng
nhất và lời cám ơn chân thành đến Ths. Nguyễn Quang Trung người đã tận tình hướng
dẫn, giúp đỡ em trong suốt quá trình thực hiện khóa luận. Em cũng xin chân thành cám
ơn đến Ban Giám Hiệu nhà trường và cùng toàn thể quý Thầy, Cô giáo khoa Hệ thống
Thông tin Kinh tế và Thương mại Điện tử (IS) đã quan tâm, nhiệt tình giúp đỡ và tạo
điều kiện cho em trong suốt quá trình học tập tại Trường.
Em cũng xin gửi lời cám ơn chân thành đến Ban Lãnh Đạo và toàn thể Cán bộ
Nhân viên Sở Tài Chính Thái Bình đã tận tình giúp đỡ, hướng dẫn và cung cấp số liệu
giúp em có thể hoàn thành khóa luận này với kết quả tốt nhất.
Mặc dù em đã cố gắng tìm hiểu, nghiên cứu để có thể hoàn thành nội dung đề tài

một cách tốt nhất. Song, khóa luận khó tránh khỏi hạn chế và thiếu sót. Chính vì vậy,
em rất mong nhận được ý kiến đóng góp quý báu của quý Thầy Cô và bạn bè để em
hoàn thiện tốt nhất bản khóa luận này và hoàn thiện kiến thức bản thân.
Em xin chân thành cám ơn!
Sinh viên thực hiện
Trần Công Minh

i


MỤC LỤC
LỜI CẢM ƠN
Sơ đồ 2.1 : Cơ cấu tổ chức Sở Tài chính Thái Bình.................................................................................16
2.1.3.Kết quả thu- chi ngân sách nhà nước của tỉnh Thái Bình năm 2014-2018....................................17
Bảng 1 : Biểu tổng hợp kết quả thực hiện thu- chi NSNN tỉnh Thái Bình năm.......................................17
2014-2018........................................................................................................................................... 17
Bảng 2 : Bảng thể hiện các nhân viên tham gia trả lời phiếu điều tra....................................................19
Bảng 3 : Thiết bị được Bộ Tài Chính đầu tư........................................................................................... 20
Bảng 4 : Dịch vụ mạng đã triển khai..................................................................................................... 21
Bảng 5 : Các thiết bị CNTT khác tại sở................................................................................................... 21
Bảng 6 : Trang thiết bị CNTT đã được Sở đầu tư................................................................................... 22
Biểu đồ 2.1: Các giải pháp bảo mật thông tin trên phần cứng..............................................................23
Biểu đồ 2.2: Các thiết bị bảo mật bằng phần cứng...............................................................................24
Biểu đồ 2.3: Cách thức lưu trữ CSDL được sử dụng tại Sở....................................................................28
Bảng 7 : Các máy tính để bàn, máy in và bổ sung các thiết bị tin học văn phòng khác cần thay thế.......32
Hình 1 : Hiện trạng hệ thống CNTT của STC.......................................................................................... 33
Hình 2 : Mô hình kiến trúc Logic hệ thống ảo hóa................................................................................34
Bảng 8 : hiệu năng máy chủ dành cho ảo hóa ứng dụng.......................................................................36
Bảng 9 : Cấu hình máy chủ................................................................................................................... 36
Bảng 10 : Cấu hình máy chủ vật lý........................................................................................................ 37

Bảng 11 : Các thống sô kỹ thuật cơ bản hệ thống ảo hóa......................................................................38
Bảng 12 : Dung lượng lưu trữ cho hệ thống ảo hóa tập trung tại STC...................................................39
Bảng 13 : Dung lượng lưu trữ cho các ứng dụng PTC............................................................................40
Bảng 14 : Phương án sao lưu cho hệ thống tại STC...............................................................................41
Bảng 15 : Thống số kỹ thuật cơ bản phần mềm sao lưu dữ liệu............................................................42
Bảng 16 : Dung lượng lưu trữ cần thiết................................................................................................ 42
Bảng 17 : Thống số kỹ thuật cơ bản hệ thống lưu trữ tập trung............................................................43
Bảng 18 :thông số cơ bản cho hệ thống chuyển mạch lưu trữ dữ liệu..................................................43
Bảng 19 : Hê thống máy chủ, lưu trữ tâp trung.................................................................................... 44
Bảng 20 : Dịch vụ đi kèmhê thống máy chủ, lưu trữ tâp trung.............................................................44
Hình 3 : Thiết kế đề xuất nâng cấp thiết bị chuyển mạch tập trung và Firewall.....................................45
Hình 5 : Thiết kế đề xuất cho STC......................................................................................................... 47
Hình 6 : Mô hình hệ thống mạng cho PTC sử dụng Proxy.....................................................................48
Hình 7 : Mô hình hệ thống mạng cho PTC không sử dụng Proxy...........................................................48
Bảng 21 : Hê thống mạng và bảo mât.................................................................................................. 49

ii


Bảng 22 : Dịch vụ đi kèm hê thống mạng và bảo mât...........................................................................49

iii


DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
DANH MỤC BẢNG
Sơ đồ 2.1 : Cơ cấu tổ chức Sở Tài chính Thái Bình.................................................................................16
2.1.3.Kết quả thu- chi ngân sách nhà nước của tỉnh Thái Bình năm 2014-2018....................................17
Bảng 1 : Biểu tổng hợp kết quả thực hiện thu- chi NSNN tỉnh Thái Bình năm.......................................17
2014-2018........................................................................................................................................... 17

