Báo cáo khoa học và công nghệ cấp cơ sở: Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC THƯƠNG MẠI

BÁO CÁO

ĐỀ TÀI KHOA HỌC VÀ CÔNG NGHỆ CẤP CƠ SỞ MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM

HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP

Mã số: CS16 - 02

Hà Nội, 3/2017

Chủ nhiệm đề tài: ThS. Nguyễn Quang Trung Đơn vị công tác: Bộ môn công nghệ thông tin

MỤC LỤC

DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT ........................................................ iv

DANH MỤC BẢNG BIỂU, HÌNH VẼ .................................................................... iv

Chương 1. TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI .................................................. 1 1.1. Tính cấp thiết của đề tài ...................................................................................... 1 1.2. Tổng quan tình hình nghiên cứu trong và ngoài nước .......................................... 2 1.2.1. Tình hình nghiên cứu ở nước ngoài ........................................................................ 2 1.2.2. Tình hình nghiên cứu trong nước ........................................................................... 5 1.3. Mục tiêu của đề tài .............................................................................................. 7 1.4. Đối tượng và phạm vi nghiên cứu ....................................................................... 7 1.5. Phương pháp nghiên cứu ..................................................................................... 8 1.6. Kết cấu của báo cáo đề tài ................................................................................... 9

Chương 2. CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP VIỆT NAM .. 10 2.1. Cơ sở lý luận ..................................................................................................... 10 2.1.1. Tổng quan về hệ thống thông tin .......................................................................... 10 2.1.2. Các đặc trưng của một hệ thống thông tin an toàn ................................................ 15 2.1.3. Các nguy cơ và rủi ro đối với hệ thống thông tin .................................................. 19

2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp

Việt Nam .................................................................................................................... 23 2.2.1. Thực trạng chung ................................................................................................. 23 2.2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin ............................ 28 2.3. Đánh giá thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin ............ 31

Chương 3. MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP .................................................... 33 3.1. Áp dụng quy trình phát triển phần mềm an toàn ................................................ 33 3.2. Tổ chức lập trình an toàn ................................................................................... 34 3.3. Bảo mật cơ sở dữ liệu ........................................................................................ 36 3.4. Đào tạo người sử dụng ...................................................................................... 37 3.5. Rà soát phát hiện các lỗ hổng ............................................................................ 37 3.6. Một số đề xuất, kiến nghị .................................................................................. 38

KẾT LUẬN .............................................................................................................. 39

TÀI LIỆU THAM KHẢO ....................................................................................... 41

PHỤ LỤC 1: MẪU PHIẾU ĐIỀU TRA ................................................................. 42

PHỤ LỤC 2: DANH SÁCH DOANH NGHIỆP ĐIỀU TRA ................................. 47

ii

PHỤ LỤC 3: THUYẾT MINH ĐỀ TÀI ................................................................. 49

iii

DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT

Từ viết tắt Tiếng Anh Tiếng Việt

ATTT Information Security An toàn thông tin

BCVT Posts and Telecommunications Bưu chính viễn thông

CNTT Information Technology Công nghệ thông tin

Customer Relationship Quản trị mối quan hệ khách CRM Management hàng

CSDL Database Cơ sở dữ liệu

ERP Enterprise Resource Planning Hoạch định nguồn lực doanh nghiệp

HTTT Information System Hệ thống thông tin

SCM Supply Chain Management Quản trị chuỗi cung ứng

SQL Structured Query Language Ngôn ngữ truy vấn có cấu trúc

Vietnam Computer Emergency Trung tâm ứng cứu khẩn cấp VNCERT Response Teams máy tính Việt Nam

DANH MỤC BẢNG BIỂU, HÌNH VẼ

Hình 2.1. Mô hình hệ thống thông tin ................................................................................... 11 Hình 2.2: Chỉ số ATTT qua các năm 2013 đến 2016...............................................................20 Hình 2.3: Những vấn đề khó khăn trong việc đảm bảo ATTT cho hệ thống thông tin............22 Hình 3.1: Các quy trình trong vòng đời phát triển an toàn .................................................... 34

iv

VNISA Vietnam Information Security Association Hiệp hội An toàn thông tin Việt Nam

Chương 1. TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI

1.1. Tính cấp thiết của đề tài

Trong lịch sử chúng ta đã trải qua nhiều cuộc cách mạng công nghiệp.

Đầu tiên là động cơ chạy bằng hơi nước và thủy lực, rồi đến động cơ điện, dây

chuyền sản xuất và điện toán hóa,…Tiếp theo sẽ là gì? Một số người gọi đây là

cuộc cách mạng công nghiệp lần thứ tư, hay công nghiệp thế hệ 4.0. Đây là xu

hướng kết hợp giữa các hệ thống ảo và thực thể, vạn vật kết nối Internet (IoT) và

các hệ thống kết nối Internet (IoS). Trong cuộc cách mạng thứ tư, chúng ta sẽ

đến với sự kết hợp giữa thế giới thực, thế giới ảo và thế giới sinh vật. Những

công nghệ mới này chính là các hệ thống thông tin thông minh tác động đến mọi

nền kinh tế, mọi ngành công nghiệp, đồng thời cũng thách thức ý niệm của

chúng ta về cách thức bảo vệ các hệ thống này.

Những hệ thống này thuộc mọi lĩnh vực có tiềm năng kết nối hàng tỷ

người trên thế giới, gia tăng đáng kể hiệu quả hoạt động cho các tổ chức, doanh

nghiệp, tái tạo các nguồn tài nguyên thiên nhiên hay thậm chí là khôi phục lại

những tổn thất mà các cuộc cách mạng công nghiệp trước gây ra.

Trong lĩnh vực kinh tế, các hệ thống thông tin kinh tế có vai trò rất quan

trọng đối với doanh nghiệp. Các phần mềm tự động hóa với độ chính xác cao,

chất lượng tốt giúp các doanh nghiệp giảm bớt chi phí hoạt động, cải thiện lợi

tức đầu tư và hiệu quả kinh doanh. Cùng với sự phát triển mạnh mẽ của công

nghệ thông tin như hiện nay, việc thu thập, xử lý thông tin khá dễ dàng và nhanh

chóng với các hệ thống thông tin tự động hóa. Song song với sự phát triển này,

cùng với cách quản lý nhân lực, tài sản nói chung và tài sản thông tin nói riêng

của mỗi doanh nghiệp, là sự phát triển của các loại hình đánh cắp thông tin, xâm

nhập hệ thống thông tin trái phép, bao gồm cả bên trong doanh nghiệp và bên

ngoài doanh nghiệp.

Có thể nói hiện nay cả thế giới phải đối mặt với các vấn đề đánh cắp, rò rỉ

thông tin hoặc vi phạm bản quyền riêng tư. Chúng không còn là vấn đề của riêng

1

ai, mà là vấn đề của tất cả chúng ta. Vấn đề này thực sự nguy hiểm, ảnh hưởng

của vấn đề an toàn cho hệ thống thông tin (HTTT) của các doanh nghiệp là rất

lớn. Một khi hệ thống thông tin trở nên quan trọng thì vấn đề đảm bảo an toàn

và bảo mật cho hệ thống thông tin có tính chất sống còn đến sự phát triển của

doanh nghiệp. Đảm bảo an toàn thông tin (ATTT) giúp cho hoạt động của doanh

nghiệp luôn thông suốt và an toàn, đảm bảo các hoạt động nghiệp vụ của tổ chức

không bị gián đoạn bởi các sự cố liên quan đến ATTT. Nâng cao uy tín của tổ

chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy quá

trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.

An toàn và bảo mật HTTT tập trung vào hai phần chính là an toàn hệ

thống và bảo mật dữ liệu. Nếu như bảo mật dữ liệu trong hệ thống tập trung chủ

yếu vào việc mã hóa dữ liệu, thì vấn đề an toàn cho hệ thống thông tin quan tâm

đến bảo vệ hệ thống phần cứng, các hệ điều hành, hệ thống mạng, hệ thống phần

mềm. Trong đó vấn đề bảo vệ hệ thống phần mềm là quan trọng nhất và chưa

được các doanh nghiệp chú trọng. Vì vậy tác giả chọn đề tài “Một số giải pháp

đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp” để

nghiên cứu.

1.2.1. Tình hình nghiên cứu ở nước ngoài

1.2. Tổng quan tình hình nghiên cứu trong và ngoài nước

Trên thế giới, các hệ thống phần mềm đã được phát triển và ứng dụng

trong các doanh nghiệp như phần mềm ERP (hoạch định nguồn lực doanh

nghiệp), CRM (quản trị mối quan hệ khách hàng), SCM (quản trị chuỗi cung

ứng), … Các hệ phần mềm này được xây dựng theo quy trình chuẩn nên đạt tiêu

chuẩn về an toàn cao. Để triển khai các hệ thống phần mềm này doanh nghiệp

chỉ cần quan tâm đến vấn đề kinh phí, việc triển khai đã có các nhà cung cấp

dịch vụ cài đặt, đào tạo người sử dụng. Tuy nhiên không phải doanh nghiệp nào

cũng có điều kiện triển khai các phần mềm CRM, SCM, ERP,… Xây dựng phần

mềm riêng vẫn được các doanh nghiệp trên thế giới lựa chọn. Khi xây dựng

phần mềm dùng riêng thì vấn đề đảm bảo an toàn cho cả hệ thống thông tin nói

2

chung và vấn đề đảm bảo an toàn cho phần mềm HTTT là rất quan trọng. Vấn

đề này đã được nhiều công ty, nhiều nhà khoa học công bố trên các sách, tạp chí

nổi tiếng thế giới như:

Cuốn sách Architecting Secure Software Systems[11] được các tác giả

Asoke K. Talukder and Manish Chaitanya xuất bản năm 2011, cuốn sách nổi

tiếng về xây dựng một kiến trúc hệ thống cho đảm bảo an toàn phần mềm. Trong

tài liệu này tác giả tập trung vào cả khía cạnh lý thuyết và thực tiễn của việc

thiết kế các hệ thống phần mềm an toàn cho các công nghệ, nền tảng và ngôn

ngữ lập trình khác nhau. Trong phần lý thuyết, các tác giả giải thích nhu cầu về

an toàn, các thuộc tính an toàn và các kiểu tấn công khác nhau. Một phương

pháp luận về vòng đời phát triển phần mềm an toàn với các hoạt động cần thiết

để xây dựng các hệ thống phần mềm bảo mật cũng được đưa ra trong phần lý

thuyết. Trong phần thứ hai, cuốn sách tập trung vào các khía cạnh thực tế của

bảo mật phần mềm. Cung cấp các ví dụ kiến trúc cụ thể và các đoạn mã nguồn

để giải thích làm thế nào để xây dựng các hệ thống phần mềm an toàn. Tuy

nhiên cuốn sách này chưa đề cập đến áp dụng quy trình phát triển phần mềm

theo chuẩn an toàn.

Các tác giả Christopher J. Carvalho, Elizabeth M. Borycki và Andre

Kushniruk (2012) có bài viết “Ensuring the Safety of Health Information

Systems”[11], tạp chí quốc tế về ứng dụng Tin học trong Y tế. Bài viết đề cập đến

vấn đề đảm bảo an toàn cho một hệ thống thông tin, cụ thể là HTTT y tế. Vấn đề

an toàn tập trung vào việc bảo vệ các thiết bị phần cứng, hệ thống mạng truyền

thông và dữ liệu trong hệ thống. Trong bài viết cũng giới thiệu những giải pháp

lựa chọn nhà cung cấp cứng, phần mềm nhằm giảm thiểu nguy cơ mất an toàn

cho hệ thống thông tin y tế.

Trong cuốn sách “Handbook of the Secure Agile Software Development

Life Cycle”[12] xuất bản năm 2014, các tác giả Jouko ahola, Christian frühwirth,

Marko Helenius của trường Đại học Oulu đã đưa ra quy trình phát triển phần

mềm theo phương pháp “agile” (phương pháp phát triển nhanh) hướng đến an

3

toàn. Trong tài liệu này mô tả chi tiết từng bước trong quy trình, từ phân tích

thiết kế đến lập trình, kiểm thử, bảo trì phần mềm theo hướng an toàn. Tuy

nhiên các bước trong quy trình cho phương pháp agile nên chưa phản ánh hết

thực trạng đảm bảo an toàn cho phần mềm trong thực tế, vì phương pháp này

hiện nay chưa phổ biến.

Các doanh nghiệp nước ngoài thường có các hợp đồng kinh tế chặt chẽ

khi họ làm việc với các nhà phát triển phần mềm, nhà cung cấp phần cứng và họ

thường yêu cầu tin học hoá đồng bộ ở mức cao nhất nên hệ thống thông tin của

họ tương đối an toàn. Các tác giả Kenneth R. van Wyk, Mark G. Graff đã viết

cuốn sách “Enterprise Software Security”[13] năm 2014, bàn về vấn đề an toàn

cho phần mềm của các doanh nghiệp. Thông thường ban đầu các doanh nghiệp

chủ yếu tập trung xây dựng phần mềm với quy mô nhỏ, chi phí thấp nên các

nguy cơ mất an toàn cho hệ thông tin có thể xảy ra bất cứ khi nào. Vậy cần phải

tìm ra các giải pháp đảm bảo an toàn phù hợp với quy mô phần mềm nhỏ cho

các doanh nghiệp. Tài liệu này đã chỉ rõ một số phương pháp nhằm đảm bảo an

toàn cho phần mềm, tuy nhiên các tác giả chủ yếu tập trung vào các giải pháp

công nghệ mà không phải doanh nghiệp nào cũng đáp ứng được.

Không chỉ các doanh nghiệp Việt Nam mà các doanh nghiệp trên thế giới

rất băn khoăn làm thế nào để phát triển được phần mềm mà hạn chế tối đa được

sự xâm nhập trái phép từ bên ngoài vào hệ thống. “Safety For Software

development models in Enterprise”[14] được tác giả Pierre Bertrand đề cập đến

một số mô hình phát triển phần mềm nhằm đảm bảo an toàn cho hệ thống.

