1

1
1

LỜI CẢM ƠN

Khóa luận tốt nghiệp là sản phẩm dựa trên quá trình nghiên cứu giữa lý thuyết
và thực tế tại Công ty cổ phần truyền Climax Việt Nam. Đối với công ty, đây không
phải là đề tài mang tính mới nhưng có ý nghĩa thực tiễn trong công tác bảo mật
thông tin. Để hoàn thành khóa luận này, em đã nhận được sự giúp đỡ của cô giáo
Hàn Minh Phương, cùng các nhân viên nói chung và ban lãnh đạo nói riêng của
Công ty cổ phần Climax Việt Nam
Trước tiên, em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới cô giáo Th.S
Hàn Minh Phương người đã tận tình hướng dẫn và giúp đỡ em rất nhiều trong suốt
quá trình làm khóa luận. Em xin gửi lời cảm ơn tới các thầy cô trong nhà trường và
các thầy cô khoa Hệ Thống Thông Tin Kinh Tế và Thương mại Điện tử trường
đại học Thương Mại đã truyền thụ cho em những kiến thức quý báu trong suốt quá
trình học tập để em có đủ kiến thức hoàn thành tốt bài khóa luận này.
Em cũng xin gửi lời cảm ơn tới công ty cổ phần Climax Việt Nam đã giúp đỡ để
em hoàn thành tốt bài khóa luận tốt nghiệp.
Một lần nữa, em xin chân thành cám ơn!

Hà Nội ngày 25 tháng 04 năm 2017


2

2
2


3

4
5
6

CNTT

CPU
CSDL
HTTT

Information
Technology
Central Processing
Units
Database
Information System

Công nghệ thông tin
Là bộ xử lý trung ương chỉ huy các
hoạt động cuả máy tính theo lệnh và
thực hiện các phép tính
Cơ sở dữ liệu
Hệ thống thông tin
Là một địa chỉ của một máy tính khi
tham gia vào mạng nhằm giúp cho

7


Transmission Control

thất lạc
Mạng máy tính cục bộ
Bộ nhớ trong của máy tính
Là giao thức điều khiển truyền vận

Protocol
User Datagram

Là một giao thức không có sự tin cậy

Protocol
Wide area network

trong lưu chuyển
Mạng diện rộng


4

4
4

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ

BẢNG BIỂU

SƠ ĐỒ, HÌNH VẼ


phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Giải pháp nâng cao toàn
bảo mật thông tin tại công ty Cổ phần Climax Việt Nam ” làm đề tài khóa luận của
mình. Với hi vọng, đây sẽ là giải pháp hiệu quả để giúp doanh nghiệp nâng cao sự an
toàn thông tin để từ đó nâng cao doanh thu và lợi nhuận trong tương lai.


6

1.2.

Mục tiêu nghiên cứu của đề tài
Nghiên cứu tổng quan về an toàn bảo mật thông tin: phân tích, đánh giá, tổng
hợp các khái niệm về an toàn bảo mật, vai trò và các giải pháp an toàn nâng cao bảo
mật thông tin hiện nay. Nghiên cứu các giải pháp an toàn bảo mật thông tin để đưa ra
giải pháp an toàn bảo mật thông tin phù hợp cho công ty Cổ phần Climax Việt nam.

1.3.

Đưa ra những thuận lợi cũng như khó khăn khi triển khai giải pháp này.
Đối tượng và phạm vi nghiên cứu của đề tài
Đối tượng: Công ty Cổ phần Climax Việt nam
Phạm vi nghiên cứu:
- Phạm vi về thời gian: Số liệu thu thập từ năm 2014 đến năm 2016
- Phạm vi về không gian: Các phòng ban của công ty: phòng kế toán, phòng kinh

doanh, phòng nhân sự và phòng quản lý kho
1.4. Phương pháp nghiên cứu đề tài
1.4.1. Phương pháp thu thập dữ liệu
Để có được những thông tin về tình hình an toàn bảo mật trong công ty, em đã sử
dụng ba phương pháp cụ thể: phương pháp điều tra phỏng vấn và phương pháp tổng