Bảng 2 : Bảng thể hiện các nhân viên tham gia trả lời phiếu điều tra....................................................19
Bảng 3 : Thiết bị được Bộ Tài Chính đầu tư........................................................................................... 20
Bảng 4 : Dịch vụ mạng đã triển khai..................................................................................................... 21
Bảng 5 : Các thiết bị CNTT khác tại sở................................................................................................... 21
Bảng 6 : Trang thiết bị CNTT đã được Sở đầu tư................................................................................... 22
Biểu đồ 2.1: Các giải pháp bảo mật thông tin trên phần cứng..............................................................23
Biểu đồ 2.2: Các thiết bị bảo mật bằng phần cứng...............................................................................24
Biểu đồ 2.3: Cách thức lưu trữ CSDL được sử dụng tại Sở....................................................................28
Bảng 7 : Các máy tính để bàn, máy in và bổ sung các thiết bị tin học văn phòng khác cần thay thế.......32
Hình 1 : Hiện trạng hệ thống CNTT của STC.......................................................................................... 33
Hình 2 : Mô hình kiến trúc Logic hệ thống ảo hóa................................................................................34
Bảng 8 : hiệu năng máy chủ dành cho ảo hóa ứng dụng.......................................................................36
Bảng 9 : Cấu hình máy chủ................................................................................................................... 36
Bảng 10 : Cấu hình máy chủ vật lý........................................................................................................ 37
Bảng 11 : Các thống sô kỹ thuật cơ bản hệ thống ảo hóa......................................................................38
Bảng 12 : Dung lượng lưu trữ cho hệ thống ảo hóa tập trung tại STC...................................................39
Bảng 13 : Dung lượng lưu trữ cho các ứng dụng PTC............................................................................40
Bảng 14 : Phương án sao lưu cho hệ thống tại STC...............................................................................41
Bảng 15 : Thống số kỹ thuật cơ bản phần mềm sao lưu dữ liệu............................................................42
Bảng 16 : Dung lượng lưu trữ cần thiết................................................................................................ 42
Bảng 17 : Thống số kỹ thuật cơ bản hệ thống lưu trữ tập trung............................................................43
Bảng 18 :thông số cơ bản cho hệ thống chuyển mạch lưu trữ dữ liệu..................................................43
Bảng 19 : Hê thống máy chủ, lưu trữ tâp trung.................................................................................... 44
Bảng 20 : Dịch vụ đi kèmhê thống máy chủ, lưu trữ tâp trung.............................................................44
Hình 3 : Thiết kế đề xuất nâng cấp thiết bị chuyển mạch tập trung và Firewall.....................................45
Hình 5 : Thiết kế đề xuất cho STC......................................................................................................... 47
Hình 6 : Mô hình hệ thống mạng cho PTC sử dụng Proxy.....................................................................48
Hình 7 : Mô hình hệ thống mạng cho PTC không sử dụng Proxy...........................................................48

iv



Bảng 21 : Hê thống mạng và bảo mât.................................................................................................. 49
Bảng 22 : Dịch vụ đi kèm hê thống mạng và bảo mât...........................................................................49

v


DANH MỤC TỪ VIẾT TẮT
STC
PTC
UBND
HĐND
TABMIS
BTC
THTK
CNTT
NSNN
KBNN
QLNS
KTXA
CSDL
QLCS
HCSN
TCDN
QL GIA & CS
TCHCSN
TCĐT
XNK
NS

TTT
TTM

Sở Tài chính
Phòng Tài chính
Uỷ ban nhân dân
Hội đồng nhân dân
Hệ thống thông tin quản lý ngân sách và kho bạc
Bộ Tài chính
Tin hoc thống kê
Công nghệ thông tin
Ngân sách nhà nước
Kho bạc Nhà nước
Quản lý ngân sách
Kế toán xã
Cơ sở dữ liệu
Quản lý công sản
Hành chính sự nghiệp
Tài chính doanh nghiệp
Quản lý giá và công sản
Tài chính hành chính sự nghiệp
Tài chính đầu tư
Xuất nhập khẩu
Ngân sách
Trung tâm tỉnh
Trung tâm miền

vi



Từ viết
tắt
ADSL
AES

Diễn giải
Asymmetric Digital Subscriber
Line
Advanced Encryption Standard

Nghĩa tiếng Việt
Đường dây thuê bao số bất đối xứng
Tiêu chuẩn mã hóa tiên tiến

ATBM

An toàn bảo mật

ATTT

An toàn thông tin

CMOS

Complementary Metal-Oxide
Semiconductor

Một loại công nghệ dùng để chế tạo
mạch tích hợp
Công nghệ thông tin


Central Processing Unit

Bộ xử lý trung tâm

CNTT
CPU
CSDL

Cơ sở dữ liệu

DOS

Denial of Service

Tấn công từ chối dịch vụ

GDP

Gross Domestic Product

Tổng sản phẩm quốc nội

HTTP

HyperText Transport Protocol

Giao thức truyền tải siêu văn bản

HTTT


Hệ thống thông tin

LAN

Local Area Network

MIS

Management Information System Hệ thống thông tin quản lý

NXB
RAID

SSL
TCP/IP

Mạng cục bộ
Nhà xuất bản

Redundant Arrays of Inexpensive hình thức ghép nhiều ổ đĩa cứng vật
Disks
lý thành một hệ thống ổ đĩa cứng có
chức gia tăng tốc độ đọc/ghi dữ liệu
Secure Socket Layer
Giao thức truyền thông
Internet protocol suite

TMĐT


bộ giao thức liên mạng
Thương mại điện tử

USB

Universal Serial Bus

Chuẩn kết nối tuần tự đa dụng

WAN

Wide area network

Mạng diện rộng

WEP

Wireless Encryption Protocol

Giao thức mã hoá mạng không dây

vii


PHẦN MỞ ĐẦU
1. Tầm quan trọng và ý nghĩa của vấn đề nghiên cứu.
Một Sở ban ngành muốn thực hiện tốt nhiệm vụ công tác hiện nay cần rất nhiều
yếu tố như nguồn nhân lực, công nghệ, vốn, dữ liệu, đảm bảo an toàn…và một trong
yếu tố tối quan trong là đảm bảo an toàn thông tin. Đảm bảo an toàn thông tin có vi trí
quan trọng hàng đầu của bất kỳ tổ chức nào. Bởi các loại hình đánh cắp thông tin, xâm

