Khóa luận tốt nghiệp _ 2015
LỜI CẢM ƠN
Cùng với sự phát triển của công nghệ thông tin, mạng máy tính và Internet ngày
càng phát triển đa dạng phong phú. Các dịch vụ trên mạng đã thâm nhập vào hầu hết
các lĩnh vực trong đời sống xã hội. Các thông tin trên Internet cũng đa dạng hơn về nội
dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính
kinh tế, chính xác và tính tin cậy của nó.
Nên hiện nay, an toàn bảo mật thông tin đang là một trong những vấn đề được
quan tâm nhiều nhất trên khắp thế giới từ chính phủ các quốc gia, doanh nghiệp, tổ
chức hay cá nhân. Tầm quan trọng của an toàn bảo mật thông tin là không thể phủ
nhận tuy nhiên không phải bất kì doanh nghiệp nào cũng có thể đạt được những tiêu
chí trong đánh giá về an ninh thông tin. Trong khóa luận tốt nghiệp này, em xin trình
bày về một số yếu điểm mà Công ty Cổ phần Truyền thông Việt gặp phải trong bảo
mật thông tin và giải pháp khắc phục những yếu điểm đó.
Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm ơn sâu
sắc đến cá nhân thầy hướng dẫn làm khóa luận của em là thầy PGS.TS Đàm Gia Mạnh
cũng như các thầy cô trong bộ môn Công nghệ thông tin đã tận tình chỉ bảo và giúp
em bổ sung kiến thức trong lí thuyết cũng như thực tiễn. Ngoài ra em xin gửi lời cảm
ơn chân thành tới ban lãnh đạo Công ty Cổ phần Truyền thông Việt đã tạo điều kiện
giúp đỡ em trong suốt quá trình thực tập cũng như làm khóa luận tốt nghiệp. Cuối
cùng em xin cảm ơn tới toàn thể thầy cô giáo, lãnh đạo trường Đại học Thương Mại đã
cho em môi trường học tập chuyên nghiệp trong suốt 4 năm qua. Sự giúp đỡ và giảng
dạy tận tình của thầy cô và các anh chị trong công ty là hành trang quý báu cho em sau
này.
Em xin kính chúc quý thầy cô cùng các anh chị luôn dồi dào sức khỏe và thành
công trong cuộc sống.
Nguyễn Thị Thúy Vân Page 1
Khóa luận tốt nghiệp _ 2015
MỤC LỤC
Nguyễn Thị Thúy Vân Page 2
Khóa luận tốt nghiệp _ 2015

Thiết lập bảo vệ mạng không
dây
SSID Service Set Identifier Đặt dịch vụ định danh
IP Internet Protocol Giao thức mạng
TCP Transmission Control Protocol
Giao thức kiểm soát truyền
vận
VPN Virtual Private Network Mạng riêng ảo
DoS Denial of Service Tấn công từ chối dịch vụ
NXB Nhà xuất bản
Nguyễn Thị Thúy Vân Page 4
Khóa luận tốt nghiệp _ 2015
PHẦN 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1. Tầm quan trọng, ý nghĩa của đề tài.
1.1.1. Tầm quan trọng của đề tài.
Vấn đề đảm bảo an toàn cho các HTTT là một trong những vấn đề quan trọng
được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng HTTT.
Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ
và xử lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu sản
xuất, thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Bảo vệ thông tin là bảo
vệ tính bí mật và tính toàn vẹn của thông tin. Hơn nữa thông tin không phải luôn được
con người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông tin.
Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó bị mất đi, bị sai lệch
toàn bộ hay một phần. Khi đó tính toàn vẹn thông tin không còn được đảm bảo.
Khi máy tính được sử dụng để xử lí thông tin, hiệu quả xử lí thông tin được
nâng cao lên, khối lượng thông tin được xử lí ngày càng lớn, kéo theo nó, tầm quan
trọng của thông tin trong đời sống xã hội ngày càng tăng. Nếu như trước đây, việc bảo
vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lí để bảo vệ
thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đã
trở nên đa dạng và phức tạp hơn. Đối với Công ty CP Truyền thông Việt cũng vậy theo