Trong mô hình này các doanh nghiệp phải chấp nhận một khoản chi phí không

hề nhỏ để phát triển phần mềm tuân thủ theo quy trình chuẩn trong thiết kế phần

mềm. Vì nhiều lý do khác nhau như trình độ chuyên môn của nhân viên, chi phí

áp dụng đắt đỏ mà các doanh nghiệp Việt Nam không thể áp dụng được. Vì vậy

các doanh nghiệp Việt Nam vẫn phải phát triển phần mềm theo cách tối ưu chi

phí (cắt giảm một số khâu trong quy trình để giảm chi phí xây dựng phần mềm).

Việc lựa chọn mô hình phát triển phần mềm để đảm bảo an toàn thường gặp

nhiều khó khăn cả về nhân lực cũng như mức độ tự động hoá của phần mềm.

4

Các đề tài, bài báo trên các tạp chí nổi tiếng chủ yếu đề cập đến khía cạnh sử

dụng các hệ thống đảm bảo an toàn để bảo vệ hệ thống thông tin mà chưa đề cập

đến những phương pháp bảo vệ ngay từ khi phân tích thiết kế phần mềm, viết

mã nguồn chương trình, tức là đề cập đến khía cạnh áp dụng chặt chẽ các quy

1.2.2. Tình hình nghiên cứu trong nước

tắc để kiểm soát lỗi để không tạo ra các lỗ hổng cho haker tấn công.

Công nghệ phần mềm đã được phát triển rất nhanh ở Việt Nam trong

những năm gần đây. Hầu hết các doanh nghiệp đều đã ứng dụng phần mềm vào

hoạt động sản xuất kinh doanh với các cấp độ khác nhau. Chính vì vậy mà yêu

cầu cần thiết phải đảm bảo an toàn cho các phần mềm đã được nhiều doanh

nghiệp quan tâm. Trong các công ty sản xuất phần mềm, mỗi cán bộ công nhân

viên trong công ty đặc biệt là các nhân viên tham gia vào quá trình phát triển

phần mềm càng phải nỗ lực trong việc hoàn thiện các kỹ năng, nắm vững các

phương pháp, công nghệ mới để tạo ra các phần mềm phù hợp với doanh nghiệp

mà vẫn đảm bảo tính năng an toàn.

Các mô hình phát triển phần mềm hiện đại theo quy trình chuẩn hoá đã và

đang được sử dụng rất nhiều nước trên thế giới, đặc biệt là các nước phát triển.

Nhưng ở Việt Nam, điều này vẫn khá mới mẻ và chỉ bắt đầu được triển khai ở

một vài doanh nghiệp lớn. Nhiều công trình khoa học về các mô hình phát triển

phần mềm hướng đến an toàn như:

Đề tài cấp Đại học Quốc Gia Hà Nội của TS. Ma Thị Châu “Ứng dụng

công nghệ mới trong phát triển phần mềm”[3]. Đề tài đề cập đến công cụ phân

tích thiết kế phần mềm bằng UML (ngôn ngữ mô hình hoá thống nhất), những

điểm mạnh của công cụ này trong phát triển phần mềm cho doanh nghiệp. Đề tài

tập trung chủ yếu vào việc nghiên cứu về mặt công nghệ, khả năng sinh mã

nguồn tự động (tự động hoá một số khâu khi viết chương trình). Các công nghệ

mới mà đề tài đề cập đến có khả năng ứng dụng cho nhiều loại hình doanh

nghiệp ở Việt Nam. Nhưng đề tài chưa quan tâm đến vấn đề đảm bảo an toàn

5

cho phần mềm khi áp dụng các công nghệ đó.

Đề tài cấp Đại học Quốc Gia Hà Nội của TS. Ngô Lê Minh “Đảm bảo an

toàn cho các hệ thống thông tin quản lý trên nền điện toán đám mây”[5]. Đề tài

đề cập đến công nghệ điện toán đám mây, những điểm mạnh của công nghệ này

trong phát triển hệ thống thông tin quản lý cho doanh nghiệp. Đề tài tập trung

chủ yếu vào các giải pháp về mặt công nghệ nhằm đảm bảo an toàn cho các

HTTT nói chung và các HTTT trên nền điện toán đám mây nói riêng như công

nghệ mạng riêng ảo, sử dụng phương thức bảo mật đường truyền, xây dựng hệ

thống tường lửa,… Các giải pháp này là các giải pháp cơ bản nên không hẳn đã

an toàn với các harker có trình độ cao. Vì vậy muốn hệ thống trở nên an toàn

hơn các doanh nghiệp buộc phải đầu tư các trang được thiết bị phần cứng đắt

tiền. Điều này không phải doanh nghiệp nào cũng đáp ứng được. Trong đề tài

này tác giả cũng chưa quan tâm cụ thể đến việc đảm bảo an toàn cho các phần

mềm.

Bài báo hội thảo quốc gia của TS. Hoàng Đức Thọ, Học viện Kỹ thuật

mật mã “Một số giải pháp phát triển phần mềm hướng đến an toàn”[7]. Bài báo

khái quát thực trạng phát triển phần mềm ở nước ta hiện nay còn nhiều hạn chế

dẫn đến thất bại trong việc đảm bảo an toàn, những nguyên nhân chủ yếu dẫn

đến các phần mềm còn nhiều lỗ hổng bảo mật để các tin tặc tấn công gây thiệt

hại nặng nề cho doanh nghiệp. Trên cơ sở học tập kinh nghiệm thực tế từ các dự

án thành công trong nước và thế giới, tác giả rút ra bài học kinh nghiệm và đề

xuất một số giải pháp để phát triển phần mềm theo hướng an toàn bằng cách áp

dụng các biện pháp phát hiện lỗ hổng bảo mật trong phần mềm.

Hiện nay các tài liệu giảng dạy trong nước về lĩnh vực phần mềm, ít nhiều

đều đề cập đến vấn đề an toàn ở cấp độ khác nhau. Trong các tài liệu “Bài giảng

Công nghệ phần mềm, Bộ môn Công nghệ thông tin – Trường Đại học Thương

mại (2015)”; PGS.TS Đàm Gia Mạnh (2011), “Giáo trình An toàn dữ liệu trong

Thương mại điện tử, Nhà xuất bản Thống kê, Hà Nội; Trần Đình Quế (2013),

Giáo trình phân tích và thiết kế hệ thống thông tin, Nhà xuất bản Thông tin và

Truyền thông, các tác giả đã đề cập đến các nguy cơ mất an toàn thông tin và

6

biện pháp đảm bảo an toàn thông tin, dữ liệu trong các hệ thống thông tin.

Hầu hết các đề tài, bài báo, sách mà tác giả thu thập được chủ yếu đề cập

đến giải pháp trang bị công nghệ nhằm đảm bảo an toàn cho các hệ thống thông

tin, các công nghệ này đã và đang được ứng dụng rộng rãi, sự khác biệt giữa các

doanh nghiệp là sử dụng công nghệ gì, chi phí đầu tư đến mức độ nào. Các giải

pháp này hiện nay chưa phải là giải pháp tối ưu, nhưng vẫn đáp ứng được yêu

cầu bảo đảm an toàn ở một cấp độ nào đó nếu các doanh nghiệp thực hiện một

cách đồng bộ từ trang bị công nghệ đến huấn luyện, đào tạo bài bản cho đội ngũ

nhân viên. Vấn đề này không hề đơn giản đối với các doanh nghiệp Việt Nam

khi mà họ chủ yếu đào tạo được bộ phận quản trị hệ thống, còn đội ngũ người

dùng hệ thống khác chưa đạt tiêu chuẩn an toàn thông tin. Chính vì vậy cần có

nhiều giải pháp khác phòng ngừa những khả năng xấu nhất có thể xảy ra với đội

ngũ này, đó chính là khâu đảm bảo an toàn cho hệ thống từ ngay chính phần

mềm mà họ đang sử dụng.

Như vậy theo hiểu biết của chủ nhiệm đề tài, chưa có một công trình nào

nghiên cứu đầy đủ về các giải pháp đảm bảo an toàn cho phần mềm hệ thống

thông tin của doanh nghiệp từ khâu phân tích, thiết kế phần mềm an toàn, và đặc

biệt sử dụng các kỹ thuật viết mã nguồn cho phần mềm hướng đến an toàn cho

hệ thống thông tin sau này hạn chế được các lỗ hổng mà từ đó các tin tặc có thể

tấn công, phá hủy hệ thống thông tin của doanh nghiệp Việt Nam.

1.3. Mục đích của đề tài

- Khái quát hoá lý thuyết về an toàn cho phần mềm hệ thống thông tin của

doanh nghiệp.

- Tìm hiểu thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin

của doanh nghiệp.

- Lựa chọn được một số giải pháp phù hợp trong điều kiện hiện nay nhằm

giúp các doanh nghiệp đảm bảo an toàn cho hệ thống phần mềm của họ.

7

1.4. Đối tượng và phạm vi nghiên cứu

- Đối tượng nghiên cứu của đề tài là vấn đề đảm bảo an toàn cho phần

mềm hệ thống thông tin của doanh nghiệp.

Khách thể nghiên cứu của đề tài: Quy trình xây dựng phần mềm hướng

đến an toàn, Một số doanh nghiệp có ứng dụng HTTT

- Phạm vi nghiên cứu:

o Không gian: Trong quy trình xây dựng phần mềm an toàn, đề tài

chủ yếu nghiên cứu sâu về vấn đề lập trình an toàn.

o Thời gian: Tìm hiểu các tài liệu từ năm 2010 trở lại đây, số liệu thu thập về tình hình đảm bảo an toàn cho HTTT, phần mềm ở các doanh nghiệp năm 2016.

1.5. Phương pháp nghiên cứu

- Phương pháp nghiên cứu: Sử dụng phương pháp luận duy vật biện

chứng là phương pháp chủ yếu để nghiên cứu đề tài. Một số phương pháp

nghiên cứu cụ thể sẽ được sử dụng là: điều tra thực tế bằng phương pháp khảo

sát, nghiên cứu thông tin thứ cấp, tham khảo kết quả nghiên cứu của các công

trình có liên quan, sử dụng tài nguyên có trên mạng, …

Phương pháp thu thập thông tin, dữ liệu: Tiến hành phỏng vấn, và gửi

phiếu điều tra nhằm thu thập, phân tích thông tin liên quan đến thực trạng đảm

bảo an toàn cho HTTT của một số doanh nghiệp Việt Nam. Tác giả đã thực hiện

một cuộc khảo sát ở 30 doanh nghiệp có ứng dụng HTTT ở địa bàn Hà Nội. Từ

đó rút ra được kết luận về thực trạng ứng dụng các công nghệ trong phát triển

HTTT kinh tế của các doanh nghiệp Việt Nam cũng như vấn đề an toàn cho các

HTTT này nói chung và vấn đề an toàn cho các phần mềm trong HTTT đó nói

riêng.

Phương pháp thu thập dữ liệu thứ cấp: được sử dụng để nghiên cứu cơ sở

lý luận về an toàn cho HTTT: Bao gồm các khái niệm cơ bản, quy trình đảm bảo

an toàn cho phần mềm HTTT, ...

- Phương pháp xử lý dữ liệu: sử dụng các phương pháp phân tích định

8

tính, định lượng để tổng hợp dữ liệu.

1.6. Kết cấu của báo cáo đề tài

Kết cấu đề tài gồm 3 chương (Ngoài các mục như: mục lục, danh mục

bảng biểu hình vẽ, từ viết tắt...)

Chương 1. Tổng quan nghiên cứu đề tài

Chương 2. Cơ sở lý luận và thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp Việt Nam

9

Chương 3. Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp

Chương 2. CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN

TOÀN CHO PHẦN MỀM HỆ THỐNG THÔNG TIN CỦA DOANH

NGHIỆP VIỆT NAM

2.1.1. Hệ thống thông tin

2.1. Cơ sở lý luận

a) Khái niệm

Hệ thống thông tin (HTTT) là một hệ thống sử dụng công nghệ thông tin

để thu thập, truyền, lưu trữ, xử lý và biểu diễn thông tin trong một hay nhiều quá

trình kinh doanh.

Hệ thống thông tin có khả năng:

+ Xử lý, lưu trữ và cập nhật dữ liệu hàng ngày, ra các báo cáo theo định

kỳ (ví dụ: Các hệ thống tính lương).

+ Hỗ trợ các hoạt động quản lý: Một hệ thống thông tin gồm cơ sở dữ liệu

hợp nhất và các dòng thông tin giúp con người trong sản xuất, quản lý.

+ Trợ giúp ra quyết định: Hỗ trợ cho việc ra quyết định (cho phép nhà

phân tích ra quyết định chọn các phương án mà không phải thu thập và phân tích

dữ liệu).

+ Đóng vai trò là chuyên gia về lĩnh vực: Hỗ trợ nhà quản lý giải quyết

các vấn đề và làm quyết định một cách thông minh.

Hệ thống thông tin kinh tế là hệ thống thông tin được xây dựng và sử

dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ dữ liệu, thông tin kinh tế và

tri thức nhằm trợ giúp các hoạt động ra quyết định trong tổ chức, doanh nghiệp

phục vụ các mục tiêu của doanh nghiệp.

Hệ thống thông tin kinh tế là hệ thống được tin học hoá đầy đủ và toàn

diện nhất các hoạt động nghiệp vụ của một doanh nghiệp, nó chứa đựng đầy đủ

các thành tựu của công nghệ thông tin ứng dụng vào các hoạt động sản xuất kinh

10

doanh của doanh nghiệp.

b) Các thành phần của hệ thống thông tin: HTTT có 5 thành phần chính

còn được gọi là các nguồn lực hay tài nguyên của hệ thống, đó là:

 Nguồn lực phần cứng

 Nguồn lực phần mềm

 Nguồn lực mạng

 Nguồn lực dữ liệu

 Nguồn lực con người

Hình 2.1. Mô hình hệ thống thông tin

+ Nguồn lực phần cứng: Nguồn lực phần cứng của một HTTT kinh tế là

toàn bộ các thiết bị kỹ thuật phục vụ cho việc thu thập, xử lý, lưu trữ và truyền

đạt thông tin, bao gồm máy tính điện tử và các thiết bị khác.

