Tải bản đầy đủ (.docx) (47 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Thương mại

Một số giải pháp đảm bảo an toàn và bảo mật thông tin cho HTTT tại công ty cổ phần ITSOL

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (774.22 KB, 47 trang )

LỜI CẢM ƠN
Để hoàn thành đề tài khóa luận và kết thúc khóa học, với tình cảm chân thành,
em xin bày tỏ lòng biết ơn sâu sắc tới trường Đại học Thương Mại đã tạo điều kiện cho
em có môi trường học tập tốt trong suốt thời gian em học tập tại trường.
Đầu tiên, em xin gửi lời cảm ơn tới giảng viên hướng dẫn Ths.Cù Nguyên Giáp
đã giúp đỡ em trong suốt quá trình nghiên cứu và trực tiếp hướng dẫn em hoàn thành
đề tài khóa luận tốt nghiệp này. Đồng thời, em xin bày tỏ lòng cảm ơn tới thầy cô trong
Khoa …, bạn bè đã giúp đỡ, tạo điều kiện cho em trong suốt quá trình học tập và hoàn
thành Khóa luận tốt nghiệp lần này.
Dưới đây em cũng xin được cảm ơn sự giúp đỡ của các anh chị, cô chú nhân
viên trong công ty Cổ Phần ITSOL và ban lãnh đạo công ty đã tạo mọi điều kiện để
giúp em trong quá trình thực tập.
Trong quá trình làm khóa luận tốt nghiệp, dù đã cố gắng và nỗ lực hết mình,
song em cũng gặp một vài khó khăn nhất định do hạn chế về kỹ năng, kiến thức nên
bài viết báo cáo của em vẫn còn những sai sót nhất định, rất kính mong được sự góp ý,
giúp đỡ của thầy cô để bài viết được hoàn thiện hơn.
Một lần nữa, em xin trân thành và cảm ơn tất cả!
Trân trọng!

MỤC LỤC

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
TÊN
Hình 1.1
Biểu đồ 1.1
1

NỘI DUNG
Ba mục tiêu bảo mật thông tin
Tỷ lệ nguy cơ mất an toàn, bảo mật thông tin của các nước trên thế giới
1




Hình 2.1
Bảng 2.1
Bảng 2.2
Bảng 2.3
Bảng 2.4
Hình 2.2
Hình 2.3
Hình 2.4
Bảng 2.5
Bảng 2.6
Bảng 2.7
Bảng 2.8
Bảng 2.9
Bảng 2.10
Bảng 2.11
Bảng 3.1
Hình 3.1
Hình 3.2

Hình ảnh các giải thưởng đạt được của công ty Cổ Phần ITSOL
Tình hình hoạt động của công ty ITSOL năm 2016
Tình hình hoạt động của công ty ITSOL năm 2017
Tình hình hoạt động của công ty ITSOL năm 2018
Thông số về phần cứng máy trạm tại công ty Cổ Phần ITSOL
Hình minh họa mô hình mạng LAN kiểu hình sao
Hình ảnh phần mềm kế toán MISA MSE.NET
Sơ đồ hệ thống quản lý dữ liệu
Yếu tố quan trọng ảnh hưởng đến an toàn và bảo mật thông tin trong

HTTT của công ty.
Tầm quan trọng của công tác ATBM cho HTTT tại công ty.
Mức độ an toàn, bảo mật thông tin cho HTTT trong công ty
Các phương pháp bảo mật thông tin cho khách hàng mà công ty sử dụng
Những thách thức về vấn đề an toàn và bảo mật HTTT đối với công ty
Tần suất sao lưu dữ liệu trong công ty
Mật độ trang bị các thiết bị phần cứng bảo mật trong công ty
Bảng so sánh kĩ thuật giữa server cũ và server đề xuất
Hình ảnh mô tả bước 1 chọn chứng thư số
Nhập mã Pin vào và click đồng ý

Hình 3.3
Hình 3.4
Hình 3.5

Chọn xem thông tin doanh nghiệp
Giao diện phần mềm GiliSoft File Lock Pro
Mô hình phân hoạch dữ liệu đảm bảo an toàn khi khai thác

DANH MỤC CÁC TỪ VIẾT TẮT

TỪ VIẾT TẮT

GIẢI NGHĨA

ATBM HTTT

An toàn, bảo mật hệ thống thông tin

CNTT


Công nghệ thông tin

ATTT

An toàn thông tin

Dos

Denial of Service

DNS

Domain Name System

URL

Uniform Resource Locato

SQL

Structured Query Language

2

2


ĐTĐM


Điện toán đám mây

ICT

Information Communication Technology

BPO

Business Process Outsourcing

ITO

Information Technology Organization

KPO

Knowledge Process Outsourcing

QA/QC

Quality Assurance/Quality control

IT

Information Technology

FPT

Financing Promoting Technology


LAN

Local Area Network

VPN

Virtual Private Network

CPU

Central Processing Unit

CSDL

Cơ sở dữ liệu

BKAV

Bách Khoa Antivirus

VNPT

Vietnam Posts and Telecommunications Group

WEP

Wireless Encryption Protocol

SSL


Secure Sockets Layer

3

3


PHẦN MỞ ĐẦU
1.Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu:
Cuộc cách mạng tin học vào những thập kỷ cuối của thế kỷ XX đã dẫn đến sự
ra đời môi trường trao đổi thông tin mới - hệ thống thông tin điện tử. Hệ thống thông
tin điện tử chính là hạ tầng cơ sở kỹ thuật của công cuộc toàn cầu hóa, nó đụng chạm
đến tất cả mọi quốc gia và mọi mặt của đời sống chính trị, quốc phòng, an ninh, kinh
tế - xã hội.
Hiện nay, khi mà công nghệ ngày càng phát triển và len lỏi vào trong mọi lĩnh
vực trong cuộc sống, việc ứng dụng công nghệ thông tin vào công cuộc quản lý trong
doanh nghiệp là một điều tất yếu. Khi mà lời kêu gọi cho công cuộc cách mạng công
nghệ 4.0 được đưa ra từ các đơn vị, tổ chức và chính phủ ngày càng nhiều. Các doanh
nghiệp dần ý thức được tầm quan trọng của công nghệ và có các bước chuyển thay đổi
mình.
Vấn đề đảm bảo an toàn thông tin và bảo mật dữ liệu đối với các doanh nghiệp
nói chung và đối với công ty Cổ Phần ITSOL nói riêng là vô cùng quan trọng. Thế
nhưng, bên cạnh sự thuận lợi mà hệ thống thông tin điện tử mang lại là những nguy cơ
tiềm ẩn về mặt an toàn. Chỉ xét về góc độ kỹ thuật, các nguy cơ mất an toàn đã hết sức
đa dạng. Người ta có thể tiếp cận trực tiếp đối tượng thông qua chương trình do người
dùng để đọc hoặc ghi lại tệp thông tin, cài đặt các chương trình gián điệp, xây dựng
đường ngầm trong quá trình thiết kế…Có thể coi HTTT như là thành phần quan trọng
của doanh nghiệp, nó quyết định mọi hoạt động hàng ngày của doanh nghiệp. Nhưng
cũng chính vì tầm quan trọng đó mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng
nề cho doanh nghiệp. Chính vì vậy, cần có những giải pháp để nâng cao an toàn bảo

