Tải bản đầy đủ (.doc) (42 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Một số giải pháp bảo mật cho website của công ty TNHH Việt Bis

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (654.28 KB, 42 trang )

LỜI CẢM ƠN

Em rất vinh dự và tự hào khi mình là một sinh viên khoa Hệ thống thông tin kinh
tế, trường Đại học Thương Mại. Tại đây, em được học tập, rèn luyện và hoạt động
trong môi trường năng động, một môi trường giáo dục tiên tiến.
Em xin cám ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế đã tận tình
dạy bảo, giúp đỡ và truyền đạt cho em khối kiến thức nền tảng cùng những kinh
nghiệm sống, tư tưởng, tư duy làm hành trang cho em bước vào đời.
Và đặc biệt, em xin chân thành cám ơn ThS. Nguyễn Thị Hội - người đã tận tình
hướng dẫn, chỉ bảo để em có thể hoàn thành tốt bài khóa luận tốt nghiệp với đề tài:
“Một số giải pháp bảo mật cho website của công ty TNHH Việt Bis”.
Em cũng xin chân thành cảm ơn Ban Giám đốc và toàn thể cán bộ, nhân viên của
Công ty TNHH Việt Bis đã cung cấp số liệu, những kinh nghiệm thực tế và tạo điều
kiện thuận lợi cho em trong suốt quá trình thực tập để em có thể hoàn thành tốt bài
khóa luận này.
Em xin chân thành cảm ơn!

i


MỤC LỤC
Hình 3.1: Tường lửa cho hệ thống mạng...................................................................................................iii
PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU........................................................................................1
1.3. Mục tiêu nghiên cứu đề tài..................................................................................................................3
1.4. Đối tượng và phạm vi nghiên cứu đề tài.............................................................................................4
1.4.1. Đối tượng nghiên cứu đề tài.............................................................................................................4
1.4.2. Phạm vi nghiên cứu đề tài................................................................................................................4
1.5.1. Phương pháp thu thập dữ liệu.........................................................................................................4
1.5.2. Phương pháp nghiên cứu.................................................................................................................5
1.6. Kết cấu của bài khóa luận....................................................................................................................5
2.1.2.2. Các nguy cơ tấn công vào website...............................................................................................10


Hình 3.1: Tường lửa cho hệ thống mạng..................................................................................................23

ii


DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Sơ đồ 2.1: Cơ cấu tổ chức công ty TNHH Việt Bis
Hình 2.1. Trang website của Công ty TNHH Việt Bis
Bảng 2.1: Báo cáo kết quả kinh doanh của công ty TNHH Việt Bis
Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty
Biểu đồ 2.1: Mức độ ứng dụng mô hình HTTT
Biểu đồ 2.2: Tỷ lệ nhân viên có sử dụng máy tính trong quá trình làm việc
Biểu đồ 2.3: Mức độ an toàn bảo mật thông tin
Biểu đồ 2.4: Mức độ ứng dụng TMĐT
Biểu đồ 2.5: Tình hình bảo mật website của công ty
Hình 3.1: Tường lửa cho hệ thống mạng

\

iii


DANH MỤC TỪ VIẾT TẮT
Từ viết tắt
AES
ATBM
ATTT
CNTT
CSDL
EFS

HTTT
LAN
NXB
SQL
SSL
TMĐT

Diễn giải
Advanced Encryption Standard

Encrypting File System
Local Area Network
Structured Query Language
Secure Socket Layer

iv

Nghĩa tiếng Việt
Chuẩn mã hóa nâng cao
An toàn bảo mật
An toàn thông tin
Công nghệ thông tin
Cơ sở dữ liệu
Mã hóa file hệ thống
Hệ thống thông tin
Mạng cục bộ
Nhà xuất bản
Ngôn ngữ truy vấn cấu trúc.
Giao thức truyền thông
Thương mại điện tử



PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU
1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
1.1.1 Tầm quan trọng của vấn đề nghiên cứu
Website là thương hiệu của một doanh nghiệp, là nơi khách hàng có thể tìm thấy
các thông tin về công ty. Nói cách khác, website chính là bộ mặt của doanh nghiệp trên
Internet, nhằm nâng tầm thương hiệu, tăng độ uy tín của doanh nghiệp, thu hút các
khách hàng tiềm năng và là một kênh quan trọng để doanh nghiệp tiếp thị sản phẩm
của mình tới mọi nơi trên thế giới.
Tuy nhiên, nếu thông tin trên website không được bảo mật an toàn, khách hàng
sẽ thấy thiếu sự tin tưởng đối với doanh nghiệp. Các thông tin trong các website
thường sẽ phải đối mặt với những nguy cơ mất an toàn như: bị truy cập bất hợp pháp,
sao chép,... Nguy hiểm hơn là khi các thông tin trong website bị thay đổi nội dung
trước khi được chuyển đến cho người nhận.
Đối với các tài liệu có các thông tin bí mật, nhạy cảm liên quan đến chiến lược
kinh doanh, các số liệu thông tin về nhân sự, tổ chức… khi trao đổi trong hệ thống mà
không có một biện pháp nào để bảo vệ thì nguy cơ bị mất an toàn và bảo mật là vô
cùng lớn và như vậy hậu quả của việc mất an toàn và bảo mật dữ liệu là không thể
lường được. Chính vì vậy, bảo đảm được an toàn và bảo mật website là vấn đề rất quan
trọng đối với mỗi doanh nghiệp hiện nay. Nó sẽ quyết định đến sự phát triển và bền
vững của công ty trong nền kinh tế thị trường ngày nay.
1.1.2. Ý nghĩa của vấn đề nghiên cứu
1.1.2.1. Ý nghĩa về mặt nghiên cứu
Cùng với sự phát triển mạnh mẽ của CNTT thì vấn đề ATBM website lại càng cần
được quan tâm nhiều hơn trong mỗi doanh nghiệp. Mức độ gặp rủi ro và mất an toàn cho
dữ liệu càng cao và nghiêm trọng. Vì vậy, việc đảm bảo ATBM website có ý nghĩa rất quan
trọng đối với sự phát triển bền vững cũng như uy tín của doanh nghiệp. Rủi ro về thông tin
có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động sản xuất kinh
doanh của doanh nghiệp, ảnh hưởng lớn đến uy tín và danh dự của doanh nghiệp.

