1
LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận
được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Lê Việt Hà, cùng sự
giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty Cổ phần Trung Thành Việt
Nam.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Lê Việt Hà – Giáo
viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóa
luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các
anh/chị làm việc tại Công ty Cổ phần Trung Thành Việt Nam vì sự quan tâm, ủng
hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông
Tin Kinh Tế và Thương Mại Điện Tử về sự động viên khích lệ mà em đã nhận được
trong suốt quá trình học tập và hoàn thành khóa luận này.
Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu
về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu khóa luận khá hạn
hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, khóa luận chắc chắn
sẽ gặp phải nhiều sai sót. Em kính mong cô giáo Lê Việt Hà , các thầy cô giáo trong
khoa Hệ Thống Thông Tin Kinh Tế và Thương Mại Điện Tử, các anh/chị nhân viên
trong Công ty Cổ phần Trung Thành Việt Nam góp ý, chỉ bảo để khóa luận có giá trị
cả về lý luận và thực tiễn.
Em xin chân thành cảm ơn!


2
MỤC LỤC
LỜI CẢM ƠN...........................................................................................................i
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ....................................................iv
DANH MỤC TỪ VIẾT TẮT...................................................................................v
PHẦN MỞ ĐẦU......................................................................................................1

1. Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp........................1
2. Mục tiêu nghiên cứu của đề tài...........................................................................2
3. Đối tượng và phạm vi nghiên cứu của đề tài.....................................................2
3.1. Đối tượng nghiên cứu........................................................................................2
3.2. Phạm vi nghiên cứu...........................................................................................3
4. Phương pháp nghiên cứu....................................................................................3
4.1. Phương pháp thu thập dữ liệu.........................................................................3
4.2. Phương pháp xử lý dữ liệu...............................................................................3
5. Kết cấu khóa luận................................................................................................4
CHƯƠNG 1:TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG
THÔNG TIN DOANH NGHIỆP.........................................................................5
1.1. Những khái niệm cơ bản..................................................................................5
1.1.1. Một số khái niệm cơ bản về an toàn và bảo mật thông tin............................5
1.1.2. Khái niệm về an toàn và bảo mật hệ thống thông tin...................................6
1.2. Một số cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp........7
1.2.1. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp..........................7
1.2.2. Các nguy cơ và hình thức tấn công gây mất an toàn hệ thống thông tin.....8
1.2.3. Các biện pháp cơ bản đảm bảo an toàn thông tin.........................................10
1.2.4. Những yêu cầu về an toàn bảo mật thông tin.............................................11
1.3. Tổng quan về vấn đề nghiên cứu...................................................................12
1.3.1. Tình hình nghiên cứu trên thế giới.............................................................12
1.3.2. Tình hình nghiên cứu tại Việt Nam............................................................14
1.3.3. Khoảng trống nghiên cứu về đảm bảo an toàn hệ thống thông tin............16
CHƯƠNG 2:PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO
AN TOÀN HỆ THỐNG THÔNG TIN TRONG DOANH NGHIỆP …………….17
2.1. Tổng quan về doanh nghiệp và tình hình hoạt động.......................................17
2.1.1. Quá trình hình thành, lĩnh vực hoạt động của doanh nghiệp........................17
2.1.2. Cơ cấu tổ chức của doanh nghiệp................................................................18



3
2.1.3. Tình hình hoạt động 3 năm gần đây............................................................19
2.2. Thực trạng về vấn đề đảm bảo an toàn cho hệ thống thông tin cho Công ty Cổ
phần Trung Thành Việt Nam.................................................................................20
2.2.1. Trang thiết bị phần cứng..............................................................................20
2.2.2. Phần mềm.....................................................................................................21
2.2.3. Hệ thống mạng.............................................................................................21
2.2.4. Cơ sở dữ liệu và quản trị cơ sở dữ liệu........................................................22
2.2.5. Vấn đề bảo mật cơ sở dữ liệu của doanh nghiệp........................................23
2.2.6. Hệ thống thông tin của doanh nghiệp..........................................................24
2.2.7. Thực trạng an toàn bảo mật hệ thống thông tin tại doanh nghiệp.............24
2.2.8. Kết quả xử lý phiếu điều tra và phân tích các dữ liệu thứ cấp....................25
CHƯƠNG 3:CÁC KẾT LUẬN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN
TOÀN CHO HỆ THỐNG THÔNG TIN CÔNG TY CỔ PHẦN TRUNG
THÀNH VIỆT NAM.............................................................................................30
3.1. Đánh giá thực trạng an toàn bảo mật thông tin tại công ty.........................30
3.1.1. Những kết quả đạt được...............................................................................30
3.1.2. Những vấn đề còn tồn tại.............................................................................30
3.1.3. Nguyên nhân của những tồn tại..................................................................31
3.2. Phương hướng hoạt động của công ty Cổ phần Trung Thành Việt Nam giai
đoạn 2017-2022......................................................................................................32
3.3. Đề xuất giải pháp đảm bảo an toàn thông tin trong doanh nghiệp.............33
3.3.1.Giải pháp trang thiết bị phần cứng...............................................................33
3.3.2. Giải pháp sử dụng phần mềm ứng dụng......................................................34
3.3.3. Giải pháp bảo vệ cơ sở dữ liệu.....................................................................37
3.3.4. Giải pháp hệ thống mạng.............................................................................39
3.3.5. Giải pháp nâng cáo trình độ cho đội ngũ nhân viên...................................42
3.4. Một số kiến nghị..............................................................................................43
3.4.1. Kiến nghị với cơ quan nhà nước..................................................................43
3.4.2. Kiến nghị với Công ty Cổ phần Trung Thành Việt Nam.............................44

