MỤC LỤC
MỤC LỤC i
DANH MỤC TỪ VIẾT TẮT ii
DANH MỤC BẢNG BIỂU iii
DANH MỤC HÌNH ẢNH iv
CHƯƠNG 1 1
TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP 1
CHƯƠNG 2 5
CƠ SỞ LÝ LUẬN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH
NGHIỆP VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN THÔNG TIN TRONG
CÔNG TY CỔ PHẦN Y DƯỢC HÀ NỘI 5
Biểu đồ 2.1. Các hình thức tấn công vào HTTT doanh nghiệp 8
Bảng 2.1. Cơ cấu doanh thu công ty năm 2010-2012 18
Biểu đồ 2.3. Mức độ trang bị thiết bị phần cứngbảo mật 21
Hình 3.2. Cấu hình điển hình 29
Công ty cổ phần y dược Hà Nội có thể sử dụng sản phẩm Bitdefender SBS Security
cho Server và các máy lưu trữ dữ liệu chính ở mỗi phòng ban 30
KẾT LUẬN 37
TÀI LIỆU THAM KHẢO 38
PHỤ LỤC 39
i
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt Nghĩa Tiếng Việt
ATTT : An toàn thông tin
CNTT : Công nghệ thông tin
CSDL : Cơ sở dữ liệu
HTTT : Hệ thống thông tin
TMĐT : Thương mại điện tử
SET : An toàn giao dịch điện tử (Secure Electronic Transaction)
SSL : Lớp ổ cắm an toàn (Secure Sockets Layer)
TLS : An ninh tầng giao vận (Transport Layer Security)
TỔNG QUAN VỀ ĐẢM BẢO AN TOÀN THÔNG TIN DOANH NGHIỆP
1.1. Tầm quan trọng, ý nghĩa của an toàn thông tin doanh nghiệp
Thông tin đã trở thành một vấn đề sống còn đối với mọi lĩnh vực của đời sống
kinh tế - xã hội đặc biệt là trong lĩnh vực quản lý kinh tế. Nó quyết định sự thành bại
của các doanh nghiệp trên thương trường nếu họ biết sử dụng thông tin như thế nào
sao cho đạt hiệu quả nhất. Ứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông
tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc
đẩy nền kinh tế mở rộng và phát triển.Vì vậy, trong quá trình quản lý các cơ quan,
doanh nghiệp phải thấy được vai trò của thông tin. Nó không những giúp doanh
nghiệp đáp ứng mọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực
sản xuất, giúp cho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài
nước.
Có thể coi thông tin như là linh hồn của doanh nghiệp, nó quyết định mọi hoạt
động hàng ngày của doanh nghiệp. Nhưng cũng chính vì tầm quan trọng đó mà khi
thông tin bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp.
Là một doanh nghiệp mới thành lập, Công ty cổ phần công nghệ y dược Hà Nội
vẫn chưa có sự đầu tư đúng mức cho vấn đề ATTT của mình. Việc thu thập, xử lý và
sử dụng thông tin của Công ty vẫn còn rời rạc, chưa nhất quán và đặc biệt không đảm
bảo tính an toàn. Do đó, bài nghiên cứu“Một số giải pháp đảm bảo an toàn thông tin
cho Công ty cổ phần công nghệ y dược Hà Nội” đánh giá thực trạng ATTT đề xuất
một số giải pháp nhằm đảm bảo an toàn thông tin cho Công ty.
1.2. Tổng quan về vấn đề nghiên cứu
Tình hình nghiên cứu ở Việt Nam
Đã có khá nhiều những công trình nghiên cứu về vấn đề này:
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại
điện tử”, Nguyễn Tuấn Anh, Khoa CNTT, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
1
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an
• Đánh giá thực trạng vấn đề an toàn thông tin tại Công ty cổ phần công nghệ y
dược Hà Nội
• Đề xuất một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần công
nghệ y dược Hà Nội, nhằm nâng cao năng lực hoạt động của Công ty, tăng niềm tin
của khách hàng đối với Công ty, từ đó nâng cao vị thế cạnh tranh của HKH trên thị trường.
1.4. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu
Cần nghiên cứu hệ thống cơ sở lý luận về an toàn thông tin, về an toàn bảo mật
thông tin trong doanh nghiệp và tất cả các yếu tố có liên quan đến bảo mật của Công
ty cổ phần công nghệ y dược Hà Nội.
Phạm vi nghiên cứu
• Phạm vi về không gian
Nội dung của đề tài nghiên cứu của đề tài chỉ mang tính vi mô, hướng tới một
doanh nghiệp cụ thể - Công ty cổ phần công nghệ y dược Hà Nội, được đặt trong bối
cảnh nền kinh tế với sự phát triển mạnh mẽ của CNTT.
