Tải bản đầy đủ (.doc) (57 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

luận văn hệ thống thông tin kinh tế một số giải pháp bảo mật cho HTTT của công ty cổ phần cảnh nƣớc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (723.84 KB, 57 trang )

LỜI CẢM ƠN
Để hoàn thành bài khóa luận này, bên cạnh sự cố gắng nỗ lực của bản thân, em
cũng đã nhận được sự chỉ dẫn, giúp đỡ nhiệt tình của giáo viên hướng dẫn Th.S Hàn
Minh Phương, cùng với sự hỗ trợ từ phía Công ty cổ phần Cảnh Nước.
Em xin gửi lời cám ơn tới Khoa Hệ thống thông tin kinh tế và Thương mại
điện tử, Trường Đại học Thương mại, cám ơn các quý thầy cô trong khoa đã tận tình
truyền đạt các kiến thức quý báu cho em trong suốt quá trình học tập và tạo điều
kiện tốt nhất cho em hoàn thành đề tài khóa luận của mình.
Em xin được gửi lời cảm ơn tới cô Th.S Hàn Minh Phương – Giáo viên hướng
dẫn đã tận tình chỉ bảo em trong suốt quá trình thực hiện đề tài lời cảm ơn và biết
ơn sâu sắc nhất. Bên cạnh những kiến thức khoa học, cô đã giúp em nhận ra những
bài học về phong cách học tập, làm việc và những kinh nghiệm sống quý báu.
Bên cạnh đó, em cũng xin gửi lời cảm ơn tới các anh/chị thuộc Công ty cổ
phần Cảnh Nước đã nhiệt tình giúp đỡ và tạo mọi điều kiện cho em tìm hiểu các
hoạt động thực tiễn bên trong công ty, cung cấp các tài liệu cần thiết để em có thể
thực hiện tốt bài khóa luận của mình.
Trong quá trình thực tập và làm bài khóa luận dù đã cố gắng nhưng do thời
gian và trình độ còn hạn chế nên không thể tránh khỏi những thiếu sót. Em rất mong
nhận được ý kiến đóng góp, bổ sung ý kiến của thầy, cô để khóa luận tốt nghiệp này
được hoàn chỉnh hơn.
Em xin chân thành cảm ơn !
Sinh viên thực hiện
Phạm Thị My

i


MỤC LỤC

ii



DANH MỤC TỪ VIẾT TẮT
Tên từ
viết tắt
ACL
AES
CNTT
CMAC
CPU
CSDL
DMZ

Giải nghĩa tiếng anh

Giải nghĩa tiếng việt

Access Control

Danh sách quản lý truy cập,

Advanced Encryption Standard
Cipher-based Message Authentication
Code
Central Processing Unit

nhiệm vụ cơ bản là lọc gói tin
Tiêu chuẩn mã hóa tiên tiến
Công nghệ thông tin
Mã xác thực tin nhắn dựa trên
mật mã

Bộ xử lý trung tâm
Cơ sở dữ liệu
Khu vực bảo mật thực hiện ngăn

Demilitarized Zone

những lưu lượng Internet cách xa
HTTT
LAN
RDBMS
SSL
TCP/IP
TMĐT
VPN
WLAN
WEP
WPA
WPA2

hệ thống mạng cục bộ
Hệ thống thông tin
Local Area Network
Mạng cục bộ
Relational Database Management System Hệ thống quản lý cơ sở dữ liệu
Secure Sockets Layer
Giao thức an ninh thông tin mạng
Transmission Control / Internet Protocol
Bộ giao thức liên mạng
Thương mại điện tử
Virtual Private Network

Mạng riêng ảo
Wifi Local Area Network
Mạng cục bộ không dây
Wireless Encryption Protocol
Giao thức mã hoá mạng không
WiFi Protected Access

dây WEP
Giao thức mã hoá mạng không

WiFi Protected Access II

dây WPA
Giao thức mã hoá mạng không
dây WPA2

iii


DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VE
Hình 2.1: Sơ đồ cơ cấu tổ chức của Công ty cổ phần Cảnh Nước......................................................22
Bảng 2.1: Cơ cấu tổ chức nhân sự tại Công ty cổ phần Cảnh Nước...................................................23
Bảng 2.2: Bảng báo cáo kết quả kinh doanh của công ty ba năm 2014-2016...................................24
Bảng 2.3: Bảng thông kê sơ bô vê trang thiết bi các phong ban trong công ty .................................25
Hình 2.2 Cấu trúc mạng hình sao........................................................................................................26
Biêu đồ 2.1 Mức đô đảm bảo an toan bảo m ât HTTT trong công ty .................................................29
Biêu đồ 2.2 Mức độ quan trọng của các thanh phần trong HTTT của công ty..................................30
Biêu đồ 2.3 Thách thức vê an toan bảo mật dữ liệu đôi với công ty.................................................31
Biêu đồ 2.4 Mức độ an toan, bảo mật thông tin trong công ty..........................................................32
Biêu đồ 2.5 Tần suất sao lưu dữ liệu trong công ty............................................................................33

Biêu đồ 2.6 Giao thức bảo mât mạng không dây trong công ty........................................................34
Biêu đồ2.7 Mức đô trang thiết bi phần cứng bảo m ât trong công ty ................................................35
Hình 3.1: Chức năng liêt kê các phần mêm đươc cai trong máy tnh Programs and Features .........39
Hình 3.2: Chức năng tưởng lửa trên máy tnh....................................................................................40
Hình 3.3: Chức năng thiết lâp câp nhât các phần mêm va h ê điêu hanh Windows .........................41
Hình 3.4: Thiết bi đinh tuyến Cisco RV220W......................................................................................42
Hình 3.5: Cấu hình điên hình...............................................................................................................44

