Tải bản đầy đủ (.docx) (59 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

luận văn hệ thống thông tin kinh tế một số giải pháp đảm bảo an toàn thông tin cho công ty cổ phần truyền thông và công nghệ ichip

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (521.9 KB, 59 trang )

1

LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận
được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Lê Thị Thu, cùng sự
giúp đỡ của ban giám đốc và toàn thể nhân viên công ty cổ phần truyền thông và
công nghệ iChip.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Lê Thị Thu– Giáo
viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóa
luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới Ban giám đốc cũng như các
anh/chị làm việc tại công ty cổ phần truyền thông và công nghệ iChip vì sự quan
tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông
Tin Kinh Tế và Thương Mại Điện Tử về sự động viên khích lệ mà em đã nhận
được trong suốt quá trình học tập và hoàn thành khóa luận này.
Do thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bản
thân em còn hạn chế. Vì vậy, khóa luận chắc chắn sẽ gặp phải nhiều sai sót. Em
kính mong cô giáo Lê Thị Thu, các thầy cô giáo trong khoa Hệ Thống Thông Tin
Kinh Tế và Thương Mại Điện Tử, các anh/chị nhân viên trong công ty cổ phần
truyền thông và công nghệ iChip chỉ bảo để khóa luận có giá trị cả về lý luận và
thực tiễn.
Em xin chân thành cảm ơn!
Hà Nội, ngày 26 tháng 4 năm 2017
Sinh viên thực hiện

Võ Thị Thu Trang

1

1


1


2

MỤC LỤC

2

2
2


3

DANH MỤC HÌNH VẼ - BẢNG BIỂU – SƠ ĐỒ

HÌNH VẼ

BẢNG BIỂU
Bảng 2.1: Kết quả kinh doanh của công ty trong 3 năm 2014, 2015, 2016
Bảng 2.2 Trang, thiết bị phần cứng
Biểu đồ 2.1 Chất lượng trang thiết bị phần cứng
Biểu đồ 2.2: Các giải pháp bảo mật thông tin trên phần cứng
Biểu đồ 2.3: Giải pháp bảo mật phần cứng
Biểu đồ 2.4 Cách thức đảm bảo ATTT cho phần mềm
Biểu đồ 2.5: Các giải pháp bảo mật cho phần mềm tại công ty
Biểu đồ 2.6: Tốc độ truy cập mạng của công ty
Biểu đồ 2.7: Cácgiải pháp bảo mật mạng
Biểu đồ 2.8: Tần suất sao lưu dữ liệu

Biểu đồ 2.9 : Các hình thức giao dịch chủ yếu của khách hàng
Biểu đồ 2.10 Trình độ CNTT của nhân viên trong công ty
Biểu đồ 2.11 Mức độ quan trong việc bảo mật website
Biểu đồ 2.12 Thời gian công ty tiến hành bảo mật website
Biểu đồ 2.13: Các phương thức bảo mật thông tin website

3

3
3


4

DANH MỤC TỪ VIẾT TẮT
Tên từ viết tắt
ATBM
ATTT
CNTT
CSDL
HTTP
HTTT
LAN
SSL
WEP

4

Thuật ngữ


HyperText Transport Protocol
Local Area Network
Secure Sockets Layer
Wireless Encryption Protocol

4
4

Giải nghĩa
An toàn bảo mật
An toàn thông tin
Công nghệ thông tin
Cơ sở dữ liệu
Giao thức truyền tải siêu văn bản
Hệ thống thông tin
Mạng cục bộ
Giao thức an ninh thông tin mạng
Giao thức mã hoá mạng không dây


CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU

1.1. Tầm quan trọng, ý nghĩa của đề tài
Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh
vực nào. Việc nắm bắt được thông tin, dữ liệu một cách nhanh chóng và kịp thời có
thể giúp cá nhân và tổ chức đưa ra những cách giải quyết đúng đắn, giúp họ đứng
vững và phát triển trước sự thay đổi của xã hội.
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được
xem là sự sống còn đối với các doanh nghiệp. Thông tin không những giúp doanh
nghiệp đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng

lực sản xuất, giúp cho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong
và ngoài nước. Nhưng cũng chính vì tầm quan trọng đó mà khi thông tin bị mất an
toàn có thể gây thiệt hại nặng nề cho doanh nghiệp. Việc mất mát, rò rỉ thông tin có
thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với
khách hàng. Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo mật
thông tin doanh nghiệp.
Công ty cổ phần truyền thông và công nghệ iChip là công ty hoạt động trong
lĩnh vực cung cấp các dịch vụ Marketing, tư vấn chiến lược truyền thông quảng bá;
quảng cáo qua Facebook, Youtube; tổ chức sự kiện...Vì vậy, thông tin và dữ liệu
liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng… là rất quan trọng.
Nó ảnh hưởng trực tiếp và gián tiếp đến hoạt động kinh doanh và sản xuất của công
ty. Tuy nhiên, công ty vẫn chưa có sự đầu tư đúng mức cho vấn đề an toàn bảo mật
thông tin của mình. Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn
rời rạc, tính nhất quán chưa cao.
Xuất phát từ sự cần thiết đó, và qua quá trình tìm hiểu và thực tập tại Công ty
cổ phần truyền thông và công nghệ iChip, em xin thực hiện đề tài khóa luận “Một
số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần truyền thông và
công nghệ iChip”.

5


1.2. Tổng quan vấn đề nghiên cứu
An toàn bảo mật thông tin không phải là vấn đề mới. Trong những năm qua,có
rất nhiều giáo trình, công trình nghiên cứu khoa học, bài báo...nghiên cứu về các
giải pháp an toàn bảo mật thông tin giúp cho doanh nghiệp, tổ chức có thể đảm bảo
an toàn thông tin, dữ liệu của mình.
1.2.1 Tình hình nghiên cứu trong nước
- Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB Thống Kê.

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu
trong thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu
trong TMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công
trong TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể
về an toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề
cập đến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng
như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà
kinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày.
- Phan Đình Diệu (2002), Giáo trình “ Lý thuyết mật mã và an toàn thông
tin”, Đại học Quốc gia Hà Nội.
Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học
có liên quan đến việc đảm bảo an toàn thông tin. Hệ mật khoá đối xứng, hệ mật
khoá công khai; Chữ ký điện tử, ứng dụng và thực hành.
- Theo Th.s Nguyễn Văn Hùng- Khoa HTTTQL trường Học viện Ngân hàng
đã thực hiện bài nghiên cứu khoa học “Các vấn đề bảo mật và an toàn dữ liệu của
ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây”. Các ngân hàng
ngày càng gặp nhiều khó khăn trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ
liệu của họ bởi vì nó đang được tăng lên nhanh chóng theo từng ngày. Sự ra đời của
công nghệ ĐTĐM cùng với khả năng cung cấp một cơ sở hạ tầng không giới hạn để
truy suất, lưu trữ dữ liệu tại các vị trí địa lý khác nhau là một giải pháp tốt cho cơ sở
hạ tầng CNTT để các ngân hàng xử lý các vấn đề khó khăn trên. Tuy nhiên hạn chế
của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên cứu mang tính chất lý thuyết,
6


chưa có nhiều thực nghiệm cũng như khuyến nghị về an ninh bảo mật trong điện
toán đám mây.
- Ngày 29/3/2016, Tổng cục An ninh (Bộ Công an) và Tập đoàn dữ liệu quốc
tế Việt Nam (IDG Việt Nam) đã khai mạc Hội thảo- Triển lãm Quốc gia về An ninh
Bảo mật (Security World) 2016 với chủ đề “An toàn thông tin, bảo mật cơ sở dữ