• Phạm vi về thời gian
Quá trình nghiên cứu sẽ được thực hiện dựa trên tình hình hoạt động của công
ty trong ba năm gần đây (từ 2010 đến 2012).
1.5. Phương pháp thực hiện đề tài
Để thực hiện các mục tiêu cụ thể đã đặt ra của đề tài nghiên cứu, một số
phương pháp đã được sử dụng như sau:
• Thu thập và phân tích số liệu thứ cấp ở Công ty, bằng những phiếu điều tra,
bảng câu hỏi, hồ sơ lưu trữ, internet.
• Phỏng vấn trực tiếp ít nhất mười người trong công ty bao gồm các nhà quản
lý và nhân viên về tình hình an toàn thông tin trong công ty.
• Điều tra gián tiếp thông qua mẫu phiếu điều tra từ mười tới mười lăm câu hỏi
gửi tới các phòng ban trong công ty.
• Chọn lọc, phân tích và tổng hợp thông tin nhằm đảm bảo an toàn thông tin cho
Công ty.
• Xử lý số liệu bằng excel, phần mềm.
Về cơ bản, mọi thành viên trong xã hội luôn luôn vận động và hành xử theo các quyết định
của bản thân mình. Vì vậy, mọi thành viên trong xã hội con người cần khai thác và sử dụng
thông tin để phục vụ cho cuộc sống của mình.
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của cá nhân và đơn vị mình. Trước đây người ta hiểu rằng thông tin chỉ nhằm để
phục vụ cho các công việc quản lý điều hành của người lãnh đạo. Gần đây người ta
nhận biết rằng thông tin được sử dụng trong những tình huống cần đề ra các quyết
định của mọi thành viên, của mọi cấp trong mọi tổ chức hoạt động. Trong hoạt động
tác nghiệp, thông tin cần được sử dụng bởi các nhân viên; trong hoạt động quản lý,
5
điều hành, thông tin cần được sử dụng bởi những người lãnh đạo, quản lý ở mọi cấp.
Hơn nữa, thông tin có thể được chỉnh dạng thêm để phục vụ cho người lãnh đạo cấp
cao trong việc đề ra các quyết định về chiến lược hoạt động của tổ chức.
Vai trò của thông tin
Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền
kinh tế thị trường. Có thể nói rằng, doanh nghiệp cần thông tin như cá cần nước.
Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ
mất đi cơ hội dinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính
xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ
trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin, doanh nghiệp sẽ có các quyết
định kinh doanh kịp thời, hợp lý và ít rủi ro.
b. Đảm bảo an toàn thông tin
An toàn thông tin
Thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa
đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ
yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến
mức độ nguy hiểm cho chủ sở hữu [1].
Bảo mật thông tin
trong kinh doanh.
Báo cáo “Hiện trạng An toàn thông tin trong các tổ chức doanh nghiệp Việt Nam
2011” cho thấy, có tới 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn
để ứng phó với những cuộc tấn công máy tính. Ba công nghệ được dùng nhiều nhất vẫn là
phần mềm chống virus, tường lửa và bộ lọc chống thư rác. Những công nghệ chuyên sâu
hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số… có tỷ
lệ sử dụng thấp hơn hẳn (khoảng 20-30%). Đặc biệt, những công nghệ bảo mật cấp cao
như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học… mới
được ứng dụng rất hạn chế tại VN (dao động quanh ngưỡng 5%).
b. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
An toàn bảo mật giúp cho việc quản lý thông tin trở nên rõ ràng, minh bạch
hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc
7
giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh
nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh.
Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt
hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan
trọng trong sự nghiệp phát triển của doanh nghiệp.
c. Các nguy cơ mất an toàn thông tin trong doanh nghiệp
Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
Nguy cơ ngẫu nhiên
Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quan
như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những
nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là
nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định
ngăn chặn, khắc phục kịp thời các sự cố ATTT trên mạng máy tính. Đặc biệt, cần bố
trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các
HTTT, lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo,
phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ
mất ATTT khi sử dụng mạng Internet.
Bên cạnh đó, doanh nghiệp cần triển khai áp dụng các giải pháp đảm bảo
ATTT, chống virus và mã độc hại cho các hệ thống thông tin và máy tính cá nhân có
kết nối mạng Internet.
9
Khắc phục hậu quả là sử dụng các phương pháp, phương tiện và kỹ thuật
nhằm phục hồi lại tài nguyên hệ thống và các hoạt động chủ yếu của nó.
Để khắc phục sự cố xảy ra, doanh nghiệp cần thiết lập cơ chế sao lưu, phục hồi
máy chủ, máy trạm.
Đối với các hệ thống thông tin quan trọng, áp dụng chính sách ghi lưu tập trung
biên bản hoạt động cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng.
Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng
lên bất ngờ, nội dung trang chủ bị thay đối, hệ thống hoạt động rất chậm khác
thường cần thực hiện các bước cơ bản sau:
• Bước 1 : Ngắt kết nối máy chủ ra khỏi mạng.
• Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ
(phục vụ cho công tác phân tích).
• Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để
hệ thống hoạt động.
e. Các thành phần cơ bản của hệ thống đảm bảo an toàn thông tin
Phần cứng
Phần cứng (hardware), là các bộ phận cụ thể của máy tính hay hệ thống máy
tính như là màn hình, chuột, bàn phím, máy in, máy quét, vỏ máy tính, bộ nguồn, bộ vi
xử lý CPU, bo mạch chủ, các loại dây nối, loa, ổ đĩa mềm, ổ đĩa cứng, ổ CDROM, ổ
DVD,
Dựa trên chức năng và cách thức hoạt động người ta còn phân biệt phần
workstation…
• Thiết bị kết nối (Interconnections): gồm những thành phần mang lại khả
năng kết nối từ điểm này tới điểm khác trong một mạng, như: card giao tiếp mạng,
phương tiện kết nối mạng như dây cáp, các phương tiện truyền dẫn không dây…, đầu
nối như RJ-45, RJ-11…
• Bộ chuyển mạch mạng (Switch): thiết bị cho khả năng kết nối các hệ thống
đầu cuối và chuyển mạch dữ liệu trong nội bộ của một mạng.
• Bộ định tuyến mạng (Router): thiết bị kết nối các mạng nhỏ lại với nhau và
có khả năng lựa chọn đường đi của dữ liệu giữa các mạng.
Cơ sở dữ liệu
CSDL là một bộ sưu tập rất lớn về các loại dữ liệu tác nghiệp, bao gồm các loại
dữ liệu âm thanh, tiếng nói, chữ viết, văn bản, đồ hoạ, hình ảnh tĩnh hay hình ảnh
động được mã hoá dưới dạng các chuỗi bit và được lưu trữ dưới dạng File dữ liệu
trong các bộ nhớ của máy tính. Cấu trúc lưu trữ dữ liệu tuân theo các quy tắc dựa trên
lý thuyết toán học.
11
CSDL là tài nguyên thông tin chung cho nhiều người cùng sử dụng. Bất kỳ người
sử dụng nào trên mạng máy tính, tại các thiết bị đầu cuối, về nguyên tắc có quyền truy
nhập khai thác toàn bộ hay một phần dữ liệu theo chế độ trực tuyến hay tương tác mà
không phụ thuộc vào vị trí địa lý của người sử dụng với các tài nguyên đó.
Con người
Đối với một hệ thống đảm bảo ATTT doanh nghiệp, con người luôn có vai trò
rất quan trọng. Có thể coi con người như là não bộ của hệ thống, điều hành mọi hoạt
động của hệ thống. Một hệ thống được xây dựng nhằm mục đích đảm bảo ATTT, dù
cho các thành phần cơ bản trên có được đầu tư nhiều đến đâu mà yếu tố con người
không đáp ứng được yêu cầu của hệ thống thì hệ thống đó cũng không thể phát huy
được tính năng và hiệu quả của nó.
Con người là nhân tố tác động trực tiếp lên hệ thống máy móc, thiết bị nhằm
thực hiện các thao tác xử lý đối với luồng thông tin dữ liệu đầu vào để cho kết quả đầu
ra mong muốn.
Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất
cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy
chủ cơ sở dữ liệu.
Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệu
hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung
như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,
Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài
nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc.
Yêu cầu về con người
Những người sử dụng, làm việc trực tiếp với thông tin cần phải có kiến thức về
ATTT. Cần bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo
an toàn cho hệ thống dữ liệu và thông tin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ
cho đội ngũ cán bộ ATTT, đào tạo, phổ biến kiến thức, kỹ năng cho người dùng máy tính
về phòng, chống các nguy cơ mất ATTT khi sử dụng mạng Internet.
2.1.3. Phân định nội dung nghiên cứu
Với đề tài: “Một số giải pháp đảm bảo an toàn thông tin cho Công ty cổ phần
công nghệ y dược Hà Nội”, mục tiêu cụ thể đặt ra là làm rõ được các vấn đề về ATTT,
thực trạng và giải pháp ATTT cho Công ty cổ phàn công nghệ y dược Hà Nội
Căn cứ vào tên và mục tiêu đề tài, nội dung nghiên cứu được phân định như sau:
• Nghiên cứu tổng quan về vấn đề ATTT trong doanh nghiệp.
13
• Nghiên cứu về các nguy cơ mất ATTT doanh nghiệp, các biện pháp phòng
tránh và khắc phục hậu quả.
• Nghiên cứu thực trạng vấn đề an toàn bảo mật thông tin trong Công ty
• Đưa ra các giải pháp nhằm đảm bảo ATTT cho Công ty
2.2. Thực trạng về vấn đề an toàn thông tin trong công ty cổ phần công
nghệ y dược Hà Nội.
