luận văn hệ thống thông tin kinh tế một số giải pháp đảm bảo an toàn cho HTTT của công ty TNHH thƣơng mại dịch vụ du lịch đăng tâm
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.02 MB, 62 trang )
LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận
được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Hàn Minh Phương,
cùng sự giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty TNHH thương
mại dịch vụ du lịch Đăng Tâm.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Hàn Minh Phương –
Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện
khóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các
anh/chị làm việc tại Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm vì sự
quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông
Tin Kinh Tế và Thương Mại Điện Tử về sự động viên khích lệ mà em đã nhận được
trong suốt quá trình học tập và hoàn thành khóa luận này.
Trong quá trình nghiên cứu đề tài, mặc dù rất rỗ lực, cố gắng tuy nhiên vẫn
không tránh khỏi những thiếu sót. Em rất mong nhận được những ý kiến đóng góp
từ các thầy/cô giáo, từ các nhân viên trong Công ty TNHH thương mại dịch vụ du
lịch Đăng Tâm để hoàn thiện hơn nữa khóa luận tốt nghiệp của mình.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Trương Thị Thanh Nhàn
i
MỤC LỤC
LỜI CẢM ƠN...........................................................................................................i
MỤC LỤC................................................................................................................ ii
DANH MỤC BẢNG BIỂU, HÌNH VẼ..................................................................iv
DANH MỤC TỪ VIẾT TẮT..................................................................................v
PHẦN I: PHẦN MỞ ĐẦU......................................................................................1
1. Lý do lựa chọn đề tài nghiên cứu.......................................................................1
2. Mục tiêu nghiên cứu............................................................................................1
3. Đối tượng và phạm vi nghiên cứu......................................................................2
4. Phương pháp nghiên cứu....................................................................................2
5. Nội dung khóa luận tốt nghiệp...........................................................................3
PHẦN II: NỘI DUNG.............................................................................................4
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT....4
1.1 Những khái niệm cơ bản...................................................................................4
1.1.1 Khái niệm chung.............................................................................................4
1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp.......8
1.2 Một số cơ sở lý luận về an toàn bảo mật HTTT trong doanh nghiệp..........10
1.2.1. Hình thức tấn công HTTT..........................................................................10
1.2.2. Các nguy cơ mất ATTT trong HTTT............................................................12
1.2.3. Các giải pháp đảm bảo ATTT trong HTTT..................................................12
1.2.4. Quy trình đảm bảo ATTT cho HTTT...........................................................17
1.3 Tổng quan tình hình nghiên cứu....................................................................19
1.3.1 Tình hình nghiên cứu trong nước................................................................19
1.3.2 Tình hình nghiên cứu trên thế giới...............................................................20
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ ĐẢM
BẢO AN TOÀN HTTT CHO CÔNG TY TNHH THƯƠNG MẠI DỊCH VỤ DU
LỊCH ĐĂNG TÂM................................................................................................21
2.1 Tổng quan về doanh nghiệp và tình hình hoạt động kinh doanh của doanh
nghiệp..................................................................................................................... 21
2.1.1 Giới thiệu chung về công ty TNHH thương mại dịch vụ du lịch Đăng Tâm........21
2.1.2 Quá trình hình thành và phát triển của Công ty TNHH thương mại dịch vụ
du lịch Đăng Tâm...................................................................................................21
ii
2.1.3 Cơ cấu tổ chức của Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm........22
2.1.4. Các ngành nghề kinh doanh của Công ty TNHH thương mại dịch vụ du
lịch Đăng Tâm........................................................................................................23
2.1.5. Chiến lược kinh doanh và định hướng phát triển.......................................24
2.2 Thực trạng vấn đề đảm bảo an toàn HTTT cho Công ty TNHH thương mại
dịch vụ du lịch Đăng Tâm.....................................................................................25
2.2.1. Thực trạng về điều kiện ứng dụng AT & BM HTTT tại Công ty TNHH
thương mại dịch vụ du lịch Đăng Tâm..................................................................25
2.2.2. Các nhân tố ảnh hưởng đến an toàn và bảo mật HTTT của Công ty TNHH
thương mại dịch vụ du lịch Đăng Tâm..................................................................28
2.2.3. Kết quả đạt được thông qua điều tra và khảo sát........................................30
2.2.4. Đánh giá về an toàn bảo mật hệ thống thông tin tại công ty TNHH thương
mại dịch vụ du lịch Đăng Tâm...............................................................................34
CHƯƠNG 3: CÁC ĐỀ XUẤT VỚI CÔNG TY VÀ KIẾN NGHỊ VỚI CÁC TỔ
CHỨC CẤP CAO HƠN VỀ CÁC GIẢI PHÁP PHÁT TRIỂN, HOÀN THIỆN
VẤN ĐỀ NGHIÊN CỨU.......................................................................................37
3.1. Đề xuất với công ty TNHH thương mại dịch vụ du lịch Đăng Tâm............37
3.1.1. Giải pháp phần cứng....................................................................................37
3.1.2. Giải pháp phần mềm....................................................................................44
3.2.3. Giải pháp nguồn nhân lực...........................................................................50
3.2. Kiến nghị với các tổ chức cấp cao hơn..........................................................51
KẾT LUẬN............................................................................................................53
TÀI LIỆU THAM KHẢO
PHỤ LỤC
iii
DANH MỤC BẢNG BIỂU, HÌNH VẼ
BẢNG BIỂU
Bảng 2.1. Thống kế nhân viện của Công ty TNHH thương mại dịch vụ du lịch
Đăng Tâm................................................................................................................ 22
Bảng 2.2. Số lượng phần cứng và thiết bị................................................................ 25
Bảng 2.3. Các phần mềm ứng dụng trong công ty................................................... 26
SƠ ĐỒ
Sơ đồ 2.1. Mô hình tổ chức bộ máy hoạt động của Công ty TNHH thương mại dịch
vụ du lịch Đăng Tâm............................................................................................... 22
HÌNH VẼ
Hình 1.1: Thành phần của Hệ thống thông tin...........................................................4
Hình 1.2: Các thuộc tính của thông tin......................................................................7
Hình 1.3: Phần mềm độc hại.....................................................................................9
Hình 2.1: Mức độ quan trọng của các thành phần trong một HTTT........................30
Hình 2.2: Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT....................31
Hình 2.3: Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT.....................31
Hình 2.4: Hệ thống của Công ty đã từng bị tấn công hay chưa?..............................32
Hình 2.5: Các hình thức tấn công mà tổ chức gặp phải là gì?..................................32
Hình 2.6: Mục tiêu của HTTT quản lý trong thời gian tới.......................................33
Hình 2.7: Mức độ an toàn, bảo mật thông tin trong công ty....................................34
Hình 3.1: Tường lửa cho hệ thống mạng.................................................................38
Hình 3.2: Cho phép người dùng bên ngoài truy cập vào dịch vụ bên trong tường lửa
Windows.................................................................................................................. 48
Hình 3.3: Chọn chương trình bạn muốn add............................................................49
iv
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
Diễn giải
AES
Advanced Encryption Standard
ATTT
CNTT
CPU
Central Processing Unit
CSDL
CSIRT
Computer Security Incident
Nghĩa tiếng Việt
Tiêu chuẩn mã hóa tiên tiến
An toàn thông tin
Công nghệ thông tin
Bộ xử lý trung tâm
Cơ sở dữ liệu
Nhóm ứng cứu sự cố máy tính
Response Team
DN
DES
DOS
EFS
HTTT
HDD
HĐH
HTTP
IETF
HyperText Transport Protocol
Doanh nghiệp
Tiêu chuẩn mã hoá dữ liệu
Tấn công từ chối dịch vụ
Mã hóa file hệ thống
Hệ thống thông tin
Ổ cứng
Hệ điều hành
Giao thức truyền tải siêu văn
Internet Engineering Task Force
bản
Lực lượng chuyên trách về kỹ
Data Encryption Standard
Denial of Service
Encrypting File System
Hard Disk Drive
thuật liên mạng
IMAP
LAN
NXB
SPSS
SSL
SQL
TMĐT
TNHH
WEP
WPS
Internet Messaging Access Protocol
Local Area Network
Statistical Package for Social
Sciences
Secure Socket Layer
Structured Query Language
Mạng cục bộ
Nhà xuất bản
Gói thống kê khoa học xã hội
Wireless Encryption Protocol
Giao thức truyền thông
Ngôn ngữ truy vấn cấu trúc.
