TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
Trong bối cảnh toàn cầu hóa hiện nay, công nghệ thông tin đóng vai trò quan trọng trong mọi hoạt động kinh tế - xã hội, đặc biệt trong lĩnh vực kinh doanh Việc ứng dụng công nghệ thông tin giúp doanh nghiệp nắm bắt thông tin một cách chính xác và kịp thời, từ đó nâng cao hiệu quả kinh doanh và thúc đẩy sự phát triển của nền kinh tế.
Ngày nay, an toàn thông tin trở thành yếu tố sống còn cho doanh nghiệp, quyết định sự thành bại trên thị trường Dữ liệu, tài sản quý giá của mọi doanh nghiệp, luôn đối mặt với nguy cơ mất an toàn từ cả bên trong lẫn bên ngoài Đảm bảo an toàn thông tin và dữ liệu không phải là nhiệm vụ dễ dàng, đặc biệt khi công nghệ phát triển nhanh chóng và hệ thống CNTT ngày càng phức tạp, dẫn đến nhiều điểm yếu và nguy cơ tiềm ẩn.
Trong bối cảnh các nguy cơ mất an toàn thông tin ngày càng gia tăng, doanh nghiệp phải đối mặt với nhiều rủi ro như thông tin bị lộ, thay đổi, mất mát và từ chối, ảnh hưởng nghiêm trọng đến hoạt động và uy tín Do đó, việc bảo vệ an toàn thông tin, đảm bảo tính bí mật, toàn vẹn, sẵn sàng và xác thực là vô cùng cần thiết Nhiều doanh nghiệp, bao gồm Công ty cổ phần Việt Medicare, đã chú trọng triển khai các giải pháp đảm bảo an toàn thông tin nhằm bảo vệ sự sống còn của mình Nhận thức được tầm quan trọng này, tôi đã quyết định chọn đề tài “Giải pháp đảm bảo an toàn cho hệ thống thông tin” sau thời gian thực tập tại công ty.
Công ty cổ phần Việt Medicare”.
MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU
Mục tiêu nghiên cứu của đề tài là giải pháp đảm bảo an toàn cho hệ thống thông tin của công ty cổ phần Việt Medicare.
Nhiệm vụ nghiên cứu của đề tài này là:
- Đưa ra lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin.
Bài viết này trình bày và phân tích thực trạng của công ty, đồng thời đánh giá các thiếu sót và lỗ hổng trong hệ thống thông tin của doanh nghiệp Dựa trên tài liệu và phiếu điều tra, chúng tôi sẽ chỉ ra những điểm cần cải thiện để nâng cao hiệu quả hoạt động và bảo mật thông tin trong tổ chức.
Dựa trên nghiên cứu thực trạng tại công ty, bài viết đề xuất các biện pháp phòng ngừa và khắc phục nhằm ngăn chặn các nguy cơ mất an toàn thông tin, giúp bảo vệ dữ liệu và nâng cao an ninh thông tin cho doanh nghiệp.
PHƯƠNG PHÁP NGHIÊN CỨU
4.1.Phương pháp thu nhập dữ liệu
Phương pháp nghiên cứu tài liệu bao gồm việc tìm hiểu và phân tích các văn bản, tài liệu có liên quan đến đề tài nghiên cứu thông qua internet và các bài báo Quá trình này giúp tổng hợp thông tin cần thiết, cung cấp cái nhìn sâu sắc về chủ đề nghiên cứu.
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra, phỏng vấn
Bảng câu hỏi tập trung vào các hoạt động đảm bảo an toàn cho hệ thống thông tin (HTTT) tại Công ty Cổ phần Việt Medicare, nhằm đánh giá hiệu quả của những hoạt động này Các câu hỏi được thiết kế để thu thập thông tin chi tiết về quy trình bảo mật, mức độ tuân thủ các tiêu chuẩn an toàn và tác động của các biện pháp bảo vệ đối với hoạt động kinh doanh của công ty.
- Cách thức tiến hành: Bảng câu hỏi sẽ được gửi cho 10 nhân viên trong công ty để thu thập ý kiến.
Mục đích của bài viết là thu thập thông tin về hoạt động an toàn cho hệ thống thông tin (HTTT) tại công ty cổ phần Việt Medicare Qua đó, đánh giá thực trạng triển khai và đề xuất các giải pháp phù hợp nhằm nâng cao hiệu quả của các hoạt động đảm bảo an toàn HTTT trong công ty.
Phương pháp thu thập dữ liệu thứ cấp là việc sử dụng những thông tin đã được thu thập và xử lý trước đó nhằm phục vụ cho các mục tiêu khác nhau của công ty Dữ liệu thứ cấp cung cấp cái nhìn sâu sắc và hỗ trợ trong việc ra quyết định mà không cần phải tiến hành khảo sát mới.
Nguồn tài liệu bên trong bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty trong ba năm 2015, 2016 và 2017 Những tài liệu này được thu thập từ phòng kế toán, phòng nhân sự, phiếu điều tra phỏng vấn và các tài liệu thống kê khác.
