Tải bản đầy đủ (.docx) (56 trang)

Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của Cơ quan UBND huyện Đông Hưng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (925.31 KB, 56 trang )

1

1
LỜI CẢM ƠN
Qua thời gian học tập, rèn luyện tại trường Đại học Thương mại và thực tập tại

cơ quan UBND huyện Đông Hưng em đã học hỏi và tích luỹ được nhiều kiến thức,
kinh nghiệm quý giá cho mình. Từ những kiến thức và trải nghiệm thực tế đó là cơ
sở để em xây dựng khóa luận này. Để có thể hoàn thành được khóa luận tốt nghiệp
là nhờ sự chỉ bảo tận tình của quý thầy, cô trong khoa Hệ thống thông tin kinh tế và
thương mại điện tử, sự hướng dẫn tận tâm của Th.S Hàn Minh Phương cùng sự giúp
đỡ của các cô chú lãnh đạo và các anh chị là cán bộ viên chức trong Cơ quan
UBND huyện Đông Hưng. Đồng thời, cũng thông qua khoá luận, em xin tri ân đến
tất cả các thầy cô giáo đã dày công dạy dỗ chúng em trong suốt 4 năm ở trường Đại
Học Thương Mại. Những giá trị mà các cô thầy tạo ra sẽ là nền tảng quan trọng cho
việc cống hiến và phấn đấu của chúng em sau này.
Với thời gian nghiên cứu và kiến thức còn hạn chế nên không tránh khỏi
những sai sót trong quá trình phân tích, đánh giá cũng như đưa ra các đề xuất để
hoàn thiện giải pháp đảm bảo an toàn thông tin trong HTTT của cơ quan UBND
huyện Đông Hưng. Vì thế, em rất mong nhận được những ý kiến đóng góp của
quý thầy cô, ban lãnh đạo cơ quan để bài khóa luận hoàn thiện hơn. Sau cùng,
em xin kính chúc quý thầy cô cùng các cô chú, anh chị luôn dồi dào sức khỏe và
thành công trong cuộc sống.
Em xin chân thành cảm ơn.
Sinh viên thực hiện
Nguyễn Thị Hồng Nhung


2

2


MỤC LỤC


3

3
DANH MỤC CÁC TỪ VIẾT TẮT

Từ viết tắt
Diễn giải
HĐND
UBND
AES
Advanced Encryption Standard
TLS
Transport Layer Security

Nghĩa tiếng việt
Hội đồng nhân dân
Ủy ban nhân dân
Tiêu chuẩn mã háo tiên tiến
Bảo mật tầng giao vận
Một giao thức kết hợp giữa
giao thức HTTP và giao thức

HTTPS

Hypertext Transfer Protocol Secure

bảo mật SSL hay TLS cho

phép trao đổi thông tin một

LAN
ATBM
ATTT

Local Area Network

HTML

HyperText Markup Language

NAT
CNTT
CSDL
HTTT
IT
NXB

Network address translation

Information Technology

cách bảo mật trên Internet
Mạng nội bộ
An toàn bảo mật
An toàn thông tin
Ngôn ngữ Đánh dấu Siêu văn
bản
Biên dịch địa chỉ mạng

Công nghệ thông tin
Cơ sở dữ liệu
Hệ thống thông tin
Công nghệ thông tin
Nhà xuất bản


4

4
DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ


5

5
PHẦN MỞ ĐẦU

1. Tầm quan trọng, ý nghĩa tính cấp thiết của đề tài ATTT trong HTTT

Trong những năm gần đây, tình hình kinh tế, xã hội nước ta đã trải qua những
thay đổi lớn. Với xu hướng toàn cầu hóa thế giới ngày càng phẳng, lượng thông tin
ngày một lớn thì quá trình cạnh tranh giữa các cơ quan nhà nước diễn ra ngày càng
khốc liệt. Dữ liệu trong cơ quan đóng một vai trò vô cùng quan trọng, việc bảo đảm
an toàn thông tin và nâng cao tính bảo mật là một yếu tố quan trọng hàng đầu mà
các cơ quan luôn luôn phải được quan tâm.
Theo Hiệp hội An toàn thông tin Việt Nam (VNISA), có tới trên 50% cơ quan,
doanh nghiệp không phát hiện được mình bị tấn công và chưa đến 30% đơn vị được
cảnh báo có khả năng xử lý sự cố.
Thống kê của Bkav cũng cho thấy, mỗi tháng có khoảng 82 triệu mối đe dọa

người dùng internet Việt Nam. Riêng trong năm 2017, Việt Nam mất khoảng 12.300
tỷ đồng (hơn 540 triệu USD) vì các cuộc tấn công do mã độc.
Ở Việt Nam nguy cơ mất an toàn thông tin đang tăng lên và đáng được báo
động. Những con số thống kê đã chỉ ra sự mất an toàn trong việc khai thác thông tin
của người dùng tại Việt Nam hiện nay. Cùng với sự phát triển của không gian mạng
cũng làm nảy sinh nhiều nguy cơ, thách thức mới đối với an ninh quốc gia cũng như
an toàn, lợi ích của các cơ quan, doanh nghiệp và cá nhân.
Cơ quan UBND huyện Đông Hưng là cơ quan hành chính nhà nước vì vậy
việc đảm bảo an toàn thông tin là vô cùng quan trọng. Trong quá trình thực tập tại
cơ quan, em được tìm hiểu và biết cơ quan đã từng bị đánh cắp thông tin, mặc dù đã
được khắc phục nhưng không có nghĩa là nó không xảy ra nữa. Tại đề tài này với
mong muốn giúp cơ quan đạt được hiệu quả cao hơn trong vấn đề đảm bảo an toàn
bảo mật thông tin. Em sẽ tập trung nghiên cứu cơ sở lý luận về lý thuyết an toàn bảo
mật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảo
mật của cơ quan. Để từ đó khóa luận đưa ra một số giải pháp bảo mật thông tin phù
hợp nhằm khắc phục thực trạng thiếu an toàn thông tin tại Cơ quan UBND huyện
Đông Hưng tỉnh Thái Bình. Quá trình nghiên cứu cũng góp phần nâng cao nhận
thức của cán bộ công chức, viên chức trong cơ quan về vấn đề an toàn và bảo mật,


