Tải bản đầy đủ (.doc) (55 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Phân tích thiết kế hệ thống thông tin quản lý nhân sự tại Công ty Cổ phần Vật tư Thiết bị Xây dựng Việt Nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (595.29 KB, 55 trang )

i
LỜI CẢM ƠN
Trải qua bốn năm ngồi trên ghế giảng đường đại học để tiếp thu những kiến
thức cùng những kinh nghiệm quý báu mà thầy cô truyền đạt. Thời điểm này chính
là thời điểm quan trọng nhất cho quá trình bốn năm đại học của mỗi sinh viên, việc
nghiên cứu khóa luận tốt nghiệp là vô cùng quan trọng với mỗi sinh viên, là cơ hội
để sinh viên học cách làm việc, nghiên cứu chuyên nghiệp.
Và để hoàn thành khóa luận tốt nghiệp này, em xin bày tỏ lòng cảm ơn sâu sắc
đến Ths.Nguyễn Thị Hội. Trong thời gian làm khóa luận, cô đã tận tình hướng dẫn,
dạy bảo em, dưới sự chỉ dạy của cô cùng với cách làm việc nghiêm túc em đã có thể
hoàn thành kháo luận tốt nghiệp này. Trong quá trình được làm việc với cô em
không chỉ được hướng dẫn cách nghiên cứu khóa luận, bên cạnh đó em còn học hỏi
được ở cô cách làm việc nghiêm túc và tỉ mỉ.
Em xin cảm ơn các thầy cô khoa Hệ thống thông tin kinh tế trong suốt bốn
năm qua đã truyền đạt cho em kiến thức để bây giờ em có thể tự mình hoàn thành
được đề tài nghiên cứu.
Em cũng xin gửi lời cảm ơn chân thành đến toàn thể Công ty Cổ phần phần
mềm BRAVO đã tạo điều kiện cho em nghiên cứu, thực tập, tìm hiểu hệ thống
thông tin cũng như vấn đề bảo mật cơ sở dữ liệu của công ty. Nhiệt tình giúp đỡ em
thực hiện các điều tra tại công ty để em có thể nghiên cứu đề tài một cách khách
quan và chính xác nhất.
Cuối cùng, em xin gửi tới quý thầy cô lời cảm ơn sâu sắc và lời chúc sức khỏe,
chúc thầy cô có thật nhiều sức khỏe để tiếp tục cống hiến và giúp đỡ các thế hệ sinh
viên tiếp theo.
Em xin chân thành cảm ơn!
Sinh viên
LÝ THỊ ĐIỀN


ii
MỤC LỤC


LỜI CẢM ƠN...........................................................................................................i
MỤC LỤC................................................................................................................ ii
DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ....................................................iv
DANH MỤC TỪ VIẾT TẮT..................................................................................v
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN TRONG
CSDL........................................................................................................................ 1
1.1. Tầm quan trọng và ý nghĩa vấn đề nghiên cứu..............................................1
1.2. Tổng quan về vấn đề nghiên cứu.....................................................................2
1.2.1. Tình hình trong nước...............................................................................2
1.2.2 Tình hình ngoài nước................................................................................3
1.3. Mục tiêu nghiên cứu của đề tài........................................................................3
1.3.1 Mục tiêu chung..........................................................................................3
1.3.2 Mục tiêu cụ thể..........................................................................................3
1.4. Đối tượng và phạm vi nghiên cứu của đề tài..................................................3
1.4.1. Đối tượng nghiên cứu..............................................................................3
1.4.2. Phạm vi nghiên cứu..................................................................................4
1.5 Các phương án áp dụng thực hiện đề tài.........................................................4
1.5.1 Phương pháp thu thập dữ liệu.................................................................4
1.5.2 Phương pháp xử lý dữ liệu........................................................................4
1.5.3. Công cụ sử dụng thực hiện đề tài............................................................4
1.6. Kết cấu của khóa luận......................................................................................4
CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG BẢO MẬT CSDL CỦA
CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO........................................................6
2.1 Cơ sở lý luận......................................................................................................6
2.1.1 Một số khái niệm cơ bản...........................................................................6
2.1.2.Khái niệm về an toàn thông tin dữ liệu và nguy cơ
mất an toàn thông tin...........................................................................7
2.1.3 Mục tiêu và các yêu cầu của an toàn dữ liệu.........................................10
2.1.4. Quy trình đảm bảo an toàn dữ liệu........................................................12



iii
2.1.5. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ đảm
bảo an toàn CSDL............................................................................................13
2.2. Phân tích, đánh giá thực trạng bảo mật CSDL của công ty cổ phần phần
mềm BRAVO..........................................................................................................17
2.2.1 Tổng quan về công ty cổ phần phần mềm BRAVO................................17
2.2.2 Thực trạng về an toàn bảo mật CSDL của Công ty cổ phần phần mềm
BRAVO.............................................................................................................20
2.2.3 Kết quả xử lý điều tra và phân tích kết quả............................................24
2.2.4. Đánh giá thực trạng an toàn bảo mật CSDL của công ty cổ phần phần
mềm BRAVO.....................................................................................................29
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM
BẢO AN TOÀN BẢO MẬT CSDL CHO CÔNG TY CỔ PHẦN PHẦN MỀM
BRAVO................................................................................................................... 32
3.1. Định hướng phát triển giải pháp an toàn bảo mật CSDL cho công ty cổ
phần phần mềm BRAVO.......................................................................................32
3.2 Đề xuất giải pháp an toàn bảo mật CSDL cho công ty cổ phần phần mềm
BRAVO................................................................................................................... 33
3.2.1. Hệ thống mạng.......................................................................................33
3.2.2. Phần mềm...............................................................................................35
3.2.3 Quản trị CSDL.........................................................................................39
3.2.4 Nguồn nhân lực.......................................................................................40
3.3 Điều kiện thực hiện các giải pháp...................................................................40
3.3.1 Cơ sở hạ tầng...........................................................................................40
3.3.2 Nguồn nhân lực.......................................................................................41
3.3.2 Chính sách, pháp luật..............................................................................41
3.4 Một số kiến nghị...............................................................................................41
KẾT LUẬN............................................................................................................44
TÀI LIỆU THAM KHẢO

CÁC PHỤ LỤC


iv
DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ
Bảng biểu
Bảng 2.1 Báo cáo kết quả kinh doanh của công ty cổ phần phần mềm BRAVO.....18
Bảng 2.2: Thống kê sơ bộ về thiết bị phần cứng......................................................21
Bảng 2.3: Tỉ lệ nhân viên sử dụng máy tính trong công việc...................................24
Biểu đồ 2.2 Tỉ lệ nhân viên sử dụng máy tính trong làm việc.................................25
Bảng 2.4: Mức độ hài lòng của nhân viên về hệ thống máy móc, trang thiết bị.....25
Bảng 2.5: Đánh giá khả năng quản trị CSDL của doanh nhiệp................................27
Bảng 2.6: Mức độ an toàn bảo mật CSDL trong công ty........................................28
Biểu đồ 2.1 Biểu đồ tổng hợp doanh thu, chi phí và lợi nhuận của Công ty cổ phần
phần mềm BRAVO giai đoạn 2013-2015................................................................19
Biểu đồ 2.3 Mức độ hài lòng của nhân viên về hệ thống máy móc, trang thiết bị. . .26
Biểu đồ 2.4 Đánh giá khả năng quản trị CSDL của doanh nhiệp.............................27
Biểu đồ 2.5 Mức độ an toàn bảo mật CSDL trong công ty......................................28

