Tải bản đầy đủ (.docx) (68 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Thương mại

Một số giải pháp nâng cao an toàn bảo mật thông tin tại Công ty cổ phần đầu tư và Phát triển Đô thị Hùng Vương

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (665.36 KB, 68 trang )

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA KẾ TOÁN – KIỂM TOÁN
------

KHÓA LUẬN TỐT NGHIỆP
ĐỀ TÀI:
MỘT SỐ GIẢI PHÁP NÂNG CAO AN TOÀN BẢO MẬT
THÔNG TIN TẠI CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ
PHÁT TRIỂN ĐÔ THỊ HÙNG VƯƠNG

HÀ NỘI - 2018


LỜI CẢM ƠN

Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được
sự hướng dẫn nhiệt tình của giáo viên hướng dẫn PGS.TS Đàm Gia Mạnh, cùng sự
giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty cổ phần đầu tư và Phát triển
Đô thị Hùng Vương .
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy PGS.TS Đàm Gia Mạnh –
Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện
khóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các
anh/chị làm việc tại Công ty cổ phần đầu tư và Phát triển Đô thị Hùng Vương vì sự
quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông Tin
Kinh Tế và Thương Mại Điện Tử về sự động viên khích lệ mà em đã nhận được trong
suốt quá trình học tập và hoàn thành khóa luận này.
Với đề tài “Một số giải pháp nâng cao an toàn bảo mật thông tin tại Công ty cổ
phần đầu tư và Phát triển Đô thị Hùng Vương” đây là đề tài tuy không mới nhưng
khá phức tạp và các nghiên cứu chuyên sâu về vấn đề này còn nhiều giới hạn. Mặt


khác, thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bản thân
em còn hạn chế. Vì vậy, khóa luận chắc chắn sẽ gặp phải nhiều sai sót. Em kính
mong thầy giáo Đàm Gia Mạnh, các thầy cô giáo trong khoa Hệ Thống Thông Tin
Kinh Tế và Thương Mại Điện Tử, các anh/chị nhân viên trong Công ty cổ phần đầu
tư và Phát triển Đô thị Hùng Vương góp ý, chỉ bảo để khóa luận có giá trị cả về lý
luận và thực tiễn.
Em xin chân thành cảm ơn!

1


MỤC LỤ

LỜI CẢM ƠN..............................................................................................................i
MỤC LỤC.................................................................................................................... ii
DANH MỤC SƠ ĐỒ BẢNG BIỂU , SƠ ĐỒ HÌNH VẼ...........................................iv
DANH MỤC TỪ VIẾT TẮT.......................................................................................v
PHẦN MỞ ĐẦU..........................................................................................................1
1. Tính cấp thiết của đề tài..........................................................................................1
2. Mục tiêu và nhiệm vụ nghiên cứu của đề tài..........................................................2
3. Đối tượng và phạm vi nghiên cứu của đề tài..........................................................3
4. Phương pháp nghiên cứu của đề tài.......................................................................3
5. Kết cấu khóa luận...................................................................................................5
CHƯƠNG 1 : CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN
TRONG DOANH NGHIỆP........................................................................................6
1.1.1 Một số khái niệm cơ bản......................................................................................6
1.1.2 Các nguy cơ và rủi ro đến an toàn bảo mật thông tin trong doanh nghiệp........9
1.1.3 Mô hình an toàn bảo mật hệ thống thông tin...................................................10
1.1.4 Các nhân tố ảnh hưởng đến hiệu quả an toàn bảo mật hệ thống thông tin
trong doanh nghiệp.....................................................................................................12

1.1.5 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp..............................13
1.2 Một số lý thuyết về an toàn bảo mật trong hệ thống thông tin.........................14
1.2.1 Các hình thức xâm nhập vào hệ thống thông tin..............................................14
1.2.2 Các phương thức tấn công vào hệ thống thông tin...........................................14
1.2.3 Những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật hiện nay......................17
1.2.4 Những công cụ và phần mềm đảm bảo an toàn bảo mật..................................19
1.2.5 Những xu hướng bảo đảm an toàn bảo mật.....................................................21
1.3 Tổng quan tình hình nghiên cứu liên quan đến đề tài.......................................22
1.3.1 Tổng quan tình hình nghiên cứu tại Việt Nam................................................23
1.3.2 Tổng quan tình hình nghiên cứu trên thế giới................................................24

2


CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN
TOOÀN BẢO MẬT THÔNG TIN TẠI CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ
PHÁT TRIỂN ĐÔ THỊ HÙNG VƯƠNG.................................................................27
2.1 Tổng quan về công ty cổ phần đầu tư và phát triển đô thị Hùng Vương........27
2.1.1 Thông tin cơ bản................................................................................................27
2.1.2 Quá trình thành lập và phát triển của doanh nghiệp.......................................27
2.1.3 Cơ cấu tổ chức của Công ty...............................................................................28
2.2 Thực trạng về an toàn bảo mật tại công ty cổ phần đầu tư và phát triển đô thị
Hùng Vương...............................................................................................................29
2.2.1 Thực trạng về hệ thống thông tin và thương mại điện tử.................................29
2.2.2 Thực trạng an toàn bảo mật tại công ty............................................................30
2.3 Kết quả phân tích và đánh giá thực trạng vấn đề đảm bảo an toàn thông tin
của Công ty cổ phần đầu tư và phát triển đô thị Hùng Vương..............................31
2.3.1 Phân tích kết quả xử lý phiếu khảo sát.............................................................31
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG
CAO HIỆU QUẢ AN TOÀN BẢO MẬT TIN TẠI CÔNG TY CỔ PHẦN ĐẦU