6

6

trau dồi thêm những thông tin cần thiết cho cán bộ để phục vụ công việc vận hành
và quản lý HTTT tại đơn vị làm việc.
Từ thực trạng và tình hình an ninh thông tin của cơ quan, chúng ta thấy tầm
quan trọng và ý nghĩa của việc nghiên cứu đề tài, với những kiến thức em được học
trên trường và sự tìm hiểu của bản thân em xin lựa chọn đề tài:
“Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của

Cơ quan UBND huyện Đông Hưng”.
2. Mục tiêu và nhiệm vụ nghiên cứu

Qua quá trình nghiên cứu tài liệu, tìm hiểu và phân tích thực trạng đảm bảo an
toàn và bảo mật thông tin tại cơ quan UBND huyện Đông Hưng đã thực hiện được
các nhiệm vụ như sau: Nhiệm vụ thứ nhất là trình bày các khái niệm cơ bản về
ATBM thông tin như khái niệm về thông tin, HTTT, ATBM, thế nào là một HTTT
được bảo mật,… để từ đó có cái nhìn tổng quát về các đối tượng được tìm hiểu
trong khóa luận. Nhiệm vụ thứ hai là qua số liệu thống kê cùng việc tìm hiểu thực tế
có thể nghiên cứu và phân tích thực trạng ATBM thông tin của cơ quan. Từ đó khóa
luận đưa ra một số giải pháp nhằm nâng cao hiệu quả về an toàn và bảo mật thông
tin cho HTTT của cơ quan UBND huyện Đông Hưng.
3. Đối tượng và phạm vi nghiên cứu

Là một đề tài nghiên cứu khóa luận của sinh viên nên phạm vi nghiên cứu của
đề tài chỉ mang tầm vi mô, giới hạn trong một cơ quan hành chính và trong khoảng
thời gian ngắn hạn. Cụ thể đó là:
Về không gian: Đưa ra các giải pháp đảm bảo an toàn thông tin cho hệ thống
thông tin của Cơ quan UBND huyện Đông Hưng.
Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trình
bày các nhóm giải pháp định hướng phát triển trong tương lai.
4. Phương pháp nghiên cứu đề tài
4.1 Khái niệm phương pháp nghiên cứu

Theo (9) Phương pháp nghiên cứu là cách thức, con đường, phương tiện thu
thập, xử lý thông tin khoa học (số liệu, sự kiện) nhằm làm sáng tỏ vấn đề nghiên
cứu để giải quyết nhiệm vụ nghiên cứu và cuối cùng đạt được mục đích nghiên cứu.
Nói cách khác: Phương pháp nghiên cứu khoa học là những phương thức thu thập
và xử lý thông tin khoa học nhằm mục đích thiết lập những mối liên hệ và quan hệ
phụ thuộc có tính quy luật và xây dựng lý luận khoa học mới.



7

7
Có hai loại phương pháp nghiên cứu:

-

Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các lãnh đạo, công chức,
viên chức của cơ quan, nắm bắt một cách chủ quan tình hình an toàn, bảo mật thông
tin trên mọi mặt của đơn vị làm việc.

-

Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ đó
đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan.

4.2 Các phương pháp được sử dụng trong khóa luận

4.2.1 Phương pháp thu thập số liệu
-

Xây dựng các phiếu điều tra thu thập dữ liệu từ đối tượng là công chức viên chức cơ
quan về những nội dung phục vụ cho bài nghiên cứu.

-

Tìm hiểu các thông tin về an toàn bảo mật thương mại điện tử qua Internet, qua các
tài liệu sách báo liên quan đến an toàn bảo mật HTTT.


-

Phương pháp phỏng vấn: phỏng vấn ban Lãnh đạo và bộ phận IT của cơ quan.
Phương pháp trưng cầu ý kiến bằng bảng hỏi: lập ra danh mục các câu hỏi và khảo
sát ý kiến của nhân viên cũng như ban lãnh đạo cơ quan để phục vụ cho việc đánh
giá trình độ nguồn nhân lực trong quá trình nghiên cứu.

-

Phương pháp chuyên gia: Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của đề
tài để tham khảo và đưa ra định hướng và giải quyết tốt mục tiêu đề ra.

-

Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu và phương
pháp phỏng vấn là 2 phương pháp chủ đạo còn các phương pháp còn lại là các
phương pháp bổ trợ cho việc nghiên cứu thực hiện đề tài.
4.2.1 Phương pháp xử lý dữ liệu:
Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu
sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục
đích nghiên cứu của đề tài. Hai phương pháp nghiên cứu được sử dụng gồm:

-

Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các lãnh đạo, công chức,
viên chức của cơ quan, nắm bắt một cách chủ quan tình hình an toàn, bảo mật thông
tin trên mọi mặt của đơn vị làm việc.

-


Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ đó
đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan.

5. Kết cấu của khóa luận tốt nghiệp

Khóa luận chia thành ba phần chính:


8

8
Chương 1: Cơ sở lí luận về an toàn bảo mật thông tin trong hệ thống thông tin.
Chương 2: Cơ sở lý luận và thực trạng an toàn bảo mật thông tin tại Cơ quan

UBND huyện Đông Hưng.
Chương 3: Định hướng phát triển và đề xuất giải pháp an toàn bảo mật hệ
thống thông tin trong Cơ quan UBND huyện.