Sơ đồ, hình vẽ
Sơ đồ 2.1 Quy trình bảo đảm an toàn hệ thống........................................................12
Sơ đồ 2.2 Mô hình truyền tin bảo mật cơ bản..........................................................16
Hình 2.1 Tường lửa.................................................................................................29
Hình 3.1 Bảo mật thông tin bằng hệ thống kiểm tra xâm phạm (IDS/IPS)..............34
Hình 3.2 Bảo mật hệ thống dữ liệu bằng phần mềm Bkav......................................37


v
DANH MỤC TỪ VIẾT TẮT
STT Từ viết tắt

1
CNTT

Diễn giải

Nghĩa Tiếng Việt
Công nghệ thông tin

2
3
4
5

HTTT
CSDL
TMDT
LAN

Local Area Network

6
7
8
9

LNTT
SQL
IDS
IPS


Lợi nhuận trước thuế
Structure Query Language Ngôn ngữ truy vấn có cấu trúc
Intrusion Detection Syste Hệ thống phát hiện xâm nhập
Intrusion Prevention
Hệ thống ngăn ngừa xâm nhập

VNP

System
Virtual Private Network

10

Hệ thống thông tin
Cơ sở dữ liệu
Thương mại điện tử
Mạng cục bộ

Mạng riêng ảo


1
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN
TRONG CSDL
1.1. Tầm quan trọng và ý nghĩa vấn đề nghiên cứu
Từ xưa đến nay thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết.
Trong bất cứ lĩnh vực nào từ kinh tế đến quân sự, từ cá nhân đến tổ chức, từ quốc
gia đến vùng lãnh thổ việc nắm bắt thông tin kịp thời nhanh chóng có thể đưa ra
những chiến lược phát triển cũng như quyết định sự thành công hay thất bại trong
hoạt động quản lí và kinh doanh. Mỗi một cá nhân hay tổ chức, doanh nghiệp đều

có những thông tin bí mật, nhạy cảm cần được bảo vệ. Với tầm quan trọng của
thông tin như thế đòi hỏi con người phải có nhiều biện pháp khác nhau bảo vệ thông
tin của mình.
Khi máy tính ra đời và sử dụng rộng rãi dữ liệu đã được chuyển dần từ lưu trữ
trên giấy tờ sang máy tính. Điều này giúp việc lưu trữ và tìm kiếm thông tin được
đảm bảo an toànvà thuận tiện hơn. Chúng ta không cần phải lo sợ mất mát thông tin
do lưu trữ trên giấy. Tuy nhiên, để đảm bảo an toàn cho CSDL trên máy tính cần có
những biện pháp cụ thể,các phần mềm bảo vệ tập tin, phần mềm diệt Virut…
Theo thống kê khoảng 90% dữ liệu trong máy tính được lưu trữ dưới dạng
CSDL. Tất cả các thông tin về kho tàng, quản lý cơ sở vật chất, dân số tài nguyên
khoáng sản…đều dưới dạng CSDL. Thông tin được coi tài sản và CSDL không chỉ
lưu trữ thông tin liên quan tới bí mật nhà nước hay những thông tin kinh tế, ngân
hàng, tốc độ tăng trưởng sản xuất, thông tin phục vụ cho an ninh quân sự ngoại giao
mà chứa thông tin cá nhân như ( số điện thoại, sở thích…) và nó trở thành mục tiêu
tấn công của kẻ xấu nhắm làm sai lệch, giả mạo, lấy cắp thông tin ảnh hưởng rất lớn
tới hoạt động của các tổ chức, doanh nghiệp hay một quốc gia.
Tuy nhiên, việc bảo mật CSDL ngày càng khó khăn, các kĩ thuật tấn công
ngày càng tinh vi phức tạp trên diện rộng với nhiều cách thức khác nhau. Mặt khác,
rất nhiều doanh nghiệp chưa ý thức được tầm quan trọng thông tin cũng như việc
bảo mật CSDL khiến thông tin nội bộ dễ bị rò rỉ. Thông thường khi bị tấn công mất
mát dữ liệu rồi mới tìm biện pháp phòng chống thì đã quá muộn. Ở mức độ nhẹ, tấn
công về hệ thống CSDL có thể làm hỏng hóc, sai lệch, mất mát làm trì trệ hoạt động


2
của doanh nghiệp. Ở mức độ nặng hơn, các thông tin có thể bị tiếc lộ, hay là sập cả
hệ thống dữ liệu của tổ chức, doanh nghiệp.
Vì vậy việc bảo mật thông tin trong CSDL của doanh nghiệp rất quan trọng.
Để đảm bảo an toàn bảo mật CSDL thì phải có những giải pháp cụ thể, áp dụng các
tiêu chuẩn an toàn bảo mật CSDL để đảm bảo thông tin luôn được bảo vệ. Hiểu

được tầm quan trọng đó Công ty Cổ phần phần mềm BRAVO cần triển khai một số
giải pháp an toàn bảo mật thông tin trong CSDL của mình.
Xuất phát từ sự cấp thiết đó, em quyết định lựa chọn đề tài “Một số giải pháp
an toàn bảo mật CSDL cho công ty cổ phần phần mềm BRAVO” làm đề tài khóa
luận của mình. Với hy vọng đây sẽ là giải pháp hiệu quả giúp doanh nghiệp bảo vệ
an toàn CSDL của mình.
1.2. Tổng quan về vấn đề nghiên cứu
1.2.1. Tình hình trong nước
An toàn bảo mật thông tin không phải là đề tài xa lạ. Đã có nhiều công trình
nghiên cứu về an toàn bảo mật thông tin trong CSDL trong bài khóa luận này em có
tham khảo một số tài liệu như sau:
Tài liệu 1: Đàm Gia Mạnh, Giáo trình An toàn dữ liệu trong thương mại điện
tử, Trường Đại học Thương Mại, 2009. Giáo trình này trình bày một số vấn đề an
toàn dữ liệu trong TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong
TMĐT, cũng như các nguy cơ gây mất an toàn, các hình thức tấn công dữ liệu trong
TMĐT. Từ đó giúp các nhà tham gia hoạt động kinh doanh TMĐT có cái nhìn tổng
thể về an toàn dữ liệu trong hoạt động của mình. Ngoài ra giáo trình này cũng đề
cập một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như
các biện pháp khắc phục thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có
thể vân dụng thuận lợi hơn trong công việc hiện nay của mình. Trong giáo trình này
em có tham khảo và sử dụng Chương 1: Tổng quan về an toàn dữ liệu.
Tài liệu 2: Nguyễn Thế Dũng, Giáo trình Nhập môn cơ sở dữ liệu, Trường Đại
học sư phạm Huế, năm 2011. Giáo trình này trình bày các khái niệm hệ cơ sở dữ
liệu, các mô hình dữ liệu, mô hình dữ liệu quan hệ, ngôn ngữ cơ sở dữ liệu, phụ
thuộc hàm khóa, phân tách, chuẩn hóa, phụ thuộc hàm đa trị. Trong giáo trình này
em tham khảo và sử dụng Chương 1: Các khái niệm hệ cơ sở dữ liệu vào mục 2.1.1
của bài khóa luận.
1.2.2 Tình hình ngoài nước



