Tải bản đầy đủ (.doc) (48 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

luận văn hệ thống thông tin kinh tế một số giải pháp bảo mật thông tin cho HTTT của công ty TNHH kosca development việt nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.13 MB, 48 trang )

LỜI CẢM ƠN
Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, em
đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý thầy cô, gia đình và bạn bè. Với
lòng biết ơn sâu sắc nhất, em xin gửi đến quý thầy cô ở Khoa Hệ Thống Thông
Tin Kinh Tế và Thương Mại Điện Tử trường Đại Học Thương Mại lời cảm ơn
chân thành nhất. Đặc biệt, em xin gửi lời cảm ơn chân thành và sự tri ân sâu sắc
đối với cô Ths.HànMinh Phương đã nhiệt tình hướng dẫn em hoàn thành bài khóa
luận tốt nghiệp.
Trong suốt quá trình làm bài khóa luận tốt nghiệp, khó tránh khỏi sai sót, rất
mong các thầy, cô bỏ qua. Đồng thời do trình độ lý luận cũng như kinh nghiệm thực
tiễn còn hạn chế nên bài báo cáo không thể tránh khỏi những thiếu sót, em rất mong
nhận được ý kiến đóng góp thầy, cô để bài khóa luận tốt nghiệp được hoàn thiện
hơn cũng như em có thể nâng cao kiến thức.
Em xin chân thành cảm ơn!

i


MỤC LỤC

LỜI CẢM ƠN...........................................................................................................i
MỤC LỤC................................................................................................................ ii
DANH MỤC TỪ VIẾT TẮT.................................................................................iv
DANH MỤC SƠ ĐỒ HÌNH VẼ..............................................................................v
PHẦN 1: MỞ ĐẦU..................................................................................................1
1. Lý do lựa chọn đề tài nghiên cứu.......................................................................1
2. Mục tiêu và nhiệm vụ nghiên cứu......................................................................1
3. Phạm vi nghiên cứu và đối tượng nghiên cứu...................................................2
4. Phương pháp nghiên cứu....................................................................................2
5. Nội dung khóa luận tốt nghiệp...........................................................................4
CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU.........................5


1.1. Những khái niệm cơ bản................................................................................5
1.1.1. Khái niệm chung............................................................................................5
1.1.2. Khái niệm một số biện pháp, công nghệ an toàn bảo mật thông tin............6
1.2. Một số cơ sở lý luận........................................................................................8
1.2.1.Các nguy cơ và hình thức tấn công trong hệ thống
thông tin của doanh nghiệp....................................................................8
1.2.2. Quy trình đảm bảo an toàn thông tin cho hệ thống thông tin....................11
1.2.3. Một số biện pháp, công nghệ an toàn bảo mật thông tin............................13
1.3. Tổng quan tình hình nghiên cứu..................................................................15
1.3.1. Tình hình nghiên cứu trong nước..............................................................15
1.3.2. Tình hình nghiên cứu trên thế giới.............................................................15
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO
MẬT THÔNG TIN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TNHH
KOSCA DEVELOPMENT VIỆT NAM..............................................................16
2.1. Tổng quan về công ty......................................................................................16
2.1.1. Giới thiệu về công ty.....................................................................................16
2.1.2. Cơ cấu tổ chức của công ty..........................................................................17
2.1.3. Khái quát hoạt động kinh doanh của công ty..............................................17
2.1.4. Lĩnh vực hoạt động kinh doanh của doanh nghiệp.....................................18
ii


2.2. Phân tích, đánh giá thực trạng an toàn bảo mật thông tin cho hệ thống
thông tin của công ty TNHH Kosca Development Việt Nam..............................18
2.2.1. Phân tích thực trạng an toàn bảo mật thông tin cho hệ thống thông tin của
công ty TNHH Kosca Development Việt Nam.......................................................18
2.2.2. Đánh giá thực trạng an toàn bảo mật thông tin cho hệ thống thông tin của
công ty TNHH Kosca Development Việt Nam.......................................................26
CHƯƠNG 3: KẾT LUẬN VÀ ĐƯA RA GIẢI PHÁP NÂNG CAO HIỆU QUẢ
AN TOÀN BẢO MẬT THÔNG TIN CHO HỆ THỐNG THÔNG TIN CỦA

CÔNG TY TNHH KOSCA DEVELOPMENT VIỆT NAM...............................29
3.1. Định hướng phát triển của công ty................................................................29
3.2. Các đề xuất với công ty về các giải pháp phát triển an toàn bảo mật thông tin
cho hệ thống thông tin của công ty TNHH Kosca Development Việt Nam............29
3.3.1. Nâng cấp hệ thống máy tính trong công ty..................................................29
3.3.2. Cài đặt phần mềm chống virut cho các máy chủ, máy trạm........................30
3.3.3. Cài đặt giải pháp tường lửa cho hệ thống...................................................30
3.3.4. Sử dụng phần mềm có bản quyền................................................................36
3.3.5. Giải pháp nguồn nhân lực...........................................................................36
KẾT LUẬN............................................................................................................38
TÀI LIỆU THAM KHẢO
PHỤ LỤC

iii


DANH MỤC TỪ VIẾT TẮT

STT
Từ viết tắt
1
ATTT
2
BKAV

Tên đầy đủ
An toàn thông tin
Bách Khoa Antivirut

Diễn giải

Là một phần mềm diệt virut
thuộc sở hữu trường Đại học
Bách Khoa Hà Nội

3
4
5
6
7
8
9

CNTT
CSDL
HTTT
LAN
RAM

Công nghệ thông tin
Cơ sở dữ liệu
Hệ thống thông tin
Local Area Network
Random Acess

Mạng máy tính cục bộ
Bộ nhớ trong của máy tính

TNHH
WAN


Memory
Trách nhiệm hữu hạn
Wide Area Network

Mạng diện rộng

iv


DANH MỤC SƠ ĐỒ HÌNH VẼ

Sơ đồ 1.1: Cơ cấu tổ chức của doanh nghiệp...........................................................17
Bảng 1.1. Tình hình hoạt động của doanh nghiệp hai năm gần đây (Nguồn: Báo cáo
tài chính công ty năm 2014,2015)...........................................................................17
Bảng 2.1. Thiết bị phần cứng (Nguồn: Thống kê phiếu điều tra).............................18
Bảng 2.1: Nguồn gốc của phần mềm.......................................................................21
Bảng 2.2. Mức độ xảy ra việc mất an toàn thông tin trong doanh nghiệp................22
Bảng 2.3. Tầm quan trọng của công tác bảo mật thông tin đối với công ty.............24
Bảng 2.4: Giải pháp cần làm đầu tiên để tiến hành an toàn thông tin......................24
Bảng 2.5: Thách thức lớn nhất về vấn đề an toàn bảo mật thông tin trong doanh
nghiệp...................................................................................................................... 25
Bảng 2.6: Đánh giá mức độ an toàn của hệ thống...................................................26
Biểu đồ 2.1: Nguồn gốc của phần mềm cài đặt trên máy tính ................................21
Biểu đồ 2.2. Biểu đồ hình thức tấn công mà tổ chức gặp phải.................................23
Biểu đồ 2.3. Tầm quan trọng của công tác bảo mật đối với công ty........................23
Biểu đồ 2.4. Giải pháp cần làm đầu tiên trong quá trình đảm bảo HTTT................25
Biểu đồ 2.5:Thách thức lớn nhất về vấn đề an toàn bảo mật thông tin trong doanh
nghiệp...................................................................................................................... 25