TƯ VÀ PHÁT TRIỂN ĐÔ THỊ HÙNG VƯƠNG....................................................37
3.1 Phương hướng đảm bảo an toàn của công ty 2018 - 2021.................................37
3.2 Giải pháp đảm bảo an toàn bảo mật hệ thống thông tin cho Công ty cổ phần
đầu tư và phát triển đô thị Hùng Vương..................................................................37
3.2.1 Giải pháp đảm bảo an toàn bảo mật hệ thống phần cứng và hệ thống mạng tại
Công ty........................................................................................................................ 37
3.2.2 Giải pháp đảm bảo an toàn bảo mật hệ thống phần mềm tại Công ty cổ phần
đầu tư và phát triển đô thị Hùng Vương....................................................................42
3.2.3 Nâng cao hiệu quả quản lý cơ sở dữ liệu..........................................................44
3.2.4 Nâng cao nhận thức về an toàn bảo mật trong công ty...................................45
KẾT LUẬN................................................................................................................47
DANH MỤC TÀI LIỆU THAM KHẢO..................................................................48
PHỤ LỤC................................................................................................................... 49

3


DANH MỤC SƠ ĐỒ BẢNG BIỂU , SƠ ĐỒ HÌNH VẼ
Bảng 1.1: Bảng những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật
Bảng 1.2: Bảng những công cụ và phần mềm đảm bảo an toàn bảo mật
Biểu đồ 2.2: Mức độ các phần mềm có bản quyền
Biểu đồ 2.3: Hệ quản trị CSDL của công ty
Biểu đồ 2.4: Mức độ quan tâm của công ty về an toàn bảo mật
Biểu đồ 2.5: Mức độ an toàn bảo mật hệ thống thông tin
Biểu đồ 2.6: Khả năng quản trị cơ sở dữ liệu
Biểu đồ 2.7: Cách thức bảo mật cơ sở dữ liệu của công ty
Biểu đồ 2.8: Cách thức bảo mật an toàn thông tin của công ty đang sử dụng
Biểu đồ 2.9: Nguy cơ dẫn đến mất an toàn website của công ty
Sơ đồ 2.1: Sơ đồ cơ cấu tổ chức của công ty
Hình 1.1: Ba mục tiêu bảo mật thông tin.......................................................................7

Hình 1.2: Mô hình đảm bảo an toàn trên máy đầu cuối...............................................10
Hình 1.3: Mô hình an toàn trong truyền dữ liệu...........................................................11
Hình 1.4 Tấn công từ chối dịch vụ phân tán (DDoS)...................................................16
Hình 3.1 Bức tường lửa đặt trước Router để bảo vệ toàn bộ mạng bên trong..............40
Hình 3.2: Hoạt động cơ bản của bức tường lửa............................................................41
Hình 3.3 : Giao diện phần mềm Kaspersky Anti-Virus................................................43
Hình 3.4: Bảng thông số yêu cầu đối với máy trạm khi cài đặt Kaspersky® Small
Office Security............................................................................................................. 43
Hình 3.5: Bảng thông số yêu cầu đối với máy chủ khi cài đặt Kaspersky® Small
Office Security............................................................................................................. 44

4


DANH MỤC TỪ VIẾT TẮT

Tên từ viết tắt
ATBM
ATTT
HTTT
CNTT
CRM
CPU
CSDL
DoS
ERP
HTTP
HTTT
NAT
LAN

TMĐT
WAF

Thuật ngữ

Customer Relationship Management
Central Processing Unit
Denial of Service
Enterprise Resource Planning
HyperText Transport Protocol
Network Address Translation
Local Area Network
Network Address Translation

5

Giải nghĩa
An toàn bảo mật
An toàn thông tin
Hệ thống thông tin
Công nghệ thông tin
Quản lý quan hệ khách hàng
Bộ xử lý trung tâm
Cơ sở dữ liệu
Từ chối dịch vụ
Quản lý nguồn lực
Giao thức truyền tải siêu văn bản
Hệ thống thông tin
Chuyển đổi địa chỉ mạng
Mạng cục bộ

Thương mại điện tử
Giao thức an ninh thông tin
mạng


PHẦN MỞ ĐẦU
1. Tính cấp thiết của đề tài
Vấn đề đảm bảo an toàn cho các hệ thống thông tin là một trong những vấn đề
quan trọng được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo
dưỡng HTTT. Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu
lưu trữ và xử lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu
sản xuất, thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Đối với nhiều tổ
chức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng một vai trò hết sức quan
trọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ. Vì vậy, việc bảo mật
những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay
các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn
nhiều nguy cơ không lường trước được.
Sự xuất hiện Internet và mạng máy tínḥ đã giúp cho việc trao đổi thông tin trở
nên nhanh gọn, dễ dàng. E-mail cho phép người ta nhận hay gửi thư ngay trên máy
tính của mình, E-business cho phép thực hiện các giao dịch buôn bán trên mạng, ...
Tuy nhiên lại phát sinh những vấn đề. Thông tin quan trọng nằm ở kho dữ liệu hay
đang trên đường truyền có thể bị trộm cắp, có thể bị làm sai lệch, có thể bị giả mạo.
Điều đó có thể ảnh hưởng tới các tổ chức, các công ty hay cả một quốc gia. Những bí
mật kinh doanh, tài chính là mục tiêu của các đối thủ cạnh tranh. Những tin tức về an
ninh quốc gia là mục tiêu của các tổ chức tình báo trong và ngoài nước.
Có thể nhận ra hai điều thay đổi về bảo vệ thông tin như sau. Thứ nhất, sự ứng
dụng của máy tính trong việc xử lí thông tin làm thay đổi dạng lưu trữ thông tin và
phương thức xử lí thông tin. Cần thiết phải xây dựng cơ chế bảo vệ thông tin theo đặc
thù hoạt động của máy tính. Từ đây xuất hiện yêu cầu bảo vệ sự an toàn hoạt động của
máy tính tồn tại song song với yêu cầu bảo vệ sự an toàn của thông tin. Thứ hai, sự

