Mục tiêu và nhiệm vụ nghiên cứu
Mục tiêu của đề tài là hệ thống hóa thông tin và kiến thức về an toàn và bảo mật thông tin trong doanh nghiệp Bài viết sẽ giải thích các khái niệm liên quan như thông tin, dữ liệu, hệ thống thông tin, an toàn thông tin và bảo mật thông tin thông qua các phương pháp thu thập dữ liệu khác nhau Đồng thời, đề tài sẽ đánh giá thực trạng vấn đề an toàn bảo mật hệ thống thông tin, từ đó nêu ra những ưu nhược điểm Để đi sâu vào nghiên cứu, cần làm rõ các nhiệm vụ nghiên cứu cụ thể.
- Làm rõ thực trạng, nguyên nhân và đưa ra giải pháp để đẩm bảo an toàn và bảo mật thông tin tại công ty Cổ Phần ITSOL
- Nghiên cứu các giải pháp đảm bảo an toàn thông tin và chứng minh nó đã được triển khai và đạt hiệu quả nhất định.
Phương pháp nghiên cứu
4.1: Phương pháp thu thập dữ liệu:
- Thu thập dữ liệu thứ cấp: qua các tài liệu báo cáo, thống kê, sách báo và các công trình nghiên cứu đã có sẵn
Thu thập dữ liệu từ bên trong công ty là một bước quan trọng, bao gồm việc sử dụng các tài liệu nội bộ như báo cáo kết quả hoạt động trong ba năm gần đây để phân tích và đánh giá hiệu suất.
+ Thu thập dữ liệu từ bên ngoài: thông qua các tài liệu, tạp chí, các công trình nghiên cứu trên thế giới
Phương pháp thu thập dữ liệu sơ cấp thông qua phỏng vấn bao gồm nội dung, cách thức thực hiện, ưu nhược điểm và mục đích áp dụng Để tiến hành phỏng vấn hiệu quả, cần chuẩn bị mẫu câu hỏi rõ ràng và xác định số lượng người hoặc đơn vị sẽ được phỏng vấn Bên cạnh đó, việc thu thập dữ liệu qua phiếu điều tra cũng là một phương pháp phổ biến, giúp thu thập thông tin một cách hệ thống và có tổ chức.
Phương pháp thu thập dữ liệu thông qua phiếu điều tra được thực hiện bằng cách sử dụng bảng câu hỏi, trong đó bao gồm các câu hỏi liên quan đến an toàn bảo mật thông tin của công ty, cũng như đánh giá thực trạng và hiệu quả của nó.
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty để thu thập ý kiến
Mục đích của bài viết này là thu thập thông tin về hoạt động An toàn Bảo mật thông tin (ATBM HTTT) tại công ty Cổ Phần ITSOL, từ đó đánh giá thực trạng triển khai và đề xuất các giải pháp hợp lý nhằm nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty.
4.2: Phương pháp xử lý dữ liệu:
Trong khóa luận, việc xử lý dữ liệu được thực hiện thông qua việc tổng hợp và áp dụng các phương pháp nghiên cứu như thống kê, phân tích, so sánh, định tính và định lượng Đối với đề tài này, tôi sẽ sử dụng những phương pháp nêu trên để đảm bảo tính chính xác và hiệu quả trong việc thu thập và phân tích thông tin.
Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng vấn, phiếu điều tra và các tài liệu thu thập được
Phương pháp này nhằm xác định tình hình an toàn và bảo mật hệ thống thông tin tại Công ty Cổ Phần ITSOL, đồng thời phân tích nguyên nhân gây ra các vấn đề liên quan đến an toàn thông tin, từ đó đề xuất các giải pháp thích hợp để cải thiện tình trạng này.
Phương pháp định lượng là một phương pháp nghiên cứu thu thập dữ liệu dưới dạng số lượng Công cụ chính thường được sử dụng trong phương pháp này là khảo sát qua phiếu điều tra.
Phương pháp so sánh nhằm đánh giá lợi ích và thiệt hại khi công ty áp dụng các giải pháp an toàn, bảo mật thông tin, so với thời điểm chưa triển khai những biện pháp này trong hoạt động kinh doanh.
Kết cấu khóa luận
Ngoài các phần như lời cảm ơn, phần mở đầu, khóa luận gồm các chương:
Chương 1 Cơ sở lý luận của vấn đề an toàn và bảo mật thông tin cho HTTT tại công ty Cổ Phần ITSOL
Chương 2 Kết quả phân tích, đánh giá thực trạng của vấn đề an toàn và bảo mật thông tin cho HTTT tại công ty Cổ Phần ITSOL
Chương 3 Định hướng phát triển và đề xuất về vấn đề an toàn và bảo mật thông tin cho HTTT tại công ty Cổ Phần ITSOL.
CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CHO HTTT TẠI CÔNG TY CỔ PHẦN ITSOL
Những khái niệm cơ bản
1.1.1: Khái niệm dữ liệu, thông tin, hệ thống, HTTT trong doanh nghiệp
Thông tin có nhiều cách hiểu khác nhau và không có định nghĩa thống nhất, ngay cả trong từ điển Sự khác biệt này xuất phát từ tính chất trừu tượng của thông tin, mà con người chỉ có thể tiếp nhận trong quá trình hoạt động Thông tin thường được hiểu là tất cả các sự kiện, ý tưởng và phán đoán giúp tăng cường sự hiểu biết Nó hình thành trong quá trình giao tiếp, khi một người nhận thông tin từ người khác, qua các phương tiện truyền thông, từ ngân hàng dữ liệu hoặc từ những hiện tượng quan sát được trong môi trường xung quanh.
Dữ liệu là chuỗi bất kỳ của một hoặc nhiều ký hiệu có ý nghĩa thông qua việc giải thích một hành động cụ thể nào đó
Dữ liệu là thông tin đã được nhập vào máy tính, mang tính trừu tượng Sau khi được tập hợp và xử lý, dữ liệu sẽ chuyển hóa thành thông tin hữu ích Cụ thể, dữ liệu có thể là điểm thi, nhiệt độ trong ngày, hoặc hình ảnh về con người và phong cảnh.
Hệ thống được định nghĩa là một tập hợp các phân tử tương tác, được sắp xếp một cách có tổ chức để thực hiện một mục tiêu cụ thể (Phân tích và thiết kế hệ thống thông tin quản lý, Đinh Thế Hiển, Nhà xuất bản Thống kê, 2002)
1.1.1.4: Khái niệm hệ thống thông tin:
Hệ thống thông tin là sự kết hợp của phần cứng, phần mềm và mạng truyền thông, được thiết lập để thu thập, tạo ra, phân phối và chia sẻ dữ liệu, thông tin và tri thức, phục vụ cho mục tiêu của tổ chức.
Hệ thống thông tin, từ khi ra đời, đã phục vụ nhiều mục đích khác nhau, đặc biệt trong quản trị nội bộ Nó giúp tăng cường sự thông hiểu, thống nhất hành động, duy trì sức mạnh tổ chức và tạo ra lợi thế cạnh tranh.