1.1.2.2. Ý nghĩa về mặt thực tiễn
Công ty TNHH Việt Bis là một công ty chuyên về lĩnh vực bán hàng, cho thuê
thiết bị văn phòng. Do đó, việc đảm bảo ATBM thông tin là rất cần thiết. Mặc dù ban
lãnh đạo công ty đã quan tâm đến vấn đề ATBM thông tin nhưng tình trạng hệ thống
thông tin bị tấn công vẫn xảy ra.
1


Hiện nay, việc áp dụng một số giải pháp đảm bảo an toàn và bảo mật thông tin
cho HTTT đang được công ty chú trọng và triển khai. Vì vậy, đề tài “Một số giải pháp
bảo mật cho website của công ty TNHH Việt Bis” là rất cần thiết cho hoạt động của
công ty.
1.2 Tổng quan về tài liệu liên quan đến nội dung đề tài
Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng có
những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về
an toàn và bảo mật thông tin được ra đời như:
Tài liệu 1: ISO/IEC 27001:2013
Bộ kinh nghiệm để tổ chức đảm bảo an toàn an ninh thông tin cho sản phẩm và
doanh nghiệp. ISO 27001 đã tạo ra một hệ thống theo dõi và duy trì như tính bảo mật
thông tin, tính sẵn có của thông tin, tính chính xác của công ty. Tài liệu này cũng nêu
ra các hình thức tấn công website. Em sẽ dùng tài liệu này vào Phần 2.1: Cơ sở lý
luận của đề tài.
Tài liệu 2: Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại
điện tử, NXB Thống kê.
Giáo trình này đưa ra những kiến thức cơ bản liên quan đến an toàn dữ liệu trong
thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong
TMĐT và các nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT. Ngoài ra,
trong giáo trình này cũng đề cập đến một số thông tin về các nguy cơ tấn công và
phương pháp đảm bảo an toàn cho hệ thống thông tin doanh nghiệp. Tài liệu giới thiệu
một số ứng dụng của công nghệ trong đảm bảo an toàn, bảo mật thông tin và các biện

pháp khắc phục hậu quả phổ biến hiện nay. Qua tài liệu này giúp em có cơ sở để đưa ra
các lý thuyết về khái niệm an toàn thông tin.
Tài liệu 3: Nguyễn Tuấn Anh (2006), Khoa CNTT, Luận văn thạc sĩ với đề tài
“Bảo mật và an toàn thông tin trong thương mại điện tử, đại học Bách Khoa”
Luận văn đưa ra khái niệm, mục tiêu, yêu cầu an toàn thông tin cũng như các
nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công. Đề tài cũng đề cập đến
các kỹ thuật chính của lĩnh vực bảo mật và an toàn thông tin trong thương mại điện tử.
Luận văn này cũng đã đưa ra một số vấn đề mật mã và an ninh mạng, khám phá
những vấn đề cơ bản của công nghệ và an ninh mạng. Em dùng tài liệu này trong
Phần 2.1: Cơ sở lý luận của đề tài và Phần 3: Giải pháp, định hướng phát triển và đề
xuất giải pháp nâng cao hiệu quả an toàn bảo mật website tại công ty TNHH Việt Bis.
2


Tài liệu 4: William Stallings(2005), Cryptography and network security
principles and pratices, Fourth Edition, Prentice Hall
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn
đề cơ bản của công nghệ mật mã và an ninh mạng. Tiến hành kiểm tra an ninh mạng
thông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày
nay. Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép
người đọc dễ dàng nắm bắt các yếu tố cần thiết của AES. Các tính năng, thuật toán,
hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực,
mã hóa chứng thực. Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần
mềm độc hài và những kẻ xâm hại. Em dùng tài liệu này trong Phần 3: Giải pháp,
định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật
website tại công ty TNHH Việt Bis.
Tài liệu 5: Man Young Rhee (2003), Internet Security: Crytographic principles,
algorithms and protocols. John Wiley & Sons
Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,
nguyên tắc, các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc

phục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác
thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh
Internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau
đó truy cập vào mạng. Các tài liệu trong cuốn sách này trình bày lý thuyết và thực
hành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất
lượng. Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các
kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet. Phần
3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn
bảo mật website tại công ty TNHH Việt Bis.
1.3. Mục tiêu nghiên cứu đề tài
Mục tiêu nghiên cứu đề tài này:
Đưa ra cơ sở lý luận về an toàn và bảo mật hệ thống thông tin. Tìm hiểu vai trò
của việc đảm bảo an toàn website cho doanh nghiệp.
Tìm hiểu, phân tích và đánh giá thực trạng vấn đề an toàn bảo mật website của
doanh nghiệp.
Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề
xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mật
3


website có thể áp dụng với doanh nghiệp như an toàn lưu trữ thông tin, CSDL, an toàn
bảo mật đường truyền,...
1.4. Đối tượng và phạm vi nghiên cứu đề tài
1.4.1. Đối tượng nghiên cứu đề tài
Đối tượng mà bài nghiên cứu hướng tới đó là vấn đề an toàn bảo mật website tại
công ty TNHH Việt Bis, các giải pháp công nghệ và giải pháp con người để đảm bảo
an toàn và bảo mật website của doanh nghiệp.
Nghiên cứu các bài báo, sách, giáo trình, website,…về vấn đề an toàn bảo mật
website. Các chính sách phát triển đảm bảo an toàn bảo mật website trong công ty. Các
giải pháp ATBM trên thế giới áp dụng được cho website của doanh nghiệp.

1.4.2. Phạm vi nghiên cứu đề tài
Bài nghiên cứu sẽ tập trung trong phạm vi:
Về không gian: đề tài tập trung nghiên cứu tình hình an toàn bảo mật webite tại
công ty TNHH Việt Bis nhằm đưa ra một số giải pháp nâng cao an toàn bảo mật
website.
Về thời gian: Thời gian làm khóa luận trong 9 tuần, từ ngày 22/02/2017 đến
25/04/2017.
1.5. Phương pháp thực hiện đề tài
1.5.1. Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên
quan đến đề tài nghiên cứu qua internet và các bài báo. Phân tích, tổng hợp các tài liệu
có liên quan đến đề tài.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết
kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết
nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi.
Phương pháp xử lý dữ liệu: Phương pháp so sánh đối chiếu: Đối chiếu giữa lý
luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập. Phương
pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office excel, vẽ biểu
đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên trong công ty
bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2013 – 2014, từ phiếu
điều tra và tài liệu thống kê khác phương pháp phán đoán dùng để đưa ra các dự báo,

4


phán đoán: Tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng như
đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu.
1.5.2. Phương pháp nghiên cứu
Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng vì vậy
trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông tin sau:

Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social
Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê
trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản
để thực hiện hầu hết các công việc thống kê phân tích số liệu. Người dùng có thể dễ
dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị.
Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có thể
thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõ
các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp
thành nguyên nhân của vấn đề được phát hiện. Thường sử dụng để đưa ra các bảng số
liệu thống kê, các biểu đồ thống kê, đồ thị.
1.6. Kết cấu của bài khóa luận
Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu
tham khảo và phụ lục thì khóa luận gồm 3 phần:
Phần 1: Tổng quan về đề tài nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng vấn đề an toàn và bảo mật website của
Công ty TNHH Việt Bis
Phần 3: Giải pháp, định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả
an toàn bảo mật website tại công ty TNHH Việt Bis

PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO
MẬT WEBSITE CỦA CÔNG TY TNHH VIỆT BIS
5


2.1. Cơ sở lý luận của đề tài
2.1.1. Một số khái niệm cơ bản về an toàn và bảo mật website
* Khái niệm bảo mật website
Ngày nay, thuật ngữ website được sử dụng rất phổ thông, người người, nhà nhà
đều có thể truy cập một website ở bất kì đâu có kết nối internet hoặc có kết nối sóng di

động. Với các doanh nghiệp, cá nhân thường xuyên tương tác với cộng đồng online thì
website là công cụ tốt nhất và duy nhất giúp họ quảng bá hình ảnh, sản phẩm, thông
tin,.. của mình. Và từ đó các dịch vụ thiết kế web chuyên nghiệp ra đời nhằm đáp ứng
điều đó.
Website được hiểu là trang thông tin điện tử. Tại đó, website được lưu trữ bởi
nhiều page (trang) khác nhau, chuyển hóa linh động dựa trên liên kết. Mỗi Page
(trang) của website chứa một thông tin, nội dung khác nhau nhằm mục đích đáp ứng
nhu cầu tìm đọc tin tức, sản phẩm của người dùng.
Bảo mật website là bảo vệ an toàn những thông tin trước những "tay" chuyên
rình mò thông tin của người khác. Bảo mật website bao gồm bảo mật thông tin, bảo
mật cơ sở dữ liệu và đường truyền.
* Khái niệm về dữ liệu
Trong lịch sử tồn tại và phát triển, con người thường xuyên cần đến thông tin và
khái niệm “thông tin” đang trở thành khái niệm cơ bản. Với sự bùng nổ thông tin như
hiện nay, thông tin ngày càng trở thành nhu cầu cần thiết đối với con người. Để đưa ra
được khái niệm thông tin, trước hết ta cần hiểu như thế nào là dữ liệu?
Dữ liệu là những con số, kí tự hay hình ảnh phản ánh sự vậy, hiện tượng trong
thế giới khách quan. Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng.
Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích,
tổng hợp,…), phù hợp với mục đích người sử dụng.
Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhận được
liên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”
Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nối
quan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”

