Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
LỜI CẢM ƠN
Hiện nay, an toàn bảo mật thông tin đang là một trong những vấn đề được quan
tâm nhiều nhất từ những doanh nghiệp lớn tới doanh nghiệp nhỏ, các tổ chức hay
người sử dụng cá nhân. Tầm quan trọng của an toàn bảo mật thông tin là không thể
phủ nhận tuy nhiên không phải bất kì doanh nghiệp nào cũng có thể đạt được những
tiêu chí về một HTTT an toàn bảo mật. Trong khóa luận tốt nghiệp này, em xin trình
bày về lý luận chung của một HTTT được coi là an toàn và bảo mật, từ đó đi sâu và
một doanh nghiệp cụ thể, chỉ ra những lỗ hổng hiện có của HTTT trong doanh nghiệp,
đưa ra những giải pháp khắc phục cụ thể và những hình thức tấn công mới gần đây
giúp doanh nghiệp có hướng nhìn khái quát về vấn đề an toàn bảo mật.
Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm ơn
sâu sắc đến cô hướng dấn làm khóa luận là cô Th.s NGUYỄN THỊ HỘI cũng như các
thầy cô trong bộ môn đã tận tình chỉ bảo và giúp em bổ sung kiến thức trong lí thuyết
cũng như thực tiễn. Ngoài ra em xin gửi lời cảm ơn chân thành tới ban lãnh đạo Công
ty TNHH MTV TÙNG BẮC đã tạo điều kiện giúp đỡ em trong suốt quá trình thực tập
cũng như làm khóa luận tốt nghiệp.
Trong suốt thời gian thực tập và thời gian làm bài khóa luận ,em đã cố gắng
tìm hiểu rõ ràng, đi sâu vào thực trạng HTTT quản lý của Công ty. Tuy nhiên, thời
gian còn hạn chế nên chưa thể nói rõ ràng hết được toàn bộ những lỗ hổng nhỏ, cũng
như những biện pháp khác. Vì vậy, mong thầy cô đóng góp thêm ý kiến giúp em khắc
phục.
Em xin chân thành cảm ơn !
Sinh viên thực hiện
Nguyễn Thị Tường Vi
GVHD: ThS. Nguyễn Thị Hội
Hình 3.3 Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ trợ NAT(PAT)........................44
Hình 3.4 Cho phép truy cập máy chủ nội bộ từ internet hỗ trợ reverve proxy.................................44
Kết nối mạng nội bộ của các chi nhánh với nhau..............................................................................44
.........................................................................................................................................................45
Hình 3.5 Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN.................................................45
GVHD: ThS. Nguyễn Thị Hội
ii
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
DANH MỤC HÌNH VẼ
Hình
Hình 2.1
Tên hình
Mối quan hệ giữa các yếu tố của một HTTT an toàn, bảo mật
Hình 2.2
Hình 2.3
Hình 3.1
Hình 3.2
Hình 3.3
proxy
Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN
Minh họa mạng riêng ảo cho công ty trong tương lai
Hướng dẫn sử dụng phần mềm AMIS.VN
Hướng dẫn sử dụng phần mềm AMIS.VN
Hướng dẫn sử dụng phần mềm AMIS.VN
Mô phỏng giao thức đường truyền SSL
Quy trình sao lưu dữ liệu theo chu kỳ
Sao lưu dữ liệu trực tuyến
Sao lưu dữ lieu bằng đường truyền cao tốc
Quy trình an toàn và bảo mật
46
49
50
50
51
53
54
55
55
60
GVHD: ThS. Nguyễn Thị Hội
iii
Trang
10
(2009- nay)
Bảng tổng hợp tình hình nhân sự tại công ty (từ năm
21
Bảng 2.5
Bảng 2.6
Bảng 2.7
Bảng 2.8
Bảng 2.9
Bảng 3.1
2009- nay)
Thống kê số phần mềm hiện tại của Công ty
Tốc độ truy cập và xử lý dữ liệu của máy chủ
Đánh giá chung về chất lượng phần cứng
Mức độ an toàn toàn phần mềm
Mức độ an toàn của mạng nội bộ
Bảng so sánh kỹ thuật giữa server cũ và server đề
25
27
28
29
31
39
xuất
Bảng 3.2
Biểu đồ 2.5
Biểu đồ 2.6
Biểu đồ 2.7
Biểu đồ 2.8
Biểu đồ 2.9
Biểu đồ 2.10
Biểu đồ 2.11
nghệ thông tin, hệ thống thông tin của cán bộ nhân viên
Đánh giá tốc độ truy cập và xử lý dữ liệu của máy chủ
Đánh giá chung chất lượng phần cứng
Mức độ an toàn bảo mật của phần mềm hiện tại
Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT
Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT
Mức độ an toàn của hệ thống mạng nội bộ
Các nguy cơ tấn công mà tổ chức gặp phải là gì?