Nguồn tài liệu bên ngoài được thu thập từ các công trình nghiên cứu khoa học, tạp chí, sách báo có liên quan đến đề tài nghiên cứu trong các năm trước, cùng với thông tin từ Internet.
Sau khi thu thập đầy đủ thông tin cần thiết, bước tiếp theo là phân loại sơ bộ các tài liệu Từ đó, chúng ta có thể xác định xem có cần bổ sung thêm tài liệu nào không Nếu đã đủ tài liệu, chúng ta sẽ tiến hành xử lý dữ liệu.
Phương pháp này được áp dụng trong khóa luận nhằm thu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại công ty cổ phần Việt Medicare.
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập
Phương pháp phân tích và đánh giá dữ liệu sử dụng Microsoft Office cho phép xử lý hiệu quả các số liệu thu thập từ nhiều nguồn tài liệu nội bộ Các nguồn này bao gồm báo cáo hoạt động kinh doanh của công ty từ năm 2015 đến 2017, phiếu điều tra và các tài liệu thống kê khác Việc vẽ biểu đồ minh họa giúp trực quan hóa thông tin, hỗ trợ quá trình tổng hợp và phân tích dữ liệu một cách rõ ràng và dễ hiểu.
Phương pháp phán đoán được sử dụng để dự báo và đánh giá sự phát triển của hệ thống thông tin trong công ty, cũng như tình hình an toàn thông tin trên toàn cầu và trong nước Bên cạnh đó, phương pháp này còn giúp nhận diện các nguy cơ tiềm ẩn đối với an toàn thông tin mà công ty có thể phải đối mặt.
4.2.Phương pháp xử lý số liệu
Mỗi phương pháp xử lý thông tin đều có những ưu và nhược điểm riêng, vì vậy trong nghiên cứu này, chúng tôi sẽ áp dụng các phương pháp xử lý thông tin cụ thể.
Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
SPSS là phần mềm quản lý dữ liệu và phân tích thống kê mạnh mẽ, cung cấp giao diện đồ họa thân thiện với người dùng Với các trình đơn mô tả và hộp thoại đơn giản, người dùng có thể dễ dàng thực hiện các phân tích như hồi quy, thống kê tần suất và xây dựng đồ thị Phần mềm này cho phép người dùng thu thập và phân tích số liệu định lượng từ phiếu khảo sát một cách hiệu quả.
Phương pháp định tính sử dụng Excel để phân tích dữ liệu số nhằm làm rõ các thuộc tính và bản chất của sự vật, hiện tượng Phương pháp này giúp xác định nguyên nhân của vấn đề thông qua việc tạo ra các bảng số liệu thống kê, biểu đồ và đồ thị, từ đó cung cấp cái nhìn sâu sắc hơn về các khía cạnh của dữ liệu đã thu thập.
KẾT CẤU CỦA KHÓA LUẬN
Ngoài lời cảm ơn, phần mở đầu, khóa luận gồm các chương:
CHƯƠNG 1: CHƯƠNG 1 CƠ SỞ LÝ LUẬN CỦA GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN
CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
NHỮNG KHÁI NIỆM CƠ BẢN
Thông tin là sự hiểu biết về một sự kiện hoặc hiện tượng, được thu thập thông qua các phương pháp như khảo sát, đo lường, trao đổi và nghiên cứu Theo giáo trình Hệ thống thông tin quản lý của Bộ môn Công nghệ thông tin (2010), thông tin đóng vai trò quan trọng trong việc quản lý và ra quyết định.
Hệ thống thông tin là sự kết hợp của phần cứng, phần mềm và mạng truyền thông, được thiết lập để thu thập, tái tạo, phân phối và chia sẻ dữ liệu, thông tin và tri thức Mục tiêu chính của hệ thống này là phục vụ nhu cầu của tổ chức, theo tài liệu của Bộ môn Công nghệ thông tin (2010) trong Giáo trình Hệ thống thông tin quản lí, Trường ĐH Thương Mại.
Các tổ chức có thể tận dụng hệ thống thông tin cho nhiều mục đích khác nhau, bao gồm việc cải thiện quản trị nội bộ, tạo sự thông hiểu và thống nhất trong hành động, duy trì sức mạnh tổ chức và đạt được lợi thế cạnh tranh Bên cạnh đó, hệ thống thông tin cũng giúp thu thập thông tin khách hàng, cải tiến dịch vụ và nâng cao sức cạnh tranh, từ đó thúc đẩy sự phát triển bền vững.
Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan.
Dữ liệu ban đầu thường là những giá trị thô và chưa có ý nghĩa rõ ràng đối với người sử dụng Chúng có thể tồn tại dưới dạng các tập hợp giá trị mà không có sự liên kết giữa chúng Tuy nhiên, thông qua quá trình xử lý, phân tích và đánh giá, dữ liệu sẽ được chuyển hóa thành thông tin hữu ích, phục vụ cho nhiều mục đích khác nhau của con người.
Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh.
Cơ sở dữ liệu (CSDL) là một tập hợp dữ liệu có tổ chức, được lưu trữ trên các phương tiện như đĩa từ và băng từ CSDL được thiết kế để đáp ứng nhu cầu khai thác thông tin đồng thời từ nhiều người dùng và nhiều ứng dụng khác nhau.
MỘT SỐ LÝ THUYẾT VỀ AN TOÀN HỆ THỐNG THÔNG TIN
1.2.1 Khái niệm về an toàn thông tin
Theo từ điển Tiếng Việt, an toàn có nghĩa là điều kiện bảo đảm để không xảy ra sự cố hay nguy hiểm.
An toàn thông tin là lĩnh vực rộng lớn nhằm bảo vệ tài sản thông tin thông qua các hoạt động, sản phẩm và quy trình ngăn chặn truy cập trái phép, hiệu chỉnh hoặc xóa thông tin Nó bao gồm hai khía cạnh chính: an toàn vật lý và an toàn kỹ thuật.
- Mục tiêu cơ bản của an toàn thông tin + Đảm bảo tính bí mật :là thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép.
+ Đảm bảo tính toàn vẹn: là bảo vệ sự chính xác hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.
+ Đảm bảo tính sẵn sàng: là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần.
Một hệ thống thông tin được xem là an toàn khi đảm bảo rằng thông tin không bị hư hại, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi những người không có quyền truy cập.
Một hệ thống thông tin an toàn sẽ đảm bảo rằng các sự cố không làm gián đoạn hoạt động chính của nó Những sự cố này sẽ được khắc phục kịp thời, giúp giảm thiểu thiệt hại cho chủ sở hữu và duy trì mức độ an toàn tối ưu.
Khái niệm HTTT an toàn :
+ Đảm bảo an toàn thông tin + Đảm bảo hệ thống có khả năng hoạt động liên tục + Đảm bảo khả năng phục hồi
Các vùng cần đảm bảo an toàn thông tin:
+ Vùng người dùng + Vùng máy trạm + Vùng mạng LAN + Vùng LAN-to-WAN + Vùng WAN
+ Vùng truy cập từ xa + Vùng hệ thống/ứng dụng
1.2.2 Vai trò an toàn thông tin trong doanh nghiệp
Thông tin và dữ liệu là yếu tố sống còn đối với tổ chức, doanh nghiệp và cá nhân, ảnh hưởng trực tiếp đến sự tồn vong của họ Do đó, việc bảo đảm an toàn cho thông tin và dữ liệu trở nên cần thiết hơn bao giờ hết, đặc biệt trong bối cảnh hệ thống thông tin ngày càng mở rộng và phức tạp, tiềm ẩn nhiều nguy cơ không lường trước.
An toàn bảo mật thông tin là yếu tố then chốt cho sự phát triển bền vững của doanh nghiệp Thông tin được xem như tài sản quý giá, đóng vai trò quyết định trong việc bảo vệ lợi ích và uy tín của tổ chức.
Rủi ro thông tin có thể dẫn đến mất mát về tài chính, tài sản và nhân lực, đồng thời gây ảnh hưởng tiêu cực đến hoạt động sản xuất kinh doanh của doanh nghiệp.
Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng để doanh nghiệp phát triển.
1.2.3 Nguy cơ mất an toàn thông tin
Theo từ điển Tiếng Việt nguy cơ có nghĩa là tình thế có thể gây ra những biến cố lớn rất tai hại.
Nguy cơ mất an toàn thông tin là những sự cố có thể xảy ra trong quá trình hoạt động kinh doanh của doanh nghiệp Những sự cố này không chỉ gây thiệt hại về tài sản và con người mà còn làm tổn hại đến uy tín của doanh nghiệp Hệ quả nghiêm trọng từ việc mất an toàn thông tin có thể ảnh hưởng tiêu cực đến sự phát triển bền vững của doanh nghiệp.
Các nguy cơ mất an toàn thông tin trong HTTT:
Nguy cơ mất an toàn thông tin (ATTT) ngẫu nhiên thường xuất phát từ các hiện tượng thiên nhiên như lũ lụt, sóng thần, động đất và hỏa hoạn Những nguy cơ này xảy ra bất ngờ và khó dự đoán, tuy nhiên, chúng không phải là nguyên nhân chính dẫn đến việc mất ATTT.
- Nguy cơ có chủ định: Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý.
Nguy cơ mất mát, hỏng hóc hoặc sửa đổi thông tin là một vấn đề nghiêm trọng mà người dùng cần lưu ý Việc vô tình lộ mật khẩu hoặc không tuân thủ quy trình bảo mật có thể tạo cơ hội cho kẻ xấu chiếm đoạt và làm hỏng dữ liệu Những kẻ tấn công có thể sử dụng công cụ và kỹ thuật tinh vi để thay đổi nội dung thông tin, gây ra sai lệch cho dữ liệu của chủ sở hữu hợp pháp.
