TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTT KINH TẾ VÀ TMĐT
------

KHÓA LUẬN TỐT NGHIỆP
ĐỀ TÀI:
MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT THÔNG
TIN,NÂNG CAO TÍNH BẢO MẬT, AN TOÀN THÔNG TIN DỮ LIỆU
CỦA TỔNG CTCP BƯU CHÍNH VIETTEL NINH BÌNH – CHI NHÁNH
VIETTEL NINH BÌNH

Giáo viên hướng dẫn:Sinh viên thực hiện:Mã sinh viên:Lớp:

HÀ NỘI - 2020


i
LỜI CẢM ƠN
Khóa luận là một sản phẩm nghiên cứu, đúc kết kiến thức của một quá trình học
tập, nghiên cứu lâu dài trong trường đại học. Để có thể hoàn thành bài khóa luận này,
bên cạnh sự cố gắng nỗ lực của bản thân, em đã nhận được nhiều sự chỉ dẫn, giúp đỡ
nhiệt tình từ phía khoa Hệ thống thông tin kinh tế và Thương mại điện tử, trường Đại
học Thương Mại cũng như từ phía Tổng CTCP Bưu chính Viettel Ninh Bình – chi
nhánh Viettel Ninh Bình.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy ThS Cù Nguyên Giáp –
Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện
khóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các
anh/chị làm việc tại Tổng CTCP bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh
Bình vì sự quan tâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài
liệu.

Mặc dù em đã cố gắng hoàn thành bài khóa luận tốt nghiệp trong phạm vi và
khả năng bản thân nhưng chắc chắn sẽ không tránh khỏi những thiếu sót. Kính mong
nhận được sự chỉ bảo và giúp đỡ của quý thầy cô để bài làm hoàn thiện hơn.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Trần Thị Thu Hà


ii
MỤC LỤC
Chặn truy cập theo khu vực địa lý, quản lý chất lượng QoS, Proxy, quản trị mạng
không dây, hỗ trợ VLAN, cân bẳng tải, VPN theo 4 giao thức, giám sát/phân tích
mạng, quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS), cho phép chạy
song hành, failover, hỗ trợ ngôn ngữ tiếng Việt , tự động cập nhật black list., tự
động nâng cấp phiên bản….......................................................................................40
Lợi ích mà pfSense đem tới là :.................................................................................40
Cấm truy cập theo thời gian biểu.................................................................................................43
Cho phép truy cập máy chủ nội bộ từ internet.............................................................................44
Kết nối mạng nội bộ của các chi nhánh với nhau.........................................................................47
...................................................................................................................................................48


iii
DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Thuật ngữ

Giải nghĩa


CNTT
TNHH
MTV
TMĐT
CSDL
HTTT
LAN

Công nghệ thông tin
Trách nhiệm hữu hạn
Một thành viên
Thương mại điện tử
Cơ sở dữ liệu
Hệ thống thông tin
Mạng cục bộ

ATBM

An toàn bảo mật

MIS

Hệ thống thông tin quản lí

ATTT

An toàn thông tin

VPN


Mạng riêng ảo

DoS

Denial of Service

Tấn công từ chối dịch vụ

TCP

Transmission Control Protocol

Giao thức kiểm soát truyền vận

IP

Internet Protocol

Giao thức mạng

SSL

Secure Sockets Layer

Giao thức an ninh thông tin
mạng


iv
DANH MỤC BẢNG BIỂU

Hình 1.1 : Mối quan hệ giữa các yếu tố an toàn bảo mật của một HTTT quản lý..7
Hình 1.2. Tấn công từ chối dịch vụ phân tán...........................................................11
Hình 1.3. Tấn công xen giữa......................................................................................12
Hình 1.4. Tấn công phát lại.......................................................................................13
Hình 1.5. Thủ tục bắt tay 3 chiều của TCP/IP.........................................................14
Hình 1.6. Tấn công TCP SYN/ACK flooding...........................................................14
Hình 1.7. Tấn công dựa vào số thứ tự TCP..............................................................15
Sơ đồ 2.1 : Cơ cấu tổ chức công ty............................................................................21
Bảng 2.1. Kết quả hoạt động kinh doanh giai đoạn từ 2017-2019..........................23
Bảng 2.2. Số lượng thiết bị CNTT tại Tổng CTCP Bưu chính Viettel....................24
Biểu đồ 2.1: Đánh giá mức độ quan trọng của việc ứng dụng công nghệ thông tin,
hệ thống thông tin của cán bộ nhân viên..................................................................26
Bảng 2.3. Thống kê số phần mềm hiện tại của công ty............................................28
Biểu đồ 2.2: Đánh giá tốc độ truy cập và xử lý dữ liệu của máy chủ.....................31
Biểu đồ 2.3: Đánh giá chung chất lượng phần cứng................................................31
Biểu đồ2.4: Mức độ an toàn bảo mật của phần mềm hiện tại................................32
Bảng 2.4. Mức độ an toàn của mạng nội bộ.............................................................33
Biểu đồ 2.5:Các nguy cơ tấn công mà tổ chức gặp phải là gì?................................33
Bảng 3.1. Bảng so sánh kỹ thuật giữa server cũ và server đề xuất.........................38
Hình 3.1 Lợi ích của tường lửa pfSense...................................................................42
Hình 3.2 Mô tả tính năng cập nhập theo thời gian biểu của pfSense.....................44
Hình 3.3 Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ trợ
NAT(PAT)................................................................................................................... 45
Hình 3.4 Cho phép truy cập máy chủ nội bộ từ internet hỗ trợ reverve proxy.....47
Hình 3.5 Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN....................48
Hình 3.6 Minh họa mạng riêng ảo cho công ty trong tương lai..............................49
Bảng 3.10 Mô tả phần mềm Kế toán Doanh nghiệp vừa và nhỏ............................51
MISA SME.NET 2015...............................................................................................51
Hình 3.10 Mô phỏng giao thức đường truyền SSL..................................................52
Hình 3.11 Sao lưu dữ liệu bằng đường truyền cao tốc............................................54