Thương mại điện tử
Trách nhiệm hữu hạn
Giao thức mã hoá mạng không
Wifi Protected Access
dây
Phương thức liên minh wifi
v
PHẦN I: PHẦN MỞ ĐẦU
1. Lý do lựa chọn đề tài nghiên cứu
Trong nền kinh tế toàn cầu hóa như hiện nay, CNTT đã chi phối mọi hoạt động
trong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinh doanh. Ứng
dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách
chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền
kinh tế mở rộng và phát triển.
Và ngày nay, vấn đề an toàn và bảo mật thông tin được xem là sự sống còn đối
với các doanh nghiệp, nó quyết định sự thành bại của các doanh nghiệp trên thương
trường nếu như họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất. Dữ
liệu là phần không thể thiếu của bất cứ doanh nghiệp nào dù lớn hay nhỏ và nó
được coi là một phần tài sản của doanh nghiệp. Dữ liệu, thông tin luôn đối mặt với
nguy cơ mất an toàn của cả các yếu tố bên trong và bên ngoài doanh nghiệp. Việc
đảm bảo an toàn thông tin và dữ liệu của doanh nghiệp lại không hề dễ dàng. Sự
phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn
đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy
cơ mất an toàn của hệ thống.
Các nguy cơ bảo mật ngày càng nở rộ, các rủi ro đối với các thông tin như bị
lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động,
uy tín, chiến lược của doanh nghiệp. Vì vậy việc bảo vệ an toàn thông tin, đảm bảo
tính bí mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông tin
trao đổi là rất cần thiết. Hiện nay, việc đưa ra một số giải pháp đảm bảo an toàn và bảo
mật thông tin cho HTTT đã được rất nhiều doanh nghiệp quan tâm và đã triển khai.
Tuy nhiên, trong quá trình thực tập và tìm hiểu tại công ty TNHH thương mại dịch vụ
du lịch Đăng Tâm, em thấy công ty vẫn chưa có sự đầu tư đúng mức cho vấn đề an
toàn bảo mật hệ thống thông tin của mình. Trong công ty vẫn còn xảy ra tình trạng thất
lạc thông tin dữ liệu, hệ thống gặp sự cố, sự đồng bộ hóa thông tin chưa cao. Chính vì
vậy, em quyết định thực hiện đề tài khóa luận: “Một số giải pháp đảm bảo an toàn
cho HTTT của Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm”.
2. Mục tiêu nghiên cứu
Hiện nay, hầu hết các doanh nghiệp đang phải đối mặt với các nguy cơ mất
ATTT nhưng việc đảm bảo an toàn thông tin lại không được chú trọng, không được
1
thực hiện thường xuyên. Nguyên nhân là do phần lớn các cán bộ, nhân viên không chú
trọng tới việc bảo đảm ANTT của doanh nghiệp, không ý thức được tầm quan trọng
của việc đảm bảo an toàn thông tin trong doanh nghiệp, các quy trình đảm bảo an toàn
thông tin chưa rõ ràng và thống nhất. Do vậy mục tiêu nghiên cứu của đề tài này là:
- Đưa ra lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin
- Trình bày, tìm hiểu, phân tích đánh giá thực trạng của công ty và đưa ra các
thiếu sót và lỗ hổng của HTTT của doanh nghiệp dựa trên các tài liệu, các phiếu
điều tra.
- Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề
xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo
mật thông tin có thể áp dụng với công ty
3. Đối tượng và phạm vi nghiên cứu
3.1 Đối tượng nghiên cứu
Trong đề tài nghiên cứu này đối tượng nghiên cứu của đề tài là:
Hệ thống thông tin cửa doanh nghiệp.
Các vấn đề an toàn và bảo mật HTTT tại công ty TNHH thương mại dịch vụ
du lịch Đăng Tâm.
Một số giải pháp đưa ra để đảm bảo an toàn và bảo mật HTTT trong doanh nghiệp.
3.2 Phạm vi nghiên cứu
- Về không gian: Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm
- Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan của
công ty giai đoạn 2014- 2015. Các số liệu được khảo sát trong quá trình thực tập tại
công ty.
4. Phương pháp nghiên cứu
4.1. Phương pháp thu thập dữ liệu
❖ Thu thập dữ liệu thứ cấp: Tìm hiểu các thông tin về an toàn và bảo mật
HTTT qua Internet, qua các công trình khoa học đã thực hiện và tài liệu sách báo có
liên quan.
❖ Thu thập dữ liệu sơ cấp:
● Phương pháp sử dụng phiếu điều tra:
- Nội dung: Xây dựng phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên
công ty về hoạt động đảm bảo an toàn và bảo mật HTTT bên trong doanh nghiệp.
- Cách thức tiến hành: Phiếu điều tra sẽ được phát cho 10 nhân viên trong
2
công ty để thu thập dữ liệu.
- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn và bảo mật
HTTT của công ty, từ đó phân tích, đánh giá thực trạng triển khai và đưa ra những
giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn và bảo
mật HTTT trong công ty TNHH thương mại dịch vụ du lịch Đăng Tâm.