6


*Khái niệm về Cơ sở dữ liệu
Cơ sở dữ liệu (viết tắt là CSDL) được hiểu theo cách định nghĩa kĩ thuật là một

tập hợp thông tin có cấu trúc. Thuật ngữ này thường dùng trong công nghệ thông tin
và nó được hiểu rõ hơn dưới dạng một tập hợp liên kết các dữ liệu. Dữ liệu này được
duy trì dưới dạng một tập hợp các tập tin trong hệ điều hành hay lưu trữ trong các hệ
quản trị cơ sở dữ liệu.
*Khái niệm về Hệ thống thông tin
Hệ thống thông tin là hệ thống bao gồm các yếu tố có quan hệ với nhau, chúng
cùng làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và cung
cấp một cơ chế phản hồi để đạt được mục tiêu định trước.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh. Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
*Khái niệm về an toàn và bảo mật thông tin
An toàn thông tin: Một hệ thống thông tin được coi là an toàn khi thông tin
không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không
được phép.
Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây
thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.
Bảo mật thông tin: Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng,
chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một
cách trái phép; là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin. Bí
mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền
tương ứng. Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin
chỉ được thay đổi bởi những người được cấp quyền. Tính sẵn sàng của thông tin là
những người được quyền sử dụng có thể truy xuất thông tin khi họ cần.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm
bảo theo đúng các tiêu chí trong một thời gian xác định.


7


*Khái niệm đường truyền
Đường truyền: Là hệ thống các thiết bị truyền dẫn có dây hay không dây, dùng
để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Tất cả các tín hiệu
được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy theo tần số của
sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu. Các
đường truyền dữ liệu tạo nên cấu trúc của mạng.
2.1.2. Đảm bảo an toàn và bảo mật thông tin trong website
Đối với mỗi doanh nghiệp, thông tin của website có thể coi là tài sản vô giá. Xây
dựng một hệ thống thông tin an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn và tác động không nhỏ đến việc giảm thiểu chi phí quản lý, hoạt động
của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội
nhập một môi trường thông tin lành mạnh.
Do vậy, đảm bảo ATBM thông tin website cũng có thể coi là một hoạt động quan
trọng trong sự nghiệp phát triển của doanh nghiệp. An toàn thông tin bao gồm các nội
dung sau:
- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền
mới được phép truy câp vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông
tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu,
việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho
thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn
đến phá sản.
- Tính toàn vẹn (Integrity): Có nghĩa là dữ liệu không bị tạo ra, sửa đổi hoặc xóa
bởi những người không sở hữu. Tính toàn vẹn đề cập đến khả năng đảm bảo cho các
thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phép
trong quá trình truyền thông. Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người
được phép thay đổi dữ liệu và ai là người không được phép thay đổi dữ liệu. Dữ liệu
trên thực tế có thể vi phạm tính toàn vẹn khi một hệ thống không đạt được độ an toàn

cần thiết.
- Tính tin cậy (Confidentiality): Yêu cầu về tính tin cậy liên quan đến khả năng
đảm bảo rằng, ngoài những người có quyền, không ai có thể xem được các thông điệp
và truy cập những dữ liệu có giá trị. Mặt khác, nó phải đảm bảo rằng thông tin mà

8


người dùng nhận được là đúng với sự mong muốn của họ, chưa hề bị mất mát hay bị
lọt vào tay những người dùng không được phép.
2.1.2.1. Các hình thức tấn công website
Để đảm bảo an toàn thông tin và an toàn dữ liệu trên đường truyền tin và trên
website thì trước tiên phải lường trước và dự đoán trước các khả năng không an toàn,
khả năng xâm phạm, sự cố rủi ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ
và trao đổi trên đường truyền tin.
Có hai hình thức tấn công thông tin dữ liệu là tấn công thụ động và tấn công chủ
động. Đây là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép.
Tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà
không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công thụ
động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ
động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn
công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện
bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất
thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và
cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn
công này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin
có tên dễ đoán trên đĩa cứng. Tấn công trực tuyến không có mục tiêu cụ thể. Kẻ tấn

công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống
lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản. Hình thức phổ
biến nhất của tấn công trực tuyến là phishing. Phishing là một loại tấn công phi kỹ
thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng
tránh duy nhất là ý thức của người dùng.
Tấn công chủ động là hình thức tấn công lợi dụng những lỗ hổng làm lệch đường
đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ
liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ
phát hiện được.

9


Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợi
dụng các lỗ hổng trong việc kiểm tra dữ liệu đầu vào của website. Với mục đích nhằm lấy
cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng. Một thực tế là
không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối. Một hệ
thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối.
2.1.2.2. Các nguy cơ tấn công vào website
Các lỗi bảo mật website là nguyên nhân chủ yếu gây ra các lỗi đối với website
đang vận hành. Sau khi xác định các lỗi này, tin tặc sẽ sử dụng các kỹ thuật khác nhau
để tiến hành khai thác hệ thống đích. Một số kỹ thuật thường được sử dụng: Buffer
Overflows, SQL Injection, and Cross-site Scripting…Việc phân loại các nguy cơ tấn
công thành các nhóm khác nhau sẽ giúp cho người quản trị dễ dàng xác định các nguy
cơ cũng như biện pháp đối phó hơn.
Tấn công Bruteforce
Bruteforce là cách thức thử tất cả các khả năng có thể có để đoán các thông tin cá
nhân đăng nhập: tài khoản, mật khẩu, số thẻ tín dụng…Nhiều hệ thống cho phép sử