phát triển của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi xử lí
thông tin. Thông tin được trao đổi giữa các thiết bị xử lí thông qua một khoảng cách
vật lí rất lớn, gần như không giới hạn, làm xuất hiện nhiều nguy cơ làm mất sự an toàn
của thông tin. Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng, gồm các
cơ chế và kỹ thuật phù hợp với việc bảo vệ sự an toàn của thông tin khi chúng được
trao đổi giữa các thiết bị mạng.
Hiểu được tầm quan trọng của việc bảo mật, an toàn dữ liệu trong các doanh
nghiệp nên Công ty cổ phần đầu tư và phát triển Đô thị Hùng Vương cần triển khai
việc áp dụng các biện pháp nhằm nâng cao tính bảo mật và an toàn thông tin, dữ liệu
của mình. Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Một số giải
1


pháp an toàn bảo mật hệ thống thông tin tại Công ty cổ phần đầu tư và phát triển Đô
thị Hùng Vương” làm đề tài khóa luận của mình. Với hi vọng, đây sẽ là giải pháp giúp
Trung tâm hoạt động hiệu quả trong tương lai.
2. Mục tiêu và nhiệm vụ nghiên cứu của đề tài
2.1 Mục tiêu của đề tài
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơ
bản về an toàn bảo mật hệ thống thông tin, nghiên cứu bằng những phương pháp khác
nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó, xem xét đánh giá phân
tích thực trạng vấn đề an toàn bảo mật hệ thống thông tin để đưa ra những ưu nhược
điểm. Từ những đánh giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải
pháp nhằm nâng cao tính an toàn bảo mật hệ thống thông tin. Giúp cho công ty nhận
diện những nguy cơ và thách thức của vấn đề an toàn bảo mật hệ thống thông tin.
Khi xây dựng một hệ thống an toàn bảo mật, thì mục tiêu đặt ra cho cơ chế được
áp dụng phải bao gồm 3 phần như sau:
Ngăn chặn (prevention): mục tiêu thiết kế là ngăn chặn các vi phạm đối với
chính sách. Có nhiều sự kiện, hành vi dẫn đến vi phạm chính sách. Có những sự kiện
đã được nhận diện là nguy cơ của hệ thống nhưng có những sự kiện chưa được ghi

nhận là nguy cơ. Hành vi vi phạm có thể đơn giản như việc để lộ mật khẩu, quên thoát
khỏi hệ thống khi rời khỏi máy tính, … hoặc có những hành vi phức tạp và có chủ đích
như cố gắng tấn công vào hệ thống từ bên ngoài.
Các cơ chế an toàn (secure mechanism) hoặc cơ chế chính xác (precise
mechanism) là các cơ chế được thiết kế với mục tiêu ngăn chặn. Tuy nhiên, khi việc
xây dựng các cơ chế an toàn hoặc chính xác là không khả thi thì cần phải quan tâm đến
2 mục tiêu tiếp theo khi thiết lập các cơ chế bảo mật.
Phát hiện (detection): mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính
sách đã và đang xảy ra trên hệ thống.
Thực hiện các cơ chế phát hiện nói chung rất phức tạp, phải dựa trên nhiều kỹ
thuật và nhiều nguồn thông tin khác nhau. Về cơ bản, các cơ chế phát hiện xâm nhập
chủ yếu dựa vào việc theo dõi và phân tích các thông tin trong nhật ký hệ thống
(system log) và dữ liệu đang lưu thông trên mạng (network traffic) để tìm ra các dấu
hiệu của vi phạm. Các dấu hiệu vi phạm này (gọi là signature) thường phải được nhận
diện trước và mô tả trong một cơ sở dữ liệu của hệ thống (gọi là signature database).
Phục hồi (recovery): mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các
vi phạm đang diễn ra (response) hoặc khắc phục hậu quả của vi phạm một cách nhanh
chóng nhất với mức độ thiệt hại thấp nhất (recovery).

2


Tùy theo mức độ nghiêm trọng của sự cố mà có các cơ chế phục hồi khác nhau.
Có những sự cố đơn giản và việc phục hồi có thể hoàn toàn được thực hiện tự động mà
không cần sự can thiệp của con người, ngược lại có những sự cố phức tạp và nghiêm
trọng yêu cầu phải áp dụng những biện pháp bổ sung để phục hồi.
Một phần quan trọng trong các cơ chế phục hồi là việc nhận diện sơ hở của hệ
thống và điều chỉnh những sơ hở đó. Nguồn gốc của sơ hở có thể do chính sách an
toàn chưa chặt chẽ hoặc do lỗi kỹ thuật của cơ chế.
2.2 Nhiệm vụ của đề tài

Nghiên cứu tổng quan về an toàn bảo mật thông tin: phân tích, tổng hợp khái
niệm an toàn bảo mật, vai trò, các giải pháp an toàn bảo mật thông tin hiện nay. Từ đó,
xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT để đưa ra những
ưu nhược điểm. Từ những đánh giá phân tích này, đưa ra một số kiến nghị đề xuất,
một số giải pháp nhằm nâng cao tính an toàn bảo mật HTTT. Giúp cho công ty nhận
diện những nguy cơ và thách thức của vấn đề an toàn bảo mật HTTT.
3. Đối tượng và phạm vi nghiên cứu của đề tài
3.1 Đối tượng nghiên cứu
Các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn, cũng như
nâng cao được hoạt động an toàn bảo mật HTTT quản lý là đối tượng nghiên cứu
chính của đề tài.
3.2 Phạm vi nghiên cứu
Về thời gian: Đề tài sẽ phân tích các hoạt động an toàn và bảo mật hệ thống
thông tin của công ty, tài liệu liên quan trong vòng 3 năm gần đây: 2016, 2017, 2018.
Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật hệ thống
thông tin tại Công ty cổ phần đầu tư và phát triển Đô thị Hùng Vương nhằm đưa ra
một số giải pháp nâng cao an toàn bảo mật hệ thống thông tin.
Về nội dung: Nghiên cứu thực trạng hoạt động an toàn bảo mật HTTT của công
ty, để xác định ưu nhược điểm của các hoạt động đó. Đồng thời phân tích thực trạng
triển khai, thuận lợi, khó khăn, đánh giá hiệu quả và có những đề xuất cụ thể nhằm
nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty.
4. Phương pháp nghiên cứu của đề tài
Các phương pháp được sử dụng trong khoá luận
Trong quá trình nghiên cứu và thực hiện khóa luận này, em đã sử dụng các
phương pháp thu thập dữ liệu định tính nhằm phân tích, tổng hợp thông tin thông qua
câu hỏi phỏng vấn, phiếu điều tra và các tài liệu thu thập được. Phương pháp này được
sử dụng cho cuối chương 2 và chương 3 của khoá luận nhằm tìm ra nguyên nhân, thực