● Phương pháp phỏng vấn trực tiếp:
- Nội dung và cách thức tiến hành: Phỏng vấn riêng nhân viên của công ty về
hoạt động đảm bảo an toàn và bảo bảo mật HTTT bên trong doanh nghiệp.
- Mục đích: Nhằm khảo sát ý kiến một cách trực quan nhất về hoạt động an
toàn và bảo mật HTTT trong doanh nghiệp.
4.2. Phương pháp xử lý dữ liệu
Từ những dữ liệu thu thập được sau khi tiến hành quan sát, điều tra, phỏng vấn
và thu thập tài liệu sẽ được chọn lọc, phân tích, đánh giá và tổng hợp để chọn ra
thông tin phù hợp với mục đích nghiên cứu của đề tài.Trong quá trình xử lý thông
tin, ta cần chia thông tin ra làm hai phương pháp chính:
- Phương pháp định lượng: Sử dụng phần mềm excel nhằm phân tích, so sánh
các nguồn thông tin thu thập được để có cái nhìn chính xác nhất về tình hình an toàn
và bảo mật HTTT trong doanh nghiệp.
- Phương pháp định tính: Tiến hành chọn lọc, phân tích, tổng hợp các dữ liệu
thu thập được thông qua các câu hỏi phỏng vấn, phiếu điều tra nhằm chọn được
thông tin phù hợp với mục đích sử dụng và nội dung nghiên cứu.
5. Nội dung khóa luận tốt nghiệp
Nội dung khóa luận gồm 3 phần chính:
Phần I: Phần mở đầu
Phần II: Nội dung
Chương 1: Cơ sở lý luận về vấn đề đảm bảo an toàn HTTT
Chương 2: Phân tích, đánh giá thực trạng về vấn đề đảm bảo an toàn HTTT
cho Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm
Chương 3: Các kết luận và đề xuất với vấn đề đảm bảo an toàn HTTT trong
Công ty TNHH thương mại dịch vụ du lịch Đăng Tâm
3
PHẦN II: NỘI DUNG
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ ĐẢM BẢO AN TOÀN HTTT
1.1 Những khái niệm cơ bản
1.1.1 Khái niệm chung
Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân
tích, tổng hợp…), phù hợp với mục đích của người sử dụng. Thông tin có thể gồm
nhiều giá trị dữ liệu được tổ chức sao cho nó mang lại một ý nghĩa cho một đối
tượng cụ thể, trong một ngữ cảnh cụ thể. Từ đó có thể thấy thông tin được coi như
là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu. Những thông tin
có giá trị là những thông tin mang các đặc điểm sau: chính xác, xác thực; đầy đủ,
chi tiết; rõ ràng (dễ hiểu); đúng lúc, thường xuyên; thứ tự, có liên quan;…( theo [2])
Hình 1.1: Thành phần của Hệ thống thông tin
Hệ thống là một tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ
ràng buộc lẫn nhau và cùng hoạt động hướng tới một mục tiêu chung. Phần tử ở đây
có thể là vật chất hoặc phi vật chất: con người, máy móc, thông tin, dữ liệu, phương
pháp xử lý, quy tắc, quy trình xử lý. (theo [2])
- HTTT là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng
truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các
dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức. (theo [1])
Các tổ chức có thể sử dụng các HTTT với nhiều mục đích khác nhau. Trong
việc quản trị nội bộ, HTTT sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành
động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh. Với bên ngoài, hệ
thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiển
dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển (theo [1])
4
- Có thể hiểu HTTT là một hệ thống mà mối liên hệ giữa các thành phần của
nó cũng như mối liên hệ giữa nó và các hệ thống khác là sự trao đổi thông tin.
Các thành phần cơ bản của HTTT gồm: Phần cứng, phần mềm, mạng, dữ liệu
và con người
+ Phần cứng: Là các bộ phận (vật lý) cụ thể của máy tính hoặc hệ thống máy
tính, hệ thống mạng sử dụng làm thiết bị kỹ thuật hỗ trợ hoạt động trong hệ thống
thống thông tin. Phần cứng là các thiết bị hữu hình,có thể nhìn thấy, cầm nắm được.
+ Phần mềm: Là một tập hợp những câu lệnh được việt bằng một hoặc nhiều
ngôn ngữ lập trình theo thứ tự nào đó để thực hiện chức năng hoặc giải quyết một
bài toán nào đó. Phần mềm có thể là những ý tưởng trừu tượng, các thuật toán, các
chỉ thị…
+ Mạng: mạng máy tính là tập hợp những máy tính độc lập được kết nối với
nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào
đó. Các thành phần của mạng có thể bao gồm:
• Các hệ thống đầu cuối: Kết nối với nhau tạo thành mạng, có thể là các máy
tính hoặc các thiết bị khác. Nói chung hiện nay ngày càng nhiều các loại thiết bị có
khả năng kết nối vào mạng máy tính như điện thoại di dộng, PDA, tivi..
• Môi trường truyền: Là nơi các thao tác truyền thông được thực hiện qua đó.
Môi trường truyền có thể là các loại dây dẫn (dây cáp ), song điện từ (đối với các
mạng không dây)
• Giao thức truyền thông: Là các quy tắc quy định cách trao đổi dữ liệu giữa
các thực thể
+ Dữ liệu: Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới
khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng. Có thể là
một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng (theo [3]). Dữ liệu
có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh,…
• CSDL là một hệ thống các thông tin có cấu trúc được lưu trữ trên các thiết bị
lưu trữ thông tin thứ cấp (như băng đĩa, đĩa từ,…) để có thể thỏa mãn yêu cầu khai
thác thông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng
với nhiều mục đích khác nhau.(theo [3])
• Hệ quản trị CSDL là một phần mềm chuyên dụng giải quyết tốt tất cả các
vấn đề đặt ra cho một CSDL: Tính chủ quyền, cơ chế bảo mật hay phân quyền hạn
khai thác CSDL, giải quyết tranh chấp trong quá trình truy nhập dữ liệu…
5
• Tài nguyên về dữ liệu gồm các CSDL. CSDL phải được thu thập, lựa chọn
và tổ chức một cách khoa học theo một mô hình có cấu trúc xác định, tạo điều kiện
cho người sử dụng có thể truy cập một cách dễ dàng, thuận tiện và nhanh chóng.
+ Con người: đây là thành phần quan trọng nhất của hệ thống thông tin. Bởi lẽ
con người là chủ thể xây dựng, điều hành và sử dụng hệ thống thông tin.Con người
trong HTTT cần có đầy đủ kiến thức chuyên môn, các kĩ năng quản lý, giao tiếp
hiệu quả. Bao gồm: Người xây dựng và bảo trì HTTT ( Phân tích viên, lập trình
viên, kỹ sư bảo hành…) và người sử dụng HTTT (các nhà quản lý, kế toán, nhân
viên các phòng ban..)
