Tải bản đầy đủ (.doc) (31 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Chuyên ngành kinh tế

luận văn hệ thống thông tin kinh tế một số giải pháp nâng cao tính an toàn bảo mật thông tin của công ty TNHH miraway giải pháp công nghệ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (344.73 KB, 31 trang )

Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT
LỜI CẢM ƠN

Lời đầu tiên, em xin chân thành cảm ơn cô giáo Nguyễn Thị Thu Thủy đã tận
tình hướng dẫn, chỉ bảo em trong suốt quá trình thực hiện Khóa luận tốt nghiệp với đề
tài: Một số giải pháp nâng cao tính an toàn bảo mật thông tin của Công ty TNHH
Miraway giải pháp công nghệ.
Em xin bày tỏ lòng cảm ơn sâu sắc tới nhà trường cùng thầy cô giáo trong khoa
Hệ thống thông tin kinh tế và TMĐT đã giảng dạy em trong suốt thời gian ngồi trên
ghế giảng đường trường Đại học Thương Mại, giúp em trang bị những kiến thức để
làm tốt đề tài khóa luận này và vững bước vào tương lai.
Em xin gửi lòng biết ơn sâu sắc đến quý công ty TNHH Miraway giải pháp công
nghệ, ban lãnh đạo cùng toàn thể nhân viên trong công ty đã tạo điều kiện cho em tìm
hiểu, nghiên cứu trong suốt quá trình thực tập tại công ty để em có thể hoàn thành bài
khóa luận tốt nghiệp của mình.
Mặc dù đã cố gắng hoàn thành khóa luận với tất cả sự nỗ lực của bản thân, nhưng
do thời gian nghiên cứu còn hạn hẹp, trình độ và khả năng của bản thân còn hạn chế.
Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếu sót, kính mong cô giáo
Nguyễn Thị Thu Thủy, các thầy cô giáo trong khoa Hệ thống thông tin kinh tế và
TMĐT tận tình chỉ bảo để bài của em được hoàn thiện hơn.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Vũ Thị Thảo

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

i


SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT
MỤC LỤC

Sơ đồ 1.1: Sơ đồ tổ chức công ty..............................................................................................................13
Bảng 1.1 Báo cáo kết quả kinh doanh của công ty TNHH Miraway giải pháp.........................................14
công nghệ..................................................................................................................................................14

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

ii

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT
PHẦN 1: MỞ ĐẦU

1.1. Tính cấp thiết của vấn đề nghiên cứu
Trong nền kinh tế toàn cầu hóa như hiện nay, CNTT đã chi phối mọi hoạt động
trong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinh doanh. Ứng dụng
CNTT vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ,
góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển.

HTTT là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ thống
mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và
chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
Các tổ chức có thể sử dụng các HTTT với nhiều mục đích khác nhau. Trong việc
quản trị nội bộ, HTTT sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động,
duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.
Và ngày nay, vấn đề an toàn và bảo mật thông tin được xem là sự sống còn đối
với các doanh nghiệp, nó quyết định sự thành bại của các doanh nghiệp trên thương
trường nếu như họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất. Dữ
liệu là phần không thể thiếu của bất cứ doanh nghiệp nào dù lớn hay nhỏ và nó được
coi là một phần tài sản của doanh nghiệp. Dữ liệu, thông tin luôn phải đối mặt với
nguy cơ mất an toàn của cả các yếu tố bên trong và bên ngoài doanh nghiệp. Việc
đảm bảo an toàn thông tin và dữ liệu của doanh nghiệp lại không hề dễ dàng. Sự
phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn đến
khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy cơ mất
an toàn của hệ thống.
Các nguy cơ bảo mật ngày càng nở rộ, các rủi ro đối với các thông tin như bị lộ,
bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, uy tín,
chiến lược của doanh nghiệp. Vì vậy việc bảo vệ an toàn thông tin, đảm bảo tính bí
mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông tin trao đổi
là rất cần thiết. Hiện nay, việc đưa ra một số giải pháp nâng cao an toàn và bảo mật
thông tin cho HTTT đã được rất nhiều doanh nghiệp quan tâm và đã triển khai. Trong
đó có công ty TNHH Miraway giải pháp công nghệ nói riêng và với các doanh nghiệp
nói chung đã có các biện pháp nâng cao an toàn bảo mật thông tin, đó cũng là bảo vệ
sự sống còn của doanh nghiệp mình. Nhận thức được điều đó sau thời gian thực tập tại
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

1


SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

công ty em quyết định chọn đề tài: “Một số giải pháp nâng cao tính an toàn bảo mật
thông tin của Công ty TNHH Miraway giải pháp công nghệ.”
1.2. Tổng quan đề tài nghiên cứu
Công trình nghiên cứu về an toàn bảo mật thông tin trong nước cũng có những
chuyển biến tích cực, nhiều công trình sách, báo, tài liệu khoa học về an toàn và bảo
mật thông tin ra đời như:
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an
toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn
thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn
thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói
chung và đi sâu vào một doanh nghiệp cụ thể.
Luận văn thạc sĩ của tác giả Nguyễn Minh Quang với đề tài ‘’Nghiên cứu một
số giải pháp an toàn và bảo mật thông tin trong các giao dịch thương mại điện tử’’
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn
thông tin trong TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu của
luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát
được toàn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể.
Ở Việt Nam, các nguy cơ mất an toàn thông tin trong thời gian qua đã gia tăng cả
về số lượng và tính chất, mức độ nghiêm trọng. Bởi vậy, việc nâng cao nhận thức vào
nghiên cứu, áp dụng các giải pháp công nghệ mới để chủ động phòng ngừa đảm bảo an
toàn thông tin cho cá nhân, tổ chức, doanh nghiệp đang trở thành vấn đề quan trọng

vào cấp bách.
1.3. Mục tiêu và nhiệm vụ nghiên cứu
Hiện nay, hầu hết các doanh nghiệp đang phải đối mặt với các nguy cơ mất an
toàn thông tin nhưng việc đảm bảo an toàn thông tin lại không được chú trọng, không
được thực hiện thường xuyên. Nguyên nhân là do phần lớn các cán bộ, nhân viên
không chú trọng tới việc bảo đảm an toàn thông tin của doanh nghiệp, không ý thức
được tầm quan trọng của việc đảm bảo an toàn thông tin trong doanh nghiệp, các quy

