1
1

LỜI CẢM ƠN
Lời đầu tiên, em xin chân thành cảm ơn thầy giáo Nguyễn Quang Trung đã
hướng dẫn tận tình, chỉ bảo em trong suốt thời gian thực hiện đề tài để em có thể
hoàn thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn và
bảo mật cho hệ thống thông tin của công ty Cổ phần cấp nước Sơn Tây
Em xin bày tỏ lòng cảm ơn sâu sắc tới những thầy cô giáo, đặc biệt ở Khoa Hệ
Thống Thông Tin Kinh Tế đã giảng dạy em trong suốt bốn năm ngồi trên ghế giảng
đường trường Đại học Thương Mại, giúp em trang bị những kiến thức để làm tốt đề
tài khóa luận này và vững bước vào tương lai.
Em xin gửi lòng biết ơn sâu sắc đến quý công ty Cổ phần cấp nước Sơn Tây,
ban lãnh đạo công ty cùng toàn thể nhân viên trong công ty đã tạo điều kiện cho em
tìm hiểu, nghiên cứu trong suốt quá trình thực tập tại công ty để em có thể hoàn
thành bài khóa luận tốt nghiệp của mình.
Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực của bản thân,
nhưng do thời gian nghiên cứu còn hạn hẹp, trình độ và khả năng của bản thân còn
hạn chế. Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếu sót, kính
mong thầy giáo Nguyễn Quang Trung, các thầy cô giáo trong khoa Hệ Thống
Thông Tin Kinh Tế tận tình chỉ bảo để bài của em được hoàn thiện hơn.
Em xin chân thành cảm ơn!
Sinh viên thực hiện


2
2

MỤC LỤC

3
3

DANH MỤC SƠ ĐỒ, BẢNG

BIỂU, HÌNH VẼ


4
4

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
ATTT
CP
CNTT
CPU
CSDL
DN
DES
DOS
EFS
HTTT
HDD
HĐH
HTTP

Diễn giải

IETF


Internet Engineering Task Force

IMAP
LAN
NXB

Internet Messaging Access Protocol
Local Area Network

SPSS
SQL
SSL
TMĐT
WEP
WPS

Central Processing Unit
Data Encryption Standard
Denial of Service
Encrypting File System
Hard Disk Drive
HyperText Transport Protocol

Statistical

Package

for


Sciences
Structured Query Language
Secure Socket Layer
Wireless Encryption Protocol
Wifi Protected Access

Social

Nghĩa tiếng Việt
An toàn thông tin
Cổ phần
Công nghệ thông tin
Bộ xử lý trung tâm
Cơ sở dữ liệu
Doanh nghiệp
Tiêu chuẩn mã hoá dữ liệu
Tấn công từ chối dịch vụ
Mã hóa file hệ thống
Hệ thống thông tin
Ổ cứng
Hệ điều hành
Giao thức truyền tải siêu văn bản
Lực lượng chuyên trách về kỹ thuật
liên mạng
Mạng cục bộ
Nhà xuất bản
Gói thống kê khoa học xã hội
Ngôn ngữ truy vấn cấu trúc.
Giao thức truyền thông
Thương mại điện tử

Giao thức mã hoá mạng không dây
Phương thức liên minh wifi


5
PHẦN 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1.1. Tầm quan trọng, ý nghĩa của đề tài nghiên cứu
Trong nền kinh tế toàn cầu hóa như hiện nay, công nghệ thông tin đã chi phối
mọi hoạt động trong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinh
doanh. Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin
một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc
đẩy nền kinh tế mở rộng và phát triển.
Và ngày nay, vấn đề an toàn và bảo mật thông tin được xem là sự sống còn đối
với các doanh nghiệp, nó quyết định sự thành bại của các doanh nghiệp trên thương
trường nếu như họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất. Dữ
liệu là phần không thể thiếu của bất cứ doanh nghiệp nào dù lớn hay nhỏ và nó
được coi là một phần tài sản của doanh nghiệp. Dữ liệu, thông tin luôn đối mặt với
nguy cơ mất an toàn của cả các yếu tố bên trong và bên ngoài doanh nghiệp. Việc
đảm bảo an toàn thông tin và dữ liệu của doanh nghiệp lại không hề dễ dàng. Sự
phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn
đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy
cơ mất an toàn của hệ thống.
Các nguy cơ bảo mật ngày càng nở rộ, các rủi ro đối với các thông tin như bị
lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động,
uy tín, chiến lược của doanh nghiệp. Vì vậy việc bảo vệ an toàn thông tin, đảm bảo
tính bí mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông
tin trao đổi là rất cần thiết. Hiện nay, việc đưa ra một số giải pháp đảm bảo an toàn
và bảo mật thông tin cho HTTT đã được rất nhiều doanh nghiệp quan tâm và đã
triển khai. Trong đó có công ty Công ty cổ phần cấp nước Sơn Tây nói riêng và với
các doanh nghiệp nói chung đã có các biện pháp đảm bảo an toàn thông tin, đó cũng

là bảo vệ sự sống còn của doanh nghiệp mình. Nhận thức được điều đó sau thời gian
thực tập tại công ty em quyết định chọn đề tài: “Một số giải pháp đảm bảo an
toàn và bảo mật cho hệ thống thông tin của Công ty cổ phần cấp nước Sơn
Tây”


6
1.2. Tổng quan tình hình nghiên cứu
1.2.1.