nhập hệ thống thông tin trái phép cũng ngày một tinh vi hơn và gây ra những thiệt hại
khó lường cho Sở. Do đó, Sở Tài chính cần phải có những giải pháp tối ưu nhất để
đảm bảo an toàn cho hệ thống thông tin của Sở chính vì thế mà xây dựng giải pháp
đảm bảo an toàn cho HTTT của Sở là nhu cầu cấp thiết hiện nay.
Trong quá trình thực tập tại Sở, thực hiện tiến hành thu thập thông tin xung
quanh quy trình đảm bảo an toàn, bảo mật thông tin của Sở. Qua đó cho thấy quy trình
đảm bảo an toàn, bảo mật thông tin của Sở hiện chưa được tối ưu, vẫn còn những tồn
tại, hạn chế. Như một quy luật sinh tồn nếu như Sở ban ngành nào không khắc phục
những yếu điểm, thiếu sót trong hoạt động quản lý và không bắt kịp xu hướng công
nghệ hiện nay thì theo quy luật, Sở ban ngành đó cũng sẽ dậm chân một chỗ. Mặt khác
việc đảm bảo an toàn, bảo mật thông tin có vị trí quan trọng hàng đầu của mỗi Sở ban
ngành và là tiền đề cho mọi sự thành công của mọi hoạt động. Vì vậy quy trình đảm
bảo an toàn, bảo mật thông tin đóng vai trò hết sức quan trọng trong sự thành công và
phát triển của Sở.
Sự phát triển bùng nổ của cuộc cách mạng công nghệ thì hệ thống thông tin ngày
một phức tạp hơn có thể dẫn đến các Sở ban ngành không kiểm soát được, nguy cơ
mất an toàn, bảo mật thông tin. Vì vậy việc bảo vệ an toàn thông tin, đảm bảo tính bí
mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông tin trong
trao đổi là rất cần thiết. Trong thời gian thực tập tại Sở Tài chính Thái Bình, nhận thấy
những giải pháp hiện nay Sở đang lựa chọn để đảm bảo tính an toàn bảo mật cho thông
tin đã phần nào đáp ứng được yêu cầu đặt ra nhưng vẫn chưa triệt để. Nhận thức được
điều đó sau thời gian thực tập tại Sở em quyết định chọn đề tài: “Một số giải pháp
đảm bảo an toàn và bảo mật thông tin của Sở Tài chínhThái Bình ” làm đề tài
nghiên cứu của mình. Bản thân em mong muốn được góp một phần nhỏ vào sựu phát
triển, hoàn thiện, khắc phục những hạn chế về mặt đảm bảo an toàn, bảo mật thông tin
tại Sở Tài chính. Thông qua đó đề xuất được biện pháp đảm bảo an toàn, bảo mật
thông tin phù hợp với điều kiện hiện có và sự phát triển lâu dài của Sở Tài chính.
Vận dụng kiến thức của bản thân, em mong rằng khóa luận trước tiên là tài liệu
tham khảo cho Sở Tài chính Thái Bình. Thông qua đó Sở Tài chính Thái Bình có thể
hoàn thiện hơn trong quá trình hoạt động quản lý. Khóa luận sẽ dựa trên những mặt

1


hạn, chế thiếu sót và những vấn đề cần cải thiện trong quy trình đảm bảo an toàn, bảo
mật thông tin của Sở Tài chính Thái Bình đã được phân tích thông qua thu tập dữ liệu
từ Sở, qua đó đề xuất hướng giải quyết phù hợp nhất với điều kiện hiện có của Sở. Bên
cạnh đó khóa luận được xem như là tài liệu tham khảo cần thiết cho việc nghiên cứu –
học tập của giáo viên và các bạn sinh viên thuộc các trường đại học, cao đẳng trên cả
nước muốn tìm hiểu những chủ đề liên quan. Sinh viên có thể tham khảo nhằm tích lũy
nhiều hơn về môi trường thực tế, môi trường làm việc tại Sở ban ngành.
2. Mục tiêu nghiên cứu của đề tài
Hiện nay, mất an toàn thông tin là vấn đề mà hầu hết các Sở ban ngành phải đối
mặt nhưng phần lớn các cán bộ, nhân viên ít để ý và chú trọng tới việc bảo đảm an
toàn thông tin của Sở, chưa ý thức được tầm quan trọng của việc đảm bảo an toàn
thông tin trong Sở. Do vậy mục tiêu nghiên cứu của đề tài này là:
Tập hợp và hệ thống hóa một số lý thuyết cơ bản về đảm bảo an toàn cho HTTT
bao gồm đảm bảo an toàn cho: phần cứng, phần mềm, CSDL, mạng và con người.
Trình bày, tìm hiểu, phân tích đánh giá thực trạng về vấn đề đảm bảo an toàn cho
thông tin của Sở Tài chính để đưa ra những ưu điểm và các thiếu sót, lỗ hổng về thông
tin của Sở.
Trên cơ sở nghiên cứu thực trạng tình hình tại Sở, từ đó đưa ra một số đề xuất
những giải pháp tối ưu, hiệu quả nhất để đảm bảo an toàn cho thông tin của Sở.
3. Đối tượng và phạm vi nghiên cứu của đề tài
3.1. Đối tượng nghiên cứu của đề tài
Trong đề tài nghiên cứu này đối tượng nghiên cứu của đề tài là:
Vấn đề an toàn thông tin cho thông tin của Sở Tài chính Thái Bình.
Giải pháp đảm bảo cho thông tin của Sở Tài chính Thái Bình.
3.2. Phạm vi nghiên cứu của đề tài
Đề tài sẽ tập trung nghiên cứu trong phạm vi Sở Tài chính Thái Bình.
Về mặt không gian: Dựa trên tài liệu thu thập được tại Sở, các phiếu điều tra và

các tài liệu tham khảo được, đề tài tập trung nghiên cứu vấn đề an toàn và bảo mật
thông tin Sở Tài chính Thái Bình.
Về thời gian: Dựa tài liệu thu thập năm 2014- 2018 và kết quả thu chi NSNN của
Sở, tài liệu liên quan của Sở giai đoạn 2014- 2018. Các số liệu được khảo sát trong quá
trình thực tập tại Sở.

