TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ TMĐT ———— KHÓA LUẬN TỐT NGHIỆP ĐỀ TÀI: “GIẢI PHÁP ĐẢM BẢO AN TỒN CƠ SỞ DỮ LIỆU TẠI CƠNG TY CỔ PHẦN CÔNG NGHỆ SAVIS” Giáo viên hướng dẫn : Th.S Cù Nguyên Giáp Sinh viên thực : Trịnh Thị Linh Mã sinh viên : 15D190166 Lớp : K51S3 Hà Nội, 2019 LỜI CẢM ƠN Khóa luận hoàn thành kết bốn năm học tập, rèn luyện với hướng dẫn bảo thầy cô giáo khoa Hệ thống thông tin kinh tế Thương mại điện tử, Trường Đại học Thương mại Đây khoảng thời gian quý báu giúp tác giả tích lũy kiến thức tảng hệ thống thơng tin để có nhìn toàn diện sâu sắc vấn đề nghiên cứu Để hồn thiện khóa luận khơng cố gắng nỗ lực thân mà có giúp đỡ, bảo tận tình thầy cô, anh chị Công ty Cổ phần Công nghệ SAVIS Trước hết, tác giả xin gửi lời cảm ơn sâu sắc tới ThS Cù Nguyên Giáp – người tận tình hướng dẫn, giúp đỡ em suốt q trình thực khóa luận Em xin chân thành cám ơn đến Ban Giám Hiệu nhà trường tồn thể q Thầy, Cơ giáo khoa Hệ thống Thông tin Kinh tế Thương mại Điện tử (IS) quan tâm, nhiệt tình giúp đỡ tạo điều kiện cho em suốt trình học tập Trường Em xin gửi lời cám ơn chân thành đến Ban Lãnh Đạo toàn thể Cán Nhân viên công ty Cổ phần Công nghệ tận tình giúp đỡ, hướng dẫn cung cấp số liệu giúp em hồn thành khóa luận với kết tốt Trong khuôn khổ khóa luận hạn chế mặt kiến thức, thời gian tìm hiểu, có nhiều nỗ lực cố gắng, nhiên không tránh khỏi thiếu xót định Vì vậy, tác giả mong nhận ý kiến đóng góp từ quý thầy cô bạn để giúp tác giả hồn thiện đề tài nghiên cứu khóa luận Em xin chân thành cảm ơn! Sinh Viên Trịnh Thị Linh MỤC LỤC DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ BẢNG SƠ ĐỒ Sơ đồ 1: Sơ đồ cấu tổ chức công ty Cổ phần Công nghệ SAVIS DANH MỤC TỪ VIẾT TẮT Từ viết tắt CSDL HTTT MIS ATTT TMĐT DoS TCP/IP CNTT AES LAN HTTPS WEP SQL Diễn giải Management Information System Denial of Service Internet protocol suite Advanced Encryption Standard Local Area Network Hypertext Transfer Protocol Secure Wireless Encryption Protocol Structured Query Language Nghĩa tiếng Việt Cơ sở liệu Hệ thống thông tin Hệ thống thông tin quản lý An tồn thơng tin Thương mại điện tử Tấn công từ chối dịch vụ Bộ giao thức liên mạng Cơng nghệ thơng tin Tiêu chuẩn mã hóa tiên tiến Mạng cục Giao thức truyền tải siêu văn Giao thức mã hố mạng khơng dây Ngơn ngữ truy vấn cấu trúc MỞ ĐẦU: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI Tầm quan trọng, ý nghĩa vấn đề nghiên cứu Thông tin tài sản vô giá doanh nghiệp cần bảo vệ giá Tuy nhiên, đòi hỏi gắt gao môi trường kinh doanh yêu cầu doanh nghiệp phải chia sẻ thơng tin cho nhiều đối tượng khác qua Internet hay Intranet, việc bảo vệ thông tin trở nên ngày quan trọng khó khăn hết Hầu hết doanh nghiệp ngày sử dụng hệ quản trị sở liệu để lưu trữ tập trung tất thơng tin doanh nghiệp Vì vậy, hệ quản trị CSDL lưu trữ thông tin trở thành mục tiêu công nhằm gây thiệt hại cho tổ chức, doanh nghiệp Ở mức độ nhẹ, công làm cho hệ thống CSDL bị hỏng hóc, hoạt động không ổn định, mát liệu dẫn đến giao dịch hàng ngày doanh nghiệp bị đình trệ Nghiêm trọng hơn, thông tin quan trọng chiến lược kinh doanh, thông tin khách hàng, hoạt động tài doanh nghiệp bị tiết lộ đem bán cho công ty đối thủ Có thể thấy, thiệt hại việc thơng tin bị rò rỉ nghiêm trọng Đó đòn chí mạng uy tín doanh nghiệp khách hàng đối tác Vì vậy, vấn đề bảo mật CSDL trở nên cấp bách cần thiết cho tất người hoạt động doanh nghiệp Trong thời gian thực tập Công ty Cổ phần Công nghệ SAVIS, nhận thấy giải pháp doanh nghiệp lựa chọn để đảm bảo tính an tồn bảo mật cho CSDL phần đáp ứng yêu cầu đặt chưa