Hệ thống thông tin đóng vai trò quan trọng trong việc thu thập thông tin về khách hàng, cải thiện dịch vụ và nâng cao khả năng cạnh tranh, từ đó thúc đẩy sự phát triển bền vững.
1.1.2: Khái niệm an toàn và bảo mật thông tin trong HTTT doanh nghi ệp
1.1.2.1 Khái niệm an toàn thông tin :
Bảo vệ tài sản thông tin là một lĩnh vực rộng lớn, bao gồm các hoạt động, sản phẩm và quy trình nhằm ngăn chặn truy cập trái phép, chỉnh sửa hoặc xóa thông tin Thông tin được coi là an toàn khi không bị hư hỏng, sửa đổi, sao chép hoặc xóa bởi những người không có quyền truy cập.
1.1.2.2 Khái niệm bảo mật thông tin:
Bảo vệ thông tin dữ liệu cá nhân và tổ chức là rất quan trọng để ngăn chặn việc bị đánh cắp bởi kẻ xấu hoặc tin tặc An ninh thông tin đóng vai trò thiết yếu trong việc bảo mật an toàn thông tin Việc bảo mật hiệu quả dữ liệu sẽ giúp giảm thiểu rủi ro không đáng có cho cả cá nhân và doanh nghiệp.
Ba yếu tố không thể tách rời trong việc bảo mật từ A đến Z của thông tin là:
Tính bảo mật là yếu tố quan trọng trong bảo mật thông tin, đảm bảo rằng chỉ những cá nhân được cấp quyền mới có thể truy cập vào hệ thống Đối với các tổ chức doanh nghiệp, thông tin được coi là tài sản quý giá và cần được bảo vệ sự riêng tư Việc ngăn chặn truy cập trái phép vào hệ thống là cần thiết để giảm nguy cơ thông tin bị đánh cắp hoặc xáo trộn, từ đó bảo vệ tài sản của công ty và tránh rủi ro dẫn đến phá sản.
Tính toàn vẹn (Integrity) là yếu tố quan trọng trong việc đảm bảo thông tin luôn chính xác và đáng tin cậy Người sử dụng cần được làm việc với thông tin mà chỉ những đối tượng có quyền mới được phép xóa hoặc sửa đổi Điều này đảm bảo rằng thông tin vẫn giữ nguyên giá trị khi được lưu trữ hoặc truyền đi Kẻ tấn công không chỉ muốn đánh cắp thông tin mà còn có ý định làm giảm giá trị sử dụng của nó bằng cách tạo ra thông tin sai lệch, gây thiệt hại cho doanh nghiệp.
Tính sẵn sàng (Availability) là yếu tố then chốt trong việc đảm bảo thông tin luôn ở trạng thái sẵn sàng phục vụ, cho phép người sử dụng hợp pháp truy cập vào hệ thống bất cứ lúc nào họ có nhu cầu Đây là yêu cầu quan trọng nhất, vì thông tin chỉ thực sự hữu ích khi người sử dụng có thể tiếp cận được Nếu hai yêu cầu khác được đảm bảo nhưng tính sẵn sàng không được duy trì, thông tin sẽ trở nên vô giá trị.
Bảo mật thông tin không chỉ là việc ngăn chặn các cuộc tấn công từ hacker, mà còn bao gồm việc phòng ngừa malware để bảo vệ thông tin khỏi bị phá hủy hoặc tiết lộ.
Hình 1.1: Ba mục tiêu bảo mật thông tin
1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT trong doanh nghiệp:
Một hệ thống thông tin (HTTT) hoạt động hiệu quả phụ thuộc vào nhiều yếu tố từ môi trường bên trong và bên ngoài, bao gồm cả môi trường vĩ mô và vi mô Các yếu tố ảnh hưởng đến hiệu quả an toàn và bảo mật của HTTT bao gồm công nghệ, quy trình bảo quản và sử dụng, cũng như các mối đe dọa từ virus máy tính và yếu tố con người.
Yếu tố công nghệ đóng vai trò quan trọng trong chất lượng máy tính, vì đây là thiết bị điện tử được sản xuất trên dây chuyền công nghệ nghiêm ngặt Tuy nhiên, chất lượng máy tính vẫn bị ảnh hưởng bởi nhiều yếu tố ngẫu nhiên Giống như các sản phẩm khác, máy tính, đặc biệt là các thiết bị lưu trữ dữ liệu, cũng có tuổi thọ nhất định.
Sự tin cậy của các bộ phận máy tính giảm dần theo thời gian sử dụng Mặc dù khó nhận biết, nhưng chỉ cần một vùng nhỏ của thiết bị lưu trữ bị hỏng cũng có thể dẫn đến việc không thể truy cập thông tin đã lưu trữ.
Phân định nội dung vấn đề nghiên cứu của đề tài
1.2.1: Xác định đối tượng cần đảm bảo an toàn, bảo mật: Để đảm bảo một HTTT được an toàn và bảo mật tức là phải đảm bảo thông tin đầu vào và đầu ra của HTTT được an toàn, bảo mật Do đó đối tượng chính là cần bảo vệ thông tin cho HTTT Thông tin trong doanh nghiệp có nhiều mức độ khác nhau và mỗi mức độ lại cần có những chính sách về an toàn, bảo mật riêng Có những thông tin được đưa vào diện bảo mật ở cấp cao mà rất ít người được biết chỉ những người được cấp quyền mới có thể xem thông tin này Có những thông tin lại cần đảm bảo an toàn, bảo mật ở mức độ thấp hơn Tóm lại, doanh gnhieepj cần xác định đúng đắn các thông tin cần an toàn, bảo mật để từ đó có nhứng chính sách, công cụ hợp lý để hỗ trợ việc bảo mật thông tin cho doanh nghiệp
1.2.2: Xác định mục tiêu an toàn, bảo mật:
Mục tiêu của an toàn thông tin trong hệ thống thông tin (HTTT) là phát hiện lỗ hổng, dự báo nguy cơ tấn công và ngăn chặn các hành động gây mất an toàn từ bên trong lẫn bên ngoài Để đảm bảo một HTTT an toàn, cần phải đáp ứng ba yêu cầu chính: tính sẵn sàng, tính bảo mật và tính toàn vẹn, được gọi là mục tiêu CIA trong bảo mật Để đạt được những mục tiêu này, không chỉ cần thực hiện một số biện pháp phòng ngừa hay triển khai thiết bị, mà bảo mật phải là một chu trình liên tục và bền vững theo thời gian.
1.2.3: Các nguy cơ và hình thức tấn công HTTT trong Doanh Nghiệp:
1.2.3.1: Các nguy cơ mất ATTT trong HTTT
Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:
Nguy cơ mất an toàn thông tin (ATTT) có thể phát sinh từ các hiện tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất), hỏng hóc vật lý và mất điện Mặc dù những yếu tố này khó dự đoán và tránh khỏi, nhưng chúng không phải là nguyên nhân chính dẫn đến việc mất ATTT.