KẾT LUẬN............................................................................................................45
DANH MỤC TÀI LIỆU THAM KHẢO..............................................................46
PHỤ LỤC


4

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Bảng 2.1: Tình hình hoạt động kinh doanh của công ty...........................................20
Bảng 2.2: Thông tin phần cứng của HTTT doanh nghiệp........................................20
Biểu đồ 2.1. Các hình thức giao dịch chủ yếu của công ty......................................26
Biểu đồ 2.2. Mức độ trang bị thiết bị phần cứngbảo mật........................................26
Biểu đồ 2.3. Cách thức đảm bảo ATTT được sử dụng............................................27
Biểu đồ 2.4. Cách thức bảo vệ CSDL trong Công ty..............................................27
Biểu đồ 2.5:Trình độ hiểu biết của nhân viên về ATTT..........................................28
Biểu đồ 2.6: Tần suất sao lưu dữ liệu của công ty...................................................28
Biểu đồ 2.7: Nhận thức về tầm quan trọng của ATTT..............................................29
Biểu đồ 2.8: Trở ngại khi phát triển ATTT của công ty............................................29
Hình 2.1: Cơ sở hạ tầng mạng Công Ty Cổ phần Trung Thành
Hình 2.2: Sơ đồ hệ thống quản lý dữ liệu
Hình 2.3: Sơ đồ cấu trúc dữ liệu của công ty
Hình 3.1: Mô hình phân hoạch dữ liệu đảm bảo an toàn khi khai thác
Sơ đồ 2.1: Cấu trúc tổ chức của công ty CP Trung Thành Việt Nam


5
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
ATBM
ATTT

CNTT
CSDL
HTTP
HTTT
LAN
NXB
SPSS
SQL
SSL
TMĐT
WEP
AES

Diễn giải

HyperText Transport Protocol

Nghĩa tiếng Việt
An toàn bảo mật
An toàn thông tin
Công nghệ thông tin
Cơ sở dữ liệu
Giao thức truyền tải siêu văn

bản
Hệ thống thông tin
Local Area Network
Mạng cục bộ
Nhà xuất bản
Statistical Package for Social Sciences Gói thống kê khoa học xã hội

Structured Query Language
Ngôn ngữ truy vấn cấu trúc.
Secure Socket Layer
Giao thức truyền thông
Thương mại điện tử
Giao thức mã hoá mạng
Wireless Encryption Protocol
không dây
Advanced Encryption Standard
Tiêu chuẩn mã hóa tiên tiến


1
PHẦN MỞ ĐẦU
1. Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp
Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh
vực nào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được
thông tin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức
đưa ra những cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự
thay đổi của xã hội.
Trên thế giới, việc đảm bảo an toàn cho hệ thống thông tin (HTTT) đã được
quan tâm từ rất sớm, các tiêu chuẩn an toàn thông tin và hệ thống được nghiên cứu
và công bố cách đây hàng thập kỉ. Tiêu chuẩn Anh BS 7799 "Hướng dẫn về quản lý
an toàn thông tin", được công bố, chấp nhận lần đầu tiên vào năm 1995 quy định về
các giải pháp đảm bảo an toàn thông tin theo các nhóm cụ thể. Ở nước ta, ngày 13
tháng 1 năm 2010, Thủ tướng Chính phủ đã ký quyết định số 63/QĐ - TTg ban
hành: “Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020” với các
quan điểm, mục tiêu rõ ràng cùng một loạt các chính sách, giải pháp, các chương
trình, dự án cụ thể. Từ đó tới nay, đây vẫn luôn là vấn đề được quan tâm, không
ngừng phát triển để có được những giải pháp tốt nhất trong việc đảm bảo an toàn

cho hệ thống thông tin. Điều
này góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và
phát triển. Nó không những giúp doanh nghiệp đáp ứng mọi nhu cầu của khách
hàng hiện tại mà còn nâng cao được năng lực hoạt động kinh doanh, giúp cho các
doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước.
Có thể coi HTTT như là thành phần quan trọng của doanh nghiệp, nó quyết
định mọi hoạt động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan
trọng đó mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanh
nghiệp. Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo mật cho
HTTT doanh nghiệp.
Công ty Cổ phần Trung Thành Việt Nam với truyền thống hơn 15 năm xây
dựng, trưởng thành và phát triển, đến nay là một trong những công ty uy tín hàng
đầu, có chỗ đứng vững chắc trên các lĩnh vực: thi công công trình giao thông, dân
dụng, hạ tầng kỹ thuật, nạo vét sông; kênh rạch, đảm bảo giao thông đường thủy.
Nhận thức được vai trò quan trọng của việc đảm bảo an toàn thông tin cho sự phát
triển vững mạnh của công ty trong tương lai tuy nhiên, công ty vẫn chưa có sự đầu


