Tải bản đầy đủ (.doc) (68 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Một số giải pháp nâng cao tính an toàn bảo mật HTTT cho công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (953.66 KB, 68 trang )

Khóa luận tốt nghiệp

i

GVHD: TS. Nguyễn Thị Thu Thủy

LỜI CẢM ƠN
Trong q trình hồn thành khóa luận tốt nghiệp với đề tài “Một số giải pháp
nâng cao tính an tồn bảo mật HTTT cho công ty TNHH xuất nhập khẩu thương
mại và dịch vụ Tân Đại Dương”, lời đầu tiên, em xin gửi lời cảm ơn đến các thầy
cô giáo trường Đại học Thương Mại nói chung và các thầy cô giáo trong khoa Hệ
thống thông tin kinh tế và Thương mại điện tử nói riêng đã truyền cảm hứng và tạo
điều kiện cho em được học tập, nghiên cứu giúp em hiểu rõ hơn về chuyên ngành
Hệ thống thông tin kinh tế. Nhờ sự giảng dạy tận tình và cung cấp cho em những
kiến thức chuyên môn cần thiết, em có cơ hội xây dựng cho mình một nền tảng lý
luận vững chắc giúp em định hướng đề tài và hồn thành khóa luận tốt nghiệp. Đặc
biệt, em xin cảm ơn cô Tiến sĩ Nguyễn Thị Thu Thủy đã hướng dẫn và giúp đỡ nhiệt
tình, chỉ bảo em trong suốt thời gian thực hiện đề tài khóa luận tốt nghiệp để em có
thể hồn thành một cách tốt nhất.
Cuối cùng em xin cảm ơn sâu sắc đến ban giám đốc của Công ty TNHH Xuất
nhập khẩu Thương mại và Dịch vụ Tân Đại Dương, cùng các anh chị nhân viên ở
các bộ phận đã luôn tạo điều kiện thuận lợi, nhiệt tình giúp đỡ em trong quá trình
thực tập tại công ty, cũng như cung cấp cho em các tài liệu cần thiết để em hồn
thành tốt bài khóa luận của mình.
Em xin chân thành cảm ơn!
Hà Nội, ngày

tháng năm 2017

Sinh viên thực hiện:
Nguyễn Thị Chương



SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

ii

GVHD: TS. Nguyễn Thị Thu Thủy

MỤC LỤC
LỜI CẢM ƠN.............................................................................................................i
MỤC LỤC................................................................................................................ii
DANH MỤC TỪ VIẾT TẮT...................................................................................iv
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ.....................................................vi
PHẦN MỞ ĐẦU.......................................................................................................1
1. Tính cấp thiết của đề tài nghiên cứu..................................................................1
2. Tổng quan về vấn đề nghiên cứu........................................................................1
3. Mục tiêu và nhiệm vụ nghiên cứu......................................................................3
4. Phạm vi nghiên cứu.............................................................................................3
5. Phương pháp nghiên cứu....................................................................................4
6. Kết cấu khóa luận tốt nghiệp...............................................................................4
PHẦN II NỘI DUNG KHÓA LUẬN.......................................................................6
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT....................................6
1.1 Một số khái niệm cơ bản...................................................................................6
1.1.1 Khái niệm chung.............................................................................................6
1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý...............................................7
1.2. Một số cơ sở lý luận về An toàn bảo mật HTTT...............................................8

1.2.1. Một số hình thức tấn cơng đến bảo mật và các nguy cơ mất an tồn thơng
tin trong HTTT.........................................................................................................8
1.2.2. Một số phương pháp đảm bảo an toàn, bảo mật HTTT.............................11
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TỒN BẢO
MẬT HTTT CỦA CÔNG TY TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ
DỊCH VỤ TÂN ĐẠI DƯƠNG...............................................................................19
2.1. Giới thiệu chung về công ty TNHH xuất nhập khẩu thương mại và dịch vụ
Tân Đại Dương......................................................................................................19
2.1.1 Giới thiệu chung về công ty..............................................................................19
2.1.2 Cơ cấu tổ chức...............................................................................................19
2.1.3 Tình hình hoạt động kinh doanh của cơng ty..............................................20
2.1.4 Nguồn nhân lực CNTT.................................................................................21
2.2. Vấn đề an toàn bảo mật HTTT tại công ty TNHH xuất nhập khẩu thương
mại và dịch vụ Tân Đại Dương..............................................................................22
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

iii

GVHD: TS. Nguyễn Thị Thu Thủy

2.2.1. Thực trạng vấn đề An tồn bảo mật thơng tin.............................................22
2.2.2. Phân tích các ngun nhân dẫn đến việc mất an tồn bảo mật HTTT......26
2.2.3 Đánh giá An toàn bảo mật HTTT tại cơng ty...............................................27
CHƯƠNG 3: CÁC ĐỀ XUẤT VỀ AN TỒN BẢO MẬT HTTT CHO CÔNG TY
TNHH XUẤT NHẬP KHẨU THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG

29
3.1 Các phương pháp đề xuất nâng cao an toàn bảo mật HTTT cho cơng ty.......29
3.1.1 Nâng cao an tồn bảo mật thơng tin bằng biện pháp phần cứng................29
3.1.2 Nâng cao an toàn bảo mật thông tin bằng biện pháp phần mềm...............39
3.1.2 Một số giải pháp đảm bảo an toàn dữ liệu....................................................43
3.1.3 Một số biện pháp khắc phục tấn cơng từ bên ngồi.....................................48
3.1.4 Triển khai hệ thống tiêu chuẩn ISO.............................................................49
3.1.5 Đào tạo nhân lực, nâng cao nhận thức người dùng....................................50
3.2 Kết luận và kiến nghị.......................................................................................51
3.2.1 Kết luận chung..............................................................................................51
3.2.2 Kiến nghị.......................................................................................................52
TÀI LIỆU THAM KHẢO......................................................................................56
PHỤ LỤC

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

iv

GVHD: TS. Nguyễn Thị Thu Thủy

DANH MỤC TỪ VIẾT TẮT
1. DANH MỤC TỪ VIẾT TẮT TIẾNG VIỆT

STT
1

2
3
4
5
6

TỪ VIẾT TẮT

7

CBNV

8

ATBMTT

9

ATTT

HTTT
TNHH
CNH-HĐH
CNTT
TMĐT
CSDL

TỪ TIẾNG VIỆT
Hệ thống thông tin
Trách nhiệm hữu hạn

Công nghiệp hóa- Hiện đại hóa
Cơng nghệ thơng tin
Thương mại điện tử
Cơ sở dữ liệu
Cán bộ nhân viên
An toàn bảo mật thơng tin
An tồn thơng tin

2. DANH MỤC TỪ VIẾT TẮT TIẾNG ANH
TT

TỪ VIẾT TẮT

SVTH: Nguyễn Thị Chương

CỤM TỪ ĐẦY ĐỦ

NGHĨA TIẾNG VIỆT

MSV: 13D190216


Khóa luận tốt nghiệp

v

GVHD: TS. Nguyễn Thị Thu Thủy
Mơ hình kinh doanh thương

1


B2B

2

DoS

3

DDoS

4.