- Nguy cơ có chủ định:
Doanh nghiệp luôn lo ngại về nguy cơ mất mát, hỏng hóc hoặc sửa đổi thông tin trong các sự cố an toàn thông tin Điều này không chỉ gây thiệt hại về dữ liệu mà còn có thể dẫn đến việc tin tặc đánh cắp toàn bộ thông tin và yêu cầu nạn nhân trả tiền chuộc.
Nguy cơ bị tấn công bởi phần mềm độc hại ngày càng gia tăng, với nhiều kỹ thuật tấn công mà hacker có thể áp dụng để xâm nhập vào hệ thống Các phương thức phổ biến bao gồm phishing, virus, phần mềm gián điệp và tấn công man-in-the-middle.
Nguy cơ mất an toàn thông tin khi sử dụng email và mạng xã hội ngày càng gia tăng do các phương pháp tấn công tinh vi của hacker Chúng thường sử dụng kỹ thuật phishing, gửi file đính kèm chứa mã độc trong email và yêu cầu người dùng nhấp vào liên kết hoặc tệp Hậu quả có thể nghiêm trọng, khi nạn nhân bị yêu cầu chuyển tiền hoặc dữ liệu cá nhân bị lộ, máy tính bị nhiễm mã độc.
Nguy cơ rò rỉ thông tin cá nhân trên mạng xã hội như Facebook và YouTube là rất cao nếu người dùng không thực hiện các biện pháp bảo mật toàn diện cho tài khoản của mình.
Nguy cơ mất an toàn thông tin đối với website có thể dẫn đến nhiều thiệt hại nghiêm trọng, bao gồm việc bị chiếm quyền điều khiển, bị hack, website không thể truy cập, thay đổi giao diện, chèn link độc hại, tấn công DDoS, và mất tài liệu dự án cũng như danh sách khách hàng.
1.2.3.2: Các hình thức tấn công HTTT trong doanh nghiệp:
- Các hình thức tấn công an toàn, bảo mật HTTT trong doanh nghiệp:
Các hình thức tấn công mạng bao gồm tấn công thụ động và tấn công chủ động, trong đó tấn công thụ động liên quan đến việc lấy cắp dữ liệu, trong khi tấn công chủ động nhằm vào việc thay đổi hoặc phá hoại dữ liệu trái phép Những hành vi này vi phạm tính toàn vẹn và sẵn sàng của dữ liệu.
Tấn công thụ động là hình thức mà kẻ tấn công thu thập thông tin trên đường truyền mà không làm ảnh hưởng đến dữ liệu được truyền tải từ nguồn đến đích Loại tấn công này rất khó phát hiện và phòng ngừa, khiến nó trở thành mối nguy hiểm tiềm tàng Với sự phát triển ngày càng tăng của tấn công thụ động, việc áp dụng các biện pháp phòng tránh trước khi xảy ra tấn công là rất cần thiết.
Tấn công thụ động là phương thức đánh cắp thông tin tài khoản để sử dụng sau này, bao gồm hai hình thức chính: tấn công trực tuyến và tấn công ngoại tuyến Tấn công ngoại tuyến thường nhắm đến mục tiêu cụ thể, trong đó thủ phạm có thể truy cập trực tiếp vào tài sản của nạn nhân Chẳng hạn, khi có quyền truy cập vào máy tính của người dùng, thủ phạm có thể dễ dàng cài đặt phần mềm “key logger” hoặc trình gián điệp để thu thập dữ liệu cá nhân.
Tấn công chủ động là phương thức tấn công can thiệp vào dữ liệu, nhằm sửa đổi và thay thế thông tin, làm sai lệch đường đi của dữ liệu Đặc điểm nổi bật của loại tấn công này là khả năng chặn các gói tin trong quá trình truyền tải, khiến cho dữ liệu từ nguồn đến đích bị thay đổi Mặc dù tấn công chủ động rất nguy hiểm, nhưng nó lại dễ dàng được phát hiện.
Tấn công chủ động là một hình thức tấn công tinh vi, cho phép kẻ xấu đánh cắp và sử dụng tài khoản trong thời gian thực Hình thức tấn công này đòi hỏi chi phí cao và trình độ kỹ thuật nâng cao để thực hiện.
- Một số kiểu tấn công HTTT điển hình trong doanh nghiệp:
+ Tấn công từ chối dịch vụ (Ddos Attacks):
Cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một hành động độc hại nhằm làm gián đoạn lưu lượng truy cập bình thường của máy chủ, dịch vụ hoặc mạng bằng cách áp đảo mục tiêu với lưu lượng truy cập Internet Các mục tiêu phổ biến của DDoS bao gồm website, máy chủ trò chơi và máy chủ DNS, gây ra tình trạng chậm, gián đoạn hoặc sập hệ thống Khi bạn nhập URL vào trình duyệt, bạn gửi yêu cầu đến máy chủ để xem trang web, nhưng nếu kẻ tấn công gửi quá nhiều yêu cầu cùng lúc, máy chủ sẽ bị quá tải và không thể xử lý yêu cầu của bạn, dẫn đến việc bạn không thể truy cập trang web đó.
Hình thức tấn công Phishing, ra đời vào năm 1987, là một phương thức lừa đảo nhằm "câu" thông tin cá nhân của người dùng Từ "Phishing" là sự kết hợp giữa "Fishing" (câu cá) và "Phreaking" (trò đùa phạm pháp liên quan đến hệ thống điện thoại), phản ánh cách thức mà kẻ lừa đảo thu thập dữ liệu.
Tổng quan về vấn đề an toàn, bảo mật thông tin cho HTTT
Với sự gia tăng nhu cầu sử dụng internet của cả cá nhân và doanh nghiệp trên toàn cầu, các kẻ tấn công đang tạo ra nhiều mối đe dọa mới với khả năng gây hại lớn hơn Những mối đe dọa này chủ yếu nhằm vào việc thu lợi tài chính.
Trong những năm gần đây, nhiều nghiên cứu và bài báo khoa học đã đề xuất các giải pháp an toàn bảo mật thông tin, giúp doanh nghiệp và tổ chức bảo vệ an toàn cho dữ liệu của mình.
1.3.1: Tình hình nghiên cứu trong nước:
Nguyễn Dương Hùng từ Khoa HTTTQL – HVNH đã thực hiện nghiên cứu về "Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây" Các ngân hàng đang đối mặt với thách thức trong việc lưu trữ và quản lý khối lượng dữ liệu ngày càng tăng Công nghệ điện toán đám mây cung cấp một hạ tầng linh hoạt cho việc lưu trữ và truy xuất dữ liệu từ nhiều vị trí khác nhau, giúp giải quyết khó khăn cho hạ tầng CNTT của ngân hàng Tuy nhiên, sự xuất hiện của dữ liệu dư thừa và nguy cơ bị sửa đổi bởi người dùng trái phép dẫn đến mất mát dữ liệu và rủi ro về bảo mật thông tin, gây ảnh hưởng đến sự riêng tư của khách hàng Việc ứng dụng công nghệ điện toán đám mây trong ngân hàng là xu thế tất yếu trong thời đại CNTT phát triển mạnh mẽ, nhưng nghiên cứu vẫn còn nhiều hạn chế do thiếu thực nghiệm và khuyến nghị về an ninh bảo mật.
