Tải bản đầy đủ (.docx) (28 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Thương mại

Khóa luận: “Giải pháp an toàn bảo mật thông tin tại Công ty TNHH dịch vụ và du lịch Vietsense”

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (256.61 KB, 28 trang )

LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sự
hướng dẫn nhiệt tình của giáo viên hướng dẫn ThS. Bùi Quang Trường, cùng sự giúp đỡ của
ban giám đốc và toàn thể nhân viên công ty TNHH Dịch Vụ Và Du Lịch Vietsense.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy ThS Bùi Quang Trường – Giáo
viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóa luận tốt
nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các anh/chị làm
việc tại công ty Công ty TNHH Dịch Vụ Và Du Lịch Vietsense vì sự quan tâm, ủng hộ và
hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ thống thông tin kinh tế
về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập và hoàn thành
khóa luận này.
Trong quá trình nghiên cứu đề tài, mặc dù rất rỗ lực, cố gắng tuy nhiên vẫn không tránh
khỏi những thiếu sót. Em rất mong nhận được những ý kiến đóng góp từ các thầy cô giáo, từ
các anh/chị trong công ty Công ty TNHH Dịch Vụ Và Du Lịch Vietsense để hoàn thiện hơn
nữa khóa luận tốt nghiệp của mình.
Em xin chân thành cảm ơn!


Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sự
sống còn đối với các doanh nghiệp. Thế nhưng rất nhiều doanh nghiệp vẫn chưa nhận thức
được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò
rỉ thông tin trong chính nội bộ của doanh nghiệp mình. Bảo mật thông tin là duy trì tính bảo
mật, tính trọn vẹn và tính sẵn sàng của thông tin. Bảo mật nghĩa là đảm bảo thông tin chỉ
được tiếp cận bởi những người được cấp quyền tương ứng. Theo một cuộc khảo sát về vấn
đề bảo mật thông tin của tổ chức nghiên cứu thị trường, có 66% các công ty được hỏi cho
biết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49%
chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro


trong bảo mật. Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn
do rò rỉ thông tin thì lại chưa có sự đầu tư cân xứng cho bảo mật thông tin. Rất nhiều câu
hỏi thể hiện sự băn khoăn của các doanh nghiệp trước ngưỡng cửa "tin học hoá quản lý
doanh nghiệp" mà cụ thể là làm thế nào để bảo mật thông tin trong doanh nghiệp và cần
phải lựa phải chọn giải pháp như thế nào cho phù hợp với điều kiện của doanh nghiệp. Việc
thông tin bị rò rỉ sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh nghiệp đối với khách
hàng và các đối tác. Điều đó cho thấy, việc bảo mật thông tin quan trọng và cần thiết cũng
như ngày càng khó khăn trước những đòi hỏi gắt gao của môi trường kinh doanh yêu cầu
doanh nghiệp phải năng động chia sẻ thông tin của mình qua hệ thống mạng Internet. Vấn
đề đặt ra là để bảo vệ thông tin khỏi những mối nguy hiểm trên, doanh nghiệp lựa chọn các
biện pháp bảo vệ nào để bảo vệ thông tin của mình trước nhiều cách thức bảo mật thông tin
như hiện nay.
Vì vậy, vấn đề an toàn bảo mật thông tin trong doanh nghiệp hết sức quan trọng. Để đảm
bảo an toàn hệ thống thông tin, chúng ta không những phải có giải pháp mà cần có con
người, quy trình và cần áp dụng các tiêu chuẩn an toàn để đảm bảo thông tin trong doanh
nghiệp luôn được truyền tải nhanh chóng, thuận tiện và bảo mật.
Hiểu được tầm quan trọng của việc bảo mật, an toàn dữ liệu trong các doanh nghiệp nên
Công ty TNHH dịch vụ và du lịch Vietsense cần triển khai việc áp dụng các biện pháp nhằm
nâng cao tính bảo mật và an toàn thông tin, dữ liệu của mình.


Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Giải pháp an toàn bảo
mật thông tin tại Công ty TNHH dịch vụ và du lịch Vietsense” làm đề tài khóa luận của
mình. Với hi vọng, đây sẽ là giải pháp hiệu quả để giúp doanh nghiệp nâng cao doanh thu
và lợi nhuận trong tương lai.
1.2 Tổng quan vấn đề nghiên cứu
Nhu cầu sử dụng internet của người dùng cá nhân cũng như doanh nghiệp tăng cao trên
toàn cầu thì những kẻ tấn công đã và đang tạo ra ngày càng nhiều mối đe dọa mới và tiềm
năng hủy hoại lớn hơn, đặc biệt chúng hướng tới mục tiêu thu lợi tài chính. Trong những
năm qua, có rất nhiều công trình khoa học, bài báo,… nghiên cứu về các giải pháp an toàn

bảo mật thông tin giúp cho các doanh nghiệp, tổ chức có thể đảm bảo an toàn thông tin, dữ
liệu của mình.
Trong tình hình kinh tế khó khăn, các doanh nghiệp dù có thu hẹp chi phí để vượt qua
khủng hoảng kinh tế thì vẫn phải chú trọng đến vấn đề bảo mật thông tin của doanh nghiệp.
Vì sự mất an toàn thông tin không những làm doanh nghiệp mất lợi thế cạnh tranh mà còn
làm ảnh hưởng hoặc ngưng trệ hoạt động sản xuất kinh doanh của doanh nghiệp. Bài báo
cáo thiết kế tường lửa của thạc sĩ Vũ Anh Tuấn khoa Công nghệ thông tin, trường Đại học
Thái Nguyên năm 2012, đã đưa ra được các phương pháp xây dựng tường lửa và đề xuất
nhiều tiện ích mới mà tường lửa đem lại mang tính khả thi cao đề xuất một số quy trình xây
dựng tường lửa sao có hiệu quả nhất, đưa ra những hạn chế mà tường lửa không làm được.
Tuy nhiên, báo cáo cũng chỉ dừng lại ở việc chỉ ra những hạn chế của tường lửa chứ chưa đề
xuất được giải pháp nào để khắc phục vấn đề này.
Cũng bàn về vấn đề này, Nguyễn Dương Hùng - Khoa HTTTQL – HVNH đã thực hiện
bài nghiên cứu khoa học “Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mại
khi sử dụng công nghệ điện toán đám mây”. Các ngân hàng ngày càng gặp nhiều khó khăn
trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì nó đang được tăng
lên nhanh chóng theo từng ngày. Sự ra đời của công nghệ ĐTĐM cùng với khả năng cung
cấp một cơ sở hạ tầng không giới hạn để truy suất, lưu trữ dữ liệu tại các vị trí địa lý khác
nhau là một giải pháp tốt cho cơ sở hạ tầng CNTT để các ngân hàng xử lý các vấn đề khó
khăn trên. Như một kết quả tất yếu, dữ liệu dư thừa, trùng lặp sẽ xuất hiện và bị sửa đổi bởi
những người sử dụng trái phép. Điều này dẫn đến việc mất mát dữ liệu, mất an toàn và bảo
mật thông tin, sự riêng tư của khách hàng sẽ trở thành vấn đề chính cho các ngân hàng khi


họ ứng dụng công nghệ ĐTĐM vào công việc kinh doanh của họ. Do đó việc ứng công
nghệ ĐTĐM vào các ngân hàng là một xu thế tất yếu trong trong thời đại CNTT phát triển
mạnh mẽ như hiện nay. Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên
cứu mang tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được những khuyến
nghị về an ninh bảo mật trong ĐTĐM.
Bảo mật thông tin được xem là một trách nhiệm quản lí và kinh doanh, không đơn giản