3
Tài liệu 1: Umesh Hodeghatta Rao and Umessha Nayak (2014), The infosec
Handbook: An Introduction to Information Securtity, Apress open. Đây là cuốn sách
dễ hiểu và chi tiết được thiết kế riêng cho người bắt đầu bảo mật thông tin. Nó cung
cấp một cái nhìn thực tế và đơn giản về an ninh thông tin.
Tài liệu 2: Michael E. Whitman, Herbert J.Mattord (2011), Principles of
Information Security, Information Security Professionals. Đây là cuốn sách khám
phá về lĩnh vực bảo mật thông tin với nội dung cập nhật bao gồm đổi mới công
nghệ và phương pháp luận. Nó cung cấp một cái nhìn tổng quan về lịch sử bảo mật
thông tin, các cuộc hội thảo về quản lý bảo mật rủi ro, thông tin chứng thực hiện tại
và nhiều hơn nữa.
1.3. Mục tiêu nghiên cứu của đề tài
1.3.1 Mục tiêu chung
Thông qua phân tích, đánh giá thực trạng đưa ra đươc những ưu, nhược điểm
của vấn đề bảo mật CSDL từ đó đề xuất các giải pháp đảm bảo an toàn bảo mật
CSDL cho Công ty Cổ phần phần mềm BRAVO.
1.3.2 Mục tiêu cụ thể
Để hướng tới mục tiêu chung của đề tài cần thực hiện những mục tiêu cụ thể sau:
Thứ nhất, hệ thống hóa một số kiến thức lý luận về dữ liệu, CSDL, hệ quản trị
CSDL, an toàn dữ liệu, các nguy cơ mất an toàn thông tin…
Thứ hai, hệ thống hóa cơ sở lí luận về đảm bảo an toàn bảo mật thông tin nói
chung và dữ liệu nói riêng. Sau quá trình nghiên cứu tìm hiểu tại công ty đưa thực
trạng bảo mật CSDL của Công ty Cổ phần phần mềm BRAVO.
Thứ ba, trên cơ sở tìm hiểu thực trạng vấn đề an toàn bảo mật CSDL tại công
ty đưa ra một số định hướng phát triển và đề xuất giải pháp đảm bảo an toàn bảo
mật CSDL cho Công ty Cổ phần phần mềm BRAVO phù hợp và mang tính thiết
thực đối với an toàn dữ liệu trong hệ thống thông tin của công ty.
1.4. Đối tượng và phạm vi nghiên cứu của đề tài
1.4.1. Đối tượng nghiên cứu
Đối tượng nghiên cứu của đề tài bao gồm:

Thứ nhất, cách thu thập, xử lý, phân phối và lưu trữ dữ liệu, hệ quản trị CSDL,
cách thức bảo mật CSDL được sử dụng trong công ty
Thứ hai, các giải pháp an toàn bảo mật CSDL cho Công ty Cổ phần phần mềm
BRAVO
1.4.2. Phạm vi nghiên cứu


4
Không gian: Công ty cổ phần phần mềm BRAVO.
Thời gian: Từ thời điểm thực tập cho đến khi kết thức khóa luận ( 2/1/2021724/4/2017)
1.5 Các phương án áp dụng thực hiện đề tài
1.5.1 Phương pháp thu thập dữ liệu
Phương pháp nghiên cứu tài liệu: Nghiên cứu các tài liệu, tạp trí khoa học liên
quan đến an toàn bảo mật CSDL phục vụ cho đề tài
Phương pháp phỏng vấn tiếp: Đặt câu hỏi liên quan đến đề tài và nhận câu trả
lời trực tiếp từ phòng kĩ thuật triển khai nơi chứa thông tin về CSDL cuả toàn bộ hệ
thống, cũng như an toàn bảo mật CSDL.
Phương pháp dùng phiếu điều tra: Xây dựng phiếu điều tra với mẫu câu hỏi
được xây dựng sẵn để thu thập dữ liệu từ đối tượng là nhân viên công ty từ các phòng
ban: phòng kĩ thuật triển khai, phòng bảo hành, phòng công nghệ, phòng kinh doanh,
phòng nhân sự hành chính…về nhưng nội dung phục vụ cho bài nghiên cứu. Nội
dung cụ thể của Phiếu điề tra được trình bày rõ ở phụ lục 1 của bài báo cáo này.
1.5.2 Phương pháp xử lý dữ liệu
Phương pháp định tính: Tiến hành phân tích, chọn lọc, tổng hợp các dữ liệu
thu thập được thông qua các câu hỏi phỏng vấn và phiếu điều tra được nhằm chon
lọc được thông tin phù hợp với mục đích sử dụng và nội dung nghiên cứu.
Phương pháp định lượng: Sử dụng Excell để tính lợi nhuận từ những số liệu
về doanh thu và chi phí thu thập được để đưa ra kết luận về tình hình hoạt động sản
xuất kinh doanh của Công ty.
1.5.3. Công cụ sử dụng thực hiện đề tài

Công cụ chính để thực hiện đề tài Microsoft Office phục vụ cho việc soạn thảo
văn bản, bao gồm: kế hoạch, đề cương, báo cáo thực tập, phiếu điều tra, vẽ các sơ
đồ bảng biểu… Ngoài ra còn sử dụng một số công cụ bổ trợ khác như máy in…
1.6. Kết cấu của khóa luận
Nhiệm vụ chính của khóa luận nghiên cứu đề xuất giải an toàn bảo mật CSDL
cho Công ty Cổ phần phần mềm BRAVO dựa trên thực trạng bảo mật CSDL trong
quá trình thực tập tại công ty kết hợp vận dụng cơ sở lý thuyết về an toàn bảo mật
thông tin trong CSDL.
Bài khóa luận bố cục chia làm 3 chương:
Chương 1: Tổng quan đề tài nghiên cứu


5
Nêu ra tầm quan trọng ý nghĩa đề tài nghiên cứu cũng như đối tượng, phạm vi
của đề tài này. Trong phần này đưa ra các tài liệu liên quan tới đề tài nghiên cứu
Chương 2: Cơ sở lý luận và thực trạng bảo mật CSDL của công ty cổ phần
phần mềm BRAVO.
Trình bày các khái niệm, thuật ngữ, lý thuyết về CSDL, hệ quản trị CSDL, nêu
các vấn đề về bảo mật CSDL, nguy cơ về an toàn bảo mật thông tin hiện nay, đưa ra
thực trạng bảo mật CSDL của công ty cổ phần phần mềm BRAVO.
Chương 3: Một số giải pháp bảo mật CSDL cho công ty cổ phần phần mềm
BRAVO
Định hướng và đề xuất một số giải pháp nhằm đảm bảo an toàn CSDL cho
Công ty Cổ phần phần mềm BRAVO.