+ Nguồn lực phần mềm: Nguồn lực về phần mềm là tổng thể các chương

trình hệ thống, chương trình ứng dụng của HTTT kinh tế. Phần mềm được trình

bày chi tiết trong mục 2.1.2

+ Nguồn lực mạng truyền thông:

Mạng máy tính là tập hợp các máy tính được kết nối với nhau bằng các

đường truyền vật lý theo một kiến trúc nào đó nhằm chia sẻ các tiềm năng của

mạng. Mạng máy tính cho phép: Chia sẻ các tài nguyên của mạng như CSDL,

máy in… để tiết kiệm chi phí; Làm tăng độ tin cậy của hệ thống; Cung cấp các

dịch vụ thông tin phong phú.

11

+ Nguồn lực dữ liệu:

Tài nguyên về dữ liệu gồm các CSDL quản lý, các mô hình thông qua các

quyết định quản lý.

CSDL (Database) là tổng thể các dữ liệu đã được thu thập, lựa chọn và tổ

chức một cách khoa học theo một mô hình có cấu trúc xác định, tạo điều kiện

cho người sử dụng có thể truy cập một cách dễ dàng và nhanh chóng.

Các CSDL trong quản lý: CSDL quản trị nhân lực, CSDL tài chính,

CSDL kế toán, CSDL công nghệ, CSDL kinh doanh.

Các hệ quản trị CSDL: FOXPRO, ACCESS, SQL, ORACLE, ...

+ Nguồn lực con người chính là tài nguyên về nhân lực, là chủ thể điều

hành và sử dụng HTTT kinh tế. Bao gồm 2 nhóm là nhóm những người sử dụng

HTTT trong công việc hàng ngày như các nhà quản lý, kế toán, nhân viên các

phòng ban và nhóm những người xây dựng và bảo trì HTTT kinh tế như các

phân tích viên hệ thống, lập trình viên, kỹ sư bảo hành máy… Tài nguyên về

nhân lực là thành phần quan trọng của HTTT kinh tế do chính họ là người thiết

kế, cài đặt, bảo trì và sử dụng hệ thống.

c) An toàn hệ thống thông tin (Information Systems Security)

Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa,

phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách

2.1.2. Phần mềm và các dạng phần mềm trong doanh nghiệp

trái phép.

a) Khái niệm phần mềm

Phần mềm máy tính hay còn được gọi tắt là phần mềm (software) là một

tập hợp các câu lệnh hoặc chỉ thị được viết bằng một hoặc nhiều ngôn ngữ lập

trình theo một trận tự xác định nhằm tạo ra một nhiệm vụ hay chức năng hoặc

12

một vấn đề cụ thể nào đó.

Phần mềm máy tính hoạt động bằng cách gửi trực tiếp các chỉ thị đến

phần cứng hoặc bằng cách cung cấp dữ liệu để phục vụ các chương trình phần

mềm khác thực hiện nhiệm vụ của mình.

b) Phân loại phần mềm

Phần mềm thường được chia thành hai loại là phần mềm hệ thống và phần

mềm ứng dụng.

– Phần mềm hệ thống là phần mềm máy tính thiết kế cho việc vận hành

và điều khiển phần cứng máy tính và cung cấp một kiến trúc cho việc chạy phần

mềm ứng dụng. Phần mềm hệ thống có thể được chia thành hai loại, hệ điều

hành và phần mềm tiện ích.

+ Hệ điều hành (đại diện tiêu biểu là z/OS, Microsoft Windows, Mac OS

X và Linux), cho phép các phần của một máy tính làm việc với nhau bằng cách

truyền dẫn dữ liệu giữa Bộ nhớ chính và ổ đĩa hoặc xuất dữ liệu ra thiết bị xuất.

Nó cũng cung cấp một kiến trúc cho việc chạy phần mềm hệ thống cấp cao và

phần mềm ứng dụng.

+ Nhân là phần lõi của một hệ điều hành, cái mà định nghĩa một API cho

các chương trình ứng dụng (bao gồm cả một vài phần mềm hệ thống) và trình

điều khiển thiết bị.

+ Điều khiển thiết bị và thiết bị phần sụn cung cấp chức năng cơ bản để

vận hành và điều khiển phần cứng kết nối hoặc xây dựng từ bên trong máy tính.

+ Giao diện người dùng “giúp cho người dùng tương tác với máy tính”.

Từ thập niên 1980, giao diện đồ họa (GUI) có lẽ đã là công nghệ giao diện

người dùng phổ biến nhất. Giao diện từng dòng lệnh vẫn được sử dụng phổ biến

như là một tùy chọn.

+ Phần mềm tiện ích giúp cho việc phân tích, cấu hình, đánh giá và bảo vệ

13

máy tính, ví dụ như bảo vệ khỏi Virus.

+ Trong một số tài liệu, thuật ngữ phần mềm hệ thống cũng bao gồm

những công cụ phát triển phần mềm (như là trình biên dịch, trình liên kết, trình

sửa lỗi).

– Phần mềm ứng dụng là một loại chương trình có khả năng làm cho

máy tính thực hiện trực tiếp một công việc nào đó người dùng muốn thực hiện.

Điều này khác với phần mềm hệ thống tích hợp các chức năng của máy tính,

nhưng có thể không trực tiếp thực hiện một tác vụ nào có ích cho người dùng.

Có rất nhiều phần mềm máy tính được viết để giúp giải quyết các công

việc hàng ngày cũng như những hoạt động nghiệp vụ như soạn thảo văn bản,

quản lý học sinh, quản lý kết quả học, lập thời khoá biểu, quản lý chi tiêu cá

nhân... Những phần mềm như thế gọi là các phần mềm ứng dụng.

Phần mềm đặt hàng, có những phần mềm ứng dụng được viết theo đơn

đặt hàng riêng có tính đặc thù của một cá nhân hay tổ chức. Người phát triển

phần mềm sẽ phải hỗ trợ trực tiếp trong quá trình làm phần mềm và vận hành

sau này.

Phần mềm đóng gói, có những phần mềm được thiết kế dự trên những yêu

cầu chung hàng ngày của nhiều người chứ không phải của một người hay một tổ

chức cụ thể nào. Nhà sản xuất bán để người dùng tự cài đặt, không có bảo trì

trực tiếp tới từng người.

Một số phần mềm ứng dụng:

Phần mềm thời gian thực

Phần mềm nghiệp vụ

Phần mềm tính toán KH&KT

Phần mềm nhúng

Phần mềm trên Web

Phần mềm trí tuệ nhân tạo

14

Tiện ích

2.1.3. Các đặc trưng của một phần mềm hệ thống thông tin an toàn

Phần mềm phát triển

Một hệ thống thông tin an toàn (Secure Information System) là một hệ

thống mà thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng sau đây:

- Tính bí mật của thông tin (Confidentiality)

- Tính toàn vẹn của thông tin (Integrity)

- Tính khả dụng của thông tin (Availability)

Ba đặc trưng này được liên kết lại và xem như là mô hình tiêu chuẩn của

các hệ thống thông tin bảo mật, hay nói cách khác, đây là 3 thành phần cốt yếu

của một hệ thống thông tin Bảo mật. Mô hình này được sử dụng rộng rãi trong

nhiều ngữ cảnh và nhiều tài liệu khác nhau, được gọi tắt là mô hình CIA.

a) Tính bí mật

Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi

chúng không phổ biến cho các đối tượng khác. Tính bí mật của thông tin là tính

giới hạn về đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất

có thể là con người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như

virus, worm, spyware, …

Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác

nhau. Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông

tin nhạy cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất.

Các thông tin khác như thông tin về hoạt động và chiến lược kinh doanh của

doanh nghiệp, thông tin cá nhân, đặc biệt của những người nổi tiếng,

thông tin cấu hình hệ thống của các mạng cung cấp dịch vụ, v.v… đều có nhu

cầu được giữ bí mật ở từng mức độ.

Để đảm bảo tính bí mật của thông tin, ngoài các cơ chế và phương tiện vật

lý như nhà xưởng, thiết bị lưu trữ, dịch vụ bảo vệ, … thì kỹ thuật mật mã hoá

Cryptography) được xem là công cụ bảo mật thông tin hữu hiệu nhất trong môi

15

trường máy tính.

Ngoài ra, kỹ thuật quản lý truy xuất (Access Control) cũng được thiết lập

để bảo đảm chỉ có những đối tượng được cho phép mới có thể truy xuất thông

tin.

Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự

tồn tại của thông tin và nội dung của thông tin đó.

Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung

của nó. Ví dụ: chiến lược kinh doanh bí mật mang tính sống còn của một công ty

đã bị tiết lộ cho một công ty đối thủ khác. Việc nhận thức được rằng có điều đó

tồn tại sẽ quan trọng hơn nhiều so với việc biết cụ thể về nội dung thông tin,

chẳng hạn như ai đã tiết lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin

gì,… Cũng vì lý do này, trong một số hệ thống xác thực người dùng (user

authentication) ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập

vào hộp thư điện tử hoặc các dịch vụ khác trên mạng, khi người sử dụng cung

cấp một tên người dùng (user-name) sai, thay vì thông báo rằng user-name này

không tồn tại, thì một số hệ thống sẽ thông báo rằng mật khẩu (password) sai,

một số hệ thống khác chỉ thông báo chung chung là “Invalid user

name/password” (người dùng hoặc mật khẩu không hợp lệ). Dụng ý đằng sau

câu thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại hay không

tồn tại một user-name như thế trong hệ thống. Điều này làm tăng sự khó khăn

cho những người muốn đăng nhập vào hệ thống một cách bất hợp pháp bằng

cách thử ngẫu nhiên.

b) Tính toàn vẹn

Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi

sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết

bị hoặc phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh:

- Tính nguyên vẹn của nội dung thông tin.

16

- Tính xác thực của nguồn gốc của thông tin.

Nói một cách khác, tính toàn vẹn của thông tin phải được đánh giá trên

hai mặt: toàn vẹn về nội dung và toàn vẹn về nguồn gốc.

Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng

là chủ tài khoản với đầy đủ những thông tin cần thiết. Nội dung thông tin được

bảo toàn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng

(đúng như người xưng là chủ tài khoản gởi đi).

Tuy nhiên, nếu lệnh thanh toán này không phải cho chính chủ tài khoản

đưa ra mà do một người nào khác nhờ biết được thông tin bí mật về tài khoản đã

mạo danh chủ tài khoản để đưa ra, ta nói nguồn gốc của thông tin đã không được

bảo toàn.

Một ví dụ khác, một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ

quan quan trọng của chính phủ, có ghi chú rằng nguồn tin từ người phát ngôn

của cơ quan đó. Tuy nhiên, nếu tin đó thật sự không phải do người phát ngôn

công bố mà được lấy từ một kênh thông tin khác, không xét đến việc nội dung

thông tin có đúng hay không, ta nói rằng nguồn gốc thông tin đã không được

bảo toàn.

Sự toàn vẹn về nguồn gốc thông tin trong một số ngữ cảnh có ý nghĩa

tương đương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ

thống thông tin.

Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các

cơ chế ngăn chặn (Prevention mechanisms) và các cơ chế phát hiện (Detection

mechanisms).

Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay

đổi nội dung và nguồn gốc của thông tin. Các hành vi này bao gồm 2 nhóm:

hành vi cố gắng thay đổi thông tin khi không được phép truy xuất đến thông tin

và hành vi thay đổi thông tin theo cách khác với cách đã được cho phép.

Ví dụ: một người ngoài công ty cố gắng truy xuất đến cơ sở dữ liệu kế

17

toán của một công ty và thay đổi dữ liệu trong đó. Đây là hành vi thuộc nhóm

thứ nhất. Trường hợp một nhân viên kế toán được trao quyền quản lý cơ sở dữ

liệu kế toán của công ty, và đã dùng quyền truy xuất của mình để thay đổi thông

tin nhằm biển thủ ngân quỹ, đây là hành vi thuộc nhóm thứ hai.

Nhóm các cơ chế phát hiện chỉ thực hiện chức năng giám sát và thông báo

khi có các thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra

trên hệ thống mà không thực hiện chức năng ngăn chặn các hành vi truy xuất

trái phép đến thông tin.

Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị

tiết lộ hay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác

của thông tin và cả mức độ tin cậy của thông tin. Các yếu tố như nguồn gốc

thông tin, cách thức bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều

là những yếu tố quyết định độ tin cậy của thông tin và do đó ảnh hưởng đến

tính toàn vẹn của thông tin. Nói chung, việc đánh giá tính toàn vẹn của một hệ

thống thông tin là một công việc phức tạp.

c) Tính khả dụng

Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu

cầu truy xuất hợp lệ.

Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên

máy tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin

không bị tiết lộ hay thay đổi. Tuy nhiên, khi người quản lý cần những thông tin

này thì lại không truy xuất được vì lỗi hệ thống. Khi đó, thông tin hoàn toàn

không sử dụng được và ta nói tính khả dụng của thông tin không được đảm bảo.

Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ

thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn

tại một hệ thống thông tin nào.

Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có

18

khả năng phục hồi nhanh chóng nếu có sự cố xảy ra.

Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo

mật, bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí

mật và toàn vẹn) sẽ trở nên vô nghĩa.

Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service)

và DdoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất

đối với sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc

biệt là chưa có giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều

2.1.3. Các nguy cơ và rủi ro đối với hệ thống thông tin

nhắm vào tính khả dụng của hệ thống.

a) Nguy cơ

Nguy cơ (threat) là những sự kiện có khả năng ảnh hưởng đến an toàn của

hệ thống. Ví dụ: tấn công từ chối dịch vụ (DoS và DDoS) là một nguy cơ đối

với hệ thống các máy chủ cung cấp dịch vụ trên mạng. Khi nói đến nguy cơ,

nghĩa là sự kiện đó chưa xảy ra, nhưng có khả năng xảy ra và có khả năng gây

hại cho hệ thống. Có những sự kiện có khả năng gây hại, nhưng không có khả

năng xảy ra đối với hệ thống thì không được xem là nguy cơ. Ví dụ: tấn công

của sâu Nimda (năm 2001) có khả năng gây tê liệt toàn bộ hệ thống mạng

nội bộ. Tuy nhiên, sâu Nimda chỉ khai thác được lỗi bảo mật của phần mềm IIS

(Internet Information Service) trên Windows (NT và 2000) và do đó chỉ có khả

năng xảy ra trên mạng có máy cài đặt hệ điều hành Windows. Nếu một mạng

máy tính chỉ gồm toàn các máy cài hệ điều hành Unix hoặc Linux thì sâu Nimda

hoàn toàn không có khả năng tồn tại, và do vậy, sâu Nimda không phải là một

nguy cơ trong trường hợp này.