2
tư đúng mức cho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT) của mình.
Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn chưa nhất quán, độ bảo
mật chưa cao, ảnh hưởng trực tiếp đến hoạt động kinh doanh của công ty.
Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần Trung Thành Việt
Nam em xin thực hiện đề tài khoá luận: “Giải pháp đảm bảo an toàn cho hệ thống
thông tin của Công ty Cổ phần Trung Thành Việt Nam ”
2. Mục tiêu nghiên cứu của đề tài
Mục tiêu chung: trên cơ sở lý luận và thực trạng đề xuất các giải pháp nâng
cao an toàn bảo mật HTTT trong Công ty Cổ phần Trung Thành Việt Nam.
Mục tiêu cụ thể cần giải quyết trong đề tài:
Thứ nhất, tập hợp và hệ thống hoá một số lý thuyết cơ bản về an toàn bảo mật

hệ thống thông tin trong doanh nghiệp như khái niệm, vai trò, ý nghĩa đảm bảo an
toàn thông tin, các nguy cơ gây mất an toàn thông tin.
Thứ hai, xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật hệ
thống thông tin dựa trên các tài liệu đã thu thập được.
Thứ ba, trên cơ sở nghiên cứu thực trạng của công ty, từ đó đưa ra các giải
pháp nâng cao an toàn bảo mật hệ thống thông tin trong công ty nhằm cải thiện một
hệ thống thông tin quản lý có tính an toàn cao, ngăn chặn các nguy cơ tấn công từ
bên ngoài.
3. Đối tượng và phạm vi nghiên cứu của đề tài
3.1. Đối tượng nghiên cứu
Vấn đề an toàn bảo mật (ATBM) cho HTTT của Công ty Cổ phần Trung
Thành Việt Nam.
Hệ thống thông tin doanh nghiệp.
Các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn bảo mật
cho HTTT của công ty.
Các chính sách phát triển đảm bảo an toàn bảo mật thông tin trong công ty.
Các giải pháp an toàn bảo mật trên thế giới áp dụng được cho doanh nghiệp.


3
3.2. Phạm vi nghiên cứu


Phạm vi về không gian:

Nội dung của đề tài nghiên cứu của đề tài chỉ mang tính vi mô, hướng tới một
doanh nghiệp cụ thể - Công ty Cổ phần Trung Thành Việt Nam, được đặt trong bối
cảnh nền kinh tế với sự phát triển mạnh mẽ của công nghệ thông tin.
 Phạm vi về thời gian
Quá trình nghiên cứu sẽ được thực hiện dựa trên tình hình hoạt động của công

ty trong ba năm gần đây (từ 2014 đến 2016).
4. Phương pháp nghiên cứu
4.1. Phương pháp thu thập dữ liệu

 Phương pháp thu thập dữ liệu sơ cấp
- Điều tra trắc nghiệm: phương pháp này sử dụng mẫu phiếu điều tra khảo sát
tại công ty thực tập.
-

Điều tra trực tiếp: trong quá trình thực tập tổng hợp tại công ty, tiến hành

phỏng vấn trực tiếp nhân viên các phòng ban đồng thời tiến hành quan sát trực tiếp cơ
sở hạ tầng, môi trường làm việc của công ty để thu thập thêm các thông tin cần thiết.

 Phương pháp thu thập dữ liệu thứ cấp
- Nguồn tài liệu bên trong: bao gồm các báo cáo kết quả hoạt động kinh doanh
của công ty trong vòng 3 năm: 2014, 2015, 2016 được thu thập từ phòng Kế toán,
hành chính của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác.
- Nguồn tài liệu bên ngoài: từ các công trình nghiên cứu khoa học, tạp chí,
sách báo, internet có liên quan đến cơ sở lý luận, các lý thuyết về hệ thống thông tin
cũng như vấn đề an toàn bảo mật thông tin trong doanh nghiệp.
4.2. Phương pháp xử lý dữ liệu
Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng vì vậy
trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông tin sau:
-

Phương pháp định lượng: sử dụng phần mềm SPSS (Statistical Package

for Social Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống

kê trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại
đơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu. Người
dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây
dựng đồ thị…


4
-

Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi

phỏng vấn, phiếu điều tra và các tài liệu thu thập được.
Các phương pháp này được sử dụng nhằm tìm ra nguyên nhân, thực trạng của
vấn đề an toàn bảo mật HTTT tại công ty cổ phần Trung Thành Việt Nam, để từ đó
đưa ra các giải pháp phù hợp.
5. Kết cấu khóa luận
Khóa luận bao gồm ba chương:
Chương 1: Cơ sở lý luận của vấn đề nghiên cứu
Chương 2: Phân tích đánh giá thực trạng thực trạng an toàn thông tin trong
hệ thống thông tin của Công ty Cổ phần Trung Thành Việt Nam
Chương 3: Các kết luận và đề xuất giải pháp đảm bảo an toàn cho hệ thống
thông tin của Công ty Cổ phần Trung Thành Việt Nam


5
CHƯƠNG 1
TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN
DOANH NGHIỆP
1.1. Những khái niệm cơ bản
1.1.1. Một số khái niệm cơ bản về an toàn và bảo mật thông tin

* Khái niệm thông tin:
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng
để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện
pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu
là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất
nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Để đưa ra
được khái niệm về thông tin, trước hết ta cần hiểu thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng
trong thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử
dụng.
“Thông tin” là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân
tích, tổng hợp,…), phù hợp với mục đích của người sử dụng. Nói cách khác, thông
tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử
dụng” [Bài giảng Hệ thống thông tin quản lý, Bộ môn CNTT, Đại học Thương mại].
Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối
quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”
Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhận
được liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”
liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”
* Khái niệm về hệ thống thông tin:
Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ với nhau
cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và
cung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu
nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế


6

cạnh tranh. Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin
về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự
phát triển.
1.1.2. Khái niệm về an toàn và bảo mật hệ thống thông tin
 An toàn thông tin
Một hệ thống thông tin được coi là an toàn khi thông tin không bị làm hỏng
hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
[Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại]
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho
hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà
không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Như vậy, an toàn thông tin là việc bảo vệ chống truy nhập, sử dụng, tiết lộ,
chỉnh sửa và phá hủy thông tin trái phép
 Bảo mật thông tin
Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.