liệu: Yêu cầu bức thiết trong kỷ nguyên số”. Những năm gần đây, các loại hình dịch
vụ Internet ngày càng phát triển đa dạng, trong đó hầu hết mọi dữ liệu, thông tin đều
có trao đổi thông qua không gian mạng. Hội thảo đã xác định nguyên nhân chủ yếu
do sự chủ quan, hạn chế trong nhận thức, thiếu hụt đầu tư an ninh thông tin của các
doanh nghiệp. Hầu hết không có bộ phận an ninh thông tin,nhân sự chuyên trách
cũng chỉ là một vị trí kiêm nhiệm của bộ phận CNTT.
1.2.2. Tình hình nghiên cứu nước ngoài
- Nicolas Sklavos and Xinmiao Zhang (3/2007), Wireless Securiry and
Cryptography – Specifications and Implementations, CRC Press
Cuốn sách các đặc tả và cài đặt bảo mật mạng không dây và mật mã. Liên lạc
không dây đã trở thành một phương thức quan trọng để hỗ trợ các dịch vụ điện tử.
Trong các giao thức không dây hiện nay và trong tương lai, môi trường truyền
thông bảo mật sẽ đóng một vai trò quan trọng. Các hệ thống truyền thông di động
hiện nay và trong tươn lai lại các nhu cầu đặc biệt với mật mã.
Trong khi tổng hợp các vấn đề chủ chốt được bao hàm để đạt tới hiệu suất
mong muốn trong các cài đặt an toàn, cuốn sách Wireless Security and
Cryptography: Specifications and Implementations tập trung vào các cách tiếp cận
tích hợp có thể thay thế cho bảo mật truyền thông không dây. Nó phân tích một cách
tổng quan tầng bảo mật hiện tại của các giao thức không dây và trình bày các đặc
trưng hiệu suất của các cài đặt bằng phần mềm và phần cứng. Cuốn sách này cũng
trình bày các phương pháp mới và hiệu quả để thực hiện lược đồ an toàn trong các
giao thức không dây với hiệu suất cao, phân tích các xu hướng nghiên cứu hiện đại
trong các cài đặt bảo mật giao thức không dây hiện tại và tương lai.
-

William Stallings (2005),Cryptography and network security

principles and

practices, Fourth Edition, Prentice Hall.

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh
7


mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng
ngày nay. Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard)
cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng,
thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để
xác thực, mã hoá chứng thực. Bao gồm phương pháp phòng tránh, mở rộng cập nhật
-

những phần mềm độc hại và những kẻ xâm hại.
Man Young Rhee (2003). Internet Security: Cryptographic principles, algorithms
and protocols. John Wiley & Sons.
Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên
tắc , các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc phục
các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực,
tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh
Internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai
và sau đó truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể
bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet. Các tài liệu trong cuốn
sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua một
cách nghiêm ngặt, kỹ lưỡng và chất lượng. Kiến thức của cuốn sách được viết để
phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên
cứu về các nguyên tắc bảo mật Internet.
Như vậy, vấn đề an toàn bảo mật thông tin riêng ngày càng được các doanh
nghiệp cũng như toàn xã hội quan tâm, nghiên cứu. Qua các hội thảo, bài nghiên
cứu, bài báo, nhiều vấn đề về an toàn thông tin đã được giải quyết, nhiều doanh
nghiệp đã tìm được hướng đi đúng cho mình, lựa chọn cho mình một giải pháp bảo

mật thông tin phù hợp giúp đảm bảo những thông tin mật, nâng cao hiệu quả
kinh doanh.
1.3 Mục tiêu nghiên cứu
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơ
bản về an toàn bảo mật thông tin. Từ đó, xem xét đánh giá phân tích thực trạng vấn
đề an toàn bảo mật thông tin để đưa ra những ưu nhược điểm. Từ những đánh giá
phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng cao tính
an toàn bảo mật thông tin. Giúp cho công ty nhận diện những nguy cơ và thách thức