- TS Nguyễn Văn Khanh, 2014, Giáo trình cơ sở an toàn thông tin, NXB Bách
Giáo trình về bảo vệ hệ thống tin học tại Khoa – Hà Nội cung cấp cái nhìn tổng thể về các khái niệm cơ bản liên quan đến an toàn và bảo mật máy tính Nội dung bao gồm tổng quan về an toàn thông tin, lý thuyết mật mã, hệ thống mật mã khóa công khai, chữ ký điện tử, hàm băm, quản lý khóa, xác thực và điều khiển truy cập Bên cạnh đó, giáo trình còn phân tích sâu về an toàn internet, mã độc, an toàn phần mềm, các giao thức mật mã và ứng dụng của chúng, giúp người đọc nắm rõ các chủ đề nghiên cứu quan trọng trong lĩnh vực này.
Tài liệu thành công nhờ vào việc tác giả diễn giải chi tiết các kiến thức cơ bản và then chốt, đồng thời ưu tiên cho các kỹ thuật chuyên sâu hơn Giáo trình cung cấp cái nhìn kỹ lưỡng về lý thuyết mật mã, giúp người đọc nắm vững nền tảng cần thiết.
Mặc dù giáo trình cung cấp thông tin chi tiết về an toàn và bảo mật hệ thống thông tin, nhưng nó không đề cập đến việc đảm bảo an toàn cho các doanh nghiệp hay trường hợp cụ thể nào Điều này khiến người dùng gặp khó khăn trong việc xây dựng các giải pháp bảo mật toàn diện cho doanh nghiệp của mình.
1.3.2: Tình hình nghiên cứu trên thế giới:
Cuốn sách "Cryptography and Network Security: Principles and Practices" của William Stallings (2011) cung cấp một cái nhìn sâu sắc về mật mã và an ninh mạng, giới thiệu các nguyên tắc và thực hành liên quan đến hệ thống mật mã Nó khám phá các thuật toán mã hóa cơ bản như mã hóa cổ điển, mã hóa khóa đối xứng, mã hóa khối và mã hóa tiên tiến, đồng thời nêu rõ các tiêu chuẩn mã hóa hiện đại Nội dung cũng đề cập đến thuật toán mã hóa khóa công khai, hàm băm, chữ ký số và các ứng dụng bảo mật như xác thực email, bảo mật IP và hệ thống thông tin Cuốn sách nhấn mạnh tầm quan trọng của an toàn và bảo mật mạng, trình bày các phương pháp phòng tránh và cập nhật phần mềm độc hại Đây là tài liệu tham khảo quan trọng trong giáo trình và bài giảng tại nhiều trường đại học, ngày càng trở nên phổ biến trong lĩnh vực an ninh mạng.
Mặc dù cuốn sách mang lại nhiều lợi ích, nội dung của nó chủ yếu chỉ tập trung vào hai vấn đề chính: tường lửa phần cứng và phần mềm độc hại Đây là những yếu tố cơ bản, nhưng một hệ thống thông tin còn phải đối mặt với nhiều nguy cơ xâm hại khác ngoài hai vấn đề này.
Biểu đồ 1.1: Tỉ lệ nguy cơ mất an toàn, bảo mật thông tin của các nước trên thế giới
KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG CỦA VẤN ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CHO HTTT TẠI CÔNG TY CỔ PHẦN ITSOL
Tổng quan về công ty
2.1.1: Thông tin chung về công ty: Địa chỉ: Tầng 3, tòa nhà 3A, ngõ 82 Duy Tân, Cầu Giấy, Hà Nội Điện thoại: +84.904.29.05.83
Được thành lập bởi những sáng lập viên có hơn 15 năm kinh nghiệm trong lĩnh vực phát triển hệ thống công nghệ thông tin và phần mềm, công ty chúng tôi chuyên cung cấp các giải pháp tối ưu để đáp ứng nhu cầu nguồn lực cho các dự án CNTT và phần mềm.
- Chuyên về cung cấp Giải Pháp và Nguồn Lực trong lĩnh vực CNTT/Phần mềm
- Thành lập từ năm 2009, năm 2013 đổi tên thành ITSOL (Cty Cổ phần Giải pháp và Nguồn lực Công nghệ ITSOL)
- Cung cấp các dịch vụ:
Cung cấp (Phái cử - Tuyển dụng) nguồn lực CNTT/Phần mềm
Gia công/Thuê ngoài các dự án/sản phẩm CNTT/Phần mềm
Tư vấn giải pháp CNTT/Phần mềm
- Lĩnh vực chuyên sâu: Phần mềm/Giải pháp cho Doanh nghiệp, Ngân hàng, Bảo hiểm, Di động
Giải Sao khuê (Dịch vụ Phái cử, Tuyển dụng - 2015)
Top 40 công ty ICT – Top 17 công ty dịch vụ phần mềm (2015)
Top 20 doanh nghiệp CNTT hàng đầu Việt Nam về BPO, ITO & KPO
Hình 2.1: Hình ảnh các giải thưởng đạt được của công ty Cổ Phần ITSOL
Các phòng ban chức năng: Bao gồm Ban Giám Đốc, bộ phận developer, bộ phận QA/QC, phòng hành chính, phòng kế hoạch
- Ban Giám Đốc: Thực hiện kiểm soát và lãnh đạo công ty
Xây dựng mới một ứng dụng
Nâng cấp và sửa chữa các ứng dụng có sẵn
Xây dựng các chức năng xử lý
Nghiên cứu và phát triển công nghệ mới
- Bộ phận QA/QC: chịu trách nhiệm test sản phẩm từ phần mềm đến khi hoàn thành sản phẩm
- Phòng hành chính: chịu trách nhiệm về các công việc hành chính, giấy tờ, tài chính kế toán của công ty
- Phòng kế hoạch: Kiểm soát quá trình sản xuất phần mềm, lập kế hoạch và quản lý dự án
2.1.2: Khái quát tình hình hoạt động của công ty trong 3 năm gần đây:
Công ty ITSOL là một trong những doanh nghiệp hàng đầu trong lĩnh vực công nghệ thông tin (CNTT) tại Việt Nam, chuyên cung cấp giải pháp và nhân lực CNTT Với dịch vụ 3 trong 1, ITSOL cam kết mang đến những giải pháp tối ưu cho khách hàng.
ITSOL là đơn vị duy nhất tại Việt Nam cung cấp 3 dịch vụ linh động trong lĩnh vực IT: Cung cấp nhân lực (Insource), Gia công phần mềm (Outsource) và Tư vấn giải pháp Các dịch vụ này giúp khách hàng tối ưu hóa nguồn lực, thiết kế giải pháp và phát triển sản phẩm phần mềm, đồng thời tận dụng chuyên gia bên ngoài khi cần thiết Với khả năng linh hoạt trong việc quản lý chi phí nhân sự, ITSOL đã được nhiều khách hàng lớn như Viettel, FPT, Bảo Việt Group, Techcombank, SeABank và MB Bank tin tưởng lựa chọn.