Nguy cơ bị tấn công bởi các phần mềm độc hại ngày càng gia tăng, với nhiều phương pháp xâm nhập khác nhau như virus, sâu máy tính (Worm) và phần mềm gián điệp (Spyware) Virus là chương trình có khả năng tự sao chép và lây lan qua các đĩa và file mà người dùng không hay biết, thường gây ra lỗi và hủy hoại dữ liệu Chúng có kích thước nhỏ và tính chất lây lan từ chương trình này sang chương trình khác, từ máy tính này sang máy tính khác Worm là loại virus lây lan qua mạng, khác với virus truyền thống chỉ lây nhiễm trong một máy tính Bên cạnh đó, Trojan, Spyware và Adware là những phần mềm gián điệp không lây lan như virus, thường được cài đặt thông qua lừa đảo và có thể thu thập thông tin hoặc hiển thị quảng cáo không mong muốn cho nạn nhân.
Nguy cơ mất an toàn thông tin về khía cạnh vật lý bao gồm các yếu tố như mất điện, nhiệt độ và độ ẩm không ổn định, hư hỏng thiết bị phần cứng, cùng với sự đe dọa từ nhân viên xấu bên trong và kẻ trộm bên ngoài.
Nguy cơ mất an toàn thông tin trong hạ tầng CNTT doanh nghiệp ngày càng gia tăng do các cuộc tấn công từ đối tượng xấu sử dụng công cụ trái phép, như tấn công từ chối dịch vụ (DDoS) nhằm vào website công ty và các cuộc tấn công có chủ đích Hơn nữa, trong quá trình truyền tải và giao dịch thông tin qua internet, rủi ro về mất an toàn thông tin cũng rất cao, khi kẻ xấu có thể chặn đường truyền, thay đổi hoặc phá hoại nội dung thông tin trước khi gửi đến người nhận.
Nguy cơ mất an toàn thông tin từ việc sử dụng e-mail ngày càng gia tăng, đặc biệt là các cuộc tấn công có chủ đích thông qua thư điện tử giả mạo Những email này thường được thiết kế giống như thư từ bạn bè hoặc đồng nghiệp, kèm theo tập tin đính kèm có khả năng lây nhiễm virus vào thiết bị Các cuộc tấn công này nhắm vào cá nhân hoặc tổ chức cụ thể, với mục đích đánh cắp mật khẩu hoặc lây nhiễm phần mềm độc hại Tập tin đính kèm có thể là tài liệu Word hoặc bảng tính chứa macro độc hại, hoặc đơn giản là một liên kết dẫn đến website giả mạo.
Lỗ hổng bảo mật, thường do lỗi lập trình hoặc sự cố phần mềm, có thể tồn tại trong các thành phần của hệ điều hành hoặc trong phần mềm cài đặt trên máy tính Hiện nay, số lượng lỗ hổng bảo mật ngày càng gia tăng, xuất hiện trong các hệ điều hành, máy chủ web và nhiều phần mềm khác, tạo ra nguy cơ xâm nhập cao cho người dùng.
1.2.4 Phòng tránh mất an toàn thông tin trong doanh nghiệp Phòng tránh mất an toàn thông tin là các biện pháp, hình thức bảo vệ thông tin, bảo vệ dữ liệu giúp cho doanh nghiệp, tổ chức bảo vệ được dữ liệu Giúp doanh nghiệp không bị mất, thất thoát dữ liệu, đảm bảo hoạt động của doanh nghiệp được an toàn.
Phòng tránh mất an thông tin giúp cho doanh nghiệp bảo vệ được tài sản nguồn nhân lực cho mình, bảo vệ được uy tín của doanh nghiệp
Các biện pháp phòng tránh mất an toàn thông tin trong doanh nghiệp:
KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA VẤN ĐỀ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
TỔNG QUAN VỀ CÔNG TY
2.1.1 Giới thiệu chung về công ty cổ phần Việt Medicare
Tên công ty: Công ty Cổ phần Việt Medicare
Địa chỉ: Số 7, Ngõ 1160, Đường Láng, Đống Đa, Hà Nội.
Giấy đăng ký kinh doanh số: 0106419094 – ngày cấp: 10/01/2014
Vốn điều lệ: 16.000.000.000 đồng ( Mười sáu tỷ đồng )
Người đại diện: Ngô Quang Trung
Công ty cổ phần chuyên cung cấp sản phẩm chăm sóc sức khỏe và làm đẹp từ thảo dược Đông Y, hoạt động chủ yếu trong lĩnh vực bán lẻ trực tuyến.
Ngành nghề kinh doanh chính: Bán các sản phẩm chăm sóc và làm đẹp cho phụ nữ sau sinh.