Hình 3.12 Quy trình an toàn và bảo mật..................................................................58


v


1
PHẦN MỞ ĐẦU
1. TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ AN TOÀN BẢO
MẬT CHO HTTT DOANH NGHIỆP.
1.1. Tầm quan trọng của vấn đề an toàn bảo mật HTTT trong doanh
nghiệp
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem
là sự sống còn đối với các doanh nghiệp. Thế nhưng rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể
xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình.
Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của
thông tin. Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được
cấp quyền tương ứng. Theo một cuộc khảo sát về vấn đề bảo mật thông tin của tổ chức
nghiên cứu thị trường, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo
mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin
là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật. Trong
khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tin
thì lại chưa có sự đầu tư cân xứng cho bảo mật thông tin. Rất nhiều câu hỏi thể hiện sự
băn khoăn của các doanh nghiệp trước ngưỡng cửa "tin học hoá quản lý doanh nghiệp"
mà cụ thể là làm thế nào để bảo mật thông tin trong doanh nghiệp và cần phải lựa chọn
giải pháp như thế nào cho phù hợp với điều kiện của doanh nghiệp . Việc thông tin bị rò
rỉ sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh nghiệp đối với khách hàng và
các đối tác. Điều đó cho thấy, việc bảo mật thông tin quan trọng và cần thiết cũng như
ngày càng khó khăn trước những đòi hỏi gắt gao của môi trường kinh doanh yêu cầu

doanh nghiệp phải năng động chia sẻ thông tin của mình qua hệ thống mạng Internet.
Vấn đề đặt ra là để bảo vệ thông tin khỏi những mối nguy hiểm trên, doanh
nghiệp lựa chọn các biện pháp bảo vệ nào để bảo vệ thông tin của mình trước nhiều
cách thức bảo mật thông tin như hiện nay.
1.2. Ý nghĩa của vấn đề an toàn bảo mật HTTT doanh nghiệp
Ý nghĩa nghiên cứu của đề tài là đưa ra những lý luận cơ bản được đúc kết lại
từ nhiều tài liệu khác nhau, đưa ra một cách nhìn tổng quan về thực trạng an toàn
bảomật của các doanh nghiệp hiện nay. Đồng thời định hướng một số giải pháp nhằm
khắc phục những lỗ hổng an toàn bảo mật cho doanh nghiệp, đưa ra xu hướng an toàn


2
bảo mật cho năm tiếp theo và những giải pháp mới nhất đang được các doanh nghiệp
lớn thực hiện.
Ý nghĩa thực tế đối với công ty là mong muốn giúp doanh nghiệp đạt được hiệu
quả cao hơn trong vấn đề đảm bảo an toàn và bảo mật thông tin. Đề tài sẽ tập trung
nghiên cứu cơ sở lý luận về lý thuyết an toàn, bảo mật thông tin,những yếu tố ảnh
hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo an toàn, bảo mật thông
tin để có thể đánh giá được chính xác nhất về thực trạng cũng như hiệu quả của các
giải pháp đảm bảo an toàn, bảo mật thông tin của công ty. Từ đó khóa luận đưa ra
những biện pháp phù hợp nhằm khắc phục thực trạng của vấn đề tại Tổng công ty cổ
phần bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình
Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến
thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài :
“Một số giải pháp đảm bảo an toàn bảo mật thông tin,nâng cao tính bảo mật,
an toàn thông tin dữ liệu của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh
Viettel Ninh Bình ’’
2. MỤC TIÊU ĐỀ TÀI.
Mục tiêu nghiên cứu chính của đề tài là đưa ra giải pháp đảm bảo an toàn bảo
mật cho HTTT của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh

Viettel Ninh Bình.
Các mục tiêu cụ thể cần giải quyết trong đề tài:
- Hệ thống hóa một số cơ sở lý thuyết về an toàn, bảo mật HTTT trong doanh
nghiệp.
- Phân tích đánh giá thực trạng hoạt động đảm bảo an toàn, bảo mật HTTT tại
Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình.
- Đề ra những giải pháp khả thi nhằm đảm bảo tính an toàn, bảo mật Tổng
CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình.
3. ĐỐI TƯỢNG VÀ PHẠM VI CỦA ĐỀ TÀI.
- Đối tượng của đề tài là vấn đề an toàn bảo mật HTTT tại Tổng CTCP Bưu
chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình.
- Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTT
của doanh nghiệp.
- Các chính sách phát triển đảm bảo an toàn bảo mật thông tin trong công ty.


