Luận văn thạc sĩ: Nghiên cứu bài toán an toàn thông tin cho doanh nghiệp vừa và nhỏ

Luận văn thạc sĩ VNU UET nghiên cứu an toàn thông tin cho doanh nghiệp vừa và nhỏ, góp phần nâng cao bảo mật trong công nghệ thông tin.

Trường đại học

Đại học Quốc gia Hà Nội

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

luận văn thạc sĩ

2017

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CÁM ƠN

LỜI CAM ĐOAN

1. CHƯƠNG 1: BÀI TOÁN AN TOÀN THÔNG TIN CHO DNVVN

1.1. Cơ sở lý luận về an toàn thông tin

1.2. An toàn thông tin

1.3. Tấn công luồng thông tin trên mạng

1.4. Phân loại các kiểu tấn công luồng thông tin trên mạng

1.5. Thực trạng ATTT đối với các DNVVN

1.6. Đặc điểm hệ thống thông tin của các DNVVN

1.7. Thực trạng ATTT thế giới

1.8. Thực trạng ATTT đối với các doanh nghiệp Việt Nam

1.9. Bài toán an toàn thông tin cho DNVVN

1.10. Các nguy cơ mất ATTT đối với DNVVN

1.11. Những tổn thất của DNVVN trước những nguy cơ mất ATTT

1.12. Danh mục các tài sản thông tin của DNVVN cần được bảo vệ

2. CHƯƠNG 2: CÁC HỆ MẬT MÃ ĐẢM BẢO ATTT ĐƯỢC DÙNG PHỔ BIẾN HIỆN NAY

2.1. Tổng quan về hệ mật mã

2.2. Phân loại các hệ mật mã

2.3. Một số khái niệm cơ bản về sử dụng mật mã

2.4. Hệ mật AES

2.5. Hệ mật RC4

2.6. Hệ mật RSA

3. CHƯƠNG 3: MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATTT CHO CÁC DNVVN

3.1. Nhóm giải pháp về Quản lý ATTT

3.2. Thiết lập hệ thống quản lý ATTT cho DNVVN theo tiêu chuẩn ISO

3.3. Đánh giá rủi ro về ATTT

3.4. Chính sách phòng chống virus

3.5. Chính sách sao lưu và phục hồi

3.6. Nhóm giải pháp về công nghệ

3.7. Mã hóa dữ liệu trong lưu trữ

3.8. Phòng chống tấn công website

3.9. Sử dụng chữ ký số trong các giao dịch điện tử

3.10. Xây dựng hệ thống mạng an toàn

3.11. Các biện pháp giảm nhẹ rủi ro về ATTT cho các DNVVN

3.12. Vai trò của giảm nhẹ rủi ro về ATTT

3.13. Kiểm soát và kiểm định

3.14. Đánh giá quy trình ATTT

3.15. Ứng phó sự cố về ATTT

4. CHƯƠNG 4: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ ĐẢM BẢO ATTT TRONG VIỆC KÝ KẾT HỢP ĐỒNG ĐIỆN TỬ CỦA DNVVN

4.1. Tổng quan về hợp đồng điện tử

4.2. Một số hợp đồng điện tử

4.3. Lợi ích của hợp đồng điện tử

4.4. Một số điểm cần lưu ý khi ký kết và thực hiện hợp đồng điện tử

4.5. Quy trình cơ bản để ký kết hợp đồng điện tử có sử dụng chữ ký số

4.6. Những khía cạnh cần thiết về an toàn thông tin

4.7. Cài đặt thử nghiệm

TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng quan về nghiên cứu an toàn thông tin cho doanh nghiệp vừa và nhỏ

Nghiên cứu an toàn thông tin cho doanh nghiệp vừa và nhỏ (DNVVN) là một vấn đề cấp thiết trong bối cảnh công nghệ thông tin phát triển mạnh mẽ. Các DNVVN chiếm gần 98% tổng số doanh nghiệp tại Việt Nam, và việc bảo vệ thông tin là yếu tố sống còn để duy trì hoạt động kinh doanh hiệu quả. An toàn thông tin không chỉ giúp bảo vệ dữ liệu mà còn nâng cao uy tín của doanh nghiệp trong mắt đối tác.

1.1. Định nghĩa và tầm quan trọng của an toàn thông tin

An toàn thông tin được định nghĩa là việc bảo vệ thông tin và hệ thống thông tin khỏi các mối đe dọa. Điều này bao gồm bảo vệ dữ liệu, máy tính và mạng. Đối với DNVVN, việc đảm bảo an toàn thông tin giúp giảm thiểu rủi ro và tổn thất do các cuộc tấn công mạng.

