Giải pháp đảm bảo an toàn bảo mật cho HTTT của công ty cổ phần phần mềm bravo
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.04 MB, 49 trang )
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTTKT & TMĐT
------
KHÓA LUẬN TỐT NGHIỆP
ĐỀ TÀI:
GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT THÔNG TIN CỦA
CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO
HÀ NỘI - 2019
LỜI CẢM ƠN
Sau một thời gian nghiên cứu và thực hiện khóa luận tốt nghiệp với đề tài:
“Giải pháp đảm bảo an toàn bảo mật thông tin của Công ty Cổ phần phần mềm Bravo”
ngoài sự cố gắng của bản thân, em còn nhận được rất nhiều sự giúp đỡ từ phía nhà
trường, thầy cô, cùng ban lãnh đạo và các nhân viên trong Công ty Cổ phần phần mềm
Bravo.
Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc nhất tới Th.S Nguyễn Quang
Trung–người thầy đã hướng dẫn, giúp đỡ em rất nhiều trong quá trình thực hiện luận
văn, giúp em định hướng con đường, bước đi đúng đắn cũng như những kỹ năng
nghiên cứu cần thiết khác.
Em xin được gửi lời cảm ơn tới các thầy & cô giáo trong Khoa Hệ thống thông
tin kinh tế và Thương mại điện tử về sự động viên khích lệ mà em đã nhận được trong
suốt quá trình học tập tại trường.
Em cũng xin được gửi lời cảm ơn chân thành tới Anh Đoàn Văn Quyền cũng
như các anh/chị làm việc tại Công ty Cổ phần phần mềm Bravo vì sự quan tâm, giúp
đỡ, ủng hộ và hỗ trợ cho em trong quá trình thực tập và nghiên cứu - thu thập tài liệu.
Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu
về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu khóa luận khá hạn
hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, khóa luận chắc chắn sẽ
gặp phải nhiều sai sót. Em kính mong quý thầy cô chỉ bảo và giúp đỡ để bài khóa luận
được hoàn thiện hơn.
Em xin chân thành cảm ơn!
Hà Nội, ngày 4 tháng 12 năm 2019
Sinh viên thực hiện
Ngọc
Trần Thị Huyền Ngọc
1
MỤC LỤC
LỜI CẢM ƠN...............................................................................................................i
MỤC LỤC.................................................................................................................... ii
DANH MỤC TỪ VIẾT TẮT......................................................................................iv
DANH MỤC BẢNG BIỂU..........................................................................................v
DANH MỤC HÌNH VẼ..............................................................................................vi
PHẦN MỞ ĐẦU..........................................................................................................1
1. TẦM QUAN TRỌNG VÀ Ý NGHĨA CỦA ĐỀ TÀI..............................................1
2. MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU........................................................1
3. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU........................................................2
4. PHƯƠNG PHÁP NGHIÊN CỨU...........................................................................2
5. KẾT CẤU KHÓA LUẬN........................................................................................3
CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU.............................4
1.1.MỘT SỐ KHÁI NIỆM CƠ BẢN..........................................................................4
1.1.1. Khái niệm dữ liệu- thông tin.............................................................................4
1.1.2. Khái niệm hệ thống thông tin, hệ thống thông tin quản lý.............................4
1.1.3. Khái niệm an toàn - bảo mật thông tin.............................................................5
1.2.MỘT SỐ LÝ THUYẾT VỀ VẤN ĐỀ NGHIÊN CỨU........................................5
1.2.1.Các nhân tố ảnh hưởng đến ATBM HTTT trong doanh nghiệp.....................5
1.2.2. Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp...........6
1.2.3.Các phương pháp-Kỹ thuật phòng tránh trong ATBM thông tin...................8
1.3. TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU.....................................................10
1.3.1 Tổng quan tình hình nghiên cứu ngoài nước:.................................................10
1.3.2 Tổng quan tình hình nghiên cứu trong nước:.................................................11
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM THÔNG TIN
TRONG HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO.....................13
2.1. GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO.....................13
2.1.1.Giới thiệu chung về công ty..............................................................................13
2.1.2 Quá trình thành lập và phát triển của công ty Cổ phần Phần mềm Bravo..13
2.1.3 . Giới thiệu về cơ cấu tổ chức và tình trạng hoạt động của Doanh Nghiệp...14
2.1.4 Báo cáo tài chính về thu chi, lợi nhuận 3 năm gần đây..................................16
2.1.5. Chiến lược và định hướng phát triển của công ty trong thời gian tới..........17
2.2. THỰC TRẠNG CỦA CÔNG TÁC ATBM-HTTT CỦA CÔNG TY CỔ PHẨN
PHẦN MỀM BRAVO................................................................................................18
2.2.1.Các phần cứng công ty đang sử dụng..............................................................18
2.2.2.Các phần mềm công ty đang sử dụng..............................................................19
2.2.3 Hệ thống mạng: ..............................................................................................19
2
2.2.4 Cơ sở dữ liệu......................................................................................................19
2.2.5 Nguồn nhân lực CNTT của công ty.................................................................19
2.2.6 HTTT chung......................................................................................................19
2.2.7 Hạ tầng công nghệ thông tin của công ty........................................................19
2.2.8. Thông tin Website của doanh nghiệp..............................................................20
2.2.9 Phương thức thu thập xử lý thông tin.............................................................20
2.2.10.Kết quả xử lý phiếu khảo sát và xử lý các dữ liệu thứ cấp...........................21
2.3. ĐÁNH GIÁ THỰC TRẠNG CÔNG TÁC ATBM HTTT TRONG CÔNG TY