tấn công. Tấn công vào thông tin bảo mật không còn chỉ là nhằm vào các cá nhân
riêng lẻ mà còn nhằm vào các doanh nghiệp và chính phủ các nước. Lỗ hổng bảo mật
của các doanh nghiệp góp phần làm các cuộc tấn công không chỉ còn ở phạm vi quốc
gia, một châu lục mà toàn thế giới. Năm 2014 là năm sung mãn của tội phạm mạng,
bảo mật toàn cầu.
Tội phạm ngày các phát triển thì vai trò của người dùng cũng như các công ty
bảo mật cần được nâng cao. Bảo vệ chính mình dường như không còn là quan niệm lạ
đối với người dùng công nghệ nữa. Đặc biệt mạng công cộng, phần mềm miễn phí,
thiết bị di động nên là điều mà người dùng lưu ý mỗi khi kết nối sử dụng.
1.2.2. Tình hình trong nước
Vấn đề mất an toàn thông tin đang là mối e ngại lớn đối với Việt Nam. Vào
ngày 17-18/10/2014 thì không chỉ cướp tên miền, hack và xóa nội dung của nhiều
website do VCCorp đầu tư hoặc quản lý hạ tầng kỹ thuật, kẻ tấn công VCCorp còn
điều khiển URL của báo Dân Trí trỏ về địa chỉ khác. Trong một vài năm trở lại đây thì
tình hình nghiên cứu về vấn đề an toàn bảo mật thông tin cho các doanh nghiệp, tổ
chức trong nước diễn ra khá nhiều. Nhận thấy bảo mật thông tin là vấn đề vô cùng
Nguyễn Thị Thúy Vân Page 6
Khóa luận tốt nghiệp _ 2015
quan trọng trong thời buổi hội nhập hiện nay nên đã có rất nhiều công ty, doanh
nghiệp, tổ chức đã tập trung xây dựng và đưa vấn đề bảo mật thông tin thành mục tiêu
quan trọng trong quá trình phát triển của công ty. Trong bối cảnh như vậy, nhiều công
trình nghiên cứu của các sinh viên, các cá nhân, tổ chức đã ra đời để phục vụ cho nhu
cầu phát triển của phần lớn các công ty hiện nay ở Việt Nam. Trong số đó tôi đã đọc và
tham khảo một số công trình nghiên cứu như:
– “ Phương pháp bảo mật trên WLAN” của Nguyễn Hữu Hiền, sinh viên ngành công
nghệ thông tin trường Học viện bưu chính viễn thông. Trong công trình nghiên cứu về
phương pháp bảo mật trên WLAN của sinh viên Nguyễn Hữu Hiền đã tập trung phân
tích khá rõ ràng và có chiều sâu về vấn đề bảo mật trong mạng không dây wireless.
Công trình nghiên cứ đã tập trung chỉ ra được những yếu điểm về bảo mật trong mạng
không dây và đã đưa ra được nhiều giải pháp khắc phục khá hay và tốt. Mặc dù vậy thì

+ Đưa ra giải pháp bảo mật website của công ty
1.4. Đối tượng, phạm vi nghiên cứu đề tài
Là một đề tài nghiên cứu khóa luận của sinh nên phạm vi nghiên cứu của đề tài
chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn. Cụ thể:
Về không gian: là đưa ra các giải pháp đảm bảo an toàn thông tin cho hệ thống
thông tin của công ty Cổ phần Truyền thông Việt.
Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trình
bày các nhóm giải pháp định hướng phát triển trong tương lai.
1.5. Phương pháp thực hiện đề tài.
+ Phương pháp thu thập dữ liệu:
• Xây dựng các phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên công ty về
những nội dung phục vụ cho bài nghiên cứu.
• Tìm hiểu các thông tin về an toàn bảo mật thương mại điện tử qua Internet, qua các tài
liệu sách báo liên quan đến an toàn bảo mật HTTT.
• Phương pháp phỏng vấn: phỏng vấn ban Giám đốc và bộ phận IT của công ty. Phương
pháp trưng cầu ý kiến bằng bảng hỏi: lập ra danh mục các câu hỏi và khảo sát ý kiến
của nhân viên cũng như ban Giám đốc công ty để phục vụ cho việc đánh giá trình độ
nguồn nhân lực trong quá trình nghiên cứu.
• Phương pháp chuyên gia: Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của đề tài
để tham khảo và đưa ra định hướng và giải quyết tốt mục tiêu đề ra.
• Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu và phương pháp
Nguyễn Thị Thúy Vân Page 8
Khóa luận tốt nghiệp _ 2015
phỏng vấn là 2 phương pháp chủ đạo còn các phương pháp còn lại là các phương pháp
bổ trợ cho việc nghiên cứu thực hiện đề tài.
+ Phương pháp xử lý dữ liệu:
• Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu sẽ
được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục
đích nghiên cứu của đề tài.

sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu. Ở
đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây
điện thoại, sóng vô tuyến Các đường truyền dữ liệu tạo nên cấu trúc của mạng. Hai
khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của mạng máy tính
Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức. (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông )
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển.
Website: là một tập hợp các trang web (web pages) bao gồm văn bản, hình ảnh,
video, flashvv…thường chỉ nằm trong một tên miền (domain name) hoặc tên miền phụ
(subdomain). Trang web được lưu trữ (web hosting) trên máy chủ web (web server) có
thể truy cập thông qua Internet.
Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng Internet – nơi
Nguyễn Thị Thúy Vân Page 10
Khóa luận tốt nghiệp _ 2015
giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cung
cấp… Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giao
dịch với các khách hàng, đối tác trên Internet.
2.1.1.2. Khái niệm về an toàn, bảo mật thông tin
An toàn thông tin: thông tin được coi là an toàn khi thông tin đó không bị làm
hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được
phép (Bài giảng môn : An toàn và bảo mật Thông tin doanh nghiệp, Đại học Thương
mại)
Bảo mật thông tin: là ngăn chặn các truy cập không được phép, hạn chế tối đa
các sai sót của người dùng, đảm bảo các thông tin không bị mất hoặc bị thay đổi ngoài

ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào hộp thư điện tử
hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng
(user name) sai, thay vì thông báo rằng user name này không tồn tại thì một số hệ
thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác sẽ chỉ thông
báo chung là “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).
Dụng ý đằng sau thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại hay
không tồn tại một user name như thế trong hệ thống. Điều này làm khó khăn cho
những người muốn đăng nhập bất hợp pháp vào hệ thống một cách ngẫu nhiên.
2.1.2.2. Tính toàn vẹn.
Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay
đổi của thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hay
phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh:
− Tính nguyên vẹn của nội dung thông tin.
− Tính xác thực của nguồn gốc thông tin.
Nói cách khác tính toàn vẹn thông tin phải được đánh giá trên 2 mặt: toàn vẹn
về nội dung và toàn vẹn về nguồn gốc thông tin.
Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ:
 Thay đổi giao diện trang chủ của một trang website
 Chặn đứng và thay đổi gói tin được gửi qua mạng
 Chỉnh sửa trái phép các file được lưu trữ trên máy tính
 Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông
tin bị sai lệch…
Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủ
tài khoản với đầy đủ những thông tin cần thiết. Nội dung thông tin được bảo toàn vì
Nguyễn Thị Thúy Vân Page 12
Khóa luận tốt nghiệp _ 2015
ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như người
xưng là chủ tài khoản gửi đi).
Tuy nhiên, nếu lệnh thanh toán này không phải cho chính chủ tài khoản đưa ra
mà do một người nào khác nhờ biết được thông tin bí mật về tài khoản đã mạo danh