TCP/IP

Business To Business
Denial of Service
Distributed Denial of

nghiệp với doanh nghiệp
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ phân

Service
Transfer Control

tán
Bộ giao thức hỗ trợ việc truyền

Protocol/Internet


5
6

WAN
LAN

Protocol
Wide Area Network
Local Area Network

7

SSL

Secure Socket Layer

8

WEP

9

ADSL

10

DNS

11


VPN

12

PC

13

RAM

14

ISO

mại điện tử giữa doanh

thông giữa các máy tính
trên mạng
Mạng diện rộng
Mạng cục bộ
Tiêu chuẩn của công nghệ bảo

Wired Equivalent

mật
Bảo mật tương đương với

Privacy
Asymmetric Digital


mạng có dây
Đường dây th bao khơng đối

Subscriber Line
Domain Name System

xứng
Hệ thống phân giải tên

Virtual Private
Network
Personal Computer
Random Access
Memory
International
Organization for
Standardization

SVTH: Nguyễn Thị Chương

Mạng riêng ảo
Máy tính cá nhân
Bộ nhớ truy cập ngẫu nhiên
Tổ chức quốc tế và Tiêu chuẩn
hóa

MSV: 13D190216



Khóa luận tốt nghiệp

vi

GVHD: TS. Nguyễn Thị Thu Thủy

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
BẢNG BIỂU:
Bảng 1. Tình hình kinh doanh của công ty 3 năm gần đây................................. 20
Bảng 2. Dạng mạng trong đơn vị......................................................................... 23
Bảng 3. Yêu cầu đối với máy tính cá nhân người dùng....................................... 55
Bảng 4. Thông số kỹ thuật:................................................................................... 56
Biểu đồ 1. Biện pháp bảo vệ dữ liệu của công ty.................................................. 24
Biểu đồ 2. Biểu đồ tỷ lệ sử dụng phần mềm tại công ty...................................... 26
SƠ ĐỒ:
Sơ đồ 1. Mơ hình tổ chức bộ máy hoạt động của công ty.................................... 20
Sơ đồ 2. Hệ thống mạng của công ty TNHH Xuất nhập khẩu thương mại và
dịch vụ Tân Đại Dương......................................................................................... 23
Sơ đồ 3. Giải pháp phần cứng Firewall cho công ty TNHH xuất nhập khẩu
thương mại và dịch vụ Tân Đại Dương................................................................ 31
HÌNH VẼ:

Hình 2.1. Mối quan hệ giữa các yếu tố của một HTTT an tồn, bảo mật Bảo
mật HTTT quản lý...................................................................................................8
Hình 1. Tường lửa cho hệ thống mạng.................................................................30
Hình 2. Mạng riêng ảo VPN..................................................................................37
Hình 3. Giao thức SSL...........................................................................................42
Hình 4. Mơ hình căn bản của giải pháp Vbackup...............................................45
Hình 5. Phương pháp đẩy....................................................................................47
Hình 6. Phân tích dữ liệu mơ phỏng.....................................................................48

Hình 7. Firewall Cisco ASA 5510..........................................................................53

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

1

GVHD: TS. Nguyễn Thị Thu Thủy

PHẦN MỞ ĐẦU
1. Tính cấp thiết của đề tài nghiên cứu
Trong cơng cuộc CNH-HĐH như hiện nay, CNTT đã và đang chiếm vị trí
quan trọng chi phối đến hầu hết các mặt trong đời sống kinh tế xã hội, đặc biệt là
lĩnh vực kinh tế. Việc ứng dụng CNTT vào các hoạt động kinh doanh giúp cho các
doanh nghiệp kịp thời nắm bắt thơng tin, góp phần nâng cao hiệu quả kinh doanh,
theo kịp xu hướng thời đại.
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại
khả năng xử lý thông tin, nhưng hệ thống thơng tin cũng chứa rất nhiều điểm yếu.
Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của
người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm
vào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ
trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi
dụng. Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của
hệ thống thông tin, làm cho người dùng truy cập thơng tin dễ dàng hơn và tin tặc
cũng có nhiều mục tiêu tấn công dễ dàng hơn.
Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của

các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó
hoạt động ổn định và tin cậy. An tồn và bảo mật thông tin là thiết yếu trong mọi cơ
quan, tổ chức.
Nhận thức được tầm quan trọng của việc bảo mật an tồn thơng tin nên em
quyết định chọn đề tài: “Một số giải pháp nâng cao tính an tồn bảo mật HTTT cho
công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương” để nghiên
cứu rõ hơn về vấn đề này.
2. Tổng quan về vấn đề nghiên cứu
Ngành CNTT ngày càng phát triển và được ứng dụng rộng rãi trong các hoạt
động đời sống, việc an tồn và bảo mật thơng tin, dữ liệu được đặt lê hàng đầu, đã
có rất nhiều cơng trình nghiên cứu về an tồn và bảo mật thơng tin ra đời như:
Luận văn thạc sĩ của tác giả Nguyễn Minh Quang với đề tài Nghiên cứu một số
giải pháp an toàn và bảo mật thông tin trong các giao dịch thương mại điện tử đã
đưa ra được một số công cụ và phương pháp nhằm đảm bảo an tồn thơng tin trong
TMĐT như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu của luận văn chỉ
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

2

GVHD: TS. Nguyễn Thị Thu Thủy

dừng lại ở việc đảm bảo an tồn thơng tin trong TMĐT chứ khơng bao qt được
tồn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể.
Đề tài Đảm bảo an tồn thơng tin trong thương mại điện tử- Mơ hình từ doanh
nghiệp đến doanh nghiệp ở Việt Nam của tác giả Trần Thị Thập, Học viện Bưu