- Lọt top 50 doanh nghiệp ICT
- Top 20 doanh nghiệp CNTT hàng đầu Việt Nam về BPO, ITO & KPO (2016)
- Phát triển sản phẩm e-bank (Internet/ Mobile banking) và bán cho các ngân hàng ở Việt Nam
Bảng 2.1 Tình hình hoạt động của công ty ITSOL năm 2016
Vốn điều lệ Các dự án thực hiện Nhân sự Doanh thu
- Năm thứ 3 liên tiếp lọt Top 50 ICT
- Thành lập chi nhánh bên Nhật (ITSOL- Japan)
- Thành lập chi nhánh ở Hồ Chí Minh
- Phát triển hệ thống (Web/ App (iOS/Android) cho khách hàng US
- Trở thành đối tác chiến lược của tập đoàn viễn thông lớn nhất Việt Nam
Bảng 2.2 Tình hình hoạt động của công ty ITSOL năm 2017
Vốn điều lệ Các dự án thực hiện Nhân sự Doanh thu
ITSOL tiếp tục cung cấp giải pháp và nguồn lực chuyên sâu trong lĩnh vực IT, bao gồm dịch vụ phái cử và tuyển dụng nhân lực Chúng tôi cũng cung cấp tư vấn giải pháp và gia công, phát triển các sản phẩm và ứng dụng phần mềm, nhằm đáp ứng nhu cầu ngày càng cao của thị trường công nghệ.
- Đạt giải Sao Khuê cho dịch vụ giải pháp Banking
Bảng 2.3 Tình hình hoạt động của công ty ITSOL năm 2018
Vốn điều lệ Các dự án thực hiện Nhân sự Doanh thu
2.2: Thực trạng của vấn đề an toàn và bảo mật thông tin cho HTTT tại công ty Cổ Phần ITSOL:
2.2.1: Phân tích thực trạng của vấn đề an toàn và bảo mật thông tin cho HTTT tại công ty Cổ Phần ITSOL:
2.2.1.1: Trang thiết bị phần cứng:
Để đáp ứng nhu cầu sử dụng thiết bị điện tử của nhân viên, công ty đã đầu tư vào những trang thiết bị hiện đại nhất, nhằm nâng cao hiệu quả hoạt động nghiệp vụ.
- 8 máy chủ HP Proliant ML115 T01 Máy chủ chỉ dùng các phần mềm bình thường, chạy Windows server 2007, các ứng dụng chia sẻ tài nguyên
- 50 máy trạm với cấu hình Intel Core i7, ram 8GB
- 03 router phát wifi do FPT cung cấp
- 01 máy in màu hãng Canon
- 01 máy in thường hãng Canon
Bộ vi xử lý (CPU) Intel Core i7 Ổ cứng (HDD) 512Gb HDD + 128GB SSD
Bộ nhớ trong (RAM) 8GB (2 x 4096MB) – DDR3, 1600MHz Card Đồ họa (VGA) Intel Graphics HD 4600 + Nvidia Quadro K1100M
(2GB dedicated GDDR5) Ổ đĩa CD
Cổng giao tiếp 4x USB 3.0 DisplayPort 3.5 mm audio jack
HDMI, VGA card reader (SD, MMC, MS) Bàn phím + Chuột Multimedia
Bảng 2.4: Thông số về phần cứng máy trạm tại công ty Cổ Phần ITSOL 2.2.1.2: Về các phần mềm ứng dụng của công ty:
Phần mềm ứng dụng bao gồm các công cụ quản lý văn phòng cơ bản như Word và Excel, cùng với các phần mềm chuyên dụng được cài đặt trên từng máy tính để theo dõi báo cáo kế toán và tình hình hoạt động kinh doanh.
Phần mềm kế toán Misa là một ứng dụng chuyên biệt hỗ trợ hiệu quả trong nghiệp vụ kế toán và quản lý doanh nghiệp Phần mềm này tuân thủ đúng chế độ kế toán, tự động hóa toàn bộ quy trình từ lập chứng từ, hạch toán đến báo cáo Bên cạnh đó, Misa còn nổi bật với tính an toàn, bảo mật cao và giao diện thân thiện, dễ sử dụng.
Công ty sử dụng hệ thống mạng LAN, trong đó các thiết bị đầu cuối được kết nối qua thiết bị chuyển mạch, cho phép truyền tải thông tin và chia sẻ tệp tin Hệ thống mạng bao gồm máy chủ, các thiết bị kết nối tín hiệu như Repeater, Hub, Switch, Bridge, máy tính và card mạng (NIC), cùng với dây cáp để kết nối các máy tính Mạng LAN cũng có khả năng liên kết với các mạng nội bộ khác qua đường thuê bao và sử dụng công nghệ VPN để kết nối với Internet.
Mô hình mạng LAN mà công ty thuê lắp đặt sử dụng thiết kế hình sao, trong đó Hub hoặc Switch đóng vai trò là thiết bị trung tâm Tất cả các thiết bị khác đều kết nối với Hub hoặc Switch thông qua các dây cáp Thiết bị trung tâm này hoạt động như trung tâm dữ liệu, quản lý và điều phối tất cả các thiết bị trong mạng.
Hình 2.2: Hình minh họa mô hình mạng LAN kiểu hình sao
- Ưu điểm của mô hình mạng LAN này trong công ty:
Đảm bảo tốc độ mạng nhanh chóng và ổn định là điều quan trọng Khi một cáp mạng gặp sự cố, các thiết bị khác vẫn có thể hoạt động bình thường, giúp duy trì hiệu suất làm việc Hơn nữa, việc sửa chữa lỗi cũng trở nên dễ dàng hơn, giảm thiểu thời gian gián đoạn trong quá trình sử dụng mạng.
- Nhũng hạn chế của mô hình mạng này trong công ty:
+ Chi phí lắp đặt tốn kém + Hệ thống phụ thuộc hoàn toàn vào thiết bị trung tâm
* Phần mềm kế toán Misa SME.NET:
Công ty chúng tôi chuyên mua bản quyền phần mềm từ Misa, một công ty có hơn 20 năm kinh nghiệm trong lĩnh vực phát triển phần mềm Misa cung cấp nhiều ứng dụng phần mềm đa dạng, phục vụ cho doanh nghiệp, các đơn vị hành chính sự nghiệp và hộ kinh doanh cá thể Phần mềm của Misa đáp ứng đầy đủ các nghiệp vụ kế toán cho các lĩnh vực như thương mại, dịch vụ, xây dựng và sản xuất.
Phần mềm kế toán MISA SME.NET 2019 được thiết kế theo mô hình Client-Server, bao gồm một máy chủ chứa dữ liệu SQL Server và nhiều máy trạm kết nối để làm việc cùng nhau Phần mềm này lý tưởng cho các máy tính hoạt động trong mạng LAN, giúp chia sẻ dữ liệu hiệu quả MISA SME.NET 2019 tương thích tốt với hệ điều hành Windows 7, Windows 8, yêu cầu bộ vi xử lý Core i3, RAM tối thiểu 2 GB và 10 GB dung lượng đĩa cứng trống Các bước sử dụng phần mềm kế toán MISA SME.NET rất đơn giản và dễ dàng cho người dùng.