1.2. Các yếu tố ảnh hưởng đến an toàn thông tin

Các yếu tố như công nghệ, quy trình quản lý và nhận thức của nhân viên đều ảnh hưởng đến an toàn thông tin. Việc áp dụng các công nghệ bảo mật hiện đại và xây dựng chính sách bảo mật rõ ràng là rất cần thiết để bảo vệ thông tin.

II. Những thách thức trong việc bảo đảm an toàn thông tin cho DNVVN

Các DNVVN thường gặp nhiều thách thức trong việc bảo đảm an toàn thông tin. Thiếu nguồn lực tài chính và nhân lực chuyên môn là những vấn đề lớn. Nhiều doanh nghiệp không có đủ khả năng để đầu tư vào công nghệ bảo mật tiên tiến, dẫn đến việc dễ bị tấn công. Hơn nữa, nhận thức về an toàn thông tin trong DNVVN còn hạn chế.

2.1. Thiếu hụt nguồn lực và chuyên môn

Nhiều DNVVN không có đủ ngân sách để thuê chuyên gia an ninh mạng. Điều này dẫn đến việc họ không thể triển khai các biện pháp bảo mật hiệu quả, làm tăng nguy cơ bị tấn công.

2.2. Nhận thức kém về an toàn thông tin

Nhiều nhân viên trong DNVVN chưa được đào tạo đầy đủ về an toàn thông tin. Điều này có thể dẫn đến việc họ không nhận thức được các mối đe dọa và cách phòng tránh, làm tăng nguy cơ rủi ro cho doanh nghiệp.

III. Phương pháp bảo đảm an toàn thông tin cho DNVVN hiệu quả

Để bảo đảm an toàn thông tin, DNVVN cần áp dụng các phương pháp quản lý rủi ro và công nghệ bảo mật hiện đại. Việc xây dựng chính sách bảo mật rõ ràng và đào tạo nhân viên là rất quan trọng. Các giải pháp như mã hóa dữ liệu và sử dụng chữ ký số cũng cần được triển khai.

3.1. Xây dựng chính sách bảo mật thông tin

Chính sách bảo mật thông tin cần được xây dựng rõ ràng và cụ thể. Điều này giúp nhân viên hiểu rõ trách nhiệm của mình trong việc bảo vệ thông tin và giảm thiểu rủi ro.

3.2. Đào tạo nhân viên về an toàn thông tin

Đào tạo nhân viên về các mối đe dọa an toàn thông tin và cách phòng tránh là rất cần thiết. Việc này giúp nâng cao nhận thức và khả năng ứng phó với các tình huống khẩn cấp.

IV. Ứng dụng thực tiễn và kết quả nghiên cứu về an toàn thông tin

Nghiên cứu cho thấy rằng việc áp dụng các biện pháp bảo mật hiệu quả đã giúp nhiều DNVVN giảm thiểu rủi ro và tổn thất do tấn công mạng. Các doanh nghiệp đã áp dụng công nghệ mã hóa và hệ thống quản lý an toàn thông tin đã ghi nhận sự cải thiện rõ rệt trong việc bảo vệ dữ liệu.

4.1. Các trường hợp thành công trong bảo mật thông tin

Nhiều DNVVN đã thành công trong việc bảo vệ thông tin nhờ vào việc áp dụng các công nghệ bảo mật hiện đại. Họ đã giảm thiểu đáng kể số lượng sự cố an toàn thông tin.

4.2. Đánh giá hiệu quả của các giải pháp bảo mật

Đánh giá hiệu quả của các giải pháp bảo mật là rất quan trọng. Các DNVVN cần thường xuyên kiểm tra và cập nhật các biện pháp bảo mật để đảm bảo an toàn thông tin.

V. Kết luận và tương lai của an toàn thông tin cho DNVVN

An toàn thông tin là một yếu tố quan trọng đối với sự phát triển bền vững của doanh nghiệp vừa và nhỏ. Trong tương lai, việc áp dụng công nghệ mới và nâng cao nhận thức về an toàn thông tin sẽ giúp DNVVN bảo vệ thông tin hiệu quả hơn. Cần có sự hợp tác giữa các cơ quan nhà nước và doanh nghiệp để xây dựng một môi trường an toàn hơn.

5.1. Tầm quan trọng của an toàn thông tin trong tương lai

An toàn thông tin sẽ ngày càng trở nên quan trọng trong bối cảnh công nghệ phát triển nhanh chóng. DNVVN cần phải chủ động trong việc bảo vệ thông tin của mình.