iv


PHẦN I: PHẦN MỞ ĐẦU
1. Lý do lựa chọn đề tài nghiên cứu
Trong mỗi tổ chức, mỗi doanh nghiệp việc thu thập và nắm bắt thông tin là
vấn đề hết sức quan trọng. Nó là một trong những yếu tố mang lại sự thành công
cho mỗi tổ chức, mỗi cá nhân biết tận dụng và khai thác nó.
Cùng với sự phát triển mạnh mẽ của công nghệ như hiện nay, việc thu thập, xử
lý thông tin khá dễ dàng và nhanh chóng. Song song với sự phát triển này, cùng với
cách quản lý nhân lực, tài sản nói chung và tài sản thông tin nói riêng của mỗi tổ
chức, là sự phát triển của các loại hình đánh cắp thông tin, xâm nhập hệ thống thông
tin (HTTT) trái phép, bao gồm cả bên trong nội bộ và bên ngoài tổ chức. Có thể coi
HTTT như là thành phần quan trọng của doanh nghiệp, nó quyết định mọi hoạt
động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọng đó mà khi
HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp. Chính vì vậy,
cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp.
Là một doanh nghiệp kinh doanh trong lĩnh vực bất động sản, việc đảm bảo an
toàn thông tin và HTTT trong doanh nghiệp là rất cần thiết, nó ảnh hưởng trực tiếp và
gián tiếp đến các hoạt động kinh doanh của công ty. Tuy nhiên, trong quá trình thực tập
và tìm hiểu tại Công ty cổ phần Cảnh Nước, em thấy công ty vẫn chưa có sự đầu tư
đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin của mình. Trong công ty vẫn

còn xảy ra tình trạng thất lạc thông tin dữ liệu, hệ thống gặp sự cố, sự đồng bộ hóa
thông tin chưa cao. Chính vì vậy, em xin được thực hiện đề tài khóa luận: “Một số giải
pháp bảo mật cho HTTT của Công ty cổ phần Cảnh Nước ”.
2. Mục tiêu và nhiệm vụ nghiên cứu
Mục tiêu và nhiệm vụ nghiên cứu của đề tài là tập hợp và hệ thống hóa một số
lý thuyết cơ bản về an toàn bảo mật HTTT, để từ đó xem xét đánh giá phân tích
thực trạng vấn đề an toàn bảo mật HTTT trong công ty. Từ những đánh giá phân
tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính an
toàn bảo mật HTTT trong doanh nghiệp.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong Công ty cổ phần
Cảnh Nước.

1


- Đánh giá thực trạng an toàn bảo mật HTTT trong Công ty cổ phần Cảnh
Nước dựa trên tài liệu thu thập được.
Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mật
HTTT trong Công ty cổ phần Cảnh Nước.
3. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu của đề tài:
- Các vấn đề an toàn bảo mật HTTT tại Công ty cổ phần Cảnh Nước.
- Một số giải pháp đưa ra để đảm bảo an toàn bảo mật HTTT của doanh nghiệp.
- Hệ thống thông tin của doanh nghiệp.
- Các chính sách phát triển đảm bảo an toàn bảo mật thông tin trong doanh nghiệp.
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của
đề tài chỉ giới hạn trong một doanh nghiệp và chỉ trong khoảng thời gian ngắn hạn.
Cụ thể:
Về không gian: Nội dung đề tài chỉ mang tính vi mô, tập trung nghiên cứu tình

hình an toàn bảo mật HTTT tại Công ty cổ phần Cảnh Nước nhằm đưa ra một số
giải pháp nâng cao an toàn bảo mật HTTT.
Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trình
bày các nhóm giải pháp, định hướng phát triển trong tương lai của doanh nghiệp.
4. Phương pháp nghiên cứu
4.1. Phương pháp thu thập dữ liệu
Thu thập dữ liệu thứ cấp: Tìm hiểu các thông tin về an toàn bảo mật HTTT
qua Internet, qua các công trình nghiên cứu khoa học đã thực hiện và tài liệu sách
báo có liên quan.
Thu thập dữ liệu sơ cấp:
• Phương pháp sử dụng phiếu điều tra:
Nội dung: Xây dựng phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên
công ty về hoạt động đảm bảo an toàn bảo mật HTTT bên trong doanh nghiệp.
Cách thức tiến hành: Phiếu điều tra sẽ được phát cho 10 nhân viên trong công
ty để thu thập dữ liệu.
Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn bảo mật
HTTT của công ty, từ đó phân tích, đánh giá thực trạng triển khai và đưa ra những

2


giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn bảo
mật HTTT trong Công ty cổ phần Cảnh Nước.
• Phương pháp phỏng vấn trực tiếp:
Nội dung: Đưa ra một số câu hỏi về tình trạng mất an toàn và bảo mật HTTT
của công ty trong vòng 3 năm gần đây.
Cách thức tiến hành: Phỏng vấn riêng 2 nhân viên của công ty về hoạt động
đảm bảo an toàn bảo mật HTTT bên trong doanh nghiệp.
Mục đích: Nhằm khảo sát ý kiến một cách trực quan nhất về hoạt động an toàn
bảo mật HTTT trong doanh nghiệp.

4.2. Phương pháp xử lý dữ liệu
Từ những dữ liệu thu thập được sau khi tiến hành điều tra phỏng vấn và thu
thập tài liệu sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin
phù hợp với mục đích nghiên cứu của đề tài. Trong quá trình xử lý thông tin, ta cần
chia thông tin ra làm hai phương pháp chính:
- Phương pháp định lượng: Sử dụng phần mềm Excel nhằm phân tích, so sánh
các nguồn thông tin thu thập được để có cái nhìn chính xác nhất về tình hình an toàn
bảo mật HTTT trong doanh nghiệp.
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi
phỏng vấn, phiếu điều tra và các tài liệu thu thập được.
5. Nội dung khóa luận tốt nghiệp
Nội dung khóa luận gồm:
Phần I: Phần mở đầu
Phần II: Nội dung
Chương 1: Cơ sở lý luận về vấn đề đảm bảo an toàn HTTT.
Chương 2: Phân tích, đánh giá thực trạng về vấn đề đảm bảo an toàn HTTT
cho Công ty cổ phần Cảnh Nước.
Chương 3: Các kết luận và đề xuất với vấn đề đảm bảo an toàn HTTT trong
Công ty cổ phần Cảnh Nước.