Tính sẵn sàng

Tính toàn vẹn

Tính bảo mật

Hình 1.1: Ba mục tiêu bảo mật thông tin
(Nguồn:Bài giảng CSDL, Bộ môn CNTT, Đại học Thương Mại)
-

Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp

quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật
thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị

hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống
sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại,
có thể dẫn đến phá sản.


7
-

Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,

chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công
không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị
mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy
nhập được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin
chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được
đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên
mất giá trị.
Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn và
bảo mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu
chí trong một thời gian xác định.
1.2. Một số cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp
1.2.1. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại
khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu.
Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của
người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm
vào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ

trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi
dụng. Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của
hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc
cũng có nhiều mục tiêu tấn công dễ dàng hơn. Song song với việc xây dựng hệ
thống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ
hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy.
An toàn và bảo mật trong hệ thống thông tin có vai trò quan trọng đối với sự
phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có
thể coi là tài sản vô giá. Xây dựng một HTTT an toàn giúp cho việc quản lý hệ
thống trở nên rõ ràng, minh bạch hơn. Một môi trường thông tin an toàn, trong sạch
sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của
doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội


8
nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế
cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản,
con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do
vậy, đảm bảo ATBM thông tin doanh nghiệp cũng có thể coi là một hoạt động quan
trọng trong sự nghiệp phát triển của doanh nghiệp. Đây không phải vấn đề riêng của
người làm CNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp.
1.2.2. Các nguy cơ và hình thức tấn công gây mất an toàn hệ thống thông
tin
1.2.2.1. Các nguy cơ mất an toàn thông tin trong hệ thống thông tin
Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các
hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất
điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó
tránh được nhưng đó lại không phải là nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá
hỏng vật lý, can thiệp có chủ ý. Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các

giao dịch liên quan cho bên thứ ba. Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng
một trong ba cách: “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”,
sửa đổi hay chèn, xoá thông tin và gửi đi tiếp; tạo một nguồn thông tin giả mạo để
đưa các thông tin đánh lừa “đích”; tạo “đích” giả để lừa thông tin đến từ nguồn đích
thật. Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin có
thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng người
truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lại
quá nhỏ gây ra tắc nghẽn.
Nguy cơ từ bên trong: Đây là nguy cơ xuất phát từ chính bên trong tổ chức
doanh nghiệp. Nguy cơ có thể xuất phát do yếu tố kỹ thuật (thiết bị mạng, máy chủ,
HTTT,…); do lập kế hoạch, triển khai, thực thi, vận hành (vòng đời); có các quy
trình, chính sách an ninh bảo mật của công ty hay do yếu tố con người.
Nguy cơ từ môi trường bên ngoài: các nguy cơ từ môi trường như hạ tầng
năng lượng, truyền thông, thảm họa thiên nhiên hay từ con người. Doanh nghiệp
càng lớn càng là mục tiêu của nhiều đối tượng tấn công trong nước và quốc tế.
1.2.2.2. Hình thức tấn công hệ thống thông tin


9
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn
công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu
trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích.
Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện
nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng
tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được
lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến
(online) và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể,

thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế
và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có
trình độ cao và cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn
nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không
mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Tấn công trực tuyến không có
mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng
khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh
cắp tài khoản.Hình thức phổ biến nhất của tấn công trực tuyến là phishing. Phishing
là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách
giả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn
các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công
chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông
điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of
Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải
dẫn tới không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự
yếu kém trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu


10
cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết
nối khác.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông
tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với
mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương
trình ứng dụng.

1.2.3. Các biện pháp cơ bản đảm bảo an toàn thông tin
Để một hệ thống thông tin được đảm bảo an toàn, doanh nghiệp cần phải sử dụng
các phương pháp, phương tiện, kỹ thuật nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ
thống gặp phải đồng thời phải khắc phục được hậu quả nghĩa là sử dụng các phương
pháp, phương tiện và kỹ thuật nhằm phục hồi lại tài nguyên hệ thống và các hoạt động
chủ yếu của nó. Các biện pháp cơ bản đảm bảo an toàn thông tin mà doanh nghiệp cần
phải biết:
Phân quyền người dùng: Người dùng sẽ được quyền đăng nhập, sử dụng tài
nguyên hệ thống dữ liệu trong phạm vi quyền hạn của mình. Phân quyền người dùng
giúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống và dữ liệu theo
những yêu cầu khác nhau từ đó đảm bảo được tính riêng tư của người dùng, đảm bảo
an toàn thông tin hệ thống và nâng cao tính bảo mật cho hệ thống.
Bảo mật kênh truyền dữ liệu: trong quá trình giao dịch điện tử, thông tin và dữ
liệu khi truyền giữa người gửi và người nhận dễ bị tấn công nhất. Do đó, bảo mật kênh
truyền dữ liệu chủ yếu được thực hiện trong các giao dịch thương mại điện tử nhằm
đảm bảo tính toàn vẹn của thông tin khi truyền qua mạng, giảm nguy cơ bị rò rỉ thông
tin người dùng khi giao dịch trực tuyến.
Tường lửa: là một thiết bị (cả phần cứng và phần mềm) bảo vệ nằm ở biên giới
mạng máy tính, phân chia mạng máy tính thành hai vùng riêng biệt (vùng tin cậy và
vùng không tin cậy) nhằm bảo vệ truy cập trái phép từ vùng không tin cậy đối với vùng
tin cậy. Tường lửa có thể chặn luồng thông tin có khả năng nguy hại đến sự an toàn của
mạng máy tính đồng thời lưu trữ thông tin quan trọng, nhạy cảm của đơn vị tránh sự
xâm nhập trái phép từ bên ngoài.
Sử dụng công cụ rà quét lỗ hổng, điểm yếu an ninh: thu thập thông tin về điểm
yếu của hệ thống mạng giúp hệ thống nhìn ra được khuyết điểm và đưa ra các biện
pháp khắc phục