2


4. Phương pháp thực hiện đề tài
4.1. Phương pháp thu thập dữ liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phương
pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa
đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài thực hiện.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra: Thiết
kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết
nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi.
Bảng câu hỏi gồm các câu hỏi về các thông tin chung của Sở, về đều xoay quanh các
hoạt động đảm bảo an toàn về thông tin như: phần cứng, phần mềm, mạng, CSDL và con
người được triển khai và hiệu quả của các hoạt động này đối với Sở.
Mục đích: Thu thập thông tin về hoạt động an toàn cho thông tin của Sở để từ đó
đánh giá thực trạng và đưa ra nhưng giải pháp phù hợp đảm bảo an toàn cho thông tin
của Sở Tài chính Thái Bình.
Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các
mục tiêu khác nhau của Sở.
Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động thu chi của Sở
trong vòng 5 năm: 2014-2018 được thu thập từ phòng kế toán của Sở, từ phiếu điều tra
và tài liệu thống kê khác.
Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách

báo của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet.
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì tiến hành phân loại sơ bộ
các tài liệu đó. Nếu thu thập thông tin hoàn tất thì bước tiếp theo là xử lý dữ liệu.
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu
thập và xử lý thông tin từ các nguồn thu thập.
Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office
excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên
trong Sở bao gồm báo cáo kết quả hoạt động thu chi của Sở năm 2014 – 2018, từ phiếu
điều tra và tài liệu thống kê khác.
Phương pháp phán đoán: dùng để đưa ra các dự báo, phán đoán về tình hình phát
triển HTTT của Sở, tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng
như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà Sở sẽ hứng chịu.
Kết quả thu được sử dụng ở chương III

3


4.2. Phương pháp phân tích và xử lý dữ liệu
Mỗi phương pháp xử lý thông tin đều có những ưu, nhược điểm riêng của chúng
vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông
tin sau:
Phương pháp định lượng: Dữ liệu sau khi thu thập sẽ được đưa ra phân tích
thông qua việc sử dụng Microsoft Office Excel. Từ những biểu đồ được hoàn thành
sau khi nhập dữ liệu vào ta sẽ có những đánh giá cụ thể về thực trạng an toàn bảo mật
thông tin trong Sở ban ngành và tính cấp thiết của việc nâng cao tính an toàn bảo mật
cho thông tin,
Phương pháp định tính: Chọn lọc, phân tích, tổng hợp các dữ liệu thu thập được
thông quá các câu hỏi phỏng vấn và các dữ liệu, thông tin được thu thập từ nhiều
nguồn khác để phân tích làm rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc
làm sáng tỏ từng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện. Thường

sử dụng để đưa ra các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.
Phương pháp này sử dụng cho II và chương III
5. Kết cấu của khóa luận
Ngoài lời cám ơn, mục lục, danh mục bảng biểu, danh mục hình vẽ, danh mục từ
viết tắt, kết luận, phụ lục và tài liệu tham khảo nội dung chính của khóa luận được kết
cấu thành 3 chương:
Chương 1: Cơ sở lý luận và thực trạng về an toàn bảo mật thông tin tại Sở Tài
chính Thái Bình.
Chương 2: Kết quả phân tích, đánh giá thực trạng đảm bảo an toàn và bảo mật
thông tin tại Sở Tài chính Thái Bình.
Chương 3: Định hướng phát triển và đề xuất giải pháp đảm bảo an toàn và bảo
mật thông tin tại Sở Tài chính Thái Bình.

4


CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN, BẢO MẬT THÔNG TIN
1.1. Một số khái niệm cơ bản
1.1.1. Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong doanh nghiệp
Theo [1] Dữ liệu: là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu
chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá
trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà
dữ liệu đang biểu hiện.
Theo [2] Thông tin: Theo nghĩa thông thường, thông tin là điều hiểu biết về một sự
kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên
cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá
trình xử lý dữ liệu.
Theo [2] Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần

mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo,
phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của
tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh. Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Theo [2] Hệ thống thông tin quản lý (MIS): Hệ thống thông tin quản lý được hiểu
như là một hệ thống dùng để tiến hành quản lý cùng với những thông tin được cung
cấp thường xuyên. Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạt
động quản lý nên nói đến MIS là nói đến hệ thống thông tin quản lý được trợ giúp của
máy tính.
Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạng lưới máy
tính có tổ chức nhằm phối hợp việc thu thập, xử lý và truyền thông tin.
MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặt
chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấp
những thông tin cần thiết cho quản lý.
1.1.2. Khái niệm về an toàn, bảo mật HTTT quản lý
Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm.

5


Theo [4] An toàn thông tin: một hệ thống thông tin được coi là an toàn (security)
khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ
bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây
thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.

Theo [4] Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo
mật trở nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử
dụng các công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài
nguyên (các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật
liệu) và lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm
của cơ quan hoặc người sở hữu hệ thống).
Theo [4] Bảo mật thông tin là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng
của thông tin.
+ Bí mật (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi những
người được cấp quyền tương ứng.
+ Tính toàn vẹn (Integrity) đảm bảo thông tin luôn ở trạng thái đúng, chính xác,
người sử dụng luôn được làm việc với các thông tin tin cậy, chân thực. Chỉ các cá nhân
được cấp quyền mới được phép sửa thông tin.
+ Tính sẵn sàng (Availabillity) đảm bảo cho thông tin luôn ở trạng thái sẵn sàng
phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được
vào hệ thống.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm
bảo theo đúng các tiêu chí trong một thời gian xác định.
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống
mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất
an toàn
Theo [1] Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới
khách quan. Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng. Dữ liệu
có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng. Dữ liệu
qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục
đích khác nhau của con người. Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau
như âm thanh, văn bản, hình ảnh.
Theo [1] Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu
trữ trên các phương tiện lưu trữ như đĩa từ, băng từ,… nhằm thỏa mãn các yêu cầu khai
thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng.


6


Theo [1] Bảo mật CSDL chính là việc bảo vệ được thông tin trong CSDL tránh
được những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung
thông tin CSDL.
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại
đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan
trọng để doanh nghiệp phát triển.
1.2. Một số vấn đề về lý thuyết liên quan đến an toàn và bảo mật HTTT
1.2.1. Quy trình, nguyên tắc và yêu cầu ATBM thông tin
Quy trình đảm bảo ATBM thông tin:
Bước 1: Xác định
Xác định vấn đề gây mất an toàn thông tin. Tìm kiếm lỗ hổng trong bảo mật an
toàn thông tin.
Bước 2: Đánh giá
Đánh giá mức độ nguy hiểm của lỗ hổng bảo mật. Tầm quan trọng của thông tin.
Thông tin doanh nghiệp bị rò rỉ có mức độ nghiêm trọng như thế nào?
Bước 3: Lựa chọn giải pháp
Đưa ra giải pháp phù hợp với thực trạng doanh nghiệp hiện có, dựa trên mức độ
nguy hiểm của lỗ hổng bảo mật và độ quan trọng của thông tin đang bị rò rỉ.
Bước 4: Giám sát rủi ro
Sau khi lựa chọn giải pháp và thực hiện khắc phục lỗ hổng, nhưng không có
nghĩa là các biện pháp được sử dụng một cách triệt để và hiệu quả, chính vì vậy ta cần
giám sát các rủi ro có thể xảy ra.
_Nguyên tắc đảm bảo ATTT