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

2

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

trình đảm bảo an toàn thông tin chưa rõ ràng và thống nhất. Do vậy mục tiêu nghiên
cứu của đề tài này là:
- Đưa ra lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin
- Trình bày, tìm hiểu, phân tích đánh giá thực trạng của công ty và đưa ra các thiếu sót
và lỗ hổng của HTTT của doanh nghiệp dựa trên các tài liệu, các phiếu điều tra.
- Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề
xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mật
thông tin có thể áp dụng với công ty.
1.4. Phạm vi nghiên cứu
1.4.1. Phạm vi không gian

Dựa trên tài liệu thu thập được tại công ty, các phiếu điều tra và các tài liệu tham
khảo được, đề tài tập trung nghiên cứu tình hình an toàn và bảo mật thông tin tại công
ty TNHH Miraway giải pháp công nghệ.
1.4.2. Phạm vi thời gian
Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan của công ty giai đoạn
2014- 2015. Các số liệu được khảo sát trong quá trình thực tập tại công ty.
1.5. Phương pháp nghiên cứu
1.5.1. Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên
quan đến đề tài nghiên cứu qua internet và các bài báo. Phân tích, tổng hợp các tài liệu
có liên quan đến đề tài.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết
kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết
nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi.
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu
thập và xử lý thông tin từ các nguồn thu thập.
Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office
excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên
trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2014 –
2015, từ phiếu điều tra và tài liệu thống kê khác.
Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán về tình hình phát
triển HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước và thế

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

3

SVTH: Vũ Thị



Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty
sẽ hứng chịu.
1.5.2. Phương pháp phân tích và xử lý dữ liệu
Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng
vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông
tin sau:
Phương pháp định lượng: Dữ liệu sau khi thu thập sẽ được đưa ra phân tích bằng
excel và word.Từ những biểu đồ được hoàn thành sau khi nhập dữ liệu vào ta sẽ có
những đánh giá cụ thể về tình hình kinh doanh cũng như tình hình ứng dụng CNTT
của Công ty TNHH Miraway giải pháp công nghệ.
Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có
thể thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm
rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp
thành nguyên nhân của vấn đề được phát hiện. Thường sử dụng để đưa ra các bảng số
liệu thống kê, các biểu đồ thống kê, đồ thị.
1.6. Kết cấu của khóa luận
Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu
tham khảo và phụ lục thì khóa luận gồm 2 phần:
PHẦN 1: MỞ ĐẦU
PHẦN 2: NỘI DUNG KHÓA LUẬN
CHƯƠNG 1: Cơ sở lý luận về an toàn bảo mật HTTT
CHƯƠNG 2: Phân tích, đánh giá thực trạng an toàn bảo mật thông tin tại công ty
TNHH Miraway giải pháp công nghệ
CHƯƠNG 3: Đề xuất giải pháp nâng cao tính an toàn bảo mật thông tin tại công
ty TNHH Miraway giải pháp công nghệ


PHẦN 2: NỘI DUNG KHÓA LUẬN
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HTTT
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

4

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

2.1. Lý thuyết chung về an toàn bảo mật thông tin
2.1.1. Khái niệm chung
Thông tin là dữ liệu đã được xử lý, phân tích, tổ chức nhằm mục đích hiểu rõ hơn
sự vật, sự việc, hiện tượng theo một góc độ nhất định.
Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và
chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
Dữ liệu là các giá trị của thông tin định lượng hoặc đính tính của các sự vật, hiện
tượng trong cuộc sống.Trong tin học, dữ liệu được dùng như một cách biểu diễn hình
thức hoá của thông tin về các sự kiện, hiện tượng thích ứng với các yêu cầu truyền
nhận, thể hiện và xử lí bằng máy tính..
Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên
các phương tiện lưu trữ như đĩa từ, băng từ v..v nhằm thỏa mãn các yêu cầu khai thác
thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng.
2.1.2.


Khái niệm an toàn và bảo mật HTTT

Một hệ thống thông tin được coi là an toàn( security) khi thông tin không bị làm
hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho
hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không
gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo mật trở nên
đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng các
công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên
(các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) và
lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ
quan hoặc người sở hữu hệ thống).
Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thống
thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn
thông tin và hoạt động của hệ thống một cách trái phép
Bảo mật hệ thống thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng,
tính chống thoái thác của thông tin.
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

5

SVTH: Vũ Thị


Khóa luận tốt nghiệp
-


Khoa: Hệ thống thông tin kinh tế và TMĐT

Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách

trái phép
- Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được
phép chỉnh sửa dữ liệu
- Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người
dùng hoặc ứng dụng được ủy quyền yêu cầu
- Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối
một hành vi đã làm
Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được
những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thông
tin CSDL.
Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương tổn
của hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mật
của hệ thống thông tin.
Tấn công HTTT là các tác động hoặc là trình tự liên kết giữa các tác động với
nhau để phá huỷ, dẫn đến việc hiện thực hoá các nguy cơ bằng cách lợi dụng đặc tính
dễ bị tổn thương của các hệ thống thông tin này.
Nghĩa là, nếu có thể bài trừ nguy cơ tổn thương (lỗ hổng) của các hệ thống thông
tin chính là trừ bỏ khả năng có thể thực hiện tấn công.
2.2. Một số cơ sở lý luận về ATBM thông tin và phương pháp về an toàn
thông tin, bảo mật thông tin
2.2.1. Hình thức tấn công HTTT
Tấn công ngăn chặn thông tin (Interruption): tài nguyên thông tin bị phá hủy,
không sẵn sàng phục vụ hoặc không sử dụng được. Đây là hình thức tấn công làm mất
khả năng sẵn sàng phục vụ của thông tin.
Tấn công chặn bắt thông tin (Interception): kẻ tấn công có thể truy nhập tới tài
nguyên thông tin. Đây là hình thức tấn công vào tính bí mật của thông tin.