v



PHẦN 1: MỞ ĐẦU
1. Lý do lựa chọn đề tài nghiên cứu
An toàn và bảo mật thông tin là vấn đề quan trọng trong mọi cơ quan, tổ chức.
Thông tin được xem là tài sản vô giá đối với mỗi doanh nghiệp, thế nhưng rất nhiều
doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề bảo mật thông
tin và những nguy cơ có thể xảy ra từ việc rò rỉ thông tin ngay trong doanh nghiệp
của mình. Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng
của thông tin. Ngày nay việc thu thập, xử lý thông tin khá dễ dàng và nhanh chóng.
Song song với sự phát triển này là sự phát triển của các loại hình đánh cắp thông
tin, xâm nhập hệ thống thông tin trái phép bao gồm cả bên trong và bên ngoài doanh
nghiệp. Việc thông tin bị rò rỉ sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh
nghiệp đối với khách hàng và đối tác. Điều đó càng cho thấy tầm quan trọng và cần
thiết trong vấn đề bảo mật thông tin, nhiệm vụ này không chỉ là vấn đề của riêng bộ
phận kỹ thuật mà là trách nhiệm của tất cả mọi người. Đó là thác thức lớn đối với
doanh nghiệp trước những đòi hỏi gắt gao của môi trường kinh doanh buộc doanh
nghiệp phải chia sẻ nhiều thông tin của mình qua hệ thống mạng. Vấn đề đặt ra là để
bảo vệ thông tin khỏi những mối nguy hiểm trên, doanh nghiệp lựa chọn các biện pháp
bảo vệ nào để bảo vệ thông tin của mình trước nhiều hình thức bảo mật thông tin hiện
nay. Đối với công ty TNHH Kosca Development Việt Nam theo tìm hiểu em biết được
công ty đã từng xảy ra vấn đề mất an toàn thông tin dù đã khắc phục được nhưng
không có gì đảm bảo trong tương lai sẽ không xảy ra vấn đề đó nữa. Trong đề tài này
em muốn giúp doanh nghiệp đưa ra một số giải pháp bảo mật thông tin phù hợp nhằm
khắc phục thực trạng của vấn đề tại công ty.
Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến
thức em học được trên nhà trường em xin đưa ra đề tài: “Một số giải pháp bảo mật
thông tin cho HTTT của Công ty TNHH Kosca Development Việt Nam”.
2. Mục tiêu và nhiệm vụ nghiên cứu
Mục tiêu nghiên cứu:

Nghiên cứu tổng quan về an toàn bảo mật thông tin: phân tích, tổng hợp khái
niệm an toàn bảo mật, vai trò, các giải pháp an toàn bảo mật thông tin hiện nay. Tìm
hiểu các giải pháp an toàn bảo mật thông tin hiện nay và thực trạng an toàn bảo mật
của công ty để đưa ra giải pháp phù hợp đảm bảo an toàn thông tin cho hệ thống
thông tin của công ty TNHH Kosca Development Việt Nam.
Nhiệm vụ nghiên cứu:
+ Đánh giá được thực trạng an toàn bảo mật thông tin của công ty.
1


+ Tìm hiểu các hình thức đảm bảo an toàn thông tin hiện nay.
+ Lựa chọn giải pháp phù hợp để áp dụng cho công ty.
+ Đưa ra thuận lợi cũng như khó khăn khi triển khai giải pháp này.
3. Phạm vi nghiên cứu và đối tượng nghiên cứu
Phạm vi về thời gian: Số liệu thu thập từ năm 2014 đến năm 2016.
Phạm vi về không gian: Các phòng ban trong công ty: phòng phát triển dự án,
phòng quản lý hợp đồng, phòng tổ chức thi công, phòng kế toán, phòng quản lý nhân sự.
Đối tượng nghiên cứu:
+ Các phần cứng và phần mềm được sử dụng tại công ty.
+ Cơ sở dữ liệu và lưu trữ tại các máy chủ, máy trạm của công ty.
+ Nhân viên và quản lý, yếu tố liên quan đến bảo mật, con người trong công ty.
Từ đó đưa ra giải pháp bảo mật thông tin cho hệ thống thông tin của công ty
TNHH Kosca Development Việt Nam.
4. Phương pháp nghiên cứu
Phương pháp thu thập dữ liệu
Để có được những thông tin về tình hình an toàn bảo mật trong công ty, em đã
sử dụng các phương pháp:
4.1. Phương pháp phỏng vấn
Phỏng vấn ban lãnh đạo của công ty, và nhân viên của các phòng ban trong
công ty (phòng phát triển dự án, phòng quản lý hợp đồng, phòng tổ chức thi công,

phòng kế toán, phòng quản lý nhân sự) về vấn đề: Công ty hay gặp sự cố gì về vấn
đề bảo mật thông tin?, công ty đã có biện pháp bảo vệ nào để bảo vệ thông tin trong
doanh nghiệp?...
Cách thức tến hành: Hẹn trước và đến công ty để gặp mặt, chuẩn bị các câu
hỏi phỏng vấn với các đối tượng, phỏng vấn trực tiếp cá nhân của các phòng ban,
ghi chép lại thông tin theo hệ thống câu hỏi có sẵn.
Thuận lợi
+ Tính linh hoạt cao: Phỏng vấn trực tiếp có tính linh hoạt cao hơn so với các
phương pháp khác do người phỏng vấn có thể thay đổi cách hỏi, hoặc giải thích
thêm nếu người được phỏng vấn không hiểu rõ câu hỏi. Người phỏng vấn có thể thu
được nhiều thông tin hơn ngoài bảng câu hỏi chuẩn bị sẵn.
+ Tính chính xác: Khi phỏng vấn trực tiếp tỉ lệ người trả lới cao và thông tin
thu được khá chính xác.
+ Tính thuận lợi: Thông tin được trao đổi qua lại một cách trực tiếp nên dễ
xử lý, và người phỏng vấn cũng có thể thăm dò đối tượng khi thấy thông tin chưa
đủ tin cậy.
+ Thông tin sẽ thu được ở nhiều mặt.
Khó khăn
+ Tốn thời gian nhiều.
2