Theo [5] Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương
thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau:
Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu.
Nguyên tắc đúng đắn.
Nguyên tắc phù hợp với mục đích.
Nguyên tắc cân xứng.
Nguyên tắc minh bạch.
Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập
cho người có liên quan.
Nguyên tắc không phân biệt đối xử.
Nguyên tắc an toàn.
Nguyên tắc có trách niệm trước pháp luật.
7


Nguyên tắc giám sát độc lập và hình phạt theo pháp luật.
Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới.
_Yêu cầu đảm bảo ATTT
Theo [3] Những yêu cầu bảo mật hệ thống thông tin bao gồm:
Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách trái
phép. Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin số
dư tài khoản của mình nhưng không được phép xem thông tin của khách hàng khác.
Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được phép
chỉnh sửa dữ liệu. Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng tự
thay đối thông tin số dư của tài khoản của mình.
Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người
dùng hoặc ứng dụng được ủy quyền yêu cầu. Ví dụ: Trong hệ thống ngân hàng, cần
đảm bảo rằng khách hàng có thể truy vấn thông tin số dư tài khoản bất kỳ lúc nào theo
như quy định.
Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối một

hành vi đã làm. Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng
để chứng minh một hành vi khách hàng đã làm, như rút tiền, chuyển tiền.
1.2.2. Các nguy cơ mất ATTT
Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện
tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…
Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được
nhưng đó lại không phải là nguy cơ chính của việc mất ATTT
Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá
hỏng vật lý, can thiệp có chủ ý.
Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho bên
thứ ba.
Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:
Cách 1: “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi
hay chèn, xoá thông tin và gửi đi tiếp.
Cách 2: Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”.
Cách 3: Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật.
Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin có
thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng người
truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lại
quá nhỏ gây ra tắc nghẽn.
1.2.3. Phân loại các hình thức tấn công HTTT
8


Cách hình thức tân công của hacker ngày càng tinh vi và khó lường vì vậy chúng
ta cần phân loại các hình thức tấn công để có các biện pháp ngăn chặn kịp thời.
Theo [5] Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động
và vi phạm thụ động. Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được
thông tin (đánh cắp thông tin). Việc làm đó có khi không biết được nội dung cụ thể
nhưng có thể dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức

chứa trong phần đầu các gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và
tần số trao đổi. Vì vậy vi pham thụ động không làm sai lệch hoặc hủy hoại nội dung
thông tin dữ liệu được trao đổi. Vi phạm thụ động thường khó phát hiện nhưng có thể
có những biện pháp ngăn chặn hiệu quả. Vi phạm chủ động là dạng vi phạm có thể làm
thay đổi nội dung, xóa bỏ, làm trễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời
điểm đó hoặc sau đó một thời gian. Vi phạm chủ động có thể thêm vào một số thông
tin ngoại lai để làm sai lệch nội dung thông tin trao đổi. Vi phạm chủ động dễ phát
hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều.
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin,
lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục
đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng
dụng.
Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an
toàn tuyệt đối. Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm
bảo là an toàn tuyệt đối
1.2.4. Các phương pháp bảo mật HTTT
Theo [3] Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ
thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm
gián đoạn thông tin và hoạt động của hệ thống một cách trái phép.
Mạng máy tính đang dần trở nên quen thuộc với tất cả người dùng, bởi tính tiện
dụng, phổ biến rộng lớn. Nên chỉ cần thời gian ngắn là bạn có thể khám phá được rất
nhiều điều. Lợi dụng tính sơ hở của người dùng nên một số người đã tạo ra những
phần mềm, những video, những hình ảnh, hay kêu gọi qua những đường link có chứa
virus với nhiều mục đích khác.Thông thường các mục đích như khám phá 1 điều mới,

cũng có thể là tìm kiếm 1 thông tin và lớn hơn nữa đó là mục đích đánh cắp thông tin
9


của Sở, lấy những thông tin mật điều tra, hay lấy tiền từ ngân hàng…Đe dọa an ninh
trên là bên ngoài, còn những an ninh bên trong nội bộ sẽ như thế nào? Tình hình ngày
một nghiêm trọng hơn. Có những thông tin nội bộ, hay dữ liệu toàn bộ của Sở bị xóa 1
cách đột ngột không hề có 1 lý do nào? Đây là những trường hợp do xích mích nội bộ
nhau, do ganh ghét hay do tranh giành 1 chức vụ gì đó… không vừa lòng nhau nên hại
nhau…Tóm lại vấn đề xảy ra đều là do con người do đó thật sự nguy hiểm bởi con người
luôn có sự thông minh nhất, đây cũng là mối lo ngại từ bên ngoài và ngay cả bên trong
của tổ chức. Vì vậy bạn sẽ làm gì khi đứng trước những tình huống như vậy? Để bảo mật
thông tin hay an toàn cho mạng máy tính bắt buộc tất cả các tổ chức lớn nhỏ phải cầ triển
khai các biện pháp an ninh cho Sở.
1.2.5. Vai trò của an toàn bảo mật thông tin
Theo [6] - Theo nghiên cứu do Microsoft và Frost & Sullivan thực hiện, công bố
hôm 30/9, ước tính một tổ chức quy mô lớn ở châu Á - Thái Bình Dương có thể bị tổn
thất kinh tế trị giá 30 triệu USD, gấp 300 lần mức tổn thất trung bình của một tổ chức
có quy mô trung bình khi gặp các sự cố về an ninh mạng (96.000USD). Quy mô tổn
thất của toàn khu vực ước tính 1.745 tỷ USD, tương đương 7% tổng GDP.
Nghiên cứu đã thực hiện cuộc khảo sát với 1.300 lãnh đạo doanh nghiệp và lãnh
đạo mảng công nghệ thông tin, kết quả cho thấy hơn 50% tổ chức được khảo sát đã
từng gặp một sự cố an ninh mạng, hoặc họ không chắc chắn liệu có gặp sự cố hay
không vì chưa từng thực hiện điều tra hay đánh giá vi phạm dữ liệu (27%).
Các cuộc tấn công gây ra tình trạng mất việc làm ở nhiều vị trí khác nhau, 7/10 tổ
chức đã từng gặp một sự cố trong 12 tháng qua. Ngoài thiệt hại về tài chính, sự cố an
ninh mạng cũng làm mất nhiều cơ hội của các tổ chức, 59% lãnh đạo cho biết doanh
nghiệp của họ đã hủy kế hoạch chuyển đổi số do lo ngại rủi ro an ninh mạng. Nghiên
cứu cũng cho thấy những lỗ hổng chủ yếu trong cách tiếp cận an ninh mạng của tổ chức:
Không lập kế hoạch bảo vệ an ninh mạng ngay từ đầu: Chỉ 25% tổ chức xem xét