Khó khăn: Tốn nhiều thời gian để thu thập. Thêm vào đó, một số tài liệu về các

-

phần mềm nội bộ của riêng công ty, có tính bảo mật nên khó khăn trong việc tiếp cận.
Phương pháp nghiên cứu tài liệu:
Đối tượng của phương pháp này là tài liệu liên quan, các sách báo tạp chí CNTT,
các nghiên cứu khoa học cũng như các luận văn của các anh chị đi trước ở các trường
đại học khác nhau có đề tài liên quan tới an toàn bảo mật thông tin trong doanh nghiệp
để có thêm thông tin, nhận xét giúp bài khóa luận được chính xác và phong phú hơn.
Thuận lợi: Các nguồn tài liệu rất phong phú, dễ dàng tiếp cận như internet, tạp chí,..
Chi phí thực hiện thấp.
Khó khăn: Có quá nhiều tài liệu từ nhiều nguồn khác nhau nên việc lựa chọn
được nguồn tài liệu chất lượng, phù hợp với mục đích khá khó khăn, tốn nhiều

thời gian.
1.4.2. Phương pháp phân tích dữ liệu
Phương pháp so sánh
Mục đích của so sánh là đánh giá cái được, mất khi công ty vận dụng các giải
pháp về an toàn bảo mật thông tin so với khi công ty chưa áp dụng các giải pháp an
toàn bảo mật phục vụ cho hoạt động kinh doanh.
Thuận lợi: Việc thu thập các số liệu để tính toán khá thuận lợi.
Khó khăn: Phải tìm hiểu sâu thì mới có thể nhận ra được sự khác biệt nên tốn

-

nhiều thời gian.
Kết cấu đề tài
Kết cấu khóa luận gồm hai phần:
Phần mở đầu

người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá

-

trình xử lý dữ liệu.
Khái niệm hệ thống thông tin là: một tập hợp và kết hợp của các phần cứng, phần mềm
và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ
chức. Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế
cạnh tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt đƣợc nhiều thông tin về

-

kháchhàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
An toàn thông tin:
Một hệ thống thông tin được coi là an toàn khi thông tin không bị hỏng hóc,
không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. Một
hệthống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt
động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây
thiệt hại đến mức độ nguy hiểm cho chủ sở hữu.

- Bảo mật thông tin
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông
tin. Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được
cấp quyền tương ứng. Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông
tin và thông tin chỉ được thay đổi bởi những người được cấp quyền. Tính sẵn sàng




thực tế trong hoàn cảnh cụ thể.
Khái niệm bảo mật
Bảo mật là việc bảo vệ những thứ có giá trị
Khái niệm bảo mật thông tin
Bảo mật thông tin (information security) là một chủ đề rộng bao gồm tất cả các
vấn đề bảo mật có liên quan đến lưu trữ và xử lý thông tin. Lĩnh vực nghiên cứu chính
của bảo mật thông tin gồm các vấn đề pháp lý như hệ thống chính sách, các quy định,


10
yếu tố con người; các vấn đề thuộc tổ chức như kiểm toán xử lý dữ liệu điện tử, quản
lý, nhận thức; và các vấn đề kỹ thuật như kỹ thuật mật mã, bảo mật mạng, công nghệ

-

thẻ thông minh…
Khái niệm hệ thống
Là một tập hợp vật chát và phi vật chất như người, máy móc, thông tin, dữ
liệu, các phương pháp xử lý, các qui tắc, quy trình xử lý, gọi là các phần tử hệ thốn.
Trong hệ thống, các phần tử tương tác với nhau và cùng hoạt động để hướng tới
mục đích chung.

- Khái niệm hệ thống thông tin
Là một hệ thống mà mục tiêu tồn tại của nó cung cấp thông tin phục vụ cho hoạt
động của con người trong một tổ chức nào đó. Ta có thể hiểu hệ thống thông tin là hệ
thống mà mối lien hệ giữa các thành phần của nó cũng như mối liên hệ của nó với các

-


doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển
của doanh nghiệp.
1.2.2. Những yêu cầu về an toàn bảo mật thông tin
- Tính bảo mật
Trong an toàn dữ liệu, bảo mật là yêu cầu đảm bảo cho dữ liệu của người sử
dụng phải được bảo vệ, không bị mất mát vào những người không được phép. Nói
khác đi là phải đảm bảo được ai là người được phép sử dụng ( và sử dụng được) các
thông tin (theo sự phân loại mật của thông tin).[6] Thông tin đạt được tính bảo mật khi
nó không bị truy nhập, sao chép hay sử dụng trái phép bởi một người không sử hữu.
Trên thực tế, rất nhiều thông tin cá nhân của người sử dụng đều cần phải đạt được độ
bảo mật cao chẳng hạn như mã số thẻ tín dụng, số thẻ bảo hiểm xã hội,….vì vậy đây