Tấn công sửa đổi thông tin (Modification): kẻ tấn công truy nhập, chỉnh sửa
thông tin trên mạng. Đây là hình thức tấn công vào tính toàn vẹn của thông tin.
Chèn thông tin giả mạo (Fabrication): kẻ tấn công chèn các thông tin và dữ liệu
giả vào hệ thống. Đây là hình thức tấn công và tính xác thực của thông tin.

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

6

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

Tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà
không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công thụ
động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ
động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn
công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline):
Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực
tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào.
Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ mật
khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.

Tấn công trực tuyến không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông
người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự
cả tin của người dùng để đánh cắp tài khoản. Hình thức phổ biến nhất của tấn công
trực tuyến là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các
thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức
của người dùng.
 Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng cài đặt
trình “key logger” hay trình gián điệp để thu thập dữ liệu của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các
gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động
tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
- Ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ
với chương trình sendmail: Sendmail là một chương trình phức tạp, với mã nguồn bao
gồm hàng ngàn dòng lệnh của ngôn ngữ C. Sendmail được chạy với quyền ưu tiên của
người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

7

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT


người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên
ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp
những lỗ hổng về bảo mật để truy nhập hệ thống.
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới
không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém
trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến
server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợi
dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích
nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng.
2.2.2. Các nguy cơ mất ATTT trong HTTT
- Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các
hiện tượng khách quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất
điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh
được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT.
- Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài,
phá hỏng vật lý, can thiệp có chủ ý.
- Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho
bên thứ ba.
- Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:
• “ Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi hay
chèn, xoá thông tin và gửi đi tiếp.
• Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”.
• Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật.
- Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin
có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng người
truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lại
quá nhỏ gây ra tắc nghẽn.

2.2.3. Phương pháp về ATTT và BMTT
2.2.3.1. Biện pháp bảo vệ bằng tường lửa
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm
có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

8

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là
tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như
đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết
bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải
có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển,
cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng
Các thành phần của Firewall:
-

Bộ lọc packet (packet-filtering router)
Cổng ứng dụng (Application-level gateway hay proxy server)
Cổng mạch (Circuite level gateway)

Vị trí cài đặt của Firewall trong hệ thống: Tường lửa luôn được lắp đặt ở vùng

biên giới của hệ thống mạng hay hệ thống máy tính. Tường lửa cá nhân sau khi được
cài đặt sẽ chiếm giữ việc quản lý các thông tin đi vào hay đi ra cổng giao tiếp mạng
của máy tính. Tường lửa hệ thống sẽ được lắp đặt ngay sau thiết bị kết nối WAN, như
Router sử dụng đường kênh thuê riêng (leased-line), hay Router ADSL.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet. Cụ thể là:
-

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet)
Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào

Intranet )
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
- Kiểm soát người sử dụng và việc truy nhập của người sử dụng
- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

9

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT


Tường lửa (Firewall) sẽ cho phép chúng ta lọc, ngăn chặn hay cho phép gói tin đi
qua dựa trên địa chỉ nguồn, đích hay các dịch vụ đang sử dụng. Các firewall sẽ chia hệ
thống mạng ra làm nhiều vùng khác nhau và việc truy cập từ vùng này sang vùng khác
sẽ được kiểm soát chặt chẽ. Việc sử dụng bức tường lửa vào những vị trí thích hợp sẽ
giúp ngăn chặn tối đa khả năng truy cập trái phép của các hacker.
Firewall cứng: Là những firewall được tích hợp trên Router.

Đặc điểm của Firewall cứng
- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm
quy tắc như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ Firewall cứng: NAT (Network Address Translate).
Firewall mềm: Là những Firewall được cài đặt trên Server.

Đặc điểm của Firewall mềm
- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
2.2.3.2. Bảo mật sử dụng lọc gói dữ liệu
Lọc gói tin (Packet Filter) là một kỹ thuật bảo mật mạng phổ biến hiện nay, nó
thường được sử dụng để kiểm soát các gói tin đi qua các cổng nối mạng (router,
firewall, …) của các mạng chuyển mạch goi TCP/IP
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

10


SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

Bộ lọc gói có thể được thiết lập trên các router/firewall, đóng vai trò cổng nối
bảo mật (tại các mạng vành đai) cho các mạng Intranet. Các thiết bị này sẽ làm cho
chính sách truy cập/chính sách an ninh của mạng có hiệu lực.
Khi có một gói tin IP được gửi đến router/firewall thì bộ lọc gói bên trong nó sẽ
tách phần header của gói tin IP này. Sau đó nó sẽ đối chiếu các thông tin trong header
của gói tin với các luật/các chính sách lọc gói đã được thiết lập, để quyết định có định
đường cho gói tin chuyển tiếp hay không – cho đi qua hay chặn lại.
Thông tin trong header thường được sử dụng cho việc lọc các gói tin TCP/UDP
bao gồm: địa chỉ IP nguồn, địa chỉ IP đích, và có thể là cổng TCP/UDP đích,…
Ngoài ra, trong header của gói IP còn chứa nhiều thông tin khác cho phép người
quản trị an ninh hệ thống xây dựng các luật lọc gói dựa trên giao tiếp (interface) của
một router nào đó, mà các gói tin sẽ đi ra (outbound) hoặc đi vào (inbound).
Ta có thể chỉ định lọc gói trên cả hai giao diện inbound và outbound. Điều này rất
thuận tiện cho việc lọc gói trên những router với nhiều hơn hai interface. Nếu có một
vài gói bị chặn lại bởi bộ lọc gói đi vào trên interrface đã chỉ ra thì những gói tin này
không cần đề cập trong bộ lọc gói đi ra trên tất cả các interface khác.
Trước đây, khả năng lọc gói trong các router rất hạn chế, thường nó không tách
được header. Router yêu cầu người quản trị phải cho nó biết vị trí và độ lớn của trường
header trong gói IP để nó kiểm tra. Tức là, nó đòi hỏi người quản trị phải có sự hiểu
biết chi tiết về cấu trúc một gói IP. Người quản trị khó có thể thực hiện được điều này
với các gói IP mà trong header của nó có nhiều trường tuỳ chọn. Tuy nhiên, hạn chế
này đã được khắc phục bởi các router “thông minh” hiện này.
Các luật lọc gói được trình bày như một bảng, gồm nhiều cột: Địa chỉ IP nguồn,