3
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề
tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn. Cụ thể:
+ Phạm vi thời gian : Đề tài sẽ phân tích các hoạt động an toàn và bảo mật
HTTT của doanh nghiệp qua các báo cáo kinh doanh, tài liệu liên quan trong vòng 3
năm gần đây nhất (2017, 2018, 2019) và định hướng phát triển những năm tiếp theo.
+ Phạm vi không gian : Nghiên cứu thực trạng hoạt động an toàn bảo mật
HTTT của Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình.
+ Phạm vi nội dung : Nội dung xoay quanh hoạt động an toàn, bảo mật HTTT
trong công ty để xác định ưu nhược điểm của các hoạt động đó. Đồng thời phân tích
thực trạng triển khai, thuận lợi, khó khăn, đánh giá hiệu quả và có những đề xuất cụ
thể nhằm nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty.
4. PHƯƠNG PHÁP NGHIÊN CỨU, THỰC HIỆN ĐỀ TÀI.

4.1 Các phương pháp thu thập thông tin
a. Phương pháp thu thập dữ liệu thứ cấp
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lí trước đây vì các
mục tiêu khác nhau của công ty.
- Nguồn tài liệu bên trong : Bao gồm các báo cáo kết quả hoạt động kinh doanh
của công ty trong vòng 3 năm: 2017, 2018, 2019 được thu thập từ các phòng ban của
công ty, từ phiếu điều tra và các tài liệu thống kê khác.
- Nguồn tài liệu bên ngoài : Từ các công trình nghiên cứu khoa học, tạp chí,
sách báo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet.
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ
bộ các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung
vào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu.
b. Phương pháp thu thập dữ liệu sơ cấp
Phương pháp sử dụng phiếu điều tra:
+ Nội dung: Bảng câu hỏi gồm 10 câu hỏi, các câu hỏi đều xoay quanh các hoạt
động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối với
Tổng CTCP Bưu chính Viettel Ninh Bình – chi nhánh Viettel Ninh Bình.
+ Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công
ty để thu thập ý kiến.


4
+ Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT của
công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để
nâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty.
4.2 Phương pháp xử lý dữ liệu
Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu
sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mục
đích nghiên cứu của đề tài. Phương pháp nghiên cứu được sử dụng là:
Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ

đó đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan.
5. KẾT CẤU CỦA KHÓA LUẬN.
Chương 1: Cơ sở lý luận về an toàn bảo mật HTTT quản lý tại Tổng CTCP Bưu
chính Viettel Ninh Bình
Chương 2: Kết quả phân tích và đánh giá thực trạng về an toàn bảo mật HTTT
quản lý tại Tổng CTCP Bưu chính Viettel Ninh Bình
Chương 3: Định hướng phát triển và đề xuất một số giải pháp đảm bảo an toàn
bảo mật cho HTTT quản lý tại Tổng CTCP Bưu chính Viettel Ninh Bình


5
CHƯƠNG 1: CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ
TẠI TỔNG CTCP BƯU CHÍNH VIETTEL NINH BÌNH
1.1 MỘT SỐ KHÁI NIỆM CƠ BẢN:
1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong doanh
nghiệp:
1. Dữ liệu: là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung
chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý
dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang
biểu hiện.( Theo Bài giảng Hệ thống thông tin quản lý, Bộ môn Công nghệ thông tin
(2010), Trường Đại học Thương mại Hà Nội)
2. Thông tin: là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận
được qua khảo sát, đo lường, trao đổi, nghiên cứu.( Theo Bài giảng Hệ thống thông tin
quản lý, Bộ môn Công nghệ thông tin (2010), Trường Đại học Thương mại Hà Nội)
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với
người sử dụng. Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá
trình xử lý dữ liệu.
Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và
các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân
phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ

chức. (Theo Bài giảng Hệ thống thông tin quản lý, Bộ môn Công nghệ thông tin
(2010), Trường Đại học Thương mại Hà Nội)
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác
nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội
bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh
tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách
hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển.
Hệ thống thông tin quản lý (MIS)
Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành
quản lý cùng với những thông tin được cung cấp thường xuyên. Ngày nay, do công
nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói đến
hệ thống thông tin quản lý được trợ giúp của máy tính. Theo quan điểm của các nhà
công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp việc


6
thu thập, xử lý và truyền thông tin. MIS là tập hợp các phương tiện, các phương pháp
và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ,
tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý.
1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý
3. An toàn thông tin: Là an toàn khi thông tin đó không bị làm hỏng hóc, không
bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. (Theo Giáo
trình An toàn dữ liệu, Bộ môn Công nghệ thông tin(2007), Trường Đại học Thương
Mại)
4. Bảo mật thông tin:Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của
thông tin. (Theo Giáo trình An toàn dữ liệu, Bộ môn Công nghệ thông tin(2007),
Trường Đại học Thương Mại)
+ Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp
quyền mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật
thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng

đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm
cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể
dẫn đến phá sản.
+ Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,
chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ
các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không
chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị
sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
+ Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn
sàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập
được vào hệ thống. Có thể nói rằng đây là yêu cầu quan trọng nhất, vì thông tin chỉ
hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo
nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.