6
CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG BẢO MẬT CSDL
CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO
2.1 Cơ sở lý luận

2.1.1 Một số khái niệm cơ bản
2.1.1.1. Cơ sở dữ liệu và hệ quản trị cơ sở dữ liệu
CSDL là một tập hợp dữ liệu có cấu trúc được lưu trữ trên các thiết bị lưu trữ
như băng từ, đĩa từ…nhằm thỏa mãn nhu cầu khai thác đồng thời của nhiều người
sử dụng, nhiều chương trình ứng dụng tại một thời điểm.
CSDL là một bộ sưu tập các dữ liệu tác nghiệp được lữu trữ lại và được các hệ
ứng dụng của một đơn vị, tổ chức nào đó sử dụng.
Trong cách hiểu trên, trước hết CSDL phản ánh thông tin về hoạt động của
nhiều sự vất hiện tượng, nghĩa là biểu thị một góc của thực tại, nó phải là một tập
hợp các thông tin mang tính hệ thống chứ không thể là một tập hợp dữ liệu tùy tiện
chứa thông tin rời rạc không có mối quan hệ với nhau. Thông tin lưu trữ trong
CSDL được chia sẻ cho nhiều người sử dụng và nhiều ứng dụng khác nhau. Từ đó
việc xây dựng CSDL liên quan đến một số vấn đề như đảm bảo tính nhất quán và
toàn vẹn dữ liệu, tính bảo mật và quyền khai thác thông tin của người sử dụng và
tính an toàn dữ liệu khi sự cố sảy ra. [2, tr.12]
Hệ quản trị cơ sở dữ liệu (DBMS)
Phần mềm cho phép người dùng giao tiếp với CSDL, cung cấp một môi
trường thuận lợi và hiệu quả để tìm kiếm và lưu trữ thông tin của CSDL, được gọi
là hệ quản trị cơ sở dữ liệu (DBMS) [2, tr.13]
Mục đích của hệ CSDL là cung cấp cho người dùng một cách nhìn trừu tượng
về dữ liệu. Đó có nghĩa là hệ thống che dấu chi tiết phức tạp về cách thức dữ liệu
được bảo trì. Chính vì vậy, trong cuộc hiện đại ngày nay việc sử dụng các CSDL trở
nên phổ biến, quen thuộc đến nỗi nhiều lúc chúng ta coi đó như điều tự nhiên. Khi
đến thư viện tìm mượn sách, nhờ máy tính ít nhất chúng ta có thể biết được thông
tin chi tiết về sách của thư viện, thông tin về sách đã có người xếp hàng đặt mượn
…Khi chúng ta muốn đặt chỗ cho chuyến bay sắp tới của mình, nhân viên đại lí bán
vé hàng không sẽ nhanh chóng cung cấp những thông tin cần thiết cũng như thông
tin cập nhật và dữ liệu đượclưu trữ. Sự phát triển mạnh mẽ của Internet ở thập kỉ
cuối thế kỉ 20 đã làm số người truy cập và khai thác thông tin trong CSDL tăng lên



7
nhanh chóng. Càng ngày việc truy xuất thông tin trong CSDL càng trở thành một bộ
phận thiết yếu của cuộc sống của mỗi con người.
1.1.1.2. Vai trò CSDL trong HTTT
CSDL có vai trò rất quan trọng đối với HTTT do:
- CSDL là một trong những thành phần tạo nên HTTT
- Dữ liệu là một tài sản đặc biệt của các tổ chức, đơn vị kinh doanh. Nó chứa
tất cả các thông tin quan trọng về tình hình kinh doanh, tài chính, đối thủ cạnh
tranh, khách hàng…của các doanh nghiệp
- Nếu tổ chức, đơn vị kinh doanh có hoạt động quản trị CSDL tốt thì HTTT sẽ
hiệu quả giảm thiểu rủi ro.
2.1.2 Khái niệm về an toàn thông tin dữ liệu và nguy cơ mất an toàn thông tin
2.1.2.1. An toàn bảo mật thông tin dữ liệu
An toàn dữ liệu (Data Security) có thể hiểu là quá trình đảm bảo cho hệ thống
tránh khỏi những nguy cơ hỏng hóc hoặc mất mát dữ liệu. Các nguy cơ này có thể
là ngẫu nhiên (do tai nạn) hoặc có chủ định (bị phá hoại từ bên ngoài). Việc bảo vệ
dữ liệu có thể được thực hiện bằng các thiết bị phần cứng (các hệ thống Backup dữ
liệu…) hay các chương trình phần mềm (trình diệt virut, các chương trình mã
hóa…). [1, tr.20]
Trước đây, dữ liệu được lưu trữ trong một máy tính cá nhân độc lập, việc bảo
mật dữ liệu được thực hiện dễ dàng bằng sử dụng các biện pháp phần cứng niêm
phong các ổ mềm, ổ CD…) hay các trình bảo vệ dữ liệu đơn giản. Hiên nay, dữ liệu
không đơn thuần nằm trên máy tính riêng biệt nữa mà nó được chia sẻ cho nhiều
người dùng. Điều này giúp việc trao đổi thông tin dễ dàng và thuận tiện hơn bao
nhiêu thì cũng giúp cho việc tấn công vào dữ liệu dễ dàng bấy nhiêu. Dữ liệu có thể
bị tấn công bất cứ lúc nào cho dù áp dụng kĩ thuật bảo mật tiên tiến nhất. Vì vậy
đảm bảo an toàn dữ liệu phải luôn luôn cập nhật các kiến thức bảo mật mới có thể
thích nghi được tình trạng tấn công vào CSDL càng gia tăng như hiện nay.
3. Các nguy cơ về mất an toàn thông tin

Một số nguy cơ mất an toàn thông tin mà hệ thống công nghệ thông tin
(CNTT) cần cảnh báo là:
(1) Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan
cho bên thứ ba (không phải bên mà thông tin cần gửi đến)
(2) Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong 3 cách :


8
“Bắt” thông tin ở giưa đường di chuyển từ “ nguồn” đến “đích” sửa đổi hay
chèn, xóa thông tin hay gửi đi tiếp.
Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa đích.
Tạo ra các “đích” giả để đánh lừa thông tin đến từ nguồn thật. Chẳng hạn như
kĩ thuật đánh lừa “Phising” hay được nhắc tới gần đây. Tin tặc có thể tạo một đích
“giả” giống hệt Web giao dịch của ngân hàng. Kĩ thuật này tuy khá mới nhưng phát
triển rất nhanh, đồng thời ngày càng được cải tiến tinh vi hơn về kĩ thuật.
(3) Nguy cơ tắc nghẽn ngưng trệ thông tin
Tắc nghẽn và ngưng trệ thông tin có thể do bị tấn công (thường là do hình
thức tấn công từ chối dịch vụ hoặc có thể do mất điện hoặc có thể do ngẫu nhiên
một số lượng lớn người truy cập vào hệ thống cùng một lúc quá lớn mà dung lượng
đáp ứng của đường truyền lại quá nhỏ cũng gây nên hiện tượng tắc nghẽn. [1, tr.21]
Ngoài ra, Theo cục An toàn thông tin, các phần mềm độc hại mã hóa tống tiền;
lừa đỏa trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội; tấn công có chủ
đích; lỗ hổng khi kết nối Internet; hay tấn công mạng vào các hạ tầng viễn thông và
công nghệ thông tin là những vấn đề nóng về an toàn thông tin trong năm 2016.
(1) Phần mềm độc hại mã hóa tống tiền(ransomware)
Năm 2015 trở lại đây đang chứng kiến sự trở lại mạnh mẽ của rất nhiều mã
độc mã hóa dữ liệu tống tiền với hàng loạt các cuộc tấn công trên diện rộng diễn
ra tại Việt Nam. Đặc điểm chung của dòng mã độc này sau khi lây nhiễm sẽ mã
hóa tất cả các dữ liệu quan trọng của người dùng và yêu cầu trả tiền chuộc để lấy
lại dữ liệu. Mã độc thường sử dụng các thuật toán mã hóa tốt nên việc khôi phục

lấy lại dữ liệu sau khi bị mã hóa là rất khó khăn, thậm chí cúng còn có khả năng
xóa toàn toàn bộ thông tin của System Restore để không còn cách nào khôi phục
lại dữ liệu.
Nguy hiểm hơn khi các biến thể của mã độc xuất hiện vào cuối năm 2015 có
mang theo nhiều tính năng cao cấp hơn như phát tán lây nhiễm qua Website, các file
đính kem qua email hay tập tin trên mạng chia sẻ (network sharing) và thậm chí trên
các thiết bị di động.
(2) Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội
Cùng với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang mạng
xã hội có nhiều người sử dụng như Facebook, nhiều đối tượng xấu đang sử dụng