địa chỉ IP đích, hành động (định đường cho gói tin đi tiếp hoặc chặn gói tin lại), dịch
vụ … và gồm nhiều dòng, mỗi dòng chứa một luật (rule). Thứ tự các luật trên bảng
luật ảnh hưởng không nhỏ đến chính sách lọc gói tin của các bộ lọc.
Khi có một gói tin được gửi đến firewall, bộ lọc trên firewall sẽ tách lấy các
thông tin cần thiết cho việc lọc gói từ header của các gói tin này: Địa chỉ IP nguồn, địa
chỉ IP đích, … Sau đó bộ lọc sẽ tiến hành so khớp thông tin mà nó nhận được từ
header của gói tin với các điều kiện được chỉ ra trong mỗi luật, lần lượt từ luật ở đầu
bảng đến luật ở cuối bảng luật. Khi gặp luật đầu tiên, mà điều kiện của nó khớp với
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

11

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

thông tin trong header của gói tin thì hành động được chỉ ra trong luật này sẽ có hiệu
lực – với gói tin đó. Nguyên lý này được gọi là nguyên lý “first match”, nó quyết định
việc định đường cho gói tin đi tiếp hay ngăn chặn gói tin lai không cho đi qua.
Hầu hết các bảng luật đều thiết kế một luật đặc biệt đặt ở cuối bảng, luật này xem
như mặc định, nó có tác dụng từ chối tất cả các gói tin đi qua bộ lọc/hay đi qua
firewall. Điều này có nghĩa là mọi gói tin mà không được chỉ ra trong tập luật của bộ
lọc gói trên firewall đều bị firewall chặn lại.

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo


12

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT
THÔNG TIN TẠI CÔNG TY TNHH MIRAWAY GIẢI PHÁP CÔNG NGHỆ
2.1. Giới thiệu về công ty TNHH Miraway giải pháp công nghệ
2.1.1. Quá trình thành lập và phát triển
Công ty TNHH Miraway giải pháp công nghệ được thành lập năm 2007.
Miraway là đơn vị cung cấp giải pháp công nghệ hàng đầu Việt Nam cho khách hàng
thuộc khối tài chính, ngân hàng, viễn thông,…Miraway là công ty chuyên thiết kế,
phát triển và triển khai các phần mềm ứng dụng cho doanh nghiệp và các giải pháp
ứng dụng IOT. Miraway là đối tác tin cậy của nhiều công ty công nghệ uy tín hàng
đầu như IBM, Microsoft, Cisco, HP, Add-On, NPcore, Techmahindra, … Miraway
luôn tiến về phía trước và hiện đang phát triển các dòng sản phẩm trên nền tảng các
công nghệ mới. Chúng tôi đề cao tư duy độc lập, sự kiên trì, sáng tạo và khát khao
phát triển mạnh mẽ ở mỗi thành viên của mình.
2.1.2.

Cơ cấu tổ chức

Sơ đồ 1.1: Sơ đồ tổ chức công ty
(Nguồn: Phòng hành chính – nhân sự công ty TNHH Miraway giải pháp công nghệ).
GVHD: ThS.Nguyễn Thị Thu Thủy

Thảo

13

SVTH: Vũ Thị


Khóa luận tốt nghiệp
2.1.3.

Khoa: Hệ thống thông tin kinh tế và TMĐT

Các lĩnh vực hoạt động chủ yếu của công ty

Miraway làm chủ các công nghệ, nền tảng quan trọng trong các lĩnh vực công
nghệ thông tin và điện tử viễn thông: Công cụ lập trình (VB, VC, .NET, Protel, Keil
uC, Orcad,…); các giải pháp công nghệ hàng đầu như giao dịch thông minh, quản lý
dữ liệu, mô hình phân tích và bảo mật, quản lý quan hệ khách hàng,…; thiết kế, phát
triển các hệ phần mềm nhúng chạy trên các nền hệ điều hành Linux, Window CE;
công nghệ Hồng ngoại (Infrared); công nghệ Siêu âm (UItrasound); công nghệ PLC
(Power Line Communcation); công nghệ RF (Radio Requency)
2.1.4.