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực
rộng lớn. Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy
cập trái phép, hiệu chỉnh, xóa thông tin,...Thông tin được coi là an toàn khi thông tin
đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi
người không được phép.
Bảo mật thông tin là duy trì tính bí mật (Confidentiality), tính toàn vẹn
(Integrity)và tính sẵn sàng (Availability)của thông tin.
- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp
quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật
thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị
hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống
sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại,
có thể dẫn đến phá sản.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công
không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị
mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy
nhập được vào hệ thống. Có thể nói rằng đây là yêu cầu quan trọng nhất, vì thông
tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được
đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên
mất giá trị.
6
Hình 1.2: Các thuộc tính của thông tin
Hệ thống an ninh bảo mật thông tin là hệ thống được xây dựng nhằm bảo vệ
thông tin trước các nguy cơ bị xâm hại. Dù thông tin được lưu trữ ở bất kì dạng nào
(bản cứng hay bản mềm) cũng đều đảm bảo được ba thuộc tính kể trên
Một hệ thống ISMS phải quản lý tất cả các mặt của an ninh thông tin bao gồm
con người, các quy trình và các hệ thống công nghệ thông tin. Điều cốt lõi để có hệ
thống ISMS thành công là dựa trên đánh giá phản hồi để cung cáp sự cải tiến liên
tục và lấy cách tiếp cận có cấu trức để quản lý tài sản và rủi ro. Hệ thống an ninh
thông tin bao gồm tất cả các kiểm soát mà tổ chức đặt trong vị trí thích hợp để đảm
bảo an ninh thông tin xuyên suốt 10 lĩnh vực sau:
- Chính sách an ninh: Cung cấp các chỉ dẫn quản lý và hộ trợ an ninh thông tin
- Tổ chức an ninh: Quản lý an ninh thông tin trong tổ chức, duy trì an ninh của
các quá trình hỗ trợ thông tin của tổ chức và những tài sản thông tin được truy cập
bởi các thành phần thứ ba và duy trì an ninh thông tin khi trách nhiệm việc xử lý
thông tin đã được khoán ngoài cho tổ chức khác
- Phân loại và kiểm soát tài sản: Duy trì và đảm bảo các tài sản của tổ chức
được bảo vệ ở cấp độ thích hợp
- An ninh nhân sự: Để giảm rủi ro về lỗi của con người, sự ăn cắp, gian lận
hoặc lạm dụng. Đảm bảo người dung nhận thức các mối đe dọa an ninh thông tin
liên quan và được trang bị để hỗ trợ chính sách an ninh của tổ chức trong phạm vi
công việc bình thường của họ, giảm thiểu từ những bất thường và sai chức năng an
ninh, để kiểm soát cũng như học hỏi từ các bất thường như vậy
- An ninh môi trường và vật lý: Ngăn cản sự truy cập vật lý không được phép,
phá hủy và can thiệp đến những thông tin của doanh nghiệp. Ngăn cản sự mất mát,
phá hủy hoặc tấn công những tài sản và cắt đứt các hoạt động kinh doanh. Ngăn cản
7
sự tấn công hoặc ăn cắp thông tin và quy trình hỗ trợ xử lý thông tin
- Quản lý tác nghiệp và truyền thông: Đảm bảo tác nghiệp bảo mật và đúng hỗ
trợ xử lý thông tin, giảm thiểu rủi ro lỗi của các hệ thống, bảo vệ sự nguyên vẹn của
phần mềm và những thông tin từ việc phá hủy của phần mềm dã tâm. Duy trì sự
nguyên vẹn và sẵn sang của quá trình xử lý thông tin và các dịch vụ truyền thông,
đảm bảo sự an toàn của thông tin trong mạng và bảo vệ cơ sở hạ tầng hỗ trợ, ngăn
cản phá hủy tài sản và làm gián đoạn các hoạt động kinh doanh, ngăn cản sự mất
mát, sửa đổi và lạm dụng thông tin trao đổi giữa các tổ chức.
- Kiểm soát truy cập: Kiểm soát truy cập đến thông tin, đảm bảo các quyền
truy cập đến các hệ thống thông tin được cấp quyền, cấp phát tài nguyên và duy trì
một cách phù hợp. Ngăn cản truy cập trái phép, phát hiện các hoạt động trái phép,
bảo vệ các dịch vụ mạng, đảm bảo an ninh thông tin khi dung máy tính di dộng và
phương tiện điện thoại
- Duy trì và phát triển các hệ thống: Đảm bảo an ninh được xây dựng bên
trong các HTTT. Ngăn cản, điều chỉnh và lạm dụng dữ liệu của người dung trong
các hệ thống ứng dụng, bảo vệ tính tin cậy, tính xác thực hoặc nguyên vẹn của
thông tin. Đảm bảo các dự án CNTT và các hoạt động hỗ trợ được điều hành trong
một thể thức an ninh. Duy trì an ninh phần mềm hệ thống ứng dụng thông tin
- Quản lý sự liên tục trong kinh doanh: Chống lại sự ngưng trệ của các hoạt
động kinh doanh và bảo vệ các quá trình kinh doanh quan trọng từ hậu quả của lỗi
lớn hoặc hiểm họa
- Tuân thủ: Tránh sự vi phạm của mọi luật công dân và hình sự, tuân thủ pháp
luật, quy định hoặc nghĩa vụ hợp đồng và mọi yêu cầu về an ninh. Đảm bảo sự tuân
thủ của các hệ thống với các chính sách an ninh và các chuẩn. Tăng tối đa hiệu quả
và giảm thiểu sự đến quá trình đánh giá hệ thống.
1.1.2 Khái niệm liên quan đến vấn đề đảm bảo an toàn HTTT doanh nghiệp
Malware (hay còn gọi là phần mềm độc hại) là bất kỳ loại phần mềm nào có
thể làm hại máy tính của bạn, các phần mềm độc hại tấn công bằng nhiều phương
pháp khác nhau để xâm nhập vào hệ thống với các mục đích khác nhau như: virus,
sâu máy tính (Worm), phần mềm gián điệp (Spyware),...
8
Hình 1.3: Phần mềm độc hại
(Nguồn: />Virus: Là một chương trình máy tính có thể tự sao chép chính nó lên những
đĩa, file khác mà người sử dụng không hay biết. Thông thường virus máy tính mang
tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các
tính chất: Kích thước nhỏ, có tính lây lan từ chương trình này sang chương trình
khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá
hoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy
nhiên cũng có một số virus không gây hại như chương trình được tạo ra chỉ với mục
đích trêu đùa).
Worm: Loại virus lây từ máy tính này sang máy tính khác qua mạng, khác với
loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây
sang máy khác khi ai đó đem chương trình nhiễm virus sang máy này.
Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm gián
điệp, chúng không lây lan như virus. Thường bằng cách nào đó (lừa đảo người sử
dụng thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài
đặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra
bên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân.
Để bảo vệ người dùng, các chuyên gia bảo mật nghiên cứu thiết kế các hệ
phòng vệ như tường lửa (firewall), mã hóa (encryption),xác thực (authentication), quét
virus (anti-virus), lọc thư rác (spam filter), chống gián điệp (anti-spyware)... Tuy nhiên
các công cụ này chỉ có thể phát huy tác dụng đối với người dùng cẩn trọng.
Trong Công nghệ mạng thông tin, tường lửa (firewall) là một kỹ thuật được
tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số
9
thông tin khác không mong muốn.
Mã hóa (encryption) là quá trình chuyển văn bản rõ thành văn bản mã hóa.
Giải mã (decryption) là quá trình đưa văn bản mã hóa về lại văn bản gốc ban đầu.
Trong an ninh máy tính, xác thực là một quy trình nhằm cố gắng xác minh
nhận dạng số của phần truyền gửi thông tin trong giao thông liên lạc chẳng hạn như
một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng sử
dụng một máy tính, bản thân một máy tính hoặc một chương trình ứng dụng máy.
Ngược lại sự tin cậy mù quáng hoàn toàn không thiết lập sự đòi hỏi nhận dạng, song
chỉ thiết lập quyền hoặc địa vị hẹp hòi của người dùng hoặc của chương trình ứng
dụng mà thôi.
1.2 Một số cơ sở lý luận về an toàn bảo mật HTTT trong doanh nghiệp
1.2.1. Hình thức tấn công HTTT
- Tấn công quét cổng (Port Scanning Attacks): Kẻ tấn công theo dõi máy tính
và các thiết bị kết nối đi ra Internet và tìm xem cổng TCP hay UDP (User Datagram
Protocol - Giao thức UDP) nào đang trao đổi thông tin và dịch vụ nào đang hoạt
động. Ta có thể giám sát được các máy ở bên ngoài bị quét cổng ở trên hệ thống của
mình. Tấn công này là bước đầu tiên để xác định điểm yếu của hệ thống. Một số
công cụ để thực hiện: Supper Scan, Nmap, Strobe.
- Tấn công nghe trộm (Eavesdropping Attacks) còn được gọi là đánh
hơi(sniffing): Kẻ tấn công cố gắng truy nhập vào các cuộc trao đổi thông tin có tính
chất riêng tư bằng các thiết bị chuyên dụng để ăn cắp thông tin về nội dung cuộc
trao đổi hay ăn cắp username & password. Có thể thực hiện bằng các đường dây
liên lạc thông thường hay các tuyến thông tin không dây.
- Tấn công giả mạo địa chỉ IP (IP Spoofing Attacks): Kẻ tấn công tạo ra các
gói tin IP với điạ chỉ IP là giả mạo và sử dụng các gói tin đó nhằm đạt được quyền
truy nhập vào các hệ thống ở xa. Kĩ thuật này dựa trên cơ sở:
● Các ứng dụng và dịch vụ được xác thực dự trên địa chỉ IP nguồn
● Các thiết bị chạy Sun RPC, X Windows;
● Các dịch vụ đã được bảo mật sử dụng giao thức TCP;
● Network File System (NFS), UNIX Rlogin command.
- Tấn công chiếm đoạt quyền điều khiển (Hijacking Attacks): Kẻ tấn công
dành lấy quyền điều khiển các phiên TCP (sau thủ tục xác thực khi bắt đầu mỗi
phiên) để đạt được quyền truy nhập vào dữ liệu hay tài nguyên của mạng với danh
nghĩa là người sử dụng hợp lệ.
- Tấn công truyền lại (Replay Attacks): Kẻ tấn công bắt giữ các gói tin trên
10
mạng sau đó lưu và truyền lại để đạt được quyền truy nhập vào 1 host hay 1 mạng
nào đó. Phương pháp tấn công này sẽ thành công nếu các kẻ tấn công bắt giữ được
các gói tin mang Username & Password hay các thông tin xác thực khác.
- Tấn công kẻ trung gian (Man-in-Middle Attacks): Kẻ tấn công chen ngang
vào giữa 2 bên đang trao đổi thông tin để truy nhập được vào cuộc trao đổi đó. Kẻ
tấn công giả dạng là bên gửi và bên nhận thông tin khi trao đổi giữa Client &
Server. Máy tính trung gian mạo danh là máy chủ khi giao tiếp với máy trạm và
mạo danh là máy trạm khi giao tiếp với máy chủ Điều này cho phép cho máy trung
gian ghi lại hết được nội dung trao đổi giũa máy trạm và máy chủ.
- Tấn công từ chối dịch vụ (Denial of Services): Được chia làm hai loại là DoS và
DdoS:
● DoS attacks: Kẻ tấn công cố tÌnh làm sập các hệ thống cung cấp các dịch vụ
mạng bằng cách: Làm nghẽn các đường link của hệ thống bằng dồn vào đó nhiều
data hơn hẳn khả năng truyền tải có thể.Gửi dữ liệu để hai thác các lỗ hổng trong 1
ứng dụng. Chi phối các tài nguyên của 1 hệ thống đến mức mà nó phải shuts down.
● DDoS Attacks: Kẻ tấn công dành được quyền điều hiển hay thao túng được
nhiều máy tính trên các mạng hác nhau nằm phân tán để thực hiện 1 tấn công DoS
- Tấn công sử dụng mã nguồn độc (Malicious Code Attacks): Kẻ tấn công đưa
các đoạn mã nguồn độc vào hệ thống của người sử dụng để phá hỏng hay vô hiệu
hóa hệ điều hành hay các ứng dụng.
- Tấn công chống lại cấu hình bảo mật mặc định (Attacks Against Default
Security Configuration) thường là như sau: Kẻ tấn công truy nhập vào máy t nh để
phá hủy hoạt động của máy tính bằng cách khai thác các lỗ hổng trong công tác bảo
mật của hệ điều hành. Tấn công này dựa trên các điểm yếu trong các cấu hình mặc
định của hệ điều hành.
- Tấn công khai thác phần mềm (Software Exploitation Attacks): Kẻ tấn công
truy nhập vào hệ thống hay các dữ liệu nhạy cảm bằng cách khai thác các điểm yếu
hay tính năng của ứng dụng.
- Tấn công ăn cắp password (Password Attacks): Kẻ tấn công cố gắng đoán
biết password hay tìm cách phá file mật khẩu được mã hóa.
- Backdoor Attacks: Kẻ tấn công truy nhập vào hệ thống bằng cách sử dụng 1
chương trình phần mềm nhỏ hỗ trợ hay bằng cách tạo ra 1 user giả (không tồn tại).
