Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
LỜI CẢM ƠN
Lời đầu tiên em xin chân thành cảm ơn các thầy cô trong Khoa Hệ thống thông
tin – Trường Đại học Thương Mại đã tận tình dạy bảo, truyền đạt kiến thức và nhiều
kinh nghiệm qúy báu cho em trong suốt thời gian em học tại trường.
Trong thời gian nghiên cứu và thực hiện khoá luận tốt nghiệp, em xin chân
thành cảm ơn cô Lê Thị Thu đã tận tình giúp đỡ, chỉ dẫn, động viên em trong suốt thời
gian thực hiện khoá luận.
Em cũng không quên gửi lời cảm ơn đến các bạn của em luôn giúp đỡ, động
viên em trong lúc em gặp khó khăn.
Sau cùng em xin chúc toàn thể thầy cô trong khoa Hệ thống thông tin, cô Lê
Thị Thu một lời chúc sức khoẻ, luôn thành công trong công việc và cuộc sống.
Do kiến thức còn hạn chế nên chắc chắn đề tài còn nhiều sai sót. Em rất mong
nhận được sự góp ý từ qúy thầy cô và bạn bè.
Một lần nữa em xin chân thành cảm ơn!
Sinh viên thực hiện
Vũ Thị Minh Nguyệt
DANH MỤC CÁC BẢNG
SVTH: Vũ Thị Minh Nguyệt i MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Tên bảng Nội dung Trang số
Bảng 2.1 Kết quả hoạt động kinh doanh giai đoạn 2008 – 2011 của
công ty cổ phần Kỹ thuật số Sài Gòn
Bảng 2.2 Thực trạng hiểu biết về các phương pháp bảo mật thông tin
của nhân viên công ty
Bảng 3.1 Bảng báo giá các phần mềm diệt virus phổ biến năm 2012
SVTH: Vũ Thị Minh Nguyệt ii MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
DANH MỤC HÌNH VẼ
Tên hình Nội dung Trang số
Hình 2.1 Tình hình máy tính cá nhân bị tấn công gây mất an toàn

DOS Denial of Service
DDOS Distributed Denial of Service
TCP Transmission Control Protocol
UDP User Datagram Protocol
IP Internet Protocol
ADSL Asymmetric Digital Subscriber Line
LAN Local Area Network
PC Personal computer
SVTH: Vũ Thị Minh Nguyệt iv MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Chương I: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU
1.1. Tầm quan trọng và ý nghĩa của an toàn thông tin
Trong thời đại ngày nay, thế giới đang có xu hướng toàn cầu hóa, xóa bỏ các
rào cản văn hóa, thương mại tiến tới sự hòa nhập. Việt Nam cũng đang có những thay
đổi lớn và có những bước tiến quan trọng. Đây là cơ hội cũng là thách thức lớn, mỗi
doanh nghiệp đều phải thận trọng trong từng bước đi của mình. Trong môi trường
cạnh tranh bằng thông tin hiện nay thì việc đảm bảo ATTT trở thành vấn đề vô cùng
quan trọng. Hẳn chúng ta đều biết việc mất cắp dữ liệu trong các cơ quan an ninh hay
quân sự sẽ ảnh hưởng như thế nào đối với tình hình chính trị của một quốc gia. Hay
ngay trong các ngành kinh tế như ngân hàng, tài chính cũng có thể xảy ra nguy cơ
thông tin bị rò rỉ. Chỉ cần một dữ liệu bị sửa đổi, hoặc bị đánh cắp, hay bị mất có thể
sẽ ảnh hưởng nghiêm trọng tới doanh nghiệp hoặc khách hàng của doanh nghiệp đó.
Bảo vệ thông tin và dữ liệu là một trong những vấn đề quan trọng nhất của các mạng
thông tin trong thời đại internet, đặc biệt với sự phát triển của công nghệ, ngày càng có
nhiều cách kết nối, nhiều phương thức trao đổi từ xa sử dụng công nghệ di động và
không dây. Có thể nói chưa bao giờ mức độ rủi ro liên quan đến ATTT trong doanh
nghiệp lại trở thành vấn đề bức xúc như hiện nay.