9
mạng xã hội làm nền tảng lừa đảo trực tuyến hay phát tán những phần mềm độc hại,
gây ra những rủi ro, mất an toàn thông tin cho người sử dụng.
Với một lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại
Việt Nam như hiện nay thì các nguy cơ từ mất an toàn thông tin từ mạng xã hội sẽ
vẫn tiếp tục là một xu hướng nóng trong năm 2016 và các năm tiếp theo.
(3) Tấn công có chủ đích(APT)
Trong vài năm trở lại đây xu hướng tấn côn có chủ đích (ATP) đang diễn biến
hết sức phức tạp trên diện rộng. Đây là hình thức tấn công tinh vi và rất khó phát
hiện do kẻ tấn công sử dụng các kĩ thuật mới để ẩn nấp và cuộc tấn công này là
nhằm vào người dùng hay các hệ thống quan trọng nhằm đánh cắp thông tin, phá
hoại hệ thống và có thể xem là mối rủi ro nguy hiểm thường trực hiện nay trên
Internet không chỉ ở Việt Nam và trên thế giới. Không nằm ngoài xu thế đó thì đây
là xu hướng chính và cần tiếp tục được quan tâm và chú trọng trong năm 2016.
(4) Thiết bị di động và Internet of Things (IoT)
Internet của vạn vật (IoT) đang là xu hướng mạnh mẽ của toàn thế giới, mở ra
những cơ hội chưa từng có cho các nền kinh tế, doanh nghiệp, tổ chức và cá nhân
để cạnh tranh trong môi trường mới. Nói đơn giản đây là tập hợp hàng tỷ các thiết

bị hiện hữu hiện nay như: Máy tính, tủ lạnh, tivi, điều hòa, đồng hồ, ô tô có khả
năng kết hợp với nhau, với Internet và với cả thế giới bên ngoài. Việt Nam chúng ta
cũng không nằm ngoài xu thế của thế giới.
Bên cạnh những lợi ích vượt trội về công nghệ, các thiết bị di động, các thiêt
bị di động, IoT cũng để rất nhiều lỗ hổng về an toàn thông tin và trở thành tin tặc
nhắm tới.
(5) Tấn công mạng vào hạ tầng viễn thông và CNTT
Trong những năm gần gần đây, thế giới đã chứng kiến nhiều các cuộc tấn công
mạng với quy mô lớn nhằm vào các hệ thống cơ sở hạ tầng trọng yếu của quốc gia
như: Hệ thống điện, các nhà máy điện hạt nhân, các hệ thống công nghiệp,
SCADA… Tấn công vào các hạ tầng trọng yếu sẽ tăng theo xu hướng phát triển các
chiến dịch tấn công hiện đại do các quốc gia hoặc các tổ chức tội phạm thực hiện.
Tại Việt Nam các cơ sở hạ tầng trọng yếu đều đang sử dụng hệ thống CNTT phục
vụ cho các hoạt động quản lý và vận hành do đó có thể nói đây sẽ trở thành đích
ngắm của nhóm, đối tượng muốn tấn công nhắm vào trong thời gian gần đây.


10
2.1.3 Mục tiêu và các yêu cầu của an toàn dữ liệu
2.1.3.1. Mục tiêu của an toàn dữ liệu
Đảm bảo an toàn dữ liệu cho một HTTT là một công việc phức tạp, nhằm đạt
được những mục tiêu cụ thể sau:
(1) Phát hiện các lỗ hổng của hệ thống cũng như dự đoán trước được những
nguy cơ tấn công vào hệ thống.
(2) Ngăn chặn những hành động gây mất an toàn dữ liệu từ bên trong cũng
như bên ngoài.
(3) Phục hồi những tổn thất trong trường hợp hệ thống bị tấn công nhằm đưa
hệ thống vào hoạt động trong thời gian sớm nhất.
Hai nguyên tắc quan trọng trong việc thiết kế và đánh giá hệ thống bảo mật là:
(1) Phải tìm đến tất cả cá khả năng mà kẻ địch có thể xâm nhập. Kẻ địch

thường thử mọi cách có thể xâm nhập phá hoại cho nên không được phép giả sử
rằng kẻ địch chỉ tấn công ở một số điểm mà không ở những chỗ khác.
(2) Tài sản phải được bảo vệ đến khi hết giá trị sử dụng. [1, tr22]
2.1.3.2. Các yêu cầu của an toàn dữ liệu
An toàn dữ liệu là một vấn đề phức tạp, liên quan đến nhiều yếu tố khác nhau.
Các yếu tố cơ bản cần phải giải quyết bao gồm tính bảo mật, tính toàn vẹn, tính sẵn
sàng và tin cậy.
 Tính bảo mật
Trong an toàn dữ liệu, bảo mật (Security) là yêu cầu đảm bảo cho dữ liệu của
người sử dụng phải được bảo vệ, không được mất vào những người không được
phép. Nói khác đi là phải đảm bảo được ai là người được phép sử dụng (và sử dụng
được) các thông tin (theo phân loại mật của thông tin)
Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sử
dụng trái phép bởi môt người không được sở hữu. Trên thực tế, thường rất nhiều
thông tin cá nhân của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng
hạn như mã số thể tín dụng, số thẻ bảo hiểm,…Vì vậy đây có thể nói là yêu cầu
quan trọng nhất đối với tính an toàn của một hệ thống thông tin.
Tính toàn vẹn
Trong an toàn dữ liệu, tính toàn vẹn (Integrity) có nghĩa là dữ liệu không được
tạo ra, sửa đổi hay xóa bởi những người không sở hữu. Tính toàn vẹn đề cập đến
khả năng đảm bảo cho các thông tin không bị thay đổi nội dung bằng bất cứ cách
nào bởi người không được phép trong quá trình truyền dữ liệu.


11
Chính sách toàn vẹn dữ liệu phải đảm bảo cho ai là người được phép thay đổi
và ai là người không được phép thay đổi dữ liệu. Dữ liệu trên thực tế có thể vi phạm
tính toàn vẹn khi một hệ thống không đảm bảo an toàn cần thiết. Chẳng hạn một hệ
quản trị CSDL xây dựng kém có thể gây mất mát dữ liệu trong trường hợp mất điện
đột ngột. Các hành động phá hoạt cũng có thể gây mất tính toàn vẹn của dữ liệu.