3


PHẦN II: NỘI DUNG
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ
THỐNG THÔNG TIN
1.1. Những khái niệm cơ bản
1.1.1. Khái niệm chung
Theo [1] thì khái niệm dữ liệu là: các giá trị phản ánh về sự vật, hiện tượng
trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người

sử dụng. Có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa
chúng. Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn
bản, hình ảnh,...
Theo [1] thì thông tin là: ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử
lý (phân tích, tổng hợp…), phù hợp với mục đích của người sử dụng. Thông tin có
thể gồm nhiều giá trị dữ liệu được tổ chức sao cho nó mang lại một ý nghĩa cho một
đối tượng cụ thể, trong một ngữ cảnh cụ thể. Những thông tin có giá trị là những
thông tin mang các đặc điểm sau: chính xác, xác thực; đầy đủ, chi tiết; rõ ràng (dễ
hiểu); đúng lúc, thường xuyên; thứ tự, có liên quan;…
Theo [1] thì khái niệm hệ thống là: một tập hợp có tổ chức gồm nhiều phần tử
có các mối quan hệ ràng buộc lẫn nhau và cùng hoạt động hướng tới một mục tiêu
chung. Phần tử ở đây có thể là vật chất hoặc phi vật chất: con người, máy móc,
thông tin, dữ liệu, phương pháp xử lý, quy tắc, quy trình xử lý.
Theo [1] thì hệ thống thông tin được xác định như: một tập hợp các thành
phần được tổ chức (người, thủ tục, và các nguồn lực) để thu thập, xử lý, lưu trữ,
truyền và phát thông tin trong tổ chức. Hệ thống thông tin có thể là thủ công nếu
dựa vào các công cụ như giấy, bút. Hệ thống thông tin hiện đại là hệ thống tự động
hóa dựa vào máy tính (phần cứng, phần mềm) và các công nghệ thông tin khác.
Theo [2] thì khái niệm an toàn thông tin: Thông tin được coi là an toàn khi
thông tin đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa
bỏ bởi người không được phép.
Bảo mật thông tin là duy trì tính bí mật (Confidentiality), tính toàn vẹn
(Integrity) và tính sẵn sàng (Availability) của thông tin.
- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp
quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật
4


thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị
hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống

sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại,
có thể dẫn đến phá sản.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhânđược cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công
không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị
mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy
nhập được vào hệ thống. Có thể nói rằng đây là yêu cầu quan trọng nhất, vì thông
tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được
đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên
mất giá trị.
1.1.2. Khái niệm liên quan đến vấn đề đảm bảo an toàn
HTTT doanh nghiệp
1.1.2.1. Khái niệm về phần mềm độc hại
Phần mềm độc hại (Malware) là bất kỳ loại phần mềm nào có thể làm hại
máy tính của bạn, các phần mềm độc hại tấn công bằng nhiều phương pháp khác
nhau để xâm nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy
tính (Worm), phần mềm gián điệp (Spyware),...
Virus: Là một chương trình máy tính có thể tự sao chép chính nó lên những
đĩa, file khác mà người sử dụng không hay biết. Thông thường virus máy tính mang
tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các
tính chất: Kích thước nhỏ, có tính lây lan từ chương trình này sang chương trình
khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá
hoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy
nhiên cũng có một số virus không gây hại như chương trình được tạo ra chỉ với mục
đích trêu đùa).

5



Các nguồn phổ biến nhất để lây nhiễm virus là ổ đĩa USB, Internet và file
đính kèm trong email. Để ngăn chặn virus lây lan từ USB, bạn nên làm cho nó an
toàn bằng cách quét virus trước khi sử dụng trên máy tính.
Sâu máy tính (Worm): Là loại virus lây từ máy tính này sang máy tính khác
qua mạng, khác với loại virus truyền thống trước đây chỉ lây trong nội bộ một máy
tính và nó chỉ lây sang máy khác khi ai đó đem chương trình nhiễm virus sang máy
này. Chúng thường sử dụng các lỗ hổng bảo mật của một mạng lưới để trốn bên
trong mỗi máy tính thuộc mạng này mà không cần sự can thiệp của người dùng.
Chúng có thể phá hủy tất cả các máy tính trong mạng chỉ trong vòng vài phút.
Sự khác biệt chính giữa một loại virus và worms chính là việc worms thực
hiện sao chép chính nó qua mạng và nó là một chương trình độc lập riêng, trong khi
virus có thể lây lan thông qua các phương tiện khác như thiết bị truyền thông di
động, và chúng có thể gắn với các chương trình khác. Một số ví dụ nổi tiếng của
worms như sâu Iloveyou, Conficker,…
Nếu hệ thống mạng máy tính dính worms, bạn nên ngắt kết nối tất cả các máy
tính trong mạng đó, sau đó quét toàn bộ với một phần mềm chống virus tốt, rồi kết
nối chúng trở lại với mạng khi đã chắc chắn rằng không còn dấu vết nào của worms,
nếu không worms sẽ tự tái tạo lại và khởi động lại toàn bộ chu kỳ.
Ngựa Trojan/Backdoor: Trojan là một trong những mối đe dọa nguy hiểm
nhất với máy tính. Chúng là một mã độc ẩn bên trong một phần mềm có vẻ hữu ích
nhưng bí mật kết nối đến máy chủ độc hại và chạy nền nên bạn không hề hay biết.
Trojan thường được sử dụng để điều khiển hoàn toàn máy tính từ xa. Nếu máy tính
bị nhiễm trojan, bạn nên ngắt kết nối Internet và không kết nối lại cho đến khi trojan
đó được loại bỏ hoàn toàn.
Tường lửa có thể sẽ phát hiện các hoạt động đáng ngờ của trojan. Windows
Firewall là một tường lửa rất cơ bản có sẵn của Windows, bạn có thể sử dụng các
công cụ nâng cao đi kèm phần mềm diệt virus như Kaspersky Internet Security. Chỉ
cần nhớ rằng trojan không thể cài đặt tự động như virus, chúng cần phải được cài

đặt bởi người sử dụng. Bạn phải rất cẩn thận trong khi cài đặt hoặc chạy bất kỳ
chương trình nào, chỉ nên chạy những công cụ được cung cấp từ nguồn mà bạn
tin tưởng.