đến vai trò của an ninh mạng trước khi bắt đầu dự án chuyển đổi số, trong khi tỷ lệ ở
nhóm chưa gặp phải bất kỳ cuộc tấn công mạng nào lên đến 34%. Số còn lại mới "nghĩ
về an ninh mạng" sau khi bắt đầu dự án, hoặc "không hề cân nhắc". Điều này làm hạn
chế khả năng hình thành ý tưởng và triển khai một dự án "an toàn từ trong thiết kế”,
đồng thời có nguy cơ dẫn đến việc cung cấp các sản phẩm không an toàn ra thị trường.
Xây dựng môi trường phức tạp: Theo khảo sát, chỉ 23% tổ chức sở hữu hơn 50
giải pháp an ninh mạng có thể phục hồi sau khi bị tấn công trong vòng một giờ. Trong
khi 40% với ít hơn 10 giải pháp an ninh mạng cho biết họ có thể phục hồi trong vòng
một giờ. Dữ liệu nghiên cứu đã phủ nhận niềm tin phổ biến rằng triển khai nhiều giải
pháp an ninh mạng sẽ giúp tăng cường khả năng bảo vệ.

10


Thiếu chiến lược an ninh mạng: Trong khi các tổ chức xem xét thực hiện chuyển
đổi số để tăng lợi thế cạnh tranh thì nghiên cứu cho thấy 41% lãnh đạo xem chiến lược
an ninh mạng chỉ là phương tiện để chống lại các cuộc tấn công mạng chứ không phải
là yếu tố thúc đẩy hoạt động kinh doanh mang tính chiến lược. Chỉ có 20% tổ chức
xem chiến lược an ninh mạng là yếu tố tạo điều kiện cho quá trình chuyển đổi kỹ thuật
số thành công.
Vì vậy an toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền
vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản
vô giá.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt
hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan
trọng trong sự nghiệp phát triển của doanh nghiệp
1.2.6. Phân định nội dung nghiên cứu
Với đề tài: “Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin
của Sở Tài chính Thái Bình”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về an

toàn cho thông tin, thực trạng và giải pháp an toàn cho thông tin của Sở Tài chính Thái
Bình. Nghiên cứu tổng quan về vấn đề ATBM cho thông tin trong doanh nghiệp.
Nghiên cứu về các nguy cơ mất an toàn HTTT của doanh nghiệp, các biện pháp
phòng tránh và khắc phục hậu quả.
Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin Sở Tài chính Thái Bình.
Đưa ra các giải pháp nhằm đảm bảo an toàn cho thông tin của Sở Tài chính Thái Bình.
1.3. Tổng quan nghiên cứu
1.3.1. Tổng quan tình hình nghiên cứu ở Việt Nam
Hiện tại các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước
cũng có nhiều khởi sắc tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học
về an toàn và bảo mật thông tin được thực hiện, điển hình như:
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn
thông tin trong thương mại điện tử”, Đại học Bách Khoa.
Những công việc đã hoàn thành của công trình nghiên cứu trên:
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn
thông tin trong TMĐT như: mã hóa, chữ ký số bảo mật và an toàn trong TMĐT an
toàn thông tin, cơ chế mã hoá, chứng thực số hoá, một số giao thức bảo mật ứng dụng
trong TMĐT, các vấn đề bảo mật ứng dụng web, cơ chế bảo mật SSL và TSL, cơ chế
bảo mật SET. Ngoài ra luận văn còn cài đặt và phát triển các ứng dụng trên website
mua bán trực tuyến.
Những vấn đề còn tồn đọng xung quanh công trình nghiên cứu trên là:
11


Nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin
trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói chung và đi
sâu vào một doanh nghiệp cụ thể.
Đồ án “An ninh mạng và kỹ thuật tấn công mạng” của sinh viên Phạm Minh
Tuấn-Khoaquốc tế và đào tạo sau đại học trường Học viện bưu chính viễn thông
Những công việc đã hoàn thành của công trình nghiên cứu trên:

Đồ án của Phạm Minh Tuấn đã phân tích được rất tổng quan về các kiểu tấn công
qua mạng và đưa ra cách cách khắc phục cho kiểu tấn công đó. Đồ án đã đi sâu nghiên
cứu về các lỗ hổng thường gặp trong bảo mật mạng và đã được nhiều giảng viên trong
khoa đánh giá là một công trình nghiên cứu rất hay về vấn đề an ninh mạng. Khảo sát
phân tích và đánh giá được hiện trạng đảm bảo an ninh mạng hiện nay và đưa ra được
hướng đi của đồ án.
Những vấn đề còn tồn đọng xung quanh công trình nghiên cứu trên là:
Sau khi đưa ra định hướng phát triển nhưng dự án chưa đi vào cài đặt thử nghiệm
với hệ thống mạng tạm thời điều này rất bất lợi vì khi đi vào sử dụng với dữ liệu thật
sẽ phát hiện ra những khó khăn, vấn đề còn tồn đọng cần phải thay đổi sao cho phù
hợp với quy trình đảm bảo an ninh mạng. Vì trong quá trình khảo sát và phân tích chưa
chắc chắn đã tìm hiểu được hết những vấn đề trong quy trình đảm bảo an ninh mạng.
Dự án chưa tự đánh giá được những công việc đã đạt được hay những vấn đề còn tồn
đọng sau khi đã triển khai đề xuất.
ThS. Nguyễn Tiến Đức (2002), “Tình hình an ninh thông tin ở Việt Nam và sự
tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công
nghệ thông tin Việt Nam.
Ở đây, tác giả đã nêu ra một cách tổng quát về tình hình an ninh thông tin tại Việt
Nam cũng như sự tiếp cận tiêu chuẩn này đối với các tổ chức, doanh nghiệp nói chung,
đặc biệt là đối với các doanh nghiệp hoạt động trong lĩnh vực Công nghệ thông tin
(CNTT) trong thời điểm thế giới đánh giá mức độ an toàn thông tin của các doanh
nghiệp Việt Nam còn rất yếu. Tuy nhiên, đề tài chưa nghiên cứu đến khả năng ứng
dụng thực tế quy trình xây dựng hệ thống an ninh bảo mật vào một doanh nghiệp cụ
thể nào. Cùng là một quy trình triển khai ISO 27001 ứng với mỗi doanh nghiệp sẽ có
mức độ và phạm vi áp dụng khác nhau.
Thông qua công trình nghiên cứu 1, 2 và 3, những thông tin thu thập được từ
những đánh giá công trình nghiên cứu 1 công trình nghiên cứu 2 và công trình nghiên
cứu 3 sẽ là tài liệu tham khảo cho chương 3 của khóa luận nhằm mục đích lựa chọn
được hệ giải pháp đảm bảo an toàn, bảo mật thông tin phù hợp với doanh nghiệp, định
hướng phát triển đề xuất cho vấn đề nghiên cứu.