Tính sẵn sàng
Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sử
dụng, dữ liệu luôn phải luôn trong trạng thái an toàn (Availability). Các biện pháp
bảo mật làm cho người sử dụng gặp khó khăn hay không thể thao tác được với dữ
liệu đều không thể được chấp nhận. Nói cách khác đi, các biện pháp đảm bảo được
sự bảo mật và toàn vẹn dữ liệu đồng thời cũng phải hạn chế tối đa những khó khăn
gây ra cho người sử dụng thực sự. Dữ liệu và tài nguyên của hệ thống phải luôn ở
trong tình trạng sẵn sàng phục vụ bất cứ lúc nào đối với những người có thẩm
quyền sử dụng một cách thuận lợi.
Tính tin cậy
Yêu cầu về tính tin cậy (Confidentiality) liên quan đến khả năng đảm bảo
rằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập
những dữ liệu có giá trị.Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng
nhận được là đúng với sự mong muốn của họ, chưa hề bị mất mát hay lọt vào tay
những người dùng không được phép.
Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả
những yếu tố trên. Nếu thiếu một trong số đó thì độ bảo mật của hệ thống là không
hoàn thiện. [1, tr. ]


12
2.1.4.Quy trình đảm bảo an toàn dữ liệu
Quy trình đảm bảo an toàn cho hệ thống gồm 4 bước như hình sau:
Xác định

Đánh giá
Lựa chọn giải
pháp

Giám sát rủi ro

Sơ đồ 2.1 Quy trình bảo đảm an toàn hệ thống
(Nguồn: Đàm Gia Mạnh, Giáo trình An toàn dữ liệu trong thương mại điện tử,
Trường Đại học Thương Mại, 2009)
Bước 1: Xác định
Bước này phân tích toàn bộ hệ thống dữ liệu tìm được những kẽ hở mà các tin
tặc có thể lợi dụng để tấn công. Ngoài ra khi hệ thống dữ liệu bị tấn công thì cần
nhanh chóng xác định rõ là bị tấn công từ đâu và tấn công bằng cách nào để có thể
đưa ra các biện pháp khắc phục trong thời gian ngắn nhất.
Để thực hiện tốt giai đoạn này, phải trả lời được 3 câu hỏi:
(1) Bảo vệ cái gì?
(2) Bảo vệ khỏi ai?
(3) Bảo vệ bằng cách nào?
Để tìm ra lỗ hổng trong hệ thống dữ liệu, người quản trị phải xem mình như một
kẻ tấn công, tự tấn công vào chính hệ thống của mình. Một hệ thống dù hoàn thiện đến
đâu những cũng không thể tránh khỏi những kẽ hở, dù là rất nhỏ. Trong khi đó, Harker
ngày càng nghĩ ra nhiều cách thức tấn công mà chúng ta không ngờ tới.
Bước 2: Đánh giá
Sau khi đã xác định được những kẽ hở và phân tích các nguy cơ có thể tấn
công của hệ thống dữ liệu, người quản trị hệ thống dữ liệu phải đề ra những biện
pháp nhằm phòng tránh, đồng thời đánh giá các chi phí phải bỏ ra để tiến hành
khắc phục các lỗ hổng đã phát hiện cũng như chi phí cho các thiệt hại khi xảy ra
tấn công.


13
Bước 3: Lựa chọn giải pháp
Trên cơ sở đánh giá tất cả các yếu tố: độ an toàn, tính khả thi, chi phí…người
quản trị lựa chọn giải pháp đảm bảo an toàn dữ liệu cho cả 2 trường hợp hàn gắn các
lỗ hổng của hệ thống dữ liệu hoặc khắc phục hỏng hóc khi hệ thống đã bị tấn công.
Trường hợp hệ thống đã bị tấn công thì cần lựa chọn nhanh nhất một giải pháp để

giảm bớt các tổn thất, ngăn chặn các cuộc tấn công tương tự và xây dựng biện pháp
đảm bảo an toàn ở mức cao hơn cho hệ thống dữ liệu nhằm hạn chế thiệt hại về sau.
Bước 4: Giám sát rủi ro
Một hệ thống dù hoàn thiện đến đâu nhưng cũng không thể ngăn chặn được
các lỗ hổng không ngờ tới, vì vậy quá trình giám sát trong lúc hệ thống dữ liệu đang
được vận hành là một yêu cầu bắt buộc cần phải được tiến hành thường xuyên. Qúa
trình giám sát hệ thống dữ liệu được bắt đầu từ khi hệ thống đưa vào vận hành cho
đến khi hệ thống bị dỡ bỏ. Một khi hệ thống dữ liệu đang vận hành thì nó có thể an
toàn tại thời điểm này nhưng lại mất an toàn vào thời điểm khác. Vì vậy, nhiệm vụ
quan trọng của việc giám sát hệ thống là thường xuyên tiến hành kiểm tra và đánh
giá về các nguy cơ có thể xảy ra với hệ thống và tìm cách hạn chế tác hại của nguy
cơ này. [1, tr.25]
2.1.5. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ đảm
bảo an toàn CSDL
Phòng tránh là cách thức sử dụng các phương pháp, phương tiện, kỹ thuật
nhằm ngăn ngừa và giảm bớt các rủi ro mà hệ thống gặp phải.
Thông tin và dữ liệu là tài sản vô cùng quý giá nên có thể bị tấn công bất cứ
lúc nào. Ngoài nguy cơ từ mạng Internet không loại trừ các nguyên nhân đến từ
nhân viên trong công ty.
Để phòng tránh nguy cơ mất an toàn CSDL trước hết doanh nghiệp cần bố trí
nguồn nhân lực tăng cường khả năng phòng chống nguy cơ tấn công, xâm nhập hệ
thống CSDL, ngăn chặn, khắc phục kịp thời các sự cố về an toàn thông tin trên
mạng máy tính. Đặc biệt, cần bố trí cán bộ quản lý, cán bộ kĩ thuật chịu trách nhiệm
đảm bảo an toàn hệ thống dữ liệu lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội
ngũ cán bộ an toàn thông tin, đào tạo phổ biến kiến thức kĩ năng cho người dùng
máy tính về phòng, chống các nguy cơ gây mất an toàn thông tin khi sử dụng mạng
Internet. Với các nguy cơ mất mát hoặc dữ liệu bị thay đổi, giả mạo trong quá trình
truyền nên bảo mật kênh truyền dữ liệu. Tránh rò rỉ thông tin hạn chế truy cập dữ
liệu của doanh nghiệp và cá nhân trong doanh nghiệp chúng ta nên sử dụng hệ



14
thống tường lửa. Bên cạnh đó cũng phải thường xuyên sao lưu, Backup dữ liệu
thường xuyên, thực hiện phân loại các dữ liệu quan trọng…
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp an toàn thông
tin chống virut và mã độc lại cho các hệ thống thông tin và máy tính các nhân có kết
nối mạng Internet.
Nhìn từ ngoài vào trong hệ thống ta có thể phân chia là 4 vùng:
Tường lửa (Firewall)
Tường lửa (Firewall) chính là thiết bị (cả phần cứng và phần mềm) nhằm thực
thi những phần đó.
Tư tưởng cơ bản của Firewall là: đặt cấu hình mạng sao cho tất cả cá thông tin
vào ra mạng đều phải qua một máy được, và chính là Firewall. Ở đây, Firewall sẽ quyết
định cho những gì đi qua và cấm không cho những gì đi qua để đảm bảo an toàn.
Là một thiết bị bảo vệ nằm ở biên giới mạng máy tính, Firewall phân chia
mạng máy tính
Thành hai phân riêng biệt, một vừng là vùng tin cậy và vùng kia không tin cậy.
Firewall ngăn cản truy cập trái phép bằng cách lọc tất cả tất cả các giao dịch theo
một luật đã định nghĩa trước.
Ưu nhược điểm của tường lửa
(1) Bảo vệ hệ thống khỏi các dịch vụ khỏi các dịch vụ không cần thiết trên mạng
Internet. Bằng việc hạn các dịch vụ mạng không cần thiết (ví dụ như SNTP, NetBios,
Fpt…) có thể làm giảm bớt nguy cơ xâm nhập trái phép từ bên ngoài và hệ thống.
(2) Điều khiển truy cập vào tài nguyên trong hệ thống. Người quản trị mạng
có thể duy trì các chính sách bảo mật cho phép cấp quyền cho một số người có thể
truy cập vào tài nguyên nhạy cảm cũng như không cho phép ai truy nhập và sử dụng
tài nguyên.
(3) Tạo cơ chế bảo vệ tập trung. Mọi luồng thông tin ra vào hệ thống chúng ta
đều phải qua tường lửa nên cần phải cơ chế bảo mật tốt.
(4) Thống kê lại các lưu lượng giao dịch ra bên ngoài và kiểm soát được các