mật cho HTTT doanh nghiệp.
Ý thức được tầm quan trọng này công ty đã triển khai các biện pháp đảm bảo an
toàn thông tin như xây dựng tường lửa, cài các phần mềm diệt virut. Song vẫn chưa
thực sự đạt hiệu quả triệt để. Để hạn chế những rủi ro về mất an toàn thông tin trong
doanh nghiệp công ty cần tiến hành những biện pháp đảm bảo an toàn thông tin khác
hiệu quả hơn, tiên tiến hơn và đã được chứng minh là có hiệu quả trên thực tế. Do đó
qua quá trình tìm hiểu và thực tập tại công ty Cổ Phần ITSOL em xin thực hiện đề tài
khoá luận: “Một số giải pháp đảm bảo an toàn và bảo mật thông tin cho HTTT tại
công ty Cổ Phần ITSOL”.
2. Mục tiêu và nhiệm vụ nghiên cứu:
Mục tiêu của đề tài là có thể hệ thống hóa lại các thông tin, kiến thức về vấn đề
an toàn và bảo mật thông tin trong doanh nghiệp. Các khái niệm về thông tin, dữ liệu,
hệ thống thông tin, an toàn thông tin và bảo mật thông tin…bằng các phương pháp thu
4


thập dữ liệu khác nhau. Từ đó, xem xét đánh giá phân tích thực trạng vấn đề an toàn
bảo mật HTTT để đưa ra những ưu nhược điểm.
Để có thể đi sâu vào đề tài, ta cần làm rõ các nhiệm vụ nghiên cứu sau:
- Làm rõ thực trạng, nguyên nhân và đưa ra giải pháp để đẩm bảo an toàn và
bảo mật thông tin tại công ty Cổ Phần ITSOL.
- Nghiên cứu các giải pháp đảm bảo an toàn thông tin và chứng minh nó đã
được triển khai và đạt hiệu quả nhất định.
3. Đối tượng và phạm vi nghiên cứu:
3.1: Đối tượng nghiên cứu:
- HTTT, CNTT của công ty Cổ Phần ITSOL.
- Nghiên cứu các biện pháp đảm bảo an toàn và bảo mật thông tin mà công ty
đang áp dụng, cũng như thực trạng và hiệu quả của nó.
- Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của doanh nghiệp.
3.2: Phạm vi nghiên cứu:

- Về không gian: Vấn đề an toàn và bảo mật thông tin cho HTTT tại công ty Cổ
Phần ITSOL
- Về thời gian: Từ năm 2016 cho đến nay.
4. Phương pháp nghiên cứu:
4.1: Phương pháp thu thập dữ liệu:
- Thu thập dữ liệu thứ cấp: qua các tài liệu báo cáo, thống kê, sách báo và các
công trình nghiên cứu đã có sẵn.
+ Thu thập dữ liệu từ bên trong: thông qua nguồn tài liệu của công ty bao gồm
báo cáo các kết quả tình hình hoạt động của công ty trong 3 năm gần đây.
+ Thu thập dữ liệu từ bên ngoài: thông qua các tài liệu, tạp chí, các công trình
nghiên cứu trên thế giới
- Thu thập dữ liệu sơ cấp: Phương pháp phỏng vấn (nội dung, cách thức tiến
hành, ưu nhược điểm, mục đích áp dụng, mẫu câu hỏi phỏng vấn, số lượng người/đơn
vị phỏng vấn), thu thập dữ liệu qua phiếu điều tra:
+ Phương pháp thu thập dữ liệu qua phiếu điều tra được tiến hành theo một
bảng câu hỏi bao gồm các câu hỏi liên quan đến vấn đề ATBM thông tin của công ty,
cũng như thực trạng và hiệu quả của nó.
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công
ty để thu thập ý kiến.
- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của
công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để
nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty Cổ Phần
ITSOL.
5


4.2: Phương pháp xử lý dữ liệu:
Trong khóa luận, phương pháp sử lý dữ liệu thường được thực hiện trên cơ sở
tổng hợp và vận dụng các phương pháp nghiên cứu như thống kê, tổng hợp, phân tích,
so sánh, định tính, định lượng. Cụ thể trong đề tài này em sử dụng:

Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng
vấn, phiếu điều tra và các tài liệu thu thập được.
Phương pháp này được sử dụng nhằm tìm ra thực trạng của vấn đề an toàn và
bảo mật HTTT, nguyên nhân gây mất an toàn thông tin tại công ty Cổ Phần ITSOL, từ
đó đưa ra các giải pháp phù hợp.
Phương pháp định lượng: Phương pháp định lượng là phương pháp nghiên cứu
mà dữ liệu thu thập được là số lượng (number). Công cụ thường được sử dụng trong
phương pháp là khảo sát bằng phiếu điều tra.
Phương pháp so sánh: Mục đích của phương pháp này là đánh giá cái được,
mất khi công ty vận dụng các giải pháp về an toàn, bảo mật thông tin so với khi công
ty chưa áp dụng các giải pháp an toàn, bảo mật thông tin phục vụ cho hoạt động kinh
doanh.
5. Kết cấu khóa luận:
Ngoài các phần như lời cảm ơn, phần mở đầu, khóa luận gồm các chương:
Chương 1. Cơ sở lý luận của vấn đề an toàn và bảo mật thông tin cho HTTT tại
công ty Cổ Phần ITSOL.
Chương 2. Kết quả phân tích, đánh giá thực trạng của vấn đề an toàn và bảo
mật thông tin cho HTTT tại công ty Cổ Phần ITSOL.
Chương 3. Định hướng phát triển và đề xuất về vấn đề an toàn và bảo mật
thông tin cho HTTT tại công ty Cổ Phần ITSOL.

6


CHƯƠNG 1. CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ AN TOÀN VÀ BẢO MẬT
THÔNG TIN CHO HTTT TẠI CÔNG TY CỔ PHẦN ITSOL.
1.1 Những khái niệm cơ bản:
1.1.1: Khái niệm dữ liệu, thông tin, hệ thống, HTTT trong doanh nghiệp
1.1.1.1: Khái niệm thông tin:
Có rất nhiều cách hiểu về thông tin. Thậm chí ngay các từ điển cũng không thể