6


Phần mềm quảng cáo (Adware) sẽ phục vụ quảng cáo trên máy tính, có thể
hoặc không có thể đóng/vô hiệu hóa bởi người sử dụng. Phần mềm quảng cáo
không có hại, nhưng chúng sẽ tiếp tục hiển thị quảng cáo trên máy tính, gây
khó chịu cho người dùng. Phần mềm quảng cáo thường đi kèm với các ứng
dụng hợp pháp. Cách tốt nhất để ngăn cản chúng cài vào máy tính của bạn là
thận trọng mỗi khi đánh dấu "check" vào các tùy chọn lúc cài đặt ứng dụng.
Ngày nay, phần mềm quảng cáo chủ yếu được cài đặt trên thanh công cụ của
trình duyệt. Vì vậy, gỡ bỏ các thành phần bổ sung rác sẽ giúp bạn được thoát
khỏi các quảng cáo khó ưa.
Phần mềm gián điệp (Spyware): Như tên của nó, phần mềm gián điệp được
phát triển nhằm đánh cắp thông tin của bạn từ máy tính và gửi lại cho người viết ra
nó. Một số thông tin dễ bị đánh cắp bởi phần mềm gián điệp bao gồm thông tin thẻ
tín dụng, thông tin đăng nhập trang web, tài khoản email,... Phần mềm gián điệp sẽ
không gây tổn hại cho hệ thống của bạn, chính vì vậy mà hầu hết người dùng không
nhận thấy sự tồn tại của nó. Hiện nay, các phần mềm chống virus hiện đại cũng bao
gồm công cụ chống phần mềm gián điệp.
1.1.2.2. Khái niệm về một số biện pháp, công nghệ an toàn bảo mật thông tin
Để bảo vệ người dùng, các chuyên gia bảo mật nghiên cứu thiết kế các hệ
phòng vệ như tường lửa (Firewall), mã hóa (Encryption), xác thực (Authentication),
quét virus (Anti-virus), lọc thư rác (Spam filter), chống gián điệp (Anti-spyware)...
Tuy nhiên các công cụ này chỉ có thể phát huy tác dụng đối với người dùng cẩn
trọng. Tường lửa (Firewall)
Trong Công nghệ mạng thông tin, tường lửa (Firewall) là một kỹ thuật được

tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số
thông tin khác không mong muốn.
Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn truy
cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá hoại
hay làm tê liệt hệ thống của bạn. Ngoài ra vì các nguồn truy cập ra vào giữa mạng
nội bộ và mạng khác đều phải thông qua tường lửa nên tường lửa còn có tác dụng
theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với những

7


luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không cho phép truy
cập hoặc theo dõi một giao dịch đáng ngờ nào đó.
Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với những
máy tính thường xuyên kết nối Internet.
Mã hóa (Encryption)
Mã hóa là cơ chế cơ bản nhất nhằm đảm bảo tính bí mật của thông tin. Mã
hóa (Encryption) là quá trình chuyển văn bản rõ thành văn bản mã hóa. Giải mã
(Decryption) là quá trình đưa văn bản mã hóa về lại văn bản gốc ban đầu.
Mã hóa là một kỹ thuật cơ sở quan trọng trong bảo mật thông tin. Nguyên tắc
của mã hóa là biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có những
thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu được.
Một thực thể hợp lệ có thể là một người, một máy tính hay một phần mềm nào
đó được phép nhận thông tin. Để có thể giải mã được thông tin mật, thực thể đó cần
phải biết cách giải mã (tức là biết được thuật toán giải mã) và các thông tin cộng
thêm (khóa bí mật).
Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào đó
được gọi là quá trình mã hóa. Quá trình biến đổi thông tin mật về dạng thông tin
gốc ban đầu gọi là quá trình giải mã. Đây là hai quá trình không thể tách rời của một

kỹ thuật mã hóa bởi vì mã hóa (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã
(phục hồi lại) được thông tin đó. Do vậy, khi chỉ dùng thuật ngữ mã hóa thì nó có
nghĩa bao hàm cả mã hóa và giải mã.
Xác thực (Authentication)
Trong An ninh máy tính, xác thực là một quy trình nhằm cố gắng xác minh
nhận dạng số của phần truyền gửi thông tin trong giao thông liên lạc chẳng hạn
như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người
dùng sử dụng một máy tính, bản thân một máy tính hoặc một chương trình ứng
dụng máy.
Các cơ chế xác thực như hàm băm và chữ ký số có chức năng bảo đảm tính
toàn vẹn của thông tin. Nguyên tắc của hàm băm là biến đổi khối thông tin gốc có
độ dài bất kỳ thành một đoạn thông tin ngắn hơn có độ dài cố định gọi là mã băm.
Mã băm được dùng để kiểm tra tính chính xác của thông tin nhận được. Thông

8


thường, mã băm được gởi kèm với thông tin gốc. Ở phía nhận, hàm băm lại được áp
dụng đối với thông tin gốc để tìm ra mã băm mới, giá trị này được so sánh với mã
băm đi kèm với thông tin gốc.
Chữ ký số là một cơ chế xác thực cho phép người tạo ra thông tin gắn thêm
một đoạn mã đặc biệt vào thông tin có tác dụng như một chữ ký. Chữ ký được tạo
ra bằng cách áp dụng một hàm băm lên thông tin gốc, sau đó mã hóa thông tin gốc
dùng khóa riêng của người gửi. Chữ ký số có mục đích đảm bảo tính toàn vẹn về
nguồn gốc và nội dung của thông tin.
Kiểm soát truy cập (Access Control)
Để có thể bảo vệ dữ liệu khỏi những người truy cập không được phép, người
ta dùng khái niệm “kiểm soát truy cập” (Access Control). Khái niệm kiểm soát truy
cập này có hai yếu tố sau:
- Chứng thực truy cập (Authentication): Xác nhận rằng đối tượng (con người