11
Hệ thống ngăn chặn tấn công và phát hiện tấn công: đây là lớp phòng vệ quan

trọng trong các lớp giải pháp đảm bảo an toàn thông tin: IDS (hệ thống phát hiện tấn
công, đột nhập); IPS (hệ thống ngăn chặn tấn công, đột nhập).
1.2.4. Những yêu cầu về an toàn bảo mật thông tin


Tính bảo mật

Trong an toàn dữ liệu, bảo mật là yêu cầu đảm bảo cho dữ liệu của người sử
dụng phải được bảo vệ, không bị mất mát vào những người không được phép. Nói
khác đi là phải đảm bảo được ai là người được phép sử dụng ( và sử dụng được) các
thông tin (theo sự phân loại mật của thông tin).
Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sử
dụng trái phép bởi một người không sử hữu. Trên thực tế, rất nhiều thông tin cá
nhân của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã số
thẻ tín dụng, số thẻ bảo hiểm xã hội,….vì vậy đây có thể nói là yêu cầu quan trọng
nhất đối với tính an toàn của hệ thống thông tin.


Tính toàn vẹn

Trong an toàn dữ liệu, tính toàn vẹn có nghĩa là dữ liệu không bị tạo ra, sửa
đổi hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến khả năng đảm
bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người
không được phép trong quá trình truyền thông.
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi
dữ liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể
vi phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn cần thiết. Chẳng
hạn một hệ quản trị CSDL xây dựng kếm có thể gây mất mát dữ liệu trong trường
hợp mất điện đột ngột. Các hành động phá hoại cũng có thể gây ra mất tính toàn vẹn
của dữ liệu.



Tính sẵn sàng

Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sử
dụng, dữ liệu phải luôn trong trạng thái sẵn sàng. Các biện pháp bảo mật làm cho
người sử dụng gặp khó khăn hay không thể thao tác được với dữ liệu đều không thể
được chấp nhận. Nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phải đảm bảo
được sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đa những
khó khăn gây ra cho người sử dụng thật sự. Dữ liệu và tài nguyên của hệ thống phải


12
luôn ở trong tình trạng sẵn sàng phuc vụ bất cứ lúc nào đối với những người dùng
có thẩm quyền sử dụng một cách thuận lợi.


Tính tin cậy

Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những
người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có
giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúng
với sự mong muốn của họ, chưa hề bị mất mát hay bị lọt vào tay những người
không được phép.Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét
đến tất cả những yếu tố trên. Nếu thiếu một trong số đó thì độ bảo mật của hệ thống
là không hoàn thiện.
1.3. Tổng quan về vấn đề nghiên cứu
1.3.1. Tình hình nghiên cứu trên thế giới
Từ những năm 1980, cùng với sự phát triển của CNTT trên thế giới, HTTT cũng
bắt đầu phát huy vai trò trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an ninh thông

tin được đặt ra. Đã có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:
William Stallings (2005),Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh
mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng
ngày nay. Cung cấp giải pháp đơn giản hoá AES ( Advanced Encryption Standard)
cho phép người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng,
thuật toán, hoạt động mã hoá, CMAC (Cipher-based Message Authentication Code) để
xác thực, mã hoá chứng thực. Bao gồm phương pháp phòng tránh, mở rộng cập nhật
những phần mềm độc hại và những kẻ xâm hại.
Wireless Securiry and Cryptography – Specifications and Implementations - Bảo
mật mạng không dây và mật mã: các đặc tả và cài đặt, của hai tác giả Nicolas Sklavos
và Xinmiao Zhang biên tập và được nhà xuất bản CRC Press phát hành vào tháng
3/2007.
Cuốn sách tập trung vào các cách tiếp cận tích hợp có thể thay thế cho bảo mật
truyền thông không dây. Nó phân tích một cách tổng quan tầng bảo mật hiện tại của
các giao thức không dây và trình bày các đặc trưng hiệu suất của các cài đặt bằng phần
mềm và phần cứng. Đồng thời trình bày các phương pháp mới và hiệu quả để thực
hiện lược đồ an toàn trong các giao thức không dây với hiệu suất cao, phân tích các xu


13
hướng nghiên cứu hiện đại trong các cài đặt bảo mật giao thức không dây hiện tại và
tương lai. Nó cung cấp thông tin kỹ thuật và nền tảng về các giao thức và công nghệ
mạng không dây được sử dụng rộng rãi nhất và mới nhất, bao gồm Bluetooth, RFID và
các thẻ thông minh; minh họa cách các đặc tả bảo mật được cài đặt trong các vi mạch
và đề xuất các nền tảng cài đặt phần cứng có thể thực thi và mềm dẻo cho các tầng bảo
mật và các lược đồ mật mã của các giao thức không dây ngày nay.
Network Security Know It All, nhà xuất bản: Morgan Kaufmann Publishers (2008)