có một định nghĩ thống nhất. Nguyên nhân của sự khác nhau trong việc sử dụng thuật
ngữ này chính là do thông tin không thể sờ mó được. Người ta bắt gặp thông tin chỉ
trong quá trình hoạt động, thông qua các tác động trừu trượng của nó. Theo nghĩa
thông thường, thông tin là tất cả các sự kiện, sự việc, ý tưởng, phán đoán làm tăng
thêm sự hiểu biết của con người. Thông tin hình thành trong quá trình giao tiếp: một
người có thể nhận thông tin trực tiếp từ người khác thông qua các phương tiện thông
tin đại chúng, từ các ngân hàng dữ liệu hoặc từ tất cả các hiện tượng quan sát được
trong môi trường xung quanh.
1.1.1.2: Khái niệm dữ liệu:
Dữ liệu là chuỗi bất kỳ của một hoặc nhiều ký hiệu có ý nghĩa thông qua việc
giải thích một hành động cụ thể nào đó.
Dữ liệu cũng là một khái niệm rất trừu tượng, là thông tin đã được đưa vào máy
tính. Dữ liệu sau khi tập hợp lại và xử lí sẽ cho ta thông tin. Hay nói cách khác, dữ liệu
là thông tin đã được mã hoá trong máy tính. Chẳng hạn, con số điểm thi là một dữ liệu
hoặc con số về nhiệt độ trong ngày là một dữ liệu, hình ảnh về con người, phong cảnh
cũng là những dữ liệu…
1.1.1.3: Khái niệm hệ thống:
Hệ thống được xem như là tập hợp các phân tử tương tác được tổ chức nhằm
thực hiện một mục tiêu xác định. (Phân tích và thiết kế hệ thống thông tin quản lý,
Đinh Thế Hiển nhà xuất bản Thống kê, 2002)
1.1.1.4: Khái niệm hệ thống thông tin:
Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức. (trích Phân tích và thiết kế hệ thống thông tin, Nguyễn Văn Ba Nhà xuất bản
Đại học Quốc Gia Hà Nội, 2003)
Từ khi ra đời và phát triển, hệ thống thông tin phục vụ rất nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.
7



Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng
hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
1.1.2: Khái niệm an toàn và bảo mật thông tin trong HTTT doanh nghiệp
1.1.2.1 Khái niệm an toàn thông tin:
Là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn. Nó bao
gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu
chỉnh, xóa thông tin. Thông tin được coi là an toàn khi thông tin đó không bị làm hỏng
hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
1.1.2.2 Khái niệm bảo mật thông tin:
Là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự “đánh cắp, ăn
cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng như sự bảo mật an toàn
thông tin nói chung. Việc bảo mật tốt những dữ liệu và thông tin sẽ tránh những rủi ro
không đáng có cho chính cá nhân và doanh nghiệp.
Ba yếu tố không thể tách rời trong việc bảo mật từ A đến Z của thông tin là:
- Tính bảo mật (Confidentially): Tức là đảm bảo chỉ có những cá nhân được
cấp quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu rất quan trọng của
bảo mật thông tin vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản vô cùng
quý giá và đòi hỏi sự riêng tư, việc các cá nhân không được cấp quyền truy nhập trái
phép vào hệ thống sẽ làm cho thông tin bị có nguy cơ bị đánh cắp, xáo trộn đồng nghĩa
với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Tức
là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm
bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi. Kẻ tấn công
không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất
giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập

được vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu
ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo
nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.

8


Từ các phân tích trên ta có thể nhận định: Vấn đề bảo mật thông tin không chỉ
đơn thuần là việc chống lại các cuộc tấn công từ hacker, mà còn ngăn chặn malware để
đảm bảo thông tin không bị phá hủy hoặc bị tiết lộ ra ngoài…

Tính sẵn sàng

Tính toàn vẹn

Tính bảo mật

Hình 1.1: Ba mục tiêu bảo mật thông tin

1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT trong
doanh nghiệp:
Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môi
trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.
Điển hình là những yếu tố gây ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT như:
công nghệ, bảo quản và sử dụng, virut máy tính, con người…
- Yếu tố công nghệ: Về thực chất, máy tính là một thiết bị điện tử nên mặc dù
được sản xuất trên dây chuyền công nghệ được quản lý nghiêm ngặt, song chất lượng
máy tính làm ra vẫn bị ảnh hưởng bởi nhiều yếu tố ngẫu nhiên. Ngoài ra, như mọi sản
phẩm khác thì máy tính (nhất là các thiết bị lưu trữ dữ liệu) cũng có tuổi thọ nhất định.
Các bộ phận của máy tính được sử dụng càng lâu thì độ tin cậy càng giảm. Dù ở mức

không dễ dàng nhận biết được, nhưng chỉ cần một vùng nhỏ của thiết bị lưu trữ bị
hỏng cũng đã có thể gây ra sự cố không đọc được thông tin lưu trên đó.
Tương tự, các phần mềm máy tính, kể cả hệ điều hành không phải lúc nào cũng
hoạt động ổn định và đúng như mong muốn. Những sự cố như treo máy, không tương
tác được với các phần mềm… đôi khi vẫn xảy ra và điều này cũng có thể làm mất
thông tin.
Công nghệ được chia làm hai loại: Phần cứng và phần mềm.

9


+ Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị
thu thập, xử lý và lưu trữ thông tin…
+ Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng
chống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
- Yếu tố bảo quản và sử dụng: Là một thiết bị điện tử, máy tính cần phải được
bảo quản và sử dụng hợp lý. Để máy tính ở những nơi ẩm thấp, nhiệt độ cao hay bị ảnh
hưởng bởi ánh nắng trực tiếp chiếu vào, những sơ suất làm máy tính bị ngấm nước hay
bị va đập mạnh… cũng làm giảm tuổi thọ của máy tính.
+ Việc sử dụng máy tính không đúng cách như khởi động, tắt, hay thoát khỏi
chương trình không hợp lệ cũng có thể gây mất thông tin.
- Yếu tố virut máy tính: Hiện nay virut trở thành một trong những nguyên nhân
gây mất thông tin với nhiều hậu quả nghiêm trọng khác nhau. Để hạn những hậu quả
đó, ta cần thực hiện các biện pháp đề phòng cần thiết, cần tạo thói quen sao lưu dữ liệu
và phòng chống virut máy tính.
- Yếu tố con người: Ngoài những yếu tố trên thì yếu tố con người cũng là nhân
tố quan trọng gây ảnh hưởng đến hiệu quả ATBM thông tin trong HTTT trong doanh
nghiệp.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.
Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc vào chuyên môn, nghề nghiệp,

năng lực sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt động
độc lập hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất
định của hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ
trong các tổ chức. Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lập
nên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận
hành của mạng lưới thông tin quản lý.
Các yếu tố con người đóng vai trò quan trọng trong việc bảo vệ máy tính,
những yếu tố như sự khác biệt cá nhân, khả năng nhận thức và đặc điểm tính cách có
thể ảnh hưởng tới hành vi. Các hành vi bảo mật thông tin cũng bị ảnh hưởng mạnh mẽ
bởi nhận thức của cá nhân về rủi ro. Ngoài ra, tất cả những yếu tố này còn bị ảnh
hưởng bởi văn hóa tổ chức và môi trường an ninh mà chúng xuất hiện trong đó nữa.
Những nhân tố này tương tác với nhau và có thể dẫn tới những hành vi thường gây bất
lợi cho việc bảo mật thông tin.
Swain & Guttman (1983) phân biệt 5 loại lỗi khác nhau thuộc nhân tố con
người, có thể được dùng để lý giải cho những lỗ hổng bảo mật thông tin. Thứ nhất, có
những hành vi bị bỏ qua, theo đó mọi người quên thực hiện một hành động cần thiết.
Chẳng hạn như, trong lĩnh vực bảo mật thông tin, điều này có thể liên quan tới sự
10