chỉ là yếu tố kĩ thuật cần được giao cho các chuyên gia công nghệ hay bộ phận IT. Bài viết
“Bảo mật thông tin: Chuyện sống còn của doanh nghiệp” (www.vneconomy.vn) đã bàn rất
rõ về điều này. Bài viết đã nêu ra những con số chứng minh cho thực trạng an toàn bảo mật
thông tin tại các doanh nghiệp Việt Nam và trên thế giới. Từ việc xác định các nhân tố ảnh
hưởng đến an toàn thông tin, bài viết đã khẳng định được tầm quan trọng của bảo mật thông
tin đối với mỗi doanh nghiệp. Tuy nhiên, bài viết lại chưa đề cấp đến cách thức giải quyết,
hướng phát triển cũng như đề xuất các mô hình tường lửa với các tiện ích để giải quyết vấn
đề này.
Không nằm ngoài guồng quay đó, hội thảo - triển lãm quốc gia về an ninh bảo mật lần
thứ 6 với chủ đề “giải pháp an ninh hệ thống, bảo mật thông tin” do cục Tin học, Tổng cục
Hậu cần – Kỹ thuật, Bộ Công an cũng được tổ chức tại Hà Nội trong tháng 4/2011 (Báo
điện tử Đảng Cộng Sản Việt Nam). Hội thảo đã đưa ra một số thông tin về một số nguy có
mất an toàn thông tin tại các doanh nghiệp, xác định nguyên nhân chủ yếu do sự chủ quan,
hạn chế trong nhận thức, thiếu hụt đầu tư an ninh thông tin của các doanh nghiệp. Như vậy,
vấn đề an toàn bảo mật thông tin riêng ngày càng được các doanh nghiệp cũng như toàn xã
hội quan tâm, nghiên cứu. Qua các hội thảo, bài nghiên cứu, bài báo, nhiều vấn đề về an
toàn thông tin đã được giải quyết, nhiều doanh nghiệp đã tìm được hướng đi đúng cho mình,
lựa chọn cho mình một giải pháp bảo mật thông tin phù hợp giúp đảm bảo những thông tin
mật, nâng cao hiệu quả kinh doanh.
Từ những phân tích trên em đã chọn đề tài: “ Giải pháp an toàn bảo mật thông tin tại
Công ty TNHH dịch vụ và du lịch Vietsense” để có cơ hội nghiên cứu sâu hơn về các hoạt
động đảm bảo an toàn và bảo mật HTTT quản lý tại công ty.
Trong đề tài này với mong muốn giúp DN đạt được hiệu quả cao hơn trong vấn đề đảm
bảo an toàn và bảo mật thông tin. Em sẽ tập trung nghiên cứu trên cơ sở lý luận về lý thuyết
an toàn, bảo mật thông tin nói chung và an toàn, bảo mật thông tin HTTT quản lý nói riêng,
đặc biệt là các yếu tố ảnh hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo an


toàn, bảo mật thông tin HTTT quản lý để có thể đánh giá được chính xác nhất về thực trạng
cũng như hiệu quả của các giải pháp đảm bảo an toàn, bảo mật thông tin của công ty. Từ đó

khóa luận đưa ra những giải pháp phù hợp nhằm nâng cao hiệu quả của các biện pháp đảm
bảo an toàn, bảo mật thông tin của Công ty TNHH dịch vụ và du lịch Vietsense.
1.3 Mục tiêu cụ thể
Việc nghiên cứu khóa luận nhằm các mục tiêu sau:
-

Hệ thống hóa một số cơ sở lý luận về an toàn và bảo mật HTTT quản lý trong DN.

-

Trên cơ sở lý luận, các công cụ phân tích để đánh giá thực trạng hoạt động đảm bảo an toàn
và bảo mật HTTT quản lý tại Công ty TNHH dịch vụ và du lịch Vietsense.

-

Trên cơ sở lý luận và phân tích thực trạng để đưa ra các giải pháp khả thi nhằm nâng cao
hiệu quả hoạt động đảm bảo an toàn và bảo mật HTTT quản lý cho Công ty TNHH dịch vụ
và du lịch Vietsense.
1.4 Đối tượng và phạm vi nghiên cứu đề tài

a. Đối tượng nghiên cứu: Các giải pháp công nghệ và giải pháp con người để đảm bảo nâng
cao hoạt động an toàn và bảo mật HTTT quản lý là đối tượng nghiên cứu chính của đề tài.
b. Phạm vi nghiên cứu:
-

Phạm vi thời gian: Đề tài sẽ phân tích các hoạt động an toàn và bảo mật HTTT của DN
thông qua các báo cáo kinh doanh, các tài liệu điều tra liên quan trong 3 năm gần đây (2013,
2014, 2015) và có những đề xuất cho hoạt động đảm bảo an toàn và bảo mật HTTT quản lý
của công ty trong năm 2016, 2017 và định hướng đến năm 2019.


-

Phạm vi không gian: Nghiên cứu thực trạng hoạt động an toàn và bảo mật HTTT quản lý
của Công ty TNHH dịch vụ và du lịch Vietsense.
Phạm vi nội dung: Nội dung nghiên cứu xoay quanh hoạt động an toàn và bảo mật HTTT
quản lý trong Công ty TNHH dịch vụ và du lịch Vietsense để xác định ưu điểm, nhược điểm
của các hoạt động đó. Đồng thời phân tích thực trạng triển khai, thuận lợi, khó khăn, đánh
giá hiệu quả và có những đề xuất cụ thể nhằm nâng cao hiệu quả hoạt động đảm bảo an toàn
và bảo mật HTTT quản lý cho Công ty TNHH dịch vụ và du lịch Vietsense.
1.5 Phương pháp nghiên cứu
1.5.1. Phương pháp thu thập dữ liệu thứ cấp
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các mục tiêu
khác nhau của công ty.


-

Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty
trong vòng 3 năm: 2013, 2014, 2015 được thu thập từ phòng hành chính, phòng kế toán,
phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác.

-

Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo của các
năm trước có liên quan tới đề tài nghiên cứu và từ internet.
1

Phương pháp thu thập dữ liệu sơ cấp

a. Phương pháp sử dụng phiếu điều tra

-

Nội dung: Bảng câu hỏi gồm 6 câu hỏi theo hai hình thức câu hỏi đóng và câu hỏi mở. Các
câu hỏi đều xoay quanh các hoạt động đảm bảo an toàn và bảo mật HTTT quản lý được
triển khai và hiệu quả của các hoạt động này đối với Công ty TNHH dịch vụ và du lịch
Vietsense. Những câu hỏi được đặt ra để có thể đánh giá được thực trạng triển khai các hoạt
động đảm bảo an toàn và bảo mật HTTT quản lý, từ đó đề xuất một số giải pháp có tính khả
thi để nâng cao hiệu quả các hoạt động đảm bảo an toàn và bảo mật HTTT quản lý của công
ty.

-

Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 12 anh/chị là những chuyên viên cao
cấp trong công ty để thu thập ý kiến.
-

Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn và bảo mật HTTT
quản lý của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp
đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn và bảo mật HTTT
quản lý trong Công ty TNHH dịch vụ và du lịch Vietsense.

b. Phương pháp phỏng vấn chuyên gia
-

Nội dung: Gồm 5 câu hỏi mở để phỏng vấn trực tiếp một chuyên gia quản lý trực tiếp

HTTT quản lý của công ty để có thể ghi chép các câu trả lời.
-

Cách thức tiến hành: Phỏng vấn cá nhân anh Lê Đắc Tâm – Trưởng phòng kĩ thuật


vào ngày 13/2/2016 tại trụ sở công ty: Số 88 Xã Đàn- Đống Đa- Hà Nội.
-

Mục đích: Thu thập nhứng thông tin chuyên sâu và chi tiết về các hoạt động đảm bảo

an toàn và bảo mật HTTT quản lý tại Công ty TNHH dịch vụ và du lịch Vietsense.
1.5.1 Phương pháp phân tích và xử lý số liệu
-

Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social

Sciences).
-

Phương pháp định tính: Phân tích, tổng hợp thông tin qua phiếu điều tra và các tài

liệu thứ cấp thu được.


1.6 Khung kết cấu khóa luận
Ngoài lời cảm ơn, danh mục bảng biểu hình vẽ, danh mục từ viết tắt, phụ lục khóa luận
gồm 3 phần:
Phần 1: Tổng quan vấn đề nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng về an toàn bảo mật thông tin tại công ty TNHH dịch vụ
và du lịch Vietsense.
Phần 3: Giải pháp an toàn bảo mật thông tin tại công ty TNHH dịch vụ và du lịch Vietsense.
Phần 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT THÔNG
TIN TẠI CÔNG TY TNHH DỊCH VỤ VÀ DU LỊCH VIETSENSE
2.1.