7

Tính sẵn sàng

Tính toàn vẹn

Tính bảo mật

Hình 1.1 : Mối quan hệ giữa các yếu tố an toàn bảo mật của một HTTT quản lý
Một HTTT nói chung và một HTTT quản lý nói riêng được coi là bảo mật khi
tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một
thời gian xác định.
1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT
trongdoanh nghiệp
Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môi

trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.
Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo ATBM
HTTT trong doanh nghiệp là: Yếu tố con người và yếu tố công nghệ.
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ
thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành.
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.
Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng
lực sở trường và yêu cầu công việc của hệ thống. Con người có thể hoạt động độc lập
hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của
hệ thống.
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ
trong các tổ chức. Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lập
nên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận
hành của mạng lưới thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc
nghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty. Họ giúp
xác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời


8
vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó. Ví dụ khi làm
việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát
triển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả
năng tin học của tổ chức đó có thể hỗ trợ cho việc quản lý dự án một cách hiệu quả
như thế nào.
Những người quản lý HTTT máy tính phân công công việc cho những người
phân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác
có liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và
nâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển
mạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc

biệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công
nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động
sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.
CNTT là yếu tố quyết định đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảm
bảo an toàn và bảo mật HTTT.
CNTT đang có khuynh hướng mở rộng không gian cho hoạt động sản xuất kinh
doanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới và
các thách thức mới cho doanh nghiệp. CNTT cũng là nhân tố quan trọng phổ biến
nhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập
vào nền kinh tế toàn cầu.
Công nghệ được chia làm hai loại: Phần cứng và phần mềm.
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị
thu thập, xử lý và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng
chống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
1.1.4 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp
An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững
của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá.
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,
minh bạch hơn. Một môi trường thông tin an toàn, trong sạch sẽ có tác động không


9
nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uy
tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tin
lành mạnh. Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.
Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt
hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.

Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là một
hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp.
1.2 TỔNG QUAN VỀ AN TOÀN BẢO MẬT DỮ LIỆU,THÔNG TIN
1.2.1 Một số nguy cơ mất an toàn bảo mật dữ liệu, thông tin trong HTTT
1.2.1.1Nguy cơ mất ATTT
Có thể chia nguy cơ mất ATTT thành 2 loại:
Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các
hiện tượng khách quan như thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất
điện…Đây là những nguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó
lại không phải là nguy cơ chính của việc mất ATTT.
Nguy cơ có chủ định: Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có
chủ đích.
Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTT
cũng ngày càng gia tăng. Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng ta
đang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm 2010
dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước
ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyên gia,
tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấn
công cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện
tử liên tục xảy ra. Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tế
nhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nền
kinh tế.
Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp. Trên thực
tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từ
chính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ,
HTTT,..); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quy
trình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo đức
nghề nghiệp).



10
1.2.1.2 Các phương thức tấn công và phòng vệ hệ thống thông tin
Tấn công từ chối dịch vụ DoS.
Dạng tấn công này không xâm nhập vào hệ thống để lấy cắp hay thay đổi thông
tin mà chỉ nhằm vào mục đích ngăn chặn hoạt động bình thường của hệ thống, đặc biệt
đối với các hệ thống phục vụ trên mạng công cộng như web server, Mail server…
Các tấn công từ chối dịch vụ thường rất dễ nhận ra do tác động cụ thể của nó
đối với hệ thống. Mục tiêu tấn công của từ chối dịch vụ có thể là một máy chủ hoặc
một mạng con.
Cơ sở của tấn công từ chối dịch vụ là các sơ hở về bảo mật trong cấu hình hệ
thống, sơ hở trong giao thức kết nối mạng và các lỗ hổng bảo mật của phần mềm, hoặc
đơn giản là sự hạn chế của tài nguyên như băng thông kết nối, năng lực của máy chủ.
Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Internet, nhưng cũng
có thể xuất phát từ trong nội bộ hệ thống dưới dạng tác động của các phần mềm như
worm hoặc trojan.
Hai kỹ thuận thường dùng để gây ra các tấn công từ chối dịch vụ truyền thông
tương ứng với hai mục tiêu tấn công là Ping of Death và buffer-overflow:
- Ping of Death tấn công vào kết nối mạng bằng cách gửi liên tục và với số
lượng lớn các gói dữ liệu ICMP đến một mạng con nào đó, chiếm toàn bộ băng thông
kế nối và do đó gây ra tắc nghẽn mạng.
- Buffer-overflow tấn công vào các máy chủ bằng cách nạp dự liệu vượt quá
giới hạn của bộ đệm trên máy chủ, gây ra lỗi hệ thống. Các tấn công từ chối dịch vụ
nổi tiếng trong lịch sử bảo mật máy tính như Code Red, Slapper, Slammer…. Là các
tấn công sử dụng kỹ thuật buffer- overflow.
Tấn công từ chối dịch vụ thường không gây tiết lộ thông tin hay mất mát dữ
liệu mà chỉ nhằm vào tính khả dụng của hệ thống. Tuy nhiên, do tính phổ biến của từ
chối dịch vụ và đặc biệt là hiện nay chưa có một giải pháp hữu hiệu cho việc ngăn
chặn các tấn công loại này nên từ chối dịch vụ được xem là một nguy cơ rất lớn đối
với sự an toàn của HTTT.