không thường xuyên thay đổi mật khẩu. Thứ hai, sai sót lắm khi là những hành vi
phạm phải, trong đó mọi người thực hiện một thủ tục hay một hành động không đúng,
chẳng hạn như viết mật khẩu ra. Thứ ba, một số lỗi là do những hành vi không liên
quan gây ra, gồm cả việc làm điều gì đó không cần thiết. Thứ tư, các lỗi có thể bắt
nguồn từ những hành vi được thực hiện tuần tự, bao gồm việc làm điều gì đó không
theo đúng trật tự. Cuối cùng, Swain & Guttman (1983) nói đến lỗi về mặt thời gian, bị
gây ra bởi những người không thực hiện nhiệm vụ trong khoảng thời gian quy định.
1.1.4: Vai trò của an toàn và bảo mật thông tin trong doanh nghiệp
Thông tin đối với mỗi doanh nghiệp được coi như là tài sản quý giá và quan

trọng, nên việc đảm bảo an toàn và bảo mật thông tin là rất cần thiết và luôn được đặt
lên hàng đầu.
Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của
các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt
động ổn định và tin cậy. An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan,
tổ chức.An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy
tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin
lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về
thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt
động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATTT doanh nghiệp
cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh
nghiệp.
1.1.5: Thông tin doanh nghiệp và những tác động cụ thể của những công cụ
an toàn, bảo mật tới HTTT doanh nghiệp
- Thông tin doanh nghiệp: Là những thông tin của doanh nghiệp về nhân sự,
cơ cấu tổ chức, các chính sách, các hoạt động kinh doanh và mục tiêu phát triển của
doanh nghiệp. Ngoài ra còn có các thông tin nhạy cảm như: báo cáo tài chính, báo cáo
kết quả hoạt động kinh doanh, thông tin khách hàng…
- Tác động của những công cụ an toàn, bảo mật tới HTTT doanh nghiệp:
Các công cụ an toàn, bảo mật HTTT trong doanh nghiệp hoạt động càng hiệu quả thì
các sự tấn công từ bên trong hay lẫn bên ngoài đều hạn chế hơn và các hoạt động chủ
yếu của doanh nghiệp sẽ không bị ngừng hẳn. Đồng thời, khi các công cụ an toàn, bảo
mật thông tin được áp dụng thì các hoạt động hay các thông tin sẽ được khắc phục kịp
thời mà không gây thiệt hại về vật chất hay thông tin cho doanh nghiệp. Khi HTTT
11



-

-

quản lý hoạt động an toàn thì các thông tin mà HTTT cung cấp sẽ chính xác và có độ
tin cậy cao hơn.
1.2: Phân định nội dung vấn đề nghiên cứu của đề tài:
1.2.1: Xác định đối tượng cần đảm bảo an toàn, bảo mật:
Để đảm bảo một HTTT được an toàn và bảo mật tức là phải đảm bảo thông tin
đầu vào và đầu ra của HTTT được an toàn, bảo mật. Do đó đối tượng chính là cần bảo
vệ thông tin cho HTTT. Thông tin trong doanh nghiệp có nhiều mức độ khác nhau và
mỗi mức độ lại cần có những chính sách về an toàn, bảo mật riêng. Có những thông tin
được đưa vào diện bảo mật ở cấp cao mà rất ít người được biết chỉ những người được
cấp quyền mới có thể xem thông tin này. Có những thông tin lại cần đảm bảo an toàn,
bảo mật ở mức độ thấp hơn. Tóm lại, doanh gnhieepj cần xác định đúng đắn các thông
tin cần an toàn, bảo mật để từ đó có nhứng chính sách, công cụ hợp lý để hỗ trợ việc
bảo mật thông tin cho doanh nghiệp.
1.2.2: Xác định mục tiêu an toàn, bảo mật:
Mục tiêu của an toàn, bảo mật thông tin cho HTTT là phát hiện những lỗ hổng
của HTTT, dự báo trước các nguy cơ tấn công và ngăn chặn các hành động gây mất an
toàn cho thông tin từ bên trong lẫn bên ngoài. Một HTTT an toàn phải đảm bảo được 3
yêu cầu: tính sẵn sàng, tính bảo mật, tính toàn vẹn. Trong kĩ thuật, bảo mật được gọi là
mục tiêu CIA. Để đạt được mục tiêu CIA, không chỉ đơn giản là thực hiện một vài
biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ thống mà bảo
mật là một chu trình liên tục theo thời gian.
1.2.3: Các nguy cơ và hình thức tấn công HTTT trong Doanh Nghiệp:
1.2.3.1: Các nguy cơ mất ATTT trong HTTT
Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
Nguy cơ ngẫu nhiên:

Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan
như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những
nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là
nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định:
+ Nguy cơ bị mất, hỏng, sửa đổi thông tin: Một trong những nỗi lo nhất của
Doanh nghiệp mỗi khi xảy ra sự cố an toàn thông tin là bị mất, hỏng, bị thay đổi nội
dung. Nguy hiểm hơn, tin tặc có thể đánh cắp toàn bộ dữ liệu rồi ép nạn nhân trả tiền
chuộc.
+ Nguy cơ bị tấn công bởi các phần mềm độc hại: Hacker có thể sử dụng nhiều
kỹ thuật tấn công khác nhau để xâm nhập vào bên trong hệ thống như: Phishing, virus,
phần mềm gián điệp, man in middle.
12


+ Nguy cơ mất ATTT do sử dụng Email, mạng xã hội: Phương pháp tấn công
của Hacker ngày nay rất tinh vi và đa dạng. Chúng có thể sử dụng kỹ thuật Phising gửi
file đính kèm trong email chứa mã độc, sau đó yêu cầu người dùng click vào đường
link /tệp và làm theo hướng dẫn. Hậu quả, nạn nhân có thể bị Hacker bắt chuyển tiền
hoặc máy tính của nạn nhân bị lộ lọt dữ liệu, nhiễm mã độc.
Ngoài ra, nguy cơ lộ lọt thông tin trên mạng xã hội là rất cao nếu người dùng
không bảo mật toàn diện tài khoản cá nhân trên Facebook, Youtube…
+ Nguy cơ mất ATTT đối với Website: Một số thiệt hại do mất an toàn thông tin
đối với Website có thể là bị chiếm quyền điều khiển, bị hack web, website bị treo
không truy cập được, bị thay đổi giao diện website, bị chèn link bẩn, bị tấn công Ddos,
bị mất tài liệu dự án, mất danh sách khách hàng…
1.2.3.2: Các hình thức tấn công HTTT trong doanh nghiệp:
- Các hình thức tấn công an toàn, bảo mật HTTT trong doanh nghiệp:
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn
công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái

phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
+ Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên
đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến
đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện
nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng
tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi
thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập
máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu
thập dữ liệu của người dùng.
+ Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm
sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn
các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ
động tuy nguy hiểm nhưng lại dễ phát hiện được.
13


Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
- Một số kiểu tấn công HTTT điển hình trong doanh nghiệp:
+ Tấn công từ chối dịch vụ (Ddos Attacks):
Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một nỗ lực độc hại nhằm
phá vỡ lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng được nhắm
mục tiêu bằng cách áp đảo mục tiêu hoặc cơ sở hạ tầng xung quanh với lưu lượng truy
cập Internet. Phương thức tấn công Ddos chủ yếu nhắm vào các mục tiêu như:
website, máy chủ trò chơi, máy chủ DNS… làm chậm, gián đoạn hoặc đánh sập hệ
thống. Cụ thể hơn, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn
đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý

một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công làm gửi ồ
ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử
lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trang đó.
+ Tấn công Phishing:
Hình thức tấn công Phishing được biết đến vào năm 1987. Nguồn gốc của từ
Phishing là sự kết hợp của hai từ Fishing (câu cá) và Phreaking (trò đùa phạm pháp
liên quan đến hệ thống điện thoại). Câu cá ở trong trường hợp nay tức là “câu” thông
tin của người dùng.
Cụ thể hơn Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có
uy tín như ngân hàng, trang web giao dịch trực tuyến và các công ty thẻ tín dụng để
lừa người dùng chia sẻ thông tin tài chính như: tên đăng nhập, mật khẩu giao dịch,
những thông tin nhạy cảm khác của họ. Phương thức tấn công này còn có thể cài phần
mềm độc hại vào thiết bị của người dùng. Chúng thực sự là mối quan ngại lớn nếu
người dùng chưa có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác về nó .
+ Tấn công website (Website Attacks):
Các dịch vụ tấn công công cộng chẳng hạn như thông qua ứng dụng website, cơ
sở dữ liệu thường là đối tượng mục tiêu tấn công nhằm vào website.
Các cuộc tấn công mạng thông qua lỗ hổng website chủ yếu là lỗ hổng SQL
Injection, XSS, và path Traversal.
14


+ Tấn công vét cạn (Brute Force Attacks):
Hiểu một cách đơn giản, Brute force attacks là hình thức tấn công mạng sử
dụng mật khẩu, tên người dùng…. để tự động kết hợp chúng với nhau cho tới khi
chính xác. Kiểu tấn công Brure attacks này có thể mất thời gian vì vậy tin tặc thường
sử dụng phần mềm tự động hóa để nhập hàng trăm nghìn mật khẩu. Để phòng tránh
kiểu tấn công này, người quản trị website cần cấu hình module giới hạn số lần đăng
nhập sai cho mỗi tài khoản, hoặc giới hạn số lần đăng nhập từ các địa chỉ IP.
+ Tấn công sâu bọ (Worm Attacks):

Worm là những chương trình có khả năng tự động khai thác, tấn công vào điểm
đầu cuối hoặc những lỗ hổng đã có sẵn. Sau khi đã tận dụng các lỗ hổng thành công
trong hệ thống, worm sẽ tự động sao chép chương trình từ máy bị nhiễm rồi lây lan
sang các máy khác.
Kiểu tấn công mạng Worm Attack thường yêu cầu người dùng tương tác trước
để bắt đầu lây nhiễm. Worm attacks thường được tấn công thông qua tệp tải xuống
chứa email độc hại, usb, đầu lọc thẻ.
Một trong ví dụ tiêu biểu của phương thức tấn công này là mã độc WannaCry
đã lây nhiễm hơn 300.000 máy tính chỉ sau một vài ngày. WannaCry nhắm vào mục
tiêu lỗ hổng trên Windows, một khi máy bị nhiễm, phần mềm độc hại sẽ tự động quét
hệ thống mạng kết nối với nhau, từ đó lây nhiễm sang các máy tính khác.
+ Kiểu tấn công rà quét (Scan Attacks):
Thay vì sử dụng các hình thức tấn công toàn diện, Scan Attacks là kỹ thuật tấn
công mạng rà quét lỗ hổng thông qua các dịch vụ, hệ thống máy tính, thiết bị, hạ tầng
mạng của doanh nghiệp. Tin tặc sẽ sử dụng các công cụ để rà quét, nghe lén hệ thống
mạng để tìm ra lỗ hổng sau đó thực thi tấn công.
+ Các kiểu tấn công mạng khác:
Ngoài các kiểu tấn công mạng nổi bật nói trên, Hacker còn có thể xâm nhập vào
bên trong hệ thống bằng cách:
+ Tấn công vật lý (Physical Attacks). Tin tặc sẽ cố gắng phá hủy, ăn cắp dữ liệu
kiến trúc trong cùng một hệ thống mạng.
+ Tấn công nội bộ (Insider Attacks). Các cuộc tấn công nội bộ thường liên quan
tới người trong cuộc. Chẳng hạn như trong một công ty, một nhân viên nào đó “căm
ghét” người khác… các cuộc tấn công hệ thống mạng nội bộ có thể gây hại hoặc vô
15


hại. Khi có tấn công mạng nội bộ xảy ra, thông tin dữ liệu của công ty có thể bị truy
cập trái phép, thay đổi hoặc bán đổi.
1.2.4: Hoạch định ngân sách an toàn, bảo mật:

- Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo an toàn và
bảo mật thông tin sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn, bảo mật.
- Các phương pháp xác định ngân sách cho hoạt động đảm bảo an toàn, bảo mật
thông tin cho HTTT doanh nghiệp mà các công ty thường áp dụng là xác định theo tỉ
lệ phần trăm. Có nghĩa là ngân sách dành cho hoạt động an toàn, bảo mật HTTT sẽ
phụ phuộc vào biến động mức tiêu thụ hàng năm của doanh nghiệp. Thứ hai, là cân
bằng cạnh tranh tức là xác định ngân sách ngang bằng với mức chi của các hang cạnh
tranh. Căn cứ vào mục tiêu và nhiệm vụ phải hoàn thành, đòi hỏi người quản trị HTTT
phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo an toàn, bảo mật
HTTT rồi sau đó ước tính chi phí cần thiết để đạt được những mục tiêu đó. Có nghĩa là
ngân sách dành cho chương trình đảm bảo an toàn, bảo mật HTTT nhiều hay ít là phụ
thuộc vào khả năng tài chính của doanh nghiệp.
1.2.5: Đánh giá hiệu quả chương trình an toàn, bảo mật:
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật thông tin cho HTTT
người quản trị hệ thống phải đo lường được tác động của nó đến tổng thể doanh
nghiệp như thế nào. Điều này đòi hỏi người quản trị HTTT phải đánh giá tác động của
các công cụ đảm bảo an toàn, bảo mật HTTT trước khi áp dụng và sau khi áp dụng có
những thay đổi gì, có những thuận lợi hay khó khăn gì, hoạt động của doanh nghiệp có
bị xáo trộn hay không. Người quản trị cần thu thập thông tin về tác động của chương
trình đảm bảo an toàn, bảo mật HTTT tới HTTT và phản ứng của các cấp lãnh đạo, các
nhân viên trong công ty… để làm cơ sở đánh giá những tác động của chương trình. Để
có lượng thông tin đầy đủ, người quản trị cần thu thập tất cả thông tin định lượng như
doanh thu, chi phí… và không định lượng được như mức độ hài lòng, thoải mái của
nhân viên, mức độ thu thập lưu trữ, phản hồi thông tin của hệ thống để có cái nhìn toàn
diện về HTTT trước và sau khi áp dụng các chương trình đảm bảo an toàn, bảo mật
thông tin.
1.3: Tổng quan về vấn đề an toàn, bảo mật thông tin cho HTTT:
Nhu cầu sử dụng internet của người dùng cá nhân cũng như doanh nghiệp tăng
cao trên toàn cầu thì những kẻ tấn công đã và đang tạo ra ngày càng nhiều mối đe dọa
mới và tiềm năng hủy hoại lớn hơn, đặc biệt chúng hướng tới mục tiêu thu lợi tài