triệt để Nhận thức điều sau thời gian thực tập công ty em định chọn đề tài: “Giải pháp đảm bảo an tồn Cơ sở liệu cơng ty Cổ phần Công nghệ SAVIS” làm đề tài nghiên cứu Bản thân em mong muốn góp phần nhỏ vào phát triển, hoàn thiện khắc phục hạn chế mặt đảm bảo an tồn CSDL cơng ty Từ đề xuất biện pháp đảm bảo an toàn CSDL phù hợp với điều kiện có phát triển lâu dài công ty Vận dụng kiến thức thân, em mong khóa luận trước tiên tài liệu tham khảo cho công ty Cổ phần Công nghệ SAVIS Thơng qua cơng ty hồn thiện trình hoạt động kinh doanh doanh nghiệp Khóa luận dựa mặt hạn chế, thiếu sót vấn đề cần cải thiện quy trình đảm bảo an tồn liệu công ty Cổ phần Công nghệ SAVIS phân tích thơng qua việc thu tập liệu từ cơng ty, qua đề xuất hướng giải phù hợp với điều kiện có cơng ty Bên cạnh khóa luận xem tài liệu tham khảo cần thiết cho việc nghiên cứu – học tập giáo viên bạn sinh viên thuộc trường đại học, cao đẳng nước muốn tìm hiểu chủ đề liên quan Sinh viên tham khảo nhằm tích lũy nhiều môi trường thực tế, môi trường làm việc doanh nghiệp Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu đề tài tập hợp hệ thống hóa số lý thuyết đảm bảo an tồn CSDL cho hệ thống thơng tin Từ đó, đánh giá phân tích thực trạng vấn đề đảm bảo an tồn liệu cho HTTT cơng ty Cổ phần Công nghệ SAVIS để đưa đánh giá ưu, nhược điểm liệu hệ thống thơng tin Từ đánh giá phân tích này, đưa số kiến nghị đề xuất, số giải pháp nhằm nâng cao tính an tồn liệu cho HTTT Giúp cho công ty nhận diện nguy thách thức vấn đề đảm bảo cho an tồn liệu HTTT Từ đó, có giải pháp nâng cao tính an tồn bảo mật, ngăn chặn nguy công liệu - HTTT tương lai Đối tượng phạm vi nghiên cứu đề tài Đối tượng nghiên cứu 3.1 Đối tượng nghiên cứu đề tài là: 3.2 Vấn đề an tồn thơng tin cho CSDL cơng ty Cổ phần Công nghệ SAVIS Giải pháp đảm bảo an tồn CSDL cho HTTT cơng ty Cổ phần Công nghệ SAVIS Phạm vi nghiên cứu đề tài Đề tài tập trung nghiên cứu phạm vi công ty Cổ phần Công nghệ SAVIS Về mặt không gian: Dựa tài liệu thu thập công ty, phiếu điều tra tài liệu tham khảo được, đề tài tập trung nghiên cứu vấn đề an tồn bảo mật CSDL Cơng ty Cổ phần Công nghệ SAVIS Về thời gian: Dựa tài liệu thu thập năm 2016 - 2018 số liệu báo cáo tài chính, tài liệu liên quan cơng ty giai đoạn 2016 - 2018 Các số liệu khảo sát q trình thực tập cơng ty Phương pháp thực đề tài 4.1 Phương pháp thu thập liệu Phương pháp thu thập liệu cách thức thu thập liệu phân loại sơ tài liệu chứa đựng thông tin liên quan tới đối tượng nghiên cứu đề tài thực Việc thu thập liệu công việc trình nghiên cứu Phương pháp thống kê, thu thập số liệu cách sử dụng phiếu điều tra: Thiết kế phiếu điều tra, hướng dẫn người sử dụng điền thông tin cần thiết nhằm thăm dò dư luận, thu thập ý kiến, quan điểm có tính đại chúng rộng rãi Bảng câu hỏi gồm câu hỏi thông tin chung công ty, xoay quanh hoạt động đảm bảo an tồn CSDL doanh nghiệp Mục đích: Thu thập thơng tin hoạt động an tồn cho thơng tin cơng ty để từ đánh giá thực trạng đưa giải pháp phù hợp đảm bảo an tồn cho CSDL Cơng ty Cổ phần Công nghệ SAVIS Phương pháp thu thập liệu thứ cấp: Dữ liệu thứ cấp thông tin thu thập xử lý trước mục tiêu khác công ty Nguồn tài liệu bên trong: Bao gồm báo cáo kết hoạt động kinh doanh cơng ty vòng năm: 2016-2018 thu thập từ phòng kế tốn, phòng nhân công ty, từ phiếu điều tra tài liệu thống kê khác Nguồn tài liệu bên ngoài: Từ cơng trình nghiên cứu khoa học, tạp chí, sách báo năm trước có liên quan đến đề tài nghiên cứu từ Internet Sau thu thập đầy đủ thơng tin cần thiết tiến hành phân loại sơ tài liệu Nếu thu thập thơng tin