2.2.1. Giới thiệu về Công ty cổ phần công nghệ y dược Hà Nội.
a. Quá trình hình thành
Loại hình doanh nghiệp: công ty cổ phần
hàng. Đầu mối triển khai các chương trình marketing… Có quyền hạn thu thập thông
tin về khách hàng từ các phòng nghiệp vụ, đàm phán với các kênh bán hàng, đối tác,
đại lý về chính sách bán hàng.
- Phòng kinh doanh: Khai thác các nghiệp vụ, thực hiện các dịch vụ khách
hàng, chăm sóc khách hàng. Thực hiện các chương trình xúc tiến bán hàng và chính
sách bán hàng. Tiếp nhận thông tin phản hồi từ khách hàng và cung cấp các phòng liên
quan. Xây dựng và quản lý mạng lưới đại lý của phòng.
- Phòng tài chính kế toán: Vận hành bộ máy kế toán và quản lý chứng từ.
Hướng dẫn thực hiện các văn bản quy định TCKT của Nhà nước và Tổng công ty.
15
Phó
giám
đốc
Khu
nghiệp
vụ
Phòng kỹ thuật
Phòng chăn sóc khách hàng
Khu
kinh tế
Phòng kế toán
Giám
đốc
Khu
quản lý
Phòng tổng hợp
Phó
giám
đốc
Khu
thiết bị điện tử, tin học, viễn thông;
• Cung cấp cáp quang, cáp đồng và các phụ kiện dành cho mạng ngoại vi;
16
• Thiết kế, tạo lập trang chủ Internet, thiết kế hệ thống mạng máy tính thích
hợp với phần cứng, phần mềm và công nghệ truyền thông, thiết kế tạo mẫu in;
• Cung cấp dịch vụ tư vấn và chuyển giao công nghệ trong lĩnh vực điện tử, tin
học, viễn thông;
• Chuyên cung cấp các loại thuốc ngoại nhập , các thực phẩm chức năng chông
lão hóa
• Bán các thiết bị máy móc y tế được sử dụng rộng rãi trong các bệnh viện
cũng như các phòng khám tư nhân (máy chụp xquang, máy nội soi, máy siêu âm );
• Cho thuê các thiết bị công nghệ hỗ trợ điều trị bệnh trong các bệnh viện
phòng khám;
• Cung cấp các thiết bị hỗ trợ điều trị tại nhà.
b. Tình hình hoạt động
Doanh thu với các sản phẩm, hoạt động kinh doanh chính trong 3 năm gần đây
(bảng 2.1) chủ yếu đến từ năm lĩnh vực kinh doanh chính của doanh nghiệp bao gồm:
• Thiết bị tổng đài, mạng LAN, mạng viễn thong
• Thiết bị điện tử, tin học, thiết bị văn phòng, trường học
• Thiết bị y tế
• Dịch vụ tư vấn và chuyển giao công nghệ thông tin
• Thiết bị, dịch vụ khác
Lĩnh vực kinh doanh Doanh thu năm
2010 (tỉ đồng)
Doanh thu năm
2011 (tỉ đồng)
Doanh thu năm
2012 (tỉ đồng)
Thiết bị tổng đài, mạng
LAN, mạng viễn thông
hành chính…
Quy trình của thông tin
Thông tin trong quản lý kinh tế được tuân theo quy trình sau:
18
Thu thập Chọn lọc
Xử lý
Phân loại
Bảo quản
Truyền đạt thông tin
Thông tin vào
Thông tin ra
Hình 2.2. Quy trình thông tin trong quản lý kinh tế
(Nguồn: Bài giảng Tổ chức HTTT thông tin TT&TM, ĐH Thương mại)
Tại Công ty cổ phần công nghệ y dược Hà Nội, việc thu thập, chọn lọc, xử lý,
phân loại và lưu trữ thông tin được thực hiện bởi phòng kinh doanh.
Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quan đến hoạt động
của Công ty thông qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những thông
tin nhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm thu gọn và
giảm số lượng thông tin cần xử lý.
Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máy
chủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm. Ban giám đốc sẽ đưa ra
quyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ công ty.
Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm vụ của từng
phòng, nhằm phục vụ hoạt động một cách hiệu quả nhất. Do đó, mọi nhân viên trong
Công ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếm
thông tin phục vụ cho công việc của mình.
b. Kết quả phân tích và xử lý dữ liệu điều tra
Để thu thập thông tin về tình hình ứng dụng CNTT tại Công ty cổ phần và công
nghệ y dược Hà Nội, em đã thực hiện điều tra sơ bộ thông qua mẫu phiếu điều tra
được gửi tới các nhân viên trong Công ty. Điều tra được thực hiện với sự đóng góp ý
Copyright: Tài liệu đại học ©