+ Thông tin không mang được tính khách quan vì phụ thuộc vào ý kiến chủ
quan của người trả lời.
+ Chi phí thực hiện cao.
+ Khó khăn trong việc gặp ban lãnh đạo.
+ Không được hỏi những câu hỏi mang tính chất riêng tư.
4.2. Phương pháp tổng hợp số liệu
Thuận lợi
Do thời gian thực tập tại công ty cũng là thời gian mà công ty hoàn thành

xong các báo cáo tài chính nên việc xin số liệu không mấy khó khăn.
Khó khăn
+ Tốn nhiều thời gian để thu thập.
+ Nhiều tài liệu nội bộ của công ty có tính bảo mật nên khó trong việc tiếp cận.
4.3. Phương pháp nghiên cứu tài liệu
Đối tượng của phương pháp này là tài liệu liên quan, các sách báo tạp chí,
nghiên cứu khoa học cũng như các luận văn của anh, chị đi trước có đề tài liên quan
tới giải pháp đảm bảo an toàn thông tin trong doanh nghiệp...để có thêm thông tin
giúp bài khó luận được chính xác và phong phú.
Thuận lợi
+ Nguồn tài liệu phong phú, dễ dàng tiếp cận như internet, tạp chí.
+ Chi phí thực hiện thấp.
Khó khăn
+ Có quá nhiều tài liệu từ nhiều nguồn khác nhau nên việc lựa chọn nguồn tài
liệu chất lượng phù hợp với mục đích khá khó khăn.
+ Tốn nhiều thời gian.

3


5. Nội dung khóa luận tốt nghiệp
Kết cấu khóa luận
Phần 1. Phần mở đầu
Phần 2. Phần nội dung
Gồm có 3 chương
Chương 1: Cơ sở lý luận của vấn đề nghiên cứu.
Chương 2: Phân tích, đánh giá thực trạng an toàn bảo mật thông tin cho hệ
thống thông tin của công ty TNHH Kosca Development Việt Nam.
Chương 3: Kết luận và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật
thông tin cho hệ thống thông tin của công ty TNHH Kosca Development Việt Nam.


4


CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU
1.1. Những khái niệm cơ bản
1.1.1. Khái niệm chung
An toàn thông tin: Thông tin được coi là an toàn khi thông tin đó không bị làm
hỏng hóc, không bị sửa đổi thay đổi, sao chép hoặc xóa bỏ bởi người không được
phép (Bài giảng môn: An toàn và bảo mật Thông tin doanh nghiệp , Đại học
Thương Mại).
Bảo mật thông tin: Là ngăn chặn các truy cập không được phép, hạn chế tối đa
các sai sót của người dùng, đảm báo các thông tin không bị mất hoặc bị thay đổi
ngoài ý muốn, không tiết lộ nội dung dữ liệu, chương trình xử lý (Giáo trình mạng
máy tính, 2008, NXB Thông tin và Truyền thông).
Hệ thống thông tin: Là một tập hợp và kết hợp của các phần cứng, phần mềm
và các hệ thống mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo và
phân phối, chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của
tổ chức (Giáo trình mạng máy tính ,2008, NXB Thông tin và Truyền thông).
Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên
nó phải đảm bảo được ba đặc trưng sau:
+ Tính bí mật của thông tin
+ Tính toàn vẹn của thông tin
+ Tính sẵn sàng của thông tin
Ba đặc trưng có mối liên hệ mật thiết với nhau được xem như là mô hình tiêu
chuẩn của các hệ thống thông tin bảo mật hay nói cách khác đây là ba thành phần
cốt yếu của hệ thống thông tin bảo mật.
 Tính bí mật của thông tin
Là thông tin chỉ được phép truy cập bởi những đối tượng (người, chương trình
máy tính...) được cấp phép.

Một số cách thức để đảm bảo tính bí mật của thông tin:
+ Khóa kín và niêm phong thiết bị.
+ Sử dụng mật khẩu hay đặc điểm về sinh trắc để xác thực.
+ Sử dụng firewall để ngăn chặn truy cập trái phép.
+ Mã hóa thông tin sử dụng.
 Tính toàn vẹn của thông tin
Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa, hoặc
sửa đổi bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn
chính xác khi được lưu trữ hay truyền đi.
Một số trường hợp tính toàn vẹn của thông tin bị phá vỡ :
+ Thay đổi giao diện trang chủ của một website.
+ Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu dẫn đến thông tin bị sai lệch.
5


 Tính sẵn sàng của thông tin
Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải
luôn luôn sẵn sàng khi cần thiết. Điều đó có nghĩa rằng hệ thống tính toán sử dụng
để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ
nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác. Hệ thống
có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi
ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng
cấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối
dịch vụ.
1.1.2. Khái niệm một số biện pháp, công nghệ an toàn bảo mật thông tin
1.1.2.1. Khái niệm về phân quyền người dùng trong an toàn bảo mật thông tin
Người dùng là những người được quyền đăng nhập và sử dụng tài nguyên của
hệ thống dữ liệu trong phạm vi quyền hạn của mình.
Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền

hạn, cách thức thao tác đối với hệ thống dữ liệu theo những yêu cầu khác nhau.
Tùy theo vai trò khác nhau của người dùng mà họ được cấp quyền khác nhau để
khai thác cơ sở dữ liệu.
Bảng phân quyền truy cập cũng là dữ liệu của cơ sở dữ liệu, được tổ chức và
xây dựng như những dữ liệu khác. Điểm khác biệt duy nhất là nó được quản lý chặt
chẽ, không giới thiệu công khai và chỉ có những người quản trị hệ thống mới có thể
truy cập, bổ sung, sửa.
1.1.2.2. Khái niệm về xác thực
Quá trình xác thực bao gồm việc tiếp nhận thông tin xác thực từ phía thực thể
rồi phân tích thông tin và dữ liệu lưu trữ để xác minh xem thực sự thông tin đó có
liên kết với thực thể.
1.1.2.3. Khái niệm về mã hóa thông tin
Là việc sử dụng các kỹ thuật thích hợp để biến đổi một bản thông điệp có ý
nghĩa thành một dãy mã ngẫu nhiên để liên lạc với nhau giữa người gửi và người
nhận mà người ngoài cuộc có thể có được sự hiện hữu của dãy mã ngẫu nhiên đó
nhưng khó có thể chuyển thành bản thông điệp ban đầu nếu không có “khóa” để
giải mã của thông điệp.
Là quá trình chuyển đổi thông tin có thể đọc được (gọi là bản rõ) thành thông
tin khó thể đọc được theo cách thông thường (gọi là bản mã).
Mã hóa là phương pháp để biến thông tin (phim ảnh, văn bản, hình ảnh...) từ
định dạng bình thường sang dạng thông tin không thể hiểu được nếu không có
phương tiện giải mã.
1.1.2.4. Khái niệm về tường lửa
6