chính.
Trong những năm qua, có rất nhiều công trình khoa học, bài báo,… nghiên cứu về các
giải pháp an toàn bảo mật thông tin giúp cho các doanh nghiệp, tổ chức có thể đảm
16


bảo
an toàn thông tin, dữ liệu của mình.
1.3.1: Tình hình nghiên cứu trong nước:
- Bàn về vấn đề này, Nguyễn Dương Hùng - Khoa HTTTQL – HVNH đã thực
hiện bài nghiên cứu khoa học “Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng
thương mại khi sử dụng công nghệ điện toán đám mây”. Các ngân hàng ngày càng gặp
nhiều khó khăn trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì
nó đang được tăng lên nhanh chóng theo từng ngày. Sự ra đời của công nghệ ĐTĐM
cùng với khả năng cung cấp một cơ sở hạ tầng không giới hạn để truy suất, lưu trữ dữ
liệu tại các vị trí địa lý khác nhau là một giải pháp tốt cho cơ sở hạ tầng CNTT để các
ngân hàng xử lý các vấn đề khó khăn trên. Như một kết quả tất yếu, dữ liệu dư thừa,
trùng lặp sẽ xuất hiện và bị sửa đổi bởi những người sử dụng trái phép. Điều này dẫn
đến việc mất mát dữ liệu, mất an toàn và bảo mật thông tin, sự riêng tư của khách
hàng sẽ trở thành vấn đề chính cho các ngân hàng khi họ ứng dụng công ĐTĐM
vào công việc kinh doanh của họ. Do đó việc ứng công nghệ ĐTĐM vào các ngân
hàng là một xu thế tất yếu trong trong thời đại CNTT phát triển mạnh mẽ như hiện
nay. Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên cứu mang
tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được những khuyến nghị về
an ninh bảo mật trong điện toán đám mây.
- TS. Nguyễn Văn Khanh, 2014, Giáo trình cơ sở an toàn thông tin, NXB Bách
Khoa – Hà Nội: Giáo trình cung cấp một cách tiếp cận tổng thể các khái niệm cơ bản
về những vấn đề xung quanh bảo vệ hệ thống tin học, đồng thời giới thiệu các kiến
thức về lĩnh vực an toàn và bảo mật máy tính ở mức độ tiệm cận và chuyên sâu bao
gồm giới thiệu tổng quan về an toàn thông tin, đưa ra cơ sở lý thuyết mật mã và ứng

dụng, hệ thống mật mã khóa công khai, chữ kí điện tử, hàm băm, quản lý khóa, xác
thực, điều khiển truy cập. Giáo trình cũng đi sâu phân tích về an toàn internet, mã độc,
an toàn phần mềm, các giao thức mật mã và ứng dụng của nó. Qua đó, người đọc có
thể hình dung cụ thể về các chủ đề nghiên cứu chính của vấn đề này.
Thành công của tài liệu là tác giả đã tập trung diễn giải chi tiết các kiến thức
căn bản và then chốt với mức ưu tiên cao hơn với các kỹ thuật chuyên sâu hơn. Giáo
trình trình bày kĩ lưỡng các kiến thức cơ bản của lý thuyết mật mã.
Tồn tại: Giáo trình tuy trình bày rất cụ thể về các vấn đề của an toàn và bảo mật
hệ thống thông tin nhưng không tập trung vào đảm bảo an toàn, bảo mật cho bất kì
một doanh nghiệp hay trường hợp cụ thể nào. Vì vậy sẽ rất khó cho người dùng để xây
17


dựng dược một cách toàn diện các giải pháp đảm bảo an toàn bảo mật chặt chẽ cho
doanh nghiệp của mình.
1.3.2: Tình hình nghiên cứu trên thế giới:
- William Stalling, 2011, Cryptography and Network Security principles and
practices, Fourth Edition, Prentice Hall. Nội dung chính của cuốn sách nói về vấn đề
mật mã và an ninh mạng, đưa ra những nguyên tắc và thực hành về hệ thống mật mã
và an ninh mạng. Đồng thời khám phá những vấn đề cơ bản về chủ đề mật mã và an
ninh mạng. Nêu tóm lược về các thuật toán mã hóa cơ bản như mã hóa cổ điển, mã hóa
khóa đối xứng, mã hóa khối, mã hóa tiên tiến và những tiêu chuẩn của mã hóa tiên
tiến. Nội dung tiếp theo đề cập đến thuật toán mã hóa khóa công khai và hàm băm, chữ
kí số và an ninh mạng: ứng dụng xác thực an ninh thư điện tử, IP an ninh, bảo mật
Web và hệ thống an ninh cho hệ thống thông tin bao gồm phương pháp phòng tránh,
mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại.
Đây là một cuốn sách đưa ra được nhiều vấn đề cơ bản của một hệ thống mạng,
trong đó vấn đề an toàn và bảo mật được nói rất rõ ràng. Trình bày những phương
pháp, cách thức chung của một hệ thống từ cơ bản tới nâng cao. Cuốn sách này được
ứng dụng hầu hết trong các giáo trình, bài giảng của các trường đại học ngày càng phổ

biến.
Tuy nhiên, bên cạnh những lợi ích mà cuốn sách đem lại song nội dung cuốn
sách lại chỉ đề cập đến hai vấn đề chính là tường lửa liên quan đến phần cứng máy
tính, tiếp theo là các phần mềm độc hại. Đây là hai vấn đề cơ bản, nhưng ngoài ra đối
với một hệ thống thông tin không chỉ xảy ra sự cố với 2 yếu tố đó, mà còn bị ảnh
hưởng bởi các nguy cơ xâm hại khác.

18


Biểu đồ 1.1: Tỉ lệ nguy cơ mất an toàn, bảo mật thông tin của các nước trên thế giới
CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA VẤN
ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CHO HTTT TẠI CÔNG TY CỔ
PHẦN ITSOL
2.1: Tổng quan về công ty:
2.1.1: Thông tin chung về công ty:
Địa chỉ: Tầng 3, tòa nhà 3A, ngõ 82 Duy Tân, Cầu Giấy, Hà Nội
Điện thoại: +84.904.29.05.83
Website:
2.1.1.1: Lịch sử phát triển:
- Thành lập bởi các sáng lập viên với trên 15 năm kinh nghiệm phát triển các hệ
thống CNTT/Phần mềm, cung cấp giải pháp đáp ứng nguồn lực cho các dự án
CNTT/Phần Mềm
- Chuyên về cung cấp Giải Pháp và Nguồn Lực trong lĩnh vực CNTT/Phần
mềm
- Thành lập từ năm 2009, năm 2013 đổi tên thành ITSOL (Cty Cổ phần Giải
pháp và Nguồn lực Công nghệ ITSOL)
- Cung cấp các dịch vụ:
Cung cấp (Phái cử - Tuyển dụng) nguồn lực CNTT/Phần mềm.
Gia công/Thuê ngoài các dự án/sản phẩm CNTT/Phần mềm.