dụng mật khẩu hoặc thuật toán mã hóa yếu sẽ tạo điều kiện cho tin tặc sử dụng phương
pháp tấn công này để đoán tài khoản và mật khẩu đăng nhập. Sau đó sử dụng các
thông tin này để đăng nhập truy cập vào tài nguyên hệ thống.
Lỗi chứng thực yếu (Insufficient Authentication)
Lỗi chứng thực yếu xuất hiện khi một website cho phép truy cập các nội dung, tài
nguyên nhạy cảm mà không có đủ quyền. Các trang quản trị là một ví dụ dễ thấy nhất.
Nếu không có cơ chế phân quyền hợp lý thư mục cũng như tài khoản đăng nhập trang
quản trị này. Tin tặc hoàn toàn có khả năng vượt qua được cơ chế đăng nhập để chiếm
quyền điều khiển website này.
Dự đoán, chèn phiên (Credentical/Session Prediction)
Dự đoán, chèn phiên là một phương thức chiếm phiên (hijacking). Thông thường,
khi một tài khoản thực hiện quá trình chứng thực đối với server (tài khoản/mật khẩu).
Dựa vào các thông tin này, server sẽ tạo một giá trị session ID duy nhất để cho phép và
10


duy trì kết nối. Nếu đoán được session ID kế tiếp thì tin tặc có khả năng chiếm phiên
đăng nhập của người dùng hợp lệ khác.
XSS – Cross-Site Scripting
XSS là một trong những kĩ thuật tấn công website phổ biến nhất hiện nay, đồng
thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển
web và cả những người sử dụng web. Bất kì một website nào cho phép người sử dụng
đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có
thể tiềm ẩn các lỗi XSS.
Tin tặc tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP …)
những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những
người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được
viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả
các thẻ HTML
SQL injection

Tấn công SQL Injection được thực thi bằng cách chèn các câu truy vấn SQL vào
dữ liệu tương tác giữa máy khách và trình ứng dụng. Quá trình khai thác lỗi SQL
Injection thành công có thể giúp tin tặc lấy được các dữ liệu nhạy cảm trong cở sở dữ
liệu, thay đổi cơ sở dữ liệu (Insert/Update/Delete), thực thi các hành động với quyền
của người quản trị và cao hơn có thể điều khiển được hệ điều hành máy chủ
Liệt kê thư mục (Directory indexing)
Đây là chức năng web server cho phép liệt kê tất cả nội dung bên trong một thư
mục mà không có tập tin cơ sở (index.html/home.html/ default.html). Trong các thư
mục đó có thể chứa nội dung quan trọng: tập tin cơ sở dữ liệu dự phòng, tập tin cấu
hình, tập tin lưu trữ tạm thời, các kịch bản…
Từ chối dịch vụ (DoS)
DoS là kỹ thuật tấn công nhằm không cho phép các truy cập hợp lệ truy cập tới
server. Kỹ thuật tấn công này thường xảy ra tại lớp mạng và lớp ứng dụng.

11


2.2. Thực trạng về an toàn bảo mật tại Công ty TNHH Việt Bis
2.2.1. Giới thiệu chung về Công ty TNHH Việt Bis
Tên công ty: Công ty TNHH Việt Bis
Ngành nghề kinh doanh: Cung cấp, cho thuê thiết bị máy văn phòng
Trụ sở công ty: Số 22 ngõ 521/37 Trương Định - Tân Mai - Hoàng Mai – Hà Nội
Điện thoại: (04) 3538 0308
Fax: (04) 3538 0309
Website: vietbis.vn
Công ty TNHH Việt Tâm được thành lập ngày 18 tháng 6 năm 2012. Sau hợp
nhất với bộ phận phận kinh doanh thương mại (BU COM) thuộc công ty CP Đầu tư
Thương mại và Dịch vụ B.I.S (thành lập tháng 9 năm 2010) và lấy tên "Công ty
TNHH Việt Bis".
Việt Bis đã, đang và sẽ phấn đấu để trở thành công ty dẫn đầu về công ty dẫn đầu

về cung cấp máy in, mực in, máy văn phòng với nền tảng cốt lõi là dịch vụ.
Việt Bis luôn luôn thay đổi cách thức thực hiện dịch vụ để mang đến khách hàng
sản phẩm có giá trị sử dụng phù hợp, kinh tế nhất. Đồng thời, nâng cao thu nhập cho
nhân viên với môi trường làm việc cạnh tranh và sáng tạo.
*Sơ đồ bộ máy tổ chức trong công ty:
Hội đồng
quản trị

Ban lãnh
đạo công ty

Phòng Tài
chính – Kế
toán

Phòng Hành
chính –
Nhân sự

Phòng
Kinh doanh

Phòng Quản
lý sản xuất

Phòng kỹ
thuật

Sơ đồ 2.1: Cơ cấu tổ chức công ty TNHH Việt Bis
(Nguồn: Phòng Hành chính – Nhân sự)