hồn tất bước xử lý liệu Phương pháp so sánh đối chiếu: Đối chiếu lý luận thực tiễn kết hợp thu thập xử lý thông tin từ nguồn thu thập Phương pháp phân tích, tổng hợp, xử lý đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý số liệu thu thập từ nguồn tài liệu bên công ty bao gồm báo cáo kết hoạt động kinh doanh công ty năm 2016 – 2018, từ phiếu điều tra tài liệu thống kê khác Phương pháp phán đoán: dùng để đưa dự báo, phán đốn tình hình phát triển HTTT cơng ty, tình hình an tồn bảo mật thơng tin chung nước giới đưa nhận định nguy an tồn thơng tin mà công ty hứng chịu 4.2 Phương pháp phân tích xử lý số liệu Phương pháp định lượng: Dữ liệu sau thu thập đưa phân tích thơng qua việc sử dụng Microsoft Office Excel 2019 Từ biểu đồ hoàn thành sau nhập liệu vào ta có đánh giá cụ thể thực trạng an toàn bảo mật thơng tin doanh nghiệp tính cấp thiết việc nâng cao tính an tồn bảo mật cho thơng tin Phương pháp định tính: Chọn lọc, phân tích, tổng hợp liệu thu thập thông câu hỏi vấn liệu, thông tin thu thập từ nhiều nguồn khác để phân tích làm rõ thuộc tính, chất vật tượng làm sáng tỏ khía cạnh hợp thành nguyên nhân vấn đề phát Thường sử dụng để đưa bảng số liệu thống kê, biểu đồ thống kê, đồ thị Kết cấu khóa luận Kết cấu khóa luận gồm chương: Chương 1: Cơ sở lý luận an tồn bảo mật CSDL Chương 2: Phân tích, đánh giá thực trạng an tồn bảo mật CSDL Cơng ty Cổ phần Công nghệ SAVIS Chương 3: Đề xuất giải pháp đảm bảo an tồn CSDL cơng ty Cổ phần Công nghệ SAVIS CHƯƠNG I CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT CSDL TRONG HỆ THỐNG THÔNG TIN Một số khái niệm 1.1 Một số khái niệm liệu, sở liệu, thông tin, HTTT, HTTT quản lý doanh nghiệp Dữ liệu: Dữ liệu thông tin đối tượng (ví dụ: người, vật, khái niệm, việc…) lưu trữ máy tính Dữ liệu mô tả nhiều dạng khác (những ký tự, hình ảnh, âm thanh, ký hiệu) …Dữ liệu chưa mang cho người hiểu biết mà phải thông qua q trình xử lý liệu thành thơng tin người hiểu đối tượng mà liệu biểu Cơ sở liệu (CSDL): Cơ sở liệu tập hợp liệu tương quan có tổ chức lưu trữ phương tiện lưu trữ đĩa từ, băng từ v v nhằm thỏa mãn yêu cầu khai thác thông tin (đồng thời) nhiều người sử dụng nhiều chương trình ứng dụng với nhiều mục đích khác Thông tin: Thông tin liệu xử lý cho thực có ý nghĩa người sử dụng Thông tin coi sản phẩm hoàn chỉnh thu sau q trình xử lý liệu Hệ thống thơng tin (HTTT): tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tạo, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức Hệ thống thông tin quản lý (MIS): tập hợp phương tiện, phương pháp phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý cung cấp thơng tin cần thiết cho quản lý 1.2 Khái niệm an toàn, bảo mật CSDL HTTT An toàn liệu: hệ thống thơng tin coi an tồn thông tin không bị sửa đổi, chép xóa bỏ người khơng phép Như vậy, an tồn liệu việc bảo vệ thơng tin CSDL tránh truy cập trái phép đến CSDL, từ thay đổi hay suy diễn nội dung thông tin CSDL Cơ sở liệu doanh nghiệp, ngành … thường cài đặt tập trung hay phân tán máy chủ, tài nguyên thông tin chung cho nhiều người, sử dụng Vì hệ sở liệu cần phải có chế kiểm sốt, truy xuất, quản lý, khai 10 liệu với Public Key người chia sẻ Tất người dùng mạng thấy liệu này, nhiên người dùng có Private Key tương ứng với Public Key giải mã 3.2.4.2 Sao lưu phục hồi liệu Backup liệu (Data backup) hiểu hành động chép / lưu lại toàn nội dung liệu gốc quan trọng HTTT phòng gặp cố Đối với doanh nghiệp, theo tác lưu liệu đánh giá quan trọng khơng thể thiếu, tồn data, liệu mà doanh nghiệp xây dựng thời gian dài không may gây ảnh hưởng nghiêm trọng đến