Mục tiêu của HTTT trong thời gian tới
GVHD: ThS. Nguyễn Thị Hội
v
Trang
17
20
22
28
29
30
30
HTML
injection
HyperText Markup Language
XSRF
Cross-site Request Forgery
WPA
Wi-Fi protected access
WPA2
Wi-Fi protected access
WEP
WPS
SSID
IP
TCP
VPN
DoS
Wired Equivalent Privacy
Wifi protected setup
Service Set Identifier
Internet Protocol
PHẦN 1 : TỔNG QUAN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI
CÔNG TY TNHH MTV TÙNG BẮC
1.1 Tầm quan trọng, ý nghĩa của vấn đề an toàn bảo mật cho HTTT
doanh nghiệp
1.1.1 Tầm quan trọng của vấn đề an toàn bảo mật HTTT trong doanh nghiệp
Vấn đề đảm bảo an toàn cho các HTTT là một trong những vấn đề quan trọng
được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng HTTT.
Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ và xử
lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu sản xuất, thì
nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết. Bảo vệ thông tin là bảo vệ tính bí
mật và tính toàn vẹn của thông tin. Một số loại thông tin chỉ có ý nghĩa khi chúng
được giữ kín hoặc giới hạn trong một số đối tượng nào đó ví dụ như thông tin về chiến
lược quân sự. Đây là tính bí mật của thông tin. Hơn nữa thông tin không phải luôn
được con người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông
tin. Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó bị mất đi, bị sai
lệch toàn bộ hay một phần. Khi đó tính toàn vẹn thông tin không còn được đảm bảo.
Khi máy tính được sử dụng để xử lí thông tin, hiệu quả xử lí thông tin được nâng cao
lên, khối lượng thông tin được xử lí ngày càng lớn, kéo theo nó, tầm quan trọng của
thông tin trong đời sống xã hội ngày càng tăng. Nếu như trước đây, việc bảo vệ thông
tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lí để bảo vệ thông tin
theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đã trở nên đa
dạng và phức tạp hơn. Có thể nhận ra hai điều thay đổi sau đây về bảo vệ thông tin. Sự
ứng dụng của máy tính trong việc xử lí thông tin làm thay đổi dạng lưu trữ thông tin và
phương thức xử lí thông tin. Cần thiết phải xây dựng cơ chế bảo vệ thông tin theo đặc
thù hoạt động của máy tính. Từ đây xuất hiện yêu cầu bảo vệ sự an toàn hoạt động của
máy tính tồn tại song song với yêu cầu bảo vệ sự an toàn của thông tin. Sự phát triển
của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi xử lí thông tin.
Thông tin được trao đổi giữa các thiết bị xử lí thông qua một khoảng cách vật lí rất
lớn, gần như không giới hạn, làm xuất hiện nhiều nguy cơ làm mất sự an toàn của
Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến
thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài
“ Một số giải pháp đảm bảo an toàn , bảo mật cho HTTT của công ty TNHH
MTV TÙNG BẮC “
1.2 Tổng quan vấn đề nghiên cứu.
An toàn và bảo mật hệ thống thông tin không còn là vấn đề xa lạ đối với thời đại
công nghệ số hiện nay. Ở Việt Nam những năm gần đây không ngừng gia tang số
lượng người sử dụng Internet, và chính vì đó nguy cơ mất an toàn bảo mật càng lớn.