12


Chức năng của từng phòng ban:
Hội đồng quản trị là cơ quan quản lý cao nhất của công ty TNHH Việt Bis. Đảm
bảo hoạt động đúng nguyên tắc, chịu trách nhiệm trong việc điều hành công ty và sự
nhất quán trong việc duy trì tiêu chí thích hợp trong tổ chức, quản lý. Ban lãnh đạo
công ty chịu trách nhiệm đưa ra các chiến lược cho toàn công ty về kế hoạch đầu tư,
kinh doanh và xây dựng thương hiệu cho công ty trong thời gian ngắn hạn và tầm nhìn
dài hạn.
Phòng Tài chính – Kế toán làm nhiệm vụ tổ chức hạch toán, kế toán, quy định
quản lý nguồn vốn, quản lý việc sử dụng và luân chuyển các loại vốn trong hoạt động
kinh doanh, đầu tư. Phòng Hành chính – Nhân sự thực hiện tham mưu cho Hội đồng
quản trị và Giám đốc công ty về vấn đề tổ chức bộ máy, quản trị nhân sự, quản trị văn
phòng, an toàn và vệ sinh môi trường.
Phòng Quản lý sản xuất sẽ quản lý kế hoạch, kỹ thuật sản xuất, sử dụng máy
móc, thiết bị trong hoạt động sản xuất kinh doanh, chịu trách nhiệm tổ chức kế hoạch
sản xuất công ty giao. Phòng kỹ thuật tiến hành kiểm tra, sửa chữa các thiết bị máy
văn phòng.
*Lĩnh vực kinh doanh của công ty:
- Cung cấp thiết bị máy văn phòng
- Cung cấp mực in, linh kiện tiêu hao cho thiết bị máy văn phòng
- Cung cấp dịch vụ cho thuê máy in, máy văn phòng
- Cung cấp dịch vụ chăm sóc máy in trọn gói
*Website của công ty:

Hình 2.1. Trang website của Công ty TNHH Việt Bis
(Nguồn: />
13



Công ty hiện đã có website để cung cấp, giới thiệu các sản phẩm của công ty.
Website của công ty là nơi quảng bá, giới thiệu sản phẩm tới khách hàng. Là diễn đàn
để các khách hàng, đối tác và những người quan tâm có thể tham gia đóng góp, trao
đổi ý kiến về sản phẩm của công ty và vấn đề có liên quan.
Website của công ty cũng chính là địa chỉ liên lạc giúp khách hàng, đối tác tiếp
cận sản phẩm một cách dễ dàng thông qua email hoặc chat trực tiếp với nhân viên kinh
doanh và bộ phận CSKH của công ty trên website
2.2.2. Thực trạng chung về doanh nghiệp
2.2.2.1. Thực trạng về tình hình tài chính của công ty
Trải qua nhiều giai đoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở
mức khá cao. Dưới đây là bảng đánh giá tình hình tài chính kinh doanh của công ty 3
năm gần nhất: 2014, 2015, 2016.
Bảng 2.1: Báo cáo kết quả kinh doanh của công ty TNHH Việt Bis
Đơn vị tính: triệu đồng
Nội dung

Năm
Tăng/giảm (%)
2014
2015
2016 2015/2014 2016/2015
Tổng doanh thu
9000
12200 16500
35,56
35,24
Chi phí
7400
9600 12800

29,73
33,34
Lợi nhuận trước thuế
1600
2600
3700
62,5
42,3
Nộp ngân sách
680
1120
1550
64,7
38,39
Lợi nhận sau thuế
920
1480
2150
60,86
45,27
(Nguồn: Báo cáo tài chính công ty giai đoạn 2014-2016)
Nhận xét:
Thông qua báo cáo kết quả kinh doanh của công ty giai đoạn 2014 – 2016, ta
thấy tình hình hoạt động kinh doanh của công ty có sự chuyển biến khá mạnh. Từ
2014 – 2016, doanh thu đã có sự tiến bộ đáng kể và lợi nhuận cũng được tăng lên
mạnh mẽ.
Nguyên nhân là do năm 2014, công ty tập trung đầu tư nâng cao trang thiết bị,
máy móc. Cùng với đó, công ty áp dụng thêm nhiều hình thức quảng cáo hình ảnh, sản
phẩm dịch vụ văn phòng nên tới năm 2015, 2016, doanh thu và lợi nhận của công ty
tăng lên nhanh chóng so với các năm trước.

Có được những thành quả như vậy là nhờ sự nỗ lực của ban lãnh đạo, sự đồng
tâm nhất trí phấn đấu của cán bộ công nhân viên. Hơn nữa, trên đà phát triển công
nghiệp hóa – hiện đại hóa là lợi thế cho công ty TNHH Việt Bis tiếp tục đầu tư và phát
triển công ty trong lĩnh vực này để tạo nên những bước đột phá mới.
14


2.2.2.2. Thực trạng về trang thiết bị cho công nghệ thông tin, hệ thống thông tin
tại công ty
*Các loại phần cứng trong công ty
Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty
STT Tên

Số lượng

1

Máy chủ
(Server)

1

2

Máy trạm
(Client)

20

3


Máy in

2

4

Switch

5

5

Router

1

6

Firewall

1

Mục đích sử dụng
Dùng quản lý tất cả các
máy client, user của các
phòng ban có trong
công ty,