Hình 2.1: Logo công ty Việt Medicare
2.1.2 Bộ máy tổ chức của công ty
Sơ đồ tổ chức của doanh nghiệp
Công ty Việt Medicare có cơ cấu tổ chức theo mô hình chức năng, với giám đốc điều hành đứng đầu Dưới sự lãnh đạo của giám đốc, các phòng ban được phân chia theo chức năng chuyên biệt, bao gồm bộ phận kế toán, bộ phận Marketing, bộ phận Kinh doanh và bộ phận Kho hàng Việc sắp xếp hợp lý bộ máy quản lý và tổ chức lao động là rất quan trọng nhằm nâng cao hiệu quả sản xuất và tận dụng tối đa năng lực của các bộ phận.
Chức năng nhiệm vụ của từng phòng ban
Ông Ngô Quang Trung là người sáng lập và giám đốc điều hành của công ty, giữ vai trò lãnh đạo cao nhất Ông đảm nhận chức năng định hướng phát triển và hoạch định các chiến lược dài hạn, đồng thời quản lý toàn bộ hoạt động của các phòng ban trong công ty.
Bộ phận Kế toán chịu trách nhiệm thực hiện công tác kế toán tài chính cho hoạt động kinh doanh và tài chính văn phòng của công ty, đồng thời tổ chức luân chuyển vốn hiệu quả Họ cũng tiến hành kiểm tra công tác kế toán, quyết toán, và giám sát việc sử dụng vốn cũng như tài sản của công ty Ngoài ra, bộ phận này còn quản lý nhân sự tại các phòng ban trong công ty.
Bộ phận Kỹ thuật và Marketing đóng vai trò quan trọng trong việc mở rộng thị trường và thực hiện các hoạt động marketing cho công ty Họ tiến hành điều tra và nghiên cứu nhu cầu của khách hàng cũng như thị trường, từ đó phát triển thương hiệu và xúc tiến quảng bá sản phẩm, dịch vụ nhằm đáp ứng nhu cầu mới của khách hàng.
Bộ phận kinh doanh phối hợp chặt chẽ với bộ phận marketing để xây dựng kế hoạch kinh doanh hiệu quả, thông qua việc cập nhật các chiến lược marketing phát triển mới Việc này không chỉ giúp tối ưu hóa quy trình giao dịch mà còn nâng cao chất lượng dịch vụ chăm sóc khách hàng trực tuyến.
- Bộ phận kho hàng: Kết hợp với bộ phận kế toán quản lý công việc nhập hàng, đồng thời quản lý kho, đóng gói sản phẩm và giao hàng.
Hiện tại toàn bộ công ty Cổ phần Việt Medicare có 20 nhân viên
Bảng 2.1– Cơ cấu nhân sự công ty Việt Medicare
STT Bộ phận Số lượng
2 Kế toán – Tài chính 1 Đại học (100%)
3 Kinh doanh 5 Đại học (80% ), Cao đẳng (20%)
6 Thực tập và cộng tác viên 8 Đại học (100%)
( Nguồn: Bộ phận nhân sự )
Công ty Vietmedicare tự hào sở hữu đội ngũ cán bộ chuyên nghiệp, giàu kinh nghiệm và nhiệt huyết Nhân viên tại đây luôn thể hiện tinh thần học hỏi và sáng tạo không ngừng Ngoài ra, công ty còn tạo điều kiện cho sinh viên từ các trường đại học, bao gồm 2 sinh viên từ Đại học Thương Mại, tham gia làm việc và thực tập.
Công ty cam kết đầu tư vào đào tạo và phát triển nhân viên thông qua các lớp tập huấn nâng cao kỹ năng giao tiếp và xử lý tình huống Bên cạnh đó, công ty cũng tạo điều kiện cho sinh viên chưa tốt nghiệp có cơ hội thực tập và trải nghiệm làm việc thực tế.
2.1.3 Tình hình hoạt động kinh doanh của công ty trong những năm gần đây
Bảng 2.2: Kết quả hoạt động kinh doanh của công ty cổ phẩn Việt Medicare từ năm 2015 – 2017.
(Nguồn: Bộ phận kế toán – tài chính )
STT Chi tiêu Năm 2015 Năm 2016 Năm 2017
Theo báo cáo kết quả kinh doanh của công ty Cổ phần Việt Medicare trong 3 năm qua, công ty đang có sự chuyển biến tích cực rõ rệt.
Doanh thu của công ty đã liên tục tăng trưởng qua các năm, với tốc độ tăng trưởng trung bình đạt khoảng 1,6 lần vào năm 2016 so với năm 2015 và 1,2 lần vào năm 2017 so với năm 2015 Đặc biệt, lợi nhuận năm 2016 đã tăng khoảng 170% so với năm trước đó.
2015, lợi nhuận năm 2017 tăng khoảng 130% so với năm 2016, thành quả này do công ty đã đẩy mạnh các hoạt động quảng bá sản phẩm và truyền thông.
Lợi nhuận sau thuế của công ty cổ phần Việt Medicare đã tăng lên hơn 1 tỷ VNĐ trong năm 2016 so với năm 2015, và 800 triệu VNĐ trong năm 2017 so với năm 2016 Mặc dù mức lợi nhuận hiện tại không cao bằng năm trước, nhưng sự chuyển biến tích cực này cho thấy công ty đang nỗ lực phát triển và từng bước khẳng định vị thế trên thị trường.
