TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO MÔN HỌC
CHÍNH SÁCH AN TOÀN THÔNG TIN
Đề tài:
XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN
CHO CÔNG TY VẬN TẢI HÀ NỘI

Giáo viên hướng dẫn:

Th.s Nguyễn Văn Tùng

Sinh viên thực hiện:

Dương Phương Nam

Lớp:

D11QTANM

Hà Nội, ngày 17 tháng 4 năm 2018


TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO MÔN HỌC
CHÍNH SÁCH AN TOÀN THÔNG TIN

dào sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp của mình là truyền đạt
kiến thức cho thế hệ mai sau.

Trân trọng!

Hà Nội, ngày 16 tháng 04 năm 2018
Sinh viên thực hiện:
Dương Phương Nam

3


MỤC LỤC

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
1. Giới thiệu
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông
tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát
triển của tổ chức, doanh nghiệp là những đòi hỏi ngày càng cao của môi trường hoạt
động cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua mạng.
Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài nguyên thông tin,
tài chính, danh tiếng của tổ chức, cá nhân.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể
dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin
của tổ chức. Vì vậy an toàn thông tin là nhiệm vụ quan trọng, nặng nề và khó đoán
trước đối với các hệ thống thông tin của tổ chức cũng như doanh nghiệp.

2. Tổng quan
2.1 Khái niệm an toàn thông tin




Đối với rất nhiều tổ chức, toàn bộ dữ liệu quan trọng của họ thường được lưu
trong một cơ sở dữ liệu và được quản lý và sử dụng bởi các chương trình phần mềm.
Các tấn công vào hệ thống có thể xuất phát từ những đối thủ của tổ chức hoặc cá nhân
do đó, các phương pháp để bảo đảm an toàn cho những thông tin này có thể rất phức
tạp và nhạy cảm.
Các tấn công cũng có thể xuất phát từ nhiều nguồn khác nhau, cả từ bên trong
và bên ngoài tổ chức. Do vậy hậu quả sau khi bị tân công để lại sẽ rất nghiêm trọng.
b, Bảo đảm tính riêng tư
Các hệ thống máy tính lưu giữ rất nhiều thông tin cá nhân cần được giữ bí mật.
Những thông tin này bao gồm: Số thẻ ngân hàng, số thẻ tín dụng, thông tin về gia
đình…
Tính riêng tư là yêu cầu rất quan trọng mà các ngân hàng, các công ty tín dụng,
các công ty đầu tư và các hãng khác cần phải đảm bảo để gửi đi các tài liệu thông tin
chi tiết về cách họ sử dụng và chia sẻ thông tin về khách hàng. Các hãng này có những
quy định bắt buộc để bảo đảm những thông tin cá nhân được bí mật và bắt buộc phải
thực hiện những quy định đó để bảo đảm tính riêng tư. Hậu quả nghiêm trọng sẽ xảy
ra bất kỳ lúc nào nếu có kẻ giả mạo thông tin.
3. Các nguy cơ mất an toàn thông tin
a, Nguy cơ mất an toàn thông tin về khía cạnh vật lý
Đây là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên
tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại như nhân viên xấu bên trong
và kẻ trộm bên ngoài.
b, Nguy cơ bị tấn công bởi các phần mềm độc hại
Các phần mềm này tấn công bằng nhiều phương pháp khác nhau để xâm nhập
vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm), phần mềm
gián điệp (Spyware),...
Virus: là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,
file khác mà người sữ dụng không hề biết. Chúng có các tính chất: Kích thước nhỏ, lây

như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng này làm việc tương
đối nhanh và luôn nằm trong tay những kẻ tấn công.
e, Nguy cơ mất an toàn thông tin do sử dụng e-mail
Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống
như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị
bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức
cụ thể. Người dùng bị tấn công bằng thư điên tử có thể bị đánh cắp mật khẩu hoặc bị
lây nhiễm virus.
f, Nguy cơ mất an toàn thông tin trong quá trình truyền tin
7


Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy cơ
mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền
và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận

CHƯƠNG II: HIỆN TRẠNG THÔNG TIN VÀ AN TOÀN THÔNG
TIN CỦA CÔNG TY
1. Giới thiệu
Công ty vận tải Hà Nội là một công ty kinh doanh các dịch vụ vận tải như: xe
bus, xe khách, xe tải đường dài, đăng kiểm phương tiện cơ giới...
Trụ sở chính đặt tại: 32 Nguyễn Công Trứ, Ngô Thì Nhậm, Hai Bà Trưng, Hà
Nội.
2. Hiện trạng doanh nghiệp
Công ty đã có một hệ thống máy chủ cơ sở dữ liệu (chạy Sql server) để
lưu trữ, kiểm soát lượng vé, lượt khách, thời gian các chuyến xe, số lượng hàng hóa
vận chuyển... Hệ thống này đáp ứng được yêu cầu truy nhập từ trụ sở và chi nhánh vào
mọi thời điểm. Các server khác thì chạy hệ điều hành window server 2003.