8


của vấn đề an toàn bảo mật thông tin và có những giải pháp nâng cao tính an toàn
bảo mật, ngăn chặn các nguy cơ tấn công thông tin hiện tại và tương lai.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
-

Làm rõ cơ sở lý luận về an toàn bảo mật thông tin trong Công ty cổ phần truyền
thông và công nghệ iChip

-

Đánh giá thực trạng an toàn bảo mật thông tin trong Công ty cổ phần truyền thông
và công nghệ iChip

-

Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảo mật thông
tin trong Công ty cổ phần truyền thông và công nghệ iChip
1.4. Đối tượng và phạm vi nghiên cứu của đề tài

- Đối tượng của đề tài là vấn đề an toàn bảo mật thông tin tại Công ty cổ phần
truyền thông và công nghệ iChip
+ Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM thông
tin của doanh nghiệp.
+ Các chính sách phát triển đảm bảo ATBM thông tin trong công ty.
+ Các giải pháp ATBM thông tin trên thế giới áp dụng được của doanh nghiệp.

-

Phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh
nghiệp và trong giới hạn khoảng thời gian ngắn hạn. Cụ thể:
+ Về không gian: Nghiên cứu tình hình an toàn bảo mật thông tin nhằm đưa
ra một số giải pháp nâng cao an toàn bảo mật thông tin tại Công ty cổ phần truyền
thông và công nghệ iChip
+ Về thời gian: Các hoạt động ATBM thông tin của công ty thông qua các báo
cáo kinh doanh, số liệu được khảo sát qua 3 năm, năm 2014, 2015 và 2016. Đồng thời
trình bày các nhóm giải pháp, định hướng phát triển trong tương lai của công ty.
1.5. Phương pháp nghiên cứu của đề tài
1.5.1. Phương pháp thu thập dữ liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phương
pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa
đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện.
Phương pháp sử dụng phiếu điều tra:

9


-

Nội dung: Bảng câu hỏi các câu hỏi liên quan tới thông tin chung của doanh nghiệp,

xoay quanh các hoạt động đảm bảo ATBM thông tin được triển khai và hiệu quả của
các hoạt động này đối với Công ty cổ phần truyền thông và công nghệ iChip

-

Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho các nhân viên trong công ty để
thu thập ý kiến.

-

Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM thông tin của công
ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để
nâng cao hiệu quả của các hoạt động đảm bảo ATBM thông tin trong Công ty cổ
phần truyền thông và công nghệ iChip.
Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các
mục tiêu khác nhau của công ty.

-

Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của
công ty trong vòng 3 năm: 2014, 2015, 2016 được thu thập từ phòng hành chính,
phòng kế toán của công ty

-

Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo
của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet.
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ
bộ các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ

sung vào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu.
1.5.2. Phương pháp xử lý dữ liệu
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta
cần chia thông tin ra làm hai phương pháp chính:

-

Phương pháp định lượng:
Dữ liệu sau khi được thu thập sẽ được đưa ra phân tích thông qua việc sử dụng
Microsoft Office Excel 2007. Từ đó có thể rút ra một số đánh giá về thực trạng an
toàn bảo mật thông tin trong doanh nghiệp và tính cấp thiết của việc nâng cao tính
an toàn bảo mật thông tin.
- Phương pháp định tính:
Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng vấn, phiếu điều tra và
các tài liệu thu thập được từ nguồn khác (Internet, tạp chí công nghệ....). Phương
10


pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luận nhằm tìm ra
nguyên nhân, thực trạng của vấn đề an toàn bảo mật thông tin tại Công ty cổ phần
truyền thông và công nghệ iChip, để từ đó đưa ra các giải pháp phù hợp.
1.6 Kết cấu khóa luận
Khóa luận bao gồm ba phần:
Phần 1: Tổng quan về đề tài nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng của ATBM thông tin của Công ty cổ phần
công nghệ và truyền thông iChip
Phần 3: Một số giải pháp nâng cao hiệu quả ATBM thông tin tại Công ty cổ
phần công nghệ và truyền thông iChip