5.2. Hướng đi cho DNVVN trong việc bảo đảm an toàn thông tin

DNVVN cần đầu tư vào công nghệ bảo mật và đào tạo nhân viên. Họ cũng cần xây dựng các chính sách bảo mật rõ ràng để bảo vệ thông tin một cách hiệu quả.

22/07/2025

Bạn đang xem trước tài liệu:

Luận văn thạc sĩ vnu uet nghiên cứu bài toán an toàn thông tin cho doanh nghiệp vừa và nhỏ luận văn ths công nghệ thông tin 604802

Tải đầy đủ

Nội dung chính

Tổng quan nghiên cứu

Trong bối cảnh nền kinh tế tri thức phát triển mạnh mẽ, thông tin trở thành tài sản sống còn đối với mọi lĩnh vực kinh tế - xã hội, đặc biệt là trong quản lý kinh tế doanh nghiệp. Theo số liệu của Phòng Công nghiệp và Thương mại Việt Nam, doanh nghiệp vừa và nhỏ (DNVVN) chiếm gần 98% tổng số doanh nghiệp trên cả nước, đóng vai trò quan trọng trong nền kinh tế quốc gia. Tuy nhiên, cùng với sự phát triển nhanh chóng của công nghệ thông tin (CNTT), nguy cơ mất an toàn thông tin (ATTT) ngày càng gia tăng, gây ra nhiều thiệt hại nghiêm trọng cho các DNVVN. Năm 2016, số vụ tấn công mạng tại Việt Nam tăng gấp hơn 4,2 lần so với năm 2015, với hơn 134.000 sự cố tấn công mạng được ghi nhận, trong đó các hình thức tấn công như phishing, malware và deface chiếm tỷ lệ cao.

Mục tiêu nghiên cứu của luận văn là phân tích thực trạng ATTT của các DNVVN tại Việt Nam, làm rõ các nguy cơ mất ATTT, đồng thời đề xuất các giải pháp quản lý và kỹ thuật nhằm nâng cao hiệu quả bảo vệ thông tin cho các doanh nghiệp này. Phạm vi nghiên cứu tập trung vào các DNVVN tại Việt Nam trong giai đoạn từ năm 2010 đến 2017, với trọng tâm là các giải pháp phù hợp với đặc điểm nguồn lực và hạ tầng CNTT của nhóm doanh nghiệp này. Nghiên cứu có ý nghĩa thiết thực trong việc giúp các DNVVN nâng cao năng lực bảo vệ thông tin, từ đó tăng cường uy tín và khả năng cạnh tranh trên thị trường trong nước và quốc tế.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên các lý thuyết và mô hình về an toàn thông tin, trong đó tập trung vào tam giác bảo mật CIA gồm ba đặc tính cơ bản: tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) và tính sẵn sàng (Availability). Đây là nền tảng để đánh giá và xây dựng các giải pháp bảo vệ thông tin trong doanh nghiệp. Ngoài ra, nghiên cứu áp dụng các mô hình phân loại các kiểu tấn công luồng thông tin trên mạng, bao gồm tấn công bị động (passive attacks) và tấn công chủ động (active attacks), giúp nhận diện và phân tích các nguy cơ mất ATTT.

Về mặt kỹ thuật, luận văn nghiên cứu các hệ mật mã phổ biến hiện nay như AES (Advanced Encryption Standard), RC4, RC5, RC6 và RSA, làm rõ nguyên lý hoạt động, ưu nhược điểm và ứng dụng của từng hệ mật mã trong bảo vệ thông tin doanh nghiệp. Các tiêu chuẩn quản lý ATTT như ISO/IEC 27001:2013 cũng được áp dụng để xây dựng hệ thống quản lý ATTT (ISMS) phù hợp với đặc điểm của DNVVN.

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp tổng hợp tài liệu, phân tích thực trạng và khảo sát thực tế các DNVVN tại Việt Nam. Nguồn dữ liệu chính bao gồm báo cáo của Cục Thương mại điện tử và Công nghệ thông tin, Bộ Công Thương, Hiệp hội An toàn thông tin Việt Nam (VNISA), Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các nghiên cứu quốc tế về ATTT.