Lĩnh vực kinh doanh của công ty.
Lĩnh vực kinh doanh: Bán lẻ trực tuyến các sản phẩm chăm sóc sức khỏe và sắc đẹp cho người phụ nữ sau sinh.
Sản phẩm: Sản phẩm làm từ thảo dược đông y.
Công ty Việt Medicare chuyên cung cấp hai loại sản phẩm chính: sản phẩm làm đẹp cho phụ nữ sau sinh và sản phẩm giảm eo hiệu quả Với sự đa dạng trong các mặt hàng, công ty đáp ứng tốt nhu cầu của khách hàng Giá cả sản phẩm được niêm yết rõ ràng trên các kênh bán hàng trực tuyến như website, Facebook và Shopee.
Thị trường kinh doanh chính
Vietmedicare tập trung vào thị trường nội địa, nhắm đến đối tượng khách hàng chủ yếu là phụ nữ từ 25 đến 40 tuổi Ngoài ra, công ty còn phục vụ nhu cầu làm đẹp cho những khách hàng ngoài độ tuổi này, bao gồm cả những người chưa sinh con nhưng mong muốn giảm vòng eo, cũng như những khách hàng có nhu cầu chăm sóc và làm đẹp cho cơ thể.
2.1.4 Cơ sở hạ tầng của công ty
- Trang thiết bị trong trong đơn vị (phòng ban/bộ phận)
Bảng 2.3 Trang thiết bị phần cứng STT Tên trang thiết bị Số lượng hiện tại
1 Máy tính để bàn 15 Tốt
2 Máy tính xách tay 3 Tốt
Tất cả các trang thiết bị trong công ty được cung cấp đầy đủ và đảm bảo độ chính xác trong quá trình sử dụng Mỗi nhân viên được trang bị máy tính để bàn cá nhân với cấu hình phù hợp với công việc của họ Ngoài ra, các bộ phận cũng có các thiết bị hỗ trợ như máy in, fax, máy ảnh và máy photocopy, phục vụ cho các công tác quản lý, bán hàng và thiết kế đồ họa.
Hệ thống máy chủ: Máy chủ ở công ty có tốc độ đường truyền cho phép tối đa là
Công ty triển khai mạng nội bộ LAN với tốc độ 10Gbps để truyền thông dữ liệu giữa các thiết bị đầu cuối như máy tính, máy in và máy chủ Hệ thống kết nối này bao gồm cả phương thức có dây và không dây, đảm bảo hiệu suất và linh hoạt trong việc truyền tải thông tin.
Hệ thống máy trạm: Công ty trang bị 15 máy tính để bàn nhãn hiệuDell
ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
ĐỊNH HƯỚNG PHÁT TRIỂN AN TOÀN TRONG HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN VIỆT MEDICARE
Công nghệ thông tin đang phát triển mạnh mẽ, dẫn đến nhu cầu sử dụng máy tính ngày càng tăng Trước đây, việc lưu trữ thông tin chủ yếu dựa vào sổ sách thủ công, nhưng hiện nay, thông tin về nhân viên, khách hàng và dữ liệu công ty được quản lý trong các cơ sở dữ liệu (CSDL) Công ty Cổ phần cấp Việt Medicare cũng áp dụng hệ quản trị CSDL để lưu trữ và quản lý tất cả thông tin của mình một cách hiệu quả.
Khi nhiều người cùng truy cập vào cơ sở dữ liệu (CSDL) với các mục đích khác nhau, rủi ro mất dữ liệu tăng cao do quản lý tập trung Để đảm bảo an toàn và bảo mật cho CSDL, cần áp dụng các giải pháp từ ba nhóm chính: phần cứng, phần mềm và con người.
Theo ông Ngô Quang Trung– Giám đốc Công ty cổ phần Việt Medicare, công ty định hướng phát triển an toàn cho HTTT với các mục tiêu cụ thể:
Đảm bảo an toàn cho hệ thống thông tin và dữ liệu là rất quan trọng, bao gồm thông tin khách hàng, sản phẩm, đối tác liên kết và hoạt động nội bộ của công ty Việc này không chỉ giúp tăng cường khả năng cạnh tranh mà còn nâng cao uy tín của công ty trên thị trường.
Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của công ty, giúp giảm bớt chi phí hoạt động cho công ty.
Hoàn thiện hệ thống chữ ký số và xác thực chứng chỉ số.
Tổ chức các chương trình đào tạo cho nhân viên nhằm nâng cao kiến thức an toàn HTTT trong doanh nghiệp.
Dựa trên định hướng của ban lãnh đạo Công ty cổ phần Việt Medicare về hệ thống thông tin trong tương lai, khóa luận này sẽ đề xuất một số giải pháp nhằm đạt được các mục tiêu mà Công ty đã đặt ra.