9

9
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ ATBMTT TRONG HTTT

1.1 Một số khái niệm cơ bản

1.1.1 Khái niệm về thông tin, hệ thống thông tin.
Theo (2) Thông tin là một bộ dữ liệu được cơ quan, tổ chức sử dụng một
phương thức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn

có của dữ liệu. Thông tin chính là dữ liệu đã qua xử lý (phân tích, tổng hợp, thống
kê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể của người sử dụng. Thông tin
có thể gồm nhiều giá trị dữ liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho
một sự vật hiện tượng cụ thể trong ngữ cảnh.
Theo (2) Hệ thống thông tin là một tập hợp phần cứng, phần mềm, cơ sở dữ
liệu, mạng viễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử
lý, lưu trữ và truyền phát thông tin trong một cơ quan, tổ chức. Hệ thống thông tin
hỗ trợ việc ra quyết định, phân tích tình hình, lập kế hoạch, điều phối và kiểm soát
các hoạt động trong một cơ quan, tổ chức. Hệ thống thông tin có thể là thủ công nếu
dựa vào các công cụ thủ công như giấy, bút, thước, tủ hồ sơ,… còn hệ thống thông
tin hiện đại là hệ thống tự động hóa dựa vào mạng máy tính và các thiết bị công
nghệ khác.
Hệ thống thông tin bao gồm 5 thành phần (còn gọi là năm nguồn lực hay năm
nguồn tài nguyên) chính như trình bày trong hình:

Hình 1.1: Các thành phần của hệ thống thông tin


10

10
Nguồn lực phần cứng: Trang thiết bị phần cứng của một hệ thống thông tin

gồm các thiết bị vật lý được sử dụng trong quá trình xử lý thông tin như nhập dữ
liệu vào, xử lý và truyền phát thông tin ra. Phần cứng là các thiết bị hữu hình có thể
nhìn thấy, cầm nắm được.
Nguồn lực phần mềm: Phần mềm là các chương trình được cài đặt trong hệ
thống, thực hiện công việc quản lý hoặc các quy trình xử lý trong hệ thống thông
tin. Phần mềm được sử dụng để kiểm soát và điều phối phần cứng, thực hiện xử lý
và cung cấp thông tin theo yêu cầu của người sử dụng.

Nguồn lực dữ liệu: Cơ sở dữ liệu là tập hợp dữ liệu có tổ chức và có liên quan
đến nhau được lưu trữ thứ cấp (như băng từ, đĩa từ) để phục vụ yêu cầu khai thác
thông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng với
mục đích tại nhiều thời điểm khác nhau.
Nguồn lực mạng: Mạng máy tính gồm tập hợp máy tính và các thiết bị được
kết nối với nhau nhờ đường truyền vật lý theo một kiến trúc nhất định dựa trên giao
thức nhằm chia sẻ các tài nguyên trong mạng của cơ quan, tổ chức.
Nguồn lực con người: Trong hệ thống thông tin hiện đại, yếu tố con người bao
gồm tất cả những đối tượng tham gia quản lý, xây dựng, mô tả, lập trình, sử dụng,
nâng cấp và bảo trì hệ thống. Con người được coi là thành phần quan trọng nhất,
đóng vai trò chủ động để tích hợp các thành phần trong hệ thống để đạt được hiệu
quả cao nhất trong hoạt động.
Tham khảo tài liệu [2]
1.1.2 Khái niệm về dữ liệu, ATBM dữ liệu và ATBM trong HTTT
Theo (1) Dữ liệu là một khái niệm rất trừu tượng, là thông tin đã được đưa vào
máy tính. Dữ liệu sau khi tập hợp lại và xử lý sẽ cho ta thông tin. Hay nói theo cách
khác, dữ liệu là thông tin đã được mã hóa trên máy tính. Vì vậy ta có thể hiểu an
toàn dữ liệu là an toàn thông tin trên máy tính.
Theo (1) An toàn và bảo mật dữ liệu (Database Security) có thể hiểu là quá
trình đảm bảo cho hệ thống tránh khỏi những nguy cơ thay đổi hoặc sao chép dữ
thông tin. Các nguy cơ này có thể là ngẫu nhiên (do tai nạn) hoặc có chủ định (bị
phá hoại từ bên ngoài). Việc bảo vệ dữ liệu có thể được thực hiện bằng các thiết bị
phần cứng (các hệ thống Backup dữ liệu,…) hay các chương trình phần mềm (trình
diệt Virus, các chương trình mã hóa,…)


11

11
Theo (9) An toàn bảo mật trong HTTT là thông tin không bị hỏng hóc, không


bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. ATTT là quá
trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất
mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên
tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên
ngoài, phá hỏng vật lí, can thiệp có chủ ý…
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động
chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt
hại đến cho chủ sở hữu. ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo
dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo
ra, sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng.
Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng.
1.2 Tổng quan về tình hình nghiên cứu an toàn bảo mật HTTT

1.2.1 Tình hình nghiên cứu ngoài nước
-William Stallings (2016), Cryptography and network security principles
and practices, 7Th Edition.
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những
vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Xem xét thực hành bảo mật
mạng thông qua các ứng dụng thực tế đã được triển khai và đang được sử dụng
ngày nay. Cung cấp AES đơn giản (Chuẩn mã hóa nâng cao) cho phép người đọc
nắm bắt các yếu tố cần thiết của AES dễ dàng hơn. Có các chế độ mã hóa hoạt động
khối, bao gồm chế độ CMAC để xác thực và chế độ CCM để mã hóa được xác thực.
Tài liệu tham khảo này rất hữu ích cho các kỹ sư hệ thống, lập trình viên, người
quản lý hệ thống, người quản lý mạng, và chuyên gia hỗ trợ hệ thống.
-Jean-Philippe Aumasson (2017), Serious Cryptography: A Practical
Introduction to Modern Encryption.
Cuốn sách về mã hóa hiện đại phá vỡ các khái niệm toán học cơ bản về mật
mã nhưng không làm mất đi các tính chất và cách chúng hoạt động. Người đọc sẽ
tìm hiểu về mã hóa được xác thực, tính ngẫu nhiên an toàn, hàm băm, mật mã khối

và các kỹ thuật khóa công khai như RSA và mật mã đường cong elip. Chi tiết cuốn
sách gồm: các khái niệm chính về mật mã, chẳng hạn như bảo mật tính toán, mô
hình tấn công và bảo mật chuyển tiếp, những điểm mạnh và hạn chế của giao thức