Vì vậy các doanh nghiệp trong nước đang cố gắng đầu tư hoàn thiện lại hệ thống TT
quản lý an toàn bảo mật hơn. Đã có rất nhiều sách báo, công trình nghiên cứu về vấn
đề này được thực hiện, tuy nhiên mỗi công trình nghiên cứu đề cập đến một khía cạnh
của vấn đề an toàn bảo mật mà chưa thực rõ ràng cho một doanh nghiệp cụ thể. Ví dụ
một số tài liệu tham khảo sau :
Tài liệu nước ngoài
WILLIAM STALLING, 2011, Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall.
GVHD: ThS. Nguyễn Thị Hội
2
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
Nội dung chính của cuốn sách nói về vấn đề mật mã và an ninh mạng , đưa ra
những nguyên tắc và thực hành về hệ thống mật mã và an ninh mạng , đồng thời khám
những người kinh doanh trong thương mại điện tử có cái nhìn tổng thể về hoạt động
kinh doanh của mình. Giáo trình cũng đào sâu nghiên cứu về các kiểu tấn công phổ
GVHD: ThS. Nguyễn Thị Hội
3
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
biến và cách khắc phục sự cố, phương pháp mã hóa dữ liệu, ứng dụng chữ ký điện tử
và các biện pháp đảm bảo an toàn dữ liệu, giúp các nhà kinh doanh có cái nhìn toàn
diện và vận dụng thuận lợi hơn vào doanh nghiệp của mình.
Tuy nhiên đây là giáo trình nghiên cứu một vấn đề cụ thể của an toàn bảo mật
trong lĩnh vực thương mại điện tử, không đi sâu nghiên cứu khía cạnh an toàn bảo mật
riêng cho một hệ thống thông tin doanh nghiệp.
TS. NGUYỄN VĂN KHANH , 2014, Giáo trình cơ sở an toàn thông tin, NXB
Bách Khoa - Hà Nội
Giáo trình cung cấp một cách tiếp cận tổng thể các khái niệm cơ bản về các vấn
đề xung quanh bảo vệ hệ thống tin học, đồng thời giới thiệu các kiến thức về lĩnh vực
an toàn và bảo mật máy tính ở mức độ tiệm cận và chuyên sâu bao gồm giới thiệu tổng
quan về an toàn thông tin, đưa ra cơ sở lý thuyết mật mã và ứng dụng, hệ thống mật
mã khóa công khai, chữ ký điện tử, hàm băm, quản lý khóa, xác thực, điều khiển truy
cập. Giáo trình cũng đi sâu phân tích về an toàn trên internet, mã độc, an toàn phần
mềm, các giao thức mật mã và ứng dụng của nó. Qua đó, người đọc có thể hình dung
cụ thể về các chủ đề nghiên cứu chính của vấn đề này
Thành công của tài liệu là tác giả đã tập trung diễn giải cặn kẽ các kiến thức căn
toàn bảo mật hệ thống thông tin. Trên đây là một số tài liệu nghiên cứu về an ninh
thông tin trên thế giới và trong nước. Các tài liệu trên xuất phát từ các cá nhân, tổ chức
từ các nước khác nhau nhưng đều hướng tới mục tiêu chung là xây dựng một HTTT an
toàn.
1.3. Mục tiêu đề tài.
Việc nghiên cứu khóa luận nhằm mục tiêu sau
Hệ thống hóa một số cơ sở lý luận về an toàn, bảo mật HTTT quản lý trong
doanh nghiệp. Trên cơ sở lý luận, các công cụ phân tích đánh giá thực trạng hoạt động
hoạt động đảm bảo an toàn và bảo mật HTTT quản lý tại công ty TNHH MTV Tùng
Bắc. Và đưa ra những giải pháp khả thi nhằm đảm bảo tính an toàn, bảo mật cho công
ty TNHH MTV Tùng Bắc.