CỔ PHẨN PHẨN MỀM BRAVO.............................................................................25
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM
BẢO ATBM CHO HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO..27
3.1.ĐỊNH HƯỚNG PHÁT TRIỂN...........................................................................27
3.2.ĐỀ XUẤT GIẢI PHÁP NHẰM NÂNG CAO HIỆU QUẢ ATBM THÔNG TIN
TRONG HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO.....................28
3.2.1.Bảo mật bằng nâng cấp hệ thống máy chủ......................................................29
3.2.2. Đào tạo nhân lực..............................................................................................31
3.2.3.Bảo mật cơ sở dữ liệu........................................................................................33
3.2.4. Sử dụng giải pháp phòng chống mã độc CMDD (CMC Malware Detection
and Defense)...............................................................................................................33
3.2.5 Sử dụng các dịch vụ bảo mật...........................................................................35
3.3. MỘT SỐ ĐỀ XUẤT KIẾN NGHỊ VỀ ATBM HTTT ĐỐI VỚI CÔNG TY CỔ
PHẦN PHẦN MỀM BRAVO....................................................................................36
KẾT LUẬN................................................................................................................38
DANH MỤC TÀI LIỆU THAM KHẢO
PHỤ LỤC
DANH MỤC TỪ VIẾT TẮT
STT Từ Viết Tắt
Nghĩa
1
ATBM
An toàn bảo mật
2
ATTT
An toàn thông tin
3
CNTT
Công nghệ thông tin
4
CSDL
Cơ sở dữ liệu
5
ĐHDL
Đại học Dân lập
6
ĐHQGHN
Đại học Quốc gia Hà Nội
7
ĐN
Đà Nẵng
3
8
HCM
Hồ Chí Minh
9
HN
Hà Nội
10
HTTT
Hệ thống thông tin
11
IT
Công nghệ thông tin
12
QTG
Quyền tác giả
13
TMĐT
Thương mại điện tử
14
TNDN
Thu nhập doanh nghiệp
15
TP
Thành phố
16
TPHCM
Thành phố Hồ Chí Minh
17
TT
Thông tin
18
UBND
Ủy ban nhân dân
DANH MỤC BẢNG BIỂU
STT Danh mục
Tên bảng biểu
Trang
1
Bảng 2.1
Số liệu về nhân viên tại 3 miền
16
2
Bảng 2.2
Kết quả hoạt động kinh doanh trong 3 năm (20162018)
16
3
Bảng 2.3
Tên các phần cứng
18
4
Biểu đồ
2.1
Vai trò bảo mật CSDL trong quá trình quản lý HTTT
của công ty
21
4
5
Biểu đồ
2.2
Biểu đồ về mức độ bảo mật trong công ty
22
6
Biểu đồ
2.3
Cách thức bảo mật mà công ty đã sử dụng
23
7
Biểu đồ
2.4
Mức độ bảo vệ dữ liệu của công ty Cổ phẩn Phần mềm
Bravo
23
8
Biểu đồ
2.5
Mức độ trở ngại khi thực hiện việc đảm bảo an toàn
bảo mật tại công ty Cổ phẩn Phần mềm Bravo
24
9
Bảng 3.1
Các lỗi hệ thống và cách khắc phục của Công ty
34
DANH MỤC HÌNH VẼ
STT Danh mục
Tên hình vẽ
Trang
1
Hình 2.1
Sơ đồ tổ chức của Công ty Cổ phần Phần mềm
BRAVO
15
2
Hình 2.2
Trang Web của công ty- nguồn từ
20
3
Hình 3.1
Ảnh khi cài đặt CMDD trên cloud
34
5
6
PHẦN MỞ ĐẦU
1. TẦM QUAN TRỌNG VÀ Ý NGHĨA CỦA ĐỀ TÀI
Như chúng ta đã và đang thấy, Internet và CNTT ngày càng phát triển mạnh
mẽ. Việc ứng dụng CNTT vào hệ thống của doanh nghiệp mang lại cho doanh nghiệp
những lợi ích không hề nhỏ: Giúp việc nắm bắt thông tin một cách chính xác, đầy đủ
và kịp thời, góp phần nâng cao hiệu quả kinh doanh, giúp doanh nghiệp luôn phát triển
bền vững trước mọi sự thay đổi của xã hội. Bên cạnh đó, có một vấn đề hết sức quan
trọng mà chúng ta cần đặc biệt chú ý đó là “Nguy cơ mất an toàn thông tin của doanh
nghiệp” – Sự bùng nổ của công nghệ đẩy người dùng thậm chí là doanh nghiệp đối
mặt với nguy cơ thông tin cơ mật bị rò rỉ ra bên ngoài.
HTTT của Công ty Cổ phần Phần mềm Bravo chứa nhiều thông tin quan trọng
của cá nhân nhân viên, đối tác, khách hàng đặc biệt là các tài liệu mật của công ty.
Việc những dữ liệu- thông tin đó bị mất đi hay rò rỉ ra ngoài do Hacker, virus,
malware.... ảnh hưởng trực tiếp – vô cùng nặng nề gây thất thoát tiền bạc,tài sản, con
người và gây ảnh hưởng tới hoạt động kinh doanh, uy tín thương hiệu của công ty đối
với khách hàng và đối tác. Rủi ro thông tin ảnh hưởng uy tín và sự phát triển của công
ty nhưng là vấn đề rất khó tránh khỏi. Và việc áp dụng các giải pháp an toàn, bảo mật
thông tin đem lại lợi ích cho công ty là rất lớn, nó không chỉ giúp tránh bị đánh cắp
thông tin mà còn giúp công ty tạo được niềm tin đối với khách hàng. Một số chính
sách bảo mật thông tin mà công ty đã áp dụng ở nhiều mức khác nhau như: sử dụng
mật khẩu cho các thông tin dữ liệu, sử dụng phần mềm diệt virus cho máy tính trong
công ty, hệ thống tường lửa.....
Nhưng với sự phát triển vượt bậc của CNTT, các mối đe dọa ngày càng nhiều,
những phương pháp kể trên chưa thể bảo đảm an toàn một cách triệt để được. Chính vì
vậy, cần phải có các giải pháp tối ưu hơn để đảm bảo an toàn bảo mật cho HTTT của
Công ty.
Thông qua quá trình thực tập và tìm hiểu tại Công ty cổ phần Phần mềm Bravo
em xin được đề xuất đề tài khóa luận: “Giải pháp đảm bảo an toàn bảo mật cho HTTT
của công ty Cổ phần Phần mềm Bravo”.
2. MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU
2.1 Mục tiêu nghiên cứu
Đề xuất một số giải pháp đảm bảo ATTT nhằm nâng cao tính năng ATTT cho
Công ty cổ phần Phần mềm Bravo.
2.2 Nhiệm vụ nghiên cứu
1
- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty Cổ phần Phần
mềm Bravo.
- Xem xét & đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT dựa
trên các tài liệu thu thập được.
- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao tính năng an toàn
bảo mật HTTT trong Cổ phần Phần mềm Bravo.
3. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
3.1 Đối tượng nghiên cứu
Giải pháp đảm bảo an toàn bảo mật cho HTTT của công ty Cổ phần Phần mềm
Bravo bao gồm: phần cứng, phần mềm, CSDL và hệ thống mạng.
3.2 Phạm vi nghiên cứu
Là một đề tài luận văn của sinh viên, nên phạm vi nghiên cứu được giới hạn
trong nội bộ công ty và trong khoảng thời gian ngắn :
- Về không gian: Quá trình nghiên cứu được thực hiện tại của công ty Cổ phần
Phần mềm Bravo nhằm đưa ra giải pháp tối ưu hơn cho công ty.
- Về thời gian: Các số liệu thu thập được trong báo cáo tài chính của công ty từ
năm 2016-2018 và số liệu thu thập được trong phiếu khảo sát tại của công ty Cổ phần
Phần mềm Bravo.
4. PHƯƠNG PHÁP NGHIÊN CỨU
Đề tài này được sử dụng các phương pháp sau:
Phương pháp thu thập dữ liệu:
Đây là phương pháp thu thập thông tin, dữ liệu về các đối tượng cần tìm hiểu.