Có thể chia các nguy cơ thành 4 nhóm sau đây:

- Tiết lộ thông tin / truy xuất thông tin trái phép

- Phát thông tin sai / chấp nhận thông tin sai

- Phá hoại / ngăn chặn hoạt động của hệ thống

19

- Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống

Đây là cách phân chia rất khái quát. Mỗi nhóm sẽ bao gồm nhiều nguy cơ

khác nhau.

 Nghe lén, hay đọc lén (gọi chung là snooping) là một trong những

phương thức truy xuất thông tin trái phép. Các hành vi thuộc phương thức này

có thể đơn giản như việc nghe lén một cuộc đàm thoại, mở một tập tin trên máy

của người khác, hoặc phức tạp hơn như xen vào một kết nối mạng (wire-

tapping) để ăn cắp dữ liệu, hoặc cài các chương trình ghi bàn phím (key-logger)

để ghi lại những thông tin quan trọng được nhập từ bàn phím.

 Nhóm nguy cơ phát thông tin sai / chấp nhận thông tin sai bao gồm

những hành vi tương tự như nhóm ở trên nhưng mang tính chủ động, tức là có

thay đổi thông tin gốc. Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống

thì mức độ thiệt hại sẽ nghiêm trọng hơn nhiều bởi vì khi đó, hành vi này không

chỉ gây ra sai dữ liệu mà còn có thể làm thay đổi các chính sách an toàn của hệ

thống hoặc ngăn chặn hoạt động bình thường của hệ thống.

Trong thực tế, hình thức tấn công xen giữa Man-in-the-middle (MITM) là

một dạng của phương thức phát thông tin sai / chấp nhận thông tin sai. Hoạt

động của hình thức tấn công này là xen vào một kết nối mạng, đọc lén thông tin

và thay đổi thông tin đó trước khi gởi đến cho nơi nhận.

Giả danh (spoofing) cũng là một dạng hành vi thuộc nhóm nguy cơ phát

thông tin sai / chấp nhận thông tin sai. Hành vi này thực hiện việc trao đổi thông

tin với một đối tác bằng cách giả danh một thực thể khác.

Phủ nhận hành vi (repudiation) cũng là một phương thức gây sai lệch

thông tin.

Bằng phương thức này, một thực thể thực hiện hành vi phát ra thông tin,

nhưng sau đó lại chối bỏ hành vi này, tức không công nhận nguồn gốc của thông

tin, và do đó vi phạm yêu cầu về tính toàn vẹn của thông tin.

Ví dụ: một người chủ tài khoản yêu cầu ngân hàng thanh toán từ tài khoản

20

của mình. Mọi thông tin đều chính xác và ngân hàng đã thực hiện lệnh. Tuy

nhiên sau đó người chủ tài khoản lại phủ nhận việc mình đã đưa ra lệnh thanh

toán. Khi đó, thông tin đã bị sai lệch do nguồn gốc của thông tin không còn xác

định.

 Nhóm nguy cơ thứ 3 bao gồm các hành vi có mục đích ngăn chặn hoạt

động bình thường của hệ thống bằng cách làm chậm hoặc gián đoạn dịch vụ của

hệ thống. Tấn công từ chối dịch vụ hoặc virus là những nguy cơ thuộc nhóm này.

 Chiếm quyền điều khiển hệ thống gây ra nhiều mức độ thiệt hại khác

nhau, từ việc lấy cắp và thay đổi dữ liệu trên hệ thống, đến việc thay đổi các

chính sách bảo mật và vô hiệu hoá các cơ chế bảo mật đã được thiết lập.

Ví dụ điển hình cho nhóm nguy cơ này là các phương thức tấn công nhằm

chiếm quyền root trên các máy tính chạy Unix hoặc Linux bằng cách khai thác

các lỗi phần mềm hoặc lỗi cấu hình hệ thống. Tấn công tràn bộ đệm (buffer

overflow) là cách thường dùng nhất để chiếm quyền root trên các hệ thống

Linux vốn được xây dựng trên nền tảng của ngôn ngữ lập trình C.

b) Rủi ro và quản lý rủi ro

Rủi ro (risk) là xác suất xảy ra thiệt hại đối với hệ thống.

Rủi ro bao gồm 2 yếu tố: Khả năng xảy ra rủi ro và thiệt hại do rủi ro gây

ra. Có những rủi ro có khả năng xảy ra rất cao nhưng mức độ thiệt hại thì thấp

và ngược lại.

Ví dụ: rủi ro mất thông tin trên hệ thống không có cơ chế bảo vệ tập tin,

chẳng hạn như Windows 98. Windows 98 không có cơ chế xác thực người sử

dụng nên bất cứ ai cũng có thể sử dụng máy với quyền cao nhất. Nếu trên đó chỉ

có chứa các tập tin văn bản không có tính bí mật thì việc mất một tập tin thì thiệt

hại gây ra chỉ là mất công sức đánh máy văn bản đó. Đây là dạng rủi ro có xác

suất xảy ra cao nhưng thiệt hại thấp.

Một ví dụ khác: trên máy chủ cung cấp dịch vụ có một phần mềm có lỗi

tràn bộ đệm, và nếu khai thác được lỗi này thì kẻ tấn công có thể chiếm được

21

quyền điều khiển toàn bộ hệ thống.

Tuy nhiên, đây là phần mềm không phổ biến và để khai thác được lỗi này,

kẻ tấn công phải có những kỹ năng cao cấp. Rủi ro hệ thống bị chiếm quyền

điều khiển được đánh giá là có khả năng xảy ra thấp, nhưng nếu có xảy ra, thì

thiệt hại sẽ rất cao.

Cần chú ý phân biệt giữa nguy cơ và rủi ro. Nguy cơ là những hành vi,

những sự kiện hoặc đối tượng có khả năng gây hại cho hệ thống. Rủi ro là

những thiệt hại có khả năng xảy ra đối với hệ thống.

Ví dụ: Tấn công từ chối dịch vụ là một nguy cơ (threat). Đây là một sự

kiện có khả năng xảy ra đối với bất kỳ hệ thống cung cấp dịch vụ nào. Thiệt hại

do tấn công này gây ra là hệ thống bị gián đoạn hoạt động, đây mới là rủi ro

(risk). Tuy nhiên, không phải bất kỳ tấn công từ chối dịch vụ nào xảy ra cũng

đều làm cho hệ thống ngưng hoạt động, và hơn nữa, tấn công từ chối dịch

vụ không phải là nguồn gốc duy nhất gây ra gián đoạn hệ thống; những nguy cơ

khác như lỗi hệ thống (do vận hành sai), lỗi phần mềm (do lập trình), lỗi phần

cứng (hư hỏng thiết bị, mất điện, …) cũng đều có khả năng dẫn đến gián đoạn

hệ thống.

Một ví dụ khác, xét trường hợp lưu trữ tập tin trên một máy tính chạy hệ

điều hành Windows 98 đã nói ở trên. Nguy cơ đối với hệ thống là các hành vi

sửa hoặc xoá tập tin trên máy người khác. Những người hay sử dụng máy tính

của người khác cũng được xem là nguy cơ đối với hệ thống. Rủi ro đối với hệ

thống trong trường hợp này là việc tập tin bị mất hoặc bị sửa.

Trong thực tế, việc đề ra chính sách bảo mật cho một hệ thống thông tin

phải đảm bảo được sự cân bằng giữa lợi ích của việc bảo đảm an toàn hệ thống

và chi phí thiết kế, cài đặt và vận hành các cơ chế bảo vệ chính sách đó.

Công việc quản lý rủi ro trên một hệ thống là quy trình cần thiết để nhận

diện tất cả những rủi ro đối với hệ thống, những nguy cơ có thể dẫn đến rủi ro và

phân tích lợi ích / chi phí của giải pháp ngăn chặn rủi ro. Quy trình phân tích rủi

ro bao gồm các bước:

22

- Nhận dạng các rủi ro đối với hệ thống

- Chọn lựa và thực hiện các giải pháp để giảm bớt rủi ro.

- Theo dõi và đánh giá thiệt hại của những rủi ro đã xảy ra, làm cơ sở cho

việc điều chỉnh lại hai bước đầu.

2.2.1. Thực trạng chung

2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp Việt Nam

Theo báo cáo tổng hợp kết quả điều tra, đánh giá thực trạng an toàn thông

tin (ATTT) tại Việt Nam năm 2016 của Hiệp hội An toàn thông tin Việt Nam

(VNISA), Chỉ số ATTT Việt Nam (Vietnam Information Security Index) 2016

là 59,9% - tăng 12,5% so với mức 47,4% năm 2015 (chỉ số này các năm 2014 và

2013 lần lượt là 39% và 37,3%) và lần đầu tiên vượt mức trung bình 50% của

thế giới. Chỉ số này có xu hướng tăng bền vững qua các năm, thể hiện định

hướng kiên định của Nhà nước và cộng đồng trong phát triển ATTT.

Trên thực tế, tình hình ATTT của Việt Nam trong năm 2016 có nhiều diễn

biến phức tạp, vẫn xảy ra nhiều vụ tấn công có chủ đích vào hệ thống thông tin

của tổ chức, doanh nghiệp lớn, lượng mã độc phát tán vẫn còn nhiều…. Nhưng

nhận thức của các cơ quan, tổ chức, doanh nghiệp (doanh nghiệp) và người dùng

về vấn đề ATTT đã tăng lên, môi trường ATTT đã được cải thiện và người dùng

đã chủ động hơn trong việc ứng phó với các sự cố ATTT.

Bức tranh về ATTT Việt Nam năm 2016 mà VNISA đưa ra chủ yếu dựa

trên kết quả của cuộc khảo sát do VNISA phối hợp với Cục An toàn thông tin

(Bộ TT&TT) khảo sát trên cả nước, với 3 vùng trọng tâm Hà Nội, Đà Nẵng và

TP. Hồ Chí Minh. Cuộc khảo sát được tiến hành từ tháng 9 đến tháng 11/2016

với gần 700 doanh nghiệp trong nhiều lĩnh vực, dựa trên 36 câu hỏi phức hợp.

Chỉ số ATTT năm 2016 được đưa ra dựa trên sự lượng hóa từ 30 chỉ số chính,

trong đó có hai vấn đề chính là Môi trường ATTT (gồm Đào tạo, nhận thức; Tổ

chức, nhân lực; Chính sách, kinh phí) và Các biện pháp đảm bảo ATTT (gồm

23

Các biện pháp quản lý; các biện pháp kỹ thuật).

Hình 2.2: Chỉ số ATTT qua các năm 2013 đến 2016

(Nguồn VNISA)

Môi trường An toàn thông tin

Về đào tạo, bồi dưỡng nâng cao nhận thức ATTT

Các số liệu đều cho thấy, các doanh nghiệp rất chú trọng đến vấn đề đào

tạo và nâng cao nhận thức về ATTT cho lãnh đạo và nhân viên của họ. Có tới

63,6% có kế hoạch đào tạo, tập huấn về ATTT, chỉ 33,7% là không có kế hoạch

(số liệu này của năm 2015 là 40,8% và 45,9%); Số doanh nghiệp có cán bộ được

cấp chứng chỉ liên quan đến ATTT là 48%, còn 50,7% không (năm 2015 là

31,1% và 56,3%). Điều này cho thấy, công tác đào tạo, cấp chứng chỉ cho cán

bộ chuyên trách ATTT cần phải được đẩy mạnh hơn nữa. Tổ chức có định kỳ

phổ biến nâng cao nhận thức của người sử dụng về ATTT là 66,2%, còn 32,2%

là không (tỷ lệ này năm 2015 lần lượt là 48,1% và 40,4%).

Về tổ chức, nhân lực

Có thể nói, con người và tổ chức là hai yếu tố quan trọng hàng đầu trong

lĩnh vực ATTT. Nếu doanh nghiệp nào có tổ chức chuyên trách ATTT và có đội

ngũ nhân lực có chất lượng cao, thì ở đó công tác đảm bảo ATTT sẽ đạt hiệu

quả cao. Kết quả điều tra năm 2016 phản ánh là các doanh nghiệp rất chú trọng

24

đến vấn đề này và có sự đầu tư hơn hẳn so với năm 2015 và các năm trước. Tỷ

lệ các doanh nghiệp có lãnh đạo phụ trách về ATTT là 62,3% (2015 là 44,4%);

có bộ phận chuyên trách về ATTT là 65,6% (2015 là 30,7%); có cán bộ chuyên

trách về ATTT là 65,5% (2015 là 46,6%); Bên cạnh đó, số cán bộ bán chuyên

trách giảm xuống còn 16,8% (2015 là 39%).

Về chính sách, kinh phí

Ban hành và thực thi chính sách ATTT là một biện pháp quản lý quan

trọng đối với hệ thống bảo đảm ATTT. Tỷ lệ các doanh nghiệp xây dựng, ban

hành quy chế, quy định về bảo đảm ATTT là năm 2016 là 65,8% (2015 là

43,9%), ban hành quy chế, quy định bảo vệ thông tin cá nhân năm 2016 là

57,2% (2015 là 37,9%). Như vậy, năm 2016 các tỷ lệ đều tăng gần 50% so với

năm 2015.

Về khả năng nhận biết bị tấn công mạng trong năm 2016, các chỉ số thống

kê cũng cho thấy có sự tiến bộ rõ rệt. Khả năng các doanh nghiệp nhận biết đơn

vị mình: Có bị tấn công và theo dõi đầy đủ là 18,5%; Có bị tấn công nhưng

không rõ số lần là 25,4%; Không bị tấn công 21,8%; Không biết bị tấn công là

39,5% (tỉ lệ năm 2015 lần lượt là 16,7%, 13%, 32,6% và 28,8%).