Phân tích dữ liệu được thực hiện bằng phương pháp định tính và định lượng, với cỡ mẫu khảo sát khoảng 4.751 doanh nghiệp, trong đó 88% là DNVVN. Phương pháp chọn mẫu là chọn mẫu ngẫu nhiên có phân tầng theo lĩnh vực và quy mô doanh nghiệp nhằm đảm bảo tính đại diện. Timeline nghiên cứu kéo dài từ năm 2010 đến 2017, tập trung đánh giá sự thay đổi về nhận thức, ứng dụng CNTT và thực trạng ATTT của DNVVN trong giai đoạn này.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

Thực trạng ứng dụng CNTT và nhân lực CNTT của DNVVN: 100% DNVVN được khảo sát trang bị máy tính để bàn hoặc laptop, 98% kết nối Internet, tuy nhiên chỉ 45-50% trang bị máy tính bảng. Tỷ lệ doanh nghiệp có cán bộ chuyên trách CNTT tăng từ 20% năm 2010 lên 73% năm 2015, nhưng việc tuyển dụng nhân sự có kỹ năng CNTT lại giảm từ 29% năm 2013 xuống còn 24% năm 2015.
Mức độ nhận thức và đầu tư cho ATTT còn hạn chế: Chỉ 34% doanh nghiệp có người phụ trách ATTT, 23,7% có chính sách ATTT được phê duyệt năm 2016, giảm so với 30% năm 2015. Việc áp dụng các tiêu chuẩn bảo mật như ISO 27001 hoặc PCI rất thấp. Chi phí đầu tư cho hạ tầng CNTT chủ yếu tập trung vào phần cứng (42%), phần mềm (26%) và nhân sự (17%).
Nguy cơ mất ATTT và tổn thất tài chính: Các DNVVN đối mặt với nhiều nguy cơ như tấn công mạng, phần mềm độc hại, lỗ hổng bảo mật, kỹ nghệ xã hội. Theo nghiên cứu của Kaspersky Lab, thiệt hại trung bình mỗi vụ tấn công mạng đối với DNVVN năm 2015 là khoảng 38.000 USD, trong đó chi phí thuê chuyên gia xử lý chiếm 11.000 USD, tổn thất lợi nhuận 16.000 USD và thiệt hại về danh tiếng hơn 8.000 USD.
Hiện trạng tấn công mạng tại Việt Nam: Năm 2016, số vụ tấn công mạng tăng gấp 4,2 lần so với năm 2015, với hơn 134.000 sự cố, trong đó tấn công phishing tăng 1,7 lần, malware tăng 2,8 lần và deface tăng 8,7 lần. Các vụ tấn công có chủ đích, quy mô lớn như tấn công sân bay Nội Bài, Tân Sơn Nhất và các ngân hàng lớn đã gây thiệt hại nghiêm trọng.

Thảo luận kết quả

Kết quả cho thấy mặc dù DNVVN đã có bước tiến trong việc ứng dụng CNTT và tăng cường nhân lực CNTT, nhưng nhận thức và đầu tư cho ATTT vẫn còn nhiều hạn chế do nguồn lực tài chính và nhân sự hạn hẹp. Việc thiếu chính sách và quy trình bảo mật rõ ràng khiến các doanh nghiệp dễ bị tổn thương trước các cuộc tấn công mạng ngày càng tinh vi và đa dạng.

So sánh với các nghiên cứu quốc tế, tình hình ATTT của DNVVN Việt Nam còn thấp hơn nhiều so với các nước phát triển, đặc biệt trong việc áp dụng các tiêu chuẩn quản lý ATTT và công nghệ bảo mật tiên tiến. Việc sử dụng các hệ mật mã như AES, RSA trong doanh nghiệp còn hạn chế do chi phí và kỹ năng vận hành.

Dữ liệu có thể được trình bày qua biểu đồ thể hiện tỷ lệ doanh nghiệp có cán bộ chuyên trách CNTT qua các năm, biểu đồ tăng trưởng số vụ tấn công mạng, bảng phân tích chi phí đầu tư CNTT và tổn thất tài chính do tấn công mạng gây ra. Những biểu đồ này giúp minh họa rõ ràng xu hướng và mức độ ảnh hưởng của ATTT đối với DNVVN.