Tổng quan tình hình nghiên cứu ở Việt Nam

Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin
trong trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu,
sách và tài liệu khoa học về an toàn và bảo mật thông tin ra đời như:
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện
tử, NXB Thống Kê
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như
những nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong
TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an
toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập
đến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng
như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà
kinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của
mình.
Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống
thông tin, Đại học Nha Trang.
Bài giảng đưa ra một số vấn đề an toàn bảo mật thông tin và việc khắc phục,
bảo vệ thông tin trong quá trình truyền thông tin trên mạng và bảo vệ hệ thống máy

tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài giúp cho các nhà
kinh doanh cũng như doanh nghiệp áp dụng cho hệ thống của mình.
Vũ Anh Tuấn, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn
thông tin trong thương mại điện tử”, Đại học Thái Nguyên, 2008.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an
toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT
nói chung và đi sâu vào một doanh nghiệp cụ thể.
Nguyễn Thị Thúy, Luận văn tìm hiểu “Thực trạng bảo mật và an toàn
mạng tại Việt Nam giai đoạn 2006- 2009”, Đại học An Giang.


7
Luận văn đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục tiêu,
yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, các
hình thức tấn công. Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng
tránh các tấn công gây mất an toàn thông tin cũng như biện pháp khắc phục hậu quả
thông dụng, phổ biến hiện nay. Tuy nhiên đề tài chỉ chủ yếu đi sâu nghiên cứu về an
toàn dữ liệu trong Thương mại điện tử, hệ thống mạng hoặc. Vẫn chưa đi sâu
nghiên cứu về nguy cơ mất an toàn HTTT, liên quan đến con người ( nhà quản trị
mạng, nhân viên công nghệ thông tin )…
ThS. Nguyễn Tiến Đức (2002),“Tình hình an ninh thông tin ở Việt Nam và
sự tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục
Công nghệ thông tin Việt Nam.
Ở đây, tác giả đã nêu ra một cách tổng quát về tình hình an ninh thông tin tại
Việt Nam cũng như sự tiếp cận tiêu chuẩn này đối với các tổ chức, doanh nghiệp
nói chung, đặc biệt là đối với các doanh nghiệp hoạt động trong lĩnh vực Công nghệ
thông tin ( CNTT) trong thời điểm thế giới đánh giá mức độ an toàn thông tin của
các doanh nghiệp Việt Nam còn rất yếu. Tuy nhiên, đề tài chưa nghiên cứu đến khả

năng ứng dụng thực tế quy trình xây dựng hệ thống an ninh bảo mật vào một doanh
nghiệp cụ thể nào. Cùng là một quy trình triển khai ISO 27001 ứng với mỗi doanh
nghiệp sẽ có mức độ và phạm vi áp dụng khác nhau.
1.2.2.

Tổng quan tình hình nghiên cứu trên thế giới

Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm
và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông
tin nói chung. Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình
thức tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của
các doanh nghiệp lớn nhỏ, các tổ chức, chính phủ…
Hay gần đây nhất là vụ tấn công vào các trang thông tin điện tử của Cơ quan
tình báo Trung ương Mỹ CIA và Interpol, gây những hậu quả đặc biệt nghiêm trọng.
Các số liệu thống kê và thực tế cho thấy các cuộc tấn công mạng sẽ ngày càng mạnh
mẽ hơn, chuyên nghiệp hơn và ngày càng khó khăn hơn để ngăn chặn.
William Stallings (2005), Cryptography and network security principles
and practices, Fourth Edition, Prentice Hall, 2005


8
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Kiểm tra các thực hành an
ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụng
ngày nay. Các chương trình mã hóa được sử dụng rộng rãi nhất dựa trên các dữ liệu
Encryption Standard (DES) được thông qua vào năm 1977 của Cục Tiêu chuẩn
Quốc gia, nay là Viện Tiêu chuẩn và Công nghệ (NIST), như tiêu chuẩn xử lý thông
tin liên bang 46 (FIPS PUB 46). Đối với DES, dữ liệu được mã hóa trong khối 64bit sử dụng một chìa khóa 56-bit. Các thuật toán biến đổi 64-bit đầu vào trong một
loạt các bước vào một đầu ra 64-bit. Các bước tương tự, với cùng một phím, được
sử dụng để đảo ngược mã hóa. DES với việc sử dụng rộng rãi. Nó cũng đã là chủ đề