Hầu hết các kiểu tấn công mạng trong năm 2016 đều tăng so với năm

2015 như: Tấn công phá hoại dữ liệu hay hệ thống 14,6%; Thay đổi diện mạo,

nội dung website (trang chủ) 10,1%; Tấn công từ chối dịch vụ (DoS/DDoS)

21,2%; Các kiểu tấn công làm suy giảm hiệu năngmạng (ví dụ dò quét mạng)

16,3%; Xâm nhập hệ thống bởi người trong doanh nghiệp 9%; Sự xâm nhập hệ

thống từ những người bên ngoài nhưng nắm rõ bên trong 12,3% (năm 2015 các

tỉ lệ tương ứng là 9,2%, 3,4%, 11,3%, 14%, 4,6% và 5,3%).... Chỉ có hình thức

tấn công xâm nhập hệ thống từ người bên ngoài vào mạng bên trong là giảm so

với năm 2015 ở mức 8,7% so với 17,7%.

Về đối tượng đe dọa tới ATTT đáng lo ngại nhất, thì các doanh nghiệp

cho biết: các thông tin về cán bộ đang làm việc tại công ty 9,2%; về cán bộ đã

nghỉ việc tại công ty 5,8%. Còn tội phạm máy tính bất hợp pháp 65,3%; Đối thủ

25

cạnh tranh (gián điệp công nghiệp) 13%; Băng nhóm tội phạm máy tính có tổ

chức (khủng bố mạng) 8,4%; Doanh nghiệp gia công bên ngoài (cán bộ) 1,2%;

Hình 2.3: Những vấn đề khó khăn trong việc đảm bảo ATTT cho hệ thống thông tin

Các thế lực đến từ nước ngoài 7,9%.

(Nguồn VNISA)

Một vấn đề được nhiều người quan tâm, đó là đầu tư cho ATTT. Năm

2016, tỷ lệ các doanh nghiệp đầu tư từ 0-5% trong tổng chi phí cho đầu tư cho

CNTT có 46,5% (2015 là 52,4%); từ 5-9% có 24,7% (2015 là 14,8%); từ 10-

15% có 17,8% (2015 là 8,4%)… tỷ lệ khác không chênh lệch nhiều, với 7,2%

năm 2016 và 7,8% năm 2015. Các tỷ lệ này cho thấy, doanh nghiệp đã đầu tư

nhiều hơn cho vấn đề đảm bảo ATTT.

Các biện pháp đảm bảo ATTT

Về biện pháp quản lý

Xác định rõ trách nhiệm trong quy trình bảo vệ thông tin tới các cá nhân

trong tổ chức, đánh giá rủi ro đối với thông tin, đồng thời xây dựng và triển khai

các quy trình chuẩn trong bảo vệ thông tin... là những biện pháp quản lý cơ bản

26

trong đảm bảo ATTT. Kết quả khảo sát năm 2016 cho thấy sự quan tâm nhiều

của các doanh nghiệp tới các biện pháp này. Có 60,7% số doanh nghiệp đã có

các biện pháp quản lý. Đây là một dấu hiệu quan trọng cho thấy sự chuyển biến

từ chỗ chỉ coi trọng các biện pháp kỹ thuật, sang cách tiếp cận một cách tổng thể

đối với bài toán đảm bảo ATTT, khi mà quy trình và con người cũng là những

yếu tố quan trọng, nhưng trước đây chưa được chú ý thực hiện.

Khi có sự cố ATTT xảy ra, đa số các tổ chức/ doanh nghiệp chỉ xử lý, báo

cáo trong nội bộ, mà chưa kịp thời thông báo cho các cơ quan chuyên trách. Vai

trò của nhà cung cấp dịch vụ viễn thông ít được chú ý khi xảy ra sự cố. Đó là

một vấn đề cần thay đổi vì các nhà cung cấp dịch vụ có lợi thế rất lớn về vị trí

kết nối trong mạng, cùng lực lượng nhân sự có thể tham gia xử lý sự cố ATTT.

Đây là một vùng trắng mà các nhà cung cấp dịch vụ Internet cần chú ý trong kế

hoạch phát triển kinh doanh, đặc biệt là kinh doanh dịch vụ ATTT, bên cạnh các

Hình 2.4: Thống kê tình hình theo dõi các cuộc tấn công mạng

dịch vụ đã khá phổ biến là Trung tâm dữ liệu.

(Nguồn VNISA)

Về các biện pháp kỹ thuật

Về các công nghệ, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống máy

chủ, ứng dụng được sử dụng trong các doanh nghiệp tập trung vào các loại hình

27

sau: Bảo mật thiết bị di động 21,4%; Quản lý truy cập 44,1%; Tường lửa cho Cơ

sở dữ liệu 32,1%; Hệ thống quản lý chống thất thoát dữ liệu 23,8%; Tường lửa

cho ứng dụng web 38%; Phần mềm chống virus 85,1%; Tường lửa 66,5%.

Bên cạnh đó, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống mạng bao

gồm: Hệ thống quản lý sự kiện ATTT (Security Incident & Event - SIEM…):

19,1% (2015 là 10,1%); Bảo mật mạng không dây 32,9% (2015 là 31,1%);

Kiểm soát truy cập 49,4% (2015 là 28,5%); Bộ lọc chống thư rác (Anti-Spam)

45,4% (2015 là 36,3%); Lọc nội dung Web: 48,7% (2015 là 25,8%); Phần mềm

chống virus mức mạng (Anti- Virus) 69,4% (2015 là 66%); Tường lửa (Network

Firewall) 63,9% (2015 là 56,8%); Hệ thống phát hiện xâm nhập (IDS/IPS) trong

mạng 42,2% (2015 là 26,6%); Hệ thống phòng chống tấn công DoS/DdoS

39,7% (2015 là 19,6%).

Các doanh nghiệp đánh giá về vấn đề khó khăn nhất trong việc bảo đảm

ATTT cho hệ thống thông tin như sau: Hệ thống máy tính không được quản lý

tốt 34,4%; Quản lý chặt chẽ cấu hình hệ thống mạng 39,3%; Phản ứng nhanh và

chính xác khi xảy ra nhữngvụ tấn công máy tính 45,2%; Cập nhật kịp thời

những cách thức tấn công hay những những điểm yếu mới xuất hiện 40,2%; Cần

thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles) 23,3%;

Xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung với các

vấn đề khác 37,4%; Nâng cao nhận thức cho người sử dụng về bảo mật máy tính

52,3%; Sự thiếu hiểu biết về ATTT trong tổ chức 38,6%; lãnh đạo chưa hỗ trợ

đúng mức cần thiết cho ATTT được đánh giá là 32,2%.

Qua các con số phản ánh ở trên, có thể đánh giá tình hình đảm bảo an toàn

cho HTTT tại Việt Nam đã được cải thiện nhiều, thể hiện qua Chỉ số ATTT của

Việt Nam tăng lên và có xu hướng tăng bền vững. Tuy nhiên, vấn đề ATTT vẫn

2.2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin

còn nhiều diễn biến phức tạp, khó lường.

Phần lớn các vấn đề bảo mật đều liên quan đến các lỗi lập trình. Dù vấn

28

đề đó ảnh hưởng tới các cấu phần của hệ điều hành, ứng dụng client/server, ứng

dụng web hay các đoạn mã nhúng trong thiết bị phần cứng, thì các lỗ hổng bảo

mật nổi tiếng đều liên quan đến lỗi lập trình.

Mặc dù các lập trình viên luôn muốn phát triển ứng dụng không có lỗi

nhưng họ thường ưu tiên quan tâm đến các chức năng hấp dẫn của ứng dụng,

hoàn thành dự án đúng tiến độ để kịp đưa sản phẩm ra thị trường hay những vấn

đề khác hơn so với việc đảm bảo sự an toàn, bảo mật của ứng dụng. Mặt khác,

do tính phức tạp của các hệ thống kỹ thuật, việc đảm bảo ứng dụng không có lỗi

bảo mật là cực kỳ khó khăn, ngay cả với những lập trình viên cao cấp. Theo kết

quả điều tra của tác giả ở một số công ty phần mềm đều coi việc phát hiện lỗi là

của bộ phận kiểm thử phần mềm. Các công ty giải quyết vấn đề này bằng cách

sử dụng các bản vá lỗi? VNCERT (Trung tâm ứng cứu khẩn cấp máy tính Việt

Nam) chỉ ra hơn 90% công ty lớn nhỏ không thể theo kịp tốc độ xuất hiện chóng

mặt của các bản vá lỗi.

Cũng theo số liệu của VNCERT trung bình mỗi phần mềm có khoảng 100

lỗ hổng bảo mật có thể bị tin tặc lợi dụng. Trên thực tế số lỗ hổng còn lớn hơn

nhiều. Lập trình viên bảo mật nổi tiếng Wietse Venema ước lượng rằng có

khoảng 1 lỗi bảo mật trong 1000 dòng lệnh mà ông viết. Với những hệ điều

hành như Linux hay Windows – những sản phẩm bao gồm hàng trăm triệu dòng

lệnh – thì số lỗi bảo mật có thể lên tới hàng trăm ngàn. Theo thống kê của CERT,

người ta đã phát hiện được khoảng 5000 lỗi bảo mật trong năm 2003. Với tốc độ

đó, cần phải mất 20 năm để phát hiện hết các lỗi bảo mật của một hệ điều hành.

Việc khắc phục các lỗi đó còn mất nhiều thời gian hơn và theo VNISA thì

khoảng 10-15% các bản vá bảo mật lại sinh ra lỗ hổng mới! Việc áp các bản vá

đó – ngay cả khi những người quản trị hệ thống không làm việc gì khác – sẽ

không bao giờ giúp chúng ta có được một hạ tầng Internet an toàn. Vì thế, dù

việc vá lỗi rất quan trọng, nhưng việc làm thế nào để giảm bớt các lỗi bảo mật

trong phần mềm còn quan trọng hơn.

Theo số liệu điều tra ở 30 doanh nghiệp của tác giả chỉ ra một sai lầm phổ

29

biến của rất nhiều người – từ lập trình viên cho đến cán bộ quản lý – là chạy

theo các lỗ hổng. Quan điểm của họ là “hãy đưa tôi danh sách các lỗi bảo mật

cần tránh, tôi sẽ đảm bảo chúng không xuất hiện trong phiên bản tiếp theo”.

Phát hiện lỗ hổng bảo mật mới? Hãy thông báo cho các nhóm lập trình để

biết và tránh lỗ hổng đó. Điều đó không sai, nhưng không phải là điều quan

trọng nhất. Rất nhiều lỗ hổng khác nhau xuất phát từ cùng một kiểu lỗi trong lập

trình.

Cũng theo điều tra của tác giả ở một số công ty phần mềm Việt Nam, hầu

hết các lập trình viên đều không có đủ thời gian để tuân thủ các nguyên tắc cơ

bản trong lập trình an toàn mặc dù họ đều biết rằng việc này sẽ đem lại hiệu quả

cao hơn rất nhiều so với việc chạy theo từng lỗ hổng cụ thể.

Tương tự như thế, các lỗi bảo mật cần được đánh giá, phân loại để đảm

bảo các nỗ lực được tập trung để giải quyết những vấn đề quan trọng nhất. Một

trong những cách tiếp cận đó là OWASP Top 10 - danh sách các lỗi bảo mật

nghiêm trọng nhất của phần mềm web do Open Web Application Security

Project lập. Danh sách này được công bố lần đầu năm 2010 và cập nhật năm

2013.

OWASP Top 10 khá nổi tiếng và được nhiều tổ chức sử dụng: Microsoft

dùng để đánh giá độ bao phủ của quy trình phát triển an toàn và khả năng nâng

cao độ an toàn bảo mật mà việc áp dụng quy trình mang lại, NSA cũng dùng nó

trong tài liệu hướng dẫn lập trình web an toàn của tổ chức này, PCI Council thì

tận dụng để hình thành nên một phần của tiêu chuẩn PCI DSS. Nhưng liệu cách

tiếp cận từ trên xuống có giúp giải quyết hết các vấn đề của lập trình an toàn bảo

mật? Nếu lỗ hổng bảo mật không nằm trong mã nguồn của ứng dụng mà lại xuất

hiện trong các thư viện do bên thứ ba cung cấp hay trong hệ điều hành thì phải

làm thế nào? Trong trường hợp này, việc phát tán thông tin về lỗ hổng cho từng

nhóm lập trình/từng lập trình viên đơn lẻ không có ý nghĩa gì nhiều. Cách tốt

nhất là phân công một nhóm hay một cán bộ chuyên trách theo dõi danh sách

các lỗ hổng, xác định phương án khắc phục (có thể là cập nhật bản vá lỗi, phiên

30

bản mới, thay đổi cấu hình triển khai hay phát triển bổ sung một giải pháp thay

thế, vòng tránh) trước khi gửi phương án đó cho các nhóm phát triển. Rõ ràng ở

đây việc làm rõ quy trình và chuyên môn hoá sẽ có hiệu quả hơn nhiều so với

cách làm “sai đâu sửa đó”.

Thực tế ở tất cả các đơn vị phát triển phần mềm cho thấy, những tài liệu

về lỗi bảo mật trong phần mềm hay những hướng dẫn kỹ thuật để tránh lỗi tuy

rất phổ biến nhưng không giúp ích nhiều trong việc nâng cao chất lượng phần

mềm nếu không áp dụng quy trình giám sát, kiểm tra.

2.3. Đánh giá thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin

Qua phân tích ở trên cho thấy, môi trường ATTT tại Việt Nam phát triển

chưa bền vững, các tổ chức, doanh nghiệp và các cá nhân vẫn chưa nhận thức

đầy đủ và thống nhất hợp tác trong xử lý các tình huống về ATTT. Bên cạnh đó,

các cơ chế phối hợp và chia sẻ thông tin giữa các doanh nghiệp, tổ chức vẫn

chưa có sự điều phối chung của Nhà nước.

Vấn đề ATTT chưa lấy con người làm nguồn lực chính, phát triển công

nghệ ATTT chưa phù hợp với đặc thù Việt Nam, cần đẩy mạnh các hoạt động

khuyến khích cộng đồng tham gia vào lĩnh vực hoạt động này.

