Đang tải... (xem toàn văn)
An toàn bảo mật thông tin đã và đang là vấn đề nóng bỏng đối với tất cả các doanh nghiệp trong và ngoài nước. Cùng với sự phát triển không ngừng của công nghệ thông tin và tình trạng thiếu hụt nhân sự, vấn đề bảo mật đang ngày càng trở nên phức tạp hơn, khiến cho các doanh nghiệp gặp phải không ít khó khăn trong việc phát hiện, ngăn chặn các cuộc tấn công vào chính hệ thống thông tin của mình. Để tăng cường bảo mật hệ thống thông tin cho doanh nghiệp, một trong những giải pháp quan trọng và cần thiết là thường xuyên theo dõi, kiểm tra nhằm phát hiện các lỗ hổng bảo mật trong hệ thống thông tin để kịp thời ngăn chặn các cuộc tấn công từ bên trong cũng như bên ngoài gây mất mát hay sai lệch thông tin, làm ảnh hưởng xấu tới hoạt động sản xuất kinh doanh của doanh nghiệp.
BÀI NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ SINH VIÊN Giáo viên hướng dẫn: Ths Nguyễn Thị Hội Bộ môn: Công nghệ thông tin Khoa: Tin học Thương Mại Các thành viên nhóm: Nguyễn Văn Thông (Nhóm trưởng) – SDT: 01658135882 – Lớp K45S5 Phạm Thị Minh Thu – Lớp K45S3 Nguyễn Phương Thảo – Lớp K45S4 Tên đề tài: “Phát lỗ hổng bảo mật hệ thống thông tin công ty cổ phần Sao Mai” Thời gian thực hiện: Từ tháng 09 năm 2011 đến tháng 02 năm 2012 MỤC LỤC DANH MỤC HÌNH ẢNH 4 DANH MỤC TỪ VIẾT TẮT 5 CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 6 Tính cấp thiết đề tài 6 Xác lập tuyên bố vấn đề nghiên cứu đề tài Mục tiêu đề tài…………………………………………………………………… Các câu hỏi đặt nghiên cứu 7 Phạm vi nghiên cứu đề tài 7 Ý nghĩa nghiên cứu 7 Kết cấu báo cáo đề tài 8 CHƯƠNG 2: CÁC KHÁI NIỆM LIÊN QUAN VÀ THỰC TRẠNG VỀ CÁC LỖ HỔNG BẢO MẬT TRONG HTTT CỦA CÔNG TY CỔ PHẦN SAO MAI 9 A Tổng quan an toàn bảo mật thông tin doanh nghiệp 9 Hệ thống thông tin 9 An toàn bảo mật thông tin 10 Lỗ hổng bảo mật phát lỗ hổng HTTT doanh nghiệp 13 a) Khái niệm 13 b) Một số lỗ hổng hệ thống thông tin doanh nghiệp 14 B Phát lỗ hổng bảo mật HTTT công ty cổ phần Sao Mai 23 I Thực trạng chung tình hình bảo mật hệ thống thông tin doanh nghiệp Việt Nam 23 Sự quan tâm doanh nghiệp Việt Nam tới vấn đề an toàn bảo mật 23 Thực trạng ứng dụng CNTT kinh doanh sản xuất 26 II Thực trạng tình hình bảo mật HTTT công ty cổ phần Sao Mai 27 Giới thiệu công ty 27 Tình hình ứng dụng công nghệ thông tin công ty cổ phần Sao Mai 30 Thực trạng vấn đề bảo mật số lỗ hổng HTTT công ty 31 CHƯƠNG 3: PHƯƠNG PHÁP NGHIÊN CỨU VÀ CÁC KẾT QUẢ PHÂN TÍCH THỰC TRẠNG VẤN ĐỀ NGHIÊN CỨU 34 A Một số phương pháp dùng để nghiên cứu 34 B Chi tiết đánh giá tổng quan tình hình bảo mật công ty qua phiếu điều tra 35 I Đánh giá hệ thống thông tin công ty 35 II Về lỗ hổng phần cứng hệ thống thông tin công ty 39 III Về lỗ hổng phần mềm hệ thống thông tin công ty 40 IV Lỗ hổng xuất phát từ yếu tố người 41 V Về giải pháp công ty vấn đề an toàn bảo mật 42 C Các kết luận rút từ phiếu điều tra 42 CHƯƠNG 4: CÁC KẾT LUẬN, THẢO LUẬN VÀ ĐỀ XUẤT VỚI VẤN ĐỀ NGHIÊN CỨU…………………………………………………………………………….………………… 44 A Một số giải pháp đưa cho công ty 44 I Xây dựng HTTT an toàn bảo mật từ nhân tố khách quan: Phần cứng, phần mềm 44 II Xây dựng HTTT an toàn bảo mật từ nhân tố chủ quan: người,cơ cấu tổ chức 45 Xây dựng đồng nhóm giải pháp 45 Áp dụng quy trình xây dựng hệ thống thông tin an toàn cho doanh nghiệp 46 B Các kết luận rút từ báo cáo nghiên cứu 47 I Các vấn đề đạt báo cáo nghiên cứu 47 II Các vấn đề mà báo cáo đặt cần tiếp tục nghiên cứu 48 C Các đề xuất, kiến nghị với vấn đề nghiên cứu 49 I Đề xuất, kiến nghị với ban giám đốc công ty cổ phần Sao Mai 49 II Đề xuất, kiến nghị với nhà nước quan liên quan 50 TÀI LIỆU THAM KHẢO 52 PHỤ LỤC……………………………………………………………………………………………53 DANH MỤC HÌNH ẢNH Hình 2.1 Thông điệp nhóm hacker SwaggSec Twitter sau công máy chủ nội Foxconn Hình 2.2 Cáp đồng trục Hình 2.3 Cấu trúc sợi cáp quang Hình 2.4 Sơ đồ máy tổ chức CTCP Sao Mai Hình 