của nhiều cuộc tranh cãi liên quan đến bảo mật của DES là. Để đánh giá đúng bản
chất của sự tranh cãi, chúng ta hãy nhanh chóng xem lại lịch sử của DES.
Tính năng ngăn chặn chế độ thuật toán, mã hoá hoạt động, bao gồm cả chế độ
CMAC (Cipher-based Message Authentication Code) để xác thực và chế độ mã hoá
chứng thực. Bao gồm phương pháp giải quyết, mở rộng cập nhật những phần mềm
độc hại và những kẻ xâm hại.
Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise
Information Security – Estimating the Credibility of the Results.
Bài báo này trình bày các kết quả từ một dự án nghiên cứu đang thực hiện tập
trung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp
(Enterprise Information Security), dự án là một phần của một chương trình nghiên
cứu toàn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research
Programme (EARP). EARP khai thác các phần của cấu trúc doanh nghiệp như một
cách tiếp cận để quản lý tổng danh mục hệ thống thông tin của công ty. Các bên liên
quan chính của Cấu trúc Doanh nghiệp là CIO (Chief Information Officer) chịu
trách nhiệm quản lý và phát triển hệ thống thông tin doanh nghiệp. Mục tiêu tổng
thể của chương trình nghiên cứu là cung cấp chức năng CIO với các công cụ và
phương pháp dựa trên cấu trúc để lập kế hoạch và ra quyết định liên quan đến các
hệ thống thông tin toàn doanh nghiệp
Man Young Rhee (2003), Internet Security: Crytographic principles,
algorithms and protocols. John Wiley & Sons.


9
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,
nguyên tắc, các thuật toán và giao thức bảo mật Internet.Đưa ra các biện pháp khắc
phục các mốiđe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác
thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việcđảm bảoan
ninh Internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất
cứ ai sau đó truy cập vào mạng.Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có

thể bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet.Các tài liệu trong
cuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông qua
một cách nghiêm ngặt, kỹ lưỡng và chất lượng.Kiến thức của cuốn sách được viết
để phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhà
nghiên cứu về các nguyên tắc bảo mật Internet.
* Các luận văn và bài báo này đã đem đến cho người đọc những hiểu biết nhất
định về an toàn và bảo mật thông tin, đưa ra những nguyên nhân chủ quan cũng như
khách quan dẫn đến việc rò rỉ thông tin trong doanh nghiệp. Qua đó giúp doanh
nghiệp hiểu rõ hơn về hệ thống thông tin của mình và đưa ra những giải pháp khắc
phục. Tuy nhiên, khoa học công nghệ nói chung và CNTT nói riêng luôn có những
bước phát triển từng phút, từng giây. Nhờ đó trình độ con người cũng được nâng
cao, nhu cầu của doanh nghiệp cũng lớn hơn rất nhiều. Chính vì thế, những giải
pháp này dường như chưa thể đầy đủ và đáp ứng được yêu cầu bảo mật hiện nay.
Hơn nữa, kết quả của những tài liệu kể trên kết chỉ là tìm hiểu, nghiên cứu tài liệu
để hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức
cụ thể nào.
Như vậy, theo hiểu biết cũng như nghiên cứu của bản thân, đề tài: “ Một số
giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của Công ty cổ phần
cấp nước Sơn Tây” không trùng lặp với các đề tài trước đó
1.3. Mục tiêu nghiên cứu của đề tài
Hiện nay, hầu hết các doanh nghiệp đang phải đối mặt với các nguy cơ mất an
toàn thông tin nhưng việc đảm bảo an toàn thông tin lại không được chú trọng,
không được thực hiện thường xuyên. Nguyên nhân là do phần lớn các cán bộ, nhân
viên không chú trọng tới việc bảo đảm an toàn thông tin của doanh nghiệp, không ý
thức được tầm quan trọng của việc đảm bảo an toàn thông tin trong doanh nghiệp,


10
các quy trình đảm bảo an toàn thông tin chưa rõ ràng và thống nhất. Do vậy mục
tiêu nghiên cứu của đề tài này là:

- Tổng hợp lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin
- Phân tích đánh giá thực trạng an toàn bảo mật thông tin của công ty Cổ phần
cấp nước Sơn Tây và đưa ra các thiếu sót và lỗ hổng của HTTT của công ty dựa trên
các tài liệu, các phiếu điều tra.
- Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề
xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo
mật thông tin có thể áp dụng với công ty
1.4. Đối tượng và phạm vi nghiên cứu của đề tài
1.4.1.

Đối tượng nghiên cứu của đề tài

Trong đề tài nghiên cứu này đối tượng nghiên cứu chính của đề tài là: Vấn đề
an toàn và bảo mật HTTT công ty Cổ phần cấp nước Sơn Tây. Trong đó được chia
làm các đối tượng nhỏ hơn là:
- Hệ thống mạng các máy chủ máy trạm của công ty
- Các phần cứng và phần mềm được sử dụng tại công ty.
- Cơ sở dữ liệu và lưu trữ tại các máy chủ, máy trạm của công ty
- Nhân viên và quản lý, yếu tố liên quan đến bảo mật, con người trong công ty.
Từ đó đưa ra các giải pháp về công nghệ và con người để đảm bảo an toàn
thông tin cho công ty.
1.4.2.