Tường lửa là đặt cầu hình mạng sao cho tất cả các thông tin vào ra mạng đều
phải đi qua một máy được chỉ định.
Tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức, doanh
nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không

mong muốn từ ngoài vào hệ thống mạng nội bộ cũng như ngăn chặn các thông tin
bảo mật nằm trong mạng nội bộ xuất ra ngoài internet mà không được cho phép.
Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong
một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính
sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các
bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là thiết bị bảo vệ
biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO,
hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên
bản Unix của Đại học California, Berkeley.
1.1.2.5. Khái niệm về phần mềm mã độc, virut
"Phần mềm độc hại" là bất kỳ loại phần mềm nào được thiết kế để gây hại
máy tính. Phần mềm độc hại có thể lấy cắp thông tin nhạy cảm từ máy tính, làm
chậm máy tính hay thậm chí gửi email giả mạo từ tài khoản email của người dùng
mà người dùng không biết. Dưới đây là một số loại phần mềm độc hại phổ biến.
- Vi rút: Là một chương trình có thể có các khả năng:
+ Tự nhân lên sau một thời gian.
+ Tự kích hoạt tại một thời điểm.
+ Tự phá hủy một số định dạng file.
+ Tự di chuyển đến các thư mục và máy tính khác theo thông điệp gửi.
- Sâu máy tính: Một chương trình máy tính độc hại gửi bản sao của chính nó
đến các máy tính khác thông qua mạng.
- Phần mềm gián điệp: Phần mềm độc hại thu thập thông tin từ mọi người mà
họ không biết.
- Phần mềm quảng cáo: Phần mềm tự động phát, hiển thị hoặc tải xuống
quảng cáo trên máy tính.
- Ngựa Trojan: Một chương trình phá hoại giả vờ là một ứng dụng hữu ích
nhưng gây hại máy tính hoặc đánh cắp thông tin của bạn sau khi được cài đặt.
Không có khả năng tự nhân bản.
1.1.2.6. Khái niệm về công nghệ mạng riêng VPN ảo
Mạng riêng ảo VPN là một môi trường thông tin ở đó việc truy nhập được

kiểm soát và chỉ cho phép thực hiện kết nối thuộc phạm vi đã được xác định trước.
VPN được xây dựng thông qua việc chia sẻ các phương tiện, môi trường truyền
7


thông chung. Việc cung cấp các dịch vụ cho mạng riêng được thực hiện thông qua
các phương tiện, môi trường này.
1.2. Một số cơ sở lý luận
1.2.1. Các nguy cơ và hình thức tấn công trong hệ thống thông tin của
doanh nghiệp
1.2.1.1. Các nguy cơ mất an toàn thông tin trong hệ thống thông tin
Có thể chia nguy cơ mất an toàn thông tin làm 2 loại:
Nguy cơ ngẫu nhiên
Nguy cơ mất an toàn thông tin ngẫu nhiên có thể xuất phát từ các hiện tượng
khách quan như thiên tai (lũ lụt, sóng thần, động đất...), hỏng vật lý, mất điện...Đây
là những nguyên nhân khách quan khó dự đoán trước, khó tránh được nhưng đó
không phải là nguy cơ chính của việc mất an toàn thông tin.
Nguy cơ chủ định
- Nguy cơ từ bên trong
+ Nguy cơ do yếu tố kỹ thuật (thiết bị mạng, máy chủ, hệ thống thông tin...).
+ Nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành.
+ Nguy cơ trong quy trình, chính sách an ninh bảo mật ...
+ Nguy cơ do yếu tố con người: vân hành, đạo dức nghề nghiệp.
Theo EMC thống kê 11/2013 hơn 71% các tổ chức cho phép nhân viên dùng
thiết bị di động khi làm việc. Trên thế giới có hơn 2 tỷ chiếc smartphone đang hoạt
động. Trong đó có 68,8% dùng Android, 18,8% dùng Apple, 4,5% dùng RIM, và
5,8% dùng OS khác, trong khi đó Malware tấn công vào OS thì có đến 79% tấn
công vào Android, 19% vào Symbian và 2% vào các OS khác.
- Nguy cơ từ môi trường bên ngoài
Nguy cơ từ hạ tầng năng lượng, truyền thông, thảm họa từ thiên nhiên hoặc

con người.
Các doanh nghiệp càn lớn càng là mục tiêu của nhiều đối tượng tấn công từ
trong nước và quốc tế.
1.2.1.2. Các hình thức tấn công trong hệ thống thông tin của doanh nghiệp
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn
công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu
trái phép. Vi phạm tính toàn vẹn, tính sẵn sàng của dữ liệu.
 Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên
đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến
đích. Tấn công thụ động rất khó phát hiện và rất khó phòng tránh nên rất nguy hiểm.
Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp
phòng tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được
lưu lại để sử dụng sau. Loại tấn công này có hai dạng đó là tấn công trực tuyến và
8


tấn công ngoại tuyến. Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ
phạm truy cập trực tiếp tài sản nạn nhân. Tấn công thụ động hay gặp trong các môi
trường truyền thông, quảng bá.
- Phương thức thực hiện của tấn công thụ động
+ Bằng các thiết bị phần cứng: Các thiết bị bắt sóng wifi để tóm những gói tin
được truyền trong vùng phủ sóng.
+ Các chương trình phần mềm: Chương trình packet sniff nhằm bắt các gói tin
được truyền qua lại trong mạng LAN.
- Các kiểu tấn công thụ động
+ Nghe trộm đường truyền: Kẻ nghe lén sẽ bằng một cách nào đó xen ngang
được quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra
được những thông tin quan trọng.
+ Phân tích lưu lượng: Dựa vào sự thay đổi của lưu lượng của luồng thông tin

truyền trên mạng nhằm xác định được một số thông tin có ích. Rất hay dùng trong
do thám. Sử dụng khi dữ liệu đã bị mã hóa mà không giải mã được.
 Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm
sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng
chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn
công chủ động tuy nguy hiểm nhưng lại dễ phát hiện. Tấn công chủ động là loại tấn
công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động
khá tốn kém và yêu cầu trình độ kỹ thuật cao.
- Các loại hình tấn công chủ động
+ Giả mạo người gửi: Các thông báo giả mạo để lấy user và pass để xâm nhập
vào máy chủ của hệ thống nhằm phá hủy dữ liệu.
+ Thay đổi nội dung thông điệp: Chặn thông điệp trên đường truyền, thay đổi
nội dung và tiếp tục gửi cho người nhận.
+ Tấn công lặp lại: Kẻ tấn công bắt và lưu thông điệp lại một thời gian, đến
một thời điểm thích hợp gửi lại cho bên nhận và bên nhận khó phát hiện.
+ Tấn công từ chối dịch vụ (Dos – Denial of Service) là tên gọi chung của kiểu
tấn công làm cho một hệ thống nào đó bị quá tải dẫn đến không thể cung cấp dịch
vụ hoặc phải ngưng hoạt động. Dos lợi dụng sự yếu kém trong mô hình bắt tay 3
bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị
quá tải dẫn đến không thể phục vụ các kết nối khác.
+ Phishing: Một loại tấn công phi kỹ thuật. Đánh cắp các thông tin nhạy cảm
bằng cách giả mạo người gửi.
Phishing là một cách thức mà kẻ xấu sử dụng để lừa lấy những thông tin cá
nhân như mật khẩu hay tài khoản ngân hàng.
9