Sử dụng phiếu điều tra gồm các câu hỏi xoay quanh tình hình kinh doanh và hoạt động
về vấn đề đảm bảo an toàn bảo mật HTTT và hiệu quả của các hoạt động này đối với
công ty Cổ phần Phần mềm Bravo. Phiếu sẽ được phát cho các nhân viên trong công
ty để thu thập ý kiến. Mục đích của phương pháp này nhằm thu thập những thông tin
về tình hình cơ sở vật chất, tình hình kinh doanh và các hoạt động ATBM HTTT để từ
đó đánh giá thực trạng triển khai và đưa ra được những giải pháp phù hợp với HTTT
hiện tại hơn.
Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệu
liên quan đến vấn đề an toàn bảo mật tại công ty Cổ phần Phần mềm Bravo.
Phương pháp xử lý dữ liệu:
2
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Sử dụng phần mềm SPSS (Statistical
Package for Social Sciences). Đây là một phần mềm cung cấp hệ thống quản lý dữ liệu
và phân tích thống kê trong môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp
thoại đơn giản để thực hiện hầu hết các công việc thống kê, phân tích số liệu. Người
dùng có thể dễ dàng sử dụng để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị.
Phương pháp này được sử dụng cho chương 2 và chương 3 của khoá luận để
thu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại Cổ phần Phần mềm Bravo.
Phương pháp nghiên cứu tài liệu: ngoài việc nghiên cứu trong giáo trình của
nhà trường em còn tham khảo và nghiên cứu các luận văn, các nghiên cứu khoa học
của trường Đại học Thương Mại và các trường đại học khác.
5. KẾT CẤU KHÓA LUẬN
Ngoài phần mục lục, danh mục viết tắt, danh mục bảng biểu, danh mục hình vẽ
và phần mở đầu ra thì kết cấu của khóa luận gồm 3 chương:
Chương 1: Cơ sở lý luận của vấn đề nghiên cứu
1.1. Một số khái niệm cơ bản
1.2. Một số lý thuyết về vấn đề nghiên cứu
1.3. Tổng quan tình hình nghiên cứu
Chương 2: Phân tích, đánh giá thực trạng ATBM thông tin trong HTTT của
công ty Cổ phần phần mềm Bravo
2.1. Giới thiệu chung về công ty Cổ phần Phần mềm Bravo
2.2. Thực trạng công tác ATBM HTTT trong công ty Cổ phần Phần mềm Bravo
2.3. Đánh giá thực trạng công tác ATBM HTTT trong công ty Cổ phần Phần
mềm Bravo
Chương 3: Định hướng phát triển và đề xuất giải pháp ATBM cho HTTT của
công ty Cổ phần Phần mềm Bravo
3.1.Định hướng phát triển
3.2.Đề xuất giải pháp nhằm nâng cao hiệu quả ATBM thông tin trong HTTT
của công ty Cổ phần Phần mềm Bravo
3.3. Một số đề xuất, kiến nghị về ATBM HTTT đối công ty Cổ phần Phần mềm
Bravo
CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU
3
1.1.MỘT SỐ KHÁI NIỆM CƠ BẢN
1.1.1. Khái niệm dữ liệu- thông tin
- Dữ liệu trong HTTT là: Những ký tự, số liệu, các tập tin rời rạc hoặc các dữ
liệu chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua
quá trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đối
tượng mà dữ liệu đang biểu hiện. [1]
- Thông tin là: Là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý
(Phân tích tổng hợp,...) phù hợp với mục đích cụ thể của người sử dụng. [5]
Vai trò của thông tin: Trong cuộc sống con người, mọi hoạt động đều không thể
thiếu vai trò của thông tin, đây là điều kiện quan trọng để thực hiện hay quyết định
một công việc. Chúng ta có thể thấy rõ một quan điểm rằng: Vai trò của thông tin trong
đời sống xã hội là vô cùng quan trọng, có thông tin thì mọi việc đều rất dễ dàng xử lý,
nó góp phần thúc đẩy tiến trình phát triển của mọi lĩnh vực. Nhờ có thông tin mà lãnh
đạo đưa ra được quyết định đúng đắn, phù hợp với hoàn cảnh của công ty. Thông tin là
sức mạnh vô cùng quý, nó có một vị thế tiên phong trong bối cảnh cạnh tranh toàn cầu
hiện nay.Có thể nói, doanh nghiệp thiếu thông tin, sẽ dẫn đến những hậu quả rất
nghiêm trọng đó là sẽ mất đi cơ hội kinh doanh hoặc thiếu điều kiện để đưa ra quyết
định kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp những rủi
ro không nên có...
1.1.2. Khái niệm hệ thống thông tin, hệ thống thông tin quản lý
- Hệ thống là một tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ
ràng buộc lẫn nhau và cùng hoạt động hướng tới mục tiêu chung.
- Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm
và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức.
- Hệ thống thông tin quản lý (Management Information System): Là hệ thống
tổng hợp các thông tin của các hệ thống xử lý nghiệp vụ về các hoạt động trong nội bộ
doanh nghiệp và các thông tin thu thập từ môi trường bên ngoài doanh nghiệp để cung
cấp thông tin ở mức độ tổng hợp hơn cho các nhà quản lý các cấp.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.
4
Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng
hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
1.1.3. Khái niệm an toàn - bảo mật thông tin
Thông tin của các cá nhân, tổ chức và xác giao dịch có nhiều nguy cơ bị bên
thứ 3 biết được. Thông tin quan trọng rất dễ bị sửa đổi, đánh cắp, tạo thành thông tin
giả mạo để lừa đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, sử
dụng thẻ thanh toán giả-hết hạn, từ chối thanh toán. Do đó, việc đảm bảo thông tin
được an toàn và bảo mật là rất cần thiết. Chúng ta cùng tìm hiểu thế nào là an toàn-bảo
mật thông tin?