11


CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN
BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN TRUYỀN THÔNG VÀ
CÔNG NGHỆ ICHIP
2.1. Cơ sở lý luận ATBM thông tin
2.1.1. Một số khái niệm cơ bản
2.1.1.1. Khái niệm dữ liệu, thông tin trong doanh nghiệp
- Khái niệm thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ
về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng
dụng để nâng cao chất lượng và lưu lượng truyềntin thì các quan niệm ý tưởng và
biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ
liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có
rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu.
Trong lịch sử tồn tại và phát triển của mình, con người thường xuyên cần
đến thông tin. Để đưa ra được khái niệm về thông tin, trước hết ta cần hiểu thế nào
là dữ liệu?
+ Dữ liệu là: những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung
chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình
xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà
dữ liệu đang biểu hiện (Theo [1])
+Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân
tích, tổng hợp,…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông
tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử
dụng” (Theo [1])
Theo Russell Ackoff, thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối
quan hệ dữ liệu đã được xử lý để trở nên hữu ích.

- Vai trò của thông tin
Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp, nhất là
trong nền kinh tế thị trường hiện nay. Các tổ chức có thể sử dụng các thông tin với
nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt
được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt
12


được lợi thế cạnh tranh.Với bên ngoài, thông tin giúp nắm bắt được nhiều thông tin
về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát
triển.Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là
sẽ mất đi cơ hội kinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh
chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh
doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin doanh nghiệp
sẽ có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro.
2.1.1.2 An toàn bảo mật thông tin
- An toàn bảo mật thông tin
Một hệ thống thông tin được coi là an toàn khi thông tin không bị hỏng hóc,
không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho
hoạt
động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà
không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
- Bảo mật thông tin
Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của
thông tin.

Hình 2.1: Tam giác bảo mật CIA
(Nguồn: how.vndemy.com)
+ Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp

quyền mới được phép truy cập vào hệ thống.
+ Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin.
13


+ Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy
nhập được vào hệ thống.
2.1.1.3 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu
của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống
đó hoạt động ổn định và tin cậy
- An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền
vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài
sản vô giá.
- Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao
uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường
thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
- Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây
thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
- Do vậy, đảm bảo an toàn thông tin doanh nghiệp cũng có thể coi là một hoạt
động quan trọng trong sự nghiệp phát triển của doanh nghiệp.
2.1.1.4 Những yêu cầu về bảo mật thông tin
-

Tính bảo mật

Trong an toàn dữ liệu, bảo mật là yêu cầu đảm bảo cho dữ liệu của người
sử dụng phải được bảo vệ, không bị mất mát vào những người không được phép.
Nói khác đi là phải đảm bảo được ai là người được phép sử dụng (và sử dụng
được) cá thông tin (theo sự phân loại của thông tin). Thông tin đạt được tính bảo
mật khi nó không bị truy nhập, sao chép hay sử dụng trái phép bởi một người không
sử hữu. Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức
doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không
được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát
đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.

14


- Tính toàn vẹn
Trong an toàn dữ liệu, tính toàn vẹn có nghĩa là dữ liệu không bị tạo ra, sửa
đổi hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến khả năng đảm
bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người
không được phép trong quá trình truyền thông.
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi
dữ liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể
vi phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết. Chẳng
hạn một hệ quản trị CSDL xây dựng kếm có thể gây mất mát dữ liệu trong trường
hợp mất điện đột ngột. Các hành động phá hoại cũng có thể gây ra mất tính toàn vẹn
của dữ liệu.
- Tính sẵn sàng
Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sử
dụng, dữ liệu phải luôn trong trạng thái sẵn sàng. Các biện pháp bảo mật làm cho
người sử dụng gặp khó khăn hay không thể thao tác được với dữ liệu đều không thể
được chấp nhận. nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phải đảm bảo
được sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đa những