Tấn công từ chối dịch vụ phân tán.


11
Là phương thức tấn công dựa trên nguyên tắc từ chối dịch vụ nhưng có mức độ
nguy hiểm cao hơn do huy động cùng lúc nhiều máy tính cùng tấn công vào một hệ
thống duy nhất.
Tấn công từ chối dịch vụ phân tán được thực hiện qua 2 giai đoạn :
Giai đoạn 1: Kẻ tấn công huy động nhiều máy tính trên mạng tham gia từ chối
dịch vụ phân tán bằng các cài đặt các phần mềm điều khiển từ xa trên các máy tính
này.
Các máy tính đã được cái đặt phần mềm điều khiển này được gọi là Zoombie.
Để thực hiện bước này, kẻ tấn công dò tìm trên mạng những máy có nhiều sơ hở để tấn
công và cài đặt các phần mềm điều khiển xa lên đó mà người quản lý không hay biết.
Những phần mềm này được gọi chung là backdoor.
Giai đoạn 2: Kẻ tấn công điều khiển zombie đồng loạt thực hiện tấn công vào
mục tiêu.
Các thành phần tham gia trong chuỗi dịch vụ phân tán bao gồm:
- Client: phần mềm điều khiển từ xa được kẻ tấn công sử dụng để điều khiển
các máy khác tham gia tấn công. Máy tính chạy phần mềm này được gọi là master.
- Deamon: phần mềm chạy trên các zombie, thực hiện yêu cầu của master và là
nơi trực tiếp thực hiện tấn công từ chối dịch vụ đến máy nạn nhân.

Hình 1.2. Tấn công từ chối dịch vụ phân tán

Tấn công giả danh.


12
Đây là dạng tấn công bằng cách giả danh một đối tượng khác để thực hiện một

hành vi.
Ví dụ 1: Một người có thể giả danh địa chỉ e-mail của một người khác để gửi thư
đến một người thứ ba, đây là trường hợp đối tượng bị giả danh là một người sử dụng.
Tấn công giả danh như đề cập ở trên là hình thức điển hình nhất của spoofing
attack, tồn tại song song với những khiếm khuyết về kỹ thuật của bộ giao thức TCP/IP.
Ngày nay, tấn công giả danh đã phát triển thêm môt hướng mới dựa trên sự phổ biến
của mạng Internet, đó là Phishing. Phishing hoạt động bằng cách giả danh các địa chỉ
e-mail hoặc địa chỉ trang web để đánh lừa người sử dụng.
Tấn công xen giữa:
Đây là phương thức tấn công bằng cách xen vào giữa một thủ tục đang diễn ra,
thường xảy ra trên mạng IP, nhưng cũng có thể xảy ra trong nội bộ một máy tính.
Trên mạng, kẻ tấn công bằng một cách nào đó xen vào một kết nối, đặc biệt ở
giai đoạn thiết lập kết nối giữa người dùng với máy chủ, và thông qua đó nhận được
những thông tin quan trọng của người dùng. Tấn công xen giữa đặc biệt phổ biến trên
mạng không dây do đặc tính dễ xâm nhập của môi trường không dây. Do vậy, việc áp
dụng kỹ thuật mã hóa là điều rất quan trọng để đảm bảo an toàn cho mạng không dây.
Còn trên một máy tính, tấn công dạng này có thể được thực hiện dưới dạng một
chương trình thu thập thông tin ẩn, chương trình này sẽ âm thầm chặn bắt tất cả những
thông tin mà người dùng nhập vào từ bàn phím, trong đó có thể sẽ có nhưng thông tin
quan trọng.

Hình 1.3. Tấn công xen giữa
Tấn công phát lại.
Trong phương thức tấn công này, các gói dữ liệu thông trên mạng được chặn bắt
và sau đó phát lại. Trong môi trường mạng, thông tin xác thực giữa người dùng và máy
chủ chấp nhận thông tin này thì máy tấn công có khả năng truy xuất vào máy chủ với
quyền của người dùng trước đó.