- Bảo mật thông tin (information security) là một chủ đề rộng bao gồm tất cả
các vấn đề bảo mật có liên quan đến lưu trữ và xử lý thông tin. Lĩnh vực nghiên cứu
chính của bảo mật thông tin gồm các vấn đề pháp lý như hệ thống chính sách, các quy
định, yếu tố con người; các vấn đề thuộc tổ chức như kiểm toán xử lý dữ liệu điện tử,
quản lý, nhận thức; và các vấn đề kỹ thuật như kỹ thuật mật mã, bảo mật mạng, công
nghệ thẻ thông minh…
- An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy
nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính
nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
1.2.MỘT SỐ LÝ THUYẾT VỀ VẤN ĐỀ NGHIÊN CỨU
1.2.1.Các nhân tố ảnh hưởng đến ATBM HTTT trong doanh nghiệp
Một HTTT hoạt động chịu tác động của rất nhiều yếu tố, từ môi trường bên
trong đến môi trường bên ngoài, xa hơn là môi trường vi mô- môi trường vĩ mô. Trong
đó, yếu tố ảnh hưởng sâu đến hoạt động ATBM của HTTT đó là Con người, chính sách
quy trình bảo mật và công nghệ
+ Con người - yếu tố sống còn trong bảo mật thông tin: HTTT hoạt động hay
không hoạt động phụ thuộc phần lớn vào con người, việc HTTT đó có đảm bảo an
toàn bảo mật không phụ thuộc rất lớn vào ý thức, kinh nghiệm của mỗi nhân viên
trong công ty. Mỗi nhân viên có vị trí nhất định trong hệ thống tùy theo năng lực –
trình độ của mỗi người, mỗi chủ thể này góp phần làm cho HTTT của họ hoạt động
hiệu quả, năng suất hơn gấp nhiều lần nhưng đó cũng là điểm yếu chí mạng nếu nhân
viên không trang bị những kiến thức về ATBM cho HTTT của mình.
+ Các chính sách quy trình bảo mật tạo cơ sở cho các nhân viên trong hoặc
không trong ngành CNTT về các cách xử trí của họ. Trong nhiều trường hợp, ví dụ
như để lộ thông tin tài khoản đăng nhập cho nhân viên không được ủy quyền, các hành
5
động phản ứng đều có hiệu quả rõ rệt. Trong khi một số các chính sách rõ ràng là có
liên quan đến bảo mật, các chính sách khác có thể có không tác động đến các nguy cơ
bảo mật một cách rõ ràng đối với các nhân viên không trong ngành CNTT. Nếu công
ty không đưa ra bất kỳ chính sách bảo mật nào hay chỉ đầu tư một khoản nhỏ, có thể
coi đấy là một tấm gương phản chiếu trực tiếp về tình hình bảo mật toàn diện toàn bộ
các hoạt động kinh doanh. Chính vì thế, khả năng các công ty bị tấn công hay là nạn
nhân của các vụ tấn công như vậy là rất lớn.
+ Yếu tố công nghệ: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất
kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp. Công nghệ
được chia làm hai loại: Phần cứng và phần mềm.
Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu
thập, xử lý và lưu trữ thông tin…
Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng chống
virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
Theo nhiều nghiên cứu của các chuyên gia về ATBM, hầu hết các vụ tấn công
mạng xảy ra đều xuất phát từ sự bất cẩn hoặc thiếu kinh nghiệm của người dùng.
Không chỉ là người dùng cá nhân mà ngay cả các doanh nghiệp, tổ chức, vấn đề
ATBM cũng không được nhận thức một cách đúng đắn. Vì vậy cần nâng cao nhận thức
về ATBM cho tất cả mọi người.
1.2.2. Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp
Xét theo nguyên nhân, nguy cơ mất an toàn thông tin có thể chia làm nguy cơ
ngẫu nhiên và nguy cơ có chủ đích.
- Nguy cơ ngẫu nhiên: Có thể xuất phát từ các hiện tượng khách quan như
thiên tai (lũ lụt, sóng thần, động đất...), hỏng vật lý, mất điện... Đây đều là những
nguyên nhân khách quan, rất khó để dự đoán trước, khó tránh được nhưng đây không
phải là nguy cơ chính cho việc mất ATTT.
- Nguy cơ có chủ đích: Bị tấn công bởi các phần mềm độc hại, bị xâm nhập từ
lỗ hổng bảo mật, tấn công bằng cách phá mật khẩu, Nguy cơ mất an toàn thông tin
trong quá trình truyền tin:
Bị tấn công bởi các phần mềm độc hại: Các phần mềm độc hại tấn công bằng
nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mục đích khác nhau
như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware),...
+ Virus: là một chương trình máy tính có thể tự sao chép chính nó lên những
đĩa, file khác mà người sữ dụng không hay biết. Thông thường virus máy tính mang
6
tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các
tính chất: kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ
đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông
thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu.
+ Worm: loại virus lây từ máy tính này sang máy tính khác qua mạng, khác với
loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây sang
máy khác khi ai đó đem chương trình nhiễm virus sang máy này. Trojan, Spyware,
Adware: Là những phần mềm được gọi là phần mềm gián điệp, chúng không lây lan
như virus.
Nguy cơ xâm nhập từ lỗ hổng bảo mật:
Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm
trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt
trên máy tính. Hiện nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các
hệ điều hành, các web server hay các phần mềm khác... Và các hãng sản xuất luôn cập
nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các
phiên bản trước.
Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu:
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản
mục người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi mục
đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra
và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của
mình. Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể.
Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển
và các số. Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu
trên mạng Internet như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng
này làm việc tương đối nhanh và luôn có trong tay những kẻ tấn công.
Nguy cơ mất an toàn thông tin do sử dụng e-mail:
Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống
như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị
bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức
cụ thể. Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là một đồng
nghiệp hoặc một đối tác nào đó. Người dùng bị tấn công bằng thư điên tử có thể bị
đánh cắp mật khẩu hoặc bị lây nhiễm virus. Những e-mail phá hoại có thể mang một
tệp đính kèm chứa một virus, một sâu mạng, phần mềm gián điệp hay một trojan
horse. Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một
7
macro (một chương trình hoặc một tập các chỉ thị) chứa mã độc. Ngoài ra, e-mail cũng
có thể chứa một liên kết tới một web site giả.
Nguy cơ mất an toàn thông tin trong quá trình truyền tin: Trong quá trình lưu
thông và giao dịch thông tin trên mạng internet nguy cơ mất an toàn thông tin trong
quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặc phá hỏng
nội dung thông tin rồi gửi tiếp tục đến người nhận.
1.2.3.Các phương pháp-Kỹ thuật phòng tránh trong ATBM thông tin
- Phòng tránh mức hệ điều hành và mạng: sử dụng Firewall, sử dụng hệ thống
kiểm tra xâm nhập mạng(IDS), sử dụng mạng riêng ảo(VPN), sử dụng phần mềm
Anti-virus(AV), bảo mật đường truyền, các thế hệ thẻ thông minh, kiểm tra máy chủ và
các ứng dụng, kiểm soát các hệ điều hành
- Phòng tránh mức dữ liệu: phân quyền người dùng, sử dụng các chương trình
bảo mật riêng, sử dụng các chương trình antivirus, antispyware, mã hóa dữ liệu
- Phòng tránh bằng chính sách và giáo dục: bổ sung và sửa đổi các luật, nghị
định, thông tư, xây dựng chính sách đảm bảo an toàn thông tin cho tổ chức, tuyên
truyền và giáo dục, nhắc nhở và thực hiện.