12


1.3.2. Tổng quan tình hình nghiên cứu trên thế giới
Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi,
tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh
nghiệp lớn nhỏ, các tổ chức, chính phủ...Gần đây nhất là vụ tấn công vào các trang
thông tin điện tử của Cơ quan tình báo Trung ương Mỹ CIA và Interpol, gây những
hậu quả đặc biệt nghiêm trọng. Các số liệu thống kê và thực tế cho thấy các cuộc tấn
công mạng sẽ ngày càng mạnh mẽ hơn, chuyên nghiệp hơn và ngày càng khó khăn
hơn để ngăn chặn. Vì thế, những phương hướng và giải pháp đảm bảo an toàn và bảo
mật thông tin được mọi người rất quan tâm và nghiên cứu. Một vài nghiên cứu điển
hình như:
Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information
Security – Estimating the Credibility of the Results.
Bài báo này trình bày các kết quả từ một dự án nghiên cứu đang thực hiện tập
trung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp
(Enterprise Information Security), dự án là một phần của một chương trình nghiên cứu
toàn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research Programme
(EARP). EARP khai thác các phần của cấu trúc doanh nghiệp như một cách tiếp cận
để quản lý tổng danh mục hệ thống thông tin của công ty. Các bên liên quan chính của
Cấu trúc Doanh nghiệp là CIO (Chief Information Officer) chịu trách nhiệm quản lý và
phát triển hệ thống thông tin doanh nghiệp. Mục tiêu tổng thể của chương trình nghiên
cứu là cung cấp chức năng CIO với các công cụ và phương pháp dựa trên cấu trúc để lập
kế hoạch và ra quyết định liên quan đến các hệ thống thông tin toàn doanh nghiệp
Bài báo “Manage component specific access control with differentiation and
composition” của tác giả Zhiqing Liu (Tháng 4 năm 2005 từ Đại học Ấn Độ)
Zhiqing Liu giới thiệu một cách trực tiếp về các chính sách kiểm soát truy cập.
Để hệ thống đảm bảo được sự an toàn thì việc kiểm soát quyền truy cập không được

có thiếu sót. Vì vậy mà bài báo trình bày về bối cảnh và chi tiết cách tiếp cận hệ thống
của con người, sự khác biệt cụ thể các chính sách kiểm soát truy cập tĩnh và truy cập
động, thành phần và cấu hình các chính sách kiểm soát truy cập tĩnh, truy cập động.
Giải pháp phát hiện và phòng chống tấn công mạng của Firewall WatchGuard
(Bài báo trên trang web antoanthongtin.vn. Theo Trần Anh Tú, Học viện Kỹ thuật
mật mã, Ban Cơ yếu Chính phủ, ngày 06/02/2018)
Mới đây, hãng bảo mật Firewall WatchGuard đã phát triển thành công tính năng
Threat Detection and Response (TDR) giúp phát hiện và phản hồi các mối đe dọa, đảm
bảo an toàn cho các node mạng và thiết bị đầu cuối. Giải pháp này cho phép giám sát
các node mạng và thiết bị đầu cuối và bằng cơ chế phân tích thông minh có thể phát
hiện, chọn lọc ưu tiên và xử lý kịp thời khi các mối nguy hiểm xảy ra. TDR có nhiều
13


tính năng như: xử lý các mối nguy hiểm theo độ ưu tiên và mức độ an toàn, tăng mức
độ an toàn chống lại các phần mềm độc hại hay hỗ trợ cho doanh nghiệp với quy mô
khác nhau mà không tốn thêm chi phí.
Qua khảo sát và phân tích tình hình thực tế trong nước và thế giới vấn đề an toàn,
bảo mật đang rất được quan tâm và chú trọng. Thông tin là một tài sản quan trọng. Bạn
càng có nhiều thông tin hơn trong dữ liệu của mình, bạn càng có thể thích ứng với thế
giới xung quanh mình càng tốt. Trong công tác quản lý, thông tin thường là một trong
những tài sản quan trọng nhất mà một Sở ban ngành sở hữu. Các tổ chức thường chọn
triển khai nhiều tài nguyên hơn để kiểm soát thông tin có độ nhạy cao hơn. Chính vì
vậy em chọn đề tài “Một số giải pháp đảm bảo an toàn và bảo mật thông tin của Sở Tài
chính Thái Bình”, chính vấn đề mà Sở đang còn nhiều thiếu sót, cần được nâng cao để
làm để tài của mình.

14



CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ĐẢM BẢO
AN TOÀN VÀ BẢO MẬT THÔNG TIN TẠI SỞ TÀI CHÍNH THÁI BÌNH
2.1. Tổng quan Sở Tài chính Thái Bình
2.1.1 Giới thiệu
Sơ lược về Sở.
• Địa chỉ : Số 142 Lê Lợi, phường Đề Thám, thành phố Thái Bình, Thái Bình
•

Tên đầy đủ : Sở Tài chính Thái Bình

•

Website : />
•

Điện thoại : Tel:+84.036.3831.733, Fax: +84.036.3846.287.