Cơ sở lý luận

2.1.1. Một số khái niệm cơ bản
2.1.1.1.

Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong DN
Dữ liệu: là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ
liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành
thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện.
Thông tin: Theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện, một hiện
tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử
dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ
liệu.
Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ
mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ
các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong
việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất
hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên ngoài, hệ
thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ,
nâng cao sức cạnh tranh, tạo đà cho phát triển.
Hệ thống thông tin quản lý (MIS): Hệ thống thông tin quản lý được hiểu như là một hệ
thống dùng để tiến hành quản lý cùng với những thông tin được cung cấp thường xuyên.


Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến
MIS là nói đến hệ thống thông tin quản lý được trợ giúp của máy tính.
Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ

chức nhằm phối hợp việc thu thập, xử lý và truyền thông tin.
MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặt chẽ với
nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấp những thông tin
cần thiết cho quản lý.
Nguồn: Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội.
2.1.1.2.

Khái niệm về an toàn, bảo mật HTTT quản lý
An toàn thông tin: Thông tin được coi là an toàn khi thông tin đó không bị làm hỏng hóc,
không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.
Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.

-

Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền mới được
phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với
các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không
được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng

-

nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản.
Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính xác, người
sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá nhân được cấp
quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý định đánh cắp thông
tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông
tin sai lệch gây thiệt hại cho công ty.

Tính sẵn sàng


Tính toàn vẹn

Hình 2.1: Mục tiêu CIA

Tính bảo mật


-

Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục vụ, bất
cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống. Có
thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử dụng cần là
có thể dùng được, nếu hai yêu cầu trên được đảm bảo nhưng yêu cầu cuối cùng không được
đảm bảo thì thông tin cũng trở nên mất giá trị.
Bảo mật HTTT quản lý: Một HTTT nói chung và một HTTT quản lý nói riêng được coi
là bảo mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí
trong một thời gian xác định.
Nguồn: Bài giảng an toàn và bảo mật thông tin doanh nghiệp, Trường Đại học Thương
mại Hà Nội.
2.1.2. Một số lý thuyết về an toàn, bảo mật HTTT
a. Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT quản lý trong DN
Một HTTT quản lý hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môi
trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô. Nhưng
có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an toàn và bảo mật
HTTT quản lý trong doanh nghiệp là: yếu tố con người và yếu tố công nghệ.
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống và tính
hữu hiệu của hệ thống trong tiến trình khai thác vận hành.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin quản lý.
Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng lực
sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt động độc lập hoặc

trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ trong các
tổ chức. Người quản lý HTTT làm tất cả mọi thứ từ việc lập nên những kế hoạch cho đến
việc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng lưới thông tin quản
lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc nghiên
cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp xác định
được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời vạch ra những
kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm việc với đội ngũ nhân
viên của mình, máy tính và các nhà quản lý HTTT có thể phát triển những ý tưởng của các


sản phẩm và dịch vụ mới hoặc có thể xác định được khả năng tin học của tổ chức đó có thể
hổ trợ cho việc quản lý dự án một cách hiệu quả như thế nào.
Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân tích hệ
thống, các lập trình viên, các chuyên gia hỗ trợ, và những nhân viên khác có liên quan. Nhà
quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng cấp phần mềm, phần
cứng, các thiết kế hệ thống và chương trình, sự phát triển mạng máy tính và sự thực thi của
các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc biệt ngày càng quan tâm đến sự bảo
quản, bảo dưỡng, duy trì và an ninh của HTTT quản lý.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệ
thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh doanh
của DN, CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãi
hơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với những nguyên
tắc mới. CNTT như một thách thức đồng thời cũng là công nghệ quan trọng phổ biến nhất,
lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập vào
nền kinh tế toàn cầu.
Công nghệ được chia làm hai loại: Phần cứng và phần mềm.
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu thập, xử lý

và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trống virus, những
ứng dụng, hệ điều hành, giải pháp mã hóa…
b. Thông tin doanh nghiệp và những tác động cụ thể của những công cụ an toàn, bảo
mật tới HTTT doanh nghiệp
Thông tin doanh nghiệp: Là những thông tin của DN về nhân sự, cơ cấu tổ chức, các văn
bản, chính sách, mục tiêu sản xuất kinh doanh của DN. Những thông tin có tính nhệ cảm
như: báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin khách hàng,…
Tác động của các công cụ đảm bảo an toàn và bảo mật tới HTTT DN: Những công cụ an
toàn, bảo mật thông tin hoạt động hiệu quả thì các sự cố tấn công từ bên trong cũng như từ
bên ngoài sẽ bị hạn chế và các hoạt động chủ yếu của DN vẫn không ngừng hẳn. Đồng thời,
khi các công cụ an toàn, bảo mật được ứng dụng thì các hoạt động hay các thông tin sẽ được
khắc phục kịp thời mà không gây thiệt hại về mặt vật chất và thông tin cho DN.


Khi HTTT quản lý hoạt động hiệu quả và an toàn thì các thông tin mà HTTT cung cấp
cho các cấp quản trị sẽ có chất lượng và độ tin cậy cao.
c. Tổng quan các công trình nghiên cứu có liên quan đến an toàn và bảo mật
An toàn, bảo mật là vấn đề đã được để cập rất lâu chính vì vậy đã có khá nhiều các công
trình nghiên cứu. An toàn, bảo mật được đề cập đến trong một số tài liệu sau:
-

Bài giảng an toàn và bảo mật thông tin doanh nghiệp – Bộ môn CNTT – Trường ĐH
Thương Mại. Bài giảng chủ yếu xoay quanh các vấn đề lý thuyết các loại tấn công và mất
mát thông tin từ đó có một số biện pháp chung về an toàn và bảo mật thông tin doanh
nghiệp.

-

Luận văn về an toàn, bảo mật thông tin: Giải pháp nhằm nâng cao bảo mật HTTT quản trị

tại công ty cổ phần công nghệ cao – Nguyễn Hữu Dũng – Khoa Thương Mại Điện Tử - ĐH
Thương Mại (2009). Luận văn cũng đã đưa ra được lý thuyết và một số giải pháp nhưng các
giải pháp vẫn đang ở mức khái quát và chưa mang tính khả thi, cụ thể.

-

Đề tài: “ Giải pháp an toàn bảo mật hệ thống thông tin tại công ty TNHH Dịch Vụ Và Du
Lịch Vietsense.” tập trung vào việc đánh giá và nâng cao hiệu quả các hoạt động đảm bảo an
toàn và bảo mật HTTT quản lý tại một doanh nghiệp cụ thể và đề tài không trùng lặp nội
dung với các công trình nghiên cứu trước đó.
2.1.3. Phân định nội dung vấn đề nghiên cứu của đề tài

2.1.3.1.

Xác định đối tượng cần đảm bảo an toàn, bảo mật
Để đảm bảo một HTTT quản lý được an toàn và bảo mật tức là phải đảm bảo thông tin
đầu vào và đầu ra của HTTT đó được đảm bảo an toàn và bảo mật. Do đó đối tượng chính
của HTTT quản lý cần đảm bảo đó là thông tin của HT đó
Thông tin trong DN có ở nhiều mức độ và mỗi mức độ cần có những chính sách về an
toàn, và bảo mật khác nhau. Có những thông tin được đưa vào diện bảo mật ở mức rất cao
và rất ít người được biết đến những thông tin này, có những thông tin lại ở những mức độ
cần an toàn, bảo mật ở mức thập hơn. DN cần xác định đúng đắn các thông tin cần an toàn,
bảo mật để từ đó có các chính sách, công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này.

2.1.3.2.

Xác định mục tiêu an toàn, bảo mật
Phát hiện các lỗ hổng của HTTT, dự đoán trước các nguy cơ tấn công.
Ngăn trặn những hành động gây mât an toàn, bảo mật thông tin từ bên trong cũng như từ
bên ngoài.