12

12

TLS sau các trang web bảo mật HTTPS, tính toán lượng tử và mã hóa sau lượng tử,
về các lỗ hổng khác nhau bằng cách kiểm tra nhiều ví dụ về mã và các trường hợp
sử dụng, Cách chọn thuật toán hoặc giao thức tốt nhất.
- Bruce Schneier (2015), Applied Cryptography: Protocols, Algorithms
and Source Code in C.
Cuốn sách cho biết chi tiết cách lập trình viên và các chuyên gia điện tử có thể
sử dụng mật mã - kỹ thuật mã hóa và giải mã thông điệp để duy trì tính riêng tư của
dữ liệu máy tính. Nó mô tả hàng chục thuật toán mã hóa, đưa ra lời khuyên thiết
thực về cách triển khai chúng vào phần mềm mã hóa và cho thấy cách chúng có thể
được sử dụng để giải quyết các vấn đề bảo mật. Cuốn sách này cho thấy các lập
trình viên thiết kế các ứng dụng máy tính, mạng và hệ thống lưu trữ cách họ có thể
xây dựng bảo mật cho phần mềm và hệ thống của họ.
1.2.2

Tình hình nghiên cứu trong nước
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB Thống kê .Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn
dữ liệu trong thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn
dữ liệu trong TMĐT, cũng như những nguy cơ mất an toàn dữ liệu trong TMĐT. Từ
đó, giúp các nhà kinh doanh tham gia thương mại điện tử TMĐT có cái nhìn tổng
thể về an toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này

cũng đề cập một số biện pháp khắc phục hậu quả thông dụng, phổ biến ngày nay,
giúp các nhà kinh doanh có thể cận dụng thuận lợi hơn trong công việc hằng
ngày của mình.
Bài báo:”Giải pháp phát hiện và phòng chống tấn công mạng của Firewall
WatchQuard (Bài báo trên trang web antoanthongtin.vn)”
Mới đây, hãng bảo mật Firewall WatchQuard đã phát triển thành công tính
năng Threat Detection and Response (TDR) giúp phát hiện và phản hồi các mối đe
dọa, đảm bảo an toàn cho các node mạng và thiết bị đầu cuối. Giải pháp này cho
phép giám sát các node mạng và thiết bị đầu cuối và bằng cơ chế phân tích thông
minh có thể phát hiện, chọn lọc ưu tiên và xử lý kịp thời khi các mỗi nguy hiểm xảy
ra. TDR có nhiều tính năng như: xử lý các mối nguy hiểm theo độ ưu tiên và mức
độ an toàn, tăng mức độ an toàn chống lại các phần mềm độc hại hay hỗ trợ cho
doanh nghiệp với quy mô khác nhau mà không tốn thêm chi phí.


13

13
Đồ án: “Mạng WLAN và một số vấn đề bảo mật cho mạng không dây wifi”

của Nguyễn Thị Hiền, sinh viên trường ĐH Công nghệ - Đại học Quốc gia Hà Nội.
Trong công trình nghiên cứu về phương pháp bảo mật trên WLAN của sinh viên
Nguyễn Thị Hiền đã tập trung phân tích khá rõ ràng và có chiều sâu về vấn đề bảo
mật trong mạng không dây. Công trình nghiên cứu đã tập trung chỉ ra được những
yếu điểm về bảo mật trong mạng không dây và đã đưa ra được nhiều giải pháp khắc
phục khá hay và tốt. Mặc dù vậy thì công trình nghiên cứu này còn có một số hạn
chế đó là mới chỉ đưa ra được những giải pháp trước mắt chứ chưa đưa ra được giải
pháp lâu dài trong bối cảnh công nghệ phát triển như vũ bão hiện nay.
Nhìn chung, các đề tài luận văn, chuyên đề tốt nghiệp và các tài liệu về an
toàn bảo mật thông tin trong doanh nghiệp khá nhiều nhưng vẫn chưa đi vào chi

tiết. Đề tài: “Một số giải pháp nâng cao tính an toàn bảo mật thông tin của cơ quan
UBND huyện Đông Hưng” sẽ tập trung vào việc đánh giá và đưa ra các giải pháp
nâng cao hiệu quả các hoạt động đảm bảo an toàn và bảo mật HTTT tại một doanh
nghiệp cụ thể. Vì vậy đi sâu nghiên cứu về đề tài này là rất cần thiết.
1.3 Các đặc trưng của một HTTT an toàn

Một hệ thống thông tin được gọi là an toàn khi các yếu tố cơ bản sau được
giải quyết:
 Tính bảo mật
Trong an toàn dữ liệu, an toàn và bảo mật (Security) là yêu cầu đảm bảo cho
dữ liệu của người sử dụng phải được bảo vệ, không bị mất mát bởi những người
không được phép. Nói khác đi là phải đảm bảo được ai là người được phép sử dụng
(và sử dụng được) các thông tin (theo sự phân loại mật của thông tin).
Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sử
dụng trái phép bởi một người không sở hữu. Trên thực tế, thường rất nhiều thông tin
cá nhân của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã
số thẻ tín dụng, số thẻ bảo hiểm xã hội,…Vì vậy đây có thể nói là yếu tố quan trọng
nhất đối với tính an toàn của một hệ thống thông tin.
 Tính toàn vẹn
Trong an toàn dữ liệu, tính toàn vẹn (Integrity) có nghĩa là dữ liệu không bị
tạo ra, sửa đổi hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến


14

14

khả năng đảm bảo các thông tin không bị thay đổi nội dung bằng bất cứ cách nào
bởi người không được phép trong quá trình truyền thông.
Việc đảm bảo tính toàn vẹn trong dữ liệu bao gồm:

- Đảm bảo sự toàn ven dữ liệu với dữ liệu gốc.
- Bảo vệ dữ liệu khỏi sự sửa chữa và phá hoại của những người dùng không có
thẩm quyền.
- Bảo về dữ liệu tránh khỏi những thay đổi không đúng về mặt ngữ nghĩa
hay logic.
 Tính sẵn sàng
Tuy dữ liệu phải được đảm bảo tính bí mật và toàn vẹn nhưng đối với người
sử dụng, dữ liệu phải luôn trong trạng thái sẵn sàng (Availability). Các biện pháp
bảo mật làm cho người sử dụng gặp khó khăn hay không thể thao tác được với dữ
liệu đều không thể được chấp nhận. Nói khác đi, các biện pháp đảm bảo an toàn dữ
liệu phải đảm bảo được sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn
chế tối đa những khó khăn gây ra cho người sử dụng thực tế. Dữ liệu và tài nguyên
của hệ thống phải luôn trong trạng thái sẵn sàng phục vụ bất cứ lúc nào đối với
những người dùng có thẩm quyền sử dụng một cách thuận lợi.
 Tính tin cậy
Yêu cầu về tính tin cậy (Confidentiality) liên quan đến khả năng đảm bảo
rằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập
những dữ liệu có giá trị. Mặt khác, nó phải đảm bảo thông tin người dùng nhận
được là đúng với mong muốn của họ, chưa hề bị mất mát hay bị lọt vào tay những
người dùng đang không được phép.
Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả các
yếu tố trên. Nếu thiếu một trong số đó thì độ bảo mật của hệ thống không hoàn thiện.
Tham khảo tài liệu [1]
1.4 Các nguy cơ và một số giải pháp đảm bảo an toàn thông tin trong HTTT