khó khăn gây ra cho người sử dụng thật sự. Dữ liệu và tài nguyên của hệ thống phải
luôn ở trong tình trạng sẵn sàng phuc vụ bất cứ lúc nào đối với những người dùng
có thẩm quyền sử dụng một cách thuận lợi.
- Tính tin cậy
Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những
người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có
giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúng
với sự mong mát hay bị lọt vào tay những người không được phép.Việc đánh giá
độ an toàn của một hệ thống thông tin phải xem xét đến tất cả những yếu tố trên.
Nếu thiếu một trong số đó thì độ bảo mật của hệ thống là không hoàn thiện.
2.1.1.5 Một số biện pháp, công nghệ an toàn bảo mật thông tin
a, Các biện pháp bảo mật mạng
 Tường lửa (Firewall)

15


Firewall là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà
nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn từ ngoài vào
hệ thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm trong mạng
nội bộ xuất ra ngoài internet mà không được cho phép.
Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong
một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính
sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các
bức tường ngăn lửa trong các tòa nhà. Nhiệm vụ cơ bản của tường lửa là kiểm soát
giao thông dữ liệu giữa hai vùng có độ tin cậy khác nhau. Các vùng tin cậy (zone of
trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội
bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm
soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách
an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least

privilege).
Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ
thống. Việc này yêu cầu hiểu biết đáng kể về các giao thức mạng và về an ninh máy
tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng.
Có 2 loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy
tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường
lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ
ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định,
thường dùng với mục đích kiểm duyệt Internet.

16


Hình 2.2 Tường lửa làm nhiệm
vụ bảo vệ

Hình 2.3 Tường ngăn phần mềm
gián điệp
(Nguồn: )

 Công nghệ điện toán đám mây

Điện toán đám mây (tiếng Anh: cloud computing), còn gọi là điện toán máy
chủ ảo, là mô hình điện toán sử dụng các công nghệ máy tính và phát triển dựa vào
mạng Internet. Thuật ngữ "đám mây" ở đây là lối nói ẩn dụ chỉ mạng Internet (dựa
vào cách được bố trí của nó trong sơ đồ mạng máy tính) và như một liên tưởng về
độ phức tạp của các cơ sở hạ tầng chứa trong nó. Ở mô hình điện toán này, mọi khả
năng liên quan đến công nghệ thông tin đều được cung cấp dưới dạng các "dịch vụ",
cho phép người sử dụng truy cập các dịch vụ công nghệ từ một nhà cung cấp nào đó
"trong đám mây" mà không cần phải có các kiến thức, kinh nghiệm về công nghệ

đó, cũng như không cần quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó.
Theo tổ chức Xã hội máy tính IEEE "Nó là hình mẫu trong đó thông tin được lưu
trữ thường trực tại các máy chủ trên Internet và chỉ được được lưu trữ tạm thời ở
các máy khách, bao gồm máy tính cá nhân, trung tâm giải trí, máy tính trong doanh
nghiệp, các phương tiện máy tính cầm tay,...". Điện toán đám mây là khái niệm tổng
thể bao gồm cả các khái niệm như phần mềm dịch vụ, Web 2.0 và các vấn đề khác
xuất hiện gần đây, các xu hướng công nghệ nổi bật, trong đó đề tài chủ yếu của nó
là vấn đề dựa vào Internet để đáp ứng những nhu cầu điện toán của người dùng.

17


Hình 2.4 Các ứng dụng đám mây
(Nguồn: )
 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS
Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).
Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở
mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng.
Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công.
Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).
Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và
mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng
mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào
mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách
kiểm soát truy nhập.
- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc
dùng các thuật toán dựa trên cơ sở “ngưỡng”.
- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao

thức ứng dụng và chữ kí.
18


- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn
tài nguyên dựa trên cơ sở ngưỡng.
Modul phân tích gói:



Nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card giao tiếp mạng
(NIC) của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng
đều được sao chép và chuyển lên lớp trên.
Modul phát hiện tấn công:



Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn
công. Có 2 phương pháp phát hiện các cuộc tấn công xâm nhập:
- Dò tìm sự lạm dụng (Missuse Detection): Phương pháp này phân tích các
hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn công, tức là các sự kiện
giống các mẫu tấn công đã biết.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa ra các
cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định
các lỗ hổng bảo mật trong hệ thống của mình.
Nhược điểm: Không phát hiện được các tấn công không có trong mẫu, các tấn
công mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.