chính viễn thơng được in trên Tạp chí Khoa học ĐHQGHN: Kinh tế và kinh doanh,
tập 32, số 1 (2016) trang 22-30. Nội dung đề tài tập trung vào việc phân tích an tồn
thơng tin trong thương mại điện tử, đó là một trong những điều kiện đảm bảo phát
triển hoạt động thương mại điện tử của toàn bộ nền kinh tế. An tồn thơng tin trong
thương mại điện tử mơ hình từ doanh nghiệp đến doanh nghiệp (B2B) có vị trí quan
trọng bởi tỷ trọng giao dịch B2B chiếm đa số trong các giao dịch thương mại điện
tử trên tồn thế giới. Đảm bảo an tồn thơng tin trong thương mại điện tử B2B cần
được nghiên cứu trên quan điểm toàn diện: giữa bên mua và bên bán, từ chuyên
môn kỹ thuật đến quản lý, từ cấp độ quản lý nhà nước đến cấp độ quản trị doanh
nghiệp. Bài viết trình bày lý thuyết về an tồn thông tin trong thương mại điện tử
B2B, thực trạng an tồn thơng tin trong thương mại điện tử B2B và các giải pháp
đảm bảo an tồn thơng tin nhằm phát triển hoạt động thương mại điện tử B2B ở
Việt Nam trong thời gian tới.
Năm 2015, Quốc Hội đã ban hành bộ Luật an tồn thơng tin mạng số
86/2015/QH13 quy định về hoạt động an tồn thơng tin mạng, quyền, trách nhiệm
cơ quan, tổ chức, cá nhân trong việc bảo đảm an tồn thơng tin mạng, mật mã dân
sự; tiêu chuẩn, quy chuẩn kỹ thuật về an tồn thơng tin mạng; kinh doanh trong lĩnh
vực an tồn thơng tin mạng.
Năm 2015 vừa qua là một năm đầy biến động về an ninh bảo mật, đặc biệt là
tại Việt Nam. Theo báo cáo toàn cầu mới nhất từ Kaspersky Lab vào quý IV/2015,
Việt Nam đứng thứ ba trên thế giới về sự nguy hiểm tiềm ẩn khi lướt web với 35%
số người dùng đã bị tấn công. VNCERT cũng ghi nhận hơn 30.000 sự cố an ninh tại
Việt Nam trong năm 2015. Những số liệu này đặt ra cho các nhà lãnh đạo cùng
những chun gia an ninh, an tồn thơng tin những thách thức rất lớn trong việc bảo
mật, khi mà mối đe dọa từ tội phạm mạng ngày càng lớn, trong khi nhiều cá nhân
vẫn chưa biết cách sử dụng các biện pháp bảo đảm an toàn một cách hiệu quả. Hiện
nay hệ thống bảo mật thông tin của nhà nước đang hướng đến mục tiêu giúp các cơ
quan, tổ chức, doanh nghiệp nắm bắt và đánh giá những hiểm họa an ninh thông tin
hiện hữu cũng như đề xuất các phương án ứng phó kịp thời trước sự phát triển
SVTH: Nguyễn Thị Chương


MSV: 13D190216


Khóa luận tốt nghiệp

3

GVHD: TS. Nguyễn Thị Thu Thủy

nhanh chóng của các nguy cơ rị rỉ, lộ lọt thơng tin và đảm bảo tuân thủ các quy
định của An toàn, bảo mật. Trong quá trình phát triển mạnh mẽ của khoa học công
nghệ những năm gần đây, đặc biệt về lĩnh vực công nghệ thông tin, truyền thông,
những công nghệ mới đã mang lại rất nhiều lợi ích, tuy nhiên, thực tiễn cũng đang
nảy sinh thêm nhiều nguy cơ mất an ninh, an tồn thơng tin. Ở Việt Nam, các nguy
cơ mất an tồn thơng tin trong thời gian qua đã gia tăng cả về số lượng và tính chất,
mức độ nghiêm trọng. Bởi vậy, việc nâng cao nhận thức vào nghiên cứu, áp dụng
các giải pháp công nghệ mới để chủ động phịng ngừa đảm bảo an tồn thơng tin
cho cá nhân, tổ chức, doanh nghiệp đang trở thành vấn đề quan trọng vào cấp bách.
Ngày 29/3/2016 đã diễn ra sự kiện Security World 2016 với chủ đề Hội thảo- Triển
lãm quốc gia về An tồn, bảo mật thơng tin tại Hà Nội.
3. Mục tiêu và nhiệm vụ nghiên cứu
Mục tiêu nghiên cứu chung của đề tài là tập hợp và hệ thống hóa một số lý
thuyết, cơ sở lý luận cơ bản về an toàn và bảo mật dữ liệu, sử dụng những phương
pháp nghiên cứu khác nhau để phân tích đánh giá thực trạng vấn đề an tồn và bảo
mật dữ liệu trong mơi trường thực tế, đặc biệt là doanh nghiệp nói chung.
Mục tiêu nghiên cứu cụ thể trong đề tài này là:
+ Khái quát lý thuyết và cơ sở lý luận về an toàn và bảo mật thơng tin
+ Thu thập, phân tích, xử lý và đánh giá thực trạng tình hình an tồn bảo mật
thơng tin của cơng ty, tìm ra được những tồn tại về HTTT mà công ty chưa kịp thời

khắc phục dựa trên việc tìm hiểu thực tế tại cơng ty và dựa vào phiếu điều tra.
+ Đề xuất một số giải pháp nhằm khắc phục ngăn chặn các nguy cơ gây mất
an tồn bảo mật thơng tin cho cơng ty.
Nhiệm vụ là đề xuất những giải pháp thiết thực phù hợp để khắc phục những
thiếu sót, nâng cao tính an toàn và bảo mật, giúp ngăn chặn các nguy cơ tấn công hệ
thống thông tin, dữ liệu hiện tại và trong tương lai.
4. Phạm vi nghiên cứu
Phạm vi nghiên cứu của đề tài:
+ Phạm vi về không gian: Trụ sở giao dịch: Tầng 8 Tòa nhà 315 Trường
Chinh, Quận Thanh Xuân, TP Hà Nội của Công ty TNHH Xuất nhập khẩu Thương
mại và Dịch vụ Tân Đại Dương.
+ Phạm vi về thời gian: Các số liệu được khảo sát từ năm 2014-2016. Các số
liệu được khảo sát trong quá trình tham gia thực tập tại công ty.

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

4

GVHD: TS. Nguyễn Thị Thu Thủy

5. Phương pháp nghiên cứu
5.1. Phương pháp thu thập dữ liệu
5.1.1 Thu thập dữ liệu sơ cấp
Phương pháp điều tra trắc nghiệm thơng qua phiếu khảo sát.
Nội dung: Tình hình ứng dụng công nghệ thông tin, hệ thống thông tin và

thương mại điện tử tại công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân
Đại Dương.
Cách thức tiến hành: các phiếu khảo sát được gửi cho các nhân tại văn phịng
giao dịch Thanh Xn. Sau đó, số phiếu được tổng hợp lại, xử lý và đưa ra nhận xét.
Ưu điểm: Tiến hành nhanh chóng, hiệu quả và tiện lợi.
Nhược điểm: Câu trả lời khơng hồn tồn chính xác hoặc bị bỏ qua.
Mục đích áp dụng: Giúp thu thập thơng tin một cách nhanh chóng nhất, tiết
kiệm và xử lý một cách chính xác để có thể đưa ra nhận xét và đánh giá đúng.
5.1.2 Thu thập dữ liệu thứ cấp
Nghiên cứu tài liệu liên quan tới công nghệ thông tin, ngơn ngữ lập trình, cơ
sở dữ liệu, các cơng cụ xây dựng hệ thống, nền tảng wordpress là sách, báo, tạp chí
cũng như các bài viết trên internet để có thể tìm hiểu về xây dựng một website cụ
thể. Nhận thấy đây là một vấn đề rất quan trọng và khó nên em muốn phân tích và
thiết kế áp dụng thương mại điện tử vào một công ty xây dựng cụ thể.
5.2 Phương pháp phân tích và xử lý số liệu
Xử lý thông tin định lượng
Đối với các số dữ liệu thu thập được ở dạng số liệu có thể thống kê phân tích
và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõ các thuộc tính,
bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp thành nguyên
nhân của vấn đề được phát hiện. Thường sử dụng để đưa ra các bảng số liệu thống
kê, các biểu đồ thống kê, đồ thị. Thông tin sử dụng được lấy từ phiếu điều tra và các
tài liệu thống kê khác.
6. Kết cấu khóa luận tốt nghiệp
Chương 1: Cơ sở lý luận an toàn bảo mật HTTT trong doanh nghiệp
Nội dung chương 1 đề cập đến những cơ sở lý luận về an toàn bảo mật HTTT,
bao gồm những khái niệm cơ bản liên quan đến HTTT và an tồn bảo mật, một số
hình thức tấn công đến bảo mật và các nguy cơ mất an tồn thơng tin từ đó đưa ra
một số phương pháp chủ yếu nhằm đảm bảo an toàn và bảo mật thông tin cho
HTTT trong doanh nghiệp.


SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

5

GVHD: TS. Nguyễn Thị Thu Thủy

Chương 2: Phân tích, đánh giá thực trạng về an tồn bảo mật HTTT tại công
ty TNHH xuất khẩu thương mại và dịch vụ Tân Đại Dương
Nội dung chương 2 giới thiệu về công ty TNHH xuất nhập khẩu thương mại
và dịch vụ Tân Đại Dương. Qua quá trình nghiên cứu, nêu ra tình hình thực trạng về
vấn đề an tồn bảo mật của cơng ty đồng thời phân tích đánh giá và đưa ra những
nhận xét về cơng tác an tồn bảo mật HTTT.
Chương 3: Các kết luận và đề xuất về an tồn bảo mật HTTT tại cơng ty
TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương.
Nội dung chương 3 chủ yếu tập trung vào việc đề xuất và kiến nghị các biện
pháp nâng cao tính an tồn bảo mật HTTT cho cơng ty, gồm các phương pháp về
phần mềm, phần cứng và con người.

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp


6

GVHD: TS. Nguyễn Thị Thu Thủy

PHẦN II NỘI DUNG KHÓA LUẬN
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT
1.1 Một số khái niệm cơ bản
1.1.1 Khái niệm chung
Dữ liệu có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên
phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, dữ liệu là
những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu chưa
mang cho con người sự hiểu biết mà phải thơng qua q trình xử lý dữ liệu thành thơng
tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện.
Thông tin theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện,
một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối
với người sử dụng. Thông tin được coi như là một sản phẩm hồn chỉnh thu được
sau q trình xử lý dữ liệu.
Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thơng tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu
nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh
tranh.Với bên ngồi, hệ thống thơng tin giúp nắm bắt được nhiều thông tin về khách
hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Hệ thống thông tin quản lý (MIS-Management Information System) được hiểu
như là một hệ thống dùng để tiến hành quản lý cùng với những thông tin được cung
cấp thường xuyên. Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạt
động quản lý nên nói đến MIS là nói đến hệ thống thơng tin quản lý được trợ giúp

của máy tính. Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạng
lưới máy tính có tổ chức nhằm phối hợp việc thu thập, xử lý và truyền thông tin.
MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặt
chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấp
những thông tin cần thiết cho quản lý.
(Nguồn: Giáo trình mạng máy tính, 2008 , NXB Thơng tin và Truyền thơng.)
1.1.2 Khái niệm về an tồn, bảo mật HTTT quản lý
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

7

GVHD: TS. Nguyễn Thị Thu Thủy

An tồn bảo mật thông tin là vấn đề cơ bản của một HTTT quản lý, có rất
nhiều sách báo, giáo trình đưa ra khái niệm này. Tổng kết từ nhiều giáo trình trong
nước về khái niệm này ta đi tới một khái niệm phổ thông nhất, được biên soạn trong
các giáo trình đại học như sau :
An tồn thơng tin được hiểu như sau an tồn khi thơng tin đó khơng bị làm hỏng
hóc, khơng bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người khơng được phép.
Bảo mật thơng tin là duy trì tính bí mật, tính tồn vẹn và tính sẵn sàng của
thơng tin.
Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền
mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thơng
tin bởi vì đối với các tổ chức doanh nghiệp thì thơng tin là tài sản có giá trị hàng
đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ

làm cho thơng tin bị thất thốt đồng nghĩa với việc tài sản của cơng ty bị xâm hại,
có thể dẫn đến phá sản.
Tính tồn vẹn (integrity): Đảm bảo rằng thơng tin ln ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực.
Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công
không chỉ có ý định đánh cắp thơng tin mà cịn mong muốn làm cho thông tin bị
mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho cơng ty.
Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy
nhập được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thơng tin
chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được
đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thơng tin cũng trở nên
mất giá trị.

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

8

GVHD: TS. Nguyễn Thị Thu Thủy

Hình 2.1: Mối quan hệ giữa các yếu tố của một HTTT an tồn và bảo mật

Tính sẵn sàng

Tính tồn vẹn


Tính bảo mật

(Nguồn: Giáo trình an tồn dữ liệu, Bộ mơn CNTT, Trường Đại học Thương mại
Hà Nội, 2007)
Một HTTT nói chung và một HTTT quản lý nói riêng được coi là bảo mật khi
tính riêng tư của nội dung thơng tin được đảm bảo theo đúng các tiêu chí trong một
thời gian xác định.
1.2. Một số cơ sở lý luận về An tồn bảo mật HTTT
1.2.1. Một số hình thức tấn công đến bảo mật và các nguy cơ mất an tồn
thơng tin trong HTTT
1.2.1.1 Một số hình thức tấn cơng HTTT
Các hình thức tấn cơng có thể kể đến là hình thức tấn cơng thụ động và tấn
cơng chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu
trái phép. Vi phạm tính tồn vẹn, sẵn sàng dữ liệu.
Hình thức tấn cơng thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà khơng gây ảnh hưởng gì đến thơng tin được truyền từ nguồn đến đích.
Tấn cơng thụ động rất khó phát hiện và khó phịng tránh nên rất nguy hiểm. Hiện
nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phịng
tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được
lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn cơng trực tuyến
(online) và tấn công ngoại tuyến (offline), đây là những mối đe dọa an ninh mạng
khó phát hiện nhất.
+ Tấn cơng ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập
trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp. Đây là dạng
SVTH: Nguyễn Thị Chương