13


Hình 1.4. Tấn công phát lại
Nghe lén.
Đây là hình thức lấy cắp dữ liệu bằng cách đọc lén lên trên mạng. Hầu hết các
card mạng điều có khả năng chặn bắt tất cả các gói dữ liệu lưu thông trên mạng, mặc
dù gói dữ liệu đó không được gửi đến cho mình. Những card mạng có khả năng như
thế được gọi là đang ở chế độ promiscous.
Có rất nhiều phần mềm cho phép thực hiện chặn bắt dữ liệu từ một máy đang
kết nối vào mạng. Bằng việc đọc và phân tích các gói dữ liệu bắt được, kẻ tấn công có
thể tìm thấy nhiều thông tin quan trọng để tiến hành các hình thức tấn công khác.
Tấn công mật khẩu.
Là hình thức truy xuất trái phép vào hệ thống bằng cách dò mật khẩu. Có hai kỹ
thuật dò mật khẩu phổ biến:
Dò tuần tự: Dò mật khẩu bằng cách thứ lần lượt các tổ hợp ký tự, thông thường
việc này được thực hiện tự động bằng phần mềm. Mật khẩu càng dài thì số lần thử các
lớn và do đó khó bị phát hiện hơn. Một số hệ thống quy định chiều dài tối thiểu của
mật khẩu. Ngoài ra để ngăn chặn việc thử mật khẩu nhiều lần, một số hệ thống ngắt
nối nếu liên tiếp nhận được mật khẩu sai sau một số lần nào đó.
Dò theo từ điển: thử lần lượt các mật khẩu người sử dụng thường dùng. Để cho
đơn giản, người dùng thường có thói quen nguy hiểm là dùng những thông tin dễ nhớ
làm mật khẩu, ví dụ như tên mình, ngày sinh, số điện thoại.... Một số hệ thống hạn chế
nguy cơ này bằng cách định ra các chính sách về mật khẩu, quy định độ khó tối thiểu
của mật khẩu, ví dụ mật khẩu phải khác những thông tin liên quan đến cá nhân người sử
dụng, phải bao gồm các chữ in hoa và chữ thường, chữ cái và các mẫu tự khác chữ cái...


14
Làm tràn kết nối TCP
Đây là tấn công khai thác thủ tục bắt tay ba chiều của TCP. Mục đích của tấn
công là gây ra quá tải kết nối trên máy chủ và dẫn tới từ chối dịch vụ(DoS).


Hình 1.5. Thủ tục bắt tay 3 chiều của TCP/IP
Nhận được thông điệp ACK trả lời từ phía client thì server phải chờ cho đến khi
hết thời hiệu rồi mới giải tỏa kết nối này. Với sơ hở này, nếu một kẻ tấn công cố tình
tạo ra các bản ACK liên tiếp gửi đến server nhưng không hồi đáp, thì đến một thời
điểm nào đó, tất cả các kết nối có thể có của server đều dành hết cho việc chờ đợi này
và do không có khả năng phục vụ cho các kết nối khác nhau.

Hình 1.6. Tấn công TCP SYN/ACK flooding
Tấn công dựa vào số thứ tự của TCP.
Trong quá trình truyền dữ liệu giữa các máy sử dụng giao thức TCP, số thứ tự là
một thông tin quan trọng giúp xác định thứ tự các gói dữ liệu và xác định các gói đã
được nhận thành công. Số thứ tự được đánh theo từng byte dữ liệu và được duy trì một
cách đồng bộ giữa bên gửi và bên nhận. Nếu một máy thứ ba, bằng cách nào đó, chặn
bắt được các gói dữ liệu đang được trao đổi và đoán được số thứ tự của quá trình
truyển nhận dữ liệu, nó sẽ có khả năng xen vào kết nối, làm ngắt kết nối của một đầu
và nhảy vào thay thế.


15

Hình 1.7. Tấn công dựa vào số thứ tự TCP
Chiếm kết nối TCP.
Giống như phương thức tấn công ở trên, nhưng sau khi đoán được số thứ tự,
máy tấn công sẽ cố gắng chiếm lấy một đầu của kết nối hiện hữu mà đầu kia không
hay biết để tiếp tục truyền nhận dữ liệu, khi đó thông tin trao đổi giữa hai máy ban đầu
bị chuyển sang một máy thứ ba.
Tấn công dùng giao thức ICMP.
ICMP là một giao thức điều khiển dùng trong mạng IP. Giao thức này thường
được sử dụng để thực hiện các thủ tục điều khiển trên mạng IP như kiểm tra các kết

nối. Hai phương thức tấn công phổ biến dựa trên ICMP bao gồm :
- Smurf attack: nguyên lý hoạt động của ICMP là hồi đáp lại khi nhân được yêu
cầu từ máy khác, do chức năng của ICMP là để kiểm tra các kết nối IP. Dựa vào
nguyên lý này, một kẻ tấn công có thể giả danh một địa chỉ IP nào đó và gửi một yêu
cầu đến tất cả các máy trong nội bộ. Ngay lập tức, tất cả các máy đều đồng loạt trả lời
cho máy có địa chỉ IP bị giả danh, dẫn đến máy này bị tắc nghẽn không có khả năng
hoạt động như bình thường. Mục tiêu của tấn công smurf là làm tê liệt một máy nào
đó bằng các gói ICMP.
-ICMP tunneling: do gói dữ liệu ICMP thường được chấp nhận bởi nhiều máy
trên mạng, nên kẻ tấn công có thể lợi dụng điều này để chuyển các thông tin không
hợp lệ thông qua các gói dữ liệu ICMP. Để ngăn chặn các tấn công này, cách tốt nhất
là từ chối tất cả các gói dữ liệu ICMP.
Tấn công khai thác phần mềm:
Đây là tên gọi chung của tất cả các hình thức tấn công nhằm vào chương trình
ứng dụng hoặc một dịch vụ nào đó ở lớp ứng dụng. Bằng cách khai thác các sơ hở và
các lỗi kỹ thuật trên các phần mềm và dịch vụ này, kẻ tấn công có thể xâm nhập hệ
thống hoặc làm gián đoạn hoạt động bình thường của hệ thống.