Đồng thời trong một nền kinh tế toàn cầu hóa thì vấn đề thông tin được xem là
sự sống còn đối với các doanh nghiệp. Thế nhưng, rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề ATTT và những nguy cơ có thể xảy ra từ

tại công ty cổ phần Kỹ thuật số Sài Gòn”.
1.2. Tổng quan về vấn đề nghiên cứu
Qua thời gian tìm hiểu từ các nguồn tài liệu khác nhau, tác giả đã thu thập được
một số đề tài nghiên cứu về vấn đề an toàn bảo mật thông tin. Và sau đây tác giả xin
đưa ra các đề tài trong nước có liên quan nhất cùng nhận xét của bản thân:
- Luận văn: “Đảm bảo an toàn thông tin bằng kiểm soát truy cập” – Tác giả:
Đoàn Trọng Hiệp - khoa CNTT - trường Đại học dân lập Hải Phòng - năm 2009.
Luận văn đã đưa ra được đầy đủ các vấn đề liên quan đến kiểm soát truy cập,
một trong những vấn đề cần quan tâm để bảo đảm an toàn thông tin như phương pháp
kiểm soát truy cập, chính sách truy cập, kỹ thuật kiểm soát truy cập…nhưng còn dừng
lại ở mức lý thuyết, chưa đi vào áp dụng thực tế.
- Khóa luận: “Một số vấn đề về an toàn cơ sở dữ liệu” – Tác giả: Lương Văn
Phượng - trường Đại học Công nghệ - ĐHQG Hà Nội - năm 2008.
Khóa luận trình bày về cơ sở dữ liệu, các vấn đề an toàn trong cơ sở dữ liệu,
kiểm soát an toàn, thiết kế và xây dựng giải pháp bảo vệ dữ liệu cơ sở dữ liệu khi lưu
chuyển trên kênh giữa dữ liệu của máy chủ (Database server) và dữ liệu của máy
SVTH: Vũ Thị Minh Nguyệt 2 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
khách (Database client) dựa trên mô hình Winsock. Đề tài chỉ nghiên cứu về an toàn
cho cơ sở dữ liệu.
- Khóa luận: “Nghiên cứu kỹ thuật che giấu tin trong tài liệu số hóa” – Tác giả:
Nguyễn Thị Thùy Liên - khoa CNTT – trường Đại học dân lập Hải Phòng - năm 2009.
Nội dung chủ yếu của khóa luận là trình bày các vấn đề xoay quanh mã hóa và
che giấu tin, đưa ra được các phương pháp mã hóa và giấu tin thông dụng để đảm bảo
thông tin trên tài liệu số hóa. Việc bảo vệ thông tin bằng hai lớp mã hóa và giấu tin có
thể bảo đảm truyền thông tin được an toàn, hiệu quả, song với tình hình phát triển của
các hình thức đánh cắp thông tin như hiện nay thì các phương pháp này chưa thực sự
chặt chẽ.
Ngoài ra, tác giả còn thu thập được một số cuốn sách nước ngoài đề cập đến
vấn đề an toàn thông tin sau:

CP Kỹ thuật số Sài Gòn.
Đề tài tập trung nghiên cứu về an toàn thông tin và các giải pháp đảm bảo an
toàn thông tin tại công ty.
Phạm vi nghiên cứu giới hạn trong công ty CP Kỹ thuật số Sài Gòn và đưa ra
các giải pháp đảm bảo an toàn thông tin cho công ty.
Giới hạn về thời gian: đề tài nghiên cứu thực trạng tình hình an toàn thông tin
trong hai năm trở lại đây (2010-2011) và đưa ra một số giải pháp đảm bảo an toàn
thông tin trong những năm tiếp theo (2012-2015).
1.5. Phương pháp nghiên cứu
1.5.1. Phương pháp thu thập dữ liệu
1.5.1.1. Phương pháp thu thập dữ liệu sơ cấp
• Phương pháp sử dụng phiếu điều tra trắc nghiệm
Phiếu điều tra được sử dụng gồm các câu hỏi trắc nghiệm đơn giản, dễ trả lời,
có nội dung xoay quanh vấn đề an toàn thông tin của công ty CP Kỹ thuật số Sài Gòn.