Lịch sử phát triển của Sở
Cách mạng tháng 8 năm 1945 thành công đã khai sinh ra nước Việt Nam Dân
chủ cộng hòa(nay là nước Cộng hòa xã hội chủ nghĩa Việt Nam) xác lập kỷ nguyên
mới độc lập, tự do, hạnh phúc. Ngành Tài chính nhà nước ra đời cùng với việc thành
lập Chính Phủ lâm thời ngày 28/8/1945.
Từ xưa Thái Bình vốn là tỉnh trọng điểm lúa ở vùng đồng bằng Bắc bộ, vùng đất
giàu tiềm năng với những con người đầy bản lĩnh cách mạng kiên cường, giàu truyền
thống yêu nước.
Xuất phát từ một tỉnh nông nghiệp với nền kinh tế thấp, khi đất nước bước vào
thời kỳ công nghiệp hóa, hiện đại hóa, Thái Bình đã gặp biết bao trở ngại, Đảng bộ và
nhân dân Thái Bình đã năng động, sáng tạo khai thác mọi tiềm năng thế mạnh, tranh
thủ mọi thời cơ, vượt qua mọi thách thức để phát triển kinh tế- xã hội. Do vậy Thái
Bình vẫn được xác định là tỉnh trọng điểm lúa, năng suất, sản lượng lúa vẫn tiếp tục

được nâng lên cùng với qúa trình hiện đại hóa nông nghiệp, nông thôn. Những thành
tựu quan trọng và toàn diện đạt được về chính trị, kinh tế, văn hóa, xã hội, an ninh,
quốc phòng trong tiến trình đổi mới, hội nhập, xây dựng nông thôn mới đã và đang
thắp sáng thêm truyền thống của miền quê lúa Thái Bình.
Trải qua 73 năm(1945-2018) hình thành và phát triển ngành Tài chính Thái Bình
ngày càng trưởng thành cùng với sự phát triển của quê hương đất nước và đã góp phần
quan trọng vào thắng lợi to lớn của sự nghiệp cách mạng giải phóng dân tốc, thống
nhất đất nước, bảo vệ tổ quốc. Ngày nay, ngành Tài chính lại tiếp tục cùng các ngành,
các cấp và nhân dân trong tỉnh thiết lập nền tài chính ngày một ổn định, lành mạnh
phục vụ tiến trình đổi mới, phát triển và hội nhập kinh tế, quốc tế của cả nước.

15


2.1.2. Cơ cấu tổ chức.

Phó giám đốc 1

Phòng THTK

Phòng TCDN

Phó giám đốc 2

Phòng TCHCSN

Phòng TCĐT
Phó giám đốc 3

Giám đốc


Phòng QL GIÁ &CS

Phòng QLNS

Phòng Thanh tra

Văn phòng

Sơ đồ 2.1 : Cơ cấu tổ chức Sở Tài chính Thái Bình

16


2.1.3.Kết quả thu- chi ngân sách nhà nước của tỉnh Thái Bình năm 2014-2018
Bảng 1 : Biểu tổng hợp kết quả thực hiện thu- chi NSNN tỉnh Thái Bình năm
2014-2018
Đơn vị: tỷ đồng
STT
I
*
1
2
II
1
2

Chỉ tiêu
Tổng thu NSNN
Thu trên địa bàn(1+2)

Thu nội địa
Thuế XNK
Tổng chi
Chi NSĐP
Chi bổ sung NS

Năm

Năm

Năm

Năm

2014

2015

2016

2017

19.491
5.287
4.332
955
18.398
12.635
5.763


20.263
5.935
4.690
1.245
18.387
12.328
6.525

23.881
10.334
8.137
2.197
21.500
14.822
6.678

23.979
8.263
7.058
1.204
21.442
14.626
6.816

Năm 2018(Đến
ngày
31/12/2018)
24.850
8.380
7.107

1.274
20.245
12.724
7.521

( Nguồn Báo cáo Tổng quyết toán Thu – Chi tỉnh Thái Bình năm 2014-2018)
Năm 2017:
- Tổng thu ngân sách nhà nước trên địa bàn là :8.263 tỷ đồng đạt 96,5 % dự
toán giao. Trong đó :Thu ngân sách từ nội địa: 7.058 tỷ đồng, chiếm tỷ trọng 47,2%
tổng thu NSĐP, đạt 116,5% dự toán giao,số tuyệt đối tăng 1001 tỷ đồng,Thu thuế từ
hoạt động xuất nhập khẩu: 1.204 tỷ đồng, đạt 48% dự toán giao.
- Tổng thu ngân sách địa phương thực hiện 14.952 tỷ đồng, tăng 51,1% so dự
toán giao (loại trừ ghi thu, ghi chi đạt 14.378,2 tỷ đồng, bao gồm cả thu chuyển nguồn
2016 sang 2017); trong đó:
+Thu nội địa ngân sách địa phương được hưởng (Bao gồm cả ghi thu ghi chi) là
5.822 tỷ đồng, tăng 21% so dự toán giao, số tuyệt đối tăng 1.210 tỷ đồng; Trong đó:
ngân sách cấp tỉnh: 3.259,7 tỷ đồng, đạt 106,3 % so dự toán; ngân sách cấp huyện:
1.521,3 tỷ đồng, tăng 35,1% so dự toán, số tuyệt đối tăng 395 tỷ đồng; ngân sách cấp
xã: 1.041 tỷ đồng, tăng 68,4% so với dự toán, số tuyệt đối tăng 423 tỷ đồng;
-Tổng chi cân đối ngân sách địa phương (bao gồm cả bội thu) thực hiện 14.626
tỷ đồng, đạt 147,8% so với dự toán; cụ thể:
* Chi đầu tư phát triển: Thực hiện 4.833,5 tỷ đồng, tăng 156,7% dự toán năm với
số tăng chi 2.718 tỷ đồng so với dự toán năm, chiếm tỷ trọng 41,8% tổng chi NSĐP
* Chi tiêu dùng thường xuyên: Thực hiện 7.548 tỷ đồng, đạt 102,5% dự toán năm.
*Chi bổ sung cho ngân sách cấp dưới thực hiện 6.816 tỷ đồng, đạt 123% dự toán giao.
Năm 2018:
17