3



trạng của vấn đề an toàn bảo mật hệ thống thông tin tại Công ty cổ phần đầu tư và phát
triển Đô thị Hùng Vương, để từ đó đưa ra các giải pháp phù hợp.
4.1 Phương pháp thu thập số liệu
Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu. Phương
pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứa
đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện.
a, Phương pháp sử dụng phiếu điều tra:
Phát phiếu điều tra ban lãnh đạo công ty cùng các nhân viên trong các phòng chủ
yếu xoay quanh vấn đề: Việc đảm bảo an toàn thông tin trong công ty như thế nào?
Công ty hay gặp sự cố gì về vấn đề bảo mật thông tin? Công ty đã có hệ thống an ninh
mạng chưa? Công ty đã có hệ thống an toàn dữ liệu chưa? …
- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn bảo mật hệ
thống thông tin của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những
giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn bảo mật
hệ thống thông tin trong Công ty cổ phần đầu tư và phát triển Đô thị Hùng Vương.
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty
để thu thập ý kiến.
- Thuận lợi của phương pháp: thu thập thông tin nhanh chóng, đơn gỉan.
- Khó khăn: nội dung thu thập có thể không chính xác vì phụ thuộc chủ quan vào
người trả lời.
- Nội dung: các câu hỏi đều xoay quanh các hoạt động đảm bảo an toàn bảo mật
hệ thống thông tin được triển khai và hiệu quả của các hoạt động này đối với công ty.
Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cấp là những thông tin đã
được thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty.
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh
của công ty trong vòng 3 năm: 2015, 2016, 2017 được thu thập từ phòng kinh doanh,
phòng hành chính nhân sự, , từ phiếu điều tra phỏng vấn và các tài liệu khác.
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách
báo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet.

Sau khi đã thu thập đầy đủ các thông tin cần thiết thì tiến hành phân loại sơ bộ
các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung
vào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu.
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu
liên quan đến vấn đề an toàn bảo mật tại công ty.

4


b, Phương pháp phỏng vấn:
Là phương pháp dùng một số hệ thống câu hỏi miệng để người được phỏng vấn
trả lời bằng miệng nhằm thu thập các thông tin nói lên nhận thức hoặc thái độ của cá
nhân đối với một sự kiện hay một vấn đề được hỏi.
- Cách thức tiến hành: Hẹn trước và đến công ty gặp, chuẩn bị trước câu hỏi
phỏng vấn với các đối tượng. Không phỏng vấn tất cả các đối tượng vào cùng một
ngày cụ thể nào, do ban lãnh đạo bận, không có nhiều thời gian nên em tranh thủ
phỏng vấn từng đối tượng vào những thời gian có thể.
- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn bảo mật hệ
thống thông tin của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những
giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn bảo mật
hệ thống thông tin trong Công ty.
- Thuận lợi của phương pháp: thu thập thông tin nhanh chóng, đơn gỉan.
- Khó khăn: nội dung thu thập có thể không chính xác vì phụ thuộc chủ quan vào
người trả lời.
- Nội dung: các câu hỏi đều xoay quanh các hoạt động đảm bảo an toàn bảo mật
hệ thống thông tin được triển khai và hiệu quả của các hoạt động này đối với công ty.
4.2 Phương pháp phân tích và xử lý dữ liệu
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Từ kết quả thu được từ phương pháp thu

thập dữ liệu thì đã tiến hành xử lý số liệu bằng cách sử dụng phần mềm SPSS
(Statistical Package for Social Sciences). SPSS là một phần mềm cung cấp hệ thống
quản lý dữ liệu và phân tích thống kê trong một môi trường đồ họa, sử dụng các trình
đơn mô tả và các hộp thoại đơn giản để thực hiện hầu hết các công việc thống kê phân
tích số liệu. Người dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê
tần suất, xây dựng đồ thị…
5. . Kết cấu khóa luận
Khóa luận bao gồm ba phần:
Chương 1: Cơ sở lý luận và lý thuyết về an toàn bảo mật thông tin trong hệ thống
thông tin.
Chương 2: Kết quả phân tích, đánh giá thực trạng về an toàn bảo mật hệ thống
thông tin tại Công ty cổ phần đầu tư và phát triển đô thị Hùng Vương

5


Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả an toàn
bảo mật trong hệ thống thông tin tại Công ty cổ phần đầu tư và phát triển đô thị Hùng
Vương.

6


CHƯƠNG 1 : CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN
TRONG DOANH NGHIỆP
1.1 Cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp
1.1.1 Một số khái niệm cơ bản
Dữ liệu: Có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên
phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, theo
[2] thì dữ liệu là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung,

dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ
liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang
biểu hiện.
Thông tin theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện,
một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu.
( trích dẫn từ [2])
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau
quá
trình xử lý dữ liệu.
Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức.( trích từ [2])
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển. Hệ thống thông
tin quản lý (MIS) được trích từ [2] là khái niệm đầy đủ và ngắn gọn xúc tích nhất.
Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành
quản lý cùng với những thông tin được cung cấp thường xuyên. Ngày nay, do công
nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói
đến hệ thống thông tin quản lý được trợ giúp của máy tính. Theo quan điểm của các
nhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp
việc thu thập, xử lý và truyền thông tin. MIS là tập hợp các phương tiện, các phương
pháp và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập,
7



lưu trữ, tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý.
Đảm bảo an toàn thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm
tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin
cũng như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu và
thông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp.
An toàn bảo mật thông tin là vấn đề cơ bản của một hệ thống thông tin (HTTT)
quản lý, có rất nhiều sách báo, giáo trình đưa ra khái niệm này. Tổng kết từ nhiều giáo
trình trong nước về khái niệm này ta đi tới một khái niệm phổ thông nhất, được biên
soạn trong các giáo trình đại học như sau :
An toàn thông tin được viết như sau: an toàn khi thông tin đó không bị làm hỏng
hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
( trích dẫn từ [1])
Bảo mật thông tin theo [1] là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng
của thông tin.