công việc kinh doanh daong nghiệp Mục đích việc backup-restore liệu để đưa hệ thống trở lại trạng thái trước gặp cố Nguyên nhân cố gây ảnh hưởng đến liệu thuộc dạng sau: + Nguyên nhân khách quan: Sự cố xảy ngồi ý muốn, người khơng thể biết trước được, thường thảm họa (VD: thiên tai, cháy nổ…) Do cần cất giữ xa + Nguyên nhân chủ quan: Sự cố xảy thao tác khơng xác người (ví dụ: lỗi phần cứng, lỗi phần mềm, thao tác nhầm…) Do cần cất giữ vị trí cho thuận lợi cho việc phục hồi liệu, không thiết phải lưu trữ nơi xa Hiện tại, cơng ty thực backup theo chu kỳ tháng lần, thời gian backup liệu lâu, lượng liệu hệ thống bị đánh sập hồn tồn Do cơng ty nên backup liệu thường xuyên để đảm bảo liệu công ty không bị thất lạc Đề xuất giải pháp cho phương án trên, công ty cần backup theo ngày vào thời điểm buổi trưa vào ban đêm, thời điểm end- user kết thúc cơng việc Có số lý sau: + Backup buổi trưa: Việc khơi phục lại file thời điểm gần ta khơi phục file backup vào buổi trưa, thay từ ngày hơm qua, việc làm tăng khả hữu dụng file cần backup + Vì việc backup ngốn tài nguyên hệ thống nhiều nên chọn thời điểm hệ thống nhàn rỗi thời điểm end user không làm việc giúp tốc độ backup nhanh hơn, lỗi phát sinh trình backup hạn chế nhiều so với backup 36 thời gian end user làm việc, bên cạnh tránh backup thời điểm end user làm việc không làm ảnh hưởng đến hiệu suất hệ thống Công ty sử dụng tiện ích backup tích hợp hệ điều hành Windows (ntbackup.exe) để thực tiến trình backup Ngồi ra, sử dụng Wizard Mode để đơn giản hóa tiến trình tạo khơi phục file backup, hay cấu hình thủ cơng cài đặt backup lên lịch thực tác vụ backup để tự động hóa tác vụ 3.2.4.3 Mã hóa liệu Trong chiến lược bảo mật liệu, công ty SAVIS tập trung nguồn lực vào bảo vệ liệu đường truyền Trong vấn đề bảo vệ liệu nằm sở liệu (CSDL, database) chưa quan tâm mức Một giải pháp bảo mật CSDL tối ưu cần hỗ trợ yếu tố sau: + Hỗ trợ mã hóa mức liệu cấp bảng, cột, hàng + Hỗ trợ sách an ninh phân quyền truy cập đến mức liệu cột, hỗ trợ RBAC + Cơ chế mã hóa khơng ảnh hưởng đến ứng dụng Giải pháp đơn giản bảo vệ liệu CSDL mức độ tập tin, chống lại truy cập trái phép vào tập tin CSDL hình thức mã hóa Mã hóa cách tuyệt vời để giữ cho liệu an toàn, cho dù nhà quản trị truyền qua Internet, lưu lên máy chủ máy tính xách tay Tuy nhiên, từ khảo sát phiếu điều tra, công ty chưa thực giải pháp mã hóa thơng tin, nguy liệu trình truyền tin cao Việc mã hóa khơng cho phép (trừ nhà quản trị người nhận nó) đọc liệu công ty Các liệu cơng ty cần mã hóa là: + Mã hóa tồn ổ cứng: Có thể tồn nhân viên có mật đăng nhập Windows máy tính mình, mật khơng thực bảo vệ liệu đánh cắp máy tính ổ cứng họ Tên trộm cần cắm ổ đĩa bạn vào máy tính khác truy cập liệu trực tiếp Nếu có thơng tin nhạy cảm, cần thực mã hóa đĩa cứng để bảo vệ liệu máy tính rơi vào tay kẻ xấu + Mã hóa thư Gmail: Khi sử dụng Gmail, bảo mật email khác chút thư lưu trữ máy chủ Google khơng phải máy tính bạn Khi nhà quản trị soạn xem email, chúng truyền qua kết nối HTTPS (Hypertext Transfer Protocol Secure) mã hóa, nhà quản trị khơng phải lo lắng việc bị 37 chặn Nguy bảo mật với Gmail người khác truy cập vào tài khoản nhà quản trị Có thể giảm thiểu nguy thông qua việc đặt mật + Mã hóa tài liệu Word, Excel PowerPoint: Trong Office 2010 2013, nhà quản trị mã hóa tài liệu Word, Excel PowerPoint theo cách: Nhấp File, chọn tab Info sau nhấp vào nút Protect Document Cuối cùng, bấm vào Encrypt with Password chọn mật mạnh cho tập tin Giải pháp thứ hai, đối nghịch với giải pháp mã hóa cấp tập tin nêu trên, giải vấn đề mã hóa mức