MSV: 13D190216



Khóa luận tốt nghiệp

9

GVHD: TS. Nguyễn Thị Thu Thủy

đánh cắp tài khoản đơn giản nhất, khơng u cầu có trình độ cao và cũng khơng tốn
bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn cơng này đơn
giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng khơng mã hóa trong tập tin có tên dễ
đốn trên đĩa cứng.
+ Tấn cơng trực tuyến khơng có mục tiêu cụ thể. Kẻ tấn cơng nhắm đến số
đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi
dụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất của
tấn công trực tuyến là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng
đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh
duy nhất là ý thức của người dùng.
Tấn công chủ động là các cuộc tấn công mà người tấn cơng hồn tồn cơng
khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm
hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống, là hình thức
tấn cơng có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của
dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu
từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ
phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản
trong thời gian thực. Tấn công chủ động khá tốn kém và u cầu trình độ kỹ thuật cao.
Tấn cơng chủ động bao gồm các phương pháp tấn công từ chối dịch vụ (DoS),
tấn công từ chối dịch vụ phân tán (DDoS), Tấn công tràn bộ đệm, tấn công qua ký
tự điều khiển đồng bộ SYN (Synchronous Idle Character), giả mạo, người trung
gian (MITM- Man in the Middle), giả mạo giao thức điều khiển truyền tin qua

Internet, tự động kết nối đường truyền. Hình thức này có nghĩa là lục lại thông tin từ
các vùng rác và đệm thông tin, để có được những thơng tin quan trọng và tấn công
nhờ các công cụ của các mạng xã hội.
Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin,
lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục
đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thơng tin cũng như các chương trình ứng dụng.
1.2.1.2 Các nguy cơ mất ATTT trong HTTT

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

10

GVHD: TS. Nguyễn Thị Thu Thủy

Một số nguy cơ về khả năng mất an tồn thơng tin mà Hệ thống CNTT cần
cảnh báo là:
+ Nguy cơ mất an tồn thơng tin về khía cạnh vật lý là nguy cơ mất an tồn
thơng tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm
bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại như
nhân viên xấu bên trong và kẻ trộm bên ngoài.
+ Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin: người dùng có thể vơ tình để
lộ mật khẩu hoặc khơng thao tác đúng quy trình tạo cơ hội cho kẻ xấu lợi dụng để lấy
cắp hoặc làm hỏng thông tin. Kẻ xấu có thể sử dụng cơng cụ hoặc kỹ thuật của mình để
thay đổi nội dung thơng tin (các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp.
+ Nguy cơ bị tấn công bởi các phần mềm độc hại : Các phần mềm độc hại tấn

công bằng nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mục
đích khác nhau như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware),...
Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,
file khác mà người sử dụng khơng hay biết. Thơng thừờng virus máy tính mang tính
chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các tính
chất: kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa này
sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông thường
chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy nhiên cũng có một số
virus khơng gây hại như chương trình được tạo ra chỉ với mục đích trêu đùa).
Worm loại virus lây từ máy tính này sang máy tính khác qua mạng, khác với
loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây
sang máy khác khi ai đó đem chương trình nhiễm virus sang máy này.
Trojan, Spyware, Adware là những phần mềm được gọi là phần mềm gián
điệp, chúng không lây lan như virus. Thường bằng cách nào đó (lừa đảo người sử
dụng thơng qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài
đặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thơng tin lấy được ra
bên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân.
+ Nguy cơ xâm nhập từ lỗ hổng bảo mật: Lỗ hổng bảo mật thường là do lỗi
lập trình, lỗi hoặc sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên
hệ điều hành hoặc trong chương trình cài đặt trên máy tính. Hiện nay các lỗ hổng
bảo mật được phát hiện ngày càng nhiều trong các hệ điều hành, các web server hay
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

11


GVHD: TS. Nguyễn Thị Thu Thủy

các phần mềm khác, ... Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra
các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước.
+ Nguy cơ xâm nhập do bị tấn cơng bằng cách phá mật khẩu là q trình truy
cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục người dùng và
một mật khẩu. Người dùng tài khoản có thể chia sẻ mật khẩu với những người khác,
ghi mật khẩu ra và để công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực
làm việc của mình. Những kẻ tấn cơng có rất nhiều cách khác nhau, phức tạp hơn để
tìm mật khẩu truy nhập. Kẻ tấn công sử dụng các phần mềm dị thử các mật khẩu
khác nhau có thể. Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên,
các từ trong từ điển và các số. Một số ví dụ về các chương trình đoán mật khẩu nổi
bật trên mạng Internet như: Xavior, Authforce và Hypnopaedia. Các chương trình
này làm việc tương đối nhanh và ln có trong tay của những kẻ tấn cơng.
+ Nguy cơ mất an tồn thơng tin trong q trình truyền tin: Trong q trình
lưu thơng và giao dịch thơng tin trên mạng internet nguy cơ mất an tồn thơng tin
trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặc
phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận.
1.2.2. Một số phương pháp đảm bảo an toàn, bảo mật HTTT
1.2.2.1Phương pháp đảm bảo an toàn HTTT
 Phân quyền người sử dụng
Người sử dụng (người dùng) là những người được quyền đăng nhập và sử
dụng tài nguyên của hệ thống trong phạm vi quyền hạn của mình. Phân quyền người
dùng là những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác đối
với hệ thống theo những yêu cầu khác nhau nhằm đảm bảo được sự an tồn của hệ
thống cũng như đảm bảo tính riêng tư của mỗi người.
Trong một hệ thống máy tính được nối mạng với nhau thì có thể có rất nhiều
người dùng cũng có quyền để khai thác tài nguyên của một máy tính. Mỗi người
dùng khi đã đã có quyền thì họ có thể làm tất cả mọi cơng việc trong phạm vi quyền
hạn của mình. Vì vậy khi tạo một tài khoản cho người dùng, cần cân nhắc kỹ lưỡng

về quyền hạn về quyền hạn của người đó đối với hệ thống, đặc biệt là khi cấp những
quyền như Adminnistrator hay Backup Operator. Một cơ chế người dùng tốt cần
đảm bảo những người dùng của hệ thống được phép khai thác tối đa những gì đã

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

12

GVHD: TS. Nguyễn Thị Thu Thủy

được cấp, đảm bảo mọi người được sử dụng một cách nhanh và dễ dàng nhất những
tài nguyên của hệ thống nếu không làm ảnh hưởng đến sự ổn định của hệ thống.
Để cho hoạt động của hệ thống được hiệu quả và tránh những sự lợi dụng một
tài khoản nào đó để đăng nhập bất hợp pháp vào hệ thống thì chúng ta cần chú ý khi
tạo ra tài khoản người dùng như đặt mật khẩu có độ an tồn cao cho tất cả các tài
khoản người sử dụng, thường xuyên thay đổi mật khẩu,…
Các quyền truy cập của người dùng
+ Quyền quản trị (Administrators) , đây là những người dùng có tồn quyền
với hệ thống, có thể tiến hành các thao tác với hệ thống cũng như thay đổi các tham
số về quyền sử dụng của mình cũng như của người dùng khác. Ứng với người dùng
local và người dùng mạng cũng có những nhóm Administrators của máy cục bộ và
toàn cục.Họ là những người quản trị hệ thống mạng của công ty.
+ Quyền sao lưu và khôi phục (Backup Operators), đây là những người dùng
như nhân viên quản lý về thơng tin dữ liệu của cơng ty, họ có quyền thực hiện việc
sao lưu và phục hồi đối với hệ thống file trong máy tính. Những người dùng thuộc