Tính sẵn sàng

Tính toàn vẹn

Tính bảo mật

Hình 1.1: Ba mục tiêu bảo mật thông tin
(Nguồn:[1])
-Tính bảo mật (Confidentially): Tính bí mật của thông tin là tính giới hạn về đối
tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là
máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware, …
Đảm bảo chỉ có những cá nhân được cấp quyền mới được phép truy cập vào hệ thống.
Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh
nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không được cấp
quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa

với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.

8


Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tại
của thông tin và nội dung của thông tin đó.
Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó.
Ví dụ: chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết lộ
cho một công ty đối thủ khác. Việc nhận thức được rằng có điều đó tồn tại sẽ quan
trọng hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn như ai đã tiết
lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì,…
Cũng vì lý do này, trong một số hệ thống xác thực người dùng (user
authentication), ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào
hộp thư điện tử hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên
người dùng (user-name) sai, thay vì thông báo rằng user-name này không tồn tại, thì
một số hệ thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác chỉ
thông báo chung chung là “Invalid username/password” (người dùng hoặc mật khẩu
không hợp lệ). Dụng ý đằng sau câu thông báo không rõ ràng này là việc từ chối xác
nhận việc tồn tại hay không tồn tại một user-name như thế trong hệ thống. Điều này
làm tăng sự khó khăn cho những người muốn đăng nhập vào hệ thống một cách bất
hợp pháp bằng cách thử ngẫu nhiên.
-

Tính toàn vẹn (Integrity): Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của

thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông
tin do sự cố thiết bị hoặc phần mềm. Tính toàn vẹn của thông tin phải được đánh giá
trên hai mặt: toàn vẹn về nội dung và toàn vẹn về nguồn gốc. Sự toàn vẹn về nguồn
gốc thông tin trong một số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo tính

không thể chối cãi (non-repudiation) của hệ thống thông tin. Các cơ chế đảm bảo sự
toàn vẹn của thông tin được chia thành 2 loại: các cơ chế ngăn chặn (Prevention
mechanisms) và các cơ chế phát hiện (Detection mechanisms).
Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nội
dung và nguồn gốc của thông tin. Các hành vi này bao gồm 2 nhóm: hành vi cố gắng
thay đổi thông tin khi không được phép truy xuất đến thông tin và hành vi thay đổi
thông tin theo cách khác với cách đã được cho phép.
Nhóm các cơ chế phát hiện chỉ thực hiện chức năng giám sát và thông báo khi
có các thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ
thống mà không thực hiện chức năng ngăn chặn các hành vi truy xuất trái phép đến
thông tin.
-

Tính sẵn sàng (Availabillity): một yêu cầu rất quan trọng của hệ thống, bởi vì

một hệ thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn

9


tại một hệ thống thông tin nào. Một hệ thống sẵn sàng là một hệ thống làm việc trôi
chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra.
Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo mật, bởi
vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toàn
vẹn) sẽ trở nên vô nghĩa.
Các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS
(Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với sự an
toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có giải
pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều nhắm vào tính khả dụng
của hệ thống.

Từ đó, hiện nay các nhà nghiên cứu đang đưa ra các mô hình mới cho việc mô tả
các hệ thống an toàn. Mô hình CIA không mô tả được đầy đủ các yêu cầu an toàn của
hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thông tin
cần được đảm bảo như:
-Tính khả dụng (Availability)
-Tính tiện ích (Utility)
-Tính toàn vẹn (Integrity)
-Tính xác thực (Authenticity)
-Tính bảo mật (Confidentiality)
-Tính sở hữu (Possession)
Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn và bảo
mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong
một thời gian xác định.
1.1.2 Các nguy cơ và rủi ro đến an toàn bảo mật thông tin trong doanh nghiệp
Khi nói đến nguy cơ, nghĩa là sự kiện đó chưa xảy ra, nhưng có khả năng xảy ra
và có khả năng gây hại cho hệ thống. Có những sự kiện có khả năng gây hại, nhưng
không có khả năng xảy ra đối với hệ thống thì không được xem là nguy cơ.
Các nguy cơ có thể chia thành 4 nhóm:
-Tiết lộ thông tin / truy xuất thông tin trái phép
-Phát thông tin sai / chấp nhận thông tin sai
-Phá hoại / ngăn chặn hoạt động của hệ thống
-Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống
Tuy nhiên mỗi nhóm lại chia thành nhiều nguy cơ khác nhau:

10


Nghe lén, hay đọc lén là một trong những phương thức truy xuất thông tin trái
phép. Các hành vi thuộc phương thức này có thể đơn giản như việc nghe lén một cuộc
đàm thoại, mở một tập tin trên máy của người khác, hoặc phức tạp hơn như xen vào

một kết nối mạng (wire-tapping) để ăn cắp dữ liệu, hoặc cài các chương trình ghi bàn
phím (key-logger) để ghi lại những thông tin quan trọng được nhập từ bàn phím.
Nhóm nguy cơ phát thông tin sai / chấp nhận thông tin sai bao gồm những hành
vi tương tự như nhóm ở trên nhưng mang tính chủ động, tức là có thay đổi thông tin
gốc. Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống thì mức độ thiệt hại sẽ
nghiêm trọng hơn nhiều bởi vì khi đó, hành vi này không chỉ gây ra sai dữ liệu mà còn
có thể làm thay đổi các chính sách an toàn của hệ thống hoặc ngăn chặn hoạt động
bình thường của hệ thống.
Giả danh (spoofing) cũng là một dạng hành vi thuộc nhóm nguy cơ phát thông
tin sai / chấp nhận thông tin sai. Hành vi này thực hiện việc trao đổi thông tin với một
đối tác bằng cách giả danh một thực thể khác
Nhóm nguy cơ phá hoại / ngăn chặn hoạt động của hệ thống bao gồm các hành
vi có mục đích ngăn chặn hoạt động bình thường của hệ thống bằng cách làm chậm
hoặc gián đoạn dịch vụ của hệ thống. Tấn công từ chối dịch vụ hoặc virus là những
nguy cơ thuộc nhóm này
Chiếm quyền điều khiển hệ thống gây ra nhiều mức độ thiệt hại khác nhau, từ
việc lấy cắp và thay đổi dữ liệu trên hệ thống, đến việc thay đổi các chính sách bảo
mật và vô hiệu hoá các cơ chế bảo mật đã được thiết lập.
1.1.3 Mô hình an toàn bảo mật hệ thống thông tin
Mô hình đảm bảo an toàn trên máy đầu cuối:

11


MỨC MẠNG

MỨC VẬT LÝ

TÀI NGUYÊN


MỨC DỮ LiỆU

MỨC HỆ ĐIỀU HÀNH

Hình 1.2: Mô hình đảm bảo an toàn trên máy đầu cuối
(Nguồn: [3])
 Mức vật lý:
Chống nguy cơ mất mát dữ liệu qua đường vật lý. Đánh giá độ chịu đựng của hệ
thống dữ liệu trước những sự cố bất ngờ. Quản lý các truy nhập mức vật lý vào phần
cứng lưu trữ. Quản lý hoạt động của các thiết bị cần bảo vệ và thiết bị bảo vệ để đảm
bảo sự hoạt động của dữ liệu một cách ổn đinh.
 Mức mạng:
Sử dụng các thiết bị phần cứng chuyên dụng để ngăn chặn sự xâm nhập trái phép
từ Internet. Dùng các cơ chế quản lý và phân quyền người sử dụng. Sử dụng các giao
thức bảo mật trên mạng. Các phần mềm chống xâm nhập trái phép cũng như dò tìm
Virus.
 Mức hệ điều hành:
Mức điều hành có các chức năng như tạo và phân quyền người dùng. Kiểm soát
các chương trình đang được thực thi trong máy. Các file log dùng để theo dõi hoạt
động của hệ thống. Các chức năng bảo mật được tích hợp sẵn (trình diệt Virus, tường
lửa).
 Mức dữ liệu:
Chức năng nổi bật ở mức dữ liệu này là mã hóa dữ liệu: dữ liệu sẽ được lưu trữ
dưới dạng bản mã. Cùng với đó phân quyền người dùng: phân ra nhiều mức người sử
dụng khác nhau. Thiết lập các cơ chế sao lưu dữ liệu: thiết lập cơ chế backup, lưu trên
nhiều Server. Sử dụng các chương trình bảo mật thư mục và file: dùng NTFS, hệ điều
hành LINUX, ..
Mô hình an toàn trong truyền dữ liệu:

12



Hình 1.3: Mô hình an toàn trong truyền dữ liệu
(Nguồn: [3])
1.1.4 Các nhân tố ảnh hưởng đến hiệu quả an toàn bảo mật hệ thống thông
tin trong doanh nghiệp
Một hệ thống thông tin (HTTT) hoạt động hiệu quả chịu sự tác động của nhiều
yếu tố, từ cả môi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi
trường vi mô. Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm
bảo an toàn bảo mật hệ thống thông tin (ATBM HTTT) trong doanh nghiệp là: Yếu tố
con người và yếu tố công nghệ.
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống
và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.
Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng
lực sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt động độc lập
hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của
hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ
trong các tổ chức. Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lập
nên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận
hành của mạng lưới thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc
nghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp
xác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời
vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm
13


việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát

triển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả
năng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả
như thế nào.
Những người quản lý HTTT máy tính phân công công việc cho những người
phân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác
có liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và
nâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển
mạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc
biệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công
nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động
sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.
Công nghệ thông tin (CNTT) đang có khuynh hướng mở rộng không gian cho
hoạt động sản xuất kinh doanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo
ra những cơ hội mới và các thách thức mới cho doanh nghiệp. CNTT cũng là nhân tố
quan trọng phổ biến nhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam
nhanh chóng hòa nhập vào nền kinh tế toàn cầu.


Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị

thu thập, xử lý và lưu trữ thông tin…


Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng

chống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
1.1.5 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững

của các doanh nghiệp. Thông tin là tài sản vô giá của các doanh nghiệp.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy
tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin
lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
Rủi ro về thông tin của mỗi doanh nghiệp có thể gây thất thoát tiền bạc, tài sản,
con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Rủi
ro thông tin doanh nghiệp ảnh hưởng uy tín và sự phát triển của doanh nghiệp nhưng
lại là vấn đề rất khó tránh khỏi.
14


Các Doanh nghiệp cần phải triển khai các giải pháp về bảo mật và dịch vụ an
ninh mạng từ các nhà cung cấp khác nhau, chủ động triển khai chiến lược và giải pháp
để có thể bảo vệ được hệ thống an toàn thông tin của mình trước những nguy cơ tấn
công từ kẻ xấu. Những công nghệ bảo mật được sử dụng như: Phần mềm diệt virus,
tường lửa, cảnh báo xâm nhập… Tuy nhiên, vấn đề bảo mật vẫn chưa thực sự được
giải quyết nếu chỉ dùng những công nghệ trên bởi rất nhiều lý do:
- Hệ thống mạng là liên tục thay đổi và được thực hiện với bảo mật với những
công cụ bảo mật độc lập khác nhau nên rất khó sử dụng.
- Để đảm bảo rà soát hết lỗ hổng đang tồn tại trong hệ thống cần phải đòi hỏi
phân tích dữ liệu được tạo ra bởi những công nghệ cao.
- Hệ thống dữ liệu là lớn mà quản lý thủ công không thể xử lý được.
- Thiếu hụt về nhân lực, chuyên gia đảm nhiệm mảng an ninh mạng cũng là khó
khăn mà nhiều Doanh nghiệp đang gặp phải.
- Đầu tư trang thiết bị cho bảo mật thông tin còn hạn chế, ngân sách dành cho
an ninh mạng rất ít và nhiều công ty là không có.
Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là một
hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp.