3.1 Tỉ lệ doanh nghiệp gặp lỗ hổng hệ thống thông tin Hình 3.2 Bộ phận phụ trách HTTT công ty Hình 3.3 Nhận thức nhân viên mức độ an toàn HTTT công ty (khảo sát từ nhân viên CTCP Sao Mai) Hình 3.4 Đánh giá mức độ nguy hiểm lỗ hổng phần cứng đến HTTT (khảo sát từ nhân viên CTCP Sao Mai) Hình 3.5 Mức độ hiểu biết lỗ hổng phần mềm (khảo sát từ nhân viên CTCP Sao Mai) Hình 3.6 Những hoạt động nhân viên gây an toàn thông tin công ty DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt Nghĩa tiếng Anh Nghĩa tiếng Việt HTTT Hệ thống thông tin Sở TT&TT Sở Thông tin Truyền thông TP HCM Thành phố Hồ Chí Minh VNCERT Vietnam Computer Emergency Response Team Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam IDG International Data Group Tập đoàn liệu quốc tế DN IT CNTT Công nghệ thông tin CEO Người lãnh đạo cao công ty tổ chức, chịu trách nhiệm thực hàng ngày sách hội đồng quản trị 10 GSM 11 TNHH Trách nhiệm hữu hạn 12 CTCP Công ty cổ phần 13 ISMS Doanh nghiệp Information Technology Chief Executive Officer Global System Mobile Communication Information Security Management System Công nghệ thông tin Hệ thống truyền thông di động toàn cầu Hệ thống an toàn thông tin CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI Tính cấp thiết đề tài An toàn bảo mật thông tin vấn đề nóng bỏng tất doanh nghiệp nước Cùng với phát triển không ngừng công nghệ thông tin tình trạng thiếu hụt nhân sự, vấn đề bảo mật ngày trở nên phức tạp hơn, khiến cho doanh nghiệp gặp phải không khó khăn việc phát hiện, ngăn chặn công vào hệ thống thông tin Để tăng cường bảo mật hệ thống thông tin cho doanh nghiệp, giải pháp quan trọng cần thiết thường xuyên theo dõi, kiểm tra nhằm phát lỗ hổng bảo mật hệ thống thông tin để kịp thời ngăn chặn công từ bên bên gây mát hay sai lệch thông tin, làm ảnh hưởng xấu tới hoạt động sản xuất kinh doanh doanh nghiệp Kinh tế suy giảm khiến cho doanh nghiệp cắt giảm tối đa chi phí, có chi phí dành cho bảo mật thông tin Tuy nhiên, theo chuyên gia cảnh báo lại hướng sai lầm Hiện nạn tội phạm công nghệ cao ngày gia tăng bối cảnh kinh tế giới chuyển biến theo hướng xấu Các doanh nghiệp đứng trước nguy an toàn hệ thống thông tin doanh nghiệp Chính vậy, việc phát lỗ hổng bảo mật hệ thống thông tin doanh nghiệp điều vô cần thiết cấp bách doanh nghiệp không muốn bị công phải chịu tổn thất khó lường Xác lập tuyên bố vấn đề nghiên cứu đề tài - Dựa tình hình bảo mật hệ thống thông tin doanh nghiệp, đề tài nghiên cứu đưa dự đoán số lỗ hổng hay gặp phải trình bảo mật hệ thống thông tin doanh nghiệp - Đề tài nghiên cứu đưa số phương pháp phát lỗ hổng bảo mật hệ thống thông tin doanh nghiệp - Bên cạnh đó, đề tài nghiên cứu đưa số giải pháp để khắc phục lỗ hổng bảo mật bảo đảm an toàn hệ thống thông tin doanh nghiệp Mục tiêu đề tài Báo cáo nghiên cứu giới thiệu nguy số lỗ hổng bảo mật mà hệ thống thông tin doanh nghiệp thường gặp phải Đồng thời báo cáo nghiên cứu đưa số phương pháp phát lỗ hổng bảo mật hệ thống thông tin doanh nghiệp số giải pháp để khắc phục lỗ hổng bảo mật phát Các câu hỏi đặt nghiên cứu - Vai trò bảo mật hệ thống thông tin phát triển doanh nghiệp? - Vai trò việc phát lỗ hổng bảo mật phát triển hệ thống thông tin doanh nghiệp Các lỗ hổng bảo mật hệ thống thông tin doanh nghiệp gì? - Những phương pháp phát lỗ hổng bảo mật HTTT doanh nghiệp? Có giải pháp để khắc phục lỗ hổng bảo mật không? Phạm vi nghiên cứu đề tài - Đối tượng nghiên cứu: Các lỗ hổng bảo mật hệ thống thông tin doanh nghiệp nói chung - Phạm vi nghiên cứu: Hệ thống thông tin Công ty cổ phần Sao Mai số doanh nghiệp có ứng dụng hệ thống thông tin việc xây dựng hệ thống thông tin doanh nghiệp Ý nghĩa nghiên cứu - Ý nghĩa lý luận: Dùng làm tài liệu tham khảo cho doanh nghiệp vấn đề an toàn bảo mật hệ thống thông tin doanh nghiệp Đồng thời báo cáo nghiên cứu sở tài liệu để nghiên cứu vấn đề liên