Tư vấn giải pháp CNTT/Phần mềm
- Lĩnh vực chuyên sâu: Phần mềm/Giải pháp cho Doanh nghiệp, Ngân hàng,
Bảo hiểm, Di động.
- Giải thưởng:
Giải Sao khuê (Dịch vụ Phái cử, Tuyển dụng - 2015).
Top 40 công ty ICT – Top 17 công ty dịch vụ phần mềm (2015).
Top 20 doanh nghiệp CNTT hàng đầu Việt Nam về BPO, ITO & KPO
(2016).

19




Hình 2.1: Hình ảnh các giải thưởng đạt được của công ty Cổ Phần ITSOL
2.1.1.2: Cơ cấu tổ chức:
Các phòng ban chức năng: Bao gồm Ban Giám Đốc, bộ phận developer, bộ
phận QA/QC, phòng hành chính, phòng kế hoạch.
- Ban Giám Đốc: Thực hiện kiểm soát và lãnh đạo công ty
- Bộ phận Developer:
Xây dựng mới một ứng dụng



Nâng cấp và sửa chữa các ứng dụng có sẵn



Xây dựng các chức năng xử lý




Nghiên cứu và phát triển công nghệ mới
- Bộ phận QA/QC: chịu trách nhiệm test sản phẩm từ phần mềm đến khi hoàn
thành sản phẩm.
- Phòng hành chính: chịu trách nhiệm về các công việc hành chính, giấy tờ, tài
chính kế toán của công ty.
- Phòng kế hoạch: Kiểm soát quá trình sản xuất phần mềm, lập kế hoạch và
quản lý dự án.
2.1.2: Khái quát tình hình hoạt động của công ty trong 3 năm gần đây:
Công ty ITSOL đã và đang là doanh nghiệp CNTT hàng đầu tại Việt Nam,
chuyên về cung cấp giải pháp và nhân lực về CNTT. Là nhà cung cấp dịch vụ 3 trong
1 duy nhất tại Viêt Nam trong lĩnh vực IT: Khai thác linh động 3 dịch vụ cung cấp bởi
ITSOL (Cung cấp nhân lực – Insource, Gia công phần mềm – Outsource, Tư vấn giải
pháp) giúp khách hàng có được lựa chọn tốt nhất cho việc cung ứng nguồn lực, thiết
kế giải pháp, phát triển các sản phẩm phần mềm thông qua việc tận dụng được nguồn
lực chuyên gia bên ngoài khi cần, tối ưu đội ngũ nhân sự hiện có, linh hoạt hơn với các
giải pháp về chi phí nhân sự.
Đã và đang được tin dùng bởi các khách hàng lớn: Viettel, FPT, Bảo Việt
Group, Techcombank, SeABank, MB Bank….
Năm 2016:
- Lọt top 50 doanh nghiệp ICT
- Top 20 doanh nghiệp CNTT hàng đầu Việt Nam về BPO, ITO & KPO (2016)
- Phát triển sản phẩm e-bank (Internet/ Mobile banking) và bán cho các ngân
hàng ở Việt Nam.
Bảng 2.1 Tình hình hoạt động của công ty ITSOL năm 2016

20

Vốn điều lệ


Các dự án thực hiện

Nhân sự

Doanh thu

M$2.50

380

220

M$4.00


Năm 2017:
- Năm thứ 3 liên tiếp lọt Top 50 ICT
- Thành lập chi nhánh bên Nhật (ITSOL- Japan)
- Thành lập chi nhánh ở Hồ Chí Minh
- Phát triển hệ thống (Web/ App (iOS/Android) cho khách hàng US
- Trở thành đối tác chiến lược của tập đoàn viễn thông lớn nhất Việt Nam
Bảng 2.2 Tình hình hoạt động của công ty ITSOL năm 2017
Vốn điều lệ

Các dự án thực hiện

Nhân sự

Doanh thu


M$2.62

397

238

M$4.40

Năm 2018:
- Tiếp tục cung cấp Giải pháp và Nguồn lực trong lĩnh vực IT, ITSOL chuyên
sâu và chuyên nghiệp trong các dịch vụ Cung cấp (Phái cử – Tuyển dụng) nhân lực
trong lĩnh vực IT, Tư vấn Giải pháp và Gia công/Phát triển các Sản phẩm, Ứng dụng
Phần mềm.
- Đạt giải Sao Khuê cho dịch vụ giải pháp Banking.
Bảng 2.3 Tình hình hoạt động của công ty ITSOL năm 2018

Vốn điều lệ

Các dự án thực hiện

Nhân sự

Doanh thu

M$2.71

411

250


M$4,9

2.2: Thực trạng của vấn đề an toàn và bảo mật thông tin cho HTTT tại
công ty Cổ Phần ITSOL:
2.2.1: Phân tích thực trạng của vấn đề an toàn và bảo mật thông tin cho
HTTT tại công ty Cổ Phần ITSOL:
2.2.1.1: Trang thiết bị phần cứng:
Với nhu cầu sử dụng các trang thiết bị điện tử của nhân viên, công ty đã thực
hiện đầu tư trang thiết bị tốt nhất nhằm phục vụ tốt hơn cho các hoạt động nghiệp vụ
trong công ty.

21


- 8 máy chủ HP Proliant ML115 T01
Máy chủ chỉ dùng các phần mềm bình thường, chạy Windows server 2007, các
ứng dụng chia sẻ tài nguyên.
- 50 máy trạm với cấu hình Intel Core i7, ram 8GB.
- 03 router phát wifi do FPT cung cấp.
- 01 máy in màu hãng Canon.
- 01 máy in thường hãng Canon.
- 01 máy photocopy Canon.
- 02 điện thoại cố định.
* Hệ thống máy trạm
Cấu hình mỗi máy:

Cấu hình
Bộ vi xử lý (CPU)
Ổ cứng (HDD)

Bộ nhớ trong (RAM)
Card Đồ họa (VGA)
Ổ đĩa
Cổng giao tiếp

Mô tả
Intel Core i7
512Gb HDD + 128GB SSD
8GB (2 x 4096MB) – DDR3, 1600MHz
Intel Graphics HD 4600 + Nvidia Quadro K1100M
(2GB dedicated GDDR5)
CD
4x USB 3.0 DisplayPort 3.5 mm audio jack
HDMI, VGA card reader (SD, MMC, MS)