Hầu hết các doanh nghiệp không quan tâm đến chính sách an toàn thông

tin. Mục tiêu cung cấp định hướng và sự hỗ trợ của Lãnh đạo tổ chức cho hệ

thống ATTT chưa phù hợp với các yêu cầu chính yếu, đáp ứng việc quản lý

ATTT trong doanh nghiệp.

Các doanh nghiệp đều chưa tổ chức an toàn thông tin. Mục tiêu của tổ

chức ATTT là đưa ra mô hình, cách thức tổ chức các bộ phận cần thiết để đảm

bảo việc xây dựng, triển khai và thực hiện tuân thủ các chính sách ATTT đã

được xác lập trong doanh nghiệp; Duy trì ATTT và các phương tiện xử lý thông

tin của doanh nghiệp được truy cập, xử lý, truyền thông, hoặc được quản lý bởi

31

các tổ chức bên ngoài.

Đối với các công ty phần mềm họ đều nhận ra rằng, điều cốt yếu để đáp

ứng yêu cầu an toàn bảo mật cho phần mềm là phải triển khai những quy trình

có thể lặp lại, đảm bảo chất lượng đồng đều và đo kiểm được. Từ đó, các nhà

cung cấp phần mềm lần lượt chuyển sang áp dụng những quy trình nghiêm ngặt,

tập trung nâng cao độ an toàn cho sản phẩm. Quy trình đó sẽ nhằm giảm thiểu số

lỗ hổng bảo mật trong quá trình thiết kế, lập trình và tài liệu, phát hiện và gỡ bỏ

những lỗ hổng trong quá trình phát triển càng sớm càng tốt. Nhưng vì nhiều yếu

tố khách quan mà chủ yếu do tiến độ của dự án luôn trong trạng thái chậm tiến

32

độ làm cho họ không thể triển khai được quy trình làm phần mềm an toàn.

Chương 3. MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN

MỀM HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP

Đảm bảo an toàn cho một HTTT của doanh nghiệp thường bao gồm các

yếu tố: bảo vệ đường truyền, bảo vệ máy chủ CSDL, bảo mật dữ liệu trong hệ

thống, đảm bảo an toàn cho phần mềm, đào tạo kỹ năng an toàn cho người

dùng,... Tại Việt Nam, hầu hết các doanh nghiệp chỉ mới chú trọng đến xây

dựng giải pháp công nghệ như trang bị hệ thống tường lửa (Firewall), hệ thống

chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus), v.v, mà chưa

chú trọng nhiều đến đảm bảo an toàn cho phần mềm. Dù các giải pháp công

nghệ được xây dựng tốt đến đâu nhưng nếu các phần mềm thiếu an toàn thì sau

một thời gian hoạt động, hệ thống sẽ bộc lộ nhiều lỗ hổng để tin tặc lợi dụng tấn

công. Trên cơ sở đó tác giả đã mạnh dạn đề xuất một số giải pháp sau nhằm đảm

bảo an toàn cho phần mềm HTTT.

3.1. Áp dụng quy trình phát triển phần mềm an toàn

Vòng đời phát triển phần mềm an toàn: quy định về những yêu cầu cụ thể

liên quan đến an toàn trong mỗi giai đoạn của quá trình phát triển phần mềm,

bao gồm cả việc mô hình hóa nguy cơ an ninh, rà soát mức độ an ninh của mã

nguồn, các phép kiểm tra an ninh trong nội bộ và từ bên ngoài, cùng với một

quy trình phản ứng trước tấn công an toàn để có thể đối phó với những loại lỗ

hổng bảo mật mới xuất hiện (Hình 3.1).

Để hạn chế các lỗ hổng phần mềm cần áp dụng quy trình an toàn trong

phát triển phần mềm từ thiết kế hướng tới thay đổi cách thức kiến trúc, thiết kế

và phát triển phần mềm, nhờ đó các phần mềm có thể bảo vệ chính mình và bảo

vệ thông tin mà chúng đang xử lý cũng như chống lại các dạng tấn công. Cần

quy định cách thức mô hình hóa các nguy cơ mất an toàn để có được thông tin

rõ ràng về những rủi ro đi kèm với mã nguồn của phần mềm, quy định việc học

tập và thực hành các kỹ thuật viết mã phần mềm an toàn để giám sát và truy tìm

33

các vấn đề về an toàn dễ dàng hơn ngay cả trước khi phần mềm thực sự được

phát triển, đồng thời chúng cũng sẽ có độ vững vàng, ổn định cao hơn trước các

dạng tấn công đã biết.

Hình 3.1: Các quy trình trong vòng đời phát triển an toàn

(Nguồn: Tạp chí An toàn thông tin)

An toàn khi cài đặt phần mềm: một hệ thống hoặc một phần mềm được

cài đặt với mục tiêu nâng cao mức độ an toàn và giảm tiết diện tiếp xúc với tấn

công.

An toàn trong triển khai phần mềm: cung cấp các công cụ và hướng dẫn

cho các nhà quản trị hệ thống nhằm hỗ trợ việc triển khai và khai thác an toàn

phần mềm trong môi trường thực tế. Đây là một tổ hợp của những hướng dẫn

chi tiết dựa trên các quy tắc tối ưu thu thập từ các doanh nghiệp được đưa ra ứng

dụng nhằm cung cấp mức độ hỗ trợ cần thiết.

3.2. Tổ chức lập trình an toàn

- Kiểm soát dữ liệu đầu vào: Luôn luôn giả định dữ liệu đầu vào là không

đáng tin cậy. Dữ liệu từ mạng trong mô hình client-server ; Dữ liệu từ người

dùng; Dữ liệu từ tệp tin,… Ưu tiên loại bỏ dữ liệu hơn là cố gắng sửa chữa dữ

liệu. Thực hiện kiểm tra đầu vào tại nhiều cấp, nhiều điểm. Kiểm tra đầu vào ở

các hàm; Kiểm tra đầu vào giữa các module.

34

- Không tiếp nhận lệnh trực tiếp từ người dùng nếu chưa qua kiểm tra.

Kiểm tra các ký tự đặc biệt, dấu nháy; Tìm hiểu và sử dụng cơ chế trích dẫn

(quoting mechanism) nếu cần; Càng hiểu về dữ liệu bao nhiêu càng lọc được tốt

bấy nhiêu.

- Cẩn trọng với các hàm định dạng xâu: Không sử dụng trực tiếp xâu định

dạng từ nguồn bên ngoài; Xâu định dạng có nguồn gốc từ ngoài chương trình có

thể có một vài ký tự đặc biệt mà chương trình chưa lường trước được, hoặc

không có tham số thay thế tương ứng; Thận trọng khi sử dụng sprintf, vsprintf

với “%s”; Các hàm trên đều giả định kích thước bộ đệm cho xâu đích là vô hạn.

Nên chỉ rõ số lượng ký tự tối đa sẽ sử dụng khi dùng với %s.

- Tràn bộ đệm: Tràn bộ đệm là việc sao chép dữ liệu vượt quá biên của

một bộ đệm nào đó => đè lên vùng nhớ của biến (cấu trúc) khác. Phần lớn các

hàm xử lý xâu trong C đều không thực hiện kiểm tra biên của bộ đệm: gets,

strcpy, …Giải pháp là: Sử dụng các hàm strncpy, memcpy…và những hàm có

kiểm soát kích thước bộ đệm một cách tường minh; Sử dụng Stack Guard trong

các trình biên dịch hỗ trợ.

- Tràn số học: Dữ liệu nhận về có thể có sai sót trong trường liên quan đến

kích thước. Các thao tác liên quan đến số nguyên lớn có thể bị tràn, lẫn lộn giữa

số nguyên không dấu và có dấu.

- Kiểm soát chặt chẽ các thao tác với tệp dữ liệu: Dữ liệu nhận về có thể là

tên file, ứng dụng cần xác định đường dẫn tuyệt đối nếu cần thiết. Nên dùng

hàm realpath() trên Unix/Linux và GetFullPathName trên Windows. Giới hạn

chỉ cho phép các định dạng file theo yêu cầu của ứng dụng được phép tải lên

máy chủ. Kiểm soát tệp dữ liệu được tải lên máy chủ. Lưu trữ các tệp dữ liệu

này tại một thư mục riêng nằm ngoài thư mục chứa phần mềm, dữ liệu hoặc

không cho phép truy cập, hay thực thi trên các thư mục đó. Điều này ngăn ngừa

được các tin tặc đính kèm các chương trình chứa mã độc xâm nhập vào máy chủ.

- SQL Injection: Tấn công vào CSDL thông qua dữ liệu nhập từ trình

35

duyệt. Lợi dụng việc kiểm tra lỏng lẻo từ đầu vào, chèn mã lệnh SQL vào các

truy vấn đến CSDL của ứng dụng web. Thường lợi dụng dấu nháy “ ‘ “ để kết

thúc câu truy vấn SQL hoặc thêm các câu truy vấn khác.

Lệnh so sánh tên và mật khẩu trong SQL: select * from users where

username = ‘$user’ and password = ‘$pass’

Nếu $user hoặc $pass chứa dấu “’” thì SQL sẽ hiểu nhầm nội dung truy

vấn…

3.3. Bảo mật cơ sở dữ liệu

- CSDL liên quan mật thiết với các phần mềm HTTT. Số lỗ hổng bảo mật

trong các hệ thống quản trị CSDL được phát hiện ngày càng nhiều hơn nên

doanh nghiệp cần biết rõ họ đã triển khai những CSDL nào, chúng đang được sử

dụng để lưu thông tin gì, chúng đang có những điểm yếu nào. Vì vậy, bảo mật

CSDL phải bắt đầu bằng việc thu thập thông tin, phân loại và xác định mức độ

ưu tiên.

Một biện pháp khá đơn giản và hiệu quả nhưng ít người chú ý thực hiện là

gỡ bớt các mô-đun không cần thiết để giảm thiểu bình diện tấn công. Hầu hết

các hệ quản trị CSDL hiện nay (đặc biệt là các phiên bản dành cho doanh

nghiệp) đều chứa rất nhiều mô-đun hay tuỳ chọn với những công dụng mà bình

thường ít dùng tới. Tất nhiên, càng có nhiều chức năng thì khả năng có lỗ hổng

và bị lợi dụng để tấn công càng lớn. Vì vậy, hãy rà soát cấu hình CSDL theo

định kỳ để loại bỏ những thành phần không cần thiết.

Với việc các lỗ hổng bảo mật của các hệ quản trị CSDL liên tiếp được

phát hiện, công việc không thể bỏ qua đối với các doanh nghiệp là áp dụng các

bản vá do các nhà cung cấp phân phối. Việc áp dụng các bản vá không đơn giản

là tải xuống và cài đặt. Đối với các hệ quản trị CSDL, việc áp các bản vá còn

phức tạp hơn nhiều so với các thiết bị mạng hay các ứng dụng phần mềm khác.

Vì các CSDL là yếu tố sống còn của các hệ thống ứng dụng chính nên một sai

sót nhỏ cũng có thể ảnh hưởng rất lớn. Trước khi cài đặt bất kỳ bản vá nào đều

cần phải thử nghiệm thật cẩn thận và lên kế hoạch để đảm bảo hệ thống hoạt

36

động ổn định sau khi triển khai cũng như giảm thiểu thời gian dừng (downtime).

Trong bảo mật CSDL, kiểm soát truy cập là yếu tố thiết yếu và điều đó

phải được thực hiện dựa trên nguyên tắc quyền tối thiểu. Mỗi người dùng hay

ứng dụng chỉ được phép có những quyền đủ để phục vụ cho công việc. Điều này

không chỉ áp dụng cho quá trình phân quyền đầu tiên mà cần phải được kiểm tra

định kỳ.

3.4. Đào tạo người sử dụng

Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả

các cơ chế, các kỹ thuật được áp dụng để bảo đảm an toàn hệ thống đều có thể

dễ dàng bị vô hiệu hoá bởi con người trong chính hệ thống đó.

Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống

được gọi chung là những người xâm nhập (intruder hoặc attacker) và theo cách

nghĩ thông thường thì đây phải là những người bên ngoài hệ thống.

Tuy nhiên, thực tế đã chứng minh được rằng chính những người bên trong

hệ thống, những người có điều kiện tiếp cận với hệ thống lại là những người có

khả năng tấn công hệ thống cao nhất. Đó có thể là một nhân viên đang bất mãn

và muốn phá hoại, hoặc chỉ là một người thích khám phá và chứng tỏ mình. Các

tấn công gây ra bởi các đối tượng này thường khó phát hiện và gây thiệt hại

nhiều hơn các tấn công từ bên ngoài.

Những người không được huấn luyện về an toàn hệ thống cũng là nơi

tiềm ẩn các nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các

khâu kiểm tra an toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập

tin bên ngoài thư mục an toàn, ghi mật khẩu lên bàn làm việc, …

3.5. Rà soát phát hiện các lỗ hổng

Khai thác lỗ hổng an ninh trong phần mềm là một trong những kỹ thuật

tấn công mạng phổ biến nhất hiện nay. Một điều nguy hiểm là khoảng thời gian

từ lúc phát hành một bản vá an ninh đến lúc hoàn thành một đoạn mã khai thác

lỗ hổng đó đang bị rút ngắn lại một cách nhanh chóng. Việc phát triển các phần

mềm an toàn cũng không còn là một lựa chọn cho các công ty phần mềm và lập

37

trình viên mà là một điều bắt buộc. Các phần mềm phải vững vàng hơn trước

những dạng tấn công ngày càng tinh vi, và phải đòi hỏi ít hơn các hoạt động cập

nhật thông qua các bản vá, đồng thời tạo nên một hệ thống quản lý an ninh có

hiệu suất và hiệu quả cao hơn.

3.6. Một số đề xuất, kiến nghị

Để nâng cao tính năng an toàn cho các HTTT, các doanh nghiệp Việt

Nam cần phát triển văn hóa về an toàn thông tin, gắn liền với việc truyền thông

thường xuyên về an toàn là một nguyên tắc cơ bản khác xuất phát từ thực tế là

không thể có được giải pháp an toàn hoàn hảo trong thế giới thực.