Cuốn sách này viết giải thích những điều cơ bản, mô tả các giao thức và thảo
luận về chủ đề nâng cao bởi các chuyên gia tốt nhất và sáng tạo nhất trong lĩnh vực
an ninh mạng. Từ đó mang lại những hiểu biết thiết thực cho người đọc về các khái
niệm an ninh cốt lõi, vấn đề bảo mật, mật mã thông qua các phương pháp phân tích cụ
thể. Không những thế cuốn sách còn đề xuất các giải pháp thực tế trong vấn đề này.
Các phương pháp bảo đảm an toàn mạng được nhắc đến trong các bài bài viết
như:
Kaspersky ra mắt hệ điều hành siêu bảo mật mang tên Kaspersky OS, có thể
ngăn chặn mọi hacker (Bài báo trên trang Genk.vn).
Hệ thống an ninh có sẵn của Kaspersky OS có thể điều khiển hành vi của từng
ứng dụng, các lỗ hổng bảo mật bị hạn chế một cách tối đa, ngay cả khi người dùng
cài đặt các phần mềm lạ. Kaspersky cho biết đây là hệ điều hành gần như không thể
bị hack. Bởi nếu muốn làm điều đó, hacker cần phải phá được chữ ký kỹ thuật số
của chủ hệ điều hành. Tuy nhiên công việc này chỉ có thể thực hiện nếu hacker có
được một chiếc máy tính lượng tử. Cùng với điều này, ta có thể thấy mua bản
quyền sẽ khá tốn chi phí
Top 8 công cụ hack tại Hội nghị BlackHat 2016 ( Tạp chí an toàn thông
tin – 2016)
Bài báo này giới thiệu Top 8 công cụ được trình bày tại hội nghị BlackHat
2016 đã diễn ra tại Las Vegas. Các công cụ này được thiết kế nhằm kiểm tra các lỗ
hổng tiềm ẩn liên quan đến an toàn tổng thể của hệ thống, giúp nâng cao khả năng
đảm bảo an toàn và phục hồi cho trung tâm dữ liệu; tìm ra các lỗ hổng bảo mật chưa
biết đến của SDNs, bảo mật trích xuất giản đồ của chương trình giả lập chống virus
bản thương mại cùng nhiều tính năng , thu hút đông đảo sự quan tâm của các nhà
quản lý, chuyên gia nghiên cứu trong lĩnh vực an toàn thông tin.


14
1.3.2. Tình hình nghiên cứu tại Việt Nam
Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng có

những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học
về an toàn và bảo mật thông tin được ra đời như:
Vũ Đình Cường (2009), Cách bảo vệ dữ liệu quan trọng và phương pháp phát
hiện thâm nhập, NXB Lao động - Xã hội
Cuốn sách này ngoài việc giới thiệu một số giải pháp bảo vệ dữ liệu quan
trọng, hướng dẫn sử dụng một số chương trình giúp mã hóa thông tin an toàn, giải
pháp bảo vệ hệ thống bằng cách cài đặt, cấu hình và sử dụng phần mềm bảo vệ và
phát hiện thâm nhập cho hệ thống. Bên cạnh đó sách còn giới thiệu cách tìm hiểu về
lỗi tràn bộ đệm, từ những hiểu biết sâu sắc về lỗi này sẽ giúp bạn loại bỏ đi những
lỗi tiềm tàng trong hệ thống. Nội dung của sách chia làm 5 chương, mỗi chương
phản ánh một chủ đề, mỗi chủ đề đều là những chuyên mục nóng nhất của lĩnh vực
Bảo mật và được giải quyết một cách trọn vẹn. Đặc biệt, nội dung sách được tuyển
chọn và trình bày một cách khoa học. Phương pháp viết tường minh và theo kiểu
từng bước "step by step". Mỗi bước đều được minh họa và chú thích bằng các hình
ảnh rõ ràng, phù hợp với các đối tượng độc giả từ căn bản đến nâng cao.
Mật mã học và an toàn thông tin, Thái Thanh Tùng (2011), Giáo trình mật mã
học và hệ thống thông tin an toàn, NXB Thông tin và Truyền thông.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến bảo mật thông tin và
mã hóa như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong mã hóa thông tin.
Cũng như các thuật ngữ về mã hóa và hệ thống thông tin an. Từ đó, giúp người đọc
có cái nhìn tổng thể về mật mã học và an toàn HTTT. Ngoài ra, trong giáo trình này
cũng đề cập đến một số phương pháp mã hóa dữ liệu cũng như giải mã thông dụng,
phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong các
công việc hằng ngày của mình.
Bài báo cáo “Thiết kế tường lửa”, thạc sĩ Vũ Anh Tuấn, khoa Công nghệ thông
tin, trường Đại học Thái Nguyên năm 2012
Bài báo cáo đã đưa ra được các phương pháp xây dựng tường lửa và đề xuất
nhiều tiện ích mới mà tường lửa đem lại mang tính khả thi cao đề xuất một số quy
trình xây dựng tường lửa sao có hiệu quả nhất, đưa ra những hạn chế mà tường lửa