Bàn phím + Chuột Multimedia
Hệ điều hành
Windows
Bảng 2.4: Thông số về phần cứng máy trạm tại công ty Cổ Phần ITSOL
2.2.1.2: Về các phần mềm ứng dụng của công ty:
Phần mềm ứng dụng bao gồm các phần mềm quản lý văn phòng cơ bản như
word, excel, phần mềm chuyên dụng của công ty được cài đặt cho mỗi máy tính để
quản lý các báo cáo từ kế toán, tình hình hoạt động kinh doanh.
Phần mềm ứng dụng chuyên biệt: phần mềm Kế toán Misa. Phần mềm kế toán
hỗ trợ đắc lực trong nghiệp vụ kế toán cũng như quản lý doanh nghiệp, sở dĩ phần
mềm tuân thủ theo đúng chế độ kế toán, tự động hóa toàn bộ các khâu kế toán từ khâu
22


lập chứng từ, hạch toán, báo cáo. Ngoài ra, phần mềm có tính an toàn và bảo mật tốt,

đơn giản, dễ sử dụng.
* Hệ thống mạng của công ty: Công ty sử dụng hệ thống mạng LAN, mạng
máy tính là hệ thống đầu cuối. Những hệ thống đầu cuối sẽ được kết nối với nhau bằng
thiết bị chuyển mạch, trong đó cung cấp các tập tin đính kèm mạng cộng với chuyển
đổi thông tin thông minh. Mạng LAN bao gồm máy chủ (server), các thiết bị kết nối
tín hiệu (Repeater, Hub, Switch, Bridge), máy tính (client), card mạng (Network
Interface Card – NIC) và dây cáp (cable) để kết nối các máy tính lại với nhau. Mạng
LAN liên kết với những mạng nội bộ khác thông qua đường thuê bao, dịch vụ thuê
bao, thông qua mạng Internet sử dụng công nghệ VPN.
Mô hình kết nối mạng LAN mà công ty thuê lắp đặt là kiểu hình sao: Với kiểu
thiết kế hình sao, Hub hoặc Switch là thiết bị trung tâm, các thiết bị khác đều phải kết
nối tới nó bằng các dây cáp. Thiết bị trung tâm là trung tâm dữ liệu, quản lý… của tất
cả các thiết bị.

Hình 2.2: Hình minh họa mô hình mạng LAN kiểu hình sao
- Ưu điểm của mô hình mạng LAN này trong công ty:
+ Cho tốc độ mạng nhanh
+ Khi có một cáp mạng có vấn đề thì các client khác vẫn hoạt động bình thường
+ Khi có lỗi thì dễ dàng sửa chữa
23


- Nhũng hạn chế của mô hình mạng này trong công ty:
+ Chi phí lắp đặt tốn kém
+ Hệ thống phụ thuộc hoàn toàn vào thiết bị trung tâm.

-

-


-

* Phần mềm kế toán Misa SME.NET:
Công ty mua bản quyền phần mềm từ công ty chuyên phát triển phần mềm
Misa với hơn 20 năm kinh nghiệm hoạt động với hàng loạt phần mềm ứng dụng được
thiết kế và đưa vào sử dụng từ phần mềm dành cho doanh nghiệp, các đơn vị hành
chính sự nghiệp cho đến hộ kinh doanh cá thể cá nhân. Phần mềm này đáp ứng đầy đủ
các nghiệp vụ kế toán cho từng lĩnh vực: thương mại, dịch vụ, xây dựng, sản xuất.
Phần mềm kế toán doanh nghiệp vừa và nhỏ MISA SME.NET 2019 hoạt động
theo mô hình máy trạm - chủ (Client – Server). Hệ thống gồm 01 máy chủ chứa dữ
liệu (SQL Server) chung cho cả hệ thống và nhiều máy trạm kết nối vào máy chủ để
cùng làm việc cộng tác và chia sẻ dữ liệu. Phần mềm này phù hợp khi các máy tính
làm việc trong cùng một mạng nội bộ (mạng LAN). MISA SME.NET 2019 được cài
đặt và sử dụng tốt trên hệ điều hành Windows 7, Windows 8, Bộ vi xử lý (CPU) Core
i3, Ram 2 GB trở lên, đĩa cứng trống 10 GB. Các bước sử dụng phần mềm kế toán
MISA SME.NET:
Bước 1: Tạo dữ liệu kế toán
Bước 2: Khai báo thông tin ban đầu
Bước 3: Nhập chứng từ phát sinh
Bước 4: Xem báo cáo
Bước 5: Lập báo cáo tài chính, báo cáo thuế.
Công ty sử dụng phần mềm kế toán này để giúp thuận lợi hơn trong các công
việc:
Nắm bắt nhanh hơn, chính xác hơn các tình hình tài chính của công ty
Kế toán viên theo dõi toàn bộ tình hình thu, chi, tồn quỹ tiền mặt của công ty.
Theo dõi tiến độ các loại hợp đồng, chi tiết chi phí, doanh thu, công nợ và lãi lỗ theo
từng hợp đồng, dự án của công ty thông qua phần mềm. Chấm công và tính lương cho
cán bộ nhân viên.
Những hạn chế của phần mềm MISA SME.NET mà công ty có thể gặp phải:
Nó có cấu hình cao nên máy tính yếu, cấu hình thấp đôi khi phần mềm sẽ bị chạy

chậm, ì ạch.
Các báo cáo xuất ra excel sắp xếp không theo thứ tự, khiến người sử dụng phải chỉnh
sửa lại báo cáo.
Tốc độ xử lý dữ liệu hơi chậm.

24


Tuy nhiên những nhược điểm này có thể khắc phục được nếu nâng cấp cấu hình
máy tính lên mức cao hơn vì thực ra cấu hình đề nghị để chạy MISA cũng chỉ ở mức
hơn các ứng dụng văn phòng đôi chút.

Hình 2.3: Hình ảnh phần mềm kế toán MISA MSE.NET
=> Là một công ty nhỏ nên hệ thống thông tin của công ty là khá đơn giản chỉ
với Website và hệ thống máy nhỏ. Tuy nhiên việc ứng dụng CNTT với công ty vẫn là
rất quan trọng trong việc tìm kiếm khách hàng, mở rộng quan hệ với đối tác, nắm bắt
các nhu cầu mới của thị trường. Ban lãnh đạo của công ty nhận thức rõ ràng về vấn đề
này và sự đầu tư cho HTTT vẫn được quan tâm chú trọng.
- Website do công ty tự thiết kế, khá đơn giản. Chỉ bao gồm các thông tin về
dịch vụ khách hàng, các giải thưởng đạt được, các lĩnh vực chuyên sâu, lịch sử phát
triển, các chi nhánh của công ty, các ưu thế của công ty, các khách hàng tiềm năng của
công ty.
2.2.1.3: Cơ sở dữ liệu và quản lý dữ liệu hệ thống của công ty:
- Phương pháp thu thập dữ liệu bàn giấy là phương pháp thu thập các dữ liệu
sẵn có bên trong và bên ngoài công ty bằng các biện pháp thủ công.
- Tuy nhiên, ngày nay bằng các phương tiện viễn thông hiện đại như web, email, điện thoại, máy ghi hình nối mạng..., người nghiên cứu có thể tiếp cận gián tiếp
với đối tượng cần nghiên cứu để thu thập dữ liệu.

25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×