nhóm này được phép đăng nhập vào máy tính và có quyền tắt máy nhưng không
được quyền thay đổi các tham số về bảo mật của máy.
+ Quyền thêm người dùng (Power User), những người dùng được gán quyền
này được phép tạo người dùng cho hệ thống, ví dụ như Trưởng- Phó phịng. Những
người dùng thuộc nhóm này có quyền tạo các nhóm người dùng cục bộ và được
phép thêm bớt hay loại bỏ các người dùng thuộc các nhóm do mình tạo ra. Họ
khơng được phép thay đổi thơng tin, thêm bớt người dùng vào nhóm Administrators
và Backup Operator, ngồi ra người dùng thuộc nhóm này khơng được thực hiện
các thao tác sao lưu phục hồi hay các thao tác thêm bớt các thiết bị cũng như các
tham số về bảo mật.
+ Người dùng (User), người dùng thuộc nhóm này được phép thực hiện các
thao tác thông thường như: chạy các ứng dụng. sử dụng máy in, đăng nhập, thoát
hay tắt các máy trạm. Ngoài ra những người dùng này cịn được phép tạo các nhóm
người dùng trên máy cục bộ, được phép thêm bớt người dùng vào nhóm do mình
tạo ra và khơng được phép chia sẻ thư mục. Ví dụ: Nhân viên văn phịng,…
+ Khách (Guest), đây là người dùng do hệ thống tự động tạo ra sau khi được cài
đặt điều hành. Đặc điểm của người dùng này là không yêu cầu mật khẩu khi đăng
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

13

GVHD: TS. Nguyễn Thị Thu Thủy

nhập, tuy nhiên khi vào với người dùng này thì chỉ có những quyền rất hạn chế như
chỉ xem thư mục, tắt các máy trạm. Ví dụ: khách hàng, đối tác,… của công ty.

 Tường lửa (Firewall)
Tường lửa (Firewall) cho phép những người sử dụng mạng máy tính của một
tổ chức có thể truy cập tài nguyên của các mạng khác, nhưng đồng thời ngăn cấm
những người sử dụng khác, không được phép từ bên ngồi truy cập vào mạng máy tính
của tổ chức. Tư tưởng cơ bản của Firewall là đặt cấu hình mạng sao cho tất cả các
thơng tin vào ra mạng đều phải đi qua một máy tính được chỉ định, và đó chính là
Firewall, Firewall sẽ quyết định cho những gì đi qua và cấm khơng cho những gì đi qua
để đảm bảo an tồn. Một số tường lửa thông dụng trong các doanh nghiệp hiện nay:
Cisco, Safe@Office của Check Point, Juniper Netscreen-5GT Enhanced,…
Nguyên lý hoạt động của Firewall: Firewall hoạt động chặt chẽ với giao thức
TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ
các ứng dụng trên mạng. Các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS,
…) thành các gói dữ liệu rồi gán cho các gói này những địa chỉ có thể nhận dạng,
tái lập lại ở đích cần gửi đến. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó
nhận được, các luật lệ packet này là dựa trên các thông tin ở đầu mỗi packet dùng
để cho phép truyền các packet đó ở trên mạng, bao gồm:
+ Địa chỉ IP nơi xuất phát (Source)
+ Địa chỉ IP nơi nhận (Destination)
+ Những thủ tục truyền tin (TCP, UDP, ICMP,…)
+ Cổng TCP/UDP nơi xuất phát và nơi nhận
+ Dạng thông báo ICMP
+ Giao diện packet đến và đi
Vị trí lắp đặt của Firewall trong hệ thống
Tường lửa thường được lắp ở cổng vào ra của hệ thống mạng hay hệ thống
máy tính. Tường lửa cá nhân sau khi được cài đặt sẽ chiếm giữ việc quản lý các
thông tin đi vào hay đi ra cổng giao tiếp mạng của máy tính. Tường lửa hệ thống sẽ
được lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng đường kênh thuê
riêng (leased-line), hay Router ADSL.
Trong phiên bản của Windows XP SP2 thì phần mềm tường lửa được xây
dựng dựa trên ứng dụng người dùng đã được tích hợp sẵn bên trong và được mặc

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

14

GVHD: TS. Nguyễn Thị Thu Thủy

định ở chế độ bật, chế độ mặc định này có thể thay đổi được. Với phần mềm tường
lửa này, người sử dụng có thể dễ dàng thay đổi các tham số của tường lửa để ngăn
chặn các dịng thơng tin nguy hiểm có thể thâm nhập vào máy tính người dùng
thơng qua con đường Internet. Ngoài ra cơ chế sử dụng Firewall của Windows cho
phép người dùng kiểm soát được các luồng thơng tin ra vào máy tính thơng qua các
tệp nhật ký của tường lửa.
Đối với các hệ điều hành khơng được tích hợp sẵn phần mềm tường lửa, người
dùng hồn tồn có thể cài đặt các phần mềm tường lửa do các đơn vị sản xuất phần
mềm cung cấp sau đó cấu hình lại tường lửa này phù hợp với điều kiện của mình.
 Sao lưu dữ liệu
Các doanh nghiệp vừa và nhỏ xem việc mất mát dữ liệu là một trong những
rủi ro hàng đầu trong kinh doanh. Trong khi đó, tại Việt Nam việc mất mát dữ liệu
kinh doanh quan trọng đang đe dọa tới hoạt động của các doanh nghiệp. Cuộc khảo
sát gần đây cho thấy, 69% doanh nghiệp Việt Nam tham gia khảo sát đã gặp phải
tương đối hoặc trầm trọng vấn đề mất mát thông tin điện tử với thực tế 58% đã từng
bị mất thông tin sở hữu hoặc quan trọng trong quá khứ. Kết quả 100% doanh nghiệp
từng bị mất mát dữ liệu đã thấy những tổn thất trực tiếp như sụt giảm lợi nhuận, hay
chi phí tài chính trực tiếp bằng tiền mặt hoặc hàng hóa. Khơng chỉ có vậy, việc mất
mát thiết bị cũng là vấn đề thường xảy ra trong các doanh nghiệp với khoảng 2/3

doanh nghiệp khảo sát cho biết đã mất các thiết bị như máy tính xách tay, điện thoại
thơng minh hoặc máy tính bảng chỉ trong 1 năm. 100% các doanh nghiệp khảo sát
có ít nhất một vài thiết bị không trang bị mật khẩu và khả năng xóa tồn bộ dữ liệu
từ xa để bảo vệ thơng tin của mình khi bị mất. Trong q trình sử dụng sẽ khơng
tránh khỏi những ngun nhân chủ quan lẫn khách quan có thể xảy ra như virus,
xóa nhầm, hỏng ổ cứng, thiên tai hỏa hoạn,…Tất cả các nhược điểm trên có thể giải
quyết một cách triệt để thông qua các dịch vụ sao lưu trực tuyến, vừa đơn giản lại
an toàn, thuận lợi trong việc truy cập dữ liệu mật mọi lúc mọi nơi.
Sao lưu có rất nhiều phương pháp, có thể sao lưu bằng phương pháp truyền
thống bằng đĩa cứng của bộ nhớ trong hoặc bộ nhớ ngồi của máy tính, sao lưu
bằng phương pháp công nghệ như sao lưu trực tuyến,…
Sao lưu được tiến hành như sau: chạy phần mềm sao lưu trên máy tính và
chọn những phân vùng đĩa cứng (để tạo ảnh đĩa) hay các tệp tin và thư mục cần
thực hiện sao lưu. Khi sử dụng chế độ sao lưu tập tin và thư mục, cần phải biết nơi
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