8


-

Về các ứng dụng an toàn thông tin thì công ty chưa triển khai thiết bị nào

ngày.

để đảm bảo an ninh mạng ngoài trừ phần mềm antivirus là KAV. Giải pháp này chỉ là
giải pháp tạm thời trên các PC lẻ của công ty. Vì vậy dựa trên hệ thống mạng đã có,
công ty muốn xây dựng một bộ các chính sách về quản lý tài sản cũng như các chính
sách , giải pháp về vấn đề bảo mật , an ninh thông tin của công ty.

9


Hình 1.2: Phần mềm Antivirus KAV
2.1: Các mối đe dọa tiềm ẩn:
-

Các virus, spam email được gởi từ bên ngoài vào.

-

Các trang web phishing.

-

Chưa có một chính sách an ninh mạng nào được áp dụng.

-

Năm 2018 Bkav vừa phát đi cảnh báo cho biết, đã có hơn 139.000 máy tính tại
Việt Nam bị chiếm quyền điều khiển do nhiễm virus đào tiền ảo mới
W32.AdCoinMiner.
Virus này phát tán qua dịch vụ quảng cáo trực tuyến Adf.ly và qua lỗ hổng phần
mềm, với mục đích chiếm quyền điều khiển máy tính của nạn nhân để đào tiền ảo.
Adf.ly cung cấp dịch vụ cho phép rút gọn đường link khi chia sẻ trên mạng xã
hội hay YouTube. Tuy nhiên khi bấm vào các link rút gọn này, người sử dụng sẽ phải
nhìn thấy một trang quảng cáo trước khi đến nội dung đích.
Lợi dụng điều đó, hacker đã chèn mã độc vào các trang quảng cáo để lây nhiễm
virus xuống máy tính người sử dụng. Nạn nhân khó đề phòng vì vẫn xem được nội
dung từ link rút gọn. Sau khi lây nhiễm, virus sẽ chiếm quyền điều khiển và sử dụng
máy tính của nạn nhân để đào tiền ảo.
Nguy hiểm hơn, vì đã chiếm được quyền điều khiển máy tính nên virus có thể
tải thêm mã độc khác từ server điều khiển của hacker nhằm thực hiện các hành vi gián
điệp, ăn cắp thông tin cá nhân hay thậm chí là xóa dữ liệu.
Bên cạnh Adf.ly, hacker còn lợi dụng lỗ hổng SMB để phát tán virus trên diện
rộng. Lỗ hổng SMB từng bị khai thác bởi mã độc WannaCry, lây nhiễm hơn 300.000
máy tính chỉ trong vài giờ. Theo thống kê của Bkav, có tới hơn một nửa số máy tính tại
Việt Nam tồn tại lỗ hổng này.

12


Hình 1.3: Cách thức chiếm quyền điều khiển máy tính của virus đào tiền ảo.

Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng chống mã độc (Anti Malware)
Bkav, cho biết: “Đúng như Bkav nhận định từ cuối năm 2017, mã độc đào tiền ảo thực
sự đã bùng nổ ngay đầu năm 2018. Nguồn lợi hấp dẫn từ tiền ảo mang lại là động cơ
phát tán virus của hacker. Tình trạng này sẽ còn tiếp diễn trong thời gian tới với cường
độ ngày càng cao”.

đây .Khi virus xâm nhập vào máy nạn nhân,nó sẽ mã hoá dữ liệu quan trọng của người
dùng và yêu cầu họ phải trả tiền để có thể khôi phục lại.
Gây khó chịu khác: Thiết lập các chế độ ẩn cho tệp tin hoặc thư mục ,thay đổi
cách thức hoạt động bình thường của hệ điều hành cũng như các phần mềm ứng
dụng,các trình duyệt,phần mềm văn phòng ,…
Chúng cũng có thể lợi dụng máy tính của nạn nhân để phát tán thư quảng cáo,
thu thập địa chỉ email, hay biến nó thành “trợ thủ” để tấn công vào hệ thống khác hoặc
tấn công ngay vào hệ thống mạng bạn đang sử dụng.,
14


Không những thế, Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ
điều hành làm tê liệt (một số) phần mềm diệt virus. Sau hành động này chúng mới tiến
hành lây nhiễm và tiếp tục phát tán. Một số khác lây nhiễm chính vào phần mềm diệt
virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt virus.
Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt
động của các phần mềm diệt virus và được lây nhiễm hoặc phát tác trước khi hệ thống
khởi động các phần mềm này. Chúng cũng có thể sửa đổi file host của hệ điều hành
Windows để người sử dụng không thể truy cập vào các website và phần mềm diệt
virus không thể liên lạc với server của mình để cập nhật.
Ngoài ra, một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể
của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự
phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó.
Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá
trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị
nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được
mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán.
1.1.3 Các giải pháp phòng chống Virus
a.Firewall( Tưởng Lửa )
Giúp kiểm soát dữ liệu ra vào máy tính của và cảnh báo những tác vụ đáng nghi

- Cảnh giác trước một phần mềm thuộc bên thứ 3 hoặc không rõ nhà phát hành.
- Tìm hiểu kỹ trước khi cái đặt một phần mềm nào đó.
- Sử dụng máy tính với quyền User.