Phạm vi nghiên cứu của đề tài

Đề tài sẽ tập trung nghiên cứu trong phạm vi Công ty cổ phần cấp nước Sơn
Tây, cụ thể:
-Về mặt không gian: Dựa trên tài liệu thu thập được tại công ty, các phiếu điều
tra và các tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an toàn và
bảo mật CSDL tại Công ty cổ phần cấp nước Sơn Tây

- Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan của
công ty giai đoạn 2014- 2016. Các số liệu được khảo sát trong quá trình thực tập tại
công ty.


11
1.5. Phương pháp thực hiện đề tài
1.5.1. Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên
quan đến đề tài nghiên cứu qua internet và các bài báo. Phân tích, tổng hợp các tài
liệu có liên quan đến đề tài.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra,
phỏng vấn
- Nội dung: Bảng câu hỏi gồm 33 câu hỏi, các câu hỏi đều xoay quanh các
hoạt động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này
đối với công ty cổ phần cấp nước Sơn Tây
- Cách thức tiến hành: Bảng câu hỏi sẽ được gửi cho 10 nhân viên trong công
ty để thu thập ý kiến.
- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của
công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn
để nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty cổ
phần cấp nước Sơn Tây
Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cập là những thông tin đã
được thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty.
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh
của công ty trong vòng 3 năm: 2014, 2015, 2016 được thu thập từ phòng hành
chính, kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài
liệu thống kê khác.
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí,
sách báo của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet.

Sau khi đã thu thập đầyđủ các thông tin cần thiết thì ta tiến hành phân loại sơ
bộ các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ
sung vào, nếu đủ rồi thì tiến hành bước xử lý dữ liệu.
Phương pháp này được sử dụng cho khóa luận để thu thập dữ liệu liên quan
đến vấn đề an toàn bảo mật tại công ty cổ phần cấp nước Sơn Tây
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp
thu thập và xử lý thông tin từ các nguồn thu thập.
Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office
excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu


12
bên trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm
2015 – 2016, từ phiếu điều tra và tài liệu thống kê khác
Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán về tình hình
phát triển HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước
và thế giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà
công ty sẽ hứng chịu.
1.5.2. Phương pháp phân tích và xử lý dữ liệu
Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của
chúng vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử
lý thông tin sau:
Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
Social Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống
kê trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn
giản để thực hiện hầu hết các công việc thống kê phân tích số liệu. Người dùng có
thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị
Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có
thể thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích

làm rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía
cạnh hợp thành nguyên nhân của vấn đề được phát hiện. Thường sử dụng để đưa ra
các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.
1.6.

Kết cấu của khóa luận

Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài
liệu tham khảo và phụ lục thì khóa luận gồm 3 phần:
PHẦN 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG AN TOÀN VÀ BẢO MẬT
CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CÔNG TY CỔ PHẦN CẤP
NƯỚC SƠN TÂY
PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM
BẢO AN TOÀN VÀ BẢO MẬT HTTT CỦA CÔNG TY CỔ PHẦN CẤP NƯỚC
SƠN TÂY


13
PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN VÀ
BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN CẤP
NƯỚC SƠN TÂY
2.1. Cơ sở lý luận
2.1.1. Một số khái niệm cơ bản về an toàn và bảo mật dữ liệu

2.1.1.1. Khái niệm thông tin, HTTT, dữ liệu và CSDL
Thông tịn là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận
được qua khảo sát, đo lường, trao đổi, nghiên cứu…
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối
với người sử dụng. Thông tin được coi như một sản phẩm hoàn chỉnh thu được sau

quá trình xử lý dữ liệu.
Khái niệm hệ thống thông tin là một tập hợp và kết hợp của các phần cứng,
phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái
tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục
tiêu của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu
nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh
tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách
hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.
Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng. Dữ liệu có thể là
một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng. Dữ liệu qua quá
trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác
nhau của con người.
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản,
hình ảnh.
Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ
trên các phương tiện lưu trữ như đĩa từ, băng từ v..v nhằm thỏa mãn các yêu cầu
khai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình
ứng dụng.

2.1.1.2. Khái niệm an toàn và bảo mật CSDL


14
Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm.
Một hệ thống thông tin được coi là an toàn( security) khi thông tin không bị
làm hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không
được phép.

Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho
hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà
không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo mật trở
nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng
các công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài
nguyên (các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các
vật liệu) và lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần
mềm của cơ quan hoặc người sở hữu hệ thống).
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của
thông tin.
+ Bí mật nghĩa (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi
những người được cấp quyền tương ứng.
+ Tính trọn vẹn (Integrity) là bảo vệ sự chính xác hoàn chỉnh của thông tin và
thông tin chỉ được thay đổi bởi những người được cấp quyền.
+ Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử
dụng có thể truy xuất thông tin khi họ cần.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được
đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống
mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì
mất an toàn
Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được
những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung
thông tin CSDL.
Vai trò của an toàn bảo mật thông tin trong doanh nghiệp:


15
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững

của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô
giá.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây
thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan
trọng để doanh nghiệp phát triển
2.1.2. Một số lý thuyết của về an toàn và bảo mật dữ liệu cho HTTT
2.1.2.1.

Hình thức tấn công HTTT
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn
công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu
trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích.
Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện
nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng
tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được
lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến
(online) và tấn công ngoại tuyến (offline):
+ Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập
trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp. Đây là dạng
đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn
bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn
giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễ
đoán trên đĩa cứng.
+ Tấn công trực tuyến không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số
đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi
dụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất của

tấn công trực tuyến là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng
đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh
duy nhất là ý thức của người dùng.


16
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn
các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công
chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông
tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với
mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình
ứng dụng.

2.1.2.2. Các nguy cơ mất ATTT trong HTTT
-

Nguy cơ ngẫu nhiên
Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan
như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những
nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được nhưng đó

lại không phải là nguy cơ chính của việc mất ATTT.

-

Nguy cơ có chủ định( nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá hỏng
vật lý, can thiệp có chủ ý.

-

Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho bên thứ
ba.

-

Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:
+

“ Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi

hay chèn, xoá thông tin và gửi đi tiếp.
+ Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”.
+ Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật.


17
- Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin
có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng
người truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường
truyền lại quá nhỏ gây ra tắc nghẽn.


2.2.

Kết quả phân tích thực trạng an toàn bảo mật về Công ty Cổ phần cấp nước

Sơn Tây
2.2.1. Thực trạng chung của doanh nghiệp
2.2.1.1. Giới thiệu chung về doanh nghiệp
Tên doanh nghiệp: Công ty CP cấp nước Sơn Tây.
Địa chỉ : 193 P.Lê Lợi- thị xã Sơn Tây.
Mã số thuế: 0500238480.
Điện thoại: (04)33832462.
Fax: (04)33832078.
2.2.1.2. Bộ máy tổ chức
Sơ đồ tổ chức của doanh nghiệp

Sơ đồ 1.2: Sơ đồ tổ chức cơ cấu công ty
Để tồn tại phát triển và đi lên đối với Công ty trước hết là hiệu quả sản xuất
kinh doanh. Để đạt được mục đích đó thì việc sắp xếp tổ chức bộ máy quản lý, tổ
chức lao động hợp lý để nâng cao hiệu quả sản xuất và tận dụng năng lực sản xuất


18
của các bộ phận là hết sức quan trọng.
 Chủ tịch hội đồng quản trị: có nhiệm vụ chỉ đạo Hội đồng quản trị, tổ chức, triệu

tập, chủ toạ các cuộc họp Hội đồng quản trị, đưa ra các quyết nghị liên quan tới hoạt
động kinh doanh của doanh nghiệp.
 Giám đốc: có nhiệm vụ chỉ đạo và quản lý toàn doanh nghiệp và chịu trách nhiệm

trước nhà nước và người lao động trong công ty.

 Phó giám đốc: người giúp việc cho giám đốc và được phân công công việc theo

chức năng nhiệm vụ của mỗi người.
-

Phó giám đốc phụ trách kỹ thuật: Quản lý phụ trách các vấn đề liên quan đến kế
hoạch, kỹ thuật sản xuất.

-

Phó giám đốc phụ trách kinh doanh: Quản lý phụ trách các vấn đề liên quan đến
tiêu thụ sản phẩm, quản lý sản phẩm, phát triển khách hàng.

 Phòng Tổ chức hành chính thanh tra: có nhiệm vụ theo dõi công văn đi, đến, quản

lý số lượng cán bộ công nhân viên… Bộ phận thanh tra có nhiệm vụ kiểm tra và
giám sát việc sản xuất kinh doanh của doanh nghiệp.
 Ban thanh tra: có nhiệm vụ kiểm tra và giám sát việc sản xuất kinh doanh của

doanh nghiệp. Ban thanh tra này trực thuộc phòng giám đốc.
 Phòng kế toán tài vụ: có nhiệm vụ tổ chức hạch toán và thông tin kinh tế cho giám

đốc về quá trình sản xuất, kết quả kinh doanh và tình hình thực hiện nghĩa vụ đối
với ngân sách Nhà nước giúp cho giám đốc điều hành và quản lý các hoạt động sản
xuất kinh doanh đạt hiệu quả nhất.
 Phòng kế hoạch kỹ thuật: có nhiệm vụ lập kế hoạch sản xuất,đưa ra các phương

hướng sản xuất, thiết kế, lập dự toán các công trình phân bổ công việc cho các bộ
phận trực thuộc, kiểm tra thực hiện công viêc tại các bộ phận,
 Phân xưởng sản xuất nước: có nhiệm vụ quản lý và vận hành 13 giếng, khu xử lý,


trạm bơm I, trạm bơm II , các trạm tăng áp và đồng thời có nhiệm vụ bảo dưỡng,
sửa chữa máy móc, thiết bị.
 Phòng kinh doanh: gồm 2 tổ, đội:
-