15

GVHD: TS. Nguyễn Thị Thu Thủy

lưu thư điện tử, lịch làm việc, danh bạ liên lạc,… để tránh trường hợp bỏ sót. Khi đã
thực hiện sao lưu đầy đủ ở lần đầu tiên, có thể giảm đáng kể thời gian và không
gian bằng cách lưu trữ bằng cách tiếp tục sử dụng chế độ sao lưu khác biệt (cập nhật
tất cả dữ liệu có sự thay đổi so với bản sao lưu đầu tiên) hay sao lưu bổ sung (cập
nhật tất cả dữ liệu có sự thay đổi so với bản sao lưu mới nhất).

 Giải pháp về con người
Việc thực hiện đảm bảo an toàn HTTT phụ thuộc rất lớn vào yếu tố con người.
Con người là chủ thể trực tiếp tác động lên các hoạt động trong CNTT, bởi vậy cần
phải nghiên cứu rõ nhằm đưa ra những biện pháp đúng đắn để định hướng người sử
dụng trong khai thác nguồn tài nguyên. Cung cấp những hướng dẫn, những quy tắc,
và những quy trình để thiết lập một mơi trường thơng tin an tồn. Các chính sách
của hệ thống có tác dụng tốt nhất khi người dùng được tham gia vào xây dựng
chúng, làm cho họ biết rõ được tầm quan trọng của an toàn. Đào tạo và cho người
dùng tham gia vào uỷ ban chính sách an tồn là 2 cách để bảo đảm rằng người dùng
cảm thấy chính bản thân họ là những nhân tố trong việc xây dựng hệ thống an toàn
mạnh. Một ưu điểm của việc gắn người dùng theo cách này là nếu người dùng hiểu
được bản chất của các mối đe doạ về an tồn, họ sẽ khơng làm trái các nỗ lực bảo
đảm an tồn. Ví dụ: Gửi nhân viên đi tập huấn nâng cao trình độ CNTT tại một địa
chỉ có uy tín; Thu hút nguồn nhân lực CNTT có trình độ cao bằng các ưu đãi tốt,…
1.2.2.2 Phương pháp bảo mật HTTT
Dữ liệu, thông tin là nguồn tài liệu quan trọng đối với mỗi doanh nghiệp bởi
vậy việc bảo mật HTTT hiện nay là rất quan trọng. Sau đây là một số giải pháp cụ
thể nhằm hướng tới việc bảo mật HTTT tốt hơn:
Thứ nhất là về quản lý và tổ chức, xây dựng một cơ chế quản lý tài nguyên hệ
thống và các nguy cơ tương ứng đối với các tài nguyên đó đồng thời kiểm sốt an
tồn thơng tin với quy trình quản trị hệ thống và quản lý chính sách. Xây dựng
chính sách an ninh cho doanh nghiệp, đây là một trong những thành phần rất quan
trọng có tầm ảnh hưởng rất lớn đến hệ thống an ninh. Vì vậy, phải ln có những
chuyên gia được đào tạo bài bản chuyên nghiệp nhất để có thể cùng với các doanh
nghiệp xây dựng các chính sách an ninh đặc thù và phù hợp cho từng doanh
nghiệp/tổ chức cụ thể.
Thứ hai là về công nghệ, kiểm soát truy cập bằng cách: Thiết lập cơ chế kiểm
sốt chứng thực người dùng nhiều vịng ( Ví dụ: Cấu hình chứng thực người dùng
ProfTDD) trước khi cho phép truy cập vào hệ thống; Xây dựng hệ thống bức tường
SVTH: Nguyễn Thị Chương


MSV: 13D190216


Khóa luận tốt nghiệp

16

GVHD: TS. Nguyễn Thị Thu Thủy

lửa Firewall nhằm hạn chế và giám sát luồng thông tin giữa các hệ thống, ngăn chặn
các kết nối bất hợp pháp, đây là lớp an ninh chủ lực chuyên dùng để chống lại các
cuộc tấn cơng từ mơi trường bên ngồi như hacker, virus, spam….bảo vệ hệ thống
giảm thiểu tối đa các ảnh hưởng xấu từ bên ngoài. Khi được kết nối với mơi trường
bên ngồi. Trong thực tế: nguy cơ xâm nhập vào hệ thống nội bộ của doanh nghiệp
từ các đối tượng ngoại vi (như hacker, virus…), thông tin cung cấp tới người
dùng/khách hàng phải được toàn vẹn và các người dùng được phép từ bên ngoài dễ
dàng truy cập được; Giải pháp ngăn chặn mất mát dữ liệu (data lost prevention),
với kinh nghiệm trong việc thiết kế các giải pháp về an ninh hệ thống chuyên
nghiệp, doanh nghiệp phải đảm bảo cung cấp cho khách hàng các giải pháp chống
thất thốt thơng tin như: chống sao chép thơng tin ra khỏi hệ thống, chống gởi mail
kèm tập tin nhạy cảm đã được định trước ...nhằm hỗ trợ doanh nghiệp, nhất là các
doanh nghiệp sản xuất, ngân hàng.... giảm thiểu tối đa khả năng bị đánh cắp thông
tin quan trọng hoặc "lộ" thông tin với các đối thủ cạnh tranh; Xây dựng các hệ
thống phòng chống và phát hiện xâm nhập nhằm sớm phát hiện ra các lỗ hổng để xử
lý chúng một cách triệt để; Nâng cao bảo mật dữ liệu truyền qua wifi;...
Bảo mật kênh truyền dữ liệu
An toàn dữ liệu là việc đảm bảo an toàn dữ liệu ngay tại máy tính của người
sử dụng và an tồn dữ liệu khi truyền thơng. Dữ liệu thường bị mất an toàn nhất
trong khi truyền giữa người gửi và người nhận. Đây là khi dữ liệu dễ bị tấn công

nhất. Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực hiện trong quá
trình giao dịch qua các phương tiện điện tử. Đặc biệt là trong mơi trường truyền
thơng khơng dây (Wireless), kẻ tấn cơng có thể bắt được cũng như có thể can thiệp
vào các gói tin bất cứ khi nào chúng muốn, miễn là nằm trong cùng một vùng phủ
sóng. Trên mơi trường Internet, dữ liệu trước khi được truyền từ máy chủ đến máy
người sử dụng phải qua khá nhiều router trung gian, Hacker chỉ cần đột nhập vào
một trong các router này là có thể lấy được gói tin một cách dễ dàng. Vì vậy, bảo
mật kênh truyền dữ liệu trong việc thực hiện các giao dịch điện tử là việc làm rất
quan trọng. Hiện nay, việc bảo mật dữ liệu trên đường truyền chủ yếu được thực
hiện nhờ các giao thức truyền tin có mã hóa như: giao thức SSL, WEP,…
Giao thức SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa
hai chương trình ứng dụng trên một cổng định trước nhằm mã hóa tồn bộ thơng tin
SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