• Phương pháp phỏng vấn trực tiếp
Nhân viên điều tra đến gặp trực tiếp đối tượng được điều tra để phỏng vấn theo
một bảng câu hỏi đã soạn sẵn. Áp dụng khi hiện tượng nghiên cứu phức tạp, cần phải
thu thập nhiều dữ liệu; khi muốn thăm dò ý kiến đối tượng qua các câu hỏi ngắn gọn
và có thể trả lời nhanh được.
1.5.1.2. Phương pháp thu thập dữ liệu thứ cấp
Dữ liệu thứ cấp là những dữ liệu có sẵn đã được thu thập từ trước, đã qua xử lý
và đã được ghi nhận. Thu thập dữ liệu thứ cấp thông qua các báo cáo kinh doanh, tài
liệu thống kê, internet, website thegioianninh.com.vn …
1.5.2. Phương pháp phân tích dữ liệu
1.5.2.1. Các phương pháp định lượng
SVTH: Vũ Thị Minh Nguyệt 4 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Sử dụng phần mềm SPSS: Là một hệ thống phần mềm thống kê toàn diện được
thiết kế để thực hiện tất cả các bước trong phân tích thống kê mô tả, xử lý dữ liệu được
thu thập qua các phiếu điều tra.

thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng, phát
tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm đảm bảo cho các hệ thống thông
tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và
tin cậy. (Nguyễn Hữu Tuân, 2008)
2.1.2. Một số lý thuyết về vấn đề đảm bảo an toàn thông tin
2.1.2.1. Vai trò của thông tin và an toàn thông tin
Trong một tổ chức hoạt động, thông tin là một nguồn lực quan trọng để đảm
bảo cho mọi hoạt động của các thành viên trong tổ chức phù hợp với mục đích hoạt
động của mình từ người lãnh đạo đến mọi thành viên, của mọi cấp trong mọi tổ chức
hoạt động. Những người kiểm soát được thông tin có thể chi phối, tác động đến những
thành viên khác.
Có thể nói rằng thông tin là một trong những yếu tố cấu thành nên thế giới
khách quan; nó vừa là sức mạnh, cũng vừa là năng lượng và là nguồn tài nguyên của
xã hội con người.
- Thông tin là sức mạnh vì nó được sử dụng để làm nền tảng cho mọi hoạt động
của xã hội, kể cả hoạt động kinh doanh.
- Thông tin cũng là năng lượng, là nguồn tài nguyên. Trước đây người ta cho
rằng trong một tổ chức kinh doanh có năm nguồn tài nguyên: (1)Con người; (2)Thiết
bị, máy móc; (3)Tài chính; (4)Nguyên vật liệu, năng lượng; và (5)Quản lý. Tuy nhiên,
với sự phát triển nhanh chóng của xã hội ngày nay, thông tin có thể được xem như là
một nguồn tài nguyên mới, đặc thù, rất đa dạng và được sử dụng kết hợp các nguồn tài
nguyên khác để đem lại hiệu quả cho hoạt động kinh doanh.
Thực vậy, trong hoạt động kinh doanh, nhiều người quản lý đã nhận thấy rằng
thông tin là nguồn sức mạnh, đảm bảo thắng lợi trong cạnh tranh. Thông tin giúp cho
họ có khả năng vượt trước các đối thủ cạnh tranh của mình ở những thời điểm cạnh
tranh quyết liệt, đặc biệt khi tham gia thị trường mới hoặc khi đưa ra các sản phẩm
mới. Nếu không có thông tin chính xác, đầy đủ, kịp thời để phục vụ công việc xử lý,
điều hành thì tình huống mất khả năng kiểm soát, mất khả năng điều khiển có thể xảy
SVTH: Vũ Thị Minh Nguyệt 6 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu

Hiểm họa vô tình là trường hợp khi người dùng khởi động lại hệ thống ở chế độ
đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ
SVTH: Vũ Thị Minh Nguyệt 7 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. Còn
hiểm họa cố ý thì như cố tình truy nhập hệ thống trái phép.
Hiểm họa thụ động là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên
hệ thống, như nghe trộm các gói tin trên đường truyền. Còn hiểm họa chủ động là việc
sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống.