1.2 Một số lý thuyết về an toàn bảo mật trong hệ thống thông tin
1.2.1 Các hình thức xâm nhập vào hệ thống thông tin
Mục tiêu của xâm nhập là tác động vào 3 thuộc tính CIA của hệ thống.
Một cách tổng quát, sự an toàn của một hệ thống thông tin có thể bị xâm phạm
bằng những cách sau đây:
-Interruption: làm gián đoạn hoạt động của hệ thống thông tin, ví dụ như phá hoại
phần cứng, ngắt kết nối, phá hoại phần mềm, …Hình thức xâm nhập này tác động vào
đặc tính sẵn sàng của thông tin.
-Interception: truy xuất trái phép vào hệ thống thông tin. Tác nhân của các hành
vi xâm nhập kiểu Interception có thể là một người, một phần mềm hay một máy tính
làm việc bằng cách quan sát dòng thông tin (monitor) nhưng không làm thay đổi thông
tin gốc. Hình thức xâm nhâp này tác động vào đặc tính Bí mật của thông tin.
-Modification: truy xuất trái phép vào hệ thống thông tin, đồng thời làm thay đổi
nội dung thông tin, ví dụ xâm nhập vào máy tính và làm thay đổi nội dung một tập tin,
thay đổi một chương trình làm cho chương trình làm việc sai, thay đổi nội dung một
thông báo đang gửi đi trên mạng, v.v… Hình thức xâm nhập này tác động vào tính
Toàn vẹn của thông tin

15


Ngoài ra, một hình thức xâm nhập thứ tư là hình thức xâm nhập bằng thông tin
giả danh (Farbrication), ví dụ, giả danh một người nào đó để gửi mail đến một người
khác, giả mạo địa chỉ IP của một máy nào đó để kết nối với một máy khác, …Hình
thức xâm nhập này làm thay đổi nguồn gốc thông tin, cũng là tác động vào đặc tính
Toàn vẹn của thông tin.
Trong thực tế, việc xâm nhập hệ thống được thực hiện bởi rất nhiều phương thức,
công cụ và kỹ thuật khác nhau, thêm vào đó, việc phát hiện ra các phương thức xâm
nhập mới là việc xảy ra rất thường xuyên, nên vấn đề nhận dạng và phân loại các xâm
nhập một cách có hệ thống là khó khăn và không chính xác. Có thể phân loại xâm

nhập theo các tiêu chí sau đây:
-Phân loại theo mục tiêu xâm nhập (xâm nhập mạng, xâm nhập ứng dụng, xâm
nhập hỗn hợp)
-Phân loại theo tính chất xâm nhập (xâm nhập chủ động, xâm nhập thụ động)
-Phân loại theo kỹ thuật xâm nhập (dò mật khẩu, phần mềm khai thác, …)
1.2.2 Các phương thức tấn công vào hệ thống thông tin
- Tấn công từ chối dịch vụ DoS (Denial of Service): Dạng tấn công này không
xâm nhập vào hệ thống để lấy cắp hay thay đổi thông tin mà chỉ nhằm vào mục đích
ngăn chặn hoạt động bình thường của hệ thống, đặc biệt đối với các hệ thống phục vụ
trên mạng công cộng như Web server, Mail server, …
Các tấn công từ chối dịch vụ thường rất dễ nhận ra do tác động cụ thể của nó đối
với hệ thống. Mục tiêu tấn công của từ chối dịch vụ có thể là một máy chủ hoặc một
mạng con (bao gồm cả thiết bị mạng như router và kết nối mạng).
Cơ sở của tấn công từ chối dịch vụ là các sơ hở về bảo mật trong cấu hình hệ
thống (cấu hình firewall), sơ hở trong giao thức kết nối mạng (TCP/IP) và các lỗ hổng
bảo mật của phần mềm, hoặc đơn giản là sự hạn chế của tài nguyên như băng thông
kết nối (connection bandwidth), năng lực của máy chủ (CPU, RAM, đĩa cứng, …).
Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Intrenet, nhưng cũng
có thể xuất phát từ trong nội bộ hệ thống dưới dạng tác động của các phần mềm độc
như worm hoặc trojan.
Tấn công từ chối dịch vụ thường không gây tiết lộ thông tin hay mất mát dữ liệu
mà chỉ nhắm vào tính khả dụng của hệ thống. Tuy nhiên, do tính phổ biến của từ chối
dịch vụ và đặc biệt là hiện nay chưa có một giải pháp hữu hiệu cho việc ngăn chặn các
tấn công loại này nên từ chối dịch vụ được xem là một nguy cơ rất lớn đối với sự an
toàn của các hệ thống thông tin