GIẢI PHÁP NÂNG CAO AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THÔNG
Trong bối cảnh công nghệ phát triển mạnh mẽ, việc sử dụng Internet trở thành điều tất yếu đối với mọi doanh nghiệp, nhưng cũng đồng nghĩa với việc gia tăng nguy cơ xâm nhập và đánh cắp dữ liệu Dữ liệu cá nhân và doanh nghiệp là tài sản quý giá, quyết định sự sống còn của tổ chức Công ty Cổ phần Việt Medicare nhận thức rõ điều này và cần triển khai các giải pháp bảo mật hiệu quả để đảm bảo hệ thống máy tính của khách hàng luôn được bảo vệ an toàn trước những mối đe dọa từ kẻ xấu.
3.2.1 Giải pháp đầu tư trang thiết bị phần cứng 3.2.1.1 Nâng cấp phần cứng
Công ty có 15 máy tính, tất cả đều kết nối Internet và mạng LAN, được kiểm soát bởi máy chủ tại phòng công nghệ thông tin Để đảm bảo website và hệ thống email hoạt động liên tục 24/24, máy chủ là phần thiết yếu trong hệ thống thông tin của doanh nghiệp Việc sở hữu máy chủ với thời gian hoạt động lâu dài và tốc độ xử lý nhanh chóng giúp tối ưu hóa khả năng quản lý thông tin, đồng thời giảm thiểu nguy cơ mất cắp dữ liệu và hạn chế các cuộc tấn công mạng cũng như virus backdoor.
Mức yêu cầu tối thiểu của phần cứng đặt ra đối với máy chủ và máy tính cá nhân người dùng được đề suất như sau:
+ Đối với máy chủ phần mềm:
Máy chủ là máy PC có cấu hình như sau
CPU Core 2 duo 2.8 GHz hoặc mạnh hơn
Software Os: Windowns,Database : MySQL 5.1.x or SQL server 2008 + Đối với máy tính cá nhân người dùng:
Máy người sử dụng hệ thống
CPU Intel hoặc mạnh hơn
3.2.1.2 Giải pháp bảo vệ bằng tường lửa phần cứng (FireWall)
Tường lửa (Firewall) là thiết bị hoặc phần mềm hoạt động như một rào chắn giữa mạng nội bộ và mạng bên ngoài, chẳng hạn như Internet Nó có chức năng kiểm soát lưu lượng dữ liệu ra vào giữa hai mạng này Nếu không có tường lửa, lưu lượng truy cập mạng nội bộ sẽ không được điều tiết, trong khi với sự hiện diện của tường lửa, lưu lượng sẽ được quản lý theo các thiết lập đã định sẵn.
Firewall phần cứng là những firewall được tích hợp sẵn trên các phần cứng chuyên dụng, thiết kế dành riêng cho firewall
Hình 3.1: Tường lửa cho hệ thống mạng Firewall của Cisco:
Sản phẩm tường lửa của Cisco là giải pháp lý tưởng cho doanh nghiệp nhỏ, văn phòng chi nhánh và doanh nghiệp từ xa, cung cấp tường lửa đẳng cấp thế giới và bảo mật truyền thông với chi phí hợp lý Ví dụ, công ty Việt Medicare có thể triển khai tường lửa Cisco ASA kết hợp với dịch vụ FirePOWER, giúp nhận biết ngữ cảnh và tự động đánh giá nguy cơ an ninh Bằng cách sử dụng tường lửa Cisco ASA 5500 Series cùng với hệ thống Ngăn chặn Xâm nhập thế hệ mới (NGIPS) và chức năng Đối phó với Mã độc Tiên tiến (AMP) từ Sourcefire, Cisco mang đến giải pháp bảo vệ toàn diện cho mạng lưới doanh nghiệp ở mọi giai đoạn tấn công.
Cisco ASA với FirePOWER Services là tường lửa thế hệ mới, tập trung vào an ninh và cung cấp bảo vệ đa lớp vượt trội Sản phẩm này mở rộng khả năng so với các giải pháp NGFW thông thường, cung cấp thông tin và phân tích liên tục để phát hiện các nguy cơ an ninh phức tạp Nó hỗ trợ tự động hóa phản ứng với cả mã độc đã biết và mới, cung cấp IoC toàn diện để đẩy nhanh điều tra và khắc phục Hơn nữa, Cisco ASA giúp xác định phạm vi đối phó sự cố tích hợp và tự động cập nhật chính sách phát hiện nguy cơ an ninh.
Cisco cung cấp cho khách hàng tùy chọn mua thiết bị firewall ASA mới kèm theo giấy phép FirePOWER, hoặc cho những khách hàng đã sở hữu các firewall ASA 5500-X và 5585-X series, có thể mua thêm giấy phép FirePOWER để mở rộng hệ thống Việc sử dụng một môi trường cấu hình chung giúp đơn giản hóa quản lý và giảm chi phí đào tạo, trong khi phần cứng chung của sản phẩm này cũng giúp giảm chi phí dự phòng Hiện tại, Cisco đang nắm giữ khoảng 41% thị phần sản phẩm firewall trên thị trường.