quan khác Báo cáo nghiên cứu hệ thống hóa lỗ hổng cách phát lỗ hổng bảo mật hệ thống thông tin doanh nghiệp để từ làm sở để xây dựng biện pháp đảm bảo an toàn hệ thống thông tin cho doanh nghiệp - Ý nghĩa thực tiễn: Báo cáo nghiên cứu cho thấy thực trạng lỗ hổng bảo mật hệ thống thông tin doanh nghiệp từ đưa giải pháp giúp doanh nghiệp khắc phục lỗ hổng bảo mật 7 Kết cấu báo cáo đề tài - Chương 1: Tổng quan nghiên cứu đề tài - Chương 2: Các khái niệm liên quan thực trạng lỗ hổng bảo mật hệ thống thông tin công ty cổ phần Sao Mai - Chương 3: Phương pháp nghiên cứu kết phân tích thực trạng vấn đề nghiên cứu - Chương 4: Các kết luận, thảo luận đề xuất với vấn đề nghiên cứu CHƯƠNG 2: CÁC KHÁI NIỆM LIÊN QUAN VÀ THỰC TRẠNG VỀ CÁC LỖ HỔNG BẢO MẬT TRONG HTTT CỦA CÔNG TY CỔ PHẦN SAO MAI A Tổng quan an toàn bảo mật thông tin doanh nghiệp Hệ thống thông tin Dữ liệu biểu diễn tập hợp giá trị mà khó biết liên hệ chúng, mẩu thông tin thô chưa xử lý Dữ liệu biểu diễn dạng âm thanh, hình ảnh, văn bản… Thông tin bao gồm nhiều giá trị liệu mang ý nghĩa Hệ thống thông tin tập hợp người, thủ tục nguồn lực để thu thập, xử lý, truyền phát thông tin tổ chức Hệ thống thông tin đại hệ thống tự động hóa dựa vào máy tính (phần cứng, phần mềm) công nghệ thông tin khác Hệ thống thông tin đại bao gồm phần cứng, phần mềm, liệu, người, quy trình xử lý có đặc điểm: Tổ chức lưu trữ, xử lý truyền bá thông tin, cung cấp thông tin cho tổ chức theo yêu cầu cách xác nhanh chóng Nhiệm vụ hệ thống thông tin thu thập thông tin từ môi trường ngoài, đưa thông tin (thông tin giá cả, thị trường, sức lao động, nhu cầu hàng hóa), làm cầu nối liên lạc phận hệ kinh doanh, cung cấp thông tin cho hệ tác nghiệp, hệ định (như thông tin phản ánh tình trạng nội quan tổ chức hệ thống, thông tin tình trạng hoạt động kinh doanh hệ thống) Hệ thống thông tin chức doanh nghiệp tương tự kế toán, tài chính, quản trị hoạt động, tiếp thị, quản trị nguồn nhân lực Hệ thống thông tin không góp phần quan trọng vào hiệu hoạt động, tinh thần suất lao động nhân viên, phục vụ đáp ứng thỏa mãn khách hang mà nguồn thông tin hỗ trợ vô cần thiết nhằm tăng hiệu việc định cấp quản trị doanh nhân Hệ thống thông tin yếu tố sống phát triển thị trường cạnh tranh, tăng cường lợi chiến lược tổ chức thị trường toàn cầu Các thành phần hệ thống thông tin: - Phần cứng: Phần cứng phận (vật lý) cụ thể máy tính hay hệ thống máy tính, hệ thống mạng sử dụng làm thiết bị kỹ thuật hỗ trợ hoạt động HTTT - Phần mềm: Phần mềm tập hợp câu lệnh viết nhiều ngôn ngữ lập trình theo trình tự xác định nhằm tự động thực số chức giải toán - Hệ thống mạng: Mạng máy tính tập hợp máy tính độc lập kết nối với thông qua đường truyền vật lý tuân theo quy ước truyền thông - Dữ liệu: Cơ sở liệu tập hợp liệu có tổ chức, có liên quan lưu trữ thiết bị lưu trữ thứ cấp (băng từ, đĩa từ…) để thỏa mãn nhu cầu khai thác thông tin đồng thời nhiều người sử dụng hay nhiều chương trình ứng dụng với nhiều mục đích khác - Con người: Cong người chủ thể điều hành sử dụng HTTT doanh nghiệp Con người HTTT chia thành nhóm chính: người sử dụng HTTT công việc, người xây dựng bảo trì HTTT An toàn bảo mật thông tin An toàn thông tin: Một hệ thống thông tin coi an toàn thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, chép, xóa bỏ người không phép Các cố xảy làm cho hoạt động chủ yếu ngừng hẳn cố khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu Bảo mật hệ thống: Bảo mật thông tin trì tính bí mật, tính trọn vẹn tính sẵn sàng thông tin Trong đó: tính bí mật đảm bảo thông tin tiếp cận người cấp quyền tương ứng, tính trọn vẹn bảo vệ xác, hoàn chỉnh thông tin thông tin thay đổi người cấp quyền, tính sẵn sàng thông tin người quyền sử dụng truy xuất thông tin họ cần HTTT coi bảo 10 Firewall: Các firewall sử dụng triển khai hiệu với sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống Lọc nội dung: sử dụng công cụ phần mềm lọc bỏ cấm truy xuất vào nguồn thông tin tài liệu không thích hợp cho công việc Xây dựng hệ thống phòng chống phát xâm nhập, Các hệ thống quét Virus, antispyware, antispam - Về giáo dục, đào tạo: Các doanh nghiệp với nỗ lực chuẩn hoá hạ tầng, phân vùng/kiểm soát truy cập mạng, kiểm soát các cửa ngõ, phân vùng quan trọng thường xuyên giám sát, phản ứng kịp thời cán kỹ thuật, nguy bảo mật truyền thống ngăn chặn đẩy lùi có hiệu quả, góp phần đảm bảo vận hành thông suốt toàn hệ thống Tất nhiên, nhờ việc tăng cường giáo dục, đào tạo, thường xuyên kiểm tra, nhắc nhở cán nhân viên cần thiết bảo mật biện pháp, quy định bảo mật ngành nghề kinh doanh Các quy định, sách bảo mật cho người dùng cuối, quy trình cho đội ngũ cán công nghệ thông tin rà soát/chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật Áp dụng quy trình xây dựng hệ thống thông tin an toàn cho doanh nghiệp Để tăng cường tính bảo mật an toàn cho hệ thống thông tin, doanh nghiệp cần thực theo quy trình sau: - Bước 1: Thành lập phận chuyên trách vấn đề bảo mật Mục đích gây dựng uy tín với khách hàng, phận chịu trách nhiệm trước công ty công việc bảo mật; thường xuyên cung cấp lưu ý, cảnh báo liên quan đến an toàn bảo mật thông tin nhằm tránh rủi ro đáng tiếc cho khách hàng công ty; tìm hiểu, đưa giải pháp, chế bảo mật cho công ty Việc chuyên trách vấn đề bảo mật thay đổi cách làm, cách thực công việc kinh doanh công ty để tăng cường tính bảo mật cải tiến sức sản xuất, chất lượng, hiệu tạo sức cạnh tranh công ty - Bước 2: Thu thập thông tin 46 Trước đưa thông báo mô tả thực bảo mật, phận chuyên trách vấn đề bảo mật doanh nghiệp phải lường trước tình xảy ra, không bao gồm toàn thiết bị hệ thống kèm việc thực bảo mật mà phải kể đến tiến trình xử lý, cảnh báo bảo mật, thẩm định hay thông tin cần bảo vệ Bắt đầu với vấn đề dẫn tới độ rủi ro cao hệ thống mạng, internet, doanh nghiệp sử dụng chế bảo mật bên từ sản phẩm hãng có danh tiếng Cơ chế thẩm định từ bên vào Cuối cùng, doanh nghiệp cần phải kiểm tra toàn công việc kinh doanh, chế sách, trình xử lý, xác thực liệu - Bước 3: Thẩm định tính rủi ro hệ thống Tính rủi ro hệ thống phụ thuộc vào: giá trị thông tin câu hỏi (giá trị đồng tiền, giá trị thời gian máy, giá trị mát khách hang), thời gian quy mô lỗ hổng, thời gian khả xuất mát thông tin Tính rủi ro tính theo công thức: Tính rủi ro = Giá trị thông tin * Mức độ lỗ hổng * Khả thông tin Việc thẩm định tính rủi ro yêu cầu trả lời số câu hỏi như: Cơ chế bảo mật tồn công ty có đề rõ ràng cung cấp đủ biện pháp bảo mật chưa? Kết từ chế bảo mật bên có hợp lệ so với sách bảo mật công ty? Có mục cần sửa lại chế bảo mật mà không rõ sách? Hệ thống bảo mật tác dụng tính rủi ro cao nào? Giá trị, thông tin mang tính rủi ro cao nhất? - Bước 4: Xây dựng giải pháp Trên thực tế không tồn giải pháp an toàn, bảo mật thông tin dạng Plug and Play cho tổ chức, đặc biệt phải đảm bảo luật thương mại tồn phải tương thích với ứng dụng, liệu sẵn có Không có tài liệu lượng hết lỗ hổng hệ thống nhà sản xuất cung cấp đủ công cụ cần thiết cho việc thực an toàn, bảo mật thông tin doanh nghiệp Cách tốt sử dụng kết hợp giải pháp, sản phẩm nhằm tạo chế bảo mật đa B Các kết luận rút từ báo cáo nghiên cứu I Các vấn đề đạt báo cáo nghiên cứu 47 Qua việc phân tích thực trạng hệ thống thông tin doanh nghiệp Việt Nam nói chung CTCP Sao Mai nói riêng, báo cáo nghiên cứu cho thấy tầm quan trọng vấn đề an toàn bảo mật hệ thống thông tin doanh nghiệp, đặc biệt thời đại công nghệ thông tin phát triển mạnh, lỗ hổng bảo mật từ phần cứng, phần mềm hay người ngày gia tăng nguy gây an toàn thông tin, đe dọa tới tồn phát triển bền vững doanh nghiệp hay tổ chức Trong hệ thống thông tin, phần cứng, phần mềm người thành phần thiếu, nhiên lại phận có nguy bị hacker công nhiều nhằm khai thác thông tin doanh nghiệp