- Phòng tránh bằng mã hóa: độ an toàn của hệ mã hóa an toàn vô điều kiện, an
toàn tính toán. Một số kiểu mã hóa: mã hóa Ceasar, mã hóa Vigenere, mã hóa khóa tự
động, mã hóa hoán vị hàng rào, mã hóa không đối xứng hiện đại- mã hóa khóa công
khai.
- Phòng tránh mức vật lý: Sử dụng hệ thống các thiết bị vật lý, thiết bị dò tìm
báo động hay các biện pháp vật lý thông dụng.
(*) Một số kỹ thuật được sử dụng trong đề tài:
Sử dụng phần mềm diệt virus:
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết
nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết
được các virus mới. Về các phần mềm phá hoại chưa được biết đến, các công cụ quét
có thể được tạo ra để quét và ghi nhớ cấu trúc của các tệp, đặc biệt là các tệp thực thi.
Khi chúng phát hiện một số lượng bất thường, như kích cỡ của tệp lớn đột đột hoặc
một thuộc tính của tệp bị thay đổi, thì công cụ quét sẽ được cảnh báo có thể đó là một
phần mềm phá hoại chưa được biết đến. Trong trường hợp này, công cụ quét có thể
thông báo cho người dùng và chỉ ra một số cách để giải quyết chúng.
Bảo vệ thông tin do nguy cơ do sử dụng e-mail:
8
Trong thời gian gần đây virus hoành hành và tấn công vào các Email đã trở
thành vấn đề nhức nhối đối với người sử dụng và các tổ chức gây các tổn thất nặng nề.
Để đảm bảo an toàn cho Email cần có ý thức bảo vệ được máy tính bằng việc tuân thủ
các điều sau:
Không mở bất kỳ tập tin đính kèm được gửi từ một địa chỉ e-mail mà không
biết rõ hoặc không tin tưởng.
Không mở bất kỳ e-mail nào mà mình cảm thấy nghi ngờ, thậm chí cả khi
email này được gửi từ bạn bè hoặc đối tác bởi hầu hết virus được lan truyền qua đường
e-mail và chúng sử dụng các địa chỉ trong sổ địa chỉ (Address Book) trong máy nạn
nhân để tự phát tán. Do vậy, nếu không chắc chắn về một e-mail nào thì hãy tìm cách
xác nhận lại từ phía người gửi.
Không mở những tập tin đính kèm theo các e-mail có tiêu đề hấp dẫn, nhạy
cảm.
Nên xóa các e-mail không rõ hoặc không mong muốn và không forward
(chuyển tiếp) chúng cho bất kỳ ai hoặc reply (hồi âm) lại cho người gửi. Những e-mail
này thường là thư rác (spam).
Không sao chép vào đĩa cứng bất kỳ tập tin nào mà bạn không biết rõ hoặc
không tin tưởng về nguồn gốc xuất phát của nó.
Hãy thận trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính. Dùng
một chương trình diệt virus được cập nhật thường xuyên để kiểm tra những tập tin này.
Nếu nghi ngờ về một tập tin chương trình hoặc một e-mail thì đừng bao giờ mở nó ra
hoặc tải về máy tính của mình. Cách tốt nhất trong trường hợp này là xóa chúng hoặc
không tải về máy tính của mình.
Dùng một chương trình diệt virus tin cậy và được cập nhật thường xuyên như
Norton Anti Virus, McAffee, Trend Micro, BKAV, D32... Sử dụng những chương trình
diệt virus có thể chạy thường trú trong bộ nhớ để chúng thường xuyên giám sát các
hoạt động trên máy tính và ở chức năng quét e-mail.
- Bảo vệ dữ liệu máy tính:
Để bảo vệ sự toàn vẹn dữ liệu, hay các thông tin quan trọng thì chúng ta nên có
những biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổi
thông tin. Sau đây có một số cách để bảo vệ dữ liệu:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ
liệu.
9
Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có
của hệ điều hành (ví dụ System Restore của Windows Me, XP...) mà có thể cần đến
các phần mềm của hãng thứ ba.
Thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết bị
nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...), hình thức này có thể thực
hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ
liệu của bạn.
Đứng trước những thách thức và nguy cơ mất an toàn thông tin đang ngày càng
gia tăng và phức tạp hơn, doanh nghiệp phải có những biện pháp để tự bảo vệ mình.
Bên cạnh các công cụ kỹ thuật mà doanh nghiệp đã sử dụng thì công ty cũng cần chú
trọng đến các giải pháp nâng cao ATBM HTTT trong công ty.
- Giải pháp phòng chống mã độc CMDD: là giải pháp phát hiện và phòng thủ
trước nguy cơ tấn công mã độc triển khai trên các máy trạm với hệ thống giám sát tập
trung. Trong đó bao gồm:
+ Sản phẩm bảo mật CMC Endpoint Security: Chống lại tấn công từ các loại
mã độc Ransomware, Trojan, Spyware, Keylogger, Backdoors…, phát hiện ra nguy cơ
các cuộc tấn công có chủ đích nhằm đánh cắp hay phá hoại dữ liệu.
+ Dịch vụ giám sát an ninh an toàn thông tin, hỗ trợ ứng cứu xử lý khi xảy ra sự
cố, giúp giảm thiểu chi phí đầu tư cho nhân lực chuyên trách về an toàn thông tin và
đảm bảo tính ổn định trong hoạt động sản xuất kinh doanh cho doanh nghiệp.
1.3. TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU
Tuy vấn đề an toàn bảo mật tại doanh nghiệp không phải là một vấn đề mới,
trên thế giới các công trình nghiên cứu này đã được thực hiện hay trong nước ta nhiều
diễn đàn, hội nghị, hội thảo quốc tế về an toàn bảo mật liên tục được tổ chức. Tuy
nhiên mỗi công trình nghiên cứu đề cập đến một khía cạnh của vấn đề an toàn bảo mật
mà chưa thực sự rõ ràng cho một doanh nghiệp cụ thể. Chúng ta có thể hiểu sâu hơn từ
những công trình nghiên cứu trong và ngoài nước như sau:
1.3.1 Tổng quan tình hình nghiên cứu ngoài nước:
Thông qua cuốn sách của tác giả “Rhee”: Man Young Rhee (2003), Internet
Security: Cryptographic Principles, Algorithms and Prtocols. John Wiley & Sons - Ta
thấy được vai trò của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mật
Internet. Đưa ra các biện pháp khắc phục các mối đe dọa do hoạt động tội phạm dựa
vào độ phân giải mật mã. Nếu không có các thủ tục xác thực, kẻ tấn công có thẻ mạo
10
danh bất cứ ai sau đó truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ
liệu có thể bị thay đổi tấn công thông qua đường truyền Internet.
Cuốn sách đưa ra được nguyên tắc cơ bản về mạng LAN, WAN, ATM.., các kỹ
thuật xác thực, hệ thống mã khóa công khai và các giao thức để bảo vệ lớp mạng, đặc
biệt là cuộc khảo sát nhàn nước-of-the-art của bộ ứng dụng giao thức TCP/IP.