+ Tấn công bằng virut, trojan, sâu máy tính.
Tấn công HTTT trên thực tế thường là sử dụng virut, trojan để ăn cắp
thông tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kĩ

thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các
chương trình ứng dụng.
1.2.2. Quy trình đảm bảo an toàn thông tin cho hệ thống thông tin
Để đảm bảo an toàn thông tin cho hệ thống thông tin thì doanh nghiệp cần
thực hiện các bước:
Bước 1: Thành lập bộ phận chuyên trách về vấn đề bảo mật
Bất kỳ kế hoạch bảo mật nào cũng cần sự hỗ trợ trên nhiều phương diện khác
nhau, nếu nó muốn thành công. Một trong những phương thức tốt nhất để có thể
được sự hỗ trợ là nên thiết lập một bộ phận chuyên trách về vấn đề bảo mật. Bộ
phận này sẽ chịu trách nhiệm trước công ty về các công việc bảo mật.
Mục đích trước tiên của bộ phận này là gây dựng uy tín với khách hàng. Hoạt
động của bộ phận này sẽ khiến cho khách hàng cảm thấy yên tâm hơn khi làm việc
hoặc sử dụng các dịch vụ của công ty.
Bộ phận này có trách nhiệm thường xuyên cung cấp các lưu ý, cảnh báo liên
quan đến an toàn bảo mật thông tin nhằm tránh các rủi ro đáng tiếc cho khách hàng
và công ty.
Bộ phận này còn có trách nhiệm tìm hiểu, đưa ra giải pháp, cơ chế bảo mật
cho toàn công ty. Sẽ là hiệu quả và xác thực hơn khi công việc này được thực hiện
bởi chính đội ngũ trong công ty thay vì đi thuê một công ty bảo mật khác thực hiện.
Cuối cùng, một bộ phận chuyên trách về vấn đề bảo mật có thể thay đổi cách
làm, cách thực hiện công việc kinh doanh của công ty để tăng tính bảo mật trong
khi cũng cải tiến được sức sản xuất, chất lượng, hiệu quả và tạo ra sức cạnh tranh
của công ty.
Bước 2: Thu thập thông tin
Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, doanh nghiệp phải
lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị và hệ
thống đi kèm trong việc thực hiện bảo mật mà còn phải kế đến cả các tiến trình xử
lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này
rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty.
Tiến trình:


10


+ Bắt đầu với những vấn đề có thể dẫn tới độ rủi ro cao nhất trong hệ thống
mạng, internet.
+ Sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng.
+ Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài
vào. Đây chính là điểm mấu chốt trong việc đánh giá hệ thống. Cơ chế bảo mật bên
trong cũng giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn
bộ công việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ
liệu tương phản với những gì được mô tả, hay sự tương thích với những chuẩn đã
tồn tại được thẩm định.
Cơ chế bảo mật bên trong cung cấp thông tin một cách chi tiết tương tự như
việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm cả việc phá mã
mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về chính
sách trong tương lai.
Bước 3: Thẩm định rủi ro của hệ thống
- Sử dụng công thức:
Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin
Tính rủi ro bằng với giá trị thông tin trong trong câu hỏi (giá trị đồng tiền, giá
trị thời gian máy, giá trị mất mát khách hàng), thời gian của quy mô lỗ hổng, thời
gian về khả năng xuất hiện mất thông tin.
- Trả lời một số câu hỏi như:
Doanh nghiệp phải thẩm định được độ rủi ro của hệ thống, lường trước được
mọi tình huống có thể xảy ra để luôn chủ động trong vấn đề bảo đảm an toàn thông
tin cho hệ thống.
Bước 4: Xây dựng giải pháp
Trên thực tế không tồn tại giải pháp an toàn, bảo mật thông tin cho các tổ
chức. Không có một tài liệu nào có thể lượng hết được mọi lỗ hổng trong hệ thống

và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách
tốt nhẫt vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật
đa năng.
Bước 5: Thực hiện và giáo dục
Ban đầu, sự hỗ trợ cần thiết sẽ được đúc rút lại và lên kế hoạch hoàn chỉnh cho dự
án bảo mật. Đây chính là bước đi quan trọng mang tính chiến lược của mỗi công ty về
vấn đề bảo mật. Các chi tiết kỹ thuật của bất kỳ sự mô tả nào cũng sẽ thay đổi theo môi
11


trường, công nghệ, và các kỹ năng liên quan, ngoài ra có một phần không nằm trong
việc thực thi bảo mật nhưng chúng ta không được coi nhẹ, đó chính là sự giáo dục.
Để đảm bảo sự thành công bảo mật ngay từ lúc đầu, người sử dụng phải có
được sự giáo dục cần thiết về chính sách, gồm có:
 Kỹ năng về các hệ thống bảo mật mới, các thủ tục mới.
 Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng của công ty.
 Hiểu các thủ tục bắt buộc mới, chính sách bảo mật công ty.
Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản, mà đòi
hỏi họ phải biết như tại sao và cái gì họ đang làm là cần thiết với chính sách của
công ty.
Bước 6: Tiếp tục kiểm tra, phân tích và thực hiện
Hầu hết những gì mong đợi của một hệ thống bảo mật bất kỳ là chạy ổn định,
điều khiển được hệ thống và nắm bắt được các luồng dữ liệu của hệ thống. Quá
trình phân tích, tổng hợp các thông tin, sự kiện từ firewall, IDSs, VPN, router,
server, và các ứng dụng là cách duy nhất để kiểm tra hiệu quả của một hệ thống bảo
mật, và cũng là cách duy nhất để kiểm tra hầu hết sự vi phạm về chính sách cũng
như các lỗi thông thường mắc phải với hệ thống.
1.2.3. Một số biện pháp, công nghệ an toàn bảo mật thông tin
 Công nghệ bảo mật đường truyền
Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc

nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hóa
máy tính thuộc về một trong hai loại sau:
+ Mã hóa sử dụng khóa riêng
+ Mã hóa sử dụng khóa công khai
 Sử dụng phần mềm diệt virut
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virut có khả năng nhận
biết nhiều loại virut máy tính và liên tục cập nhật dữ liệu để phầm mềm đó luôn
nhận biết được các virut mới.
 Firewall
Đây là lớp an ninh chủ lực chuyên dùng để chống lại các cuộc tấn công từ môi
trường bên ngoài như hacker, virus, spam….bảo vệ hệ thống giảm thiểu tối đa các
ảnh hưởng xấu từ bên ngoài. Khi được kết nối với môi trường bên ngoài. Trong
thực tế nguy cơ xâm nhập vào hệ thống nội bộ của doanh nghiệp từ các đối tượng
ngoại vi (như hacker, virus…), thông tin cung cấp tới người dùng/khách hàng phải
được toàn vẹn và các người dùng được phép từ bên ngoài dễ dàng truy cập được.
12