Tổ ghi sản lượng: Có nhiệm vụ quản lý mạng lưới đường ống, ghi khối lượng sản
phẩm khách hàng tiêu thụ hàng tháng, phát triển khách hàng, giải quyết các vướng
mắc giữa khách hàng với sản lượng sản phẩm tiêu thụ.

-

Tổ thu ngân: có nhiệm vụ thu tiền bán sản phẩm cho từng khách hàng thông qua


19
hóa đơn bán hàng sản phẩm tháng.
 Đội lắp đặt sửa chữa: có nhiệm vụ sửa chữa kịp thời các điểm rò rỉ đường ống, bảo

dưỡng các cụm van, bảo dưỡng đồng hồ đo nước, thi công lắp đặt các công trình
cấp nước chủ yếu cho các hộ dân, các đơn vị cơ quan trong địa bàn thị xã Sơn Tây.

2.2.1.3. Tình hình tiêu thụ sản phẩm trong những năm gần đây.
Bảng 2.1 Bảng tổng hợp sản lượng và doanh thu
(nguồn phòng kinh doanh)
STT

1
2


CHỈ
TIÊU
Sản lượng

So sánh

Năm

ĐVT

Năm 2013

Năm 2014

m3

6.122.516

6.177.516

55.000

0,90

28.422

36.397

7.975


28,06

nước
Doanh thu Tr. đ

2014/2013
±
%

2015
6.627.92
0
47.626

So sánh
2015/2013
±
%
450.404

7,29

11.229

30,8

Nhìn vào bảng tổng hợp sản lượng và doanh thu của doanh nghiệp trong 3
năm gần đây ta thấy sản lượng và doanh thu tăng đều qua các năm. Điều này thể
hiện được nhu cầu sử dụng nước của khách hàng ngày càng tăng cao. Do đó doanh
thu của công ty tăng qua hàng năm.

Bảng 2.2: Bảng tổng hợp sản lượng theo mức giá
(nguồn phòng kinh doanh)
STT

CHỈ
TIÊU

ĐVT

Năm 2014

Năm 2015

Năm 2016

So sánh

So sánh

2015/2014
±
%

2016/2014
±
%

1

Sinh hoạt


m3

4.020.924

4.021.882

4.424.528

958

0,02

403.604 10,04

2

Dịch vụ
Cơ quan

m3

231.108

131.930

223.870

-99.178


(42,91)

-7.238

(3,13)

m3

1.582.572

1.615.216

1.665.483

32.644

2,06

82.911

5,24

m3

287.912

408.539

314.039


120.627

41,90

26.127

9,07

3
4

HCSN
Sản xuất
vật chất

Nhìn vào bảng tổng hợp sản lượng theo mức giá ta thấy đối tượng sử dụng
nước chủ yếu của công ty là khách hàng sử dụng vào mục đích sinh hoạt. Cơ quan
hành chính sự nghiệp là đối tượng khách hàng tiêu thụ sản lượng lớn thứ 2 của
doanh nghiệp.
Đối tượng sử dụng nước sinh hoạt, cơ quan HCSN và nước sản xuất vẫn tăng
qua từng năm. Cụ thể nước dùng cho mục đích sinh hoạt năm 2014 tăng 958m3
(2%) so với 2013, năm 2015 tăng 403.604 (10,04%) so với 2013. Nước sản xuất


20
tăng 120.627 m3 (41,9%) năm 2014, 26.127m3 (9,07%) năm 2015. Nước cơ quan
HCSN tăng 32.644 m3 (2,06%) năm 2014 và tăng 82.911 m3 (5,24%) năm 2015.
Trong khi đó đối tượng sử dụng nước dùng cho dịch vụ giảm liên tục trong 2 năm,
năm 2014 giảm 99.178m3 (42,91%), năm 2015 giảm 7.238 m3 (3,13%).


2.2.2. Phân tích thực trạng về bảo mật hệ thống
2.2.2.1. Thực trạng qua tìm hiểu
- Trang thiết bị trong trong đơn vị (phòng ban/bộ phận)
STT
1
2
3
4
5
6

Tên trang thiết bị

Số lượng
hiện tại

Mức độ đáp ứng nhu

Số lượng cần

cầu sử dụng (tốt, khá,

bổ sung, thay
thế
3
5
0
1
1
1


Máy tính để bàn
Máy tính xách tay
Máy in
Máy chiếu
Máy quét
Thiết bị kết nối mạng

30
10
2
2
1

trung bình)
Tốt
Tốt
Tốt
Tốt
Khá

(hub, swich, thiết bị

2

Tốt

phát wifi,…)

Hệ thống máy chủ: Số lượng máy chủ 2 cái được cài đặt hệ điều hành linux.