Hay cuốn sách của tác giả “Willliam Stalling” (2011) Crytography and
network security principles and practices, Fourth Edition, Prentice Hall
Nội dung cuốn sách nói về vấn đề mật mã và an ninh mạng, đưa ra được những
nguyên tắc và những vấn đề cơ bản về HT mật mã và an ninh mạng. Tiếp theo là đề
cập tới thuật toán mã hóa cơ bản (mã hóa đối xứng, mã hóa cổ điển mã hóa khối, mã
hóa tiên tiến và các tiêu chuẩn của mã tiên tiến), hàm băm chữ ký số và an ninh: Ứng
dụng xác thực an ninh thư điện tử, IP an ninh, bảo mật Web…Cuốn sách này nên ra
được cho người đọc những phương pháp, cách thức chung của một hệ thống từ cơ bản
tới mở rộng, nâng cao và được ứng dụng hầu hết trong giáo trình, bải giảng của các
trường đại học….
Tuy nhiên, cũng như cuốn của Man Young Rhee (2003), thì đây cũng là cuốn
sách nghiê cứu chuyên sau về tường lửa liên quan tới phần cứng và các phần mềm độc
hại. Đây là hai vấn đề cơ bản, nhưng đổi với một HTTT của một doang nghiệp thì
không chỉ xảy ra sự cố do hai yếu tố đó, mà còn bị ảnh hưởng bởi các nguy cơ xâm hại
khác. Vì vậy chưa thể đáp ứng một doanh nghiệp cụ thể.
1.3.2 Tổng quan tình hình nghiên cứu trong nước:
Tại Việt Nam với sự phát triển mạnh mẽ của CNTT trong thời gian qua thì sự
quan tâm đến vấn đề an toàn thông tin ngày càng lớn. Các đề tài nghiên cứu cấp Bộ,
cấp Nhà nước, các hội nghị, hội thảo được xuất hiện ngày càng nhiều.
Sau đây là một số giáo trình và công trình nghiên cứu liên quan:
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB thống kê. Giáo trình đưa ra được các hình thức tấn công, cùng với các biện pháp
phòng tránh khi sự cố chưa xảy ra và cách khắc phực khi đã xảy ra sự cố. Tài liệu cũng
trình bày về cấn đề mã hóa dữ liệu và ứng dựng của an toàn dữ liệ trong TMĐT. Điểm
nổi bật đó là tài liệu được trình bày từ lý thuyết chung cơ bản tới những nhận xét đánh
giá khách qaun có tính chuyên sâu về vấn đề.
Giống như tên cuốn giáo trình đó là thiên về hướng TMĐT, mặc dù nó giúp các
nhà kinh doanh có cái nhìn toàn diện và vận dụng hơn vào doanh nghiệp của mình
11
nhưng nó lại không đi sâu nghiên cứu khía cạnh an toàn bảo mật riêng cho một hệ
thống thông tin doanh nghiệp.
Nguyễn Minh Quang (2012), Nghiên cứu một số giải pháp an toàn và bảo
mật thông tin trong các giao dịch thương mại điện tử – Luận văn thạc sĩ chuyên ngành
Khoa học máy tính, Học viện Công Nghệ Bưu Chính Viễn Thông. Luận văn nghiên
cứu về chữ ký số và ứng dụng trong các giao dịch thương mại điện tử giúp cho việc
trao đổi các chứng từ điện tử trở nên an toàn và bảo mật
Ngoài ra còn một số luận văn cũng tiêu biểu như sau:
Nguyễn Thị Thanh Thủy, Nghiên cứu bảo mật Web – Luận văn trường Đại
học Công nghệ-ĐHQGHN, “Nghiên cứu các lỗ hổng trong bảo mật” của Đoàn Trọng
Hiệp, ĐHDL Hải Phòng, “Tìm hiểu vấn đề an ninh, an toàn trong trao đổi dữ liệu tử”
của Đào Thị Thu Hường.
Đại đa số các tác giả làm theo mảng chuyên sâu về một số giải pháp- kỹ thuật,
nêu một cách chi tiết ưu nhược điểm của các giải pháp mà mình nghiên cứu. Tuy
nhiên, giải pháp để áp dụng vào một doanh nghiệp cụ thể thì tác giả trên vẫn chưa đề
cập đến, bởi vì một HTTT của một doanh nghiệp phụ thuộc vào rất nhiểu yếu tố, cho
nên phải áp dụng nhiều hơn một giải pháp cụ thể với đặc trưng của doanh nghiệp.
Cũng chính vì lý do đó, em quyết định nghiên cứu đề tài này, theo hiểu biết của em thì
đề tài này không trùng lặp với các đề tài nghiên cứu trước đó.
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM THÔNG
TIN TRONG HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO
2.1. GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO
2.1.1.Giới thiệu chung về công ty
Tên đầy đủ :
Công ty Cổ phần phần mềm BRAVO
Tên tiếng anh : BRAVO Software Joint Stock Company
Ngày thành lập(trụ sở HN) : 7/10/1999
Ngày cấp giấy phép :
18/10/1999
Mã số thuế:
0100947771 Tại Cục thuế Hà Nội
Giám đốc công ty:
Ông Đào Mạnh Hùng
Công ty có trụ sở tại Hà Nội: Tầng 3, Tòa nhà 101 Láng Hạ, Phường Láng Hạ,
Quận Đống Đa, TP.Hà Nội
Tel: 024 3776 2472 | Fax: : 024 3776 2470
12
E-mail: :
Website :
Lĩnh vực hoạt động: Sản xuất phần mềm máy tính
Ngoài ra còn 2 chi nhánh : Tại TP HCM và Tại Đà Nẵng
2.1.2 Quá trình thành lập và phát triển của công ty Cổ phần Phần mềm
Bravo
Công ty Cổ phần Phần mềm Bravo được thành lập theo giấy phép số 4667/GPUB ngày 07 tháng 10 năm 1999 của UBND thành phố Hà Nội. Được Sở kế hoạch và
Đầu tư Hà Nội cấp giấy chứng nhận đăng ký kinh doanh số: 056682 ngày 18 tháng 10
năm 1999 và cục thuế Hà Nội cấp mã số đăng ký thuế: 0100947771 ngày 05 tháng 11
năm 1999.
Ngành nghế kinh doanh chủ yếu của công ty là : Sản xuất phần mềm máy tính
(chủ yếu là phần mềm kế toán).
Cơ cấu tổ chức của công ty bao gồm các bộ phận sau: Bộ phận giám đốc, bộ
phận quản lý tổng hợp, bộ phận kinh doanh, bộ phận kỹ thuật- triển khai, bộ phận bảo
hành, bộ phận phát triển và test sản phẩm, bộ phận kế toán, bộ phận đào tạo nhân sự
và bộ phận công nghệ.