16
Tấn công tràn bộ nhớ đệm: là phương thức tấn công vào các lỗi lập trình của số
phần mềm. Lỗi này có thể do lập trình viên, do bản chất của ngôn ngữ hoặc do trình
biên dịch. Ngôn ngữ C là ngôn ngữ có nhiều khả năng gây ra các lỗi tràn bộ đệm nhất,
các chương trình hệ thống, đặc biệt trong môi trường Unix và Linux.
Ngoài tấn công tràn bộ đệm, các phương thức tấn công khác nhằm vào việc khai
thác các sơ hở của phần mềm và dịch vụ bao gồm: khai thác cơ sở dữ liệu, khai thác ứng
dụng, ví dụ như các loại macro virus, khai thác các phần mềm gửi thư điện tử....
Các kỹ thuật đánh lừa:
Đây là phương thức tấn công không sử dụng kỹ thuật hay máy tính để xâm
nhập hệ thống bằng kỹ xảo gian lận để tìm kiếm các thông tin quan trọng, rồi thông

qua đó mà xâm nhập hệ thống.
Ví dụ, một kẻ tấn công giả danh là một nhân viên hỗ trợ kỹ thuật gọi điện thoại
đến một người trong hệ thống để trao đổi công việc, thông qua cuộc trao đổi này để
khai thác các thông tin cần thiết để thực hiện hành vi xâm nhập hệ thống. Rõ ràng các
phương thức này không sử dụng các phương thức kỹ thuật để tấn công, nên gọi là
“social engineering”. Đây cũng là một trong những loại tấn công phổ biến, và đối
tượng mà nó nhắm đến là vấn đề con người trong hệ thống.
1.2.2 Một số phương thức bảo đảm an toàn bảo mật thông tin:
An toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệu
không quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An
toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn của hệ
thống máy tính mà không quan tâm đến thông tin được lưu trữ, xử lý bởi chúng. Đảm
bảo thông tin tập trung vào lý do đảm bảo rằng thông tin được bảo vệ và vì thế nó là lý
do để thực hiện an toàn thông tin.
Một số phương thức đảm bảo ATTT
Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc
nào đó thành dạng mới mà kẻ tấn công không nhận biết được.
Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng
client hay server…
Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành
phần đã đăng nhập thành công vào hệ thống. Quyền hạn này là các quyền sử dụng dịch
vụ, truy cập dữ liệu…


17
Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập
đến dữ liệu nào và bằng cách nào.
1.3 TỔNG QUAN VỀ TÌNH HÌNH NGHIÊN CỨU AN TOÀN BẢO MẬT
HTTT
1.3.1 Tổng quan tình hình nghiên cứu ở Việt Nam

Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin trong
nước cũng có những chuyển biến, nhiều công trình nghiên cứu, sách và tài liệu khoa
học về an toàn và bảo mật thông tin ra đời như:
Đàm Gia Mạnh (2009),Giáo trình an toàn dữ liệu trong thương mại điện tử,
NXB Thống Kê
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong
TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như
những nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong TMĐT.
Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ
liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số
phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp
khắc phục hậu quả thông dụng, phổ biến hiện nay.
Bài luận văn thạc sĩ “Nghiên cứu vấn đề bảo mật thông tin và đề xuất giải
pháp bảo mật cho hệ thông thông tin trường cao đẳng kinh tế- kỹ thuật Vĩnh Phúc”
của học viên Tô Quang Hiệp đã nghiên cứu về các kiểu firewall cũng như phân tích
những ưu điểm và hạn chế của chúng để có những đề xuất về giải pháp bảo mật phù
hợp nhất cho hệ thống thông tin của trường Cao đẳng Kinh tế- Kỹ thuật Vĩnh Phúc.
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại truy cập trái
phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ
thống thông tin khác không mong muốn. Nói cách khác Firewall đóng vai trò là một
trạm gác ở cổng vào của mạng. Firewall là một giải pháp rất hiệu quả trong việc bảo
vệ máy tính khi tham gia vào mạng. Bài luận văn đã giúp người đọc hiểu chi tiết về
các kiểu Firewall để có sự lựa chọn phù hợp nhất nhằm giải quyết các vấn đề về an
ninh mạng. Tuy nhiên, bài luận văn chỉ đừng lại ở việc đưa ra lý thuyết chung nhất về
Firewall mà chưa đưa ra hướng xây dựng cụ thể cho giải pháp sử dụng tường lửa để
bảo mật