Đối với mỗi hệ thống thông tin, mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có
thể xuất phát từ những nguyên nhân như sau:
Từ phía người sử dụng có thể xảy ra sự xâm nhập bất hợp pháp, ăn cắp tài sản
có giá trị. Trong kiến trúc hệ thống thông tin thì tổ chức hệ thống kỹ thuật có thể
không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin.
Ngay trong chính sách an toàn an toàn thông tin cũng có khả năng không chấp
hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. Thông
tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý,
kiểm tra và điều khiển hệ thống.
Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong
phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý
đồ định trước, gọi là 'bom điện tử'. Nguy hiểm nhất đối với mạng máy tính mở là tin
tặc, từ phía bọn tội phạm.
2.1.2.4. Phân loại các kiểu tấn công phá hoại an toàn thông tin
Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công. Có rất
nhiều kiểu tấn công vào các máy tính, một số kiểu tấn công nhằm vào các hệ điều
hành, một số lại nhằm vào các mạng máy tính, còn một số lại nhằm vào cả hai. Sau
đây tác giả xin đưa ra một số kiểu tấn công điển hình. (ThS. Nguyễn Công Nhật, 2010)
2.1.2.4.1. Tấn công vào máy chủ hoặc máy trạm độc lập
Cách đơn giản nhất để tấn công một hệ điều hành là lợi dụng một máy tính đang
ở trạng thái đăng nhập (logged-on) của một người nào đó khi người đó bỏ ra ngoài

phần mềm liên tục thử các mật khẩu khác nhau có thể. Phần mềm này sẽ tạo ra các mật
khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số. Ta có thể dễ dàng tìm
kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet như: Xavior,
Authforce và Hypnopaedia. Các chương trình dạng này làm việc tương đối nhanh và
luôn có trong tay những kẻ tấn công.
2.1.2.4.3. Virus, sâu mạng và trojan horse
Hầu như ai cũng đã từng nghe hay gặp phải virus, sâu mạng hoặc trojan horse.
Virus là một chương trình gắn trong các ổ đĩa hoặc các tệp và có khả năng nhân bản
trên toàn hệ thống. Một số virus có thể phá hoại các tệp hoặc ổ đĩa, còn một số khác
chỉ nhân bản mà không gây ra một sự phá hoại thường trực nào. Một virus hoax không
SVTH: Vũ Thị Minh Nguyệt 9 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
phải là một virus, mà là một e-mail cảnh báo sai về một virus. Một số virus hoặc e-
mail chứa các hướng dẫn cách xoá một tệp được cho là một virus nguy hiểm – nhưng
thực chất tệp này lại là một tệp hệ thống. Người nào mà làm theo “cảnh báo” này có
thể sẽ mắc phải các lỗi hệ thống hoặc có thể cài đặt lại tệp đó. Ngoài ra, mục đích của
virus hoax là lừa để cho người dùng chuyển tiếp các cảnh báo cho nhau, làm tăng một
số lượng lớn e-mail trên mạng, tạo ra những lo ngại không cần thiết và gây ra những
rắc rối về lưu lượng mạng.
Sâu mạng là một chương trình nhân bản không ngừng trên cùng một máy tính
hoặc gửi chính nó đến các máy tính khác trong mạng. Sự khác nhau giữa sâu mạng và
virus là sâu mạng tiếp tục tạo các tệp mới, còn virus thì nhiễm ổ đĩa hoặc tệp rồi ổ đĩa
hoặc tệp đó sẽ nhiễm các ổ đĩa hoặc các tệp khác. Sâu mạng là một chương trình có vẻ
là hữu ích và vô hại, nhưng thực tế lại gây hại cho máy tính của người dùng. Sâu mạng
thường được thiết kế để cho phép kẻ tấn công truy nhập vào máy tính mà nó đang chạy
hoặc cho phép kẻ tấn công kiểm soát máy tính đó. Ví dụ, các sâu mạng như
Trojan.Idly, B02K và NetBus là các sâu mạng được thiết kế để cho phép kẻ tấn công
truy nhập và điều khiển một hệ điều hành. Cụ thể, Trojan.Idly được thiết kế để chuyển
cho kẻ tấn công khoản mục người dùng và mật khẩu để truy nhập máy tính nạn nhân.