Kết quả hoạt động kinh doanh trong 3 năm

Sau hơn 9 năm hoạt động, tình hình tài chính của công ty luôn được cơ quan Nhà
nước và các cổ đông đánh giá là lành mạnh, thực hiện đầy đủ các nghĩa vụ thuế đối với
Nhà nước.
Các chỉ tiêu tài chính của công ty luôn tăng trưởng đều và ổn định qua các năm:
Bảng 1.1 Báo cáo kết quả kinh doanh của công ty TNHH Miraway giải pháp

công nghệ.
Đơn vị tính : triệuVNĐ
STT
1
2
3
4

Năm

Mục

2013
2014
2015
Tổng doanh thu
30.123
31.047
31.568
Tổng chi phí
28.658
29.365
30.021
Lợi nhuận trước thuế
1.465
1.682
1.547
Lợi nhuận sau thuế
1.113
1.278

1.176
(Nguồn: Phòng kinh doanh công ty TNHH Miraway giải pháp công nghệ)

Từ những số liệu thống kê về hoạt động kinh doanh 3 năm liên tiếp từ 2013 đến
2015, công ty vẫn đang không ngừng phát triển về mặt quy mô tổ chức lẫn thị
trường kinh doanh của công ty.
Hiện nay, có rất nhiều đối thủ cạnh tranh với công ty, sức cạnh tranh từ các công
ty này rất lớn đồng thời trước những thay đổi như vũ bão của ngành công nghiệp năng
động nhất đòi hỏi doanh nghiệp cần biết rõ được đâu là điểm mạnh, điểm yếu, cơ hội
và thách thức để từ đó có thể ứng phó được với những thay đổi trong môi trườngvà thu
hút khách hàng, mở rộng thị trường.
2.2. Phân tích, đánh giá thực trạng an toàn bảo mật tại công ty TNHH
Miraway giải pháp công nghệ
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

14

SVTH: Vũ Thị


Khóa luận tốt nghiệp
2.2.1.

Khoa: Hệ thống thông tin kinh tế và TMĐT

Thực trạng về an toàn, bảo mật HTTT tại công ty TNHH Miraway

giải pháp công nghệ
Ứng dụng phần cứng: Toàn bộ nhân viên trong công ty đều trang bị 1 máy tính

có kết nối mạng Internet cáp quang tốc độ cao của FPT.
Số máy chủ là 1 được kết nối với mạng internet băng thông rộng và luôn được
đảm bảo về tốc độ bởi một đội ngũ kỹ thuật.
Số máy in là 2, điện thoại cố định là 5
Ứng dụng phần mềm:
Công ty sử dụng nhiều phần mềm liên quan đến thiết kế website, phần mềm thiết
kế đồ họa Photoshop CS,… các phần mềm lưu trữ dữ liệu.
Sử dụng các phần mềm ứng dụng hỗ trợ như teamviewer, Phần mềm tin nhắn
nhanh ( yahoo messenger, skype,…) các phần mềm thống kê kế toán như IAS.
Sử dụng các phần mềm hỗ trợ quảng cáo như email Marketing, SMS marketing,
phần mềm SEO..
Phần mềm Kế toán Doanh nghiệp IAS là phần mềm Kế toán khá phổ biến và hữu
ích do công ty TNHH Ernst & Young Việt Nam xây dựng áp dụng cho hầu hết các loại
hình doanh nghiệp. Góp phần giảm thiểu các thao tác thủ công trong kế toán, xây dựng
một cái nhìn bao quát về các chỉ tiêu thông qua bảng biểu và biểu đồ, từ đó giúp nhân
viên kế toán cũng như các nhà quản trị quản lý tình hình hoạt động sản xuất kinh
doanh của doanh nghiệp tốt hơn
Công ty đã có biện pháp đảm bảo an toàn bảo mật như: các phần mềm diệt virus
MSE có bản quyền, phân quyền người sử dụng, có đặt khóa cho các thông tin quan trọng.
MSE hỗ trợ chế độ bảo vệ máy tính theo thời gian thực, giúp ngăn chặn các phần mềm
độc hại trước khi chúng lây lan và gây nguy hiểm cho máy tính. Chiếm nhiều tài
nguyên của hệ thống khi sử dụng nên máy tính bạn cấu hình thấp thì vẫn có thể hoạt
động tốt. MSE tự động nâng cấp và quét virut khi máy tính ở trạng thái chờ. Tuy nhiên
công ty vẫn chưa chú trọng đến việc bảo mật an toàn thông tin, thông tin chưa được mã
hóa, tính bảo mật chưa cao, còn nhiều thiếu sót
Phần mềm trong công ty chưa được áp dụng một cách hiệu quả nhất, nhân viên
đang còn thói quen giải quyết công việc theo kiểu truyền thống. Các phần mềm CNTT
chưa được trang bị đồng bộ, còn thiếu hiệu quả. Công ty chưa đầu tư được phần mềm
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo


15

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

riêng biệt mà chủ yếu là dùng các phần mềm có sẵn hoặc sử dụng các phần mềm phổ
biến nên chất lượng và an toàn bảo mật thông tin chưa cao. Mặc dù công ty sử dụng
phần mềm tích hợp mang lại hiệu quả tốt nhưng vẫn có nhiều hạn chế mang tính chất
đặc thù của từng bộ phận như quản lý nhân lực hay bán hàng chưa kiểm soát hết được.
Phần mềm MSE công ty đang sử dụng còn nhiều khiếm khuyết dễ gây ra tình trạng
mất mát thông tin.
Về vấn đề an toàn bảo mật thông tin cho cá nhân trong công ty, ý thức về an toàn
thông tin chưa cao, đặc biệt là vấn đề phát sinh từ bản quyền phần mềm, các máy tính
cá nhân của nhân viên hầu hết được cài phần mềm không bản quyền được crack hoặc
các phần mềm dowload từ các trang mạng miễn phí. Nguy cơ lây lan virus, spyware
cho các máy tính cá nhân rất là cao. Bên cạnh đó ý thức bảo vệ tài khoản cá nhân khi
kết nối mạng internet còn thấp, nhân viên thường xuyên sử dụng wifi công cộng không
được bảo vệ khi truy cập tài khoản cá nhân, mật khẩu yếu, sử dụng chung mật khẩu
cho nhiều trang web, nhiều ứng dụng trong thời gian dài.
Internet

clien

clien


clien
Modem
ADSL

switch

Print Server
Mail Server
Server
Hệ thống mạng của doanh nghiệp
Hệ thống sử dụng một máy chủ Server do nhân viên quản trị mạng quản lý, máy
chủ sử dụng hệ điều hành Windows Server 2003, còn các máy trạm trong mạng thì sử
dụng hệ điều hành Windows XP3, các máy trạm là các máy của ban Giám đốc và các
phòng ban liên quan. Sử dụng máy chủ để chia sẻ dữ liệu và máy in. Hệ thống mạng
sử dụng đường truyền Internet thông qua một đường truyền ADSL.
Quản lý hệ thống mạng tập trung (Client – Server) Cấu trúc Active Directory:
Được thiết kế bao gồm một Forest và một Domain, trong Domain có một Domain
Controller hoạt động. Cài đặt dịch vụ Active Directory với hoạt động của Domain
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