Máy chủ PowerEdge của Dell, dòng máy này rất thích hợp làm máy chủ chứa file
cho các máy trạm, chia sẻ internet trên mạng LAN, làm máy dịch vụ in (printer
server) hoặc làm hosting cho website nhỏ cũng như những mạng khác. Dòng máy
này được gắn bộ vi xử lý Inter Xeon 3400 series và hệ điều hành Microsoft
Windows Server 2008 R2, cung cấp những tính năng cần thiết cho hoạt động của
công ty.
Hệ thống máy trạm: Công ty trang bị 30 máy tính để bàn nhãn hiệu Samsung
Syncmaster743NX với các thông số kĩ thuật: Inter® pentiun® dual CPU, T3400
@2,16GHZ, 0,99 GB of RAM. Còn máy tính xách tay là do từng cá nhân chuẩn bị
Máy in: Công ty trang bị hệ thống 2 máy in lazer A4 2 mặt và 20 máy scan A4
phục vụ cho việc in ấn, photo nghiệp vụ giữa các phòng ban trong doanh nghiệp.
Nhìn chung các trang thiết bị trong đơn vị đều được cung cấp đầy đủ, mức độ
sử dụng các thiết bị được đảm bảo độ chính xác.

- Phần mềm hệ thống: Hệ thống sử dụng hệ điều hành Window, 95% đáp ứng yêu cầu
cho việc sử dụng trong công ty.


21

- Phần mềm ứng dụng trong hoạt động nghiệp vụ gồm:
STT

1
2
3
4
5
6
7


Có sử

Loại phần mềm
Soạn

thảo

văn

Nguồn gốc

dụng
bản Có

(Microsoft Office 2007)
Quản lý nhân sự
Có
Kế toán, tài chính
Có
Quản lý quan hệ khách Không

Microsoft
Office 2010
Perfect HRM
MISA

% đáp ứng

Có nhu cầu


yêu cầu

thay thế,

nghiệp vụ
85%

nâng cấp
Có

95%
98%

Có
Không

hàng (SCM)
Quản lý chuỗi cung ứng Không
(CRM)
Lập kế hoạch nguồn lực Không
(ERP)
Khác
Các phần mềm được sử dụng với mục đích hỗ trợ cho công ty về việc quản lý

nhân sự, kế toán, soạn thảo văn bản, giúp giảm thiểu chi phí nhân lực, công việc
được hoàn thành đảm bảo độ chính xác và kịp thời. Nâng cao hiệu quả và chất
lượng công việc của công ty.

- Dữ liệu của đơn vị: lưu trữ tập trung và lưu trữ phân tán.

- Dữ liệu được tổ chức: trong cơ sở dữ liệu và trong các tập tin riêng rẽ.
- Mạng trong đơn vị: Các dạng mạng được sử dụng là mạng LAN hữu tuyến và mạng
LAN vô tuyến với tốc độ cao được kết nối Internet nhằm mục đích hỗ trợ cho quá

-

trình vận hành và hoạt động của doanh nghiệp.
Vấn đề an toàn bảo mật thông tin: Đơn vị thường hay gặp sự cố như thông tin bị
thất lạc hay hệ thống gặp sự cố. Điều này gây khó khăn và ảnh hưởng cho doanh

-

nghiệp trong việc đảm bảo an toàn và bảo mật thông tin.
Nguồn nhân lực của công ty: Công ty Cổ phần cấp nước Sơn Tây là một trong
những Công ty hàng đầu hoạt động trong lĩnh vực kinh doanh các sản phẩm ngoại
cho mẹ và bé. Đội ngũ cán bộ nhân viên có trình độ cao là một lực lượng nòng cốt,
có ý nghĩa chính quyết định đến thành công của công ty. Đội ngũ nguồn nhân lực
không chỉ đông về số lượng mà còn có trình độ chuyên môn nghiệp vụ vững vàng.
Công ty luôn chú trọng công tác đào tạo nâng cao trình độ CNTT cho các cán bộ

-

nhân viên của công ty.
Cơ sở hạ tầng HTTT trong doanh nghiệp:


22

• Mạng Internet: Công ty sử dụng mạng của cả 3 hãng là: FPT, viettel và VNPT kết
nối theo mô hình mạng LAN, tổng băng thông kết nối Internet lên tới 100Mbps.Các

máy trạm được bố trí theo kiểu hình sao đảm bảo việc hỏng hóc của mỗi máy cá
nhân không ảnh hướng đến toàn hệ thống.