- Bước 1: Tạo dữ liệu kế toán
- Bước 2: Khai báo thông tin ban đầu
- Bước 3: Nhập chứng từ phát sinh
- Bước 5: Lập báo cáo tài chính, báo cáo thuế
Công ty sử dụng phần mềm kế toán này để giúp thuận lợi hơn trong các công việc:
- Nắm bắt nhanh hơn, chính xác hơn các tình hình tài chính của công ty
- Kế toán viên theo dõi toàn bộ tình hình thu, chi, tồn quỹ tiền mặt của công ty
Theo dõi tiến độ hợp đồng, chi phí, doanh thu, công nợ và lãi lỗ của từng dự án trong công ty bằng phần mềm Đồng thời, thực hiện chấm công và tính lương cho nhân viên một cách chính xác và hiệu quả.
Những hạn chế của phần mềm MISA SME.NET mà công ty có thể gặp phải:
- Nó có cấu hình cao nên máy tính yếu, cấu hình thấp đôi khi phần mềm sẽ bị chạy chậm, ì ạch
- Các báo cáo xuất ra excel sắp xếp không theo thứ tự, khiến người sử dụng phải chỉnh sửa lại báo cáo
- Tốc độ xử lý dữ liệu hơi chậm
Mặc dù có một số nhược điểm, nhưng chúng có thể được khắc phục bằng cách nâng cấp cấu hình máy tính lên mức cao hơn Thực tế, cấu hình đề nghị để chạy MISA chỉ cần nhỉnh hơn một chút so với các ứng dụng văn phòng thông thường.
Hình 2.3: Hình ảnh phần mềm kế toán MISA MSE.NET
Là một công ty nhỏ, hệ thống thông tin của chúng tôi chủ yếu bao gồm một website và một hệ thống máy tính đơn giản Tuy nhiên, việc ứng dụng công nghệ thông tin (CNTT) rất quan trọng để tìm kiếm khách hàng, mở rộng mối quan hệ với đối tác và nắm bắt nhu cầu mới của thị trường Ban lãnh đạo công ty nhận thức rõ tầm quan trọng của vấn đề này và luôn chú trọng đầu tư vào hệ thống thông tin.
ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CHO HTTT TẠI CÔNG TY CỔ PHẦN ITSOL
Định hướng phát triển ATBM thông tin trong HTTT của công ty Cổ Phần ITSOL
Với sự phát triển của công nghệ 4.0, doanh nghiệp ngày càng nhận thức rõ tầm quan trọng của an toàn và bảo mật thông tin nội bộ Thông tin và hệ thống thông tin trở thành yếu tố sống còn đối với tổ chức Do đó, các công ty đang đầu tư mạnh mẽ vào việc bảo vệ thông tin giá trị Công ty Cổ Phần ITSOL đã nắm bắt xu thế này và trong thời gian tới, sẽ tập trung phát triển các lĩnh vực kinh doanh để đáp ứng nhu cầu bảo mật thông tin.
- Tiếp tục chuyên sâu về cung cấp các giải pháp và nguồn lực trong lĩnh vực
Chúng tôi cung cấp dịch vụ phái cử và tuyển dụng nhân lực chuyên nghiệp trong lĩnh vực IT, bao gồm tư vấn, giải pháp và phát triển cũng như gia công các sản phẩm và ứng dụng phần mềm Dịch vụ của chúng tôi đáp ứng nhu cầu của thị trường trong và ngoài nước.
- Đẩy mạnh tiếp thị, tìm kiếm các khách hàng lớn và các hợp đồng lớn
Để nâng cao kinh nghiệm của nhân viên, doanh nghiệp cần đầu tư vào việc nâng cấp cơ sở hạ tầng, kỹ thuật và máy móc Điều này sẽ giúp hướng tới quá trình công nghệ hóa trong thời đại 4.0, đáp ứng tốt hơn nhu cầu ngày càng cao của khách hàng.
Tiếp tục xây dựng mối quan hệ bền vững với các đối tác tiềm năng, đồng thời tăng cường các hoạt động marketing để nâng cao nhận diện thương hiệu và quảng bá các sản phẩm phần mềm của Công ty trên thị trường.
- Thực hiện tốt chính sách chất lượng đối với khách hàng để luôn luôn đảm bảo được uy tín
Để phát triển bền vững, Công ty tiếp tục đầu tư vào thiết bị chuyên ngành hiện đại và đổi mới công nghệ, đồng thời chú trọng đào tạo đội ngũ cán bộ đáp ứng yêu cầu phát triển Công ty cũng cam kết quản lý chặt chẽ chi phí nhằm đảm bảo sử dụng nguồn vốn một cách hiệu quả nhất.
Công ty định hướng phát triển HTTT với các mục tiêu cụ thể:
Đảm bảo an toàn và bảo mật cho tất cả thông tin và dữ liệu trong hệ thống, bao gồm thông tin khách hàng, đối tác và hoạt động nội bộ của công ty, là yếu tố quan trọng giúp nâng cao khả năng cạnh tranh và uy tín của công ty trên thị trường.
- Xây dựng HTTT hỗ trợ, phục vụ hiệu quả các hoạt động tác nghiệp của công ty, giúp giảm bớt các chi phí tác nghiệp cho công ty
- Xây dựng chương trình ATBM HTTT theo một chu trình liên tục theo thời gian
Tổ chức chương trình đào tạo cho nhân viên nhằm nâng cao kiến thức về an toàn và bảo mật thông tin là rất cần thiết Nguồn nhân lực hiểu biết và có khả năng bảo đảm an ninh cho hệ thống là một lợi thế lớn cho doanh nghiệp.
Các giải pháp nhằm đảm bảo an toàn và bảo mật thông tin cho HTTT tại công ty Cổ P hần ITSOL
3.2.1: Bảo mật bằng nâng cấp hệ thống máy chủ:
Tất cả máy tính trong công ty đều được kết nối Internet và mạng LAN, được quản lý bởi máy chủ doanh nghiệp Để đảm bảo website và hệ thống email luôn sẵn sàng cung cấp thông tin 24/7, máy chủ đóng vai trò quan trọng trong hệ thống CNTT của doanh nghiệp Với sự phát triển không ngừng của công nghệ thông tin, việc duy trì hoạt động liên tục và tự động của hệ thống CNTT là điều cần thiết cho mọi doanh nghiệp.