giao dịch thông qua các Logfile của hệ thống. Ngoài ra, đối với các thông tin từ
ngoài vào cũng sẽ được ghi lại bởi các Logfile, do đó với việc theo dõi các Logfile
sẽ giúp nhà quả trị mạng phát hiện nguyên nhân lỗi bảo mật hệ thống cũng như
thống kê về việc truy cập vào Internet của từng nhân viên trong đơn vị của mình.
(5) Tạo ra chính sách bảo mật đối với hệ thống mạng bắt buộc mọi người phải
tuân theo
Nhược điểm


15
(1) Tường lửa hạn chế truy cập của người dùng vào mạng Internet. Tuy nhiên,
có thể người sử dụng cần sử dụng lại một số dịch vụ mạng này để phục vụ cho mục
đích của mình trong công việc lại không thực hiện được.
(2) Có những hạn chế trong khi tấn công từ bên trong mạng, như một người nào
đó sử dụng thiết bị lưu trữ kết nối vào máy tính và ăn cắp thông tin dữ liệu trên máy.
(3) Gây ra hiện tượng thắt cổ chai tại bức tường lửa, do mọi luồng thông tin đi ra
đều phải đi qua đây gây hiện tượng tắc nghẽn khi lưu lượng gia dịch quá lớn.[1, tr.93]
Phân quyền người dùng
Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền hạn,
cách thức thao tác với hệ thống theo yêu cầu khác nhau nhằm đảm bảo an toàn của
hệ thống cũng như đảm bảo tính riêng tư của mỗi người.
Ngày nay, trong công việc hàng ngày chúng ta thường xuyên phải làm việc
trong môi trường làm việc với các hệ thống nối liên thông với nhau, ngoài ra ngay
trên một máy tính cũng có rất nhiều người dùng khác nhau. Vì vậy, chúng ta không
có sự phân biệt rõ ràng và quyền hạn đối với những người dùng thì sẽ gây ra tình
trạng mất an toàn hệ thống đồng thời đánh mất tính riêng tư của người dùng trong
hệ thống.
Bảo mật đối với các cơ chế người dùng
(1) Đảm bảo cho người dùng của hệ thống được phép khai thác tối đa những
gì được cấp.

(2) Đảm bảo cho mọi người được sử dụng một cách nhanh chóng và dễ dàng
nhất những tài nguyên của hệ thống nếu không làm ảnh hưởng đến sự ổn định của
hệ thống
Để đảm bảo hệ thống hoạt động hiệu quả và tránh những lợi dụng một tài
khoản nào đó để đăng nhập bất hợp pháp vào hệ thống cần chú ý khi tạo tài khoản
người dùng.
(1) Luôn gán mật khẩu cho tất cả các tài khoản, đặc biệt với tài khoản
Administrator. Bởi vì nếu chúng ta không sử dụng mật khẩu thì mật khẩu của tài khoản
đó sẽ bị gán trắng và tin tặc dễ dàng thâm nhập vào hệ thống của bạn thông qua tài
khoản này.
(2) Nên đặt mật khẩu khó đoán, tránh tình trạng đặt mật khẩu liên quan đến
các thông tin đặc biệt nào đó như vậy bạn sẽ dễ bị lộ mật khẩu
(3) Nên chọn mật khẩu là sự tổng hợp của chữ hoa, chữ thường, các ký tự số
và kí tự điều khiển


16
(4) Nên thường xuyên đổi mật khẩu, thông thường nên đổi mật khẩu sau 3
tháng sử dụng.[1, tr.77]
Bảo mật mức ứng dụng
Tất cả các ứng dụng trên máy tính nên cài những ứng dụng có bản quyền để
tránh có những lỗ hổng Harker dễ tấn công vào dữ liệu trên máy tính. Khi truy nhập
vào ứng dụng nên để mật khẩu vì làm như vậy tránh được tình trạng truy nhập vào
ứng dụng lấy thông tin dữ liệu quan trọng.
Mã hóa
Mã hóa là phương thức biến đổi thông tin từ dạng thông thường ( văn bản,
hình ảnh…) thành một dạng khác không giống như ban đầu nhưng có thể khôi phục
lại được ( việc khôi phục này gọi là giải mã. Mục đích chính của mã hóa là để đảm
bảo tính bảo mật của thông tin khi chúng được truyền trong môi trường không đảm
bảo tính bảo mật.

Trong qua trình truyền dữ liệu, đảm bảo tính bí mật của thông tin người ta tiến
hành mã hóa thông tin trước khi truyền và giải mã ở phía nhận. Có thể mô tả mô
hình truyền tin bảo mật sau:
Người gửi

Mã hóa

Kênh thông tin

Người nhận

Giải mã

Kẻ tấn công
Sơ đồ 2.2 Mô hình truyền tin bảo mật cơ bản
(Nguồn: Đàm Gia Mạnh, Giáo trình An toàn dữ liệu trong thương mại điện tử,
Trường Đại học Thương Mại, 2009)
Một hệ thống mã hóa đảm bảo an toàn nếu thỏa mãn một trong hai điều kiện
(1) Chi phí để phá mã vượt quá giá trị thông tin mang lại.
(2) Thời gian phá mã vượt quá tuổi thọ của thông tin.


17
Có hai phương pháp mã hóa cơ bản là phương pháp mã hóa đối xứng (mã hóa
khóa bí mật) và phương pháp mã hóa bất đối xứng (mã hóa công khai). [1, tr.]
2.2. Phân tích, đánh giá thực trạng bảo mật CSDL của công ty cổ phần
phần mềm BRAVO
2.2.1 Tổng quan về công ty cổ phần phần mềm BRAVO
2.2.1.1 Giới thiệu chung về Công ty
Tên công ty: Công ty cổ phần phần mềm BRAVO