15
không làm được. Tuy nhiên, báo cáo cũng chỉ dừng lại ở việc chỉ ra những hạn chế
của tường lửa chứ chưa đề xuất được giải pháp nào để khắc phục vấn đề này.
Luận văn thạc sĩ với đề tài “Đảm bảo an toàn bảo mật cho mạng thông tin dữ
liệu chuyên dùng”, Giang Nguyên Việt, Chuyên ngành Truyền dữ liệu và Mạng máy
tính, Học viện Công nghệ bưu chính viễn thông.
Luận văn đi sâu nghiên cứu tìm hiểu: một số giải pháp đảm bảo an ninh, an
toàn thông tin cho hệ thống mạng máy tính nói chung và mạng thông tin chuyên
dùng nói riêng; nghiên cứu các kỹ thuật, công nghệ và thuật toán mật mã khóa công
khai (PKI); Ứng dụng thử nghiệm PKI để bảo mật thông tin trong mạng thông tin
dữ liệu chuyên dùng nghiên cứu các phương pháp bảo vệ an toàn thông tin dữ liệu,
các loại tấn công trên hệ thống, kỹ thuật mã hóa ứng dụng trong hệ thống trao đổi
văn bản điện tử, kỹ thuật và công nghệ để giải quyết vấn đề an toàn và bảo mật. Ta
có thể thấy kết quả của luận văn này giới hạn trong bảo mật dữ liệu, chưa đề cập
đến các vấn đề an toàn thông tin trong doanh nghiệp nói chung và chưa đi sâu vào
một doanh nghiệp cụ thể.
Bảo đảm an ninh mạng, an ninh thông tin trong thời kỳ cách mạng công
nghiệp lần thứ 4( Tạp chí an toàn thông tin – 2017)
Đó là chủ đề của Hội thảo - Triển lãm quốc gia về An toàn bảo mật 2017.
Phiên báo cáo chính đánh giá về hiện trạng và xu hướng ATTT đang diễn ra hiện
nay và đề xuất một số giải pháp ATTT cho các tổ chức và doanh nghiệp. Bên cạnh
đó, tham luận các vấn đề tổng quan tình hình an ninh mạng tại Việt Nam năm 2016,
một số vấn đề cần quan tâm khi bàn về chủ quyền không gian mạng, giải pháp kiểm
thử hệ sinh thái an ninh thông tin; giải pháp nâng cao khả năng bảo mật cho tổ chức
và doanh nghiệp trước các nguy cơ tấn công mạng qua hệ thống in ấn; bảo mật hệ
thống với công nghệ SDN….hướng đến mục tiêu giúp các doanh nghiệp, tổ chức
nắm bắt và đánh giá được các hiểm họa an toàn mạng hiện nay, cũng như đề xuất
các phương án ứng phó kịp thời các sự cố ATTT, đảm bảo tuân thủ các quy định an
toàn bảo mật mới.

1.3.3. Khoảng trống nghiên cứu về đảm bảo an toàn hệ thống thông tin
Đảm bảo an hệ thống thông tin là vấn đề quan trọng, đòi hòi sự đầu tư về
nhiều khía cạnh. Bên cạnh các nghiên cứu đáp ứng các yêu cầu thiết yếu vẫn còn


16
tồn tại nhiều vấn đề chưa được đề cập, phát triển đúng mức và đang trong quá trình
nghiên cứu.
Nhu cầu sử dụng thiết bị công nghệ thông tin để hỗ trợ công việc trong ngành
tài chính đã xuất hiện từ rất sớm. Tuy nhiên, các phần mềm bảo mật thông tin còn
rất hạn chế, không đáp ứng nhu cầu sử dụng dẫn đến mất an toàn thông tin ảnh
hưởng lớn đến hoạt động của doanh nghiệp.
Xây dựng quy định về bảo đảm an ninh không gian mạng quốc gia là vấn đề
quan trọng tác động trực tiếp đến hiệu quả ATTT. Tuy nhiên, việc xây dựng những
chính sách, quy định vẫn còn thiếu sót. Nghiên cứu và hoàn thiện vấn đề này sẽ là
một trong những hướng đi lâu dài góp phần nâng cao an ninh mạng, hệ thống thông
tin.
Đảm bảo an toàn thông tin hiện nay xác định: để giảm thiểu các nguy cơ về
ATTT trong kỷ nguyên công nghiệp 4.0 cần kiểm soát các rủi ro và đề ra biện pháp
an toàn phù hợp; phân loại rủi ro, xác định các chính sách và thi hành các chính
sách CNTT không chỉ để phát hiện các mối đe dọa, mà còn để khắc phục hoặc dự
đoán trước khi sự cố mất ATTT xảy ra.