18
Cùng nghiên cứu về vấn đề này, Nguyễn Dương Hùng – Khoa Hệ thống

thông tin Quản lý- Học viện Ngân hàng đã thực hiện bài nghiên cứu khoa học
“Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mại khi sử dụng
công nghệ điện toán đám mây”. Các ngân hàng ngày càng gặp nhiều khó khăn trong
việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì nó đang được tăng
lên nhanh chóng theo từng ngày. Sự ra đời của công nghệ điện toán đám mây (ĐTĐM)
cùng với khả năng cung cấp một cơ sở hạ tầng không giới hạn để truy xuất, lưu trữ dữ
liệu tại các vị trí địa lý khác nhau là một giải pháp tốt cho cơ sở hạ tầng công nghệ
thông tin (CNTT) để các ngân hàng xử lý các vấn đề khó khăn trên. Như một kết quả
tất yếu, dữ liệu dư thừa, trùng lặp sẽ xuất hiện và bị sửa đổi bởi những người sử dụng
trái phép. Điều này dẫn đến việc mất mát dữ liệu, mất an toàn và bảo mật thông tin, sự
riêng tư của khách hàng sẽ trở thành vấn đề chính cho các ngân hàng khi họ ứng dụng
công nghệ ĐTĐM vào công việc kinh doanh của họ. Do đó việc ứng công nghệ
ĐTĐM vào các ngân hàng là một xu thế tất yếu trong trong thời đại CNTT phát triển
mạnh mẽ như hiện nay. Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ
nghiên cứu mang tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được
những kiến nghị về an ninh bảo mật trong ĐTĐM.
Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an
toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an
toàn thông tin trong TMĐT như: mã hóa, chữ ký số….
Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an
toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về an toàn
thông tin nói chung và đi sâu vào một doanh nghiệp cụ thể.
1.3.2. Tổng quan tình hình nghiên cứu trên thế giới
Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm
và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông
tin nói chung. Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức
tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các
doanh nghiệp lớn nhỏ, các tổ chức, chính phủ…



19
Dr. Eric Cole (2005), Dr. Ronald Krutz, and James W. Conley, “Network
Security Bible”, Wiley Publishing.
Cuốn sách nói về các kỹ thuật, công nghệ và phương pháp tiếp cận an ninh mới,
nó cũng kiểm tra xu hướng mới và các phương pháp hay nhất được nhiều tổ chức sử
dụng. Phiên bản sửa đổi bảo mật mạng bổ sung cho khóa học của Cisco Academy về
bảo mật mạng. Bao gồm tất cả các lĩnh vực chính của an ninh mạng và cách họ tương
quan, hoàn toàn sửa đổi để giải quyết các kỹ thuật, công nghệ và phương pháp bảo
đảm mới cho doanh nghiệp trên toàn thế giới, xem xét xu hướng mới và các phương
pháp hay nhất trong sử dụng của các tổ chức để bảo vệ doanh nghiệp của họ. Ngoài ra
cuốn sách còn có thêm các chương về các lĩnh vực liên quan đến bảo vệ dữ liệu tương
quan và pháp y, và bao gồm các chủ đề tiên tiến như an ninh không gian mạng tích hợp
và các phần về Cảnh an ninh, với các chương về xác nhận tính bảo mật, bảo vệ dữ liệu,
pháp y và các cuộc tấn công và các mối đe dọa.
William Stallings (2005), Cryptography and Network Security Principles and
Practices, Fourth Edition, Prentice Hall.
Cuốn sách cung cấp thông tin về mật mã và an ninh mạng trong môi trường
Internet thông qua các cuộc khảo sát. Cuốn sách được chia làm 2 phần, phần đầu cung
cấp các kiến thức về mật mã và công nghệ bảo mật mạng, phần sau cung cấp một số
ứng dụng thực tiễn đang được sử dụng hiệu quả để đảm bảo tính bảo mật mạng. Ngoài
ra cuốn sách cũng được sử dụng một số kiến thức về toán học như kiến thức về lý
thuyết xác xuất thống kê, số học,…
Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise
Information Security – Estimating the Credibility of the Results.
Bài báo này trình bày các kết quả từ một dự án nghiên cứu đang thực hiện tập
trung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp
(Enterprise Information Security), dự án là một phần của một chương trình nghiên cứu
toàn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research Programme
(EARP). EARP khai thác các phần của cấu trúc doanh nghiệp như một cách tiếp cận để

quản lý tổng danh mục hệ thống thông tin của công ty. Các bên liên quan chính của Cấu
trúc Doanh nghiệp là CIO (Chief Information Officer) chịu trách nhiệm quản lý và phát
triển hệ thống thông tin doanh nghiệp. Mục tiêu tổng thể của chương trình nghiên cứu là
cung cấp chức năng CIO với các công cụ và phương pháp dựa trên cấu trúc để lập kế
hoạch và ra quyết định liên quan đến các hệ thống thông tin toàn doanh nghiệp