cách bất hợp pháp Báo cáo nghiên cứu số lỗ hổng thường gặp hệ thống thông tin doanh nghiệp, cụ thể số lỗ hổng phần cứng, phần mềm, người, cách phát lỗ hổng nhằm giúp doanh nghiệp chủ động việc phát kịp thời ngăn chặn công vào lỗ hổng bảo mật hệ thống thông tin doanh nghiệp An toàn bảo mật hệ thống thông tin doanh nghiệp toán khó doanh nghiệp Cùng với việc số lỗ hổng bảo mật thường gặp hệ thống thông tin doanh nghiệp, nhóm nghiên cứu đưa số giải pháp khắc phục lỗ hổng góp phần bảo đảm an toàn thông tin doanh nghiệp II Các vấn đề mà báo cáo đặt cần tiếp tục nghiên cứu Trong thời buổi công nghệ thông tin phát triển mạnh, lỗ hổng bảo mật hệ thống thông tin doanh nghiệp ngày tăng Báo cáo nghiên cứu chưa đưa toàn lỗ hổng phần cứng hay phần mềm cụ thể hệ thống thông tin doanh nghiệp cách phát giải pháp khắc phục lỗ hổng cụ thể Các giải pháp mà báo cáo nghiên cứu đưa hiệu tối ưu áp dụng cách đơn lẻ phần mềm bảo đảm tuyệt đối an toàn hệ thống thông tin doanh nghiệp Để tăng cường tính bảo mật cho hệ thống thông tin mình, doanh nghiệp nên sử dụng kết hợp nhiều giải pháp, sản phẩm khác tạo chế bảo mật đa 48 C Các đề xuất, kiến nghị với vấn đề nghiên cứu I Đề xuất, kiến nghị với ban giám đốc công ty cổ phần Sao Mai - Đề xuất với công ty Mặc dù công ty thành lập đến phòng ban liên tục bổ sung người Chính mà công ty cần phải bổ sung thêm thiết bị công nghệ thông tin mà cụ thể bổ sung thay máy tính Công ty cần trang bị cách đồng toàn diện cho hệ thống thông tin Các máy tính cũ, hỏng hóc hay sử dụng công nghệ cũ thay máy tính mới, công nghệ tốc độ xử lý nhanh Chỉ công ty xác định đầu tư cách hợp lý cho hệ thống thông tin công ty đảm bảo việc sản xuất kinh doanh có hiệu Để thực giải pháp đảm bảo an toàn thông tin cho công ty lúc công ty cần phải đầu tư, đổi lại hệ thống thông tin việc thay bổ sung máy tính mới, hoàn thiện hệ thống hoàn chỉnh đại Qua khảo sát thực tế thấy nhân viên công ty có nhiều người cảm thấy bỡ ngỡ lúng túng nói vấn đề bảo mật cách thức phát lỗ hổng bảo mật Chính mà công ty nên tập trung đầu tư vào yếu tố người nhiều Ngay từ khâu tuyển dụng công ty kiểm tra ứng viên trình độ tin học ứng dụng công nghệ thông tin Đồng thời trình làm việc công ty mở lớp đào tạo, tập huấn cho nhân viên công ty để nâng cao trình độ hiểu biết nhân viên tới vấn đề an toàn, bảo mật Một yếu tố quan trọng mà công ty cần phải quan tâm thay đổi thói quên nhân viên làm an toàn thông tin công ty Các nhân viên công ty cần phải hình thành cho ý thức cảnh giác chuẩn bị trước cố xảy làm an toàn hệ thống thông tin công ty - Kiến nghị với công ty Công ty nên có cho phận riêng công ty để đảm bảo phụ trách vấn đề an toàn, bảo mật cho hệ thống Với xu hướng phát triển ngày mở rộng 49 công ty lớn mạnh lên nhiều Lúc công ty đòi hỏi phải có phận trách hệ thống thông tin để đảm bảo hệ thống vận hành cách liên tục ổn định II Đề xuất, kiến nghị với nhà nước quan liên quan - Đề xuất với nhà nước quan liên quan Để tạo điều kiện cho công ty vấn đề đảm bảo an toàn hệ thống thông tin doanh nghiệp nhà nước quan liên quan cần phải xây dựng sở hạ tầng công nghệ thông tin cách vững Nhà nước cần xây dựng điều chỉnh hệ thống pháp luật để tạo điều kiện để phát triển mạnh mẽ công nghệ thông tin Nhà nước phải có sách để khuyến khích doanh nghiệp ứng dụng công nghệ thông tin kinh doanh giúp doanh nghiệp vấn đề xây dựng hệ thống thông tin an toàn, bảo mật Đồng thời nhà nước cần phải tập trung phát triển đào tạo đội ngũ người có đầy đủ phẩm chất trí tuệ để đáp ứng nhu cầu đảm bảo an toàn cho hệ thống thông tin doanh nghiệp - Kiến nghị với nhà nước quan liên quan Một là: Tổ chức hội thảo chuyên đề nhằm tuyên truyền, nâng cao nhận thức công nghệ thông tin cho doanh nghiệp, tạo môi trường thảo luận, tiếp xúc quan Trung ương, quan, ban ngành chức địa phương, nhà cung cấp giải pháp dịch vụ sản phẩm công nghệ thông