Đia chỉ 101 Láng Hạ, Đống Đa, Hà Nội
SĐT: 043 776 2472
Mã số thuế: 0100947771
Giấy phép kinh doanh: 0100947771- ngày cấp: 05/11/1999
Đại diện pháp luật: Đào Mạnh Hùng
Loại hình doanh nghiệp: Công ty cổ phần
Công ty Cổ phần Phần mềm BRAVO là công ty chuyên sâu phát triển và triển
khai ứng dụng các hệ thống phần mềm về công nghệ thông tin vào quản lý sản xuất
kinh doanh nhằm nâng cao hiệu quả điều hành, quản trị cho các doanh nghiệp, tổ
chức kinh doanh – xã hội.
Sản phẩm chính của BRAVO là “Phần mềm Quản trị tài chính kế toán”, “Phần
mềm Quản lý doanh nghiệp (ERP)” và các dịch vụ.
Thế mạnh của BRAVO là hiểu biết chế độ kế toán Việt Nam, đặc thù quản lý
của các doanh nghiệp Việt Nam cũng như kế toán quốc tế và có kinh nghiệm triển
khai phần mềm.
2.2.1.2. Lịch sử phát triển và hình thành của Công ty
- Tháng 10 năm 1999: Thành lập Công ty tại Hà Nội và Chi nhánh tại TP. Hồ
Chí Minh.
- Tháng 12 năm 1999: Ra đời phiên bản BRAVO 3.0 và triển khai phần mềm
cho Công ty Nhựa thiếu niên Tiền phong.
- Tháng 03 năm 2003: Thành lập chi nhánh tại TP. Đà nẵng.
- Sau 15 năm thành lập triển khai rất nhiều dự án cho các công ty lớn, nhỏ đến
năm 2015 BRAVO vinh dự nằm trong top 40 công ty CNTT hàng đầu Việt
Nam do Hiệp hội Phần mềm và Dịch vụ CNTT Việt Nam (VINASA) bình
chọn.
- Tháng 04 năm 2016: Sản phẩm BRAVO 7 ERP-VN đạt Top 10 Sao Khuê
năm 2016.
2.2.1.3. Khái quát hoạt động sản xuất kinh doanh của Công ty
Tình trạng kinh doanh của doanh nghiệp



18
Trong những năm gần đây hoạt động kinh doanh của toàn công ty cổ phần
phần mềm BRAVO nói chung và của BRAVO Hà Nội nói riêng đầu tăng trưởng
vượt bậc. Cả 2 khối phòng ban là Kinh doanh và Triển khai đều hoàn thành vượt
mức kế hoạch. Đối với chỉ tiêu Kinh doanh, phòng đạt mức 152% so với kế hoạch
năm, mức tăng trưởng 136% so với kết quả năm 2015. Khối Kỹ thuật triển khai
hoàn thành nghiệm thu với nhiều dự án lớn, trước thời hạn đề ra, đem tới sự hài
lòng, tín nhiệm từ phía khách hàng. Phòng Bảo hành cũng hoàn thành xử lý 95%
các giao dịch phát sinh. Đây đều là những con số thành tích khả quan và đáng tự
hào đối với các thành viên BRAVO Hà Nội
Năm 2016, nền kinh tế trong nước cũng đã hồi phục, các doanh nghiệp có sự
quan tâm rất lớn về việc đầu tư với hệ thống CNTT trong quá trình quản lý, sản xuất
kinh doanh. Việc cung cấp phần mềm BRAVO 7 đã bắt đầu ổn định, đồng thời việc
thay đổi quy mô của sản phẩm cung cấp giúp thương hiệu BRAVO không còn bó
gọn trong lĩnh vực kế toán.
Báo cáo tài chính về thu chi, lợi nhuận 3 năm gần đây
Bảng 2.1 Báo cáo kết quả kinh doanh của công ty cổ phần phần mềm BRAVO
Đơn vị: triệu đồng
Nội dung
Tổng doanh thu
Chi phí
Lợi nhuận trước thuế
Nộp ngân sách nhà nước
Lợi nhuận sau thuế

Năm
2013 2014
49000 48900
46900 47000

2100 1900
1300 1200
800
700

Tăng/giảm (%)
2015 2014/2013 2015/2014
70100 -0,2
43,35
65900 0,21
40,21
4200 -9,52
121,05
2000 -7.6
66.67
2200 -12,5
214,28

(Nguồn: Báo cáo tài chính công ty giai đoạn 2013-2015)
(Đơn vị tính: triệu đồng)


19

Biểu đồ 2.1 Biểu đồ tổng hợp doanh thu, chi phí và lợi nhuận của Công ty
cổ phần phần mềm BRAVO giai đoạn 2013-2015
Dựa trên báo cáo tài chính của công ty cổ phần phần mềm BRAVO giai đoạn
2013-2015 tình hình kinh doanh của công ty ngày một phát triển lên tầm cao mới tự
hào nằm trong top 40 doanh nghiệp CNTT hàng đầu Việt Nam năm 2015 khi trải
qua quá trình bình chọn gắt gao với 6 tiêu chí: nhân lực, thị trường, khách hàng,

công nghệ và sản phẩm,các chỉ tiêu tài chính, công tác lãnh đạo và quản trị doanh
nghiệp, giải thưởng, danh hiệu và các thành tích đặc biệt được công nhận trong hoạt
động sản xuất kinh doanh, các hoạt động thể hiện trách nhiệm với xã hội của doanh
nghiệp (CSR).
Sản phẩm BRAVO được nghiên cứu, thiết kế và phát triển dựa trên các tiêu
thức, chuẩn mực của nhà nước, đồng thời đáp ứng các yêu cầu khác nhau của khách
hàng. Một số các tiêu thức phải đạt được khi xây dựng phần mềm BRAVO đó là:
Công nghệ tiên tiến: BRAVO đã áp dụng các ngôn ngữ lập trình và cơ sở dữ
liệu tiên tiến với hệ thống xử lý được thiết kế theo mô hình nhiều lớp cho phép làm
việc với khối lượng dữ liệu lớn.
Phần mềm quản trị: Là công cụ giúp các nhà quản lý trong việc phân tích,
thiết lập và theo dõi các công việc cần làm ở thời điểm hiện tại và các kế hoạch sẽ
thực hiện trong tương lai. Đồng thời quản lý dữ liệu đa cấp, phân tích và xem thông
tin nhiều chiều với các góc độ khác nhau nhằm trợ giúp nhà quản lý có được cái
nhìn tổng thể về thực tại của doanh nghiệp từ đó đưa ra các quyết định kinh doanh
kịp thời đạt hiệu quả cao.


20
Tính toàn diện: Tuân thủ các quy định về chế độ kế toán tài chính hiện thời.
Các phân hệ trong phần mềm được thiết kế phù hợp với các phần hành kế toán và
quản lý trong doanh nghiệp. Giúp kết nối dữ liệu giữa các bộ phận trong doanh
nghiệp, cập nhật dữ liệu từ xa, chạy mạng đa người dùng, bảo mật và phân quyền
chi tiết đến từng thao tác, chức năng.
Tính hiệu quả: Sản phẩm được tạo lập có tính năng phù hợp với thao tác người
sử dụng với việc liên kết các hệ thống bán hàng, mua hàng… phân tán bằng kết nối
Online, tra cứu dữ liệu nhanh chóng, tránh bỏ lỡ các cơ hội kinh doanh và làm tăng
doanh thu. Hệ thống cảnh báo sớm các chỉ tiêu về tài chính giúp doanh nghiệp luôn
chủ động và tránh được những rủi ro trong hoạt động sản xuất kinh doanh…
Hệ thống mở: Tính mềm dẻo và linh hoạt có thể điều chỉnh không chỉ phù hợp

với nhu cầu hiện tại của doanh nghiệp mà còn sẵn sàng cho các yêu cầu của sự phát
triển trong tương lai, sự biến động khách quan của chính sách và chế độ kế toán tài
chính nhà nước.
2.2.2 Thực trạng về an toàn bảo mật CSDL của Công ty cổ phần phần mềm
BRAVO
2.2.2.1 Cơ sở hạ tầng CNTT
Phần cứng
Phần cứng là một trong những thành phần quan trọng của một hệ thống thông
tin. Nó là công cụ thu thập, xử lý dữ liệu hỗ trợ các hoạt động của HTTT. Trong
công ty tổng cộng có 2 máy chủ đặt tại trụ sở chính, 100 máy tính trong đó có 95
máy để bàn và 40 máy tính xách tay.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×