- Tấn công tiếp quản (Takeover Attack): Kẻ tấn công truy nhập được vào hệ
thống ở xa và dành được quyền kiểm soát hệ thống đó bằng cách sử dụng các
phương pháp tấn công ở trên.
11
1.2.2. Các nguy cơ mất ATTT trong HTTT
- Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các
hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất
điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó
tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT.
- Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài,
phá hỏng vật lý, can thiệp có chủ ý.
- Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho
bên thứ ba.
- Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:
+ “Bắt” thông tin ở giữa đường di chuyển từ “Nguồn” tới “Đích”, sửa đổi hay
chèn, xoá thông tin và gửi đi tiếp.
+ Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “Đích”.
+ Tạo “Đích” giả để lừa thông tin đến từ nguồn đích thật.
- Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin
có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng
người truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường
truyền lại quá nhỏ gây ra tắc nghẽn.
1.2.3. Các giải pháp đảm bảo ATTT trong HTTT
Bảo vệ thông tin về mặt vật lý:
Để bảo vệ an toàn thông tin của hệ thống cần có các thiết bị và biện pháp
phòng chống các nguy cơ gây mất an toàn thông tin về khía cạnh vật lý như: Thiết
bị lưu điện, lắp đặt hệ thống điều hòa nhiệt độ và độ ẩm. Luôn sẵn sàng các thiết bị
chữa cháy nổ, không đặt các hóa chất gần hệ thống. Thường xuyên sao lưu dữ liệu.
Sử dụng các chính sách vận hành hệ thống đúng quy trình an toàn và bảo mật.
12
Bảo vệ với nguy cơ mất thông tin:
Cung cấp những hướng dẫn, những quy tắc, và những quy trình để thiết lập
một môi trường thông tin an toàn. Các chính sách của hệ thống có tác dụng tốt nhất
khi người dùng được tham gia vào xây dựng chúng, làm cho họ biết rõ được tầm
quan trọng của an toàn. Đào tạo và cho người dùng tham gia vào uỷ ban chính sách
an toàn là 2 cách để bảo đảm rằng người dùng cảm thấy chính bản thân họ là những
nhân tố trong việc xây dựng HTTT an toàn. Một ưu điểm của việc gắn người dùng
theo cách này là nếu người dùng hiểu được bản chất của các mối đe dọa về an toàn,
họ sẽ không làm trái các nỗ lực bảo đảm an toàn. Một chính sách của một tổ chức
có thể tập trung vào một số vấn đề sau:
-Đào tạo cho người dùng về các kỹ thuật an toàn và các phần mềm phá hoại.
-Yêu cầu người dùng phải quét các thiết bị lưu trữ bằng các phần mềm quét
virus trước khi sử dụng chúng.
-Thiết lập các chính sách quy định những phương tiện nào từ bên ngoài có thể
mang được vào hệ thống và cách sử dụng chúng như thế nào.
-Thiết lập các chính sách để ngăn chặn người dùng tự cài đặt các phần mềm
riêng của họ, giảm thiểu hoặc ngăn chặn người dùng tải về các tệp và yêu cầu người
dùng phải quét virus đối với các tệp này.
-Tạo một vùng riêng để người dùng cách ly các tệp có nguồn gốc không rõ
ràng để quét chúng trước khi sử dụng.
-Xây dựng chính sách giới hạn quyền để kiểm soát truy cập vào hệ thống.
-Thường xuyên sao lưu tài nguyên thông tin quan trọng với hệ thống dự
phòng. Sao lưu dự phòng hệ thống là việc quan trọng để bảo vệ hệ thống do lỗi đĩa,
mất mát dữ liệu hay do phần mềm phá hoại. Nếu ta sao lưu dữ liệu mà sau đó hệ
thống bị nhiễm một mã độc phá hoại hay xoá các tệp, thì ta có thể khôi phục lại
được các tệp đó hay toàn bộ hệ thống.
Bảo vệ với nguy cơ bị tấn công bởi các phần mềm độc hại :
Phần mềm độc hại có thể xâm nhập vào máy tính của bạn theo một số cách
khác nhau. Dưới đây là một số ví dụ phổ biến:
- Tải xuống phần mềm miễn phí từ Internet bí mật chứa phần mềm độc hại.
- Tải xuống phần mềm hợp pháp bí mật có kèm theo phần mềm độc hại.
- Truy cập vào trang web bị nhiễm phần mềm độc hại.
13
- Nhấp vào thông báo lỗi hoặc cửa sổ bật lên giả mạo bắt đầu tải xuống phần
mềm độc hại.
- Mở tệp đính kèm email chứa phần mềm độc hại.
Có nhiều cách khác nhau để phần mềm độc hại phát tán, nhưng điều đó không
có nghĩa là bạn không có cách để ngăn chặn phần mềm độc hại. Sau đây là một số
cách để ngăn chặn phần mềm độc hại:
- Luôn cập nhật máy tính và phần mềm đang dùng: Người dùng Windows có
thể cài đặt bản cập nhật bằng cách sử dụng tính năng được gọi là "Cập nhật
Windows", trong khi người dùng các sản phẩm khác có thể cài đặt bản cập nhật
bằng cách sử dụng tính năng được gọi là "Cập nhật phần mềm". Nếu người dùng
không quen với các tính năng này thì nên tìm kiếm trang web Microsoft và trang
các hãng tương ứng để biết thêm thông tin về cách cài đặt bản cập nhật hệ thống
trên máy tính của mình. Ngoài hệ điều hành của máy tính, phần mềm máy tính cũng
phải được cập nhật với phiên bản mới nhất. Phiên bản mới hơn thường chứa bản
sửa lỗi bảo mật hơn để ngăn chặn phần mềm độc hại tấn công.
- Sử dụng tài khoản không phải là quản trị bất cứ khi nào có thể: Hầu hết các
hệ điều hành đều cho phép người dùng tạo nhiều tài khoản người dùng trên máy
tính để những người dùng khác nhau có thể có các cài đặt khác nhau. Người dùng
có thể thiết lập những tài khoản này để có các cài đặt bảo mật khác nhau.
- Hãy cân nhắc mỗi khi nhấp vào liên kết hoặc tải bất cứ thứ gì về máy: Trong
thế giới thực, hầu hết mọi người đều có thể hơi nghi ngờ khi bước vào tòa nhà có vẻ
khả nghi với bảng hiệu trưng bày "Máy tính miễn phí!" có đèn nhấp nháy. Trên
web, bạn cũng nên áp dụng mức độ thận trọng tương tự khi truy cập vào trang web
không quen thuộc tuyên bố cung cấp những thứ miễn phí. Tải xuống là một trong
những cách chính khiến mọi người bị nhiễm phần mềm độc hại, vì vậy, hãy nhớ suy
nghĩ thật kỹ về nội dung bạn tải xuống và nơi bạn tải xuống.