-

có thể nói là yêu cầu quan trọng nhất đối với tính an toàn của hệ thống thông tin.
Tính tin cậy
Yêu cầu về tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những
người
có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị.
Mặt khác, nó phải đảm bảo rằng thông tin mà người dùng nhận được là đúng với sự
mong muốn của họ, chưa hề bị mất mát hay bị lọt vào tay những người không được
phép.Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả
những yếu tố trên. Nếu thiếu một trong số đó thì độ bảo mật của hệ thống là không

-

hoàn thiện.
Tính sẵn sàng
Tuy dữ liệu phải được đảm bảo bí mật và toàn vẹn nhưng đối với người sử dụng,
dữ liệu phải luôn trong trạng thái sẵn sàng. Các biện pháp bảo mật làm cho người sử

như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những
nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là

-

nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định
Các hình thức tấn công vào HTTT
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi
thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập
máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu
thập dữ liệu của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các
gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động
tuy nguy hiểm nhưng lại dễ phát hiện được.

1.2.4. Một số biện pháp nâng cao an toàn bảo mật thông tin
- Công nghệ điện toán đám
Hình 1.1: Sơ đồ điện toán đám mây và mây và các dịch vụ bên trong “đám mây”.


13

Khái niệm Điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, hay còn
biết đến với tên gọi “Điện toán máy chủ ảo”) là mô hình máy tính dựa trên nền tảng
phát triển của Internet. Điện toán đám mây là sự nâng cấp từ mô hình máy chủ
mainframe sang mô hình cleint-server. Cụ thể, người dùng sẽ không còn phải có các

khi sử dụng các dịch vụ có trong cả hai vùng công cộng và riêng tư. Các trách
nhiệm quản lý được phân chia giữa các nhà cung cấp dịch vụ đám mây công cộng
và chính doanh nghiệp. Khi sử dụng một đám mây lai, các tổ chức có thể xác định các
mục tiêu và các yêu cầu của các dịch vụ được tạo ra và có được chúng dựa vào sự lựa
chọn thích hợp nhất.


15
Hình 1.3: Các lớp điện toán đám mây

(Phần mềm ứng dụng Software as a Service – Saas)
Tại các quốc gia phát triển trên thế giới, điện toán đám mây được ưa chuộng và
sử dụng phổ biến. Từ năm 2009 trở lại đây, công nghệ này không có nhiều thay đổi
về mặt khái niệm cũng như lợi ích cơ bản mà nó mang lại cho các doanh nghiệp song
lại có sự thay đổi lớn trên khía cạnh thị trường và xu hướng ứng dụng của các
doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ.Công ty nghiên cứu Gartner
đánh giá rằng ưu tiên chính của những Giám đốc Công nghệ (CIO) sẽ là các ứng dụng
doanh nghiệp ảo hóa và điện toán đám mây để giúp công ty họ bớt lo lắng về quản lý
cơ sở hạ tầng thông tin, tập trung vào việc chèo lái quá trình phát triển của công ty
hơn. Cũng theo đánh giá, tính đến năm 2012, 80% doanh nghiệp trong danh sách 1.000
công ty hàng đầu (theo đánh giá của tạp chí Fortune - Mỹ) sẽ sử dụng ít nhất một vài
loại hình dịch vụ đám mây và khoảng 20% doanh nghiệp sẽ không còn sở hữu các tài
sản hoặc hạ tầng công nghệ thông tin . Công nghệ này được coi là giải pháp cho những
vấn đề mà nhiều công ty đang gặp phải như an toàn bảo mật thông tin, thiếu năng lực

-

CNTT, chi phí đầu tư hạn chế.
Công nghệ bảo mật đường truyền
Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc

Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet. Cụ thể là:Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ
Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ
Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm
soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát ngời sử dụng và việc truy

1.3.

nhập của ngời sử dụng. Kiểm soát nội dung thông tin thông tin luân chuyển trên mạng.
TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU VỀ AN TOÀN BẢO MẬT THÔNG