hay chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: Để sử
dụng máy tính thì trước tiên đối tượng cần phải đăng nhập (logon) vào máy tính
bằng tên đăng nhập (username) và mật khẩu (password). Ngoài ra, còn có các
phương pháp chứng thực khác như sinh trắc học (dấu vân tay, mống mắt…) hay
dùng thẻ (thẻ ATM…).
- Phân quyền (Authorization): Các hành động được phép thực hiện sau khi đã
truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào hệ
điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc bạn chỉ
có quyền đọc file mà không có quyền xóa file. Với nguyên tắc như vậy thì một máy
tính hoặc một mạng máy tính được bảo vệ khỏi sự thâm nhập của các đối tượng
không được phép.
Mạng riêng ảo VPN (Virtual Private Network)
Mạng riêng ảo VPN (Virtual Private Network) được hiểu đơn giản như là
sự mở rộng của một mạng riêng (Private Network) thông qua các mạng công
cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung
(thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều
người sử dụng từ xa. Thay cho việc sử dụng các kết nối thực, chuyên dùng, mỗi
VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các
công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông
qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật, VPN cung cấp các
9


cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi
nhận và nơi gửi. Các dữ liệu quan trọng sẽ được che giấu đối với những người
không có quyền truy cập và cho phép truy cập đối với những người dùng có
quyền truy cập.

10



1.2. Một số cơ sở lý luận về an toàn bảo mật HTTT trong doanh nghiệp
1.2.1. Vai trò của an toàn bảo mật thông tin
Khi công nghệ thông tin (CNTT), máy tính, Internet, các phương tiện truyền
tải thông tin ngày càng phát triển, hiện đại và tiện dụng, con người phụ thuộc nhiều hơn
vào máy móc thì nguy cơ rò rỉ, thất thoát thông tin càng cao. Việc xảy ra mất cắp hoặc
rò rỉ thông tin dẫn đến mức độ ảnh hưởng và thiệt hại không thể lường hết được.
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô
giá. Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ
đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của
doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành
mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của doanh nghiệp.
Do vậy, đảm bảo an toàn thông tin doanh nghiệp cũng có thể coi là một hoạt
động quan trọng trong sự nghiệp phát triển của doanh nghiệp.
1.2.2. Các nguy cơ mất an toàn và bảo mật trong HTTT
Nguy cơ mất an toàn thông tin về khía cạnh vật lý:
Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện,
nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng,
các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài. Đây đều là
những nguy cơ ngẫu nhiên khó dự đoán được, nhưng không phải là những nguyên
nhân chính gây mất an toàn HTTT.
Nguy cơ bị tấn công bởi các phần mềm độc hại:
Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm
nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm),
phần mềm gián điệp (Spyware),... Mục đích chính của phần mềm độc hại là ngăn
chặn hoạt động bình thường của hệ thống, lây nhiễm hệ thống, che giấu mục đích,
thu lợi,… bằng cách làm chậm hoặc gián đoạn dịch vụ của hệ thống.
Nguy cơ xâm nhập từ lỗ hổng bảo mật:

Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm
trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài
đặt trên máy tính. Hiện nay, các lỗ hổng bảo mật được phát hiện ngày càng nhiều

11


trong các hệ điều hành, các web server hay các phần mềm khác,... Và các hãng sản
xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trước.
Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu:
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản
mục người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi
mục đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật
khẩu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm
việc của mình. Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật
khẩu truy nhập. Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản
mục người dùng quản trị chính.
Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể.
Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển
và các số. Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu
trên mạng Internet như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng
này làm việc tương đối nhanh và luôn có trong tay của những kẻ tấn công.
Nguy cơ mất an toàn thông tin do sử dụng email:
Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống
như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết
bị bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ
chức cụ thể. Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là
một đồng nghiệp hoặc một đối tác nào đó. Người dùng bị tấn công bằng thư điện tử
có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus.

Rất nhiều người sử dụng email nhận ra rằng họ có thể là nạn nhân của một
cuộc tấn công email. Một tấn công email có vẻ như xuất phát từ một nguồn thân
thiện, hoặc thậm chí là tin cậy như: một công ty quen, một người thân trong gia
đình hay một đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng
một khoản mục email mới để gửi email phá hoại đến người nhận. Đôi khi một email
được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just won free
software”. Những email phá hoại có thể mang một tệp đính kèm chứa một virus,
một sâu mạng, phần mềm gián điệp hay một trojan horse. Một tệp đính kèm dạng
văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương trình hoặc

12


một tập các chỉ thị) chứa mã độc. Ngoài ra, email cũng có thể chứa một liên kết tới
một website giả.
Nguy cơ mất an toàn thông tin trong quá trình truyền tin:
Trong quá trình lưu thông và giao dịch thông tin trên mạng Internet, nguy cơ mất
an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và
thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận.
1.2.3. Các giải pháp đảm bảo an toàn và bảo mật HTTT
Bảo vệ thông tin về mặt vật lý:
Để bảo vệ an toàn thông tin của hệ thống cần có các thiết bị và biện pháp
phòng chống các nguy cơ gây mất an toàn thông tin về khía cạnh vật lý như: Thiết
bị lưu điện, lắp đặt hệ thống điều hòa nhiệt độ và độ ẩm. Luôn sẵn sàng các thiết bị
chữa cháy nổ, không đặt các hóa chất gần hệ thống. Thường xuyên sao lưu dữ liệu.
Sử dụng các chính sách vận hành hệ thống đúng quy trình an toàn và bảo mật.
Bảo vệ với nguy cơ mất thông tin:
Cung cấp những hướng dẫn, những quy tắc, và những quy trình để thiết lập
một môi trường thông tin an toàn. Các chính sách của hệ thống có tác dụng tốt nhất
khi người dùng được tham gia vào xây dựng chúng, làm cho họ biết rõ được tầm