16


-Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS): Là phương

thức tấn công dựa trên nguyên tắc của từ chối dịch vụ nhưng có mức độ nguy hiểm cao
hơn do huy động cùng lúc nhiều máy tính cùng tấn công vào một hệ thống duy nhất.
Tấn công từ chối dịch vụ phân tán được thực hiện qua 2 giai đoạn:
1-Kẻ tấn công huy động nhiều máy tính trên mạng tham gia từ chối dịch vụ phân
tán bằng cách cài đặt các phần mềm điều khiển từ xa trên các máy tính này.
Các máy tính đã được cài đặt phần mềm điều khiển này được gọi là các zoombie.
Để thực hiện bước này, kẻ tấn công dò tìm trên mạng những máy có nhiều sơ hở để tấn
công và cài đặt các phần mềm điều khiển từ xa lên đó mà người quản lý không hay
biết. Những phần mềm này được gọi chung là backdoor.
2-Kẻ tấn công điều khiển các zoombie đồng loạt thực hiện tấn công vào mục tiêu
Mô hình một chuỗi tấn công từ chối dịch vụ phân tán điển hình được mô tả ở
hình 1.4
Các thành phần tham gia trong chối dịch vụ phân tán bao gồm:
-Client: phần mềm điều khiển từ xa được kẻ tấn công sử dụng để điều khiển các
máy khác tham gia tấn công. Máy tính chạy phần mềm này được gọi là master.
-Deamon: phần mềm chạy trên các zoombie, thực hiện yêu cầu của master và là
nơi trực tiếp thực hiện tấn công chối dịch vụ (DoS) đến máy nạn nhân.

Hình 1.4 Tấn công từ chối dịch vụ phân tán (DDoS)
-Tấn công giả danh (Spoofing attack): Đây là dạng tấn công bằng cách giả danh
một đối tượng khác (một người sử dụng, một máy tính với một địa chỉ IP xác định
hoặc một phần mềm nào đó) để thực hiện một hành vi.

17


Tấn công giả danh đã phát triển thêm một hướng mới dựa trên sự phổ biến của
mạng Internet, đó là Phishing. Phishing hoạt động bằng cách giả danh các địa chỉ email hoặc địa chỉ trang web để đánh lừa người sử dụng.
-Tấn công phát lại (Replay attack): Trong phương thức tấn công này, các gói dữ
liệu lưu thông trên mạng được chặn bắt và sau đó phát lại (replay). Trong môi trường

mạng, thông tin xác thực giữa người dùng và máy chủ được truyền đi trên mạng. Đây
là nguồn thông tin thường bị tấn công nhất. Nếu khi phát lại, máy chủ chấp nhận thông
tin này thì máy tấn công có khả năng truy xuất vào máy chủ với quyền của người dùng
trước đó.
-Nghe lén (Sniffing attack): Đây là hình thức lấy cắp dữ liệu bằng cách đọc lén
trên mạng. Hầu hết các card mạng đều có khả năng chặn bắt (capture) tất cả các gói dữ
liệu lưu thông trên mạng, mặc dù gói dữ liệu đó không được gửi đến cho mình. Những
card mạng có khả năng như thế được gọi là đang ở chế độ promiscuous.
Có rất nhiều phần mềm cho phép thực hiện chặn bắt dữ liệu từ một máy đang kết
nối vào mạng, ví dụ Ethereal, Common view hoặc Network monitor có sẵn trên
Windows server (2000 hoặc 2003 server). Bằng việc đọc và phân tích các gói dữ liệu
bắt được, kẻ tấn công có thể tìm thấy nhiều thông tin quan trọng để tiến hành các hình
thức tấn công khác.
-Tấn công mật khẩu (Password attack): Là hình thức truy xuất trái phép vào hệ
thống bằng cách dò mật khẩu. Có hai kỹ thuật dò mật khẩu phổ biến:
Dò tuần tự (Brute force attack): Dò mật khẩu bằng cách thử lần lượt các tổ hợp
ký tự, thông thường việc này được thực hiện tự động bằng phần mềm. Mật khẩu càng
dài thì số lần thử càng lớn và do đó khó bị phát hiện hơn. Một số hệ thống quy định
chiều dài tối thiểu của mật khẩu. Ngoài ra để ngăn chặn việc thử mật khẩu nhiều lần,
một số hệ thống ngắt kết nối nếu liên tiếp nhận được mật khẩu sai sau một số lần nào
đó.
Dò theo tự điển (Dictionary attack): thử lần lượt các mật khẩu mà người sử dụng
thường dùng. Để cho dơn giản, người sử dụng thường có thói quen nguy hiểm là dùng
những thông tin dễ nhớ để làm mật khẩu, ví dụ như tên mình, ngày sinh, số điện thoại,
…Một số hệ thống hạn chế nguy cơ này bằng cách định ra các chính sách về mật khẩu
(password policy), quy định độ khó tối thiểu của mật khẩu, ví dụ mật khẩu phải khác
với những thông tin liên quan đến cá nhân người sử dụng, phải bao gồm cả chữ hoa và
chữ thường, chữ cái và các mẫu tự khác chữ cái,…
-Tấn công khai thác phần mềm (Software exploitation): Đây là tên gọi chung
của tất cả các hình thức tấn công nhắm vào một chương trình ứng dụng hoặc một dịch

vụ nào đó ở lớp ứng dụng. Bằng cách khai thác các sơ hở và các lỗi kỹ thuật trên các
18


phần mềm và dịch vụ này, kẻ tấn công có thể xâm nhập hệ thống hoặc làm gián đoạn
hoạt động bình thường của hệ thống.
Tấn công tràn bộ đệm (buffer overflow attack): là phương thức tấn công vào các
lỗi lập trình của số phần mềm. Lỗi này có thể do lập trình viên, do bản chất của ngôn
ngữ hoặc do trình biên dịch. Ngôn ngữ C là ngôn ngữ có nhiều khả năng gây ra các lỗi
tràn bộ đệm nhất, và không may, đây là ngôn ngữ vốn được dùng rộng rãi nhất trong
các hệ điều hành.
Ngoài tấn công tràn bộ đệm, các phương thức tấn công khác nhắm vào việc khai
thác các sơ hở của phần mềm và dịch vụ bao gồm: khai thác cơ sở dữ liệu (database
exploitation), khai thác ứng dụng (application exploitation) ví dụ như các loại macro
virus, khai thác các phần mềm gửi thư điện tử (e-mail exploitation), …
1.2.3 Những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật hiện nay
Dưới dây là một số những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật (ATBM)
được tổng hợp theo nguồn trích dẫn [3].

19


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×