Phân hệ tường lửa nội bộ (internal firewall) đóng vai trò hết sức quan trọng là
chốt chặn bảo mật cuối cùng bảo vệ toàn bộ hệ thống dữ liệu của doanh nghiệp.
Phân hệ này đồng thời là cửa ngõ kiểm soát trước khi đi vào khu vực nhạy cảm nhất
trong hệ thống, là khu vực các máy chủ trung tâm. Điểm đặc biệt tại đây là ngoài
việc ngăn chặn các tấn công từ môi trường bên ngoài xâm nhập vào hệ thống, các
thiết bị tường lửa còn phải phân tích các truy cập từ cả trong mạng LAN, lọc và
ngăn chặn được những tấn công xuất phát từ trong nội bộ. Hơn nữa do tầm quan
trọng như vậy, các thiết bị tường lửa tại phân hệ này phải là loại có công suất xử lý
cao và đặc biệt là có khả năng hoạt động như là thiết bị ngăn chặn xâm nhập IPS
(Intrusion Prevention System).
 Ưu điểm của tường lửa
+ Bảo vệ hệ thống khỏi các dịch vụ không cần thiết trên mạng internet.

+ Giảm bớt nguy cơ xâm nhập trái phép từ bên ngoài vào hệ thống.
+ Hạn chế sự truy cập của những người bên trong hệ thống vào các trang web
ở bên ngoài.
+ Điều khiển việc truy cập vào các tài nguyên trong hệ thống.
+ Tạo ra cơ chế bảo mật tập trung.
+ Thống kê lại lưu lượng các giao dịch ra bên ngoài và kiểm soát các giao
dịch này.
+ Tạo ra các chính sách bảo mật đối với toàn bộ hệ thống mạng và yêu cầu
mọi người phải tuân theo.
+ Bảo vệ mạng nội bộ khỏi bị xâm nhập từ bên ngoài bằng cách mang lại cho
mạng hai định danh: một cho nội bộ, một cho bên ngoài.
 Sao lưu dữ liệu
Để bảo vệ sự toàn vẹn dữ liệu hay các thông tin quan trọng thì chúng ta nên có
những biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổi
thông tin. Sao lưu dữ liệu theo chu kỳ là tạo các dữ liệu phục hồi cho toàn bộ hệ
thống . Thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết
bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...) hình thức này có thể
thực hiện theo chu kỳ hàng tuần hoặc khác hơn tùy theo mức độ cập nhật, thay đổi
của dữ liệu của bạn.

13


1.3. Tổng quan tình hình nghiên cứu
1.3.1. Tình hình nghiên cứu trong nước
Vấn đề mất an toàn thông tin đang là mối e ngại lớn đối với Việt Nam. Vào
ngày 17-18/10/2014 thì không chỉ bị cướp tên miền, hack và xóa nội dung của nhiều
website do VCCorp đầu tư hoặc quản lý hạ tầng kỹ thuật. Trong một vài năm trở lại
đây thì tình hình nghiên cứu về vấn đề an toàn bảo mật thông tin cho các doanh
nghiệp, tổ chức trong nước diễn ra khá nhiều như một số công trình:

- Luận văn về an toàn, bảo mật thông tin: “ Giải pháp nhằm nâng cao bảo mật
HTTT quản trị tại công ty cổ phần công nghệ cao” của sinh viên Nguyễn Hữu Dũng –
Khoa Thương mại điện tử - Đại học Thương Mại (2009) . Luận văn đưa ra được lý
thuyết và một số giải pháp nhưng các giải pháp vẫn đang ở mức khái quát chưa cụ thể.
- Đồ án “Tìm hiểu về virut máy tính và cách phòng chống ” của sinh viên Lê
Văn Hưng khoa Tin học trường Đại học Bách Khoa Hà Nội. Trong công trình
nghiên cứu này tác giả đưa ra một số phân tích cơ bản đối với mảng kiến thức hệ thống
, các nguyên tắc thiết kế, hoạt động của các loại virut máy tính và từ đó đưa ra phương
pháp phòng tránh, phát hiện và phân tích đối với một số loại virut máy tính.
- Đồ án “An ninh mạng và kỹ thuật tấn công mạng” của Phạm Minh Tuấn
khoa quốc tế và đào tạo sau đại học trường Học viện Bưu chính viễn thông. Trong
công trình nghiên cứu này thì tác giả đã chỉ ra rất nhiều kiểu tấn công qua mạng và
cách khắc phục. Tác giả đã đi sâu nghiên cứu về các lỗ hổng thường gặp trong bảo
mật mạng.
1.3.2. Tình hình nghiên cứu trên thế giới
Man Young Rhee (2003), Internet Security, Crytographic principles,
algorithms and protocol-John Wiley & Son.
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,
nguyên tắc, các thuật toán và giao thức bảo mật internet. Đưa ra các biện pháp khắc
phục, các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác
thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an
ninh internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất
cứ ai sau đó truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có
thể bị thay đổi bởi kẻ tấn công thông qua đường truyền internet. Các tài liệu trong
cuốn sách này trình bày lý thuyết và thực hành về bảo mật internet được thông qua
một cách nghiêm ngặt , kỹ lưỡng và chất lượng.