quan trọng của an toàn. Đào tạo và cho người dùng tham gia vào uỷ ban chính sách
an toàn là 2 cách để bảo đảm rằng người dùng cảm thấy chính bản thân họ là những
nhân tố trong việc xây dựng HTTT an toàn. Một ưu điểm của việc gắn người dùng
theo cách này là nếu người dùng hiểu được bản chất của các mối đe dọa về an toàn,
họ sẽ không làm trái các nỗ lực bảo đảm an toàn. Một chính sách của một tổ chức
có thể tập trung vào một số vấn đề sau:
- Đào tạo cho người dùng về các kỹ thuật an toàn và các phần mềm phá hoại.
- Yêu cầu người dùng phải quét các thiết bị lưu trữ bằng các phần mềm quét
virus trước khi sử dụng chúng.
- Thiết lập các chính sách quy định những phương tiện nào từ bên ngoài có thể
mang được vào hệ thống và cách sử dụng chúng như thế nào.
- Thiết lập các chính sách để ngăn chặn người dùng tự cài đặt các phần mềm
riêng của họ, giảm thiểu hoặc ngăn chặn người dùng tải về các tệp và yêu cầu người
dùng phải quét virus đối với các tệp này.
- Tạo một vùng riêng để người dùng cách ly các tệp có nguồn gốc không rõ
ràng để quét chúng trước khi sử dụng.

13


- Xây dựng chính sách giới hạn quyền để kiểm soát truy cập vào hệ thống.
- Thường xuyên sao lưu tài nguyên thông tin quan trọng với hệ thống dự
phòng. Sao lưu dự phòng hệ thống là việc quan trọng để bảo vệ hệ thống do lỗi đĩa,
mất mát dữ liệu hay do phần mềm phá hoại. Nếu ta sao lưu dữ liệu mà sau đó hệ
thống bị nhiễm một mã độc phá hoại hay xoá các tệp, thì ta có thể khôi phục lại
được các tệp đó hay toàn bộ hệ thống.
Bảo vệ với nguy cơ bị tấn công bởi các phần mềm độc hại :
Phần mềm độc hại có thể xâm nhập vào máy tính của bạn theo một số cách
khác nhau. Dưới đây là một số ví dụ phổ biến:
- Tải xuống phần mềm miễn phí từ Internet bí mật chứa phần mềm độc hại.

- Tải xuống phần mềm hợp pháp bí mật có kèm theo phần mềm độc hại.
- Truy cập vào trang web bị nhiễm phần mềm độc hại.
- Nhấp vào thông báo lỗi hoặc cửa sổ bật lên giả mạo bắt đầu tải xuống phần
mềm độc hại.
- Mở tệp đính kèm email chứa phần mềm độc hại.
Có nhiều cách khác nhau để phần mềm độc hại phát tán, nhưng điều đó không
có nghĩa là bạn không có cách để ngăn chặn phần mềm độc hại. Sau đây là một số
cách để ngăn chặn phần mềm độc hại:
- Luôn cập nhật máy tính và phần mềm đang dùng: Người dùng Windows có
thể cài đặt bản cập nhật bằng cách sử dụng tính năng được gọi là "Cập nhật
Windows", trong khi người dùng các sản phẩm khác có thể cài đặt bản cập nhật
bằng cách sử dụng tính năng được gọi là "Cập nhật phần mềm". Nếu người dùng
không quen với các tính năng này thì nên tìm kiếm trang web Microsoft và trang
các hãng tương ứng để biết thêm thông tin về cách cài đặt bản cập nhật hệ thống
trên máy tính của mình. Ngoài hệ điều hành của máy tính, phần mềm máy tính cũng
phải được cập nhật với phiên bản mới nhất. Phiên bản mới hơn thường chứa bản
sửa lỗi bảo mật hơn để ngăn chặn phần mềm độc hại tấn công.
- Sử dụng tài khoản không phải là quản trị bất cứ khi nào có thể: Hầu hết các
hệ điều hành đều cho phép người dùng tạo nhiều tài khoản người dùng trên máy
tính để những người dùng khác nhau có thể có các cài đặt khác nhau. Người dùng
có thể thiết lập những tài khoản này để có các cài đặt bảo mật khác nhau.
- Hãy cân nhắc mỗi khi nhấp vào liên kết hoặc tải bất cứ thứ gì về máy: Trong
thế giới thực, hầu hết mọi người đều có thể hơi nghi ngờ khi bước vào tòa nhà có vẻ
14


khả nghi với bảng hiệu trưng bày "Máy tính miễn phí!" có đèn nhấp nháy. Trên
web, bạn cũng nên áp dụng mức độ thận trọng tương tự khi truy cập vào trang web
không quen thuộc tuyên bố cung cấp những thứ miễn phí. Tải xuống là một trong
những cách chính khiến mọi người bị nhiễm phần mềm độc hại, vì vậy, hãy nhớ suy