TIN
1.3.1. Tình hình nghiên cứu trong nước
Vấn đề mất an toàn thông tin đang là mối đe dọa lớn đối với Việt Nam.Điển hình
là vụ tấn công vào sân bay Nội Bài, Hà nôi ngày 29/07/2016 gây ảnh hưởng và mất uy tín
rất lớn cho Vietnam Airline. Trong một vài năm trở lại đây thì tình hình nghiên cuuws về
vấn đề ATBMTT cho các doanh nghiệp, tổ chức trong nước và chính phủ diễn ra khá
nhiều. Nhận thấy bảo mật thông tin là vấn đề vô cùng quan trọng trong thời buổi hội nhập
hiện nay lên đã có rất nhiều công ty, doanh nghiệp, tổ chức tập trung xây dựng và đưa vấn
đề ATBMTT thành mục tiêu quan trọng trong quá trình phát triển và sự tồn tại của doanh


17
nghiệp. Trong bối cảnh như vậy , nhiều công tình nghiên cứu đã ra đời để phục vụ cho
nhu cầu phát triển của phần lớn các doanh nghiệp hiện nay
Phan Đình Diệu (2002), Giao trình “ Lý thuyết mật mã và an toàn bảo mật thông
tin”, Đại học Quốc Gia Hà Nội.
1.3.2. Tình hình nghiên cứu trên thế giới
Theo những nghiên cứu về hành vi tổ chức tấn công về bảo mật, phó chủ tịc
Trend Mocro tại khu vực châu Âu, ông Dervla Mannion cho biết với sự quan sát đánh

phương châm hoạt động :
“Chuyên môn giỏi, đạo đức tốt”
Hiện tại công ty cổ phần Climax Việt Nam có 50 nhân viên có năng lực chuyên
môn cao, đều trình độ đại học đang phục vụ cho rất nhiều doanh nghiệp và khách hàng
cá nhân.
Sơ đồ cấu trúc tổ chức của công ty:
Sơ đồ 2.1 : Cấu trúc tổ chức công ty cổ phần Climax Việt Nam


19
Phân bố nhân sự tại các phòng ban:
Bảng 2.1: Phân bố nhân sự tại các phòng ban
STT
1
2
3
4

Tên phòng ban
Phòng nhân sự
Phòng kế toán
Phòng Kinh Doanh
Phòng quản lý kho

Số lượng nhân viên
8
7
24
8


3

Lợi nhuận trước
thuế

7.69
5

4

Lợi nhuận sau
thuế

6.15
6

Năm
2014
18.4
4
0
8.30
6
10.1
3
4
8.10
7

2015

Nguồn:Phòng kinh doanh công ty cổ phần Climax Việt
Tình hình kinh doanh của công ty trong 3 năm gần đây nhất nhìn chung khá tốt.
Chỉ têu tổng doanh thu hằng năm đều tăng so với năm trước cho thấy sự tăng trưởng
và phát triển của công ty rất ổn định.
Từ những số liệu thống kê về hoạt động kinh doanh 3 năm liên tiếp từ 2013 đến


20
2015, VietNam Climax.,JSC vẫn đang không ngừng phát triển về quy mô lẫn thị trường.
Từ báo cáo kết quả kinh doanh qua các năm ở trên ta có thể xây dựng được biểu đồ cột về
doanh thu, chi phí và lợi nhuận trước thuế để thấy được sự phát triển này.
Biểu đồ 2.1:Biểu đồ tổng hợp doanh thu,chi phí và lợi nhuận trước thuế của
VietNam Climax.,JSC
Đơn vị tính: triệu VNĐ

2.2. Thực trạng về an toàn bảo mật thông tin tại công ty cổ phần Climax Việt
Nam
2.2.1. Tình hình ứng dụng công nghệ thông tin
2.1.1.1. Cơ sở hạ tầng CNTT, HTTT của doanh nghiệp
- Phần cứng
Bảng 2.3: Trang thiết bị phần cứng của công ty
Số
S
ố
Thiết bị