14



CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO
MẬT THÔNG TIN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TNHH
KOSCA DEVELOPMENT VIỆT NAM
2.1. Tổng quan về công ty
2.1.1. Giới thiệu về công ty
Công ty TNHH Kosca Development Việt Nam chuyên xây dựng các tòa nhà
dự án các loại, các công ty doanh nghiệp, và tham gia đấu thầu nhiều công trình xây
dựng. Địa chỉ trụ sở công ty đặt tại A8-BT1, khu đô thị mới Mỹ Đình 2, Quận Nam
Từ Liêm, Hà Nội.
- Công ty TNHH Kosca Development Việt Nam có mã số thuế 0106654933
được cấp vào ngày 02/10/2014, cơ quan thuế đang quản lý là Cục thuế thành phố
Hà Nội.
- Lĩnh vực kinh tế: Kinh tế tư nhân.
- Loại hình kinh tế: Công ty trách nhiệm hữu hạn một thành viên ngoài
Nhà Nước.
- Loại hình tổ chức: Tổ chức kinh tế sản xuất kinh doanh dịch vụ, hàng hóa.
 Quá trình hình thành và phát triển công ty
Công ty TNHH Kosca Development Việt Nam được thành lập ngày
06/11/2014 do ông Kim Young Ig làm giám đốc. Ngày đầu thành lập doanh nghiệp
có 50 nhân viên, qua quá trình phát triển cho đến ngày nay số lượng nhân viên đã
tăng lên đáng kể 130 nhân viên. Tuy mới thành lập và đang trên đà phát triển nhưng
công ty Kosca đã không ngừng lớn mạnh. Từ một công ty đơn ngành, ngày nay
công ty đã trở thành một công ty đa ngành, đa sản phẩm. Những ngày đầu công ty
chỉ xây dựng các công trình dân dụng đến nay công ty đã tham gia vào kinh doanh
rất nhiều lĩnh vực như: Xây dựng dân dụng và công nghiệp, xây dựng các công
trình kết cấu hạ tầng phức tạp và quy mô lớn như Lotte Center, Sam Sung. Ngoài ra
công ty còn đầu tư kinh doanh bất động sản và sản xuất vật liệu xây dựng.
Công ty đã tham gia hợp tác với nhiều công ty khác của Bộ Quốc Phòng để
thực hiện xây dựng các công trình trọng điểm của đất nước như nhà máy thủy điện,
các tòa nhà của Đại học Quốc Gia Hà Nội. Bên cạnh đó công ty còn tham gia xây

dựng các công trình giao thông quan trọng điểm như quốc lộ 5, quốc lộ 1A, tuyến
đường cao tốc và các sản phẩm của công ty đều hoàn thành với chất lượng cao và
giữ được chữ tín trên thị trường.
15


2.1.2. Cơ cấu tổ chức của công ty
Công ty TNHH Kosca Development Việt Nam gồm 130 nhân viên có trình độ
đại học trở lên, 100% nhân viên đều biết sử dụng máy tính.
 Sơ đồ tổ chức của doanh nghiệp
Tổng giám đốc
Phó tổng giám đốc

Phòng
quản
Sơ đồ
1.1:lýCơ cấu tổ chức của doanh nghiệp
Phòng phát
Phòng tổ chức
hợp đồng
Phòng kế toán
Doanh nghiệp có:
triển dự án
thi công
+ 1 tổng giám đốc điều hành công ty.
+ 1 phó giám đốc.
+ 30 nhân viên làm việc trong phòng phát triển dự án.
+ 25 nhân viên làm trong phòng quản lý hợp đồng.
+ 50 nhân viên làm việc trong phòng tổ chức thi công.
+ 3 nhân viên làm việc trong phòng kế toán.

+ 20 nhân viên làm việc trong phòng quản lý nhân sự.
2.1.3. Khái quát hoạt động kinh doanh của công ty

Phòng quản lý
nhân sự

Tình hình hoạt động của doanh nghiệp trong hai năm gần nhất
Bảng 1.1. Tình hình hoạt động của doanh nghiệp hai năm gần đây (Nguồn: Báo
cáo tài chính công ty năm 2014,2015)
Đơn vị: VNĐ

STT
1
2
3
4

Chỉ tiêu

Năm 2014

Tổng tài sản
Doanh thu
Tài sản ngắn hạn
Lợi nhuận trước thuế

30.425.000.000
39.345.000.000
20.150.000.000
9.033.950.000


16

Năm 2015
37.675.500.000
49.986.400.000
25.560.000.000
13.660.000.000


2.1.4. Lĩnh vực hoạt động kinh doanh của doanh nghiệp
Công ty xây dựng có vốn đầu tư 100% vốn đầu tư nước ngoài chuyên thi công
sơn nước, chống thấm, chống cháy tại các tòa nhà, khu công nghiệp tại Việt Nam
( Lotte Center, Samsung Bắc Ninh, Samsung Thái Nguyên...). Công ty chuyên liên
kết với các nhà thầu thi công lớn, nhận dự án thi công.
Công ty TNHH Kosca Development Việt Nam có đội ngũ kỹ thuật viên dày
dặn kinh nghiệm trong việc thi công các công trình như xây dựng và lắp đặt các
công trình dân dụng nhà máy, khách sạn cao cấp, đội ngũ nhân viên dịch vụ cung
cấp vật liệu chống thấm thiết bị xây dựng cho các công trình, các dự án lớn trong
nước một cách tốt nhất.
Là một công ty có đầy đủ khả năng về kỹ thuật và tài chính để tư vấn và thiết
kế, lắp đặt thi công, bảo hành thỏa mãn nhu cầu của khách hàng cũng như tham gia
các dự án thầu trong và ngoài nước. Trong suốt quá trình hình thành và phát triển,
đén nay công ty TNHH Kosca đã khẳng định được thương hiệu của mình, có chỗ
đứng vững chắc trên thị trường xây dựng. Đã tham gia xây dựng và lắp đặt trên địa
bàn các thành phố lớn ở Việt Nam như Hà Nội, thành phố Hồ Chí Minh, Bắc Ninh,
Thái Nguyên...Các công trình do công ty thi công đều đạt chất lượng tốt và đúng
tiến độ, giá cả hợp lý và có tính thẩm mỹ cao. Trong thi công Kosca với đội ngũ cán
bộ chuyên nghiệp cao, được tổ chức tốt nên đã sử dụng thành thạo công nghệ và
ứng dụng công nghệ thông tin và nhiều biện pháp kỹ thuật tiên tiến vào xây dựng.

2.2. Phân tích, đánh giá thực trạng an toàn bảo mật thông tin cho hệ
thống thông tin của công ty TNHH Kosca Development Việt Nam
2.2.1. Phân tích thực trạng an toàn bảo mật thông tin cho hệ thống thông
tin của công ty TNHH Kosca Development Việt Nam
2.2.1.1. Phần cứng
Bảng 2.1. Thiết bị phần cứng (Nguồn: Thống kê phiếu điều tra)
STT
Tên thiết bị
1
Máy tính để bàn
2
Máy tính xách tay
3
Máy chủ
4
Máy chiếu
5
Máy in
2.2.1.2. Phần mềm

Số lượng
110
20
1
5
6

Hệ điều hành mà doanh nghiệp sử dụng là: Unix, Windows NT.