Đề xuất và khuyến nghị

Xây dựng và triển khai hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001:2013
- Động từ hành động: Thiết lập, vận hành, duy trì
- Target metric: Tăng tỷ lệ DNVVN áp dụng ISMS lên 50% trong 3 năm
- Timeline: Triển khai trong vòng 1-2 năm, đánh giá định kỳ hàng năm
- Chủ thể thực hiện: Ban lãnh đạo doanh nghiệp, phòng CNTT, tư vấn chuyên môn
Đào tạo nâng cao nhận thức và kỹ năng ATTT cho nhân viên
- Động từ hành động: Tổ chức, đào tạo, nâng cao
- Target metric: 100% nhân viên được đào tạo về ATTT trong 1 năm
- Timeline: Đào tạo định kỳ hàng quý
- Chủ thể thực hiện: Phòng nhân sự phối hợp phòng CNTT
Đầu tư hợp lý cho hạ tầng kỹ thuật và phần mềm bảo mật
- Động từ hành động: Đầu tư, nâng cấp, bảo trì
- Target metric: Tăng ngân sách bảo mật CNTT lên tối thiểu 20% tổng chi phí CNTT trong 2 năm
- Timeline: Lập kế hoạch và thực hiện trong 12 tháng
- Chủ thể thực hiện: Ban quản lý tài chính, phòng CNTT
Áp dụng các giải pháp kỹ thuật như mã hóa dữ liệu, chữ ký số, phòng chống tấn công mạng
- Động từ hành động: Triển khai, áp dụng, giám sát
- Target metric: Giảm 30% số vụ tấn công thành công trong 2 năm
- Timeline: Triển khai trong 6 tháng, giám sát liên tục
- Chủ thể thực hiện: Phòng CNTT, chuyên gia bảo mật
Xây dựng chính sách và quy trình bảo mật thông tin rõ ràng, phù hợp với quy mô doanh nghiệp
- Động từ hành động: Soạn thảo, phê duyệt, thực thi
- Target metric: 80% DNVVN có chính sách ATTT được phê duyệt trong 1 năm
- Timeline: Hoàn thiện trong 6 tháng
- Chủ thể thực hiện: Ban lãnh đạo, phòng pháp chế, phòng CNTT

Đối tượng nên tham khảo luận văn

Lãnh đạo và quản lý DNVVN
- Lợi ích: Hiểu rõ các nguy cơ mất ATTT, xây dựng chiến lược bảo vệ thông tin phù hợp với nguồn lực doanh nghiệp.
- Use case: Lập kế hoạch đầu tư và quản lý rủi ro ATTT.
Chuyên viên CNTT và bảo mật trong doanh nghiệp
- Lợi ích: Nắm vững các hệ mật mã phổ biến, tiêu chuẩn quản lý ATTT và giải pháp kỹ thuật thực tiễn.
- Use case: Triển khai các biện pháp bảo mật, vận hành hệ thống ISMS.
Nhà nghiên cứu và giảng viên trong lĩnh vực công nghệ thông tin, an toàn thông tin
- Lợi ích: Tham khảo dữ liệu thực tế, phân tích chuyên sâu về ATTT trong DNVVN Việt Nam.
- Use case: Phát triển đề tài nghiên cứu, giảng dạy chuyên ngành.
Cơ quan quản lý nhà nước và tổ chức hỗ trợ doanh nghiệp
- Lợi ích: Hiểu rõ thực trạng và nhu cầu ATTT của DNVVN để xây dựng chính sách, chương trình hỗ trợ phù hợp.
- Use case: Thiết kế các chương trình đào tạo, hỗ trợ kỹ thuật và tài chính cho DNVVN.

Câu hỏi thường gặp

Tại sao DNVVN lại dễ bị tổn thương trước các cuộc tấn công mạng?
Do hạn chế về nguồn lực tài chính và nhân sự, nhiều DNVVN chưa đầu tư đầy đủ cho hệ thống bảo mật, thiếu chính sách và quy trình bảo vệ thông tin, cũng như nhận thức về ATTT còn thấp. Ví dụ, chỉ 34% doanh nghiệp có người phụ trách ATTT.
Hệ mật mã nào phù hợp nhất để áp dụng cho DNVVN?
AES và RSA là hai hệ mật mã phổ biến được khuyến nghị do tính an toàn cao và khả năng ứng dụng rộng rãi. AES phù hợp cho mã hóa dữ liệu lớn với tốc độ nhanh, RSA dùng cho ký số và trao đổi khóa an toàn.
ISO 27001 có phù hợp với quy mô nhỏ của DNVVN không?
Tiêu chuẩn ISO 27001 có thể được điều chỉnh linh hoạt để phù hợp với quy mô và đặc điểm của DNVVN, giúp xây dựng hệ thống quản lý ATTT hiệu quả mà không gây quá tải về chi phí và nhân lực.
Làm thế nào để nâng cao nhận thức ATTT trong doanh nghiệp?
Tổ chức các khóa đào tạo định kỳ, truyền thông nội bộ về các nguy cơ và biện pháp bảo vệ thông tin, đồng thời xây dựng văn hóa an toàn thông tin trong toàn doanh nghiệp.
Chi phí đầu tư cho ATTT có phải là gánh nặng đối với DNVVN?
Mặc dù chi phí đầu tư có thể là thách thức, nhưng việc không đầu tư sẽ dẫn đến tổn thất lớn hơn về tài chính và uy tín. Việc lựa chọn giải pháp phù hợp, ưu tiên các biện pháp quản lý và kỹ thuật hiệu quả sẽ giúp tối ưu hóa chi phí.