tin với doanh nghiệp Đồng thời thông qua hội thảo tìm giải pháp hỗ trợ doanh nghiệp tỉnh ứng dụng công nghệ thông tin hiệu hoạt động sản xuất, kinh doanh phục vụ phát triển hội nhập Hai là: Xây dựng chuyên mục "Doanh nghiệp ứng dụng công nghệ thông tin" phát Đài truyền hình nhằm tuyên truyền nâng cao nhận thức ứng dụng công nghệ thông tin doanh nghiệp, giới thiệu, cung cấp, chia kinh nghiệm ứng dụng công nghệ thông tin doanh nghiệp Ba là: Xây dựng Website "Diễn đàn Doanh nghiệp" để tạo kênh thông tin để doanh nghiệp trao đổi, chia sẻ kinh nghiệm việc ứng dụng công nghệ thông tin doanh nghiệp, tạo 50 môi trường hỏi - đáp, tư vấn doanh nghiệp, nhà cung cấp giải pháp công nghệ thông tin quan nhà nước có liên quan Bốn là: Xây dựng mô hình doanh nghiệp mẫu ứng dụng công nghệ thông tin với mô hình: vừa - nhỏ - hộ kinh doanh, thông qua mô hình này, doanh nghiệp đến học hỏi kinh nghiệm để áp dụng cho doanh nghiệp Lấy mô hình làm điểm nhấn để tuyên truyền tính hiệu việc ứng dụng công nghệ thông tin Năm là: Tập huấn, đào tạo phát triển nguồn nhân lực công nghệ thông tin nhằm nâng cao nhận thức chủ doanh nghiệp tầm quan trọng ứng dụng công nghệ thông tin xu hội nhập kinh tế Quốc tế Xác định rõ xu hướng phát triển hội doanh nghiệp ứng dụng công nghệ thông tin nhằm nâng cao lực cạnh tranh hội nhập 51 TÀI LIỆU THAM KHẢO - Một số sách tham khảo: Đức Thiện, “Hơn 30 triệu lỗ hổng máy tính cá nhân”, tháng 10/2010 ITechPlus, “Khắc phục lỗi phần cứng PC thường gặp”, tháng 3/2011 Minh Phương, “Máy chủ Foxconn bị công, CEO bị lộ mật khẩu”, tháng 2/2012 Phạm Tuyên, “Khắc phục lỗi zero-day nguy hiểm Windows”, tháng 9/2010 Andrew S Tanenbaum, Computer Networks, Prentice Hall, New Jersey, Fourth Edition, 2003 Man Young Rhee, Wilay, Internet Security - Cryptographic Principles, Algorithms and Protocols, 2003 William Stallings, Network Security Essentials: Applications and Standards, Prentice Hall, New Jersey, 1999 William Stallings, Network Security Essentials, 2000 - Một số trang Web: http://saomaiaudio.com http://diendandoanhnghiep.net http://www.pcworld.com.vn http://aloweb.com.vn http://vietbao.vn http://www.vietnamplus.vn http://fast.com.vn 52 PHỤ LỤC Mẫu điều tra - Phạm vi điều tra: Trong công ty cổ phần Sao Mai - Quy mô mẫu điều tra: khảo sát dựa 68.74% số nhân viên công ty - Độ tuổi lấy mẫu: Từ 20 tuổi đến 35 tuổi Cơ cấu mẫu - Về địa chỉ: Ở nhiều khu vực khác - Chức vụ: Rất đa dạng (nhân viên kinh doanh, trưởng phòng, kế toán, nhân viên kỹ thuật…) Cách thức điều tra - Sử dụng phiếu điều tra để điều tra - Tổng hợp kết điều tra đánh giá Mẫu phiếu điều tra: 53 PHIẾU ĐIỀU TRA KHẢO SÁT VIỆC PHÁT HIỆN CÁC LỖ HỔNG BẢO MẬT TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN SAO MAI THÔNG TIN CHUNG VỀ DOANH NGHIỆP: Tên doanh nghiệp:………………………………………………………………………………… Địa trụ sở chính: …………………………………………………………………………… Thông tin liên hệ người điền phiếu: Họ tên: Nam/ nữ: Năm sinh: Dân tộc: Quốc tịch: Vị trí công tác: Địa chỉ: Số lượng nhân viên : Dưới 30 người Từ 100 – 300 người Từ 30 – 100 người Trên 300 người Vốn điều lệ (VND): Dưới tỷ Từ 10 - 50 tỷ Từ - tỷ Từ 50 - 200 tỷ Từ - 10 tỷ Trên 200 tỷ Tổng số máy tính công ty: Dưới 10 máy tính Từ 10 – 50 máy tính Từ 50 – 100 máy tính Trên 100 máy tính Tổng số máy tính: - Tổng số máy chủ:…………… - Tổng số máy để bàn:……… - Tổng số máy xách tay:……… Tổng số máy tính có kết nối Internet: ……… Số cán chuyên trách CNTT : ………… 10 Số cán biết sử dụng máy tính : ……… 54 11 Các ứng dụng triển khai trụ sở doanh nghiệp: - Quản lý văn điều hành công việc: - Tin học văn phòng: - Quản lý tài - kế toán: - Quản lý nhân - tiền lương: - Quản lý tài sản: - Quản lý kho - vật tư: - Quản lý khách hàng (CRM): - Quản lý nhà cung cấp, đối tác (SCM): - Quản lý hoạch định nguồn lực doanh nghiệp (ERP): - Thư điện tử nội bộ: - Khác (liệt kê chi tiết) : ……………………………………………………… I) Hệ thống thông tin công ty Theo anh/chị công ty có áp dụng công nghệ thông tin vào hoạt động sản xuất kinh doanh hay không? Có Không Theo anh/chị phòng ban công ty có trang bị đầy đủ máy tính thiết bị công nghệ thông tin phục vụ cho hoạt động sản xuất kinh doanh không? Có Không Theo anh/chị công ty có quan tâm đầu tư cho việc xây dựng hệ thống thông tin an toàn bảo mật hay không? Có Không Theo anh/chị hệ thống thông tin doanh nghiệp có lỗ hổng bảo mật hay không? Có Không Mức độ quan tâm tới vấn đề an toàn bảo mật doanh nghiệp: Rất quan tâm Ít quan tâm 55 Quan tâm Khá quan tâm Không quan tâm Hệ thống thông tin doanh nghiệp phụ trách? Phòng CNTT phụ trách Không có phận phụ trách Giám đốc phụ trách Một phận khác phụ trách Thuê Theo anh/chị hệ thống thông tin doanh nghiệp an toàn nào? Rất an toàn Không an toàn Kém an toàn Khá an toàn An toàn Hệ thống thông tin doanh nghiệp đầu tư trang thiết bị nào? Thường xuyên đầu tư Thỉnh thoảng đầu tư Kém đầu tư Không đầu tư Hệ thống thông tin doanh nghiệp bị công hay chưa? Bị công nhiều Ít bị công Chưa bị công Không thể bị công 10 Theo anh/chị hệ thống thông tin doanh nghệp có cần bảo vệ an toàn hay không? Có Không II) Về lỗ hổng phần cứng hệ thống thông tin công ty Anh/chị có biết lỗ hổng phần cứng hệ thống thông tin doanh nghiệp? Rất biết Biết Khá biết Không biết Theo anh/chị doanh nghiệp xảy cố phần cứng làm ảnh hưởng đến hệ thống thông tin doanh nghiệp? Cháy nổ thiết bị phần cứng Thiên tai, bão lũ lụt gây hỏng máy tính phần cứng Hỏng RAM liệu Các cố khác 56 Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần cứng hệ thống thông tin doanh nghiệp hay không? Rất cần Không cần thiết Ít cần thiết Khá cần thiết Cần Theo anh/chị lỗ hổng phần cứng gây nguy hiểm đến hệ thống thông tin doanh nghiệp? Rất nguy hiểm Không nguy hiểm Ít nguy hiểm Khá nguy hiểm Nguy hiểm III) Về lỗ hổng phần mềm hệ thống thông tin công ty Anh/chị có biết lỗ hổng phần mềm hệ thống thông tin doanh nghiệp? Rất biết Biết Khá biết Không biết Theo anh/chị doanh nghiệp xảy cố phần mềm làm ảnh hưởng đến hệ thống thông tin doanh nghiệp? Không cập nhật phần mềm Hệ điều hành máy tính gặp diệt Virus thường xuyên cố Phần mềm sử dụng bị lỗi Các cố khác Theo anh/chị có cần thiết phải quan tâm đến lỗ hổng phần mềm hệ thống thông tin doanh nghiệp hay không? Rất cần Ít cần thiết Khá cần thiết Không cần thiết Theo anh/chị lỗ hổng phần mềm gây nguy hiểm đến hệ thống thông tin doanh nghiệp? Rất nguy hiểm Không nguy hiểm Ít nguy hiểm Khá nguy hiểm Nguy hiểm 57 IV) Lỗ hổng xuất phát từ yếu tố người Theo anh/chị người có ảnh hưởng đến mức độ an toàn hệ thống thông tin doanh nghiệp không? Có Không Theo anh/chị người có tầm quan trọng hệ thống thông tin doanh nghiệp? Rất quan trọng Không quan trọng Ít quan trọng Khá quan trọng Quan trọng Tình hình nhân công ty nào? Gia tăng liên tục Thỉnh thoảng tăng Không tăng Sa thải liên tục Theo anh/chị nhân viên công ty am hiểu an toàn hệ thống thông tin doanh nghiệp? Rất am hiểu Không am hiểu Ít am hiểu Khá am hiểu Theo anh/chị hoạt động nhân viên gây an toàn thông tin doanh nghiệp? Sử dụng thiết bị Thói quen sử dụng Webmail chép không an toàn (Mail, Yahoo!, Gmail) Truy cập trái phép hệ Hoạt động khác thống thông tin doanh nghiệp V) Về giải pháp công ty vấn đề an toàn bảo mật Theo anh/chị doanh nhiệp có biện pháp để khắc phục lỗ hổng an toàn bảo mật hay không? Có Không 58 Các giải pháp mà doanh nghiệp đưa để đảm bảo an toàn thông tin cho hệ thống nào? Rất tốt Tốt Khá tốt Không tốt Anh/chị có tham gia vào việc đưa giải pháp bảo mật hệ thống thông tin cho doanh nghiệp không? Có Không 59 Vấn đề khác (Phần tùy chọn): Anh/chị có giải pháp hay kiến nghị với doanh nghiệp để đảm bảo an toàn hệ thống thông tin doanh nghiệp? Anh/chị có đề xuất hay kiến nghị với quan liên quan (nhà nước) để đảm bảo an toàn thông tin doanh nghiệp? 60 [...]