Năm 2000 thành lập văn phòng đại diện tại TP. Hồ Chí Minh và được Sở kế
hoạch – Đầu tư cấp giấy phép vào ngày 15 tháng 12 năm 2000. Năm 2003 thành lập
văn phòng đại diện tại Đà Nẵng được cấp phép vào ngày 14 tháng 04.
Phần mềm Kế toán Bravo đã được đăng ký, chứng nhận:
+ Giấy chứng nhận bản quyền tác giả số 321/2001/QTG do Cục Bản quyền tác
giả- Bộ văn hóa thông tin cấp ngày 24 tháng 10 năm 2001 về phần mềm kế toán
Bravo.
+ Giấy chứng nhận bản quyền tác giả số 246/2003/QTG do Cục Bản quyền tác
giả- Bộ văn hóa thông tin cấp ngày 27 tháng 03 năm 2003 về Phần mềm Bravo.
+ Giấy chứng nhận đăng ký nhãn hiệu hàng hóa số 39080 và số 53916 của Cục
Sở hữu công nghiệp- Bộ khoa học công nghệ và môi trường về việc bảo hộ nhãn hiệu
hàng hóa: Phần mềm kế toán Bravo.
Quá trình phát triển của Bravo có rất nhiều thành tựu: Từ những phiên bản phần
mềm Bravo 3.2 lên phiên bản Bravo 4.0, Bravo 4.1, Bravo 5.0, Bravo 6.0, Bravo 7.0
và bây giờ là phiên bản Bravo 8 được xây dựng trên nền tảng công nghệ .NET
Framework 4.5, kết hợp với các công nghệ tiên tiến như: WCF, Xamarin, AngularJS và
13
sử dụng cơ sở dữ liệu SQL Server, đồng thời bổ sung, cái tiến nhiều tính năng, để trở
thành hệ thống ERP tối ưu và phù hợp cho quản trị tổng thể doanh nghiệp cho nhiều
ngành nghề lĩnh vực khác nhau. Điều này cũng xuất phát từ chính mục tiêu phát triển
của công ty: “Trở thành nhà cung cấp phần mềm kế toán số một trong lĩnh vực sản
xuất kế toán”.
2.1.3 . Giới thiệu về cơ cấu tổ chức và tình trạng hoạt động của Doanh
Nghiệp
a. Sơ đồ Cơ cấu tổ chức:
Cơ cấu tổ chức công ty theo bộ phận, nhóm được xây dựng và điều chỉnh dựa
trên thực tế công việc của BRAVO nhằm nâng cao khả năng dịch vụ khách hàng, phù
hợp với đặc điểm và tình hình kinh doanh. Đồng thời tạo được cơ chế trao đổi – hỗ trợ
thông tin nội bộ, phân công quyền hạn, trách nhiệm từ đó thực hiện tốt các công việc
chuyên môn cũng như hỗ trợ và dịch vụ khách hàng.
Ghi chú:
: Thể hiện liên hệ trực tiếp -------: Thể hiện liên hệ hỗ trỡ
14
Hình 2.1: Sơ đồ tổ chức của Công ty Cổ phần Phần mềm BRAVO
(Nguồn từ Website của công ty)
Chức năng và nhiệm vụ của các phòng ban
- Ban giám đốc: Điều hành, quản lí, giám sát toàn bộ các hoạt động của công ty
- Bộ phận quản lý tổng hợp: Lập kế hoạch tài chính, tổ chức triển khai theo
dõi hoạt động tài chính - kế toán, tổ chức kiểm soát ngân quỹ…
- Phòng kinh doanh: Kí hết hợp đồng, nghiên cứu phát triển thị trường, xúc
tiến việc phát triển thị trường, tổ chức thu thập tài liệu – thông tin cần thiết phục vụ
cho hoạt động phân tích thống kê
- Phòng kỹ thuật – triển khai: Cài đặt, đào tạo, hỗ trợ sử dụng và lập trình
trong giai đoạn triển khai. Thường xuyên cập nhật sửa đổi, thăm hỏi khách hàng
- Phòng bảo hành: Trợ giúp và chăm sóc khách hàng sử dụng phầm mềm trong
giai đoạn bảo hành, bảo trì sản phẩm.
- Phòng phát triển và test sản phẩm: Phát triển và test sản phẩm
- Phòng kế toán: Chịu trách nhiệm trước ban giám đốc về hạch toán kinh
doanh của toàn công ty, giao dịch với cơ quan thuế, ngân hàng và các tổ chức khác.
- Phòng công nghệ: Tổ chức hệ thống thông tin phục vụ quản lý, sản xuất kinh
doanh của công ty.Nâng cấp tích hợp, lắp đặt, quản lý, khai thác thông tin một cách
hợp lý, đảm bảo HTTT hoạt động ổn định.
- Phòng đào tạo-nhân sự: Tuyển dụng, lưu trữ hồ sơ và làm công việc văn
phòng khác.
b. Cơ cấu nhân sự:
Hiện nay công ty có hơn 300 nhân viên làm việc tại 03 văn phòng gồm Hà Nội,
Đà Nẵng và TP Hồ Chí Minh. Đây đều là những nhân viên chuyên nghiệp, năng động,
sáng tạo, đã được đào tạo có bài bản, hiểu sau về kế toán tài chính và có kinh nghiệm
triển khai, lập trình tốt. Công ty vẫn luôn chú trọng vào đào tạo, lựa chọn kỹ lưỡng,
tăng cường lợi ích giữa các thành viên.