17

GVHD: TS. Nguyễn Thị Thu Thủy

đi/đến. Hiện nay, giao thức SSL được sử dụng rộng rãi cho các giao dịch điện tử như
truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.
Thứ ba là về tiêu chuẩn ISO 27001, ISO/IEC 27001 (Information Security
Management System – ISMS) là tiêu chuẩn quy định các yêu cầu đối với việc xây
dựng và áp dụng hệ thống quản lý an tồn thơng tin (Information Security
Management System – ISMS) nhằm đảm bảo tính bảo mật (confidentiality), tính
nguyên vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tin của

các tổ chức/doanh nghiệp. Việc áp dụng một hệ thống quản lý an tồn thơng tin sẽ
giúp các tổ chức/doanh nghiệp ngăn ngừa, hạn chế các tổn thất trong sản xuất, kinh
doanh liên quan tới việc hư hỏng, mất mát các thông tin, dữ liệu quan trọng.
ISO/IEC 27001 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 về quản
lý an tồn thơng tin. Bộ tiêu chuẩn này được xây dựng dựa trên các tiêu chuẩn về
quản lý an tồn thơng tin BS 7799 của Viện Tiêu chuẩn Anh (British Standards
Institute – BSI). Tháng 12 năm 2000, tiêu chuẩn BS 7799-1 được Tổ chức Tiêu
chuẩn hoá quốc tế (ISO) chính thức chấp nhận và ban hành thành tiêu chuẩn quốc tế
ISO/IEC 17799:2000. Năm 2005, tiêu chuẩn này được ban hành thành tiêu chuẩn
ISO/IEC 27001:2005 Công nghệ thơng tin – Hệ thống quản lý an tồn thơng tin –
Các yêu cầu.
Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:
+ ISO/IEC 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)
+ ISO/IEC 27001 các yêu cầu đối với hệ thống quản lý an tồn thơng tin
+ ISO/IEC 27002 qui phạm thực hành mơ tả mục tiêu kiểm sốt an tồn thơng
tin một các tồn diện và bảng lựa chọn kiểm sốt thực hành an toàn tốt nhất
+ ISO/IEC 27003 các hướng dẫn áp dụng
+ ISO/IEC 27004 đo lường và định lượng hệ thống quản lý an tồn thơng tin
để giúp cho việc đo lường hiệu lực của việc áp dụng ISMS
+ ISO/IEC 27005 quản lý rủi ro an tồn thơng tin
+ ISO/IEC 27006 hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ
của công nghệ thông tin và viễn thông.
Thứ tư về giáo dục đào tạo, tăng cường giáo dục, đào tạo thường xuyên, nhắc
nhở cán bộ nhân viên về sự cần thiết của bảo mật. Các quy định, chính sách bảo mật
cho người dùng cuối, các quy trình cho đội ngũ cán bộ CNTT cũng được rà
SVTH: Nguyễn Thị Chương

MSV: 13D190216



Khóa luận tốt nghiệp

18

GVHD: TS. Nguyễn Thị Thu Thủy

sốt/chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật. Tăng cường giáo dục
cho cán bộ nhân viên về sự cần thiết của bảo mật cũng như các biện pháp, quy định
bảo mật của cơng ty, cố gắng biến an tồn và bảo mật thông tin trở thành một phần
hữu cơ trong mỗi quy trình dịch vụ. Khi mỗi một nhân viên, dù ở bộ phận nào, làm
trong khâu nào của quá trình cung cấp dịch vụ, cũng hiểu được tầm quan trọng của
vấn đề an tồn và bảo mật thơng tin cho khách hàng và những biện pháp mà họ cần
thực hiện để đạt tới mục đích đó thì chất lượng dịch vụ sẽ được nâng cao, giúp
khách hàng hài lòng, yên tâm hơn và biến bảo mật trở thành một lợi thế cạnh tranh
cho doanh nghiệp.

SVTH: Nguyễn Thị Chương

MSV: 13D190216


Khóa luận tốt nghiệp

19

GVHD: TS. Nguyễn Thị Thu Thủy

CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TỒN
BẢO MẬT HTTT CỦA CÔNG TY TNHH XUẤT NHẬP KHẨU
THƯƠNG MẠI VÀ DỊCH VỤ TÂN ĐẠI DƯƠNG

2.1. Giới thiệu chung về công ty TNHH xuất nhập khẩu thương mại và
dịch vụ Tân Đại Dương
2.1.1 Giới thiệu chung về công ty
Tên đầy đủ: Công ty TNHH xuất nhập khẩu thương mại và dịch vụ Tân Đại Dương.
Tên giao dịch quốc tế: TANDAIDUONG SERVICE & TRADING IMPORT
EXPORT CO., LTD
Tên viết tắt: TDDGROUP CO.,LTD, hoạt động theo Giấy chứng nhận đăng ký
doanh nghiệp Công ty TNHH hai thành viên trở lên cấp ngày 22-04-2009 do Sở Kế
hoạch đầu tư thành phố Hà Nội cấp.
Trụ sở chính: Số 31, ngách 61/55, đường Lĩnh Nam, tổ 24, phường Vĩnh
Hưng, quận Hoàng Mai, TP Hà Nội.
Trụ sở giao dịch: Tầng 8 Tòa nhà 315 Trường Chinh, Quận Thanh Xuân, TP
Hà Nội.
Mã số thuế: 0103734612 Đăng kí bởi Chi cục thuế quận Hoàng Mai.
Người đại diện: Tổng Giám Đốc: Đoàn Mạnh Dương.
Số điện thoại: +04.3292.9292- Hotline: 097 416 66 88
Website: Email:
Lĩnh vực hoạt động: Đầu tư, xuất nhập khẩu, kinh doanh thương mại; Đầu tư
sản xuất nhà máy Khoáng chất, tư vấn đầu tư xây dựng các dự án (cả dự án NGO); Xuất
nhập khẩu thiết bị máy văn phịng, máy cơng nghiệp khai khống, khai thác mỏ, phụ
tùng máy thủy, hàng kim khí, thiết bị điện máy, phát điện, điện tử, tin học;…
2.1.2 Cơ cấu tổ chức
TDD Group hiện đã xây dựng được một đội ngũ cán bộ nhân sự giàu kinh
nghiệm trong lĩnh vực công nghệ thông tin và thương mại điện tử, được đào tạo từ
các trường đại học danh tiếng.

SVTH: Nguyễn Thị Chương

MSV: 13D190216



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×