1.4. Đối tượng và phạm vi của đề tài.
a. Đối tượng nghiên cứu : Các giải pháp công nghệ và giải pháp con người để
đảm bảo an toàn, cũng như nâng cao được hoạt động an toàn bảo mật HTTT quản lý là
đối tượng nghiên cứu chính của đề tài.
b. Phạm vi nghiên cứu
Phạm vi thời gian : Đề tài sẽ phân tích các hoạt động an toàn và bảo mật HTTT
của doanh nghiệp qua các báo cáo kinh doanh, tài liệu lien quan tới trong vòng 3 năm
gần đây nhất (2011, 2012, 2013) và định hướng đến 5 năm tiếp theo.
Phạm vi không gian : Nghiên cứu thực trạng hoạt động an toàn bảo mật HTTT
quản lý của công ty TNHH MTV Tùng Bắc.
Phạm vi nội dung : Nội dung xoay quanh hoạt động an toàn, bảo mật HTTT quản
lý trong công ty để xác định ưu nhược điểm của các hoạt động đó. Đồng thời phân tích
thực trạng triển khai, thuận lợi, khó khan, đánh giá hiệu quả và có những đề xuất cụ
thể nhằm nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty.
GVHD: ThS. Nguyễn Thị Hội
5
nhân, thường được sử dụng trong giai đoạn đầu khi mới làm quen khách thể.
Nội dung : Gồm những câu hỏi mở để phỏng vấn trực tiếp chuyên gia quản lý
trong công ty.
Cách thức tiến hành : Phỏng vấn cá nhân.
Mục đích : Thu thập những thông tin chuyên sâu và chi tiết về các hoạt động đảm
bảo an toàn và bảo mật HTTT quản lý của công ty.
Kết quả được sử dụng : 2.2.2 và chương 3
c. Phương pháp thu thập bằng tài liệu có liên quan.
GVHD: ThS. Nguyễn Thị Hội
6
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
Khái niệm : Phương pháp nầy là dựa trên nguồn thông tin sơ cấp và thứ cấp thu
thập được từ những tài liệu nghiên cứu trước đây để xây dựng cơ sở luận cứ để chứng
minh giả thuyết.
Nội dung : Tài liệu liên quan gồm sách đã xuất bản, giáo trình giảng dậy, tài liệu
nước ngoài, trong nước, báo chí, công trình nghiên cứu các cấp, luận văn tiến sĩ, luận
văn thạc sĩ có liên quan tới đề tài…
Kết quả thu thập được sử dụng trong phần chương 1 phần 1.1, và phần 3.2
chương 3
1.5.2 Phương pháp phân tích và xử lý số liệu :
Khái niệm : Phương pháp định lượng là phương pháp nghiên cứu mà dữ liệu thu
I. CƠ SƠ LÝ LUẬN
2.1.1 Một số khái niệm cơ bản:
2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong DN:
Dữ liệu: Có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên
phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, theo [ 1 ] thì
dữ liệu là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu
chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành
thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện.
Thông tin cũng trích dẫn từ [ 1 ] thì theo nghĩa thông thường, thông tin là điều
hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo
lường, trao đổi, nghiên cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá
trình xử lý dữ liệu.
Hệ thống thông tin trích từ [ 1 ] là một tập hợp và kết hợp của các phần cứng,
phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái
tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu
của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.
Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,
thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với
bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn
hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Hệ thống thông tin quản lý (MIS) được trích từ [ 1 ] là khái niệm đầy đủ và
ngắn gọn xúc tích nhất.
Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành
quản lý cùng với những thông tin được cung cấp thường xuyên. Ngày nay, do công
nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói
đến hệ thống thông tin quản lý được trợ giúp của máy tính. Theo quan điểm của các
nhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp
tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu,
việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho
thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn
đến phá sản.
Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính
xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá
nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý
định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng
bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng
phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được
vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi
người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêu
cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.
GVHD: ThS. Nguyễn Thị Hội
9
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
Tính sẵn sàng
Tính toàn vẹn
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng
lưới thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc
nghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp
xác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời
vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm
việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát
triển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả
năng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả
như thế nào.
Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân
tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ, và những nhân viên khác có
liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng
cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển mạng
máy tính và sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc biệt ngày
càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT quản lý.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công
nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất
kinh doanh của DN,
CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãi
hơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với những
nguyên tắc mới. CNTT như một thách thức đồng thời cũng là công nghệ quan trọng
phổ biến nhất, lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh
chóng hòa nhập vào nền kinh tế toàn cầu.
Để đảm bảo một HTTT quản lý được an toàn và bảo mật tức là phải đảm bảo
thông tin đầu vào và đầu ra của HTTT đó được đảm bảo an toàn và bảo mật. Do đó đối
tượng chính của HTTT quản lý cần đảm bảo đó là thông tin của HT đó.Thông tin trong
DN có ở nhiều mức độ và mỗi mức độ cần có những chính sách về an toàn, và bảo mật
khác nhau. Có những thông tin được đưa vào diện bảo mật ở mức rất cao và rất ít
người được biết đến những thông tin này, có những thông tin lại ở những mức độ cần
an toàn, bảo mật ở mức thập hơn. DN cần xác định đúng đắn các thông tin cần an toàn,
bảo mật để từ đó có các chính sách, công cụ hợp lý để hỗ trợ, kiểm soát các thông tin
này.
2.1.2.2 Xác định mục tiêu an toàn, bảo mật
Mục tiêu của an toàn bảo mật là phát hiện các lỗ hổng của HTTT, dự đoán trước
các nguy cơ tấn công và ngăn trặn những hành động gây mất an toàn, bảo mật thông
tin từ bên trong cũng như từ bên ngoài.Một hệ thống thông tin an toàn và bảo mật phải
đảm bảo được 3 yêu cầu : tính sẵn sàng, tính bảo mật và tính toàn vẹn. Trong kĩ thuật
bảo mật gọi là mục tiêu CIA. Để đạt được mục tiêu CIA không chỉ đơn giản là thực
hiện một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ
thống mà bảo mật là một chu trình liên tục theo thời gian.
GVHD: ThS. Nguyễn Thị Hội
12
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
2.1.2.3 Xác định các loại tấn công
GVHD: ThS. Nguyễn Thị Hội
13
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
Lớp 1: Tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà
cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần mềm
IOS để bước đầu ngăn chặn ngay các dịch vụ không cần thiết.
Lớp 2: Sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra Internet, khi có
các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo cho trung tâm quản lý hoặc
trong trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
Lớp 3: Tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng-failover) cho
phép ngăn cách làm 3 vùng DMZ, Outside và Inside. Các Server công cộng sẽ thuộc
vùng DMZ và được bảo vệ rất nghiêm ngặt.
Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các Server. Hệ
thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài. Tại đây, HIPS sẽ
quan sát các dấu hiệu tấn công ngay trên các hệ điều hành và cho phép có những thông
báo cho quản trị mạng hoặc đóng băng các kết nối trong trường hợp khẩn cấp.
2.1.2.5 Hoạch định ngân sách an toàn, bảo mật
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo an toàn và bảo
mật HTTT quản lý sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo
mật, cũng như quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty
phải tính toán làm sao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà
HTTT quản lý cần hướng tới. các ngành khác nhau có mức ngân sách dành cho các
bảo an toàn và bảo mật HTTT trước khi áp dụng và sau khi áp dụng đã mang lại những
thuận lợi hay những khó khăn gì, hoạt động của DN có bị sáo trộn hay không,…
Người quản trị cần thu thập thông tin về tác động của chương trình đảm bảo an
toàn và bảo mật HTTT tới HTTT và phản ứng của các cấp lãnh đạo, các nhân viên
trong DN,…để làm cơ sở đánh giá những tác động của chương trình. Để có lượng
thông tin đầy đủ người quản trị cần thu thấp cả thông tin định lượng như doanh thu,
chi phí… và thông tin không định lượng được như mức độ hài lòng, thoái mái của
nhân viên, mức độ thu thập, lưu trữ, phản hồi thông tin của HT để có được cái nhìn
toàn diện về HTTT trước và sau khi áp dụng chương trình đảm bảo an toàn và bảo mật
HTTT quản lý của DN.