2.1.2.4.4. Tấn công bộ đệm (buffer attack)

2.1.2.4.6. Tấn công định tuyến nguồn (source routing attack)
Trong định tuyến nguồn, người gửi gói sẽ xác định chính xác tuyến đường mà
gói sẽ đi qua để đến được đích. Thực chất, định tuyến nguồn chỉ sử dụng trong các
mạng token ring và để gỡ rối các lỗi mạng.
Trong tấn công định tuyến nguồn, kẻ tấn công sửa đổi địa chỉ nguồn và thông
tin định tuyến làm cho gói tin có vẻ như đến từ một địa chỉ khác, ví dụ một địa chỉ tin
cậy để truyền thông trên một mạng. Ngoài việc đóng giả làm một người tin cậy trong
mạng, kẻ tấn công còn có thể sử dụng định tuyến nguồn để thăm dò thông tin của một
mạng riêng.
2.1.2.4.7. Tấn công giả mạo
Tấn công giả mạo làm cho địa chỉ nguồn của gói tin bị thay đổi làm cho có vẻ
như được xuất phát từ một địa chỉ (máy tính) khác. Sử dụng tấn công giả mạo, kẻ tấn
công có thể truy nhập được vào một hệ thống được bảo vệ. Tấn công định tuyến nguồn
cũng được coi là một dạng tấn công giả mạo. Ngoài ra, tấn công DOS làm lụt một máy
đích bằng các gói tin có địa chỉ nguồn giả mạo cũng là một dạng tấn công giả mạo.
2.1.2.4.8. Tấn công sử dụng e-mail
Rất nhiều người sử dụng e-mail nhận ra rằng họ có thể là nạn nhân của một tấn
công e-mail. Một tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện, hoặc
SVTH: Vũ Thị Minh Nguyệt 11 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
thậm chí là tin cậy như: một công ty quen, một người thân trong gia đình hay một
đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng một khoản mục e-
mail mới để gửi e-mail phá hoại đến người nhận. Những e-mail phá hoại có thể mang
một tệp đính kèm chứa một virus, một sâu mạng hay một trojan horse. Một tệp đính
kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương
trình hoặc một tập các chỉ thị) chứa mã độc. Ngoài ra, e-mail cũng có thể chứa một
liên kết tới một website giả.
2.1.2.4.9. Tấn công quét cổng
Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổng UDP
nếu giao thức UDP được sử dụng cùng với giao thức IP. Cổng TCP hoặc UDP là một

- Tìm hiểu thực tế vấn đề đảm bảo ATTT tại công ty CP Kỹ thuật số Sài Gòn.
- Tiến hành phân tích, đánh giá thực trạng đảm bảo ATTT tại công ty CP Kỹ
thuật số Sài Gòn.
- Đề xuất giải pháp đảm bảo ATTT cho phù hợp với yêu cầu của công ty CP Kỹ
thuật số Sài Gòn.
2.2. Phân tích, đánh giá thực trạng vấn đề an toàn thông tin tại công ty cổ phần
Kỹ thuật số Sài Gòn
2.2.1. Giới thiệu về công ty cổ phần Kỹ thuật số Sài Gòn
2.2.1.1. Quá trình hình thành và phát triển
Tên đơn vị: Công ty cổ phần Kỹ Thuật Số Sài Gòn
Địa chỉ : Số 154 - Phố Yên Duyên - Phường Yên Sở - Q.Hoàng Mai -TP. Hà Nội.
Điện thoại: 04-36369436
Fax : 04-36369438
Website : http://thegioianninh.com.vn
Công ty cổ phần Kỹ thuật số Sài Gòn được chia tách hoạt động độc lập từ công
ty mẹ là Công ty cổ phần Công nghệ cao Sài Gòn (Saigon HTE) từ năm 2008. Sau một
thời gian hoạt động công ty đã trưởng thành nhanh chóng và phát triển mạnh mẽ.