... cho công ty Phần mềm: Doanh nghiệp đã trang bị các phần mềm diệt Virus, cập nhật các phần mềm một cách thường xuyên và liên tục đã phần nào làm hạn chế đi các lỗ hổng trong hệ thống thông tin của doanh nghiệp Tuy nhiên, các phần mềm trong công ty vẫn xuất hiện các lỗi và đây cũng chính là các lỗ hổng trong hệ thống thông tin doanh nghiệp Chính các lỗi này đã gây ra nguy hiểm cho hệ thống thông tin. .. hệ thống đảm bảo tín hiệu liên tục của hệ thống Với việc quan tâm và đánh giá đúng vai trò, tầm quan trọng của bảo mật thông tin trong hệ thống thông tin của mình thì doanh nghiệp đã xây dựng được một hệ thống thông tin vững mạnh đảm bảo an toàn và để đối phó voái các cuộc tấn công từ bên ngoài vào trong hệ thống Bên cạnh việc đầu tư các trang thiết bị công nghệ thông tin hiện đại, chế độ bảo mật thông. .. và một số lỗ hổng trong HTTT của công ty Cùng với việc trang bị các công cụ, thiết bị công nghệ thông tin cho doanh nghiệp một cách đồng bộ thì công ty cũng luôn chú trọng và quan tâm tới vấn đề bảo mật cho hệ thống thông tin của mình Các máy tính trong doanh nghiệp thì thường xuyên được cập nhật các phần mềm mới, các tính năng bảo mật mới Hiện tại các máy tính trong công ty đều có sử dụng phần mềm... bảo mật của công ty qua phiếu điều tra I Đánh giá hệ thống thông tin của công ty Theo kết quả điều tra khảo sát bằng phiếu điều tra cho thấy 100% nhân viên trong công ty khảng định là công ty có áp dụng công nghệ thông tin vào trong hoạt động sản xuất kinh doanh Bên cạnh việc áp dụng công nghệ thông tin vào trong kinh doanh thì công ty cũng luôn quan 35 tâm đầu tư cho việc xây dựng hệ thống thông tin. .. bảo mật trong HTTT của công ty cổ phần Sao Mai I Thực trạng chung về tình hình bảo mật trong hệ thống thông tin của các doanh nghiệp tại Việt Nam 1 Sự quan tâm của các doanh nghiệp Việt Nam tới vấn đề an toàn bảo mật - Bảo mật thời kỳ suy thoái Kinh tế suy giảm khiến cho các doanh nghiệp cắt giảm tối đa chi phí, trong đó có chi phí dành cho bảo mật thông tin Tuy nhiên, các chuyên gia tại Security World.. .mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định Các yếu tố cần xem xét trong bảo mật hệ thống thông tin: - Yếu tố công nghệ: Công nghệ là một yếu tố không thể thiếu trong bảo mật hệ thống thông tin Những sản phẩm như Firewall, phần mềm chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành…đang được con người... tín dụng cá nhân bị trộm, một số bị công bố trên Web Theo một cuộc khảo sát về vấn đề bảo mật thông tin của Tổ chức nghiên cứu thị trường EY, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật Trong khi đó, với những lĩnh vực quan... an toàn bảo mật thông tin thì còn rất ít Chính sự thiếu hiểu biết về tính bảo mật, an toàn của hệ thống thông tin của nhân viên trong công ty đã làm xuất hiện các nguy cơ mất an toàn thông tin doanh nghiệp Xuất phát từ những thói quen sử dụng Webmail (Mail, Yahoo!, Gmail) hay sao chép không an toàn từ nhân viên trong công ty đã và đang tạo ra sự xâm nhập nguy hiểm của các loại Virus vào hệ thống Nếu... phát triển của doanh nghiệp song lại là vấn đề rất khó tránh khỏi Bởi vậy, an toàn bảo mật không phải là công việc của riêng người làm công nghệ thông tin mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp 3 Lỗ hổng bảo mật và phát hiện lỗ hổng trong HTTT doanh nghiệp a) Khái niệm Lỗ hổng bảo mật là những yếu kém trên hệ thống hoặc ẩn chứa trong một dịch vụ nào đó, mà dựa vào đó kẻ tấn công có... viên trong công ty thì liên tục tăng đồng thời thì doanh nghiệp cũng luôn không ngừng quan tâm và đầu tư cho việc ứng dụng công nghệ thông tin vào trong hoạt động sản xuất, kinh doanh Tính đến thời điểm hiện tại thì công ty đã có 10 máy tính được trang bị đầy đủ cho các phòng ban Các phòng ban trong công ty thì liên tục được trang bị các ứng dụng công nhệ thông tin hiện đại Đến nay thì hệ thống thông tin