17



Đối với các ngành nghề nói chung và ngành tư vấn thiết kế xây dựng nói riêng
có thể nói, công nghệ thông tin mở ra nhiều triển vọng to lớn trong việc đổi mới các
phương pháp nghiên cứu và các hình thức thực hiện, triển khai công việc, nâng cao
năng suất, chất lượng, đổi mới toàn diện công tác thiết kế kiến trúc quy hoạch.
Chính vì điều này mà công ty TNHH Kosca luôn ứng dụng công nghệ thông tin
trong hoạt động của mình. Doanh nghiệp ứng dụng được phần mềm Autodesk để
thiết kế kiến trúc và xây dựng. Nhờ có bộ ứng dụng này mà công ty TNHH Kosca
đã rút ngắn được thời gian chỉnh sửa và trao đổi thông tin trong công việc thiết kế .
Bên cạnh đó doanh nghiệp còn ứng dụng phần mềm thiết kế trực tuyến trong
công việc thiết kế của mình nhằm cho việc trình bày các bản thiết kế trở nên sinh
động hơn, tiết kiệm được nhiều thời gian hơn so với cách làm việc trước đây.
Những khả năng mới mẻ và ưu việt này của CNTT&TT đã nhanh chóng làm thay
đổi cách sống, cách làm việc, cách học tập, cách tư duy và quan trọng hơn cả là
cách ra quyết định của con người.
Doanh nghiệp áp dụng phần mềm ERP để quản lý tổng thể DN, trong đó phần
hoạch định nguồn lực là phần cơ bản. Việc áp dụng phần mềm giúp cho nâng cao
hiệu quả hoạt động và hiệu quả quản lý toàn diện của doanh nghiệp, làm tự động
hoá các tác nghiệp của đội ngũ nhân viên. ERP chỉ là một phần mềm duy nhất và
các module của nó thực hiện các chức năng tương tự như các phần mềm quản lý rời
rạc, nhưng các module này còn làm được nhiều hơn thế trong môi trường tích hợp,
các module có mối quan hệ chặt chẽ với nhau. Các module ERP phục vụ tốt cho
các phòng ban trong doanh nghiệp, nó giải quyết mối quan hệ giữa các phòng ban
khi mô phỏng tác nghiệp của đội ngũ nhân viên theo quy trình. Thông tin được luân
chuyển tự động giữa các bước của quy trình và được kiểm soát chặt chẽ.
Nhận thức được tầm quan trọng và lợi ích của công nghệ thông tin đem lại
nên doanh nghiệp luôn cập nhật và ứng dụng được các phần mềm tiên tiến nhất để
phục vụ cho hoạt động công việc của mình.
Một số phần mềm ứng dụng khác mà doanh nghiệp sử dụng là: Soạn thảo văn

bản, excel, kế toán tài chính...

18


2.2.1.3. Hệ thống mạng
Doanh nghiệp sử dụng mạng không dây và sử dụng mạng của ba hãng: FPT,
Viettel, VNPT, kết nối mô hình mạng LAN, được bố trí theo kiểu hình sao. Vì vậy,
việc hỏng hóc của mỗi máy tính cá nhân không ảnh hưởng đến toàn bộ hệ thống.
Tuy nhiên doanh nghiệp chưa chú ý đến việc thay đổi mật khẩu cho hệ thống mạng.
2.2.1.4. Cơ sở dữ liệu và quản trị cơ sở dữ liệu
 Phương thức thu nhập, lưu trữ, phân phối dữ liệu, thông tin của doanh nghiệp?
Phương thức thu thập thông tin doanh nghiệp
Công ty TNHH Kosca Development Việt Nam hoạt động trong lĩnh vực xây
dựng nên thông tin cần thu thập chủ yếu là thông tin về khách hàng, nhu cầu khách
hàng, đối thủ cạnh tranh của doanh nghiệp, chính sách Nhà Nước ban hành. Thông
tin thu được có thể tập hợp được từ các nguồn báo chí, mạng internet, tiến hành các
cuộc điều tra khảo sát.
Việc thu thập thông tin cần được tiến hành nhanh chóng và chính xác để có thể
cung cấp kịp thời cho ban lãnh đạo giúp cho lãnh đạo ra quyết định một cách hợp lý
và chính xác nhất.
Phương thức lưu trữ thông tin
Doanh nghiệp lưu trữ thông tin dưới nhiều hình thức: Lưu trữ bộ nhớ, ổ cứng
ngoài, lưu trữ trực tuyến, lưu trữ gắn mạng (NAS).
Phương thức phân phối thông tin doanh nghiệp
Phương thức phân phối thông tin trong doanh nghiệp: Doanh nghiệp có nhiều
hình thức phân phối thông tin của mình, có thể viết lên bảng thông báo của doanh
nghiệp khi cấp trên muốn truyền đạt thông tin tới nhân viên của mình trong công ty.
Hoặc nếu muốn truyền đạt thông tin với bên ngoài doanh nghiệp có thể sử dụng truyền
thông, muốn mọi người biết nhiều hơn về doanh nghiệp của mình thì doanh nghiệp có

thể sử dụng hình thức quảng cáo, marketing, hoặc trên các phương tiện đại chúng.
 Hệ quản trị cơ sở dữ liệu, cách thức quản trị cơ sở dữ liệu của doanh nghiệp
Hệ quản trị cơ sở dữ liệu của doanh nghiệp là phần mềm cung cấp môi trường
thuận lợi và hiệu quả để tạo lập lưu trữ và khai thác thông tin của cơ sở dữ liệu.
Doanh nghiệp sử dụng ngôn ngữ:
+ SQL Server: Là một hệ thống quản lý cơ sở dữ liệu mạnh và đầy đủ các tính
năng, có thể chạy trên môi trường cơ sở dữ liệu lớn.

19


+ Access: Là một hệ quản trị cơ sở dữ liệu quan hệ trợ giúp cho nhân viên có
thể lưu trữ thông tin dữ liệu bên ngoài vào máy tính dưới dạng các bảng và có thể
tính toán, xử lý trên dữ liệu trong các bảng đã lưu trữ.
2.2.1.5. Kết quả đạt được thông qua điều tra và khảo sát
Qua quá trình phát phiếu điều tra cho thấy công ty TNHH Kosca Development
Việt Nam có triển khai quy chế nội bộ về đảm bảo an toàn thông tin cho hệ thống
thông tin từ đó ta thấy được doanh nghiệp đã nhận thức được tầm quan trọng của
việc đảm bảo an toàn thông tin cho doanh nghiệp mình để tránh gây ra thiệt hại cho
công ty.
Số phiếu phát: 15
Số phiếu thu về: 15
 Nguồn gốc của những phần mềm cài đặt trên máy tính
Câu hỏi: Những phần mềm anh (chị) cài đặt trên hệ thống máy tính có được
mua bản quyền hay có nguồn gốc rõ ràng hay không?
Số phiếu trả lời: 15/15
Kết quả thu được:
Bảng 2.1: Nguồn gốc của phần mềm
Nguồn gốc phần mềm
Có bản quyền

Không có bản quyền

Lựa chọn
5
10

Tỷ lệ (%)
33%
67%

(Nguồn: Thống kê phiếu điều tra)

20


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×