Máy chủ Dell
PowerEdge T20
Mini Tower
Server

n
g
1

20

30


21
Số
S
ố
Thiết bị

Máy chiếu

Máy in

Máy fax

Điện thoại

CấCấu hình, thông số kỹ thuật

2.0
Pin: 4Cell
Máy chiếu Panasonic PT-LB382
- Công nghệ LCD
- Độ phân giải: XGA(1024X768)

ư
ợ
n
g

2

4

6

15


22
dựng một cái nhìn bao quát về các chỉ tiêu thông qua bảng biểu và biểu đồ, từ đó giúp
nhân viên kế toán cũng như các nhà quản trị quản lý tình hình hoạt động sản xuất kinh
doanh của doanh nghiệp tốt hơn
- Phần mềm quản lý bán hàng Bizman :là phần mềm quản lý bán hàng khá phổ
biến và hữu ích do công ty cổ TNHH Công nghệ số và giải pháp thông tin HTSOFT
xây dựng và áp dụng cho hầu hết loại hình doanh nghiệp không chỉ cung cấp cho
doanh nghiệp công cụ để quản lý bán hàng thuần như xuất, nhập hàng mà còn giúp
doanh nghiệp có kế hoạch chăm sóc khách hàng và định hướng kinh doanh, giúp cho
việc quản lý các quy trình bán hàng trở nên dễ dàng và nhanh chóng hơn.
- Bộ Microsoft Office 2010: luôn là một phần không thể thiếu đối với hoạt động
kinh doanh cũng như hệ thống thông tin. Phần mềm gõ Tiếng Việt Unikey, phần mềm
nén và giải nén tập tin: winrar
- Phần mềm diệt virus BKAV có bản quyền
- Hệ thống mạng
- Số máy chủ: 1

Xử lý thông tin: Thông tin sau khi được thu thập sẽ được các nhân viên thuộc
phòng kinh doanh xử lý dựa trên kinh nghiệm cùng với sự hỗ trợ của các phần mềm
nghiệp vụ như Microsoft Excel, SPSS…
Lưu trữ thông tin: Thông tin được lưu trữ trong máy tính nội bộ, đĩa từ, hồ sơ
giấy tờ của công ty để thuận tiện cho việc sử dụng thông tin trong nội bộ công ty.
Truyền nhận thông tin: Việc truyền thông tin trong nội bộ công ty

được thực

hiện qua mạng nội bộ của công ty. Mỗi nhân viên tùy theo công việc sẽ được phân
quyền người dùng và có quyền hạn xem các thông tin ở các mức quy định.
Việc truyền thông tin các dịch vụ của công ty tới khách hàng sẽ được các nhân
viên phụ trách bán hàng, tổ chức và marketing thực hiện qua điện thoại, qua e-mail
hoặc gặp trực tiếp.
-

Hệ quản trị cơ sở dữ liệu, cách thức quản trị cơ sở dữ liệu của

doanh nghiệp
Hiện nay công ty đang sử dụng 2 hệ quản trị cơ sở dữ liệu chính là Hệ quản trị
CSDL MICROSOFT SQL SERVER 2008 cho hệ thống trên desktop và My SQL cho
hệ thống website.
- Vấn đề bảo mật cơ sở dữ liệu
Bảo đảm an toàn cho hệ thống trước những mối đe dọa từ bên ngoài là nhiệm vụ
rất quan trọng. Doanh nghiệp đã có những biện pháp để bảo mật cơ sở đữ liệu như:
backup dữ liệu, lưu cơ sở dữ liệu vào file riêng, sử dụng hệ thống tường lửa FireWall,
phân quyền người sử dụng và dùng phần mềm diệt virus
2.2.2. Phân tích dựa trên số liệu về vấn đề an toàn và bảo mật thông tin
2.2.2.1. Phân tích cơ sở hạ tầng CNTT tại doanh nghiệp
Hiện nay cơ sở hạ tầng CNTT của công ty được trang bị khá đầy đủ và dã đáp


Tính tin cậy và tính riêng tư

1

Đánh giá
2
3

4

+
+
+

Từ kết quả trên cho thấy, việc bảo mật, an toàn dữ liệu của công ty vẫn gặp khó
khăn về một số yêu cầu như: tính sẵn sàng và tính toàn vẹn chưa được đánh giá cao
còn tính tin cậy và riêng tư chỉ được đánh giá 1 điểm. Điều này đã gây khó khăn lớn
cho các hoạt động xử lý dữ liệu và tính ổn định của hệ thống.
- Các sự cố mà doanh nghiệp hay gặp phải
Bảng 2.5: Các sự cố công ty thường hay gặp.
Sự cố
Bị virus tấn công
Hệ thống gặp sự cố
Thông tin bị thất lạc
Có sự xâm nhập trái phép từ bên ngoài
Tổng

Lựa
chọn