16

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT


Controller nhằm quản lý dữ liệu trong mạng được tập trung. Dữ liệu chung của doanh
nghiệp sẽ được lưu trữ ở máy chủ, các máy trạm nếu muốn lấy dữ liệu thì phải đăng
nhập vào máy chủ bằng một tài khoản mà người Quản trị mạng cấp cho với một số
quyền hạn nhất định, ứng với chức vụ, cấp bậc của cá nhân đó trong doanh nghiệp.
Việc đăng nhập này được thực hiện gián tiếp từ các máy Client.
Cấp IP động cho các máy trạm, sử dụng dịch vụ DHCP (Dynamic HostConfguration
Protocol) DHCP tự động cung cấp địa chỉ IP đến các thiết bị mạng từ một hoặc nhiều
DHCP Server. Dù trong một mạng nhỏ hoặc mạng lớn, DHCP thực sự hữu ích, giúp cho
việc thêm một máy tính mới vào mạng một cách dễ dàng và hiệu quả.
Quản lý dữ liệu tập trung: (File Server – Database Server) Trong lĩnh vực máy
tính, File Server là một máy tính liên kết với hệ thống mạng có mục đích chính là cung
cấp nơi lưu trữ dữ liệu cho các máy tính khác trong hệ thống mạng. Vai trò này nổi bật
nhất khi File Server vận hành trong hệ thống mạng Domain (Client – Server). Các file
server thường ít khi xử lý các tính toán, điều này giúp cho hệ thống hoạt động nhanh
nhất có thể đảm bảo nhu cầu lưu trữ dữ liệu từ các client. Các dữ liệu lưu trên File
Server có thể là tài liệu, hình ảnh, âm thanh, video, database,…
File Server là nơi chứa dữ liệu của tất cả các phòng ban trong trung tâm, giúp cho dữ
liệu được quản lý tập trung, giúp cho việc backup và restore dễ dàng và nhanh chóng.
In ấn (Print Server) Print Server là một máy tính hoặc một thiết bị kết nối một
hoặc nhiều máy in và các Client thông qua hệ thống mạng, có thể chấp nhận các yêu
cầu in ấn và chuyển đến máy in thích hợp.Các phòng ban có thể in ấn một cách dễ
dàng các tài liệu thông qua Print Server. Ngoài ra, nhân viên công ty từ Internet cũng
có thể in ấn bằng máy in tại trung tâm thông qua dịch vụ Internet Printing.

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

17

SVTH: Vũ Thị



Khóa luận tốt nghiệp
2.2.2.

Khoa: Hệ thống thông tin kinh tế và TMĐT

Phân tích thực trạng an toàn và bảo mật tại công ty TNHH Miraway

giải pháp công nghệ
Các phần mềm được sử dụng với mục đích hỗ trợ cho công ty về việc quản lý
nhân sự, kế toán, soạn thảo văn bản, giúp giảm thiểu chi phí nhân lực, công việc được
hoàn thành đảm bảo độ chính xác và kịp thời. Nâng cao hiệu quả và chất lượng công
việc của công ty.
Vấn đề an toàn bảo mật thông tin: Đơn vị thường hay gặp sự cố như thông tin bị
thất lạc hay hệ thống gặp sự cố. Điều này gây khó khăn và ảnh hưởng cho doanh
nghiệp trong việc đảm bảo an toàn và bảo mật thông tin.
Nguồn nhân lực của công ty: Công ty TNHH Miraway giải pháp công nghệ là
một trong những công ty hàng đầu hoạt động trong lĩnh vực công nghệ. Đội ngũ cán
bộ nhân viên có trình độ cao là một lực lượng nòng cốt, có ý nghĩa chính quyết định
đến thành công của công ty. Đội ngũ nguồn nhân lực không chỉ đông về số lượng mà
còn có trình độ chuyên môn nghiệp vụ vững vàng. Công ty luôn chú trọng công tác
đào tạo nâng cao trình độ CNTT cho các cán bộ nhân viên của công ty.
2.2.3.

Đánh giá thực trạng an toàn bảo mật thông tin tại công ty TNHH

Miraway giải pháp công nghệ
2.2.3.1. Ưu điểm
Công ty luôn chú trọng công tác đào tạo nâng cao khả năng cho các cán bộ nhân

viên CNTT của công ty và có chính sách đãi ngộ hợp lí để thu hút, đào tạo, phát triển
và duy trì nguồn nhân lực hiểu biết CNTT nói chung và HTTT nói riêng, nhằm
đạt được kết quả tối ưu cho cả công ty lẫn nhân viên.
Công ty đề ra các chính sách tuyển dụng đúng người, đúng năng lực và các nhân
viên được đào tạo tìm hiểu về CNTT, HTTT mà công ty đã và đang sử dụng đảm bảo
trong quá trình làm việc không có vấn đề xảy ra.
Hệ thống thư điện tử được cấp từ hòm mail của công ty, đảm bảo 1 địa chỉ cố
định để liên lạc với các nhân viên. Hệ thống được định kỳ bảo trì 6 tháng/lần tương đối
tốt. Nội dung bảo trì bao quát và có trọng tâm trọng điểm.