Bảng 2.1: Số liệu về nhân viên tại 3 miền
STT
Địa Chỉ
Số Lượng
1
Hà Nội
168
2
Đà Nẵng
69
3
TP Hồ Chí Minh
70
15
2.1.4 Báo cáo tài chính về thu chi, lợi nhuận 3 năm gần đây
Bảng 2.2: Kết quả hoạt động kinh doanh trong 3 năm (2016-2018)
Chỉ Tiêu
M
ã
số
1.Doanh thu bán hàng và cung 01
cấp dịch vụ
2.Các khoản giảm trừ doanh thu
Năm
Năm
2016
2017
89.045.476.396
116.778.803.345
02
3.Doanh thu thuần về BH và 10
Cung cấp DV
Năm
2018
148.099.782.96
8
660.000.000
89.045.476.396
116.778.803.345
147.439.782.96
8
96.188.358.542
142.204.935.24
1
89.045.476.396
20.590.444.803
5.234.847.727
669.135.187
748.318.072
1.020.436.467
(10=01-02)
4.Giá vốn hàng bán
11
5.Lợi nhuận gộp về BH và cung 20
cấp DV
(20=10-11)
6.Doanh thu hoạt động tài chính
21
7.Chi phí tài chính
22
-Trong đó: Chi phí lãi vay
23
8.Chi phí bán hàng
25
22.044.239.798
6.185.185.418
2.733.984.092
9.Chi phí quản lý doanh nghiệp
26
66.185.891.275
11.060.763.282
1.026.282.064
10.Lợi nhuận thuần từ hoạt động 30
kinh
doanh
(30=20+(21-22)-(25+26))
1.484.480.510
1.824.864.175
2.495.018.038
11. Thu nhập khác
31
50.000.000
90.909.091
12.Chi phí khác
32
87.710.474
81.184.364
13. Lợi nhuận khác (40=31-32)
40
(37.710.474)
9.724.727
14. Tổng lợi nhuận kế
trước thuế
toán 50
15.Chi phí thuế TNDN hiện 51
hành
16.Chi phí thuế TNDN hoãn lại
1.446.770.036
1.824.864.175
2.504.742.765
289.354.007
364.972.853
500.948.553
1.157.416.029
1.459.891.340
2.003.794.212
52
17.Lợi nhuận sau thuế TNDN 60
(60=50-51-52)
16
(Nguồn từ báo cáo tài chính công ty cổ phần phần mềm Bravo)
Quan sát bảng số liệu từ phòng kế toán trên, nhìn chung tình hình kinh doanh
của công ty trong 3 năm gần đây có xu hướng phát triển tốt. Trình độ nhân sự, chất
lượng trang thiết bị được gia tăng một cách đáng kể, có khả năng phục vụ nhiều đối
tượng khách hàng với mức yêu cầu khác nhau. Doanh thu và lợi nhuận sau thuế của
công ty tăng dần theo từng năm.
2.1.5. Chiến lược và định hướng phát triển của công ty trong thời gian tới
- BRAVO chủ trương xây dựng thương hiệu dựa trên “Chất lượng sản
phẩm” và “Chất lượng dịch vụ”. Trên cơ sở đó BRAVO đã đưa ra chiến lược phát triển
cho giai đoạn từ nay đến năm 2020 là “Phấn đấu trở nhà cung cấp hàng đầu các sản
phẩm phần mềm chất lượng cao cho các tổ chức, doanh nghiệp tại Việt Nam”.
(*) Mục tiêu hoạt động:
- Mục tiêu Thị trường (tính đến năm 2020)
Trở thành nhà cung cấp phần mềm số 1 trong lĩnh vực “Phần mềm Kế
toán quản trị - sản xuất” cho thị trường Việt Nam.
Trở thành 1 trong 3 nhà cung cấp “Giải Pháp Quản Trị Doanh Nghiệp” hàng
đầu cho thị trường Việt Nam (ERP-VN).
- Mục tiêu Doanh số: Năm 2015 – 2020: Tăng trưởng bình quân 30% - 50% /
năm
- Mục tiêu Tổ chức- Nhân sự:
Bravo không ngừng đặt ra các mục tiêu phấn đấu nhằm nâng cao về đời sống
vật chất cho các thành viên của chính mình. Các mục tiêu đó được cụ thể và thể hiện
thông qua nội dung chi tiết quy định, quy chế và chính sách định hướng nhân sự của
Bravo hàng năm nhằm xây dựng Bravo thành một mái nhà thứ hai của mỗi thành viên.
Dự kiến, đến cuối năm 2020, Bravo có số lượng cán bộ nhân viên khoảng 450
người với hệ thống cung cấp dịch vụ, đào tạo chuyên nghiệp. Với cơ cấu và bộ máy sẽ
được tổ chức tại mỗi vùng miền ( Bravo-Hn, Bravo-Hcm, Bravo-Đn) cơ bản như sau:
Bộ phận kinh doanh, bộ phận Marketing, bộ phận tư vấn nghiệp vụ, bộ phận kỹ thuật
triển khai, bộ phận bảo hành, bộ phận phát triển sản phẩm, bộ phận công nghệ, bộ
phận kiểm thử sản phẩm, bộ phận tổng hợp ( Hành chính – Đối ngoại), bộ phận kế
toán, bộ phận nhân sự.
2.2. THỰC TRẠNG CỦA CÔNG TÁC ATBM-HTTT CỦA CÔNG TY CỔ
PHẨN PHẦN MỀM BRAVO
17
2.2.1.Các phần cứng công ty đang sử dụng.
Bảng 2.3: Tên các phần cứng
Tên phần cứng
Số Lượng
Máy chủ
3
Máy tính cá nhân
160
Máy fax
3
Máy photocopy
3
Máy chiếu
2
2.2.2.Các phần mềm công ty đang sử dụng.
Các phần mềm ứng dụng: Công ty có sử dụng khá nhiều loại phần mềm,
từ phần mềm văn phòng, phần mềm quản lý đến các phần mềm giao tiếp, phần
mềm diệt virus. Đặc biệt nhất là phần mềm ERP do công ty tự thiết kế.
+ Các phần mềm hỗ trợ quảng cáo: E-mail Marketing, SMS Marketing,
Phần mềm SEO.
+ Phần mềm quản lý chung các công việc, quy trình làm việc: BravoMan
+ Phần mềm kế toán: Bravo 8
+Các phần mềm giải nén tệp tin Winrar, các trình duyệt Web Chorme
2.2.3 Hệ thống mạng: Về hệ thống mạng, thông qua phiếu điều tra công ty
đang sử dụng hệ thống mạng LAN và INTRANET. INTRANET là mạng nội bộ trên
cơ sở môi trường Web, phát huy được nhiều chức năng trong kinh doanh và quản trị
doanh nghiệp, quản lý tổ chức. Công ty đang sử dụng với các chức năng là kênh phân
phối thông tin tới nhân viên như hướng dẫn công việc, chính sách của công ty, các văn
bản có liên quan đến nhân sự... Khi có nhu cầu tìm hiểu về nhân viên có thể truy cập
thông qua máy tính cá nhân. Đối với khách hàng, khi có yêu cầu về báo giá sản phẩm
intranet sẽ đáp ứng yêu cầu này thông qua xác nhận yêu cầu từ CSDL, định dạng
thông tin, chuyển thông tin đến khách hàng thông qua internet.
2.2.4 Cơ sở dữ liệu: Toàn bộ dữ liệu của công ty được lưu trữ bằng hệ quản trị
cơ sở dữ liệu SQL Server- Thông tin được bảo mật tuyệt đối. Tuy nhiên, việc bảo đảm
an toàn bảo mật vẫn phải được đặt lên hàng đầu vì có rất nhiều tác nhân có thể ảnh
hưởng trực tiếp tới dữ liệu của Công ty.
2.2.5 Nguồn nhân lực CNTT của công ty: Khoảng 1/3 số nhân viên đã có
kinh nghiệm làm việc trên 6 năm về lĩnh vực, 1/3 có ít nhất 4 năm kinh nghiệm, số còn
18