Văn hóa về an toàn đối với các doanh nghiệp sản xuất phần mềm sẽ

truyền tải một số ý tưởng chủ đạo về an toàn trong cộng đồng các lập trình viên

và chuyên viên về công nghệ thông tin để họ tư duy về nhu cầu an toàn cũng

như đảm bảo rằng các nguy cơ mất an toàn tiềm ẩn được quản lý một cách thích

hợp trong toàn bộ vòng đời của hệ thống thông tin. Khi một lỗ hổng bảo mật

được phát hiện, các lập trình viên phải có trách nhiệm thông báo với các nhà

quản trị hệ thống hoặc người sử dụng để giúp đỡ họ khắc phục sự cố, hoặc triển

khai các hoạt động đối phó cần thiết trước khi các bản vá an ninh được phát

hành.

Nhà nước cần có lộ trình xây dựng môi trường ATTT tại Việt Nam phát

triển bền vững, yêu cầu các tổ chức, doanh nghiệp và các cá nhân nhận thức đầy

38

đủ và thống nhất hợp tác trong xử lý các tình huống về ATTT.

KẾT LUẬN

Ứng dụng hệ thống thông tin đã trở nên quan trọng với các doanh nghiệp

Việt Nam. Trong bối cảnh Việt Nam đã gia nhập Tổ chức thương mại thế giới,

sức ép cạnh tranh từ việc mở cửa thị trường là rất lớn, các doanh nghiệp phải đối

mặt với sự cạnh tranh gay gắt, nên việc duy trì và phát triển HTTT để nâng cao

sức cạnh tranh của các doanh nghiệp là cấp thiết cho sự tồn tại và phát triển. Đối

với việc duy trì và phát triển HTTT, các doanh nghiệp cần phải áp dụng các giải

pháp đảm bảo an toàn cho toàn bộ hệ thống. Trong hệ thống đó các phần mềm

đóng vai trò quan trọng nhất, trực tiếp đảm nhận các hoạt động tác nghiệp, tạo

lập báo cáo, tương tác với người dùng nhằm nâng cao hiệu quả kinh tế.

Nhằm lựa chọn được các giải pháp nâng cao tính năng an toàn cho phần

mềm HTTT của doanh nghiệp chúng tôi chọn đề tài “Một số giải pháp đảm bảo

an toàn cho phần mềm hệ thống thông tin của doanh nghiệp” để nghiên cứu.

Trên cơ sở vận dụng tổng hợp các phương pháp nghiên cứu, đề tài đã tập

trung giải quyết được những vấn đề cơ bản sau:

- Hệ thống hoá những vấn đề lý luận, những khái niệm cơ bản, những đặc

điểm, xu thế đảm bảo an toàn cho HTTT kinh tế nói chung và cho các phần

mềm nói riêng trong giai đoạn hiện nay;

- Tìm hiểu thực trạng đảm bảo an toàn thông tin ở nước ta hiện nay, và

đặc biệt là thực trạng an toàn trong các HTTT của doanh nghiệp Việt Nam.

- Từ đó đề xuất một số giải pháp nhằm đảm bảo an toàn cho phần mềm

HTTT của doanh nghiệp. Các giải pháp bám sát theo quy trình phát triển phần

mềm hướng đến xây dựng một quy trình chuẩn an toàn từ khâu thiết kế, lập trình,

triển khai phần mềm.

Trong phạm vi một đề tài nghiên cứu khoa học cấp cơ sở, do hạn chế về

thời gian nghiên cứu và kinh phí, một số vấn đề liên quan của đề tài vẫn chưa

được giải quyết trọn vẹn như: với số liệu điều tra dừng lại ở 30 doanh nghiệp

39

trên địa bàn Hà Nội có thể chưa phản ánh đúng thực trạng; đề tài cũng chưa kết

luận được với quy mô, với từng loại hình doanh nghiệp thì nên áp dụng cấp độ

an toàn cho phần mềm HTTT ở cấp độ nào là hợp lý. Nếu điều kiện cho phép

40

chúng tôi sẽ tiếp tục nghiên cứu ở các đề tài sau.

TÀI LIỆU THAM KHẢO

Tài liệu tham khảo tiếng Việt: [1]. Bộ môn Công nghệ thông tin – Trường Đại học Thương mại (2015), Bài

giảng Công nghệ phần mềm

[2]. Bộ thông tin và Truyền thông (2014), Sách trắng về CNTT và truyền thông,

Nhà xuất bản Thông tin và Truyền thông.

[3]. TS. Ma Thị Châu (2015), “Ứng dụng công nghệ mới trong phát triển phần

mềm”, Tạp chí CNTT và Truyền thông

Nhà xuất bản Thống kê, Hà Nội.

[4]. Đàm Gia Mạnh (2011), Giáo trình An toàn dữ liệu trong Thương mại điện tử,

[5]. TS. Ngô Lê Minh (2015), “Đảm bảo an toàn cho các hệ thống thông tin quản lý trên nền điện toán đám mây”, Kỷ yếu hội thảo ứng dụng công nghệ thông tin và internet of things.

[6]. Trần Đình Quế (2013), Giáo trình phân tích và thiết kế hệ thống thông tin,

Nhà xuất bản Thông tin và Truyền thông.

[7]. TS. Hoàng Đức Thọ (2016), “Một số giải pháp phát triển phần mềm hướng đến an toàn”, Kỷ yếu hội thảo quốc gia Một số vấn đề chọn lọc của CNTT và Truyền thông

[8]. ThS. Nguyễn Quang Trung (2016), “Lập trình an toàn cho các phần mềm dự báo lũ lụt”, Kỷ yếu hội thảo khoa học quốc gia “Tuyển tập công trình Hội nghị cơ học thủy khí toàn quốc”.

[9]. Tạp chí An toàn thông tin của Ban cơ yếu chính phủ. Tài liệu tham khảo tiếng Anh: [10]. Asoke K. Talukder and Manish Chaitanya (2011), Architecting Secure

Software Systems

[11]. Christopher J. Carvalho, Elizabeth M., Ensuring the Safety of Health

Information Systems

[12]. Jouko ahola, Christian frühwirth, Marko Helenius, ... (2014), Handbook of the Secure Agile Software Development Life Cycle, University of Oulu. [13]. Kenneth R. van Wyk, Mark G. Graff, ... (2014), Enterprise Software

Security

[14]. Pierre Bertrand (2013), Safety For Software development models in

41

Enterprise

PHỤ LỤC 1: MẪU PHIẾU ĐIỀU TRA

PHIẾU ĐIỀU TRA TÌNH HÌNH ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN CỦA DOANH NGHIỆP VIỆT NAM -2016-

Ghi chú:

1) Tác giả thực hiện đề tài nghiên cứu khoa học cấp cơ sở “Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp” thuộc Trường Đại học Thương mại cam kết giữ bí mật các thông tin riêng của doanh nghiệp cung cấp theo phiều điều tra này và chỉ dùng vào mục đích khảo sát, thống kê số liệu tổng hợp về tình hình đảm bảo an toàn cho phần mềm HTTT của doanh nghiệp có ứng dụng HTTT năm 2016. 2) Với những câu hỏi đã có sẵn phương án trả lời, xin chọn câu trả lời thích hợp bằng cách đánh dấu x vào ô □ tương ứng. 3) Đề nghị quý doanh nghiệp điền đầy đủ thông tin, vào phiếu điều tra và gửi phiếu điều tra về địa chỉ:

Bộ môn Công nghệ thông tin, Trường Đại học Thương mại Địa chỉ: Đường Hồ Tùng Mậu, Mai Dịch – Cầu Giấy – Hà Nội

Điện thoại: (04) 37643 219 Fax: (04) 7643 228

A. Thông tin về doanh nghiệp

1. Tên doanh nghiệp:.........................................................................................

2. Địa chỉ:.......................................................................................................... 3. Địa chỉ website:............................................................................................. 4. Ngành nghề hoạt động chính:........................................................................

5. Số lượng cán bộ công nhân viên:................., trong đó:

 Cán bộ quản lý: ..............................................................................

 Cán bộ CNTT:................................................................................

6. Thông tin liên hệ của người được điền phiếu:

 Họ tên:............................................................................................

 Chức vụ:.........................................................................................

thoại:

.....................................,

 Điện

Email.......................................

B. Hạ tầng công nghệ thông tin (CNTT)

1. Số lượng máy trạm của công ty (bao gồm máy tính để bàn và xách

tay): .......chiếc

2. Số lượng máy chủ: ........... chiếc

42

3. Số lượng cán bộ hoạt động trong lĩnh vực CNTT:

 Phần cứng:……………người

 Phần mềm:

- Dịch vụ: …………….người - Phát triển phần mềm: …………..người

4. Số lượng cán bộ có bằng đại học hoặc cao đẳng CNTT trở nên: ........

người

5. Công ty đã sử dụng phần mềm nào?

□ Hệ điều hành Windows

□ Hệ điều hành khác

□ Phần mềm Văn phòng MS Office

□ Phần mềm văn phòng khác

□ Phần mềm tài chính kế toán

□ Phần mềm quản lý nhân sự

□ Phần mềm quản lý công văn, giấy tờ □ Phần mềm quản trị dự án

□ Phần mềm ERP, CRM, SCM

□ Phần mềm chuyên ngành

□ Phần mềm khác (ghi

rõ): ...........................................................................

6. Kinh phí đầu tư cho CNTT

Năm 2016:

 Phần mềm:........................triệu đồng

 Phần cứng:........................triệu đồng

C. Mức độ ứng dụng CNTT, HTTT của doanh nghiệp 1. Doanh nghiệp có cán bộ chuyên trách về HTTT?  Có (Số lượng ..…………)  Không

2. Doanh nghiệp đã hoặc đang có dự án hay chiến lược về phát triển và ứng

dụng HTTT đồng bộ hóa?

 Có  Không

3. Doanh nghiệp có kinh doanh thương mại điện tử?  Có  Không

4. Doanh nghiệp có website không?

 Có (địa chỉ website ……….................................................)

 Không

 Sẽ lập website trong năm tới

5. Nếu doanh nghiệp đã xây dựng website, website này có những tính năng

gì?

 Giới thiệu về doanh nghiệp

 Giới thiệu về sản phẩm

 Cho phép đặt hàng trực tuyến

 Cho phép thanh toán trực tuyến

43

 Khác (nêu cụ thể) ………………………………………………

6. Đối tượng khách hàng mà website hướng tới?

 Người tiêu dùng  Doanh nghiệp

D. Tình hình đảm bảo an toàn thông tin của doanh nghiệp

1. Doanh nghiệp có cập nhật các văn bản pháp quy về an toàn thông tin?

□ Có

□ Không

2. Doanh nghiệp có mở các lớp tập huấn và đào tạo về an toàn thông tin cho

nhân viên? □ Có

□ Không

3. Mức độ ứng đầu tư trang thiết bị, cơ sở vật chất, đảm bảo an toàn hệ

thống mạng máy tính của doanh nghiệp

□ Đã đầu tư, ứng dụng □ Chưa đầu tư, ứng dụng và có kế hoạch đầu

tư

□ Chưa đầu tư, ứng dụng và không có kế hoạch đầu tư

4. Doanh nghiệp có sử dụng phần mềm nào để đảm bảo sự an toàn cho các

tập tin khi chúng được gửi ra ngoài?

□ Có

Cụ thể là các phần mềm :................................................................

□ Không

5. Doanh nghiệp dùng những phần mềm nào sau đây để đảm bảo an toàn

thông tin?

□ GnuGP

□ Chứng chỉ của Microsoft

□ Phần mềm khác

□ Không rõ

6. Doanh nghiệp đã từng bị tin tặc tấn công trong các giao giao dịch?

□ Đã từng

□ Chưa từng

7. Phần mềm doanh nghiệp đang sử dụng có hay gặp trục trặc không?

□ Thỉnh thoảng

□ Thường

□ Không

xuyên

8. Doanh ngiệp có ý định phấn đấu để đạt chuẩn an toàn thông tin?

□ Có

□ Không □ Chưa quan tâm

9. Mức độ quyết tâm của doanh nghiệp trong việc áp dụng các tiêu chuẩn ATTT (Xin khoanh tròn vào mức độ phù hợp từ mức thấp (1) đến mức

cao (4), (0) là sẽ không áp dụng)

□ 0

□ 1

44

□ 2

□ 3

□ 4

10. Đánh giá các nhân tố ảnh hưởng đến an toàn thông tin (Mức thấp nhất =

0, cao nhất =4)

Mức độ tác động

Nhân tố

Không tác động

Tác động cao nhất

0

1

2

3

4

Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTT

0

1

2

3

4

Sự thiếu hiểu biết về an toàn thông tin mạng trong tổ chức

0

1

2

3

4

Việc nâng cao nhận thức cho người sử dụng về bảo mật máy tính

0

1

2

3

4

Việc xác định chính xác mức độ ưu tiên của ATTT trong tương quan chung với các vấn đề khác của tổ chức

0

1

2

3

4

Việc cần thiết áp dụng nguyên tắc quản lý rủi ro (Risk Management principles)

0

1

2

3

4

Việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện

0

1

2

3

4

Việc phản ứng nhanh và chính xác khi xảy ra những vụ tấn công máy tính

0

1

2

3

4

Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management)

0

1

2

3

4

Những hệ thống máy tính không được quản lý tốt

E. Tình hình đảm bảo an toàn cho phần mềm hệ thống thông tin (nếu là công

ty phần mềm)

1. Doanh nghiệp có áp dụng quy trình phát triển phần mềm an toàn theo tiêu

chuẩn?

□ Có

□ Không

2. Các lập trình viên có được huấn luyện để lập trình an toàn không?

□ Có

□ Không

3. Lập trình viên có thời gian để tự kiểm tra chương trình của mình không?

□ Có

□ Không 4. Công ty có bộ phận tối ưu hóa dòng lệnh code không? □ Không

□ Có

5. Lỗi phần mềm chủ yếu do bộ phận nào phát hiện?

45

□ Kiểm thử

□ Lập trình

□ Khách hàng

6. HTTT mà công ty cung cấp bị tấn công chủ yếu ở thành phần nào?

□ Đường truyền mạng □ Phần mềm

□ Cơ sở dữ liệu □ Phần cứng

F. Đề xuất và kiến nghị

................................................................................................................................. ................................................................................................................................. .................................................................................................................................