Để tìm hiểu về vấn đề này, chúng ta sẽ tiếp cận theo năm thành phần của một
hệ thống thông tin để từ đó có những giải pháp phù hợp cho mỗi phần như sau:


15


15

 Phần cứng
Nguy cơ mất an toàn thông tin từ các cuộc tấn công vào thiết bị phần cứng là
nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị
phần cứng bị hư hỏng, tinh vi hơn các thiết bị phần cứng như vi xử lý, ổ cứng,
mainboard, các thiết bị ngoại; cũng có khả năng bị cài sẵn mã độc để làm nội gián
từ bên trong.
Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax,
thiết bị và đường truyền mạng phải hoạt động tốt, ổn định thì cơ quan nên sử dụng
các thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X (WatchGuard), thiết bị
tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng
O2Micro’s SifoML,…Để tránh khả năng các thiết bị phần cứng bị cài sẵn mã độc
trước khi sử dụng người dùng cần chọn những hãng máy tính có uy tín và tin cậy,
đối với cơ quan tổ chức cần tính bảo mật cao trước khi đưa các thiết bị vào sử dụng
cần có những cuộc kiểm tra toàn diện để đảm bảo các thiết bị phần cứng đó đảm
bảo an toàn trước khi đưa vào hệ thống.
 Phần mềm
Các nguy cơ tấn công vào phần mềm ứng dụng trong cơ quan nhà nước là
chương trình phần mềm độc hại hay còn gọi là phần mềm độc hại bao gồm virus
máy tính, sâu máy tính, trojan, adware và skyware được gắn vào các chương trình
phần mềm nhằm thực thi các mục đích nhất định khi được kích hoạt. Ngoài ra phải
kể đến một số lỗ hổng phần mềm, các tấn công bằng cách phá mật khẩu cũng là
những nguy cơ đáng báo động mà người dùng cần có những biện pháp phòng tránh
chúng để có một môi trường làm việc an toàn. .
Virus: là một chương trình máy tính có thể tự sao chép chính nó lên những
đĩa, file khác mà người sữ dụng không hay biết. Thông thường virus máy tính mang
tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các
tính chất: kích thước nhỏ, có tính lây lan từ chương trình này sang chương trình

khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá
hoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy
nhiên cũng có một số virus không gây hại như chương trình được tạo ra chỉ với mục
đích trêu đùa).


16

16
Worm (sâu máy tính): là loại virus lây từ máy tính này sang máy tính khác qua

mạng, khác với loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính
và nó chỉ lây sang máy khác khi ai đó đem chương trình nhiễm virus sang máy này.
Trojan, Spyware, Adware: là những phần mềm được gọi là phần mềm gián
điệp, chúng không lây lan như virus. Thường bằng cách nào đó (lừa đảo người sử
dụng thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài
đặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra
bên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân.
Các hacker cũng lợi dụng lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc
sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc
trong chương trình cài đặt trên máy tính. Hiện nay các lỗ hổng bảo mật được phát
hiện ngày càng nhiều trong các hệ điều hành, các web server hay các phần mềm
khác,... Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới
sau khi đã vá lại các lỗ hổng của các phiên bản trước.
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phần
không thể thiếu đối với hoạt động của cơ quan nhà nước. Để đảm bảo ATTT, các
phần mềm đó phải sạch, tức là không chứa virus, mã độc, spyware. Ngoài ra, đó
phải là các phần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà
sản xuất nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật.
Bên cạnh các phần mềm ứng dụng, cơ quan phải luôn chủ động trong việc cài

đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phần
mềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mã
hóa dữ liệu, phần mềm chống thư rác,…
 Cơ sở dữ liệu

Theo [1] Tấn công CSDL là hình thức ăn cắp hoặc phá hoại dữ liệu một cách
trái phép, chỉ khác là đối tượng tấn công ở đây là các loại dữ liệu có giá trị. Từ khi
có sự phổ biến của Internet, các hình thức tấn công ngày càng tăng cả về số lượng
lẫn mức độ nguy hiểm.
Các hình thức tấn công ngày càng đa dạng và tinh vi hơn như: Nghe trộm,
phân tích dữ liệu, giả mạo người gửi, thay đổi thông điệp, tấn công giao diện và tấn
công từ chối dịch vụ, tấn công SQL injection,…Các cuộc tấn công dữ liệu có thể
nhằm vào 2 mục đích: phá hoại hoặc lấy cắp.


17

17
Để đối phó với sự gia tăng của các hình thức tấn công, các biện pháp phòng

tránh các nguy cơ gây mất ATTT cũng được cải thiện hơn. Một số biện pháp phải kể
đến như: phân quyền người dùng, bảo mật kênh truyền dữ liệu với một số giao thực
SSL (Secure Socket Layer), SET (Secure Electronic Transaction), WEP (Wired
Equivalent Privacy), tường lửa,….Cùng với đó là các khắc phục sự cố như các việc
khôi phục dữ liệu bị xóa, đảm bảo an toàn dữ liệu nhờ sao lưu,…giúp việc lưu trữ
thông tin dữ liệu được đảm bảo và tránh mất mát. Mã hóa dữ liệu và sử dụng chứ ký
điện tử có thể đảm bảo tính bí mật và không thể chối cãi của dữ liệu.
Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất
cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên
máy chủ cơ sở dữ liệu. Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao

lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký
CSDL với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay
đổi,...Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát
tài nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc.
 Mạng
Điển hình trong hình thức tấn công vào hệ thống mạng và đường truyền là tấn
công từ chối dịch vụ (DoS- Denial of Service) là kiểu tấn công làm cho hệ thống
quá tải không thể cung cấp dữ liệu hoặc phải ngưng hoạt động. Tấn công DoS và
các biến thể của nó như DDoS, DRDoS,…là hình thức tấn công được sử dụng nhiều
nhất hiện nay và rất khó phòng chống vì tính bất ngờ của nó.
Ngoài ra trong quá trình lưu thông và giao dịch thông tin trên mạng Internet
nguy cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn
đường truyền, thay đổi hoặc phá hỏng nội dung thông tin rồi tiếp tục gửi đến người
nhận. Cùng với đó là những lỗ hổng từ mạng không dây tin tặc có thể khai thác
chúng để đạt được quyền truy cập vào mạng Internet hoặc mạng nội bộ của doanh
nghiệp tổ chức thực hiện những hành vi sai trái.

 Con người
Chúng ta có xu hướng nghĩ rằng những mối đe dọa an ninh cho một cơ quan tổ
chức có nguồn gốc từ bên ngoài tổ chức. Trên thực tế trong nội bộ cơ quan, tổ chức
có thể gặp các vấn đề an ninh nghiêm trọng. Người lao động có quyền truy cập vào
thông tin đặc quyền và việc xuất hiện các thủ tục an ninh nội bộ cẩu thả, mọi cán


18

18

bộ, nhân viên có thể xem hết hệ thống con của tổ chức mà không để lại một dấu vết
nào. Người dùng thiếu hiểu biết là nguyên nhân của hành vi vi phạm an ninh

mạng.Cán bộ, nhân viên của cơ quan có thể là đối tượng của những vụ lừa đảo để
tiết lộ hoặc lấy cắp thông tin của cơ quan nhà nước. Hay sự thiếu hiểu của người
dùng cuối khi nhập các dữ liệu bị lỗi hoặc không theo sự hướng dẫn thích hợp của
quy trình xử lý dữ liệu khi sử dụng các thiết bị máy tính cũng là một nguy cơ gây
mất an toàn cho hệ thống thông tin.
Để tránh những nguy cơ trên, những người sử dụng, làm việc trực tiếp với
thông tin cần phải có kiến thức về ATTT. Cần bố trí cán bộ quản lý, cán bộ kỹ
thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho hệ thống dữ liệu và thông
tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo,
phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy
cơ mất ATTT khi sử dụng mạng Internet.
Tham khảo tài liệu [2]


19

19

CHƯƠNG 2: PHÂN TÍCH ĐÁNH GIÁ THỰC TRẠNG AN TOÁN BẢO MẬT
CỦA UBND HUYỆN ĐÔNG HƯNG
2.1 Tổng quan về cơ quan
2.1.1 Giới thiệu tổng quan về huyện Đông Hưng
Huyện Đông Hưng tỉnh Thái Bình được thành lập theo Quyết định số 93-CP
ngày 17/6/1969 của Hội đồng Chính phủ trên cơ sở sáp nhập hai huyện Đông Quan
và huyện Tiên Hưng.
-

Huyện Đông Hưng nằm ở phía bắc tỉnh Thái Bình.
Trung tâm huyện Đông Hưng cách trung tâm thành phố Thái Bình 12 km.
Huyện Đông Hưng có diên tích đất tự nhiên 189,76 km2.

Dân số: 252.728 người
Đơn vị hành chính: Huyện có 43 xã và 1 thị trấn.

Hình 2.1: Logo của cơ quan

Hình 2.2: Hình ảnh của UBND huyện Đông Hưng
-

Loại hình: Cơ quan Nhà nước
Điện thoại; 0363.851.233
Fax: 0363.553.958


20
-

20

Mã Số Thuế: 1000587573
Địa chỉ UBND: Tổ 8 - Thị trấn Đông Hưng, huyện Đông Hưng, tỉnh Thái Bình
2.1.2 Bộ máy tổ chức của cơ quan
UBND được tổ chức theo mô hình cơ quan hành chính Nhà nước bao gồm 1
chủ tịch huyện, 2 phó chủ tịch huyện và 12 phòng ban lãnh đạo bộ phận của huyện.
12 phòng ban bao gồm:

-

Phòng y tế: Thực hiện chức năng quản lý nhà nước về chăm sóc và bảo vệ sức khỏe

-


cho nhân dân, y tế cơ sở, y tế dự phòng, khám chữa bệnh phục hồi chức năng...
Phòng giáo dục và đào tạo: Thực hiện quản lý nhà nước về lĩnh vực giáo dục và đào
tạo bảo gồm mục tiêu chương trình, nội dung giáo dục và đào tạo; tiêu chuẩn cơ sở
vật chất, thiết bị trường học, quy chế thi cử và cấp văn bằng, chứng chỉ, bảo đảm

-

chất lượng giáo dục.
Phòng văn hóa và thông tin: Thực hiện chức năng quản lý nhà nước về các lĩnh vực

-

văn hóa, gia đình, thể dục thể thao, du lịch, bưu chính, viễn thông và internet.
Phòng lao động thương binh và xã hội: Thực hiện chức năng quản lý nhà nước về
các lĩnh vực lao động, người có công với xá hội, thực hiện một số quyền hạn theo

-

sự ủy quyền của UBND huyện.
Phòng nội vụ: thực hiện chức năng quản lý nhà nước về công tác Nội vụ trên địa

-

bàn theo quy định của pháp luật.
Phòng tài chính kế hoạch: Thực hiện chức năng quản lý nhà nước về các lĩnh vực

-

tài chính, tài sản, kế hoạch và đầu tư, đăng kí kinh doanh, tổng hợp.