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

18

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

2.2.3.2. Nhược điểm
Các hình thức bảo đảm an toàn và bảo mật thông tin, dữ liệu trong công ty chưa đủ
để đảm bảo mục tiêu an toàn bảo mật của hệ thống, kiến thức về HTTT và ATTT của nhân
viên trong công ty chưa cao, dẫn đến nhiều nguy cơ mất ATTT của doanh nghiệp.
Công ty vẫn chưa thực sự ứng dụng TMĐT trong kịnh doanh, trong khi các lợi
ích mà TMĐT mang lại cho công ty là rất lớn, khó khăn này một phần do các hạn chế
của công ty. Môi trường mạng hiện nay mang nhiều rủi ro, độ tin cậy của các phương
tiện điện tử cũng như tính pháp lý của các giao dịch điện tử chưa cao cũng là lý do làm

cho doanh nghiệp ít mặn mà với TMĐT.
Hạ tầng kỹ thuật CNTT Công ty TNHH Miraway giải pháp công nghệ vẫn chưa
đảm bảo được tính đồng bộ một cách tối ưu nhất. Công ty chưa có cơ chế hay phần
mềm kiểm tra kết nối giữa máy chủ và các máy đặt ở phòng ban, chưa có cơ chế tự
động thông báo. Khi một máy tính tại một phòng ban bị hư hỏng cần sửa chữa thì chưa
có cơ chế tự động thông báo, mà việc thông báo sửa chữa là hoàn toàn thủ công.
- Nguyên nhân của hạn chế:
+ Chưa đáp ứng được công nghệ, nhân viên chuyên trách về CNTT, HTTT
+ Nền kinh tế Việt Nam nói chung và thế giới nói riêng gặp khủng hoảng nặng nề
khiến ngân sách bị hạn chế nên việc đầu tư vào CNTT, HTTT gặp nhiều hạn chế
- Phương hướng giải quyết:
+ Về lâu dài công ty cần các hệ quản trị cơ sở dữ liệu có dung lượng lớn và hỗ
trợ nhiều hơn đảm bảo trong việc lưu trữ và quản lý CSDL đáp ứng nhu cầu sử dụng
của các phòng ban khác nhau trong công ty.
+ Yêu cầu phải gắn kết, phối hợp đồng bộ ứng dụng CNTT với chương trình
hoạt động phát triển của công ty.

CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP NÂNG CAO TÍNH AN TOÀN BẢO MẬT
THÔNG TIN TẠI CÔNG TY TNHH MIRAWAY GIẢI PHÁP CÔNG NGHỆ
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

19

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT


3.1. Giải pháp nguồn nhân lực
Trong thời đại phát triển CNTT như hiện nay, công ty nên trang bị kiến thức về
an toàn bảo mật cho người sử dụng bởi lẽ con người ý thức được thói quen sử dụng
máy tính hàng ngày gây nên những nguy cơ mất an toàn và có biện pháp khắc phục
tình trạng đó. Nêu cao tinh thần cảnh giác đối với bất kỳ hình thức tấn công CSDL
nào. Kiểm soát nội bộ chặt chẽ và đề ra các quy định riêng về an toàn và bảo mật
CSDL cho công ty. Cần phải làm rõ một điều rằng, các nhân viên không được copy các
thông tin quan trọng hay mang nó về nhà, hoặc email ra ngoài mạng nội bộ mà không
có sự cho phép. Mặc dù vậy, trừ khi đặt ra các chính sách như vậy trong các văn bản
giấy tờ và có chữ ký của nhân viên để xác nhận, không thì sẽ rất khó có thể bắt người
dùng của công ty thực thi tốt các chính sách đó.
Nguồn nhân lực của công ty chưa có kiến thức chuyên sâu về an toàn và bảo
mật CSDL. Để thực hiện các giải pháp để nâng cao an toàn và bảo mật CSDL cho
công ty công ty cần chú ý đến việc đào tạo và nâng cao kiến thức và kỹ năng CNTT
cho nhân viên.
Ban lãnh đạo và nhân viên trong công ty nên nắm được nội dung các quy định
liên quan đến vấn đề an toàn thông tin trong doanh nghiệp, phòng chống tội phạm
công nghệ cao.
Kiểm soát người lạ, nhân viên và các thiết bị ra vào công ty để tránh việc dữ liệu
bị đánh cắp hiện nay công ty đã cung cấp cho nhân viên thẻ thang máy.
Bước đầu tiên trong việc bảo vệ dữ liệu là thiết lập các đặc quyền thích hợp cho
file và thư mục. Trong khi thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người
dùng mức đặc quyền thấp nhất có thể để họ có thể thực hiện các công việc của mình.
Ngoài ra lãnh đạo cũng có thể thiết lập hành động thẩm định file hoặc thư mục có
chứa dữ liệu nhạy cảm để có thể biết ai đã truy cập vào nó và truy cập khi nào. Về vấn
đề này công ty có thể tìm hiểu thêm về cơ chế thẩm định truy cập đối tượng trên
Windows Server tại đây.
Đặt mật khẩu cho file: Đây là giải pháp đặt mật khẩu cho file dữ liệu nhằm hạn
chế quyền truy cập hay can thiếp của những người không được cấp quyền truy cập đến

file hay cá nhân bên ngoài muốn xâm nhập để đánh cắp file.
3.2. Giải pháp công nghệ
3.2.1. Tường lửa
Firewall của Cisco:
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