3.2.1.3 Giao thức bảo mật đường truyền
Trong an toàn thông tin thì đảm bảo đường truyền là một trong những vấn đề khá quan tâm.
Dưới đây là một số giao thức bảo mật đường truyền cụ thể:
- Giao thức WEP- Wired Equivalent Privacy
WEP được thiết kế để cung cấp bảo mật cho mạng không dây tương đương với mạng có dây truyền thống Bằng cách sử dụng thuật toán mã hóa đối xứng RC4, WEP bảo vệ dữ liệu trên mạng không dây Thuật toán RC4 cho phép chiều dài khóa thay đổi, với khả năng lên đến 256 bit Hiện tại, hầu hết các thiết bị không dây hỗ trợ WEP với ba tùy chọn chiều dài khóa: 40 bit, 64 bit và 128 bit.
WEP sử dụng thuật toán RC4 với phương thức mã hóa dòng, yêu cầu một cơ chế để đảm bảo rằng hai dữ liệu giống nhau sẽ không cho kết quả mã hóa giống nhau Điều này rất quan trọng để hạn chế khả năng suy đoán khóa của Hacker Tuy nhiên, việc sử dụng RC4 cùng với giá trị Initialization Vector (IV) có thể dẫn đến vấn đề va chạm, dễ bị phát hiện và bẻ khóa WEP, đặc biệt là khi tấn công thụ động ngày càng phát triển Giải pháp tối ưu cho WEP là kết hợp nó với các biện pháp bảo mật khác, như sử dụng khóa WEP có độ dài 128 bit, nhằm tăng cường bảo mật và làm khó khăn hơn cho Hacker trong việc phân tích IV, từ đó kéo dài thời gian giải mã khóa WEP.
SSL là giao thức đa mục đích, được thiết kế để mã hóa thông tin giữa hai chương trình ứng dụng qua cổng 443 Được xây dựng trên tầng giao vận của mô hình TCP/IP, SSL cho phép bất kỳ ứng dụng mạng nào sử dụng mô hình này có thể cấu hình để áp dụng giao thức SSL, đảm bảo an toàn cho dữ liệu truyền tải.
SSL (Secure Sockets Layer) là công nghệ bảo mật cho phép truyền tải thông tin an toàn qua mạng, được sử dụng rộng rãi trên hàng triệu website toàn cầu Được phát triển bởi Netscape, SSL bảo vệ dữ liệu bằng cách mã hóa thông tin giữa máy chủ và trình duyệt Tổ chức IETF đã chuẩn hóa SSL và đổi tên thành TLS (Transport Layer Security), nhưng TLS chỉ là phiên bản mới của SSL, với TSL 1.0 tương đương SSL 3.1 SSL vẫn là thuật ngữ phổ biến hơn để đảm bảo an toàn cho thông tin nhạy cảm trên Internet và các mạng TCP/IP thông qua các yếu tố bảo mật.
Để đảm bảo tính an toàn trong kết nối, việc xác thực trang web là rất quan trọng, nhằm đảm bảo rằng bạn đang làm việc với một nguồn tin cậy Đồng thời, các trang web cũng cần thực hiện kiểm tra tính xác thực của người dùng để bảo vệ thông tin và dữ liệu của họ.
Mã hoá thông tin là biện pháp quan trọng để bảo vệ dữ liệu khỏi việc truy cập trái phép từ bên thứ ba Để ngăn chặn việc nghe trộm các thông tin nhạy cảm trong quá trình truyền tải qua Internet, dữ liệu cần được mã hoá, đảm bảo chỉ người gửi và người nhận mới có khả năng đọc được.
- Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến
Sử dụng SSL giúp các website bảo mật thông tin, xác thực và đảm bảo toàn vẹn dữ liệu cho người dùng SSL được tích hợp sẵn trong các trình duyệt và máy chủ web, cho phép người dùng truy cập các trang web một cách an toàn.
Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối.
Browser sử dụng kỹ thuật mã hóa công khai để xác minh tính hợp lệ của chứng chỉ và ID công khai của server, đảm bảo chúng được cấp phát bởi một CA đáng tin cậy Điều này rất quan trọng đối với người dùng, đặc biệt khi gửi thông tin nhạy cảm như mã số thẻ tín dụng, vì họ muốn chắc chắn rằng server nhận thông tin là đúng server mà họ dự định gửi đến.
Xác thực Client là quá trình cho phép server xác minh danh tính người dùng kết nối Server áp dụng các kỹ thuật mã hóa công khai để kiểm tra tính hợp lệ của chứng chỉ và ID công khai, đảm bảo rằng chúng được cấp bởi một CA (certificate authority) nằm trong danh sách các CA đáng tin cậy Điều này đặc biệt quan trọng đối với các nhà cung cấp dịch vụ, chẳng hạn như ngân hàng, khi họ cần gửi thông tin tài chính nhạy cảm cho khách hàng và muốn đảm bảo rằng danh tính người nhận được xác thực chính xác.