Một hệ thống thông tin an toàn và bảo mật phải đảm bảo được 3 yêu cầu: Tính sẵn sàng,
tính bảo mật và tính toàn vẹn. Trong kĩ thuật bảo mật gọi là mục tiêu CIA. Để đạt được mục
tiêu CIA không chỉ đơn giản là thực hiện một vài biện pháp phòng chống, triển khai một vài
thiết bị hay phần mềm cho hệ thống mà bảo mật là một chu trình liên tục theo thời gian.
2.1.3.3.

Xác định các loại tấn công
Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn công cụ để
đảm bảo an toàn, bảo mật.

− Các nguy cơ xảy ra có thể là do nguyên nhân khách quan hoặc do chủ quan của con người.
Các nguyên nhân do khách quan mang lại được gọi là các thảm họa (Disaster) là các sự cố
xảy ra đột ngột không lường trước, có thể là các thiên tai như động đất, núi lửa, sóng thần…
hoặc cũng có thể là do con người gây nên như là hỏa hoạn, mất điện hay sụp đổ hệ thống.
Còn các nguyên nhân chủ quan chính là các hành vi tấn công. Tấn công là các hành vi nhằm
phá hoại mục tiêu an toàn và bảo mật. Hình thức tấn công thường xảy ra hơn và cũng khó
đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải hiểu được các kĩ
thuật được sử dụng để tấn công ở mục này tôi sẽ trình bày chi tiết về các kĩ thuật tấn công
thường gặp.
− Phân loại tấn công: Các loại tấn công được phân làm 3 loại chính:
+ Kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng sự bất
cẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác nhận
quyền truy nhập của user và có thể truy nhập hê thống vào bằng thông tin đó.
+ Tấn công phần mềm (Software Attacks): Loại này nhằm vào các ứng dụng
( applications), hệ điều hành (OS) và các giao thức ( protocols). Mục đích là để phá
hủy hay vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên
các máy tính, để đạt được quyền truy nhập vào hệ thống và khai thác thông tin.
Loại tấn công này có dùng độc lập hoặc kết hợp với 1 số loại khác.

+ Tấn công phần cứng (Hardware Attacks): Nhằm vào ổ cứng, bo mạch chủ, CPU,
cáp mạng …mục đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho
tấn công từ chối dịch vụ (DoS).
2.1.3.4.

Lựa chọn công cụ an toàn, bảo mật
+ Người sủ dụng chỉ quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để tiếp cận
được với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều lớp
phức tạp. Và tại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các


hacker, người làm công tác bảo mật cần xây dựng được một bức tranh toàn cảnh về
đường đi của thông tin và các biện pháp bảo mật thích hợp tại mỗi lớp.
+ Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo mật kết
hợp.
+ Lớp 1: Tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà
cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần
mềm IOS để bước đầu ngăn chặn ngay các dịch vụ không cần thiết.
+ Lớp 2: Sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra Internet, khi
có các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo cho trung tâm
quản lý hoặc trong trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
+ Lớp 3: Tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng-failover)
cho phép ngăn cách làm 3 vùng DMZ, Outside và Inside. Các Server công cộng sẽ
thuộc vùng DMZ và được bảo vệ rất nghiêm ngặt.
+ Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các Server. Hệ
thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài. Tại đây, HIPS
sẽ quan sát các dấu hiệu tấn công ngay trên các hệ điều hành và cho phép có những
thông báo cho quản trị mạng hoặc đóng băng các kết nối trong trường hợp khẩn
cấp.
+ Cụ thể các công nghệ bảo mật đó được tổ chức phân lớp lần lượt như sau: (Xem

phụ lục 5).
2.1.3.5.

Hoạch định ngân sách an toàn, bảo mật
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo an toàn và bảo mật
HTTT quản lý sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo mật, cũng
như quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty phải tính toán làm
sao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà HTTT quản lý cần hướng
tới. các ngành khác nhau có mức ngân sách dành cho các hoạt động an toàn và bảo mật khác
nhau
Có bốn phương pháp xác định ngân sách dành cho hoạt động đảm bảo an toàn và bảo
mật HTTT quản lý mà các công ty thường áp dụng:

-

Xác định theo tỷ lệ phần trăm trên doanh thu: Có nghĩa là ngân sách dành cho hoạt
động an toàn và bảo mật HTTT quản lý sẽ phụ thuộc vào biến động của mức tiêu thụ hằng
năm của DN.


-

Cân bằng cạnh tranh: Tức là xác định ngân sách ngang bằng với mức chi của các
hãng cạnh tranh.

-

“Căn cứ vào mục tiêu và nhiệm vụ” phải hoàn thành: Đòi hỏi người quản trị HTTT
phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo an toàn và bảo mật
HTTT rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt được những mục tiêu

đó.

-

Theo khả năng tài chính của DN: Có nghĩa là ngân sách dành cho chương trình đảm
bảo an toàn và bảo mật HTTT quản lý nhiều hay ít là tùy thuộc vào khả năng tài chính của
DN. Phương pháp này bỏ qua sự ảnh hưởng của hoạt động đảm bảo an toàn và bảo mật
HTTT quản lý đối với mức doanh thu mà DN có được, nó dẫn đến ngân sách dành cho an
toàn và bảo mật HTTT quản lý hằng năm không ổn định.

2.1.3.6.

Đánh giá hiệu quả chương trình an toàn, bảo mật
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT quản lý, người quản trị
hệ thống phải đo lường được tác động của nó đến tổng thể DN như thế nào. Điều này đòi
hỏi người quản trị HTTT phải đánh giá tác động của các công cụ đảm bảo an toàn và bảo
mật HTTT trước khi áp dụng và sau khi áp dụng đã mang lại những thuận lợi hay những
khó khăn gì, hoạt động của DN có bị sáo trộn hay không,…
Người quản trị cần thu thập thông tin về tác động của chương trình đảm bảo an toàn và
bảo mật HTTT tới HTTT và phản ứng của các cấp lãnh đạo, các nhân viên trong DN,…để
làm cơ sở đánh giá những tác động của chương trình. Để có lượng thông tin đầy đủ người
quản trị cần thu thấp cả thông tin định lượng như doanh thu, chi phí… và thông tin không
định lượng được như mức độ hài lòng, thoái mái của nhân viên, mức độ thu thập, lưu trữ,
phản hồi thông tin của HT để có được cái nhìn toàn diện về HTTT trước và sau khi áp dụng
chương trình đảm bảo an toàn và bảo mật HTTT quản lý của DN.
2.2. Đánh giá phân tích thực trạng an toàn bảo mật thông tin tại công ty TNHH dịch
vụ và du lịch Vietsense
2.2.1. Giới thiệu về công ty
Tên doanh nghiệp: CÔNG TY TNHH DỊCH VỤ VÀ DU LỊCH VIETSENSE.
Tên giao dịch quốc tế: VIETSENSE TRAVEL AND SERVICES COMPANY

LIMITED.
Tên viết tắt
Giám đốc
Trụ sở chính

: VIETSENSE TRAVEL CO., LTD.
: Nguyễn Văn Tài
: Số 88 Xã Đàn, Đống Đa, Hà Nội.


Điện thoại
Tài khoản
Mã số thuế

: Tel: (04)39728289 – Fax: (04)39728289.
: 0021002010109 tại Ngân Hàng Vietcombank – CN Hai Bà Trưng.
: 0104731205.

Giấy phép kinh doanh số 0104731205 do Sở kế hoạch và đầu tư TP Hà Nội cấp ngày
03/06/2010, hoạt động kinh doanh trong lĩnh vực kinh doanh lữ hành đối với khách du lịch
vào Việt Nam (INBOUNT) và kinh doanh lữ hành đối với khách du lịch ra nước ngoài

-

( OUTBOUNT).
Tổng số lao động hiện có:
Trong lĩnh vực kinh doanh: 80 lao động.
Trong đó cán bộ chuyên môn: 20 lao động.
Cơ cấu tổ chức của công ty
Giám Đốc


Phó Giám Đốc

Trưởng phòng
Du lịch Đặc
trưng

Trưởng
phòng Du
lịch Nước
ngoài

Trưởng
phòng Du
lịch Nội địa

Sơ dồ 1.1. S

Trưởng
phòng kỹ
thuật

Trưởng
phòng Hành
chính nhân
sự

Sơ đồ 2.1. Sơ đồ cơ cấu tổ chức bộ máy quản lý tại công ty du lịch Vietsense.
CHỨC NĂNG CỦA MỖI BỘ PHẬN ĐƯỢC KHÁI QUÁT NHƯ SAU
Phòng Giám Đốc: Nhắc đến như một bộ phận nòng cốt, chủ đạo của Công ty luôn sẵn

sàng chịu trách nhiệm về mọi mặt hoạt động của Công ty trước Hội đồng các thành viên và
pháp luật hiện hành, Phòng giám đốc Công ty Vietsense Travel được du khách và nhân viên
trong công ty tin tưởng tuyệt đối bởi Phòng luôn sẵn sàng đáp ứng những nhu cầu về chất
lượng dịch vụ tốt nhất cho du khách. Phòng giám đốc Công ty Vietsense Travel chúng tôi
còn là đơn vị chịu trách nhiệm về công tác đối ngoại, cân nhắc, ra những quyết định liên


quan tới chủ trương, chính sách, mục tiêu và chiến lược của Công ty. Đồng thời, chúng tôi
luôn đề xuất các chiến lược kinh doanh cũng như phát triển thị trường tiêu thụ trong và
ngoài nước. Với vai trò lãnh đạo công ty, phòng giám đốc công ty Vietsensen Travel là
những người lãnh đạo có trách nhiệm, có kiến thức sâu rộng cùng năng lực lãnh đạo tài tình
nên trong suốt thời gian qua công ty đã cung cấp chất lượng dịch vụ du lịch tốt nhất, hoàn
hảo nhất phục vụ mọi du khách, ngay cả những du khách khó tính nhất.
Phòng Du Lịch Đặc Trưng: Phòng Du lịch Đặc Trưng của Công ty Du lịch Vietsense
được du khách, bạn hành trong và ngoài nước biết đến là một Phòng Du lịch được tin cậy về
chất lượng cũng như dịch vụ phục vụ hoàn hảo. Phòng Du lịch Đặc Trưng chúng tôi chuyên
tổ chức các tour du lịch Đông Bắc, Tây Bắc và Biển hè cũng như tổ chức cho các cơ quan,
đoàn thể đi tham quan, học tập, nghiên cứu, khảo sát thị trường, hội nghị, hội thảo trong khu
vực miền Bắc. Với đội ngũ nhân viên có kinh nghiệm, nhiệt tình và hiểu biết sâu rộng về Du
lịch chúng tôi sẵn sàng cung cấp cho quý khách hàng những chương trình tour mới nhất,
hấp dẫn nhất và giá cả hợp lí nhất. Với phương châm: “Coi con người là nhân tố trung tâm
để quyết định thành công, phồn thịnh và phát triển bền vững” Phòng Du lịch Đặc Trưng của
Công ty Du lịch Vietsense mong muốn là người bạn đồng hành cùng Du khách trên mọi
chặng đường khám phá.
Phòng Du Lịch Nước Ngoài: Phòng Du lịch Nước Ngoài của Công ty Du lịch
Vietsenselà một trong những phòng Du lịch uy tín, chất lượng của Công ty. Phòng chuyên tổ
chức các tour du lịch nước ngoài, với nhiều tour, tuyến khắp 5 châu. Bạn sẽ có dịp khám
phá những miền đất mới tại các nước Châu Á, Châu Âu, Châu Mĩ với nhiều trải nghiệm mới
lạ và khó quên.... Với lịch trình dày đặc, khởi hành đúng thời gian cam kết, Phòng Du lịch
nước ngoài của là công ty xứng đáng là đơn vị lữ hành uy tín nhất hiện nay tại Việt Nam.

Phòng Du lịch nước ngoài luôn sẵn sàng phục vụ du khách mọi lúc, mọi nơi, đảm bảo tính
chuyên nghiệp và chất lượng dịch vụ tốt nhất trên thị trường.
Phòng Du Lịch Nội Địa: Phòng Du lịch Nội Địa của Công ty Du lịch Vietsense là
Phòng Du lịch chuyên tổ chức các tour du lịch như: du lịch sinh thái; du lịch nghỉ dưỡng; du
lịch khám phá; du lịch văn hóa; du lịch tuần trăng mật; du lịch chuyên đề; tổ chức các sự
kiện, hội nghị, hội thảo.. tại Miền trung, Tây nguyên và Miền Tây Nam Bộ cùng với đội ngũ
nhân viên chuyên nghiệp và thân thiện với nhiều năm kinh nghiệm hoạt động tại Hà Nội,
TP. Hồ Chí Minh và các trung tâm du lịch khác. Phương châm là Phát triển Bền Vững cùng
Du khách cùng thiết kế, xây dựng những chương trình tham quan du lịch phù hợp với ý
tưởng và điều kiện thực tế của mỗi Qúy đơn vị, Du khách. Sau một thời gian làm việc hết


sức căng thẳng và mệt mỏi, Du khách sẽ có những giây phút thật thoải mái cùng bạn bè
người thân và đồng nghiệp, sẽ là bổ ích hơn nếu có dịp đi tham quan du lịch.
Phòng Kỹ Thuật (Marketting Online): Phòng kỹ thuật (IT) – của Công ty Du lịch
Vietsensen có chức năng Seo các từ khóa lên Top đồng thời quản lí, quản trị các Website của
Công ty. Với đội ngũ nhân viên nhiệt tình, nhanh nhẹn, tháo vát, tiếp cận thông tin nhanh và
chính xác. Trong suốt thời gian, qua các Website của công ty liên tục đăng tải các bài viết
liên quan về du lịch, kinh nghiệm du lịch, ẩm thực du lịch, đăng các chương trình tour, dịch
vụ do sale và điều hành đưa nội dung đã và đang thu hút sự quan tâm của đông đảo du
khách với một “lượng view” khá lớn. Bên cạnh đó, phòng kĩ thuật còn liên kết chặt chẽ với
các phòng ban trong công ty thành một thể thống nhất để sẵn sàng đăng tin chào bán tour,
dịch vụ và nghiên cứu xúc tiến trao đổi link với nhiều Website có uy tín, có chất lượng…
Phòng Hành Chính Nhân Sự: Phòng Hành chính – Nhân sự của Công ty Du lịch
Vietsense là một trong những phòng cơ bản, đóng vai trò kịp thời tham mưu cho giám đốc
trong mọi công việc ở Công ty, đặc việc là những công việc liên quan tới chế độ lương
thưởng, các biện pháp kích thích người lao động làm việc. Bên cạnh đó, Phòng hành chính –
nhân sự còn liên hệ mật thiết với các phòng ban khác trong việc quản lí Nhân sự, là chiếc
cầu nối hữu hiệu, hiệu quả giữa giám đốc và đội ngũ nhân viên trong công ty…
2.2.2. Khái quát hoạt động sản xuất kinh doanh của công ty TNHH dịch vụ và du lịch

Vietsense
Công ty TNHH Dịch vụ và Du lịch Vietsense Travel là một doanh nghiệp trẻ, tiềm
năng được sáng lập và điều hành bởi những thành viên đã làm việc và gắn bó lâu năm trong
ngành Dịch vụ và Du lịch tại Việt Nam và các nước Đông Nam Á. Với đội ngũ cán bộ, nhân
viên có trình độ đại học và trên đại học chuyên nghiệp, nhiệt tình, sáng tạo Công ty
Vietsense đã và đang không ngừng nỗ lực, phấn đấu nhằm tạo ra những sản phẩm Du lịch
tốt nhất cho mọi du khách…
Với phương châm “Coi con người là nhân tố trung tâm để quyết định thành công, phồn
thịnh và phát triển bền vững” ngay từ khi mới thành lập chúng tôi đã mong muốn cung cấp
cho du khách các tour du lịch tạo mới lạ, đa dạng, phong phú, chất lượng dịch vụ hoàn hảo
tạo niềm tin vững chắc cho mọi khách hàng.
Kết quả đạt được qua các thời kì của công ty