Kết luận

Luận văn đã làm rõ thực trạng ATTT của DNVVN tại Việt Nam, chỉ ra các nguy cơ và tổn thất nghiêm trọng do tấn công mạng gây ra.
Phân tích các hệ mật mã phổ biến và tiêu chuẩn quản lý ATTT như ISO 27001 giúp xây dựng nền tảng kỹ thuật và quản lý cho doanh nghiệp.
Đề xuất các giải pháp tổng thể về quản lý, kỹ thuật và đào tạo nhằm nâng cao hiệu quả bảo vệ thông tin cho DNVVN.
Nghiên cứu có ý nghĩa thực tiễn trong việc hỗ trợ DNVVN nâng cao năng lực bảo mật, góp phần thúc đẩy phát triển kinh tế số và hội nhập quốc tế.
Các bước tiếp theo bao gồm triển khai thử nghiệm các giải pháp đề xuất, đánh giá hiệu quả và mở rộng áp dụng trong thực tế doanh nghiệp.

Hành động ngay hôm nay để bảo vệ thông tin doanh nghiệp bạn và nâng cao sức cạnh tranh trên thị trường!

Trích đoạn nội dung tài liệu

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2017 LUAN VAN CHAT LUONG download Hà Nội - :2017 add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ HẰNG NGHIÊN CỨU BÀI TOÁN AN TOÀN THÔNG TIN CHO DOANH NGHIỆP VỪA VÀ NHỎ Ngành: Công nghệ thông tin Chuyên ngành: Quản lý Hệ thống thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. LÊ PHÊ ĐÔ TS. PHÙNG VĂN ỔN Hà Nội - 2017 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com LỜI CÁM ƠN Đầu tiên, tôi xin được bày tỏ lòng biết ơn sâu sắc tới hai thầy hướng dẫn Tiến sĩ Lê Phê Đô và Tiến sĩ Phùng Văn Ổn đã tận tâm, tận lực hướng dẫn, định hướng phương pháp nghiên cứu khoa học cho tôi; đồng thời cũng đã cung cấp nhiều tài liệu và tạo điều kiện thuận lợi trong suốt quá trình học tập, nghiên cứu để tôi có thể hoàn thành luận văn này. Tôi xin chân thành cảm ơn các thầy cô giáo trong Bộ môn Hệ thống thông tin và Khoa Công nghệ thông tin, trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình giảng dạy, truyền đạt những kiến thức, kinh nghiệm quý báu trong suốt thời gian tôi học tập tại trường. Cuối cùng, tôi xin gửi lời cảm ơn tới gia đình, bạn bè và đồng nghiệp đã luôn quan tâm, ủng hộ và động viên, giúp tôi có nghị lực phấn đấu để hoàn thành tốt luận văn. Hà Nội, tháng 7 năm 2017 Học viên thực hiện luận văn Nguyễn Thị Hằng LUAN VAN CHAT LUONG download iii : add luanvanchat@agmail.com LỜI CAM ĐOAN Luận văn thạc sĩ đánh dấu cho những thành quả, kiến thức tôi đã tiếp thu được trong suốt quá trình rèn luyện, học tập tại trường. Tôi xin cam đoan luận văn này được hoàn thành bằng quá trình học tập và nghiên cứu của tôi dưới sự hướng dẫn khoa học của hai thầy giáo, TS. Lê Phê Đô và TS. Nội dung trình bày trong luận văn là của cá nhân tôi hoặc là được tổng hợp từ nhiều nguồn tài liệu tham khảo khác đều có xuất xứ rõ ràng và được trích dẫn hợp pháp. Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình. Hà Nội, tháng 7 năm 2017 Người cam đoan Nguyễn Thị Hằng iv LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC LỜI CÁM ƠN . iii LỜI CAM ĐOAN . iv MỤC LỤC . v DANH SÁCH CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT . vii DANH MỤC CÁC HÌNH VẼ . viii DANH MỤC CÁC BẢNG. xi MỞ ĐẦU. 1 CHƯƠNG 1: BÀI TOÁN AN TOÀN THÔNG TIN CHO DNVVN . Cơ sở lý luận về an toàn thông tin . An toàn thông tin . Tấn công luồng thông tin trên mạng . Phân loại các kiểu tấn công luồng thông tin trên mạng . Thực trạng ATTT đối với các DNVVN . Đặc điểm hệ thống thông tin của các DNVVN . Thực trạng ATTT thế giới . Thực trạng ATTT đối với các doanh nghiệp Việt Nam . Bài toán an toàn thông tin cho DNVVN. Các nguy cơ mất ATTT đối với DNVVN . Những tổn thất của DNVVN trước những nguy cơ mất ATTT . Danh mục các tài sản thông tin của DNVVN cần được bảo vệ . 