20

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

Đối với các dòng sản phẩm firewall của Cisco - dòng sản phẩm được rất nhiều
doanh nghiệp có quy mô hoạt động nhỏ và vừa sử dụng, nổi trội bởi các tính năng và
giá thành phù hợp. Cisco mới đây đã giới thiệu một thế hệ firewall hoàn toàn mới tên
gọi first threat-focused Next-Generation Firewall (NGFW) được thiết kế đặc biệt có
khả năng phát hiện và ngăn chặn các cuộc tấn công. Thế hệ firewall Cisco ASA với
FirePOWER Services mới theo hãng cung cấp khả năng nhận thức theo ngữ cảnh và
điều khiển linh động để đánh giá các mối đe dọa, phối hợp thông tin và tối ưu hóa
phòng thủ nhằm bảo vệ hệ thống mạng cho người dùng.
Thế hệ firewall mới của Cisco cũng được tích hợp tính năng kiểm soát ứng dụng,
hệ thống phòng chống xâm nhập thế hệ mới Next-Generation Intrusion Prevention
Systems (NGIPS) cùng với giải pháp phòng chống malware tiên tiến Advanced
Malware Protection (AMP) từ SourceFire.
Theo Cisco, thiết bị firewall mới của hãng là một thiết bị duy nhất được thể kết
hợp tường lửa, tính năng kiểm soát ứng dụng với khả năng phòng chống xâm nhập và

phát hiện các cuộc tấn công. Điều này có nghĩa là thiết bị của hãng sẽ giúp các tổ chức
đơn giản hóa kiến trúc bảo mật cho mình mà còn tiết kiệm được đáng kể chi phí cũng
như giảm bớt số lượng thiết bị bảo mật cần quản lý và triển khai.
Trong bối cảnh hiện tại với các cuộc tấn công vào các hệ thống điều khiển/ngành
công nghiệp và sự phát triển của các băng nhóm tội phạm mạng tinh vi, các tổ chức
cần phải chủ động để có thể kiểm soát từng thay đổi dù rất nhỏ từ môi trường nhằm có
những biện pháp bảo vệ tức thời. Các thiết bị phần cứng Cisco ASA with FirePOWER
Services thực sự là một bước tiến bộ trong thị trường NGFW, giúp tăng cường bảo vệ
theo thời gian thực từ data center, hệ thống mạng cho đến từng thiết bị đầu cuối của
khách hàng.
Cisco cho biết, khách hàng có thể chọn mua các thiết bị firewall Cisco ASA mới
kèm giấy phép FirePOWER; hoặc các khách hàng đang sở hữu các firewall ASA
5500-X hay 5585-X series có thể mua thêm giấy phép sử dụng FirePOWER cho hệ
thống của mình.
Một môi trường cấu hình chung làm đơn giản hóa công việc quản lý và làm giảm
chi phí đào tạo, trong khi thiết bị phần cứng chung của họ sản phẩm này làm giảm chi
phí dự phòng. Hiện tại, Cisco chiếm khoảng ¼ thị phần sản phẩm firewall trên thị
trường.
GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

21

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT


Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm các
thuộc tính sau:
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco
+ Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng
tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
+ NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
Ta có hệ thống mạng vủa công ty sau khi lắp đặt firewall
Hệ thống mạng của công ty TNHH Miraway giải pháp công nghệ sau khi thêm
tường lửa
Internet

Clien

Clien

Clien
Switch

Server

Print Server

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo


ASA
Firewall

Modem
ADSL

Mail Server

22

SVTH: Vũ Thị


Khóa luận tốt nghiệp

Khoa: Hệ thống thông tin kinh tế và TMĐT

3.2.2. Sử dụng các hình thức mã hoá
Hiện nay công ty đang sử dụng kỹ thuật mã hóa khóa công khai để mã hóa các
dữ liệu trong công ty, kỹ thuật mã hóa này có rất nhiều ưu điểm tuy nhiên nó cũng có
một số hạn chế do vậy công ty nên sử dụng thêm một số biện pháp, phương pháp khác
-

Sử dụng mã hóa file hệ thống (EFS-Encrypting File System)

Trong số phần lớn người sử dụng chúng ta, chắc hẳn các bạn đều đã biết rằng
trong Windows XP, Windows 7 và phiên bản hệ điều hành mới nhất hiện nay –
Windows 8 đều đã được tích hợp sẵn dịch vụ bảo mật dữ liệu dành cho người dùng
khá đơn giản nhưng vô cùng hiệu quả chỉ vài thao tác thiết lập. Đó chính là Encrypted

File Service hay còn gọi tắt là EFS
EFS thực chất là 1 dịch vụ bảo mật được tích hợp sẵn trong Windows kể từ phiên
bản XP. Một khi dữ liệu đã được mã hóa bằng EFS thì chỉ có thể được truy cập và sử
dụng bằng chính tài khoản thực hiện lệnh mã hóa đó. Mặc dù người dùng khác có thể
nhìn thấy file dữ liệu đó, nhưng sẽ không thể mở được – cho dù đó là tài khoản
Administrator đi chăng nữa. Chúng ta có thể sử dụng phương pháp mã hóa tích hợp
nền tảng giấy phép này để bảo vệ các file và thư mục riêng biệt được lưu trữ trên phân
vùng định dạng NTFS. Thao tác mã hóa file và thư mục rất đơn giản, chỉ cần click vào
nút Advanced trên tab General của trang thuộc tính Properties. Lưu ý rằng chúng ta
không thể sử dụng kết hợp mã hóa EFS và nén NTFS.
EFS sử dụng kết hợp mã hóa đối xứng và bất đối xứng cho cả bảo mật và thực
thi. Để mã hóa file với EFS, người dùng phải có một giấy phép EFS, có thể được tạo
bởi Windows Certification Authority, hay một giấy phép tự phân nếu không có
Certificate Authority nào trên mạng. Các file EFS có thể được mở bởi tài khoản người
dùng đã mã hóa chúng, hay bởi một tác nhân khôi phục chuyên dụng. Với Windows
XP hay Windows 2003 chúng ta còn có thể chỉ định những tài khoản người dùng khác
được phân quyền để truy cập vào những file được mã hóa bằng EFS.
Lưu ý rằng EFS được sử dụng để bảo vệ dữ liệu trên ổ đĩa. Nếu gửi một file được
mã hóa EFS qua mạng và ai đó sử dụng một Sniffer (trình phân tích dữ liệu) để đánh
cắp thì họ có thể đọc dữ liệu trong file này.

GVHD: ThS.Nguyễn Thị Thu Thủy
Thảo

23

SVTH: Vũ Thị



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×