So sánh chênh
TT

Nội dung

Năm 2013

Năm 2014

Năm 2015

lệch năm 2015
so với 2014

1


Doanh thu
Lợi nhuận

2
3

trước thuế
Lợi nhuận

5.686.150.252

6.514.171.095

8.077.450.243

Tăng 1,24 lần

2.357.456.525

1.638.118.572

1.645.696.050

Tăng 1,0 lần

1.456.348.567
978.588.929
984.272.038
Tăng 1,0 lần
sau thuế

Bảng 1.1. Tình hình kinh doanh của công ty trong 3 năm gần đây (ĐV: VNĐ)

2.2.3 Phân tích thực trạng an toàn bảo mật thông tin tại công ty TNHH dịch vụ và du lịch
Vietsense
2.2.3.1. Thực trạng cơ sở hạ tầng HTTT tại công ty
Qua quá trình tìm hiểu, điều tra và các số liệu thu thập được, tình hình ứng dụng
CNTT, HTTT, TMĐT tại công ty như sau:
a. Trang thiết bị phần cứng
-

Tổng số máy chủ: 1 máy. Dòng máy chủ công ty sử dụng là HP Proliant ML 110G5

-

với các thông số kỹ thuật phần cứng:
Tổng số máy để bàn: 20
Tông số máy tích xách tay: 20
Tổng số máy in: 5 máy.
Tổng số máy scan: 1.
Tổng số switch 8 cổng: 3 chiếc.
Công ty đảm bảo mỗi nhân viên văn phòng đều được trang bị một máy tính trong quá

trình làm việc, tỉ lệ máy tính được kết nối Internet là 100%.
b. Phần mềm ứng dụng tại công ty
Hiện nay, công ty ứng dụng phần mềm vào các hoạt động như quản lý tài chính kế

-

toán, quản lý nhân sự tiền lương, quản lý tài sản, kho- vật tư…
Cụ thể các phần mềm như sau:

Phần mềm văn phòng Microsoft Office dùng trong soạn thảo văn bản, hợp đồng, tính

-

toán, lập kế hoạch, lập báo cáo….
Phần mềm Microsoft Outlook, phần mềm quản lý thông tin cá nhân của Microsoft,
ứng dụng trong công ty như công cụ để liên lạc và thông tin nội bộ. Mỗi nhân viên đều có

-

một tài khoản Outlook để liên lạc và trao đổi công việc.
Phần mềm kế toán MISA: MISA SME.NET 2012- Phần mềm kế toán chuyên dụng
cho các doanh nghiệp vừa và nhỏ.


Phần mềm kế toán MISA SME.NET 2012 gồm 13 phân hệ, được thiết kế dành cho các
doanh nghiệp vừa và nhỏ, với mục tiêu giúp doanh nghiệp không cần đầu tư nhiều chi phí,
không cần hiểu biết nhiều về tin học và kế toán mà vẫn có thể sở hữu và làm chủ được hệ
thống phần mềm kế toán, quản lý mọi nghiệp vụ kinh tế phát sinh của mình. Với MISA
SME.NET 2012 doanh nghiệp có thể kiểm soát được số liệu trực tuyến tại bất cứ đâu, bất cứ
khi nào thông qua Internet. Đặc biệt, MISA SME.NET 2012 hỗ trợ doanh nghiệp tạo mẫu,
-

phát hành, in, quản lý và sử dụng hóa đơn theo Nghị định 51/2010/NĐ-CP.
Sử dụng phần mềm bảo mật: phần mềm diệt virus Kaspersky được cài đặt trên 100 %
máy tính của công ty.
Hệ quản trị cơ sở dữ liệu: Microsoft Access 2010.
Website công ty: www.vietsensetravel.com
Trang web của công ty được mở từ năm 2007, nhưng hiện tại đang tạm ngừng sử dụng
để xây dựng và bảo trì.

Hiện công ty không có bộ phận chuyên trách về CNTT, mà chỉ thuê ngoài 2 nhân sự
chuyên bảo trì phần cứng, phần mềm theo định kì hoặc giải quyết các vấn đề liên quan khi

có phát sinh.
Công ty có ứng dụng TMĐT trong hoạt động sản xuất kinh doanh.
c. Cách thức lưu trữ, quản lí cơ sở dữ liệu
Thông tin được chia nhỏ và lưu trữ ở các bộ phận, phòng ban khác nhau. Các phòng
ban chủ yếu lưu trữ thông tin liên quan đến phòng ban của mình, do đó thông tin phải di
chuyển qua các bộ phận, phòng ban khác nhau để phòng ban có thể nắm bắt toàn bộ thông
tin cần thiết. Quản lí dữ liệu chưa theo một hệ thống nhất định.
Thông tin giao dịch hợp đồng, khách hàng, đối thủ cạnh tranh được lưu trữ thủ công
trên giấy tờ, file word, excel tạo thành các hồ sơ được lưu ở phòng kinh doanh. Biên bản,
chứng từ được thực hiện trên giấy tờ. Cuối tháng công ty lập báo cáo dưới dạng văn bản
giấy tờ gửi cho cấp trên và các phòng ban liên quan. Dữ liệu hiện tại của công tác phục vụ
quản lí mức cơ bản chủ yếu là công tác thống kê, theo dõi công nợ, lập và in các chứng từ.
(Nguồn: kết quả xử lý từ phiếu điều tra)
Biểu đồ 2.1. Biểu đồ thể hiện tỷ lệ sử dụng phần mềm bản quyền trong công ty
Công Ty Du lịch Vietsense vẫn sử dụng các phần mềm không có bản quyền chính
thức. Có 67% số máy tính cá sử dụng các phần mềm miễn phí. Chỉ có 33% số máy tính là
có sử dụng phần mềm diệt virut có bản quyền được hỗ trợ từ nhà sản xuất, phần mềm kế
toán. Từ đó ta có thể thấy được rằng mức độ chú trọng tới công tác bảo mật của từng máy
tính của nhân viên còn chưa có sự đầu tư đúng mức.
d. Nguồn nhân lực cho CNTT và HTTT


Bộ phận CNTT của công ty có 13 người. Trong đó tất cả nhân viên CNTT đều được
đào tạo chính quy về CNTT có trình độ cao đẳng trở lên. Ngoài ra công ty cũng có các
chính sách đào tạo tại chỗ theo nhu cầu công việc cho nhân viên và gửi một vài nhân viên đi
học nâng cao kiến thức về CNTT.
(Nguồn: kết quả xử lý từ phiếu điều tra)

Biểu đồ 2.2. Tỷ lệ sử dụng phần mềm vào ứng dụng CNTT
Công ty có 55% nhân viên sử dụng phần mềm vào ứng dụng CNTT với trình độ khá,
25% sử dụng thành thạo và 20% sử dụng trung bình.
2.2.3.2.

Ảnh hưởng của các nhân tố môi trường đến an toàn, bảo mật HTTT của Công ty
TNHH dịch vụ và du lịch Vietsense

2.2.3.2.1. Ảnh hưởng của những nhân tố bên ngoài tới việc nâng cao hiệu quả an toàn, bảo
mật HTTT
a. Hạ tầng CNTT
Chương trình đảm bảo an toàn và bảo mật HTTT quản lý dựa trên nền tảng CNTT, đặc
biệt phần cứng và phần mềm chuyên dụng, nên yếu tố về CNTT có ảnh hưởng rất lớn tới
hiệu quả của chương trình đảm bảo an toàn và bảo mật HTTT quản lý.
-

Cơ hội:

+ Là một doanh nghiệp hoạt động trong lĩnh vực CNTT sẽ tạo lợi thể rất lớn cho DN.
+ DN có thể tiếp cận đến các công cụ đảm bảo an toàn và bảo mật HTTT một cách dễ dàng và
thuận lợi.
+ Công ty sẽ đánh giá được ngay hiệu quả của chương trình đảm bảo an toàn và bảo mật
HTTT nhờ vào đặc thù hoạt động của công ty.
+ Các nhân viên trong DN đã có kiến thức về an toàn và bảo mật HTTT.
-

Thách thức:

+ CNTT có thể dẫn đến các lợi thế không thể đoán trước. Các doanh nghiệp nhỏ có thể không
xác lập chính xác nhu cầu của họ nếu không có sự trợ giúp của các chuyên gia bên ngoài.