16 CHƯƠNG 2: CÁC HỆ MẬT MÃ ĐẢM BẢO ATTT ĐƯỢC DÙNG PHỔ BIẾN HIỆN NAY . Tổng quan về hệ mật mã. Phân loại các hệ mật mã . Một số khái niệm cơ bản về sử dụng mật mã . Hệ mật AES . Hệ mật RC4 . Hệ mật RSA . 35 v LUAN VAN CHAT LUONG download : add luanvanchat@agmail. 38 CHƯƠNG 3: MỘT SỐ GIẢI PHÁP ĐẢM BẢO ATTT CHO CÁC DNVVN . Nhóm giải pháp về Quản lý ATTT . Thiết lập hệ thống quản lý ATTT cho DNVVN theo tiêu chuẩn ISO . Đánh giá rủi ro về ATTT . Chính sách phòng chống virus . Chính sách sao lưu và phục hồi . Nhóm giải pháp về công nghệ . Mã hóa dữ liệu trong lưu trữ . Phòng chống tấn công website . Sử dụng chữ ký số trong các giao dịch điện tử .4 Xây dựng hệ thống mạng an toàn . Các biện pháp giảm nhẹ rủi ro về ATTT cho các DNVVN . Vai trò của giảm nhẹ rủi ro về ATTT . Kiểm soát và kiểm định . Đánh giá quy trình ATTT . Ứng phó sự cố về ATTT. 57 CHƯƠNG 4: CÀI ĐẶT VÀ THỬ NGHIỆM CHỮ KÝ SỐ ĐẢM BẢO ATTT TRONG VIỆC KÝ KẾT HỢP ĐỒNG ĐIỆN TỬ CỦA DNVVN . Tổng quan về hợp đồng điện tử . Một số hợp đồng điện tử. Lợi ích của hợp đồng điện tử . Một số điểm cần lưu ý khi ký kết và thực hiện hợp đồng điện tử . Quy trình cơ bản để ký kết hợp đồng điện tử có sử dụng chữ ký số . Những khía cạnh cần thiết về an toàn thông tin .2 Cài đặt thử nghiệm . 71 TÀI LIỆU THAM KHẢO. 72 vi LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH SÁCH CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT VIẾT TT TIẾNG ANH TIẾNG VIỆT TẮT 1. AES Advanced Encryption Standard Chuẩn mã hoá tiên tiến 2. ATTT Information Security An toàn thông tin 3. CA Certification Authority Tổ chức chứng nhận Confidentiality, Integrity, Bộ ba tính bí mật, toàn vẹn, 4. CIA Availability sẵn sàng 5. CNTT Information Technology Công nghệ thông tin 6. DES Data Encryption Standard Chuẩn mã hoá dữ liệu 7. DNVVN Small and Medium Enterprise Doanh nghiệp vừa và nhỏ 8. HTTT Information System Hệ thống thông tin 9. RA Registration Authority Tổ chức đăng ký Thuật toán mật mã khoá công 10. RSA Rivest, Shamir, & Adleman khai 11. IP Internet Protocol Address Địa chỉ IP của máy tính 12. IPS Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập Information Security Hệ thống quản lý an toàn 13. ISMS Management System thông tin 14. TMĐT E-commerce Thương mại điện tử vii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC CÁC HÌNH VẼ Hình 1. Đặc tính cơ bản của an toàn thông tin . Mô hình tấn công luồng thông tin . Phân loại các kiểu tấn công luồng thông tin trên mạng. Tỷ lệ máy tính trong doanh nghiệp . Tỷ lệ ứng dụng phần mềm trong DNVVN . Tỷ lệ DNVVN có cán bộ chuyên trách về CNTT qua các năm . Tỷ lệ doanh nghiệp có cán bộ chuyên trách về CNTT và TMĐT theo lĩnh vực kinh doanh. Khó khăn trong việc tuyển dụng nhân sự có kỹ năng CNTT và TMĐT . Cơ cấu chi phí cho hạ tầng công nghệ thông tin . Tình hình tấn công mạng trên thế giới năm 2016 . Chỉ số ATTT qua các năm. Quá trình mã hoá và giải mã. Quy trình giải mã AES . Sơ đồ tạo gama trong hệ mật RC4 . Sơ đồ khối quá trình mã hóa và giải mã RC5. Cấp bậc trong quản lý ATTT. Minh họa chữ ký số của bên gửi cho thông