chung, việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức
tạp.
2.1.2.3. Tính khả dụng.
“Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu
truy xuất hợp lệ.” (Giáo trình mạng máy tính, 2008, NXB Thông tin và Truyền thông).
Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính,
được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ
hay thay đổi. Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy
xuất được vì lỗi hệ thống. Khi đó, thông tin hoàn toàn không sử dụng được và ta nói
tính khả dụng của thông tin không được đảm bảo.
Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống
tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ
thống thông tin nào. Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu
quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra. Trong thực tế, tính khả
dụng được xem là nền tảng của một hệ thống bảo mật, bởi vì khi hệ thống không sẵn
sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toàn vẹn) sẽ trở nên vô nghĩa.
Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và
DDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với
sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có
giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều nhắm vào tính khả dụng
của hệ thống.
Một số hướng nghiên cứu đang đưa ra các mô hình mới cho việc mô tả các hệ
thống an toàn. Theo đó, mô hình CIA không mô tả được đầy đủ các yêu cầu an toàn
của hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thông
tin cần được đảm bảo như:
− Tính khả dụng (Availability)
− Tính tiện ích (Utility)
− Tính toàn vẹn (Integrity)
− Tính xác thực (Authenticity)
− Tính bảo mật (Confidentiality)

từng sinh viên đến các thư mục này và yêu cầu sinh viên phải lưu bài tập trong thư
mục riêng, mỗi khi rời khỏi máy tính phải thực hiện thao tác logout khỏi hệ thống.
Trong cơ chế này, các biện pháp như tạo thư mục riêng, gán quyền truy xuất, …
Nguyễn Thị Thúy Vân Page 15
Khóa luận tốt nghiệp _ 2015
là các biện pháp kỹ thuật. Biện pháp yêu cầu sinh viên thóat khỏi hệ thống (logout) khi
rời khỏi máy là một biện pháp thủ tục. Nếu sinh viên ra về mà không thóat ra khỏi hệ
thống, một sinh viên khác có thể sử dụng phiên làm việc đang mở của sinh viên này để
sao chép bài tập. Khi đó, rõ ràng chính sách bảo mật đã bị vi phạm.
Cho trước một chính sách bảo mật, cơ chế bảo mật phải đảm bảo thực hiện
được 3 yêu cầu sau đây:
− Ngăn chặn các nguy cơ gây ra vi phạm chính sách
− Phát hiện các hành vi vi phạm chính sách
− Khắc phục hậu quả của rủi ro khi có vi phạm xảy ra.
Thông thường, việc xây dựng một hệ thống bảo mật phải dựa trên 2 giả thiết
sau đây:
− Chính sách bảo mật phân chia một cách rõ ràng các trạng thái của hệ thống
thành 2 nhóm: an toàn và không an toàn.
− Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào các trạng thái không
an toàn.
Chỉ cần một trong hai giả thiết này không đảm bảo thì hệ thống sẽ không an
toàn. Từng cơ chế riêng lẻ được thiết kế để bảo vệ một hoặc một số các quy định trong
chính sách. Tập hợp tất cả các cơ chế triển khai trên hệ thống phải đảm bảo thực thi tất
cả các quy định trong chính sách.
Hai nguy cơ có thể xảy ra khi thiết kế hệ thống bảo mật do không đảm bảo 2 giả
thiết ở trên:
− Chính sách không liệt kê được tất cả các trạng thái không an toàn của hệ thống,
hay nói cách khác, chính sách không mô tả được một hệ thống bảo mật thật sự.
− Cơ chế không thực hiện được tất cả các quy định trong chính sách, có thể do
giới hạn về kỹ thuật, ràng buộc về chi phí, …

Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh
doanh của doanh nghiệp. Công nghệ thông tin đang có khuynh hướng xóa nhòa các
biên giới, mở ra không gian rộng rãi hơn cho các doanh nghiệp, vì thế ứng dụng công
nghệ thông tin đang tạo ra những cơ hội mới với những nguyên tắc mới. Công nghệ
thông tin như một thách thức đồng thời cũng là công nghệ quan trọng phổ biến nhất,
lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập
vào nền kinh tế toàn cầu.
Công nghệ thông tin có thể nói tới các bộ phận cấu thành như:
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu thập,
Nguyễn Thị Thúy Vân Page 17
Khóa luận tốt nghiệp _ 2015
xử lý và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trống virus,
những ứng dụng, hệ điều hành, giải pháp mã hóa….
2.2. Thực trạng vấn đề bảo mật HTTT tại Công ty Cổ phần Truyền thông Việt
2.2.1. Giới thiệu về Công ty Cổ phần Truyền thông Việt
Tên Công ty: CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT
Loại hình Công ty: Công ty Cổ phần
Tên giao dịch: VIET COMMUNICATIONS JOINSTOCK COMPANY
Tên viết tắt: VIETCOMS
Chủ tịch hội đồng quản trị kiêm giám đốc: Ông ĐỖ ĐỨC KHANG
Số cổ đông đóng góp cổ phần: 3 người
Địa chỉ trụ sở chính: 201 Đặng Tiến Đông, Phường Trung Liệt, Quận Đống Đa,
TP. Hà Nội.
Văn phòng giao dịch: Phòng 803, Tòa nhà Thăng Long, 98A Ngụy Như Kon
Tum, Thanh Xuân, Hà Nội
Điện thoại: + 84 (4) 62691874 – Fax: + 84 (4) 62691873
E-mail: [email protected]
Website: www.vietcoms.com
Ngày thành lập: 28 tháng 07 năm 2005