Những người cung cấp giải pháp CNTT có khuynh hướng cung cấp hệ thống mở rộng, phức
tạp hơn cần thiết và thường không cho biết các thông tin chính xác về thời gian cần cho việc
học cách vận hành hệ thống.
+ Cải tiến bằng CNTT thường bắt đầu với quá trình công nghệ sản xuất, loại cải tiến này yêu
cầu thay đổi nhiều về các chức năng, nhiệm vụ và trách nhiệm các bộ phận so với các loại


cải tiến khác. Nó làm thay đổi từ bên trong tổ chức và các công việc, nhiệm vụ của các nhân
viên.
b. Chính sách, hệ thống pháp luật:
Để tiến hành các hoạt động đảm bảo an toàn và bảo mật HTTT quản lý cần có khung
pháp luật và chính sách đầy đủ, cụ thể và chi tiết để các DN có thể thực hiện một cách dễ
dàng.
-

Cơ hội:

+ Tạo hành lang pháp lý cho vấn đề an ninh mạng và HTTT của DN, là những chỉ dẫn cụ thể
cho việc nên kế hoạch và triển khai các chương trình đảm bảo an toàn và bảo mật HTTT
quản lý tại Công ty Vietsense.
+ Nhà nước rất quan tâm đến vấn đề an ninh mạng và truyền thông và đã ban hành ra các văn
bản luật, các chính sách liên quan đến an toàn và bảo mật thông tin.
-

Thách thức:

+ Chưa có văn bản cụ thể về vấn đề đảm bảo an toàn và bảo mật HTTT, chỉ mới có quyết định
số 63/QĐ - TTg ban hành ngày 13 tháng 1 năm 2010, Thủ tướng Chính phủ đã ký: “Quy
hoạch phát triển an toàn thông tin số quốc gia đến năm 2020”. Nghị định số 97/2008 NĐ –
CP ngày 28 tháng 8 năm 2008 về “Quản lý cung cấp, sử dụng dịch vụ internet và thông tin

điện tử trên internet”.
+ Công ty cần phải quan tâm tới việc đạt mục tiêu của chương trình đảm bảo an toàn và bảo
mật HTTT quản lý đồng thời phải thực hiện đúng các quy định của pháp luật.
c. Yếu tố kinh tế
Kinh tế là yếu tố phản ánh chân thực về thực trạng hoạt động của các DN, từ đó yêu tố
kinh tế phản ánh gián tiếp các chương trình đảm bảo an toàn và bảo mật HTTT quản lý mà
các DN đang áp dụng.
d. Yếu tố văn hóa – xã hội:
Văn hóa – xã hội có ảnh hưởng sâu sắc đến hoạt động quản trị và kinh doanh của một
doanh nghiệp. Doanh nghiệp cần phải phân tích các yếu tố văn hóa, xã hội nhằm nhận biết
các cơ hội và nguy cơ có thể xảy ra.
-

Cơ hội: Do là một DN hoạt động trong lĩnh vực CNTT nên một số hoạt động đã dần được tự
động hóa. Đây là vấn đề có ảnh hưởng tích cực tới việc xây dựng một nền văn hóa mới
trong DN.


-

Thách thức: Thay đổi môi trương văn hóa trong DN để phù hợp với chương trình đảm bảo
an toàn và bảo mật HTTT quản lý là một khó khăn và thường không có sự hưởng ứng của
các nhân viên trong DN.
2.2.3.2.2. Ảnh hưởng của những nhân tố bên trong tới việc nâng cao hiệu quả an toàn và
bảo mật HTTT quản lý

a. Ngân sách dành cho chính sách an toàn, bảo mật HTTT quản lý
Ngân sách dành cho chương trình đảm bảo an toàn và bảo mật HTTT quản lý của công
ty hằng năm hơn 40 triệu đồng nên việc lựa chọn các công cụ đảm bảo an toàn và bảo mật
HTTT quản lý là một việc quan trọng trong khi xác lấp các mục tiêu của công ty. Mỗi công

cụ đảm bảo an toàn và bảo mật HTTT quản lý có các mức chi phí khác nhau nên công ty
luôn phải cân nhắc các mục tiêu cần đạt được và chi phí cho từng công cụ mà đảm bảo đạt
được các mục tiêu đề ra của chương trình đảm bảo an toàn và bảo mật HTTT quản lý với
mức chi phí thấp nhất.
b. Nguồn nhân lực danh cho an toàn, bảo mật HTTT quản lý
Các công việc đảm bảo an toàn và bảo mật HTTT quản lý đòi hỏi kinh nghiệm và
chuyên môn nhất định của nhân lực phụ trách công việc này như khả năng về nắm bắt các
điểm yếu của HTTT, khả năng khắc phục sự cố một cách nhanh chóng. Một vấn đề mà công
ty hay gặp phải là khả năng kết nối giữa các phòng ban để tạo nên một HTTT an toàn trước
các mối đe dọa từ bên ngoài cũng như từ bên trong HTTT đó.
2.2.3.3. Kết quả xử lý dữ liệu sơ cấp thu thập từ phiếu điều tra
Hiện nay ở công ty, vấn đề bảo mật an toàn thông tin cần được xem xét ở hai khía
cạnh.
Thứ nhất là: về vấn đề an toàn thông tin cho cá nhân trong công ty, ý thức về an toàn
thông tin chưa cao, đặc biệt là vấn đề phát sinh từ bản quyền phần mềm, các nhân viên còn
sử dụng các phần mềm không có bản quyền thông qua những phần mềm crack hay những
trang chia sẻ không an toàn trên mạng => nguy cơ lây lan virus, spyware tới máy tính cá
nhân là tương đối cao.
Thứ hai là vấn đề bảo mật cho hệ thống: Các biện pháp được áp dụng để đảm bảo an
toàn thông tin cho hệ thống, dữ liệu của công ty:
-

Đối với hệ thống mạng của công ty: Cài đặt Firewall cho router, giám sát dung lượng mạng

-

LAN.
Đối với các phòng ban: mới chỉ dừng lại ở mức độ cài đặt phần mềm diệt vius BKAV, đặt
mật khẩu cho một số dữ liệu quan trọng hoặc cho các máy tính chứa nhiều dữ liệu quan
trọng.



-

Có ứng dụng google drive để lưu trữ những thông tin quan trọng, đề phòng trường hợp mất
mát thông tin.
(Nguồn: Kết quả từ việc xử lý phiếu điều tra )
Biểu đồ 2.3. Biểu đồ thể hiện tỷ lệ các biện pháp bảo vệ dữ liệu của công ty
Về vấn đề đảm bảo an toàn dữ liệu ngoài việc sử dụng các công cụ diệt virus thì còn
có các phương pháp đảm bảo an toàn dữ liệu cho máy tính. Theo như khảo sát thì ở các máy
tính của công ty đều sử dụng các phương pháp đảm bảo cho dữ liệu của máy tính. 25% số
máy tính sử dụng ổ cứng độ bền cao cho máy tính để đảm bảo về dữ liệu, 50% là sử dụng
giải pháp đồng bộ lên mạng còn lại 25% sử dụng phương pháp sao lưu liên tục. Qua việc
thực hiện các biện pháp có thể thấy được rằng doanh nghiệp đã có một số biện pháp cụ thể
để đảm bảo an toàn dữ liệu cho doanh nghiệp mình.
(Nguồn: Kết quả từ việc xử lý phiếu điều tra )
Biểu đồ 2.4. Biểu đồ thể hiện các yếu tố đảm bảo an toàn hệ thống của công ty qua
các năm.
Công ty có sử dụng phần mềm quản lý nhân sự 2012. Trưởng phòng nhân sự quản lý
các phòng ban thông qua phần mềm. Các phòng ban gồm có nhân viên. Quản lý từng nhân
viên trong phòng, cập nhật số lượng, thay đổi khi nhân viên vào làm tại công ty hay rời đi.
Phần mềm quản lý nhân sự tạo hợp đồng cho nhân viên, chấm công, tính lương cho
nhân viên.