ứng dụng Giải pháp xử lý mã hóa liệu trước truyền liệu vào CSDL Những vấn đề quản lý khóa quyền truy cập hỗ trợ ứng dụng Truy vấn liệu đến CSDL trả kết liệu dạng mã hóa liệu giải mã ứng dụng Giải pháp giải vấn đề phân tách quyền an ninh hỗ trợ sách an ninh dựa vai trò (Role Based Access Control – RBAC) Tuy nhiên, xử lý mã hóa tầng ứng dụng đòi hỏi thay đổi tồn diện kiến trúc ứng dụng, chí đòi hỏi ứng dụng phải viết lại Đây vấn đề đáng kể cho cơng ty có nhiều ứng dụng chạy nhiều CSDL khác 3.2.4.4 Bảo mật liệu truyền qua mạng wifi Công nghệ thông tin ngày phát triển, việc truyền nhận thông tin liệu sử dụng chủ yếu qua mạng Công ty khơng sử dụng nhiều mạng dây, mà thay vào chủ yếu sử dụng Wifi cho máy tính xách tay máy tính cá nhân công ty Dữ liệu gửi qua mạng Wifi dễ bị tác động so với gửi qua mạng Ethernet Tin tặc không cần phải truy cập vật lý tới mạng hay thiết bị đó, người dùng sử dụng laptop kích hoạt Wifi ăng ten thu phát sóng mạnh đánh cắp liệu hay đột nhập vào mạng truy cập vào liệu lưu trữ mạng điểm truy cập Wifi khơng cấu hình bảo mật Vì để đảm bảo an tồn bảo mật thơng tin Cơng ty nên trọng việc bảo mật liệu truyền qua Wifi Hiện công ty sử dụng giao thức bảo mật WEP để bảo vệ mạng không dây Tuy nhiên, bảo mật WEP dễ bị crack, công nghệ bảo mật bảo vệ mạng không dây công ty trước người dùng thơng thường Còn ngồi ra, hacker, kể hacker vào nghề download cơng cụ miễn phí thực theo hướng dẫn để crack khóa WEP xâm nhập vào mạng máy tính 38 cơng ty Sau phá khóa, hacker kết nối đến mạng Wi-Fi truy nhập vào tài ngun Ngồi hacker giải mã lưu lượng thời gian thực mạng Chính lý mà cơng ty cần sử dụng cơng nghệ an tồn để bảo vệ cho mạng khơng dây mình: Wi-Fi Protected Access (WPA2), công nghệ sử dụng mã hóa AES/CCMP Với mơ hình cơng ty Cổ phần Công nghệ SAVIS công ty vừa nhỏ nên triển khai ứng dụng bảo mật không dây WPA2 - Enterprise doanh nghiệp Chế độ bảo mật Enterprise chế độ mà doanh nghiệp tổ chức nên sử dụng, biết đến RADIUS, 802.1X, 802.11i EAP Chế độ cung cấp giải pháp bảo mật hữu hiệu hơn, quản lý khóa tốt hỗ trợ chức doanh nghiệp khác VLAN NAP Chế độ Enterprise cho nhân viên đăng nhập vào mạng không dây tên mật hay chứng số thay đổi thu hồi thời điểm máy chủ thiết bị không dây bị bị đánh cắp Ngồi cung cấp cho nhân viên khóa mã hóa động nên ngăn chặn việc xem trộm thơng tin người dùng mạng Vì phù hợp cho việc bảo mật an toàn mạng công ty 3.2.5 Con người Một mối nguy hiểm tiềm tàng với an ninh liệu doanh nghiệp yếu tố người Do đó, việc thực biện pháp nhằm đào đào tạo, nâng cao nhận thức nhân viên quan bảo mật liệu biện pháp hàng đầu hiệu để bảo đảm an tồn liệu doanh nghiệp Cơng ty Cổ phần Công nghệ SAVIS ý thức vai trò người vấn đề an toàn bảo mật liệu Một cách làm để tăng cường tính bảo mật cho doanh nghiệp, phát triển giao thức bảo mật mạnh mẽ đảm bảo chúng triển khai Những sách phải phù hợp với cách làm việc công ty, nhân viên nhận thức đắn tn thủ Cơng ty nên kiểm sốt nội chặt chẽ đề quy định riêng an tồn bảo mật CSDL cho cơng ty Cách tốt để nhân viên biết sách bảo mật cơng ty, viết giấy, đầy đủ sách với nguyên tắc rõ ràng: cho phép điện thoại máy tính cơng ty kết nối Wifi, khơng sử dụng Email cá 39 nhân máy tính cá nhân công ty, tất mật phải tuân theo định dạng định cấm nhân viên mở email liên kết không liên quan đến công ty Công ty cần ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật liệu cơng ty, phòng tránh trường hợp hệ thống bị cơng nhân viên cơng ty Nguồn nhân lực cơng ty chưa có kiến thức chun sâu an toàn bảo mật CSDL Để thực giải pháp để nâng cao an toàn bảo mật