báo M . Mô hình Kiosk . Mô hình Office-Internet . Mô hình Office-DMZ-Internet . Mô hình Office-MultiDMZ-Internet . Đánh giá quy trình ATTT theo các giai đoạn . Các bước ứng phó với sự cố về ATTT . Vai trò của xác thực người dùng . Sơ đồ quá trình ký số hợp đồng điện tử. Mẫu hợp đồng . Tạo cặp khóa RSA cho người dùng. Ký hợp đồng bằng chữ ký điện tử . Quá trình kiểm tra chữ ký .70 viii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC CÁC BẢNG Bảng 1. Phân loại tài sản thông tin quan trọng dựa trên các đặc tính . Bảng hằng số mở rộng Rcon của AES – 128 . Bảng khóa mở rộng AES – 128 . Mối liên hệ giữa Nk, Nb và Nr . Các thành phần chính trong chính sách ATTT .42 xi LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU 1. Tính cấp thiết của đề tài Trong nền kinh tế tri thức, thông tin đã trở thành một vấn đề sống còn đối với mọi lĩnh vực của đời sống kinh tế - xã hội đặc biệt là trong quản lý kinh tế, nó quyết định sự thành bại của các doanh nghiệp trên thương trường nếu họ biết sử dụng sao cho đạt hiệu quả nhất. Ứng dụng CNTT giúp các doanh nghiệp nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, sức cạnh tranh với thị trường trong và ngoài nước. Tuy nhiên, cùng với sự phát triển nhanh chóng của các lĩnh vực công nghệ thì nguy cơ mất an toàn thông tin cũng là một vấn đề bức thiết đối với các doanh nghiệp khi gần đây xảy ra rất nhiều cuộc tấn công mạng, tấn công bởi các hacker với mức độ và hậu quả nghiêm trọng. Theo số liệu của phòng Công nghiệp và Thương mại Việt Nam, lực lượng doanh nghiệp vừa và nhỏ Việt Nam hiện chiếm gần 98% tổng số doanh nghiệp trên cả nước, phát triển đa dạng các ngành nghề, lĩnh vực. Mỗi ngành nghề, lĩnh vực đòi hỏi thông tin trong đó cần phải được bảo mật, xác thực và toàn vẹn. Bảo đảm an toàn thông tin vừa giúp doanh nghiệp phát triển, vừa giúp doanh nghiệp có được hình ảnh uy tín, được các bên đối tác đánh giá và tin tưởng khi hợp tác. Xuất phát từ thực tế đó, học viên đã chọn đề tài “Nghiên cứu bài toán an toàn thông tin cho doanh nghiệp vừa và nhỏ” làm luận văn thạc sĩ của mình nhằm góp phần giúp các DNVVN có thêm một số giải pháp quản lý, bảo vệ thông tin an toàn, hiệu quả. Mục tiêu nghiên cứu Trên cơ sở làm rõ những vấn đề lý luận và thực tiễn về an toàn thông tin số; sau khi phân tích đặc điểm hệ thống thông tin của các DNVVN, thực trạng an toàn thông tin trên thế giới và tại Việt Nam, học viên tìm hiểu một số hệ mật mã đảm bảo an toàn thông tin hiện đang được sử dụng phổ biến, đề xuất một số giải pháp giúp các DNVVN đảm bảo an toàn thông tin; đáp ứng yêu cầu doanh nghiệp Việt Nam hội nhập ngày càng sâu rộng và thành công vào nền kinh tế khu vực và thế giới. Nội dung nghiên cứu Ngoài phần mở đầu và kết luận, nội dung luận văn bao gồm: Chương 1: Bài toán an toàn thông tin cho DNVVN. Chương 2: Các hệ mật mã đảm bảo an toàn thông tin được dùng phổ biến hiện nay. Chương 3: Một số giải pháp đảm bảo an toàn thông tin cho DNVVN. Chương 4: Cài đặt và thử nghiệm chữ ký số đảm bảo ATTT trong việc ký kết hợp đồng điện tử cho DNVVN. 1 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƯƠNG 1: BÀI TOÁN AN TOÀN THÔNG TIN CHO DNVVN 1.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Chủ đề

An ninh mạng và bảo mật thông tin

Quản trị hệ thống thông tin doanh nghiệp

Công nghệ thông tin cho SME