Phòng tư pháp: Thực hiện chức năng quản lý nhà nước về các lĩnh vực công tác xây
dụng văn bản quy phạm pháp luật, kiểm tra xử lý văn bản quy phạm pháp luật, thi
hành án dân sự, chứng thực hộ tịch, trợ giúp pháp lý, hòa giải ở cơ sở và các công

-

tác tư pháp khác
Phòng nông nghiệp và phát triển nông thôn: Thực hiện chức năng quản lý nhà nước
về nông nghiệp, thủy lợi, phát triển nông thôn, kinh tế trang trại nông thôn, kinh tế

-

hợp tác xã nông, làng nghề nông thông trên địa bàn huyện,...
Phòng thanh tra: Thực hiện chức năng quản lý nhà nước về công tác thanh tra, giải
quyết khiếu nại, tố cáo và phòng chống tham nhũng theo quy định pháp luật, bổ

-

sung thêm chức năng chống tham nhũng.
Phòng công thương: Thực hiện chức năng quản lý nhà nước về kiến trúc, quy hoạch

-

xây dựng, phát triển nông thôn, ...
Phòng tài nguyên môi trường: Thực hiện chức năng quản lý nhà nước về các lĩnh
vực tài nguyên đất, tài nguyên nước, môi trường, thủy văn, đo đạc, bản đồ.


21
-


21

Văn phòng HĐND-UBND huyện: là cơ quan hành chính Nhà nước có chức năng,
nhiệm vụ tham mưu tổng hợp và đảm bảo phục vụ cho các hoạt động của HĐNDUBND

Sơ đồ 2.1: Tổ chức bộ máy của cơ quan UBND huyện Đông Hưng
UBND huyện Đông Hưng hiện tại có 102 nhân viên và trong đó Văn phòng
HĐND-UBND có 12 nhân viên hầu hết đều tốt nghiệp chuyên ngành CNTT của các
trường Đại học tại Việt Nam: Đại học Bách khoa, Đại học Thương mại và 1 số Đại
học khác cùng chuyên ngành. Đội ngũ nhân viên chủ chốt đảm nhiệm là những
người có kinh nghiệm nhiều năm như ( chánh văn phòng huyện, phó chánh văn
phòng huyện).
2.2 Phân tích đánh giá thực trạng an toàn bảo mật HTTTcủa UBND
huyện
2.2.1 Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong
UBND huyện Đông Hưng
2.2.1.1 Giới thiệu HTTT của cơ quan
Hiện nay, cơ quan UBND huyện Đông Hưng đã sử dụng VNPT-ioffice để
quản lý toàn bộ hoạt động làm việc của toàn cơ quan.


22

22
Tại đây, toàn bộ thông tin hành chính công, kế hoạch lịch tiếp công dân, hồ sơ

tài liệu, công văn .... đều được thể hiện một cách cụ thể.
Dưới đây là hình ảnh giao diện đăng nhập tại HTTT của cơ quan:


Hình 2.3: Giao diện đăng nhập
Nhờ có phần mềm này đã mang lại rất nhiều lợi ích cho cơ quan



-

Về phía lãnh đạo:
Điều hành và quản lý mọi lúc, mọi nơi
Quản lý các công việc đã giao một cách rõ ràng, minh bạch
Nắm bắt đầy đủ thông tin, đưa ra quyết định chính xác
Tra cứu, điều hành văn bản trên điện thoại thông minh...
Chuyên viên:
Dễ dàng quản lý, tra cứu, tìm kiếm văn bản liên quan đến công việc đang xử lý
Nắm bắt nhanh các công việc của lãnh đạo giao
Báo cáo công việc kịp thời
Tạo môi trường trao đổi, thảo luận, nâng cao hiệu quả công việc
Dễ dàng sắp xếp lịch công việc cá nhân...
Văn thư:
Phân phối văn bản đơn giản không phải photo, in ấn, đi lại nhiều
Dễ dàng quản lý, tra cứu thông tin
Tìm kiếm bản gốc nhanh chóng
Truyền đạt các thông báo, chỉ thị của lãnh đạo đến các bộ phận nhanh chóng, kịp


-

thời...
Cơ quan:
Quản lý thông tin nội bộ hiệu quả

Trao đổi dữ liệu và chia sẻ thông tin dễ dàng
Tiết kiệm thời gian, nhân lực, chi phí cho việc in ấn, photo, đi lại, gửi văn bản thủ

-

công
Tăng cường làm việc cộng tác giữa các cá nhân, bộ phận
2.2.1.2 Cơ sở hà tầng HTTT trong doanh nghiệp


23

23
Cơ quan có diện tích hơn 300m2 với đầy đủ trang thiết bị, máy tính, bàn ghế,

điều hòa, máy chiếu, máy in, máy fax, điện thoại, và mạng internet, wifi...
Cơ quan được trang bị cơ sở vật chất theo chuẩn Nhà nước vừa có mỹ quan
vừa tạo sự thuận lợi cho cán bộ công chức làm việc.
a. Trang thiết bị phần cứng
Sau thời gian thực tập tại doanh nghiệp và phiếu khảo sát thống kê được kết
quả như sau:
Máy chủ
Máy trạm
Máy điện thoại cố định
Máy in
Máy in Laser A4-2 mặt
Máy tính xách tay

1 chiếc
80 chiếc

10 cái
20 cái
2 cái
5 cái

Bảng 2.1: Trang thiết bị phần cứng
-Hệ thống máy chủ: Số lượng máy chủ có 1 chiếc cài đặt hệ điều hành
Windows. Máy chủ PowerEdge của Dell, dòng máy này rất phù hợp để làm máy
chủ chứa file cho các máy trạm, chia sẻ Internet trên LAN.
-Hệ thống máy trạm, máy xách tay: Công ty trang bị 80 máy tính để bàn với
thông số CPU Intel Pentium G4560 3.5 GHz, 4GB of RAM và 5 máy xách tay với
các thông số kỹ thuật như sau: intel core i3 2.6 GHz, 4GB of RAM.
-Sử dụng mạng LAN để quản lý, kết nối internet, wifi.
-Ngoài ra công ty cũng trang bị thêm máy chiếu, máy in, máy fax. Điện thoại (
điện thoại cố định, điện thoại di động) để tiện trao đổi trong công việc.
b. Các phần mềm ứng dụng
Một số phần mềm thông dụng:
 UBND huyện đang sử dụng phần mềm kế toán MISA: đáp ứng đầy đủ các nghiệp
vụ kế toán của đơn vị hành chính. Cập nhật kịp thời chế độ chính sách Nhà nước.
Ngoài ra, phầm mềm mang lại cho người sử dụng sự thân thiện, dễ sử dụng, khả
annwg bảo mật cao.
 Phần mềm tin học văn phòng: Microsoft Office (Word, Excel, Power Point) 2013 tại
một số phòng ban. Các phần mềm này đều đã được mua bản quyền để sử dụng.
Đảm bảo vấn đề an toàn thông tin của cơ quan.