CSDL cho công ty công ty cần ý đến việc đào tạo nâng cao kiến thức kỹ CNTT cho nhân viên Cơng ty nên có buổi chia sẻ thông tin, kiến thức nhân viên công ty, người biết bảo cho người để nâng cao kiến thức vấn đề an tồn bảo mật Phương pháp khơng tốn chi phí mà tăng tinh thần đồn kết nội cơng ty Mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp mở lớp phổ biến kiến thức an toàn bảo mật hệ thống cho cán bộ, nhân viên công ty 3.3 Điều kiện thực giải pháp An toàn bảo mật HTTT vơ quan trọng, ảnh hưởng lớn đến thành bại công ty đặc biệt thời kỳ cơng nghiệp hóa, đại hóa, cơng nghệ thơng tin phát triển vũ bão Cơng ty cần có nhìn đắn vấn đề đầu tư cho biện pháp an tồn bảo mật HTTT Ban lãnh đạo nên có sách đào tạo chun sâu chun mơn liên quan đến CNTT cho nhân viên cách: mở buổi hội thảo để nâng cao nhận thức bảo mật thông tin doanh nghiệp cho nhân viên công ty, thiết lập phận chuyên trách vấn đề bảo mật, gửi nhan viên học khóa đào tạo ngồi nước Đề nghị tăng thêm số lượng nhân viên CNTT, nhân viên CNTT có trình độ đại học phải có kinh nghiệm an tồn bảo mật HTTT Cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến an tồn bảo mật HTTT cơng ty: quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin nội công ty, thông tin khách hàng, … Đầu tư sở hạ tầng CNTT phục vụ cho tất hoạt động công ty Đầu tư thêm số thiết bị bảo mật, phần mềm chuyên dụng lĩnh vực đảm bảo an ninh 40 mạng, xây dựng mơ hình mạng an tồn việc cần thiết Các trang thiết bị công nghệ thông tin phải thường xuyên kiểm tra, bảo dưỡng bảo trì, khắc phục lỗi kịp thời Cập nhật giải pháp bảo mật thơng tin tức thời có hiệu tối ưu với ngân sách, đặc điểm công ty 41 KẾT LUẬN Ngày CNTT có bước phát triển mạnh mẽ mang lại lợi ích to lớn doanh nghiệp giúp cho doanh nghiệp định đắn trình hoạt động kinh doanh Vấn đề an tồn bảo mật thông tin vấn đề nhức nhối doanh nghiệp Càng ngày hình thức công vào hệ thống ngày tinh vi, đại, nguy hiểm có quy mơ lớn An tồn hệ thống ln bị đe dọa nguy cơng ln tiềm ẩn bên ngồi hệ thống Chỉ sai lầm nhỏ dẫn đến hậu khơn lường.Vì an tồn thơng tin đóng vai trò quan trọng cần quan tâm lớn từ phía công ty.Việc thường xuyên cập nhật công nghệ có sách đầu tư đắn dài vào an toàn bảo mật làm cho hệ thống trở nên an toàn vững từ hệ thống hoạt động tốt đẩy mạnh hiệu công việc Với mục tiêu mở rộng, phát triển công, hội nhập với giới năm tới, Công ty cổ phần công nghệ quản trị doanh nghiệp công ty Cổ phần Cơng nghệ SAVIS quan tâm có giải pháp đảm bảo an toàn bảo mật HTTT Tuy nhiên, giải pháp an tồn bảo mật cơng ty chưa đồng bộ, số lỗ hổng dẫn đến nguy bị công thông tin Với đề tài “Giải pháp đảm bảo an toàn Cơ sở liệu công ty Cổ phần Công nghệ SAVIS”, em đưa sở lý luận an tồn bảo mật cho liệu, thơng tin cơng ty, trình bày thực trạng an toàn bảo mật cho dữu liệu Cơng ty Cổ phần Cơng nghệ SAVIS Từ đề xuất số giải pháp cần thiết phù hợp với công ty thời gian Tuy nhiên, hạn chế mặt kiến thức thời gian nên nghiên cứu em nhiều thiết sót Kính mong thầy giáo, giáo góp ý chỉnh sửa, bổ sung cho khóa luận em hồn chỉnh Một lần nữa, em xin chân thành cảm ơn Công ty Cổ phần Công nghệ SAVIS, cảm ơn thầy Cù Nguyên Giáp giúp đỡ tận tình tạo điều kiện thuận lợi để em hồn thành tốt khóa luận tốt nghiệp 42 TÀI LIỆU KHAM KHẢO [1] Bộ môn Công nghệ thông tin (2010), Bài giảng Hệ thống thơng tin quản lí, Trường ĐH Thương Mại [2] Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống Kê [3] Nguyễn Dương Hùng (2013), Các vấn đề bảo mật an toàn liệu ngân hàng thương mại sử dụng cơng nghệ điện tốn đám mây [4] William Stallings (2010), Cryptography