II. THỰC TRẠNG AN TOÀN BẢO MẬT HTTT QUẢN LÝ CỦA CÔNG
TY TNHH MTV TÙNG BẮC.
2.2.1 Tổng quan về công ty
2.2.1.1 Thông tin chung về công ty
Tên đầy đủ doanh nghiệp: Công ty TNHH MTV TÙNG BẮC
Tên giao dịch quốc tế: TUNG BAC company limited
Tên viết tắt:TB CO.LTD
Mã số thuế:0101105104
Địa chỉ trụ sở chính: Khu Phố- TT Lục Nam- Lục Nam- Bắc Giang
Hotline: 0240 3884415
Năm thành lập: 2009
Vốn điều lệ: 5 tỷ đồng
Gmail : [email protected]
Người đại diện: Giám Đốc Nguyễn Thị Bắc
Công ty thành lập từ năm 2009 với ý tưởng kinh doanh táo bạo, lần đầu doanh
nghiệp mở rộng kinh doanh mảng xây dựng, đầu tư mua máy móc, ô tô tải,máy xúc,
GVHD: ThS. Nguyễn Thị Hội
15
2012
2013
Doanh thu(triệu đồng)
1.204,005
1.800,256
2.780,500
3.540,750
5.002,580
Bảng 2.1: Doanh thu công ty 2009-2013
(Nguồn:Phòng Kế toán- Tài chính)
Đơn vị : vnd
GVHD: ThS. Nguyễn Thị Hội
16
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
Khoa Hệ thống thông tin Kinh tế
Biểu đồ 2.1: Doanh thu công ty 2009-2013.
(Nguồn: Phòng kế toán- tài chính)
Có được kết quả kinh doanh trên một phần là nhờ hiệu quả của việc ứng dụng
CNTT, HTTT trong quá trình hoạt động kinh doanh của công ty mang lại.
2.2.1.3 Phân tích thực trạng an toàn bảo mật HTTT quản lý tại công ty
Nắm bắt được tình hình phát triển của khoa học công nghệ và tầm quan trọng của
1
Tên Thiết Bị
Số
lượng
1
Máy chủ
Mục đích
Năm sử
Ghi
chú
Là nơi lưu trữ các phần mềm
dụng
2010
chính, dữ liệu của công ty. Nhằm
đảm bảo truy cập phân quyền và
2
Máy tính để bàn
10
Sony SSC- G103
2010
1/1
5
Camera
02
Dùng giám sát các hoạt động của
công ty.
Router Linksys E2000 Advance
6
Wireless Router
7
Modem ADSL
8
2010
1
1
2010
mềm
Phần
Ghi
chú
Là các phần mềm văn 2009
mềm văn phòng chuyên dụng tạo
GVHD: ThS. Nguyễn Thị Hội
18
Tạo lập các văn bản, báo
cáo, thuyết trình chuyên
SVTH: Nguyễn Thị Tường Vi
Khóa luận tốt nghiệp
2
Khoa Hệ thống thông tin Kinh tế
phòng
lập các văn bản, báo cáo,
nghiệp,nhanh gọn.
Các nghiệp vụ đầu vào.
Nghiệp vụ cập nhật số
dư đầu kỳ. Nghiệp vụ
Tiền mặt, nghiệp vụ
ngân hàng, nghiệp vụ
nhập xuất kho, nghiệp
vụ Hóa đơn công nợ,
3
Phần
báo cáo tài chính…
Giải pháp phòng chống 2010
Cho phép lưu trữ dữ liệu
mềm an virus tổng thể dành cho
dạng an toàn bảo mật.
toàn bảo các
quan/doanh
Bảo vệ máy tính khỏi
mật
Phần
spyware, adware....
Quản lý, phân quyền và 2010
Phần
mềm
theo dõi người dùng
hàng được tích hợp đầy
quản lý trong hệ thống.
GVHD: ThS. Nguyễn Thị Hội
mềm
bán
đủ các chức năng cơ bản
19
SVTH: Nguyễn Thị Tường Vi
Copyright: Tài liệu đại học ©