46

PHỤ LỤC 2: DANH SÁCH DOANH NGHIỆP ĐIỀU TRA

Tên Công ty

Địa chỉ, Điện thoại

Phòng 502, Tòa nhà Viễn Đông, 36 phố Hoàng Cầu

STT 1

Đông Ngạc, Quận Bắc Từ Liêm, Hà Nội, 0437578292

2

Công ty CP Phần mềm Effect Công ty CP Dịch vụ và Giải pháp công nghiệp Việt Nam

3

Công ty CP Phần mềm quản lý doanh nghiệp FAST

Tầng 11, Tòa nhà Việt Á, đường Duy Tân, Cầu Giấy, Hà Nội

Công ty CP Kiến trúc Hà Nội

4

Nhà A1 Ngõ 194, Giải Phóng, Q.Thanh Xuân, Hà Nội, Tel: 38686111, Fax: 38687191

Công ty VTC Intercom

5

Tầng 15, Tòa nhà VTC, Số 23 Lạc Trung, Hai Bà Trưng, Hà Nội

6

CT CP tư vấn và tích hợp công nghệ D&L

199E Đại La, Phường Đồng Tâm, Quận Hai Bà Trưng, Hà Nội

7

Công ty CP Công nghệ và Thương mại JCNet.

34, Đặng Tiến Đông, Phường Trung Liệt, Quận Đống Đa, Hà Nội

8

Công ty CP Phần mềm quản trị doanh nghiệp Cybersoft

18/165 Tòa nhà Sông Đà, P.Dịch Vọng, Q.Cầu Giấy, Hà Nội

Số 1/120 Trường Chinh – Ðống Ða – Hà Nội

9

Công ty CP Giải pháp CNTT và Truyền thông SunNet

10

11

12

Công ty CP Công nghệ thông tin và truyền thông TECAPRO - IT Công ty CP Phần mềm BRAVO Công ty CP Phần mềm FPT (FSOFT)

24 Nguyễn Trường Tộ, phường Trúc Bạch, quận Ba Đình, Tp. Hà Nội Tầng 3, Tòa nhà 101 Láng Hạ, Đống Đa, Hà Nội Tòa nhà FPT Cầu Giấy, phố Duy Tân, phường Dịch Vọng Hậu, quận Cầu Giấy, Hà Nội

Công ty CP Truyền thông VTK

13

P202 nhà A1, ngõ 121/2 Chùa Láng, Đống Đa, Hà Nội.

Công ty TNHH Nhựa Đức Anh

318/2 La Thành, Ô Chợ Dừa, Đống Đa, Hà Nội

14

CT CP Climax VN

15

Số 46B đường Nguyễn Đình Hoàn, Phường Nghĩa Đô, Quận Cầu Giấy, Hà Nội

CT TNHH Quản trị Hồng Lĩnh

16

Số 81 Lê Đức Thọ, Nam Từ Liêm, Hà Nội. Điện thoại: 0463299358

17

Công ty CP Dịch vụ Thương mại XNK Thiên Thanh

Số 35 ngõ 66, phố Yên Lạc, Phường Vĩnh Tuy, Quận Hai Bà Trưng, Hà Nội

Công ty CP Multitech

18

Số 211/172/10B, Phố Khương Trung - Quận Thanh Xuân - Hà Nội.

Công ty CP X-MEDIA

19

Số 244A Lê Trọng Tấn, P.Khương Mai, Thanh Xuân, Hà Nội

Công ty CP công nghệ DTT

20

Tầng 4, Tòa nhà 319 Bộ Quốc Phòng, 63 Lê Văn Lương, Cầu Giấy, Hà Nội

21

Công ty TNHH Nhựa đường Petrolimex

Số 229 Tây Sơn, Phường Ngã Tư Sở - Quận Đống Đa - Hà Nội

47

22

Công ty CP Giải pháp và CN Savis VN

Số 22 Lô 1C Đường Trung Yên 11C KĐT Trung Yên - P.Trung Hòa - Q.Cầu Giấy - Hà Nội

Công ty CP Phần mềm BIZSOFT

23

Số 10 ngõ 3, phố Trần Quý Kiên - Quận Cầu Giấy - Hà Nội

24

Công Ty CP Đầu tư và Thương mại Thủ Đô

Tầng 3, Tòa nhà Đại Phát, Phố Duy Tân, Phường Dịch Vọng Hậu - Quận Cầu Giấy - Hà Nội

Công ty TNHH TM và XNK ADT

25

73 Tôn Đức Thắng, Q.Đống Đa, Hà Nội. Điện thoại: (04) 37321638, 37323604.

Số 84 Duy Tân, Cầu Giấy, Hà Nội

26

Công ty CP Giải pháp và Nguồn lực Công nghệ ITSOL

Công ty CP Công Nghệ Tinh Vân

27

Tầng 8 - Khách sạn Thể Thao - Làng Sinh viên Hacinco - Thanh Xuân - Hà Nội

Công ty TNHH Việt Bis

28

Số 22, ngách 521/37 Trương Định, P.Tân Mai, Quận Hoàng Mai, Hà Nội

29

Công ty TNHH Thương mại và Dịch vụ kỹ thuật Nhật Cường

Số 39 - 41 phố Lý Quốc Sư, Phường Hàng Trống, Quận Hoàn Kiếm, Hà Nội

30

Công ty TNHH Thương mại và Dịch vụ IPCA

Số 19, Phạm Thận Duật, P. Mai Dịch, Q.Cầu Giấy, Hà Nội, Tel: 22178397

48

PHỤ LỤC 3: THUYẾT MINH ĐỀ TÀI

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI

THUYẾT MINH ĐỀ TÀI

1. TÊN ĐỀ TÀI

2. MÃ SỐ

Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp

3. THỜI GIAN THỰC HIỆN 7 tháng

Từ ngày 30 tháng 8 năm 2016 đến ngày 31 tháng 3 năm 2017

4. CHỦ NHIỆM ĐỀ TÀI

Họ và tên: Nguyễn Quang Trung

Học vị: Thạc sỹ

Chức danh khoa học: Giảng viên

Năm sinh: 1980

Địa chỉ cơ quan:

Địa chỉ nhà riêng:

Bộ môn Công nghệ thông tin,

Điện thoại nhà riêng: 0988381998

Khoa Hệ thống thông tin kinh tế

Fax:

Điện thoại cơ quan:

Di động: 0917754848

E-mail: trungnqvcu@gmail.com

5. NHỮNG THÀNH VIÊN THAM GIA NGHIÊN CỨU ĐỀ TÀI

TT

Họ và tên

Chữ ký

Đơn vị công tác và lĩnh vực chuyên môn

Nội dung nghiên cứu cụ thể được giao

Lập đề cương nghiên cứu.

- Bộ môn Công nghệ

Khảo sát thực tế. Viết cơ sở lý luận.

thông tin, khoa Hệ thống thông tin kinh

tế.

Xây dựng mẫu phiếu điều tra, gửi và thu phiếu điều tra, chọn mô hình xử

1

Nguyễn Quang Trung

- Chuyên môn: Công

nghệ thông tin.

lý số liệu. Xử lý số liệu thu thập được qua các

phiếu điều tra. Viết báo cáo tổng hợp.

49

KHOA HỌC VÀ CÔNG NGHỆ CẤP CƠ SỞ

6. TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU THUỘC LĨNH VỰC CỦA ĐỀ TÀI Ở

TRONG VÀ NGOÀI NƯỚC

6.1. Ngoài nước (phân tích, đánh giá tình hình nghiên cứu thuộc lĩnh vực của đề tài trên thế giới, liệt kê danh mục các công trình nghiên cứu, tài liệu có liên quan đến đề tài được trích dẫn khi đánh giá tổng quan)

Trên thế giới, các hệ thống phần mềm đã được phát triển và ứng dụng trong các

doanh nghiệp như phần mềm CRM (quản trị mối quan hệ khách hàng), SCM (quản trị

chuỗi cung ứng), ERP (hoạch định nguồn lực doanh nghiệp),… Các hệ phần mềm này

được xây dựng theo quy trình chuẩn nên đạt tiêu chuẩn về an toàn cao. Để triển khai

các hệ thống phần mềm này doanh nghiệp chỉ cần quan tâm đến vấn đề kinh phí, việc

triển khai đã có các nhà cung cấp dịch vụ cài đặt, đào tạo người sử dụng. Tuy nhiên

không phải doanh nghiệp nào cũng có điều kiện triển khai các phần mềm CRM, SCM,

ERP,… Xây dựng phần mềm riêng vẫn được các doanh nghiệp trên thế giới lựa chọn.

Khi xây dựng phần mềm dùng riêng thì vấn đề đảm bảo an toàn cho cả hệ thống thông

tin (HTTT) nói chung và vấn đề đảm bảo an toàn cho phần mềm HTTT là rất quan

trọng. Vấn đề này đã được nhiều công ty, nhiều nhà khoa học công bố trên các tạp chí

nổi tiếng thế giới như:

- Ensuring the Safety of Health Information Systems, Christopher J. Carvalho,

Elizabeth M. Borycki and Andre Kushniruk, 2012:

Tài liệu đề cập đến vấn đề đảm bảo an toàn cho hệ thống thông tin nói chung.

Vấn đề an toàn tập trung vào việc bảo vệ các thiết bị phần cứng, hệ thống mạng

truyền thông và dữ liệu trong hệ thống. Tài liệu cũng giới thiệu những giải pháp lựa

chọn nhà cung cấp cứng, phần mềm nhằm giảm thiểu nguy cơ mất an toàn cho hệ

thống thông tin nói chung.

Các doanh nghiệp nước ngoài thường có các hợp đồng kinh tế chặt chẽ khi họ

làm việc với các nhà phát triển phần mềm, nhà cung cấp phần cứng và họ thường yêu

cầu tin học hoá đồng bộ ở mức cao nhất nên hệ thống thông tin của họ tương đối an

toàn. Đối với các doanh nghiệp Việt Nam, ban đầu họ chủ yếu tập trung xây dựng

phần mềm với quy mô nhỏ, chi phí thấp nên các nguy cơ mất an toàn cho hệ thông tin

50

có thể xảy ra bất cứ khi nào. Vậy cần phải tìm ra các giải pháp đảm bảo an toàn phù

hợp với quy mô phần mềm nhỏ cho các doanh nghiệp Việt Nam.

- Safety For Software development models in Enterprise, Pierre Bertrand,

February 13, 2013:

Không chỉ các doanh nghiệp Việt Nam mà các doanh nghiệp trên thế giới rất

băn khoăn làm thế nào để phát triển được phần mềm mà hạn chế tối đa được sự xâm

nhập trái phép từ bên ngoài vào hệ thống. “Safety For Software development models

in Enterprise” đề cập đến một số mô hình phát triển phần mềm nhằm đảm bảo an toàn

cho hệ thống. Trong mô hình này các doanh nghiệp phải chấp nhận một khoản chi phí

không hề nhỏ để phát triển phần mềm tuân thủ theo quy trình chuẩn trong thiết kế

phần mềm. Vì nhiều lý do khác nhau như trình độ chuyên môn của nhân viên, chi phí

áp dụng đắt đỏ mà các doanh nghiệp Việt Nam không thể áp dụng được. Vì vậy các

doanh nghiệp Việt Nam vẫn phải phát triển phần mềm theo cách tối ưu chi phí (cắt

giảm một số khâu trong quy trình để giảm chi phí xây dựng phần mềm). Việc lựa

chọn mô hình phát triển phần mềm để đảm bảo an toàn thường gặp nhiều khó khăn cả

về nhân lực cũng như mức độ tự động hoá của phần mềm. Các đề tài, bài báo trên các

tạp chí nổi tiếng chủ yếu đề cập đến khía cạnh sử dụng các hệ thống đảm bảo an toàn

để bảo vệ hệ thống thông tin mà chưa đề cập đến những phương pháp bảo vệ ngay từ

khi phân tích thiết kế phần mềm, tức là đề cập đến khía cạnh áp dụng chặt chẽ các quy

6.2. Trong nước (phân tích, đánh giá tình hình nghiên cứu thuộc lĩnh vực của đề tài ở Việt Nam, liệt kê danh mục các công trình nghiên cứu, tài liệu có liên quan đến đề tài được trích dẫn khi đánh giá tổng quan)

tắc để kiểm soát lỗi để không tạo ra các lỗ hổng cho haker tấn công.

Công nghệ phần mềm đã được phát triển rất nhanh ở Việt Nam trong những

năm gần đây. Hầu hết các doanh nghiệp đều đã ứng dụng phần mềm vào hoạt động

sản xuất kinh doanh với các cấp độ khác nhau. Chính vì vậy mà nhu cầu nhân lực

tham gia vào phát triển phần mềm đã được nhiều trường đại học quan tâm và đào tạo

sinh viên.

Trong các doanh nghiệp ứng dụng phần mềm tin học mỗi cán bộ công nhân

viên trong doanh nghiệp đặc biệt là các nhân viên tham gia vào quá trình phát triển

51

phần mềm càng phải nỗ lực trong việc hoàn thiện các kỹ năng, nắm vững các phương

pháp, công nghệ mới để tạo ra các phần mềm phù hợp với doanh nghiệp mà vẫn đảm

bảo tính năng an toàn.

Các mô hình phát triển phần mềm hiện đại theo quy trình chuẩn hoá đã và đang

được sử dụng rất nhiều nước trên thế giới, đặc biệt là các nước phát triển. Nhưng ở

Việt Nam, điều này vẫn khá mới mẻ và chỉ bắt đầu được triển khai ở một vài doanh

nghiệp lớn. Nhiều công trình khoa học về các mô hình phát triển phần mềm như:

Đề tài cấp Đại học Quốc Gia Hà Nội của TS. Ma Thị Châu “Ứng dụng công

nghệ mới trong phát triển phần mềm”. Đề tài đề cập đến công cụ phân tích thiết kế

phần mềm bằng UML (ngôn ngữ mô hình hoá thống nhất), những điểm mạnh của

công cụ này trong phát triển phần mềm cho doanh nghiệp. Đề tài tập