Năm

Ghi chú
Từ năm Chạy hệ điều hành
2010
Windows 7 được cài
đặt hệ điều hành hệ
quản trị CSDL SQL
Server 2008. Ngoài ra,
trên server này còn
được sử dụng làm file
server.
Phục vụ cho các cán bộ Từ năm Tất cả các máy client
nhân viên trong từng bộ 2010
đều được chạy trên hệ
phận công việc khác
điều hành windows 7.
nhau.
Trên đó cài đặt các
ứng dụng văn phòng
và những ứng dụng
phục vụ cho nhu cầu
của mỗi phòng ban.
Phục vụ cho hoạt động Từ năm Các máy in canon NPin ấn các tờ quảng cáo
2010
3020,
Phục vụ việc in ấn các
FT-5632 được chia sẻ
tài liệu, hồ sơ, báo cáo
trên mạng phục vụ
của công ty.
việc in ấn cho các

phòng ban trong công
ty.
Dùng để nối các máy
Từ năm Hiệu Dlink
tính trong công ty.
2010
Dùng cho các máy trong Từ năm Router ADSL VNPT
hệ thống mạng kết nối 2010
ra được internet.
Dùng để ngăn chặn các Từ năm Phần mềm Comodo
đối tượng truy cập trái 2010
Free Firewall
phép, giúp hệ thống an
toàn và bảo mật thông
tin.
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)

*Các phần mềm ứng dụng và công cụ hỗ trợ
Qua quá trình tìm hiểu thông tin thì công ty hiện nay đang sử dụng các phần
mềm sau:
•Phần mềm hệ thống: Toàn công ty đang sử dụng hệ điều hành Window win 7.
•Phần mềm bảo mật:
15


Công ty có trang bị hệ thống tường lửa (cả về phần cứng và phần mềm) để tránh
những sự tấn công, truy nhập trái phép nhằm mục đích xấu từ bên ngoài. Bên cạnh đó
công ty cũng có những quy trình và chính sách bảo mật cụ thể, thường xuyên.
Các phần mềm diệt và phòng chống virus đều được cài đặt và sử dụng trên các
thiết bị máy tính mà công ty trang bị cho nhân viên, cán bộ. Công ty đang sử dụng

phần mềm diệt virus BKAV Pro được cài đặt trên 100 % máy tính của công ty.
Về vấn đề bảo mật cho hệ thống: Đối với hệ thống mạng của công ty giám sát
dung lượng mạng LAN; đối với các phòng ban cài đặt phần mềm diệt vius BKAV Pro,
các cơ sở dữ liệu được lưu trữ qua máy chủ, đặt mật khẩu cho một số dữ liệu quan
trọng hoặc cho các máy tính (máy chủ) chứa nhiều dữ liệu quan trọng.
•Phần mềm chuyên dụng:
Máy tính trong công ty đa số dùng hệ điều hành Window win 7, bên cạnh đó các
phần mềm ứng dụng hỗ trợ văn bản của Window như: Microsoft Word, Excel, Phần
mềm kế toán MISA, Phần mềm quản lý nhân sự Perfect HRM 2012.
2.2.3. Phân tích và đánh giá về an toàn và bảo mật websie của doanh nghiệp
*Thực trạng vấn đề xử lý thông tin trong công ty
Các nguồn thu thập thông tin của doanh nghiệp:
•Điều tra, nghiên cứu thị trường: Phòng kinh doanh của công ty là bộ phận chủ
chốt trong việc điều tra, nghiên cứu thị trường để đưa ra những dự báo và lập kế hoạch
trong thời gian tới.
•Báo, đài, các phương tiện truyền thông, mạng Internet
•Thông tin từ các đối tác - khách hàng, nhà cung ứng: Trước khi thực hiện giao
dịch luôn có sự trao đổi giữa công ty với đối tác, từ đó hình thành nên nguồn thông tin
của công ty.
•Thông tin nội bộ doanh nghiệp - thông tin từ ban giám đốc, các phòng ban: Là
thông tin, báo cáo tình hình hoạt động hàng ngày của công ty, là những chỉ thị từ ban
giám đốc xuống các phòng ban.
•Các nguồn khác: Thông tin truyền miệng, quyết định, chỉ thị của các cơ quan
hành chính…
Tại công ty TNHH Việt Bis việc thu thập, chọn lọc, xử lý, phân loại và lưu trữ
thông tin được thực hiện bởi phòng kinh doanh.

16



Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quan đến hoạt động
của công ty thông qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những thông tin
nhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm thu gọn và giảm số
lượng thông tin cần xử lý.
Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máy
chủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm. Ban giám đốc sẽ đưa ra
quyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ công ty.
Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm vụ của từng
phòng, nhằm phục vụ hoạt động một cách hiệu quả nhất. Do đó, mọi nhân viên trong
công ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếm
thông tin phục vụ cho công việc của mình.
Để thu thập thông tin về tình hình ứng dụng CNTT tại Công ty TNHH Việt Bis,
em đã thực hiện điều tra sơ bộ thông qua mẫu phiếu điều tra được gửi tới các nhân
viên trong công ty. Điều tra được thực hiện với sự đóng góp ý kiến của 10 nhân viên
trong công ty. Kết quả thu được như sau:
(1) Mức độ ứng dụng các mô hình HTTT tự động trong công ty?