- Hãy thận trọng khi mở tệp đính kèm hoặc hình ảnh trong email: Người dùng
nên thận trọng nếu một người nào đó gửi cho mình email đáng ngờ có chứa tệp đính
kèm hoặc hình ảnh. Đôi khi, những email đó có thể chỉ là spam, nhưng đôi khi,
những email đó có thể bí mật chứa phần mềm độc hại gây hại.
- Sử dụng phần mềm diệt virus: Nếu bạn cần phải tải xuống mục gì đó, bạn
nên sử dụng chương trình diệt virus để quét phần mềm độc hại cho bản tải xuống đó
14
trước khi mở. Phần mềm diệt virus cũng cho phép quét phần mềm độc hại trên toàn
bộ máy tính của người dùng. Nên thường xuyên quét máy tính của mình để sớm
phát hiện phần mềm độc hại và ngăn chặn phần mềm độc hại đó phát tán. Sử dụng
các công cụ quét phần mềm phá hoại là một cách hiệu quả để bảo vệ hệ điều hành.
Mặc dù chúng có thể quét hệ thống để phát hiện virus, sâu mạng và trojan horse,
nhưng chúng thường được gọi là công cụ quét virus.
Bảo vệ với dạng tấn công lỗ hổng bảo mật:
Một số hệ điều hành mới thường có những lỗ hổng bảo mật truy nhập Internet
hoặc các lỗi làm cho hệ thống bị các xung đột không mong muốn, làm cho các lệnh
không hoạt động bình thường và nhiều vấn đề khác. Hiện nay nhiều kẻ xấu hay lợi
dụng những lỗ hổng bảo mật để tấn công vào các hệ thống để phá hoại hoặc lấy cắp
thông tin vì vậy người dùng nên thường xuyên cài đặt các bản cập nhật (updates)
bảo vệ hệ thống của mình. Việc cài đặt các bản cập nhật và các bản vá lỗi (patches)
là cách rất hiệu quả để chống lại các tấn công trên một hệ điều hành.
Bảo vệ thống tin trước nguy cơ tấn công bằng cách phá mật khẩu:
Sử dụng phương thức chứng thực tên truy cập và mật khẩu là phương pháp
được dùng phổ biến đối với các hệ thống vì vậy xây dựng một chính sách sử dụng
mật khẩu tốt sẽ đạt hiệu quả cao như: Tạo một quy tắc đặt mật khẩu riêng cho mình,
không nên dùng lại mật khẩu đã sử dụng, tránh những mật khẩu dễ đoán như ngày
sinh, tên người thân,… thường xuyên thay đổi mật khẩu đăng nhập hệ thống để
tránh trường hợp người dùng vô tình làm lộ mật khẩu hoặc kẻ xấu cố tình lấy cắp
mật khẩu.
Sử dụng các ký tự mật khẩu có tính an toàn cao như: Sử dụng mật khẩu có độ
dài đủ lớn (8 ký tự trở lên) và trong đó có sử dụng các ký tự chữ in, chữ thường, ký
tự đặc biệt, ký tự số,…
Bảo vệ thông tin do nguy cơ do sử dụng email:
Trong thời gian gần đây virus hoành hành và tấn công vào các email đã trở
thành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn thất nặng
nề. Để đảm bảo an toàn cho email cần có ý thức bảo vệ được máy tính bằng việc
tuân thủ các điều sau:
- Không mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ email mà không
biết rõ hoặc không tin tưởng.
15
- Không mở bất kỳ email nào mà mình cảm thấy nghi ngờ, thậm chí cả khi
email này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền qua
đường e-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book) trong
máy nạn nhân để tự phát tán. Do vậy, nếu không chắc chắn về một email nào thì hãy
tìm cách xác nhận lại từ phía người gửi.
- Không mở những tập tin đính kèm theo các email có tiêu đề hấp dẫn, nhạy cảm.
- Nên xóa các email không rõ hoặc không mong muốn và không forward
(chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi. Những
email này thường là thư rác (spam).
- Không sao chép vào đĩa cứng bất kỳ tập tin nào mà bạn không biết rõ hoặc
không tin tưởng về nguồn gốc xuất phát của nó.
- Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính. Dùng
một chương trình diệt virus được cập nhật thường xuyên để kiểm tra những tập tin
này. Nếu nghi ngờ về một tập tin chương trình hoặc một email thì đừng bao giờ mở
nó ra hoặc tải về máy tính của mình. Cách tốt nhất trong trường hợp này là xóa
chúng hoặc không tải về máy tính của mình.
- Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên như
Norton Anti Virus, McAffee, Trend Micro, BKAV, D32... Sử dụng những chương
trình diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường xuyên giám
sát các hoạt động trên máy tính và ở chức năng quét email.
Bảo vệ do mất an toàn thông tin trong quá trình lưu thông và truyền tin:
Để bảo vệ thông tin trong quá trình lưu thông và truyền tin trên mạng thường
dùng các kỹ thuật an toàn thông tin như: mã hóa, giấu tin, thủy vân số, chữ ký số,..
Bảo vệ hệ thống bằng tường lửa (Firewall):
Tường lửa có thể là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai. Nếu
là phần cứng thì sử dụng bộ bộ định tuyến (router). Bộ định tuyến có các tính năng
bảo mật cao cấp, trong đó có khả năng kiểm soát địa chỉ IP (IP Address là sơ đồ địa
chỉ hoá để định nghĩa các trạm (host) trong liên mạng). Quy trình kiểm soát cho
phép định ra những địa chỉ IP có thể kết nối với mạng của tổ chức, cá nhân và
ngược lại. Tính chất chung của các tường lửa là phân biệt địa chỉ IP hay từ chối việc
truy nhập không hợp pháp căn cứ trên địa chỉ nguồn.
16
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)
và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).
- Cho phép hoặc cấm những dịch vụ truy nhập vào trong (từ Internet vào
Intranet).
-Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
-Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
-Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
-Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
1.2.4. Quy trình đảm bảo ATTT cho HTTT
Để đảm bảo an toàn thông tin cho hệ thống thông tin thì doanh nghiệp cần
thực hiện các bước:
Bước 1: Thành lập bộ phận chuyên trách về vấn đề bảo mật
Bất kỳ kế hoạch bảo mật nào cũng cần sự hỗ trợ trên nhiều phương diện khác
nhau, nếu nó muốn thành công. Một trong những phương thức tốt nhất để có thể
được sự hỗ trợ là nên thiết lập một bộ phận chuyên trách về vấn đề bảo mật. Bộ
phận này sẽ chịu trách nhiệm trước công ty về các công việc bảo mật.
Mục đích trước tiên của bộ phận này là gây dựng uy tín với khách hàng. Hoạt
động của bộ phận này sẽ khiến cho khách hàng cảm thấy yên tâm hơn khi làm việc
hoặc sử dụng các dịch vụ của công ty.