Với phương châm chọn sự hài lòng của khách hàng làm mục tiêu, công ty không
ngừng phấn đấu đề có thể mang đến cho khách hàng những hàng hóa, dịch vụ : RẺ
HƠN, TỐT HƠN, PHỤC VỤ CHU ĐÁO HƠN.
Quyết tâm xây dựng một đội ngũ vững mạnh về tư tưởng đường lối, tinh nhuệ về
chuyên môn nghiệp vụ và chuyên nghiệp về khả năng cung cấp sản phẩm và dịch vụ.
Xây dựng hệ thống khách hàng bao gồm hai kênh: Phân phối qua hệ thống đại
lý, công ty đối tác và bán trực tiếp đến người tiêu dùng.
2.2.1.2. Các lĩnh vực hoạt động
Các lĩnh vực hoạt động chính của công ty bao gồm:
• Tư vấn, thiết kế các thiết bị thông minh.
SVTH: Vũ Thị Minh Nguyệt 13 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
• Triển khai, cung cấp thiết bị và dịch vụ chuyên ngành tự động hóa và các thiết bị

tiếp thị và cung ứng trực tiếp sản phẩm cho mọi đối tượng khách hàng. Ngoài ra còn
SVTH: Vũ Thị Minh Nguyệt 14 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
phải quản lý tiền, hàng, cơ sở vật chất do công ty giao, thực hiện việc ghi chép ban đầu
và cung cấp thông tin cho phòng kế toán tổng hợp.
- Phòng kỹ thuật: chịu trách nhiệm thiết kế, lắp ráp thiết bị, cung ứng các thiết
bị của công ty kinh doanh và dịch vụ bảo hành sản phẩm sau khi mua, tư vấn giải đáp
thắc mắc của khách hàng về sản phẩm sau mua, hướng dẫn khách hàng sử dụng sản
phẩm.
- Kho: chịu trách nhiệm chuẩn bị đầy đủ và sắp xếp từng loại hàng hoá theo
đúng yêu cầu xuất nhập kho, ghi chép các số liệu xuất nhập kho và cung cấp số liệu
cho phòng tài chính kế toán.
2.2.2. Khái quát hoạt động sản xuất kinh doanh của công ty
Trong những năm gần đây, công ty phải đối mặt với không ít những khó khăn
phát sinh như sự cạnh tranh quyết liệt về thị trường, giá cả, nguồn hàng cũng như sự
cạnh tranh giữa các thành phần kinh tế trong và ngoài nước. Nhưng hoạt động kinh
doanh của công ty vẫn thu được kết quả cao và luôn hoàn thành vượt mức kế hoạch đề
ra, đảm bảo hoạt động kinh doanh có lãi, bảo toàn và phát triển vốn kinh doanh.
Năm
Doanh thu
(tỷ đồng)
Lợi nhuận
(tỷ đồng)
Số lượng
khách hàng
Số lượng
nhân viên
2011 39,89 8,0173892 987 50
2010 34,435 8,4827221 856 42
2009 28,378 5,67383 692 38

các vấn đề về an toàn thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem
an toàn thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro
trong an toàn thông tin.
Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do
rò rỉ thông tin mang lại như vừa nêu thì chưa có sự đầu tư cân xứng cho đảm bảo an
toàn thông tin. Chỉ có ngành công nghệ là chi khoảng 22,6% từ ngân sách IT cho an
toàn thông tin, còn các ngành khác thì tỷ lệ lần lượt là: dược (16,4%), dịch vụ tài chính
(16,3%), dịch vụ công cộng (15,2%), dịch vụ chăm sóc sức khỏe và năng lượng
(12,9%).
Từ đó cho thấy vấn đề an toàn thông tin hiện nay đang trở thành một vấn đề rất
cấp bách và cần có sự quan tâm hơn nữa từ các doanh nghiệp.
