Chương 1: Tổng quan vấn đề nghiên cứu. Chương 2: Cơ sở lý luận và thực trạng về vấn đề an toàn và bảo mật cho hệ thống thông tin của công ty cổ phần Hoàng Giang. Chương 3: Định hướng phát triển và đề xuất giải pháp an toàn bảo mật hệ thống thông tin tại công ty cổ phần Hoàng Giang. 8 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chương 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY CỔ PHẦN HOÀNG GIANG 2.
Về cơ sở lý luận 2.1 Khái niệm về thông tin, hệ thống thông tin và an toàn bảo mật thông tin a) Khái niệm thông tin Thông tin (Information): Là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu. Nói cách khác, thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu. Vai trò của thông tin Thông tin có vai trò và ý nghĩa rất quan trọng đối với doanh nghiệp trong nền kinh tế thị trường.
Nếu doanh nghiệp thiếu thông tin, sẽ dẫn đến hậu quả rất nghiêm trọng đó là sẽ mất đi cơ hội kinh doanh hoặc thiếu điều kiện để đưa ra quyết định kinh doanh chính xác, việc kinh doanh của doanh nghiệp do vậy sẽ gặp rủi ro, môt trường kinh doanh sẽ trở nên thiếu tin cậy. Ngược lại, khi có đầy đủ thông tin doanh nghiệp sẽ có các quyết định kinh doanh kịp thời, hợp lý và ít rủi ro. b) Khái niệm hệ thống thông tin Hệ thống (System): Là một tập hợp các thành phần có quan hệ tương tác với nhau, cùng phối hợp hoạt động để đạt được một mục tiêu chung, thông quan việc thu nhận các yếu tố đầu vào và tạo ra các kết quả đầu ra trong một quá trình chuyển đổi có tổ chức. Hệ thống thông tin (Information System): Là một hệ thống bao gồm các yếu tố có quan hệ với nhau cùng làm nhiệm vụ thu nhập, xử lý, lưu trữ và phân phối dữ liệu và thông tin và cung cấp một cơ chế phản hồi để đạt được một mục tiêu định trước.
9 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hệ thống thông tin quản lý(MIS – Managament Information System): Là hệ thống tích hợp các yếu tố con người, các thủ tục, các CSDL và các thiết bị được sử dụng để cung cấp những thông tin có ích cho các nhà quản lý và ra quyết định. c) Khái niệm an toàn bảo mật thông tin An toàn thông tin Một hệ thống thông tin được coi là an toàn khi thông tin không bị hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. (Nguyễn Thị Hội, Bài giảng An toàn bảo mật thông tin doanh nghiệp,Bộ môn CNTT, Đại học Thương Mại.
Bảo mật thông tin Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin. ● Bí mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. ● Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền. ● Tính sẵn sàng của thông tin là những người được cấp quyền sử dụng có thể truy xuất thông tin khi họ cần.
Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng tiêu chí trong một thời gian xác định. Các vấn đề liên quan đến an toàn bảo mật hệ thống thông tin. a)Vai trò của an toàn bảo mật thông tin Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức, đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu. Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tục với các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho các phần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúng chứa rất nhiều lỗ hổng có thể dễ dàng bị lợi 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.
Thêm vào đó là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn. Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhu cầu của các cơ quan, tổ chức cần phải bảo vệ hệ thống thông tin, đảm bảo cho hệ thống đó hoạt động ổn định và tin cậy. An toàn và bảo mật thông tin là thiết yếu trong mọi cơ quan, tổ chức.An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp.
b)Những yêu cầu về an toàn bảo mật thông tin Một hệ thống thông tin bảo mật là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo 3 đặc trưng cơ bản sau: Tính bí mật (confidentiality), tính toàn vẹn của thông tin (Integrity), tính khả dụng của thông tin (availability). Tính bí mật(confidentiality) Tính bí mật của thông tin là bảo vệ thông tin không bị lộ ra ngoài một cách trái phép. Ví dụ: Trong một hệ thống ngân hàng, một khách hàng được phép xem thông tin số dư tài khoản của mình nhưng không được phép xem thông tin của người khác. Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phổ biến cho các đối tượng khác.
Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, sâu máy tính, phần mềm mã độc,… 11 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tùy theo tính chất của thông tin mà chúng có mức độ bí mật khác nhau. Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất đối với các Quốc gia và được xử lý ở mức bảo vệ cao nhất. Các thông tin khác như thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân, đặc biệt của những người nổi tiếng, thông tin cấu hình hệ thống của các mạng cung cấp dịch vụ… đều có nhu cầu được giữ bí mật ở từng mức độ.
Để đảm bảo tính bí mật của thông tin, ngoài các cơ chế và phương tiện vật lý như nhà xưởng, thiết bị lưu trữ, dịch vụ bảo vệ,…thì kỹ thuật mật mã hóa (Cryptography) được xem là công cụ bảo mật thông tin hữu hiệu nhất trong môi trường máy tính. Ngoài ra, kỹ thuật quản lý truy xuất (Access Control) cũng được thiết lập để đảm bảo chỉ có những đối tượng được cho phép mới có thể truy xuất thông tin. Tính toàn vẹn (Integrity) Tính toàn vẹn bảo đảm rằng chỉ những người dùng được ủy quyền mới được phép chỉnh sửa dữ liệu. Ví dụ: Hệ thống ngân hàng không cho phép khách hàng tự thay đổi thông tin số dư tài khoản của mình.
Đặc trưng này bảo đảm sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh: Tính nguyên vẹn của nội dung thông tin và tính xác thực nguồn gốc của thông tin. Ví dụ về tính toàn vẹn của nội dung thông tin: Một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủ tài khoản với đầy đủ những thông tin cần thiết. Nội dung thông tin được bảo toàn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như người tự xưng là chủ tài khoản gửi đi).
Tuy nhiên, nếu lệnh thanh toán không phải do chính chủ tài khoản mà do một người khác nhờ biết được thông tin bí mật về tài khoản đã mạo danh chủ tài khoản để đưa ra, khi đó nguồn gốc của thông tin không được bảo toàn. Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộ không thì tính toàn vẹn của thông tin quan tâm tới tính chính xác của thông tin và cả mức độ tin cậy của thông tin đó. Các yếu tố như nguồn gốc thông tin, cách thức bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin. Tính khả dụng(availability) 12 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tính khả dụng hay còn gọi là tính sẵn sàng đảm bảo dữ liệu luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu.
Ví dụ: Hệ thống ngân hàng cần bảo đảm rằng khách hàng của họ có thể truy vấn thông tin về số dư bất cứ lúc nào theo như quy định.