Cổ Phần ITSOL nên nâng cấp máy chủ để việc đảm bảo ATBM HTTT tại công ty được dễ dàng hơn
Nâng cấp máy chủ tại công ty Cổ Phần ITSOL: máy chủ nâng cấp lên windows server 2008 để tương thích hơn với các ứng dụng trong hệ thống mới
- Server : LifeCom 1U Server Rack S1230-300B - CPU X3430 SATA
- Model Supermicro server board : X8SIL-V, X3430 - X2QI SERVER
- Platform Chassis:1230-300B, Chipset Intel® 3420 Server chipset
- Processor: 1x Intel® Xeon® Lynnfield Quad-Core X3430 2.4GHz 8MB
LGA 1156 95W, Intel® Xeon® X3400 / L3400 series processors, LGA1156
System Bus * Intel QuickPath Interconnect up to 6.4 GT/s
OS Software * Supports 64-bit Operating Systems * Supports 32-bit Operating Systems * Support RAID Windows * Support RAID Linux
System Memory 1x 2GB DDR3 1333 240-Pin DDR3 ECC, RDIMMs/UDIMMs (PC3 10666), 4x 240-pin DIMM sockets
Supports up to 32 GB DDR3 ECC Registered memory (RDIMM)
Supports up to 16 GB DDR3 ECC Un-Buffered memory (UDIMM), 1333 /
1066 / 800 MHz, DIMM Sizes * 1GB, 2GB, 4GB, 8GB, Storage 1x 250GB
- Bảng so sánh thông số kỹ thuật giữa máy chủ cũ và máy chủ được đề xuất
Máy chủ cũ Máy chủ đề xuất
Server HP Proliant ML115 T01 LifeCom 1U
Processor AMD Opteron 4450B Dual Core
1x Intel® Xeon® Lynnfield Quad-Core X3430 2.4GHz Chipset nVidia MCP 55S Pro Intel® 3420 Server chipset
Memory 1024 MB PC2-6400 ECC (DDR2-
2GB DDR3 1333 240- Pin DDR3 ECC Registered (PC3 10666)
Bảng 3.1: Bảng so sánh kỹ thuật giữa server cũ và server đề xuất Các lưu ý khi nâng cấp máy chủ:
- Luôn bắt đầu với một dữ liệu đã thẩm định:
Trước khi thực hiện bất kỳ thay đổi nào trên máy chủ, bao gồm cả nâng cấp nhỏ, cần đảm bảo rằng đã có một bản sao lưu dữ liệu chắc chắn Việc thay đổi máy chủ có thể dẫn đến tình trạng không thể khôi phục ngay lập tức, do đó, việc bảo vệ dữ liệu là rất quan trọng, đặc biệt khi dữ liệu có thể là yếu tố sống còn cho doanh nghiệp.
- Cân nhắc việc tạo một backup image:
Một số nhà sản xuất như Acronis Inc và StorageCraft Technology Corp cung cấp kỹ thuật disk cloning chuyên nghiệp, giúp khôi phục máy chủ một cách đơn giản khi gặp lỗi Tùy chọn khôi phục này cho phép chuyển dữ liệu từ máy chủ bị lỗi sang máy tính mới chưa cài đặt hệ điều hành, giảm thiểu thời gian ngừng hoạt động Ngoài ra, disk image cũng hỗ trợ khôi phục nhanh chóng không chỉ dữ liệu mà còn cả các cấu hình phức tạp của máy chủ khi gặp sự cố trong quá trình nâng cấp.
- Không đồng thời kết hợp nhiều hoạt động nâng cấp:
Nâng cấp máy chủ là một vấn đề quan trọng cần được thực hiện cẩn thận, mặc dù nhiều chuyên gia IT chú trọng vào việc giảm số lần khởi động lại máy chủ Khi sự cố xảy ra, việc xác định nguyên nhân là rất cần thiết Nếu thực hiện quá nhiều thay đổi cùng lúc nhằm nâng cấp server nhanh chóng, như thay ổ cứng, thêm RAM hay cài đặt lại card, có thể dẫn đến tình trạng máy chủ bị đình trệ Do đó, các nhiệm vụ như thêm ổ cứng, thay thế bộ nhớ và cài đặt card nên được thực hiện riêng rẽ Điều này giúp dễ dàng hơn trong việc xác định thành phần gây ra sự cố nếu vấn đề xảy ra sau đó một hoặc hai ngày.
Chính vì vậy để tránh những khó khăn không đáng có này, bạn không nên tạo nhiều thay đổi cùng một lúc cho máy chủ của mình
Sau khi nâng cấp server, việc kiểm tra kỹ lưỡng là rất quan trọng để đảm bảo mọi thứ hoạt động ổn định Dù máy chủ có vẻ hoạt động bình thường và không báo lỗi, chúng ta vẫn cần xem xét kỹ lưỡng các file ghi, báo cáo lỗi, thông tin backup và hiệu suất Sử dụng các công cụ và phần mềm như HoundDog của GFI Software và PacketTrap của Quest Software sẽ giúp xác minh rằng hệ thống đã trở lại trạng thái ổn định.
3.2.2: Giải pháp đối với phần mềm ứng dụng
3.2.2.1: Sử dụng chữ kí số VNPT- CA:
Chữ ký số VNPT-CA là giải pháp hiệu quả để bảo vệ thông tin riêng tư của công ty khỏi rò rỉ Dịch vụ này được cung cấp bởi Tập đoàn Bưu chính Viễn thông Việt Nam, với giấy phép chứng thực chữ ký số công cộng do Bộ TT&TT cấp cho Công ty VDC từ ngày 15/9/2009 VNPT là đơn vị tiên phong trong việc cung cấp dịch vụ này cho các cơ quan, tổ chức và cá nhân Đặc biệt trong lĩnh vực thuế, việc bảo đảm an toàn thông tin liên quan đến chữ ký số là rất quan trọng, vì thông tin bị lộ có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh và mối quan hệ với nhà nước Sử dụng chữ ký số giúp doanh nghiệp tiết kiệm thời gian chứng thực, nâng cao độ an toàn và chính xác, đồng thời đơn giản hóa giao dịch và loại bỏ các thủ tục giấy tờ phức tạp.
Quy trình cài đặt và sử dụng chữ kí số VNPT- CA:
Sau khi đăng ký chữ ký số và nhận thiết bị hỗ trợ, bước tiếp theo là kết nối thiết bị (Token) vào máy tính và tiến hành cài đặt Khi cắm thiết bị vào máy, nó sẽ tự động cài đặt hoặc bạn có thể vào My Computer, chọn token VNPT, nhấn Setup, đồng ý và cài đặt font tiếng Việt Sau khi hoàn tất cài đặt, cần kiểm tra thông tin và thời hạn sử dụng của thiết bị.
Bước 1: Click vào biểu tượng VNPT và chọn chứng thư số
Hình 3.1: Hình ảnh mô tả bước 1 chọn chứng thư số
Hình 3.2: Nhập mã Pin vào và click đồng ý
Bước 3: Click chọn thông tin doanh nghiệp và xem
Hình 3.3: Chọn xem thông tin doanh nghiệp Những lưu ý khi sử dụng chữ kí số VNPT- CA:
- Thời hạn khi sử dụng chữ kí số:
Thời hạn sử dụng của chữ ký số đóng vai trò quan trọng trong giao dịch trực tuyến Do đó, việc gia hạn chữ ký số kịp thời là cần thiết để đảm bảo tính hợp lệ và an toàn trong các hoạt động thương mại điện tử.
Để đảm bảo việc sử dụng chữ ký số không bị gián đoạn, bạn cần gia hạn trước khi nó hết hạn Nếu không nhớ thời gian hết hạn, bạn có thể kiểm tra thông qua tờ khai trực tuyến hoặc trực tiếp trên USB token Cách thực hiện là cắm USB token vào máy tính, mở phần mềm quản lý và chọn thông số kỹ thuật để xem chi tiết về thời hạn chữ ký số.