nghĩ thật kỹ về nội dung bạn tải xuống và nơi bạn tải xuống.
- Hãy thận trọng khi mở tệp đính kèm hoặc hình ảnh trong email: Người dùng
nên thận trọng nếu một người nào đó gửi cho mình email đáng ngờ có chứa tệp đính
kèm hoặc hình ảnh. Đôi khi, những email đó có thể chỉ là spam, nhưng đôi khi,
những email đó có thể bí mật chứa phần mềm độc hại gây hại.
- Sử dụng phần mềm diệt virus: Nếu bạn cần phải tải xuống mục gì đó, bạn
nên sử dụng chương trình diệt virus để quét phần mềm độc hại cho bản tải xuống đó
trước khi mở. Phần mềm diệt virus cũng cho phép quét phần mềm độc hại trên toàn
bộ máy tính của người dùng. Nên thường xuyên quét máy tính của mình để sớm
phát hiện phần mềm độc hại và ngăn chặn phần mềm độc hại đó phát tán. Sử dụng
các công cụ quét phần mềm phá hoại là một cách hiệu quả để bảo vệ hệ điều hành.
Mặc dù chúng có thể quét hệ thống để phát hiện virus, sâu mạng và trojan horse,
nhưng chúng thường được gọi là công cụ quét virus.
Bảo vệ với dạng tấn công lỗ hổng bảo mật:
Một số hệ điều hành mới thường có những lỗ hổng bảo mật truy nhập Internet
hoặc các lỗi làm cho hệ thống bị các xung đột không mong muốn, làm cho các lệnh
không hoạt động bình thường và nhiều vấn đề khác. Hiện nay nhiều kẻ xấu hay lợi
dụng những lỗ hổng bảo mật để tấn công vào các hệ thống để phá hoại hoặc lấy cắp
thông tin vì vậy người dùng nên thường xuyên cài đặt các bản cập nhật (updates)
bảo vệ hệ thống của mình. Việc cài đặt các bản cập nhật và các bản vá lỗi (patches)
là cách rất hiệu quả để chống lại các tấn công trên một hệ điều hành.
Bảo vệ thống tin trước nguy cơ tấn công bằng cách phá mật khẩu:
Sử dụng phương thức chứng thực tên truy cập và mật khẩu là phương pháp
được dùng phổ biến đối với các hệ thống vì vậy xây dựng một chính sách sử dụng
mật khẩu tốt sẽ đạt hiệu quả cao như: Tạo một quy tắc đặt mật khẩu riêng cho mình,
không nên dùng lại mật khẩu đã sử dụng, tránh những mật khẩu dễ đoán như ngày
sinh, tên người thân,… thường xuyên thay đổi mật khẩu đăng nhập hệ thống để

15



tránh trường hợp người dùng vô tình làm lộ mật khẩu hoặc kẻ xấu cố tình lấy cắp
mật khẩu.
Sử dụng các ký tự mật khẩu có tính an toàn cao như: Sử dụng mật khẩu có độ
dài đủ lớn (8 ký tự trở lên) và trong đó có sử dụng các ký tự chữ in, chữ thường, ký
tự đặc biệt, ký tự số,…
Bảo vệ thông tin do nguy cơ do sử dụng email:
Trong thời gian gần đây virus hoành hành và tấn công vào các email đã trở
thành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn thất nặng
nề. Để đảm bảo an toàn cho email cần có ý thức bảo vệ được máy tính bằng việc
tuân thủ các điều sau:
- Không mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ email mà không
biết rõ hoặc không tin tưởng.
- Không mở bất kỳ email nào mà mình cảm thấy nghi ngờ, thậm chí cả khi
email này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền qua
đường e-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book) trong
máy nạn nhân để tự phát tán. Do vậy, nếu không chắc chắn về một email nào thì hãy
tìm cách xác nhận lại từ phía người gửi.
- Không mở những tập tin đính kèm theo các email có tiêu đề hấp dẫn, nhạy cảm.
- Nên xóa các email không rõ hoặc không mong muốn và không forward
(chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi. Những
email này thường là thư rác (spam).
- Không sao chép vào đĩa cứng bất kỳ tập tin nào mà bạn không biết rõ hoặc
không tin tưởng về nguồn gốc xuất phát của nó.
- Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính. Dùng
một chương trình diệt virus được cập nhật thường xuyên để kiểm tra những tập tin
này. Nếu nghi ngờ về một tập tin chương trình hoặc một email thì đừng bao giờ mở
nó ra hoặc tải về máy tính của mình. Cách tốt nhất trong trường hợp này là xóa
chúng hoặc không tải về máy tính của mình.
- Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên như

Norton Anti Virus, McAffee, Trend Micro, BKAV, D32... Sử dụng những chương
trình diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường xuyên giám
sát các hoạt động trên máy tính và ở chức năng quét email.

16


Bảo vệ do mất an toàn thông tin trong quá trình lưu thông và truyền tin:
Để bảo vệ thông tin trong quá trình lưu thông và truyền tin trên mạng thường
dùng các kỹ thuật an toàn thông tin như: mã hóa, giấu tin, thủy vân số, chữ ký số,..
Bảo vệ hệ thống bằng tường lửa (Firewall):
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu
là phần cứng thì sử dụng bộ bộ định tuyến (router). Bộ định tuyến có các tính năng
bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP Address là sơ đồ địa
chỉ hoá để định nghĩa các trạm (host) trong liên mạng). Quy trình kiểm soát cho
phép định ra những địa chỉ IP có thể kết nối với mạng của tổ chức, cá nhân và
ngược lại. Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc
truy nhập không hợp pháp căn cứ trên địa chỉ nguồn.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)
và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
- Cho phép hoặc cấm những dịch vụ truy nhập vào trong (từ Internet vào
Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
1.2.4. Quy trình xây dựng hệ thống thông tin an toàn

Để có thể đảm bảo an toàn bảo mật cho HTTT, chúng ta cần xây dựng chính
sách bảo mật và cơ chế bảo mật.
Chính sách bảo mật là những tài liệu, đưa ra các mục tiêu an toàn hệ thống cần
phải được thực hiện đối với từng vấn đề chính, có vai trò quyết định sử dụng các
giải pháp an ninh hệ thống. Chính sách bảo mật có thể được biểu diễn bằng ngôn
ngữ tự nhiên hoặc ngôn ngữ toán học.
Cơ chế bảo mật là hệ thống các phương pháp, công cụ, thủ tục,… dùng để
thực thi các quy định của chính sách bảo mật. Cơ chế bảo mật thông thường là các
biện pháp kỹ thuật.

17


Sau đây là các bước xây dựng quy trình an toàn bảo mật HTTT:
Xác định nguy cơ
Xây dựng chính sách
Phân tích yêu cầu
Thiết kế
Triển khai

Vận hành, bảo trì
Hình 1.1: Các bước xây dựng quy trình an toàn bảo mật HTTT
(Nguồn: Phòng công nghệ)
Khi xây dựng quy trình an toàn bảo mật HTTT chúng ta cần lưu ý một số vấn
đề sau:
- Các giai đoạn của quy trình được thực hiện tuần tự.
- Luôn có sự phản hồi của giai đoạn sau tới giai đoạn trước.
- Sử dụng biện pháp chia để trị.
Xác định nguy cơ là:
- Xác định, phân vùng tài nguyên cần bảo vệ.