Modul phản ứng:

Khi có dấu hiệu của sự tấn công hoặc xâm nhập thì modul phát hiện tấn công
sẽ gửi tín hiệu thông báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt
Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các
cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống
phòng thủ bị động.
Một số kĩ thuật ngăn chặn:

19


- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin
reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được
bắt đầu lại và cuộc tấn công bị ngừng lại.
Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công;
phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS;
các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh
báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).
Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh. IPS được xem là
thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra
các thông báo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặn thành công và
có chính sách quản lí mềm.
Những hạn chế của IDS /IPS.
So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng ưu việt. Nó không
chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn chống lại các cuộc tấn công
này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau:
Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có
thể nhận biết được các dòng thông tin trên tầng mạng). Do vậy các cuộc tấn công
trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.
 Mạng riêng ảo(VPN- Virtual Private Network)


• Giới thiệu VPN
- Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư,
sự chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã hoá.
Site to site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các
văn phòng cần trao đổi dữ liệu với nhau.
Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network
(VPDN), đây là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan mà các
nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
20


Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa
một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy
cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.


Các giai đoạn của kết nối VPN
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng
một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy
truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các
đường ống riêng được gọi là tunnel.
Mã hoá kênh thông tin VPN
Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng
thực để bảo mật.
SSL (Secure Socket Layer),- IPSec (IP Security Tunnel Mode, PPTP (Point to
Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol).
b, Biện pháp bảo đảm an toàn thông tin
Xác thực, xác nhận và quản lý tài khoản (AAA - Authentication,
Authorization, Accounting): AAA được sử dụng để tăng tính bảo mật trong truy
nhập từ xa của VPN.

Mã hoá dữ liệu (Enencryption): Đây là quá trình mật mã dữ liệu khi truyền đi
khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.

21


Hình 2.5 : Hệ thống mã hoá máy tính
(Nguồn: )
- Mã hoá sử dụng khoá riêng (Symmetric-key encryption): Nhược điểm chính
của phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật
không cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.
- Mã hoá sử dụng khoá công khai(Public-key encryption): Hệ Public-key
encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá,
giải mã.
Các tiêu chuẩn mã hóa dữ liệu: Đưa ra bởi NIST (National Institute of
Standard and Technology, US). DES là một thuật toán khối với kích thước khối 64
bit và kích thước chìa 56 bit.
c, Đảm bảo an toàn cho thiết bị phần cứng, phần mềm
 An toàn cho thiết bị cá nhân (máy tính để bàn, máy tính xách tay, máy tính bảng,

điện thoại thông minh):
- Không sử dụng máy tính cài đặt hệ điều hành Windows XP,
Internet Explorer 6, Microsoft Office 2003 để kết nối Internet và soạn thảo, lưu trữ
tài liệu liên quan. Đồng thời chủ động có kế hoạch nâng cấp hệ điều hành mới thay
thế cho các máy tính sử dụng hệ điều hành Windows XP.
- Hạn chế sử dụng các phần mềm hệ điều hành, phần mềm văn phòng phiên
bản cũ của Microsoft tồn tại nhiều lỗ hổng bảo mật như: Windows 2000, XP, Vista;
Windows Server 2000; Office 2000, XP,...
- Kích hoạt và thiết lập chức năng tường lửa trên các thiết bị cá nhân và chế
độ tự động cập nhật bản vá lỗ hổng bảo mật; đặt mật khẩu đăng nhập cho thiết bị cá

nhân nhằm hạn chế các nguy cơ xâm nhập trái phép, thường xuyên cập nhật, nâng
cấp các phần mềm lên phiên bản mới nhất.
- Cài đặt phần mềm diệt virus, chống mã độc cho tất cả các máy tính trong
mạng LAN của đơn vị, thiết lập chế độ tự động cập nhật cho phần mềm diệt virus.