• Mạng VPN(Virtual Private Networth): Là một mạng dành riêng để kết nối các máy
tính của các công ty hay các tổ chức thông qua mạng Internet công cộng.
Thông qua việc điều tra tại doanh nghiệp, ta đưa ra kết luận như sau:

- Về mức độ đầu tư cho HTTT và CNTT và mức độ quan tâm của lãnh đạo công ty
Hàng năm, chi phí dành cho bảo trì phần cứng, phần mềm và chi trả cho việc
thuê nhân sự phụ trách về CNTT từ bên ngoài của công ty ước tính vào khoảng 40
000 000 (đồng). Chi phí này không gồm chi phí đào tạo về CNTT. Công ty không
thường xuyên tổ chức các lớp học về quản trị HTTT và CNTT. Nhận thấy được tầm
quan trọng của HTTT và CNTT đối với quá trình sản xuất kinh doanh và quản lý
của công ty, nên lãnh đạo công ty khá quan tâm đến vấn đề này. Tuy nhiên công ty
mới chỉ tập trung nhiều cho CNTT, còn các thành phần khác chưa thực sự được
quan tâm thỏa đáng.


23

- Về tỷ lệ nhân viên sử dụng máy tính cho công việc
Trên 90% nhân viên khối văn phòng sử dụng máy tính thường xuyên cho công
việc. Và 100% nhân viên khối văn phòng có chứng chỉ tin học.Điều này cho thấy
công ty đã ứng dụng công nghệ thông tin vào hầu hết các hoạt động của các phòng
ban, nhằm nâng cao hiệu quả và hiệu suất làm việc.

2.2.2.2. Khảo sát qua phiếu điều tra
Công ty đã áp dụng các chính sách bảo mật cho thông tin như sử dụng ổ cứng,
sao lưu liên tục, đồng bộ lên mạng, sử dụng phần mềm diệt virut cho 100% các máy
tính trong công ty, hệ thống tường lửa, cảnh báo truy cập trái phép..

Hệ thống giám sát an ninh, camera theo dõi 24/24.
Sau khi điều tra tại công ty thu được kết quả và xử lý qua SPSS chúng ta thu
được kết quả như sau:

• Mức độ quan tâm của lãnh đạo công ty đối với việc áp dụng CNTT, HTTT,
TMĐT ta có bảng và biểu đồ sau:
Mức độ sử dụng biện Trị số %
Rất quan tâm
Quan tâm mức khá
Quan tâm mức bình thường
Tổng

pháp đảm bảo dữ liệu
2
5
3
10

20%
50%
30%
100%
(Nguồn: phiếu điều tra)

Biểu đồ 2.1: Biểu đồ thể hiện mức độ quan tâm của lãnh đạo đối với việc áp
dụng CNTT, HTTT, TMĐT
(Nguồn: phiếu điều tra)
Như vậy cho thấy lãnh đạo công ty vẫn ít quan tâm tới việc áp dụng CNTT,
HTTT,TMĐT vào doanh nghiêp.


• Chất lượng sử dụng phần mềm
Rất tốt
Tốt
Khá
Trung bình

Mức độ đánh giá chất lượng sd phần mềm
1
4
4
1


24
Kém
Tổng

0
10
(Nguồn: phiếu điều tra)

Biểu đồ 2.2: Đánh giá chất lượng sử dụng phần mềm
(Nguồn: phiếu điều tra)
• Mức độ hợp lý về tấn suất cập nhật thông tin trên website của công ty:
Mức độ sử dụng biện pháp đảm bảo dữ liệu
7
2
1
0
10

(Nguồn: phiếu điều tra)

Thỉnh thoảng
Hàng tháng
Hàng tuần
Hàng ngày
Tổng

Biểu đồ 2.3: Biểu đồ thể hiện tần suất cập nhật thông tin trên website hợp lý
(Nguồn: phiếu điều tra)
Như vậy ta thấy đa số các ý kiến đều cho rằng tần suất cập nhật nên thấp hơn
một tháng, tần suất cập nhật hằng tuần là cao nhất còn thỉnh thoảng mới cập nhật
chỉ có 2 ý kiến

• Các biện pháp bảo đảm dữ liệu trong doanh nghiệp
Sử dụng ổ cứng
Sao lưu liên tục
Đồng bộ lên mạng
Tổng

Mức độ sử dụng biện pháp đảm bảo dữ liệu
5
2
3
10

Trị số %
50%
20%
30%

100%

(Nguồn: phiếu điều tra)

Biểu đồ 2.4: Biểu đồ thể hiện tỉ lệ các biện pháp bảo đảm dữ liệu
(Nguồn: phiếu điều tra)
• Độ an toàn bảo mật của các máy tính trong doanh nghiệp
Mức độ sử dụng biện
Sử dụng phần mềm bản quyền
Không sử dụng PM bản quyền
Tổng

pháp đảm bảo dữ liệu
2
8
10

Trị số %
20%
80%
100%


25
(Nguồn: phiếu điều tra)
Biểu đồ 2.5: Biểu đồ thể hiện tỉ lệ người sử dụng phần mềm bảo mật.
(Nguồn: Phiếu điều tra)