- Quy trình sử dụng chữ kí số VNPT để tạo tờ khai thuế mạng:
Việc tạo và đăng ký tờ khai với cơ quan thuế là rất quan trọng trong quy trình khai báo thuế trực tuyến Lưu ý rằng, việc đăng ký chỉ diễn ra một lần duy nhất khi bắt đầu kê khai thuế, vì vậy bạn cần xác định rõ loại tờ khai cần sử dụng, như giá trị gia tăng, quyết toán thuế thu nhập doanh nghiệp, hay báo cáo tài chính Tránh việc đăng ký quá nhiều loại tờ khai, vì điều này có thể dẫn đến việc hệ thống gửi thông báo nhắc nhở về các tờ khai thiếu.
- Mỗi chữ kí số chỉ nên sử dụng cho một doanh nghiệp:
Không được phép sử dụng một USB token cho hai doanh nghiệp, ngay cả khi chúng thuộc cùng một chủ thể Về mặt pháp lý, chữ ký số được coi như con dấu riêng của mỗi doanh nghiệp, do đó việc quản lý chữ ký số cũng tương tự như quản lý con dấu Mỗi doanh nghiệp cần sử dụng USB token riêng biệt để ngăn chặn việc sử dụng trái phép "con dấu" chữ ký số của nhau, điều này không chỉ đảm bảo tính hợp pháp mà còn bảo vệ thông tin và hoạt động kinh doanh của doanh nghiệp khỏi những rủi ro tiềm ẩn.
Mã hóa dữ liệu là phương pháp hiệu quả để bảo vệ thông tin quan trọng trên máy tính doanh nghiệp Người dùng cần mã hóa các dữ liệu nhạy cảm để đảm bảo tính riêng tư Mặc dù công ty đã sử dụng tường lửa để bảo vệ thông tin, nhưng biện pháp này chưa đáp ứng đủ nhu cầu bảo mật Do đó, công ty nên xem xét sử dụng GiliSoft File Lock Pro với các chức năng nổi bật để nâng cao mức độ an toàn cho dữ liệu.
- Mã hóa dữ liệu: Chương trình có thể mã hóa bất kì tập tin hoặc thư mục nào
Mã hóa di động cho phép bạn gói và mã hóa một thư mục thành một file thực thi (file Excel) bằng thuật toán mã hóa AES Phương pháp này giúp bảo vệ dữ liệu quan trọng, cho phép bạn gửi chúng qua mạng hoặc các phương tiện khác để sử dụng trên máy tính mà không cần đến GiliSoft File Lock Pro.
- Khóa dữ liệu: Bảo vệ các tập tin/ thư mục/ ổ đĩa bị khóa không bị truy cập
Người dùng không thể thực hiện các thao tác như mở, đọc, chỉnh sửa, sao chép, xóa hay đổi tên các tệp tin và thư mục bảo vệ mà không có mật khẩu Ngoài ra, các tệp tin và thư mục con nằm trong một thư mục bị khóa cũng được bảo vệ an toàn.
Ẩn dữ liệu là một giải pháp hiệu quả để bảo vệ các tệp và thư mục riêng tư của bạn khỏi việc bị phát hiện trên đĩa cục bộ hoặc đĩa ngoài như USB Với tính năng này, các tệp ẩn sẽ hoàn toàn vô hình đối với người dùng và các chương trình, ngay cả trong chế độ an toàn của Windows Điều đặc biệt là tất cả các tệp ẩn sẽ không bao giờ xuất hiện trong kết quả tìm kiếm, giúp bạn giữ an toàn thông tin cá nhân một cách tối đa.
Một số kiến nghị về vấn đề ATBM cho HTTT đối với công ty Cổ Phần ITSOL
Công ty cần tăng cường đầu tư vào cơ sở hạ tầng máy móc để phục vụ hiệu quả cho tất cả các hoạt động Việc đầu tư vào thiết bị bảo mật, phần mềm chuyên dụng cho an ninh mạng và xây dựng các mô hình mạng an toàn là những nhiệm vụ quan trọng không thể thiếu.
Đầu tư ngân sách cho hoạt động an toàn bảo mật hệ thống thông tin (ATBM HTTT) là rất quan trọng đối với công ty Cần thiết lập ngân sách cho việc thành lập bộ phận ATBM HTTT, tuyển dụng và đào tạo nhân viên chuyên trách Ngoài ra, đầu tư vào trang thiết bị giám sát hoạt động của công ty cũng giúp đánh giá hiệu quả các biện pháp đảm bảo an toàn và bảo mật hệ thống thông tin.
Công ty cần chú trọng đào tạo và nâng cao kiến thức CNTT cho nhân viên, không chỉ về chuyên môn mà còn về kỹ năng phần mềm như giao tiếp ngoại ngữ, tư duy và làm việc nhóm Việc tổ chức các lớp học về an toàn và bảo mật hệ thống thông tin là cần thiết để nâng cao nhận thức của cán bộ, nhân viên về các mối đe dọa tấn công dữ liệu Đồng thời, công ty nên thực hiện kiểm soát nội bộ chặt chẽ và thiết lập các quy định riêng về an toàn bảo mật hệ thống thông tin.
- Đề nghị tăng thêm số lượng nhân viên về CNTT và nhân viên về CNTT có trình độ đại học và phải có kinh nghiệm trong ATBM HTTT
Công ty cần thiết lập các chính sách và quy định rõ ràng về an toàn bảo mật thông tin trong tổ chức, bao gồm việc quản lý chặt chẽ nhân viên và yêu cầu họ ký thỏa thuận bảo mật thông tin khách hàng Tất cả thông tin khách hàng, đối tác và nội bộ đều phải được giữ bí mật và mọi nhân viên đều phải tuân thủ thỏa thuận này Ngoài ra, việc xử lý và tiêu hủy tài liệu liên quan đến hoạt động của công ty phải được thực hiện qua máy hủy tài liệu, trong khi các loại giấy tờ, thông tin và phần mềm không được mang ra ngoài công ty Đặc biệt, công ty cũng cần chú trọng giáo dục đạo đức cho nhân viên để nâng cao ý thức bảo mật thông tin.
Cập nhật trang thiết bị phần cứng và phần mềm là cần thiết để doanh nghiệp thích ứng với các giải pháp mới về an toàn bảo mật thông tin trong hệ thống mạng.
- Thường xuyên kiểm tra các thiết bị về CNTT, khắc phục các lỗi và trục trặc nhanh chóng và kịp thời
Đảm bảo an toàn thông tin tại công ty Cổ Phần ITSOL không chỉ là trách nhiệm của người quản trị hệ thống thông tin, mà là nghĩa vụ của toàn bộ nhân viên Mỗi cá nhân trong công ty đều phải ý thức và hành động để bảo vệ thông tin và hệ thống thông tin như một tài sản thiết yếu cho sự tồn vong của doanh nghiệp.