(Nguồn: kết quả xử lý từ phiếu điều tra)
Biểu đồ 2.5. Biểu đồ thể hiện tình hình khó khăn trong quá trình quản lý nhân sự.
Khó khăn trong quá tình quản lý nhân sự tại công ty là do 30% lỗi sử dụng phần mềm,
20% do nhân viên thay đổi công việc, 20% do nguyên nhân khác.
(Nguồn: kết quả xử lý từ phiếu điều tra)
Biểu đồ 2.6. Biểu đồ thể hiện hình thức trả lương tại công ty.

Tại công ty có hai hình thức trả lương: 82% là trả lương qua thẻ, 18% tanh toán trực
tiếp cho nhân viên.
2.2.4 Đánh giá thực trạng an toàn bảo mật thông tin tại công ty TNHH dịch vụ và du lịch
Vietsense


2.2.4.1. Ưu điểm
Nguồn lực công nghệ: Để ứng dụng công nghệ thông tin có hiệu quả, ngoài việc đầu
tư, mua sắm trang thiết bị công nghệ, kỹ thuật hiện đại thì việc thu hút đào tạo và sử dụng
nhân lực nhằm khai thác tối đa các ứng dụng về công nghệ thông tin là yếu tố có ý nghĩa
quyết định. Thực tế số cán bộ chuyên môn về hệ thống thông tin:
Phần cứng: 3 người.
Dịch vụ: 8 người.
Phát triển phần mềm: 2 người.
Số cán bộ có bằng đại học hoặc cao đẳng công nghệ thông tin trở lên: 5 người.
Phần cứng: Doanh nghiệp trang bị một hệ thống máy tính theo phòng ban, tổng
khoảng 20 máy tại văn phòng giao dịch. Số lượng chủ yếu là máy tính để bàn với chất lượng
phần cứng khá tốt. Sử dụng công nghệ làm tăng tốc độ xử lý của CPU như công nghệ Core
2 Dou với tần số 2.6 GHz có thể xử lý dữ liệu nhanh hơn. Bộ nhớ cache là Cache L1-cache
tích hợp (integrated cache) được hợp nhất ngày trên CPU.
Phần mềm đã và đang sử dụng:
Hệ thống tường lửa (Firewall: Ngăn chặn các tấn trực tiếp vào thông tin quan trọng
của hệ thống, kiểm soát các thông tin ra vào hệ thống).
Phần mềm kế toán MISA SME.NET: là phần mềm kế toán khá phổ biến và hữu ích do
công ty cổ phần MISA xây dựng áp dụng cho các nghiệp vụ xây dựng của công ty. Góp
phần giảm bớt được các thao tác thủ công trong kế toán, thống kê tài chính thông qua bảng
biểu và biểu đồ, từ đó giúp nhân viên kế toán cũng như các nhà quản trị quản lý tình hình
hoạt của doanh nghiệp.
Cơ sở hạ tầng mạng và truyền thông: Cơ sở hạ tầng và hệ thống mạng trong công ty
đã đạt được sự đồng bộ nhất định. Thiết kế hệ thống máy tính đi kèm với các nút mạng. Qúa

trình chia sẻ tài nguyên in máy fax thông qua mạng LAN tương đối thuận lợi. Chia mạng
nội bộ thành các phần nhỏ tương ứng với các phòng ban đảm bảo được an toàn thông tin
cũng như sự tiện dụng trong tìm kiếm và điều khiển từ xa.
2.2.4.2. Nhược điểm
Quá trình hoạt động quản lý ATBM thông tin: Mô hình hệ thống thông tin mà
doanh nghiệp áp dụng mô hình truyền thống tin học hóa từng phần là chủ yếu nên chưa
kiểm soát được hết tất cả thông tin một cách nghiêm ngặt, không đảm bảo được tính nhất
quán trong toàn doanh nghiệp. Những rủi ro như bị lộ, bị thay đổi, bị mất mát đôi khi vẫn
còn xảy ra. Doanh nghiệp có sử dụng một số giải pháp như trang bị hệ thống tường lửa
(Firewall), hệ thống chống virus BKAV, …. Tuy nhiên, tất cả chỉ đơn thuần là giải pháp
công nghệ chưa đạt được tới mức an toàn.


Thực tế hiện nay doanh nghiệp đang áp dụng mô hình Top- down trong chính sách bảo
mật thông tin. Mô hình này không cho phép cài cài sniffer ( phần mềm nghe lén) trong
mạng, không gửi email mạo danh, không được sao chép tài liệu ra ngoài, không được dùng
các phần mềm không có bản quyền,…. Những chính sách này mới chỉ mang tính chất đưa
ra chưa được quy về trách nhiệm pháp lý nên vẫn còn tình trạng xung đột khi giao dịch.
Hệ thống tường lửa (Firewall) đã được áp dụng trong doanh nghiệp nhưng sau đó do
hệ thống máy tính vẫn còn bị virus nên không kiểm soát được việc truy xuất mạng. Điều
này chưa được triển khai một cách thiệt để.
Hạn chế về ứng dụng công nghệ thông tin và hệ thống thông tin: Hiện tại hệ thống
của công ty mới chỉ đáp ứng hiệu quả trong việc quản lý nhân sự và kế toán với sự hỗ trợ
của phần mềm. Hoạt động công nghệ thông tin cũng chưa có nhiều ứng dụng chuyên sâu
phục vụ cho chuyên môn của các phòng ban. Hệ thống chưa giúp quản lý được tốt tình hình
kinh doanh và phát triển của doanh nghiệp mình trong quá khứ, hiện tại và cũng như tương
lai. Ngoài ra, hệ thống hiện tại cũng chưa cung cấp cho nhà quản lý nhiều công cụ hỗ trợ
đắc lực, chưa quản lý thống kê, phân tích, phát hiện những khó khắn, rủi ro tiềm ẩn của
doanh nghiệp để có thể kịp thời đưa ra được những giải pháp thích hợp cho những vấn đề
đó, chưa hỗ trợ cho phép nhân viên quản lý một cách hiệu quả thời gian, công việc của

mình.
2.2.4.3. Nguyên nhân
Về mức độ đầu tư cho HTTT và CNTT và mức độ quan tâm của lãnh đạo công ty:
Hàng năm, chi phí dành cho bảo trì phần cứng, phần mềm và chi trả cho việc thuê nhân sự
phụ trách về CNTT từ bên ngoài của công ty ước tính vào khoảng 20 000 000 (đồng). Chi
phí này không gồm chi phí đào tạo về CNTT. Công ty không thường xuyên tổ chức các lớp
học về quản trị HTTT và CNTT. Nhận thấy được tầm quan trọng của HTTT và CNTT đối
với quá trình sản xuất kinh doanh và quản lý của công ty, nên lãnh đạo công ty khá quan
tâm đến vấn đề này. Tuy nhiên công ty mới chỉ tập trung nhiều cho CNTT, còn các thành
phần khác chưa thực sự được quan tâm thỏa đáng.
Về con người: Do không có bộ phận chuyên trách về CNTT cũng như quản trị HTTT
nên vấn đề con người của HTTT trong công ty có các đặc điểm và một số vấn đề như sau:
Thứ nhất, nhân viên công ty không có khái niệm và hiểu biết rõ ràng về HTTT, đặc
biệt là HTTT của công ty. Mức độ hiểu biết về CNTT (phần cứng, phần mềm…) và hạ tầng
HTTT của các nhân viên trong công ty là không đồng đều và đa số đều dựa vào kinh
nghiệm và tự học hỏi từ phía cá nhân nhân viên. Theo khảo sát, mặc dù 90% nhân viên công
ty có chứng chỉ về tin học, nhưng khi được hỏi về mức độ hiểu biết về HTTT của công ty thì


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×