2.2.3.2. Các nhân tố ảnh hưởng đến vấn đề đảm bảo an toàn thông tin của công ty
2.2.3.2.1. Hạ tầng công nghệ thông tin
Cơ sở hạ tầng công nghệ thông tin đóng vai trò rất quan trọng trong việc bảo
đảm chất lượng, độ ổn định, khả năng khắc phục sự cố, khả năng mở rộng của hệ
SVTH: Vũ Thị Minh Nguyệt 16 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
thống CNTT. Cơ sở hạ tầng công nghệ thông tin là nền tảng vững chắc cho mọi hoạt
động và các ứng dụng liên quan đến công nghệ thông tin. Yếu tố công nghệ là một
trong những yếu tố quan trọng tác động đến việc đảm bảo ATTT trong doanh nghiệp.
Việc đảm bảo ATTT không thể thực hiện nếu thiếu các phần mềm, phần cứng chuyên
dụng. Một hạ tầng công nghệ được đầu tư hoàn chỉnh ngay từ ban đầu sẽ là nền tảng
cho việc đảm bảo ATTT được dễ dàng và hoàn thiện.
2.2.3.2.2. Nguồn nhân lực công nghệ thông tin
Nguồn nhân lực luôn là yếu tố sống còn quyết định sự tồn tại và phát triển của
doanh nghiệp. Mọi hoạt động liên quan đến hoạt động kinh doanh đều phụ thuộc vào
các nhân viên chuyên trách theo từng bộ phận khác nhau. Về hoạt động đảm bảo
ATTT cũng không ngoại lệ, tuy chưa được hình thành là một bộ phận của doanh
nghiệp nhưng vẫn đòi hỏi sự hiểu biết và khả năng công nghệ cao. Nhân viên có nhận
thức và hiểu biết về ATTT thì mới giảm thiểu được rủi ro thất thoát thông tin do nội

Tổng số máy tính trong công ty: 50 máy (bao gồm máy chủ, máy tính để bàn và
máy tính xách tay). Máy chủ/server là: 1 máy. Tất cả các phòng ban đều được trang bị
máy tính nối mạng, máy in, máy fax.
2.2.3.3.2. Thực trạng an toàn thông tin tại công ty
Thông qua phương pháp bảng câu hỏi (phiếu điều tra), tác giả đã tiến hành điều
tra và khảo sát các cán bộ, nhân viên đang làm việc tại công ty CP Kỹ thuật số Sài
Gòn. Công tác khảo sát đã được tiến hành và thu thập được kết quả từ 20 cán bộ, nhân
viên tại các bộ phận trực thuộc: 5 cán bộ và nhân viên bộ phận quản lý nhân sự; 5 cán
bộ công nghệ thông tin; 5 cán bộ phòng kinh doanh và 5 cán bộ phòng kế toán. Kết
quả khảo sát như sau:
SVTH: Vũ Thị Minh Nguyệt 18 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Hình 2.1: Tình hình máy tính cá nhân bị tấn công gây mất an toàn
Theo như điều tra chúng ta có thể thấy khả năng mất an toàn thông tin ở công ty
là đáng báo động. Khi mà đến hơn một nửa số nhân viên (65%) được phát phiếu điều
tra đều trả lời mình đã từng bị tấn công gây mất an toàn thông tin và có đến 15% trong
số đó đã từng bị tấn công nhiều lần.
Đi sâu tìm hiểu tình hình sử dụng máy tính cá nhân và cách xử lý dữ liệu, tác
giả đã thu được những kết quả sau:
Hình 2.2: Tình trạng cài đặt mật khẩu và sử dụng phần mềm diệt virus
trên máy tính cá nhân
Đại đa số nhân viên đều biết cài đặt mật khẩu và phần mềm virus cho máy tính
cá nhân của mình. Cụ thể là 30% nhân viên được hỏi đã cài cả mật khẩu và phần mềm
diệt virus, 45% chỉ cài mật khẩu, 10% chỉ cài phần mềm diệt virus và 15% chưa cài
đặt mật khẩu và phần mềm diệt virus nào. Điều đó đã cho thấy được ý thức bảo mật an
toàn cho chính máy tính của mình của nhân viên công ty chưa được cao.
SVTH: Vũ Thị Minh Nguyệt 19 MSV: 08D190041
Khóa luận tốt nghiệp GVHD: ThS. Lê Thị Thu
Hình 2.3: Thực trạng phân quyền người dùng cho máy tính
Về phân quyền người dùng cho máy tính cá nhân thì có đến 60% nhân viên