- Xác định các thành phần, luồng dữ liệu, hành vi tương tác trên tài nguyên.
- Phân tích các hoạt động diễn ra trên tài nguyên.
- Xác định các nguy cơ có thể có, phân loại và đánh giá.
- Xác định các lỗ hổng liên quan.
Xây dựng chính sách có thể mô tả ban đầu bằng ngôn ngữ tự nhiên các:
- Hành vi phải thực hiện/được phép/ không được phép.
- Chủ thể của hành vi.
- Đối tượng hành vi tác động tới.
- Điều kiện.
Phân tích yêu cầu là xác định thành phần nào của hệ thống chịu trách nhiệm
thực thi chính sách và đảm bảo việc thực thi chính sách.
Thiết kế các thành phần theo yêu cầu.
18


Quá trình triển khai cần chú ý đào tạo người dùng.
Vận hành và bảo trì cần chú ý liên tục giám sát các cơ chế đang thực thi.
1.3. Tổng quan tình hình nghiên cứu
1.3.1. Tình hình nghiên cứu trong nước
Đã có khá nhiều những công trình nghiên cứu về vấn đề an toàn bảo mật
HTTT, tuy nhiên mỗi công trình nghiên cứu lại đề cập đến một khía cạnh riêng của
hệ thống thông tin, bảo mật thông tin, thương mại điện tử (TMĐT)… Sau đây là
một số công trình nghiên cứu trong nước:
- Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại
điện tử”, Nguyễn Tuấn Anh, Khoa CNTT, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
toàn thông tin trong TMĐT như: mã hóa, chữ ký số…. Tuy nhiên, nội dung nghiên
cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ
không bao quát được toàn bộ các vấn đề về an toàn thông tin nói chung và đi sâu
vào một doanh nghiệp cụ thể.

- Đồ án tốt nghiệp “Nghiên cứu đảm bảo an toàn thông tin bằng kiểm soát
truy nhập”, Đoàn Trọng Hiệp, Khoa CNTT, Đại học dân lập Hải Phòng.
Đồ án giúp ta hiểu rõ hơn về các kĩ thuật, phương pháp và mô hình kiểm soát
truy nhập nhằm đảm bảo an toàn thông tin. Nhưng kết quả của đồ án chỉ là tìm hiểu,
nghiên cứu tài liệu để hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ
quan hay tổ chức cụ thể nào.
1.3.2. Tình hình nghiên cứu trên thế giới
Từ những năm 1980, cùng với sự phát triển của CNTT tin trên thế giới, HTTT
cũng bắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an
ninh thông tin được đặt ra. Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể
kể đến như:
- William Stallings (2005),Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh
mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng
ngày nay. Cung cấp giải pháp đơn giản hoá AES (Advanced Encryption Standard)

19


cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng,
thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code)
để xác thực, mã hoá chứng thực. Bao gồm phương pháp phòng tránh, mở rộng cập
nhật những phần mềm độc hại và những kẻ xâm hại.
- Man Young Rhee (2003), Internet Security: Cryptographic principles,
algorithms and protocols, John Wiley & Sons.
Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên
tắc, các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc phục
các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực,

tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh
Internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai
và sau đó truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể
bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet. Các tài liệu trong cuốn
sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một
cách nghiêm ngặt, kỹ lưỡng và chất lượng. Kiến thức của cuốn sách được viết để
phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên
cứu về các nguyên tắc bảo mật Internet.
Trên đây là một số tài liệu nghiên cứu về tình hình an ninh thông tin trên thế
giới. Các tài liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau
nhưng đều hướng tới mục tiêu chung là xây dựng một HTTT an toàn.

20


CHƯƠNG 2
PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ ĐẢM BẢO AN
TOÀN HTTT CHO CÔNG TY CỔ PHẦN CẢNH NƯỚC
2.1. Tổng quan về doanh nghiệp và tình hình hoạt động kinh doanh của
doanh nghiệp
2.1.1. Giới thiệu chung về doanh nghiệp
- Tên công ty: Công ty cổ phần Cảnh Nước
- Năm thành lập: 2006
- Trụ sở: Tầng 10, toà nhà Pacific Place số 83B Lý Thường Kiệt, Phường Trần
Hưng Đạo, Quận Hoàn Kiếm, Thành phố Hà Nội
- Loại hình doanh nghiệp: Công ty cổ phần
- Đại diện pháp luật: Bolling Toft Ole
- Mã số thuế: 0101098234
- Điện thoại: 0439461007
2.1.2. Quá trình thành lập

Công ty cổ phần Cảnh Nước (tên giao dịch là WATER VIEW., CORP) được
thành lập từ ngày 08/12/2006 với định hướng ngay từ ban đầu là đầu tư, kinh doanh
bất động sản. Là doanh nghiệp ra đời đúng thời điểm nền kinh tế vĩ mô gặp nhiều
khó khăn, thị trường bất động sản còn nhiều biến động, nhưng với đội ngũ nhân sự
đầy nhiệt huyết và kinh nghiệm, là những người có năng lực chuyên môn cao và
kinh nghiệm trong tổ chức điều hành doanh nghiệp nên Công ty cổ phần Cảnh
Nước đã vượt qua khó khăn, từng bước vươn lên, khẳng định và nâng cao vị thế của
mình trên thị trường bất động sản Việt Nam, khẳng định niềm tin với khách hàng và
đối tác.
Bằng nỗ lực và sự phấn đấu không ngừng, đến nay Công ty cổ phần Cảnh
Nước đã nhiều lần nâng cấp cơ sở hạ tầng và HTTT, giúp cho mọi hoạt động kinh
doanh của doanh nghiệp được thực hiện một cách nhanh chóng hơn rất nhiều, nhờ
đó mà doanh nghiệp đã thực hiện được rất nhiều dự án lớn, đem lại doanh thu và uy
tín đáng kể cho doanh nghiệp.

21


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×