24

24


 Công ty sử dụng phần mềm phòng chống để bảo vệ cho mạng: sử dụng phần mềm
antivirut (BKAV Pro), sử dụng phần mềm antivirut Kaspersky. Đặc biệt cơ quan có
sử dụng bức tường lửa cứng do bách khoa cung cấp dùng để ngăn chặn tấn công
đánh cắp thông tin từ bên ngoài.
 Sử dụng phần mềm tin nhắn nhanh (messenger, zalo, viber…).
 Phần mềm văn phòng điện tử eOffice: phần mềm eOffice là phương thức trao đổi
thông tin bắt buộc trong chế độ làm việc hàng ngày của UBND huyện và các cơ
quan. EOffice bảo đảm trao đổi, lưu trữ, khai thác và sử dụng thông tin trong nội bộ
huyện Đông Hưng thông qua các dịch vụ trên mạng LAN và Internet. Hệ thống
được sử dụng đúng mục đích và có hiệu quả thiết thực, được quản lý tập trung,
thống nhất, bảo đảm an ninh, an toàn mạng và dữ liệu.
 Phần mềm quản lý Nhân sự: một bộ công cụ được xây dựng trên cơ sở ứng dụng
công nghệ thông tin nhằm mục tiêu hỗ trợ cơ quan, đơn vị triển khai thực hiện và
quản lý thống nhất việc lưu giữ, xử lý, cung cấp thông tin phục vụ sự chỉ đạo, điều
hành đối với tổ chức bộ máy và đội ngũ cán bộ, công chức, viên chức, người lao
động. Mỗi đơn vị được cấp một tài khoản, đơn vị có trách nhiệm quản lý, tạo lập tài
khoản cho người sử dụng của đơn vị mình. Cá nhân được cung cấp tài khoản đăng
nhập để phục vụ cho nhiệm vụ quản lý, khai thác, sử dụng phần mềm Quản lý nhân
sự chịu trách nhiệm bảo mật, bảo đảm an toàn tài khoản người dùng của cơ quan,
đơn vị, khi không sử dụng phải thoát khỏi chương trình ngay, tuân thủ các quy trình
về an toàn bảo mật thông tin. Trường hợp cá nhân được cung cấp tài khoản đăng
nhập phục vụ cho nhiệm vụ quản lý, khai thác, sử dụng phần mềm Quản lý nhân sự
được điều động, thuyên chuyển công tác sang đơn vị khác thì cơ quan, đơn vị có
trách nhiệm hủy tài khoản và thiết lập tài khoản đăng nhập mới.
Cơ quan, đơn vị quản lý hồ sơ hay được ủy quyền quản lý hồ sơ cán bộ, công
chức, viên chức, hợp đồng lao động (gọi chung là cơ quan, đơn vị có thẩm quyền
quản lý hồ sơ), có trách nhiệm thường xuyên cập nhật những thông tin biến động về
đội ngũ cán bộ, công chức, viên chức, hợp đồng lao động do đơn vị mình quản lý
vào phần mềm Quản lý nhân sự, cụ thể như sau:
*) Cập nhật hồ sơ mới:



25

25
- Cơ quan, đơn vị có thẩm quyền quản lý hồ sơ có trách nhiệm cập nhật đầy đủ

thông tin cán bộ, công chức, viên chức, lao động hợp đồng hiện có mặt theo biên
chế được giao vào phần mềm Quản lý nhân sự.
- Trong thời gian 60 ngày, kể từ ngày có quyết định tuyển dụng, tiếp nhận, cơ
quan, đơn vị có thẩm quyền quản lý hồ sơ có trách nhiệm cập nhật đầy đủ thông tin
cán bộ, công chức, viên chức vào phần mềm quản lý nhân sự theo quy định, tiến
hành hoàn thiện hồ sơ quản lý theo thực tế.
*) Cập nhật thông tin vào hồ sơ điện tử đã có:
- Đối với thông tin thay đổi từ phía cơ quan quản lý nhà nước như: Đào tạo,
bồi dưỡng, bổ nhiệm, điều động, nâng lương, khen thưởng, kỷ luật... cơ quan, đơn
vị có thẩm quyền quản lý hồ sơ có trách nhiệm cập nhật thông tin vào hồ sơ điện tử
của người đó, thời gian chậm nhất không quá 15 ngày, kể từ ngày văn bản có hiệu
lực;
- Đối với thông tin thay đổi từ phía cá nhân, cá nhân có trách nhiệm kê khai
với cơ quan, đơn vị theo định kỳ được thực hiện đồng thời cùng việc kê khai phiếu
bổ sung lý lịch hàng năm hoặc theo yêu cầu quản lý của cơ quan, đơn vị để tiến
hành cập nhật vào hồ sơ điện tử.
c. Mạng
Các máy tính trong công ty được kết nối với nhau qua mạng nội bộ. Sử dụng
hệ thống kết nối internet 24/24. Cơ quan sử dụng mang LAN và mạng wifi để sử
dụng cho các hoạt động diễn ra của cơ quan.
d. Cơ sở dữ liệu
Cơ quan có sử dụng 1 máy chủ. Sử dụng hệ quản trị CSDL SQL Server 2014
để thu thập, phân tích, xử lý, lưu trữ và truyền thông tin. Việc sử dụng CSDL này

giúp cho việc đồng bộ hóa dữ liệu toàn cơ quan, đảm bảo tính thống nhất thông tin,
trách sự trùng lặp thông tin trong quá trình thực hiện công việc.
e. Bộ phận nhân sự
Cơ quan có đội ngũ cán bộ, công nhân viên có trách nhiệm với công việc, thực
hiện mọi quy định nhằm đảm bảo an toàn hệ thống thông tin của toàn bộ cơ quan .


×