7 Lợi nhuận sau thuế 328.605.739 315.461.095 114.247.596
( Nguồn: phòng tài chính kế toán của Công ty Cố phần Truyền thông Việt )
Nguyễn Thị Thúy Vân Page 19
Khóa luận tốt nghiệp _ 2015
 Website của Công ty: www.vietcoms.com
Sử dụng công nghệ: ASP.Net.
Website được ra đời vào năm 2005 do Công ty tự xây dựng. Website có thể thực
hiện một số chức năng sau:
- Cung cấp thông tin về Công ty và là nơi để tiếp nhận các thông tin đối ngoại.
- Quảng bá thương hiệu, hình ảnh về dự án và các sản phẩm kinh doanh, dịch vụ của
Công ty.
- Giới thiệu các sản phẩm, dịch vụ của Công ty.
2.2.2. Phân tích, đánh giá thực trạng vấn đề bảo mật Hệ thống thông tin của Công
ty Cổ phần Truyền thông Việt
Tại công ty CP Truyền thông Việt thực trạng vấn đề bảo mật đang đặt ra nhiều
khó khăn khiến nhất là trong xu thế thương mại điện tử phát triển như hiện nay. Sau
đây là số liệu thống kê về tình trạng bảo mật của công ty trong 3 năm trở lại đây:
2.2.2.1. Thực trạng vấn đề bảo mật của công ty Cổ phần Truyền thông Việt
Hệ thống mạng của công ty gồm 15 máy tính để bàn được kết nối trực tiếp với
mạng Internet có dây. Ngoài ra thì hầu như mỗi thành viên của công ty đều có laptop
riêng và kết nối vào mạng chung của công ty qua mạng Wifi. Những năm trở lại đây,
tần suất máy tính của công ty bị nhiễm virus là khá cao và sau đây là biểu đồ thống kê
Nguyễn Thị Thúy Vân Page 20
Khóa luận tốt nghiệp _ 2015
tần suất máy tính bị nhiểm virus trong 3 năm trở lại đây:
Biểu đồ 2.1: Thống kê tần suất máy tính bị nhiễm virus
(Nguồn: phòng công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)
Không đơn thuần chỉ là hệ thống máy tính bị nhiễm virus với tần suất khá cao
như thống kê ở trên mà trong những năm gần đây, hệ thống mạng, website, server
(máy chủ) của công ty cũng bị hacker tấn công khá nhiều và lấy đi nhiều thông tin, dữ