and Network Security: Principles and Practice, Pearson Education [5] William Stallings (2010), Cryptography and Network Security: Principles and Practice, Pearson Education [7] http://antoanthongtin.vn PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT TÌNH HÌNH ỨNG DỤNG CNTT TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS A THÔNG TIN CHUNG VỀ DOANH NGHIỆP Tên doanh nghiệp: Địa trụ sở chính: Thơng tin liên hệ người điền phiếu: Họ tên: …………………… Chức vụ: …………………………… Phòng: Điện thoại: Email: Năm thành lập doanh nghiệp: Ngành nghề kinh doanh: ……………………………………………………… Số lượng nhân viên  Dưới 100 người  Từ 100 – 200 người  Từ 200 – 500 người  Trên 500 người Vốn điều lệ (VND)  Dưới tỷ  Từ 1-5 tỷ  Từ 5- 10 tỷ  Từ 10- 50 tỷ  Từ 50- 200 tỷ  Trên 200 tỷ Loại hình doanh nghiệp theo hình thức sở hữu: (chỉ đánh dấu ơ)  Cổ phần  Công ty hợp danh  Doanh nghiệp liên doanh với nước  Doanh nghiệp tư nhân  Đầu tư nước  Nhà nước  Trách nhiệm hữu hạn  Khác (Xin nêu rõ) …………………………………………………… Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác B HẠ TẦNG KĨ THUẬT CNTT TRONG CƠNG TY Tổng số máy tính: Tổng máy chủ: … (cái) Tổng số máy để bàn: …(cái) Tổng số máy xách tay: …(cái) Số lượng máy in: … (cái) Số lượng máy chiếu: … (cái) Kết nối mạng nội bộ:  Có  Khơng Kết nối Internet:  Có  Khơng Nếu có số máy tính kết nối mạng là?  20%  30%  50%  100% Theo anh/chị phòng ban cơng ty có trang bị đầy đủ máy tính thiết bị công nghệ thông tin phục vụ cho hoạt động sản xuất kinh doanh không?  Rất đầy đủ  Khá đầy đủ  Đầy đủ  Không Đánh giá tốc độ xử lý liệu máy tính  Tốt  Trung bình  Chậm Mạng cục cơng ty (LAN) có hệ thống an ninh mạng chưa? (tường lửa, phòng chống virus, bảo mật, v.v…)  Đã có  Chưa có Những phần mềm cơng ty sử dụng có quyền khơng?  Có quyền  Khơng có quyền  Không biết Công ty sử dụng phần mềm nào?  Phần mềm MS Office  Phần mềm kế toán  Phần mềm quản lý nhân  Phần mềm quản lý dự án  Phần mềm quản lý khách hàng Công ty sử dụng mạng máy tính chủ yếu cho cơng việc gì?  Trao đổi thư điện tử  Thực công việc  Tin học văn phòng  Giới thiệu sản phẩm cơng ty  Mục đích sử dụng khác (nêu cụ thể): ………………………………………… Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng tơi cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác 10 Mức độ quan tâm lãnh đạo ứng dụng CNTT hoạt động công ty?  Không quan tâm  Khá quan tâm  Ít quan tâm 11 Có chiến lược ứng dụng CNTT hoạt động kinh doanh doanh nghiệp khơng?  Có  Khơng 12 Các ứng dụng triển khai doanh nghiệp  Quản lý văn điều hành công việc  Tin học văn phòng  Quản lý tài chính- kế tốn  Quản lý nhân - tiền lương  Quản lý tài sản  Quản lý khách hàng (CRM)  Quản lý nhà cung cấp, đối tác (CSM)  Quản lý hoạch định nguồn lực doanh nghiệp (ERP)  Thư điện tử nội  Khác (liệt kê chi tiết) …… ……………………………………… 13 Có sách riêng khuyến khích ứng dụng CNTT doanh nghiệp khơng?  Có  Khơng 14 Thị trường chiến lược mà công ty hướng đến  Trong nước  Ngồi nước C CƠ SỞ NHÂN LỰC CNTT Cơng ty có cán chun trách, phòng ban chun trách CNTT khơng?  Có  Khơng Trình độ nhân viên công ty chủ yếu  Sau đại học  Đại học  Cao đẳng  Phổ thơng Cơng ty có hình thức đào tạo CNTT cho nhân viên?  Mở lớp đào tạo  Gửi nhân viên học  Đào tạo chỗ theo nhu cầu công việc  Không đào tạo Nhu cầu nguồn nhân lực CNTT ?  Khơng có nhu cầu  Bình thường  Nhu cầu lớn  Khác (nêu cụ thể): ……………………………………………………… Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác D VỀ HTTT VÀ CSDL CỦA CƠNG TY Hệ thống thơng tin quản lý mà doanh nghiệp bạn sử dụng (được tick chọn nhiều)  Phần mềm quản lý doanh nghiệp ERP  Phần mềm quản lý quan hệ khách hàng CRM  Hệ thống khác (Mô tả) ……………………………………………………… Đánh giá bạn hệ thống thông tin mà doanh nghiệp sử dụng:  Rất tốt  Khá tốt  Tốt  Không tốt Đánh giá mức độ an tồn bảo mật hệ mạng cơng ty?  