2 Chính sách cập nhật bản vá hệ điều hành
Bên cạnh việc sử dụng các phương pháp bảo mật, các phần mềm bào mật thì
cách tốt nhất để máy tính luôn được bảo vệ đó chính là việc cập nhật bản vá , fix lỗi
cho các phần mềm bên thứ ba và bao gồm cả windows. Một số
2.1.Cập nhật windows( Windows Update )

17


Microsoft thường phát hành các bản cập nhật bảo mật cho Windows, Office và
Internet Explorer vào thứ 3 của tuần lễ thứ 2 mỗi tháng. Cũng có nhiều trường hợp,
hãng phát hành các bản vá khẩn cấp không theo đúng chu kỳ. Cách tốt nhất để nhận
được các bản vá này là thiết lập hệ điều hành Windows mà bạn sử dụng (có thể là XP,
Vista , Windows 7, Windows10...) bạn có thể chọn chế độ tự động Update hoặc
Microsoft cũng đưa ra một vài tùy chọn khác cho người dùng.
Tùy chọn với Windows XP,Vista : Nhấn Start => Control Panel => Automatic
Updates or System => Automatic Updates.

Hình 1.6 Update Windows XP

18


Hình 1.7: Update Windows 10
Tùy chọn với Windows 10: Nhấn Chuột phải vào This PC => Manager => Service
=> tìm đến Windows Update.

Flash và Adobe Reader: Giống như Apple, Adobe đẩy những bản cập nhật bảo
mật trực tiếp đến người dùng ngay khi chúng hoàn tất và được phát hành. Ngoài ra,
bạn có thể yêu cầu một tác vụ kiểm tra bản cập nhật bằng cách nhấn chọn Help.Check
for Updates.

Hình 2.1: Adobe Update
Java: Sun đã phát hiện các phiên bản Java cũ và không an toàn của Java vẫn
tồn tại trong các máy tính Windows đã cài đặt các phiên bản Java mới hơn và an toàn
hơn. Với JRE6 Update 10, Sun đã "tống khứ" các phiên bản Java cũ khỏi máy tính,
nhưng vẫn chưa gỡ bỏ được bất kỳ một phiên bản "tiền Update 10" nào do đó bạn phải
thủ công gỡ bỏ chúng.

3 Chính sách phân vùng mạng
Trong một mô hình mạng hợp lý cần phải phân biệt rõ ràng giữa các vùng mạng
theo chức năng và thiết lập các chính sách an toàn thông tin riêng cho từng vùng mạng
theo yêu cầu thực tế. Trước tiên ta cần tìm hiểu về các thành phần trong mô hình
mạng.
21


3.1 Các thành phần trong mô hình gồm :
VÙNG MẠNG NỘI BỘ

CÒN GỌI LÀ MẠNG LAN (LOCAL AREA NETWORK), LÀ NƠI ĐẶT CÁC THIẾT BỊ
MẠNG, MÁY TRẠM VÀ MÁY CHỦ THUỘC MẠNG NỘI BỘ CỦA ĐƠN VỊ.

VÙNG MẠNG DMZ

VÙNG DMZ LÀ MỘT VÙNG MẠNG TRUNG LẬP GIỮA MẠNG NỘI BỘ VÀ MẠNG
INTERNET, LÀ NƠI CHỨA CÁC THÔNG TIN CHO PHÉP NGƯỜI DÙNG TỪ INTERNET TRUY

kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi
các tấn công trái phép.

Hình 2.2: Mô hình 1

•

Mô hình 2

Trong mô hình này, ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ
và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ.

23


Hình 2.3: Mô hình 2
Như vậy, vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng Internet bằng 2 lớp
firewall như trên hình vẽ.
•

Mô hình 3

Trong mô hình này, ta đặt một firewall giữa vùng mạng Internet và vùng mạng DMZ ,
một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và một firewall giữa vùng
mạng nội bộ và vùng mạng Internet. Như vậy, mỗi sự truy cập giữa các vùng với nhau
đều được kiểm soát bởi một firewall như hình vẽ.

Hình 2.2: Mô hình 3
24



Đảm bảo người truy cập có quyền, tránh truy cập trái phép.

25