• Biểu đồ thống kê tần suất website của công ty bị khai thác lỗ hổng bảo mật
XSS, SQL injection…
Biểu đồ 2.3:Thống kê số lần website bị khai thác lỗ hổng bảo mật
(Nguồn: Theo phòng Công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)
Từ biểu đồ trên chúng ta xác định được hacker đã tập trung đánh vào 2 lỗ hổng
bảo mật XSS và SQL injection. Đây là điều quan trọng mà phòng nghiên cứu an ninh
mạng của công ty đã chỉ ra để có những giải pháp quan trọng khắc phục triệt để vấn
nạn hacker.
• Khảo sát kiến thức nhân viên công ty về lĩnh vực bảo mật thông tin
Trong quá trình thực tập tại Công ty CP Truyền thông Việt thì em đã làm một
cuộc điều tra khảo sát và thống kê về vấn đề trình độ hiểu biết của nhân viên công ty
trong lĩnh vực bảo mật thông tin như sau:
Biểu đồ 2.4: Khảo sát kiến thức nhân viên công ty về lĩnh vực bảo mật thông tin
Qua biểu đồ thống kê trên cho thấy tỉ lệ nhân viên có kiến thức trong vấn đề bảo
mật thông tin của Công ty CP Truyền thông Việt là còn khá thấp. Trong khi đó bảo mật
thông tin đang là vấn đề quan trọng của nghành công nghệ thông tin trên khắp các
quốc gia trên thế giới và Việt Nam không nằm ngoài số này. Cùng với mục tiêu đưa
lĩnh vực an toàn bảo mật thông tin đến năm 2016 là thế mạnh của công ty như ban
giám đốc đã đề ra thì với tỉ lệ như vậy là quá thấp.
2.2.2.2. Phân tích, đánh giá thực trạng vấn đề bảo mật của Công ty CP Truyền
thông
Qua thống kê thực trạng vấn đề bảo mật như trên ta thấy có rất nhiều việc phhải
Nguyễn Thị Thúy Vân Page 22
Khóa luận tốt nghiệp _ 2015
làm để khắc phục tình trạng mất an toàn thông tin của hệ thống mạng trong công ty CP
Truyền thông Việt. Nhìn một cách tổng quát thì công ty đang tồn tại những vấn đề như
sau cần phải giải quyết:
• Hệ thống mạng
Hiện tại công ty CP Truyền thông Việt đang sử dụng cả mạng dây và mạng
không dây (Wireless). Với mạng dây thì cơ chế bảo mật của công ty hiện tại được

kê thì hacker tập trung tấn công vào hai lỗ hổng bảo mật chính là XSS và SQL injection.
− Lỗ hổng bảo mật XSS (Cross – Site – Scripting)
XSS là một trong các kĩ thuật hack website phổ biến nhất hiện nay để chiếm
quyền điều khiển của nạn nhân hoặc thực hiện những mệnh lệnh mà hacker đưa ra.
Khi website bị chèn các đoạn mã HTML hay là những đoạn mã scipt nghĩa là đã gửi
các yêu cầu từ máy client đến server. Khi người dùng click vào link đó thì toàn bộ
cookes, mật khẩu lưu trên trình duyệt được gửi về cho hacker qua email hoặc một file
nào đó trên host đã được thiết lập từ trước hoặc bị dẫn tới một trang mới mà hacker đã
thiết lập từ trước hay bị cài đặt chương trình virus, Trojan, backdoor trên máy nạn
nhân tùy vào mệnh lệnh của hacker. Mức độ nguy hiểm của XSS gây ra là bị đánh cắp
cookes, mật khẩu, có thể bị dính các loại virus… (vi.wikipedia.org).
Với sự nguy hiểm như vậy thì việc để tồn tại lỗ hổng bảo mật này là mối nguy
cơ tiềm ẩn đối với sự an toàn của thông tin trong công ty.
− Lỗ hổng bảo mật SQL injection.
SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của
việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản
trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp,
Sql injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert,
update,… trên cơ sỡ dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang
chạy, lỗi này thường xãy ra trên các ứng dụng web có dữ liệu được quản lý bằng các
hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase
(vi.wikipedia.org).
Lỗi SQL injection dạng này thường xảy ra do lập trình viên hay người dùng
định nghĩa đầu vào dữ liệu không rõ ràng hoặc thiếu bước kiểm tra và lọc kiểu dữ liệu
đầu vào. Điều này có thể xảy ra khi một trường số được sử dụng trong truy vấn SQL
nhưng lập trình viên lại thiếu bước kiểm tra dữ liệu đầu vào để xác minh kiểu của dữ
liệu mà người dùng nhập vào có phải là số hay không. Đây là lỗi đáng lo ngại đang tồn
tại trên nền website của công ty và cần được khắc phục trong thời gian nhanh nhất.
Nguyễn Thị Thúy Vân Page 24
Khóa luận tốt nghiệp _ 2015