22


- Mã hóa phân vùng ổ cứng chứa dữ liệu quan trọng trên các máy tính cá nhân
bằng các phần mềm như: Bitlocker trên Windows 7, Windows 8...
- Không lưu trữ các tài liệu có nội dung bí mật trên thiết bị di động thông
minh. Hạn chế việc sử dụng các thiết bị di động thông minh và dịch vụ trực tuyến
tại nơi làm việc.

23


 An toàn cho máy chủ (Server)

- Thường xuyên cập nhật bản vá lỗ hống bảo mật cho hệ điều hành và các
phần mềm ứng dụng được cài đặt trên máy chủ; đóng tất cả các cổng (Port) dịch vụ
không cần thiết; thiết lập chính sách ghi lưu quá trình hoạt động (Log file) của máy chủ.
- Hạn chế tối đa việc mở cổng dịch vụ kết nối từ xa tới máy chủ. Trong trường
hợp đặc biệt, cần kết nối từ xa qua mạng Internet tới máy chủ, đề nghị sử dụng một
trong các phương thức kết nối có mã hóa như: SSH, VPN, FTPs... để đảm bảo an
toàn thông tin.
- Không cài đặt các phần mềm không rõ nguồn gốc, phần mềm không có nhu
cầu sử dụng. Không sử dụng máy chủ cho việc duyệt web đọc báo, xem tin tức,
chơi games...
- Cài đặt phần mềm diệt virus, chống mã độc cho tất cả các máy chủ.

- Lập lịch và thực hiện việc sao lưu dự phòng dữ liệu của các phần mềm dùng
chung được triển khai trên mỗi máy chủ.
 An toàn khi sử dụng các thiết bị lưu trữ ngoài:

- Hạn chế tối đa việc sử dụng các thiết bị lưu trữ ngoài để sao chép, di chuyển
dữ liệu. Nên sử dụng giải pháp lưu trữ tập trung trên máy chủ của cơ quan, đơn vị.
- Việc sử dụng các thiết bị lưu trữ ngoài như ổ cứng di động, các loại thẻ nhớ,
thiết bị lưu trữ USB... phải quét virus trước khi đọc hoặc sao chép dữ liệu.
 An toàn khi sử dụng phần mềm:

- Không sử dụng tên đăng nhập vào các phần mềm dùng chung cho các dịch
vụ trực tuyến khác.
- Sử dụng phần mềm diệt vius có bản quyền và thường xuyên cập nhật những
phiên bản mới nhất.
d, Dữ liệu và thông tin
Các giải pháp quản lý an ninh dữ liệu và thông tin sẽ cung cấp cho doanh
nghiệp khả năng giám sát, quản lý dữ liệu theo thời gian thực, giám sát tập trung,
cho phép doanh nghiệp tìm kiếm và phân nhóm các thông tin quan trọng, từ đó đưa
ra các chính sách dựa trên hành vi người sử dụng. Giải pháp cung cấp nhiều phương
thức cảnh báo tức thời khi phát hiện sự vi phạm các chính sách như E-mail, SMS,
SNMP, SIEM,... đồng thời giúp doanh nghiệp, tổ chức chủ động bảo vệ dữ liệu,
thông tin quan trọng trước các tấn công nguy hiểm này. Ngoài ra, thông tin, dữ liệu
của tổ chức được đánh giá và báo cáo theo các tiêu chuẩn bảo mật phổ biến hiện
nay như SOX, PCI-DSS, HIPAA…
24


25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×