17
CHƯƠNG 2
PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VẤN ĐỀ ĐẢM BẢO AN TOÀN HỆ
THỐNG THÔNG TIN TRONG DOANH NGHIỆP
2.1. Tổng quan về doanh nghiệp và tình hình hoạt động
2.1.1. Quá trình hình thành, lĩnh vực hoạt động của doanh nghiệp

2.1.1.1. Quá trình hình thành doanh nghiệp
Tên công ty

Công ty Cổ phần Trung Thành Việt Nam

Tên tiếng anh

Viet Nam Trung Thanh Joint Stock Company

Tổng giám đốc

Phạm Tiến Phong

Website

trungthanhvietnam.com.vn

Số điện thoại

043 356 1998

Mã số thuế

0101334979

Email



Địa

chỉ
phòng

văn
B36-TT18 Khu đô thị Văn Quán, Phúc La, Hà Đông, Hà Nội
Nguồn: Công ty cổ phần Trung Thành Việt Nam

Công ty Cổ phần Trung Thành Việt Nam với truyền thống hơn 15 năm xây
dựng, trưởng thành và phát triển, đến nay đã khắc tên mình lên những con đường,
cây cầu, những công trình hiện đại mà đất nước đang đầu tư xây dựng, tạo nên
những sản phẩm đạt đến đỉnh cao của kỹ thuật, mỹ thuật như: Cao tốc Nội Bài –
Lào Cai, Cao tốc Hà Nội – Hải Phòng, dự án cải tạo nâng cấp Quốc lộ 1A tỉnh
Thanh Hóa, Quảng Trị, Bình Định, Khánh Hòa, Bình Thuận, QL 31 Bắc Giang,
QL 70 Lào Cai, QL 24 Quảng Ngãi, QL 1 Bắc TP. Hà Tĩnh, cầu Tân Phong, cầu
Bo, cầu Lực Điền, cầu thép và các cầu treo dân sinh.
Công ty vinh dự khi được Bộ giao thông vận tải đánh giá là nhà thầu đáp ứng
yêu cầu, xếp hạng thứ 41 trên toàn quốc, được nhận nhiều bằng khen của Bộ trưởng
Bộ giao thông vận tải, đặc biệt là bằng khen của Thủ tướng Chính phủ về thành tích
của tập thể và cá nhân suất sắc tại dự án mở rộng QL1 tỉnh Khánh Hòa. Đây là phần


18
thưởng xứng đáng cho sự đóng góp của công ty trong sự nghiệp công nghiệp hóa –
hiện đại hóa đất nước.


19
2.1.1.2. Các lĩnh vực kinh doanh của công ty
Công ty Cổ phần Trung Thành Việt Nam là một trong những công ty uy tín
hàng đầu, có chỗ đứng vững chắc trên các lĩnh vực: thi công công trình giao

thông, dân dụng, hạ tầng kỹ thuật, nạo vét sông; kênh rạch, đảm bảo giao thông
đường thủy.
Với sự kết hợp hài hoà về trí tuệ, nhiệt huyết và tình yêu nghề của đội ngũ
đông đảo các kỹ sư có trình độ chuyên môn cao, đội ngũ công nhân lành nghề đã
trải qua nhiều năm kinh nghiệm cùng các trang thiết bị, máy móc được đầu tư quy
mô và hiện đại, Trung Thành Việt Nam khẳng định tiềm lực cũng như vị thế của
công ty trong lĩnh vực xây dựng các công trình giao thông.
2.1.2. Cơ cấu tổ chức của doanh nghiệp
2.1.2.1. Các phòng ban chức năng

Sơ đồ 2.1: Cấu trúc tổ chức của công ty CP Trung Thành Việt Nam
Nguồn: Công ty CP Trung Thành Việt Nam
Cơ cấu tổ chức của công ty theo mô hình trực tuyến, mối liên hệ giữa các
thành viên trong tổ chức được thực hiện theo đường thẳng, gồm có: Hội đồng
quản trị, Giám đốc và các phòng ban nghiệp vụ với các chức năng, nhiệm vụ cụ
thể như sau:


20
- Hội đồng quản trị: là cơ quan quản lý công ty, có toàn quyền quyết định mọi
vấn đề liên quan đến quyền lợi của công ty
- Tổng giám đốc: là người chịu trách nhiệm chung về hoạt động kinh doanh
cũng như đời sống của cán bộ công nhân viên trong toàn bộ công ty. Giám đốc có
quyền ký kết các hợp đồng kinh tế, quan hệ giao dịch với các cơ quan liên quan.
- Phòng hành chính: đảm bảo công tác quản lý lao động, theo dõi thi đua, công
tác văn thư, bảo vệ tài sản.
- Phòng kĩ thuật: Đảm bảo công tác khoa học kĩ thuật, nghiên cứu ứng dụng
công nghệ mới đưa vào quá trình kinh doanh và lắp đặt.
- Phòng kế toán: hạch toán, ghi chép, xử lý cung cấp số liệu về tình hình sản
xuất, kinh doanh, phân phối và sử dụng vốn.

- Phòng kinh tế kế hoạch: phân tích hoạt động kinh doanh, thiết lập toàn bộ hồ
sơ dự toán công trình, định giá và thiết lập giá thanh toán, kiểm tra thiết kế, tổng
hợp khối lượng công trình, bám sát kế hoạch, tiến độ lắp đặt và nghiệm thu.
2.1.3. Tình hình hoạt động 3 năm gần đây
2.1.3.1. Tình hình kinh doanh của doanh nghiệp
- Từ khi thành lập vốn điều lệ của công ty là 16.000.000.000 VNĐ tương ứng
với tổng số cổ phần là 1.600.000, mệnh giá một cổ phần là 10.000 VNĐ.
Hiện nay, vốn kinh doanh của công ty lên đến 64.719.315.351 VNĐ trong đó:
VLĐ là 45.367.701.178 VNĐ
VCĐ là 19.351.614.173 VNĐ
- Công ty đã có chiến lược, kế hoạch và thực hiện tốt kế hoạch chiến lược đó
giúp DTBH và CCDV năm sau so với năm trư ớc tăng đáng kể v à đang tiếp tục
hoàn thành các công trình trúng thầu trên cả nước.