Biểu đồ 2.1: Mức độ ứng dụng mô hình HTTT
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)

17


Ở câu hỏi thứ 1: “Mức độ ứng dụng các mô hình HTTT tự động trong công ty”, ý
kiến cho rằng “mức độ ứng dụng mô hình HTTT từ 30-50%” là nhiều nhất (7/10), tiếp
đến là từ 50-80% (2/10) và từ 10-30% (1/10). Như vậy, theo ý kiến của phần đông
nhân viên thì mô hình hệ thống thông tin tự động trong công ty ở mức khá. Tuy nhiên,
có một số hoạt động vẫn thực hiện thủ công như giao dịch với khách hàng,…Việc giao
dịch bằng phương pháp truyền thống vừa khiến tốn kém thời gian, chi phí mà lại dễ bị
lộ và mất mát thông tin.

(2) Tỷ lệ nhân viên có sử dụng máy tính trong quá trình làm việc?

Biểu đồ 2.2: Tỷ lệ nhân viên có sử dụng máy tính trong quá trình làm việc
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)
Ở câu hỏi thứ 2, “Tỷ lệ nhân viên có sử dụng máy tính trong quá trình làm
việc?”, ta thấy mức độ ứng dụng CNTT vào công ty còn thấp. Công ty nên nâng cao
ứng dụng CNTT vào các hoạt động kinh doanh để đạt hiệu quả tốt hơn.
(3) Đánh giá về mức độ an toàn bảo mật thông tin trong công ty?

Biểu đồ 2.3: Mức độ an toàn bảo mật thông tin
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)
Ở câu hỏi thứ 3, “Đánh giá về mức độ an toàn bảo mật thông tin trong công ty?”,
mức độ an toàn bảo mật thông tin trong công ty ở mức trung bình. Hầu hết nhân viên
18


cho biết có sử dụng phần mềm diệt virus và sử dụng các giao thức mạng an toàn. Số
lượng nhân viên sử dụng các phần mềm bảo mật là rất ít, điều này sẽ là một nguy cơ
lớn đối với vấn đề ATTT cho công ty.
(4)

Mức độ ứng dụng thương mại điện tử trong công ty?

Biểu đồ 2.4: Mức độ ứng dụng TMĐT
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)
Ở câu hỏi thứ 4, “mức độ ứng dụng thương mại điện tử trong công ty?”, ta
thấy mức độ ứng dụng TMĐT của doanh nghiệp rất thấp. Công ty cần có kế hoạch
tăng cường ứng dụng TMĐT để quảng bá hình ảnh của công ty và giúp sản phẩm đến
gần hơn với khách hàng.
(5) Tình hình bảo mật website của công ty như thế nào?


Biểu đồ 2.5: Tình hình bảo mật website của công ty
(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)

19


Ở câu hỏi thứ 5, “Tình hình bảo mật website của công ty như thế nào?”, ta thấy
mức độ an toàn website trong công ty ở mức trung bình. Công ty cần có biện pháp
nâng cao độ bảo mật cho website.
*Đánh giá thực trạng an toàn bảo mật website của công ty
 Điểm mạnh
Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trong tình
trạng còn mới, hoạt động tốt và ổn định. Đây sẽ là một sự khởi đầu tốt cho kế hoạch
xây dựng một hệ thống đảm bảo an toàn bảo mật website cho công ty.
Công ty đã sử dụng các phần mềm bảo mật website đơn giản là tường lửa, sử
dụng phần mềm diệt virut và đặt mật khẩu cho những dữ liệu quan trọng nhằm bảo
mật website.
Các phần mềm ứng dụng là phần mềm có bản quyền. Việc mua bản quyền phần
mềm giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theo virus,
mã độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy cơ
ATTT, cập nhật các bản vá lỗi của nhà sản xuất.
Phần lớn nhân viên và ban lãnh đạo công ty đã nhận thức được tầm quan trọng
của an toàn bảo mật website đối với việc hoạt động kinh doanh và sự phát triển của
công ty.
Công ty thành lập với đội ngũ nhân viên trẻ, nhiệt huyết dễ dàng tiếp thu cái mới
nên đào tạo họ sẽ nắm bắt vấn đề rất nhanh chóng.
 Điểm yếu
Qua nghiên cứu, có thể thấy tình trạng an toàn bảo mật website của công ty đang
ở mức trung bình. Bước đầu mới chỉ sử dụng những phần mềm bảo mật website đơn

giản như tường lửa, sử dụng phần mềm diệt virut,… nhưng chưa hiệu quả.
Công ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT (các thiết bị, phần mềm
bảo mật) cũng là nền tảng quan trọng cho vấn đề an ninh thông tin.
Kiến thức về an toàn bảo mật website của nhân viên trong công ty chưa cao, dẫn
đến nhiều nguy cơ mất an toàn website của doanh nghiệp.
Các hình thức bảo đảm an toàn và bảo mật thông tin, dữ liệu trong công ty còn
quá sơ sài, chưa đủ để đảm bảo mục tiêu an toàn bảo mật của hệ thống.
Hình thức giao dịch chủ yếu của công ty vẫn là giao dịch truyền thống. Hình thức
này vừa tốn kém về thời gian, chi phí vừa khó đảm bảo được an toàn thông tin cho cả
công ty và đối tác.

20


Thực trạng về vấn đề an ninh thông tin tại công ty TNHH Việt Bis như đã phân
tích, đánh giá ở trên cho thấy việc an toàn bảo mật website là một vấn đề cần thiết cho
hoạt động của công ty.

21


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×