Rất an toàn  Tương đối an toàn  An tồn  Khơng an tồn Dữ liệu tổ chức nào?  Trong CSDL  Tập tin riêng rẽ Doanh nghiệp bạn sử dụng hệ quản trị CSDL nào? (có thể chọn nhiều mục)  Microsoft Access  SQL Server  My SQL  Foxpro  Oracle  PostgreSQL  Informix  DB2  Khác (Mô tả) …………………………………………………………… Hệ quản trị CSDL cơng ty bạn sử dụng có quyền hay khơng?  Có  Khơng  Khơng biết Đánh giá mức độ cần thiết việc đầu tư xây dựng phần mềm quản lý dự án công ty?  Rất cần thiết  Cần thiết  Không cần thiết Hiện doanh nghiệp bạn lưu trữ liệu cách nào?  Lưu trữ máy tính cá nhân  Lưu trữ máy chủ  Lưu trữ điện toán đám mây Khác (Mô tả) Bạn có nghĩ CSDL doanh nghiệp bạn quản trị tốt nay?  Có thể  Có thể không chắn  Tôi không nghĩ tốt  Khác 10 Tuần suất lưu liệu doanh nghiệp bạn là:  tháng/1 lần  tháng/1 lần  tháng/ lần  > tháng/ lần Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác  Khác: ……………………………………………………………………… 11 Để tiếp cận với thông tin CSDL doanh nghiệp, theo bạn việc phải có trình độ kỹ công nghệ thông tin?  Không cần thiết  Cần thiết  Đôi cần thiết  Rất cần thiết 12 Bạn đánh giá vai trò bảo mật CSDL q trình quản lí HTTT?  Rất quan trọng  Đôi quan trọng  Quan trọng  Không quan trọng 13 Đánh giá mức độ an tồn bảo mật hệ thống thơng tin công ty?  Rất tốt  Tương đối tốt  Bình thường  Khơng tốt Cảm ơn anh/chị nhiệt tình tham gia! Hà Nội, ngày tháng năm 2019 Người lập phiếu (ký ghi rõ họ tên) Tất thông tin phiếu điều tra sử dụng vào mục đích thống kê nghiên cứu Chúng cam kết không công khai thông tin mà doanh nghiệp cung cấp vào mục đích khác CÁC CÂU HỎI PHĨNG VẤN Ước tính đầu tư cho CNTT vòng năm gần đây: … (triệu đồng) đó: Đầu tư cho phần cứng chiếm: % Đầu tư cho phần mềm chiếm: ……% Đầu tư cho đào tạo CNTT chiếm: … % - Ước tính tỉ trọng chi ứng dụng CNTT tổng chi phí hoạt động thường niên? [ ] Dưới 5% [ ] Từ 5%-15% [ ] Trên 15% Cơng ty có dự định đầu tư, nâng cấp sở hạ tầng CNTT không? Đầu tư nào? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Cơng ty có phận chun trách riêng biệt CNTT HTTT khơng? (Nếu có xin thơng tin cụ thể) …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… (Nếu chưa có) Trong tương lai cơng ty có dự định xây dựng đội ngũ nhân viên chuyên biệt khơng? Nó có cần thiết với cơng ty thời điểm không? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Nếu xây dựng đội ngũ chun CNTT HTTT, cơng ty có yêu cầu nhân lực mảng cho cơng ty? …………………………………………………………………………………… …………………………………………………………………………………… Những khó khăn gặp phải q trình quản trị hệ thống thơng tin cơng ty? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… Anh nói chút thông tin chiến lược kinh doanh phát triển công ty năm tới không? …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… ... mật CSDL Công ty Cổ phần Công nghệ SAVIS Chương 3: Đề xuất giải pháp đảm bảo an tồn CSDL cơng ty Cổ phần Cơng nghệ SAVIS CHƯƠNG I CƠ SỞ LÝ LUẬN VỀ AN TỒN BẢO MẬT CSDL TRONG HỆ THỐNG THƠNG TIN Một... TRẠNG AN TỒN VÀ BẢO MẬT CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS Tổng quan Công ty Cổ phần Công nghệ SAVIS 1.1 Giới thiệu công ty 1.1.1 Sơ lược công ty Tên công ty: Tên tiếng anh: Trụ sở chính: Văn. .. nghiên cứu đề tài là: 3.2 Vấn đề an toàn thông tin cho CSDL công ty Cổ phần Công nghệ SAVIS Giải pháp đảm bảo an toàn CSDL cho HTTT công ty Cổ phần Công nghệ SAVIS Phạm vi nghiên cứu đề tài Đề