Bộ phận này có trách nhiệm thường xuyên cung cấp các lưu ý, cảnh báo liên
quan đến an toàn bảo mật thông tin nhằm tránh các rủi ro đáng tiếc cho khách hàng
và công ty.
Bộ phận này còn có trách nhiệm tìm hiểu, đưa ra giải pháp, cơ chế bảo mật
cho toàn công ty. Sẽ là hiệu quả và xác thực hơn khi công việc này được thực hiện
bởi chính đội ngũ trong công ty thay vì đi thuê một công ty bảo mật khác thực hiện.
Cuối cùng, một bộ phận chuyên trách về vấn đề bảo mật có thể thay đổi cách
làm, cách thực hiện công việc kinh doanh của công ty để tăng tính bảo mật trong
khi cũng cải tiến được sức sản xuất, chất lượng, hiệu quả và tạo ra sức cạnh tranh
của công ty.
Bước 2: Thu thập thông tin
17
Trước khi đưa ra các thông báo mô tả thực hiện bảo mật, doanh nghiệp phải
lường được mọi tình huống sẽ xảy ra, không chỉ bao gồm toàn bộ các thiết bị và hệ
thống đi kèm trong việc thực hiện bảo mật mà còn phải kế đến cả các tiền trình xử
lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được bảo vệ. Điều này
rất quan trọng khi cung cấp một cái nhìn bao quát về hệ thống bảo mật của công ty.
Tiến trình:
+ Bắt đầu với những vấn đề có thể dẫn tới độ rủi ro cao nhất trong hệ thống
mang, internet.
+ Sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng.
+ Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài
vào. Đây chính là điểm mấu chốt trong việc đánh giá hệ thống. Cơ chế bảo mật bên
trong cũng giúp việc quản lý bảo mật công ty được tốt hơn. Bằng cách kiểm tra toàn
bộ công việc kinh doanh, các cơ chế chính sách, các quá trình xử lý, xác thực dữ
liệu tương phản với những gì được mô tả, hay sự tương thích với những chuẩn đã
tồn tại được thẩm định.
Cơ chế bảo mật bên trong cung cấp thông tin một cách chi tiết tương tự như
việc khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm cả việc phá mã
mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về chính
sách trong tương lai.
Bước 3: Thẩm định rủi ro của hệ thống
- Sử dụng công thức:
Tính rủi ro = Giá trị thông tin * Mức độ của lỗ hổng * Khả năng mất thông tin
Tính rủi ro bằng với giá trị thông tin trong trong câu hỏi (giá trị đồng tiền, giá
trị thời gian máy, giá trị mất mát khách hàng), thời gian của quy mô lỗ hổng, thời
gian về khả năng xuất hiện mất thông tin.
- Trả lời một số câu hỏi như:
Doanh nghiệp phải thẩm định được độ rủi ro của hệ thống, lường trước được
mọi tình huống có thể xảy ra để luôn chủ động trong vấn đề bảo đảm an toàn thông
tin cho hệ thống.
Bước 4: Xây dựng giải pháp
Trên thực tế không tồn tại giải pháp an toàn, bảo mật thông tin cho các tổ
chức. Không có một tài liệu nào có thể lượng hết được mọi lỗ hổng trong hệ thống
và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách
tốt nhẫt vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật
đa năng.
18
Bước 5: Thực hiện và giáo dục
Ban đầu, sự hỗ trợ cần thiết sẽ được đúc rút lại và lên kế hoạch hoàn chỉnh cho
dự án bảo mật. Đây chính là bước đi quan trọng mang tính chiến lược của mỗi công
ty về vấn đề bảo mật. Các chi tiết kỹ thuật của bất kỳ sự mô tả nào cũng sẽ thay đổi
theo môi trường, công nghệ, và các kỹ năng liên quan, ngoài ra có một phần không
nằm trong việc thực thi bảo mật nhưng chúng ta không được coi nhẹ, đó chính là sự
giáo dục.
Để đảm bảo sự thành công bảo mật ngay từ lúc đầu, người sử dụng phải có
được sự giáo dục cần thiết về chính sách, gồm có:
- Kỹ năng về các hệ thống bảo mật mới, các thủ tục mới.
- Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng của công ty.
- Hiểu các thủ tục bắt buộc mới, chính sách bảo mật công ty.
Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản, mà đòi
hỏi học phải biết như tại sao và cái gì họ đang làm là cần thiết với chính sách của
công ty.
Bước 6: Tiếp tục kiểm tra, phân tích và thực hiện
Hầu hết những gì mong đợi của một hệ thống bảo mật bất kỳ là chạy ổn định,
điều khiển được hệ thống và nắm bắt được các luồng dữ liệu của hệ thống. Quá
trình phân tích, tổng hợp các thông tin, sự kiện từ firewall, IDSs, VPN, router,
server, và các ứng dụng là cách duy nhất để kiểm tra hiệu quả của một hệ thống bảo
mật, và cũng là cách duy nhất để kiểm tra hầu hết sự vi phạm về chính sách cũng
như các lỗi thông thường mắc phải với hệ thống.
1.3 Tổng quan tình hình nghiên cứu
1.3.1 Tình hình nghiên cứu trong nước
Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin
trong trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu,
sách và tài liệu khoa học về an toàn và bảo mật thông tin ra đời như:
Đàm Gia Mạnh (2009),Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB Thống Kê
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như
những nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong
TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an
toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập
đến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như
19
các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh
doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình.
Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống
thông tin, Đại học Nha Trang.
Bài giảng đưa ra một số vấn đề an toàn bảo mật thông tin và việc khắc phục,
bảo vệ thông tin trong quá trình truyền thông tin trên mạng và bảo vệ hệ thống máy
tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài giúp cho các nhà
kinh doanh cũng như doanh nghiệp áp dụng cho hệ thống của mình.
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an
toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an
toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT
nói chung và đi sâu vào một doanh nghiệp cụ thể.
1.3.2 Tình hình nghiên cứu trên thế giới
Từ những năm 1980, cùng với sự phát triển của CNTT trên thế giới, HTTT
cũng bắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an
ninh thông tin được đặt ra. Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể
kể đến như:
✓ “Information
Systems Security Desings Methods: Implications for
Information Sysytems Deverlopment” Richard Baskerville, School of Managerment,
Binghamton, New York (1993).
✓ “Information Systems Security Management in the New Millenium”,
Gurpeet Dhillon and James Backhouse, Spain.
✓ “Management Planting Guidce for Information Systems Security
Auditing”, National State Auditors Association and the US General Accounting
Office.
Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới. Các
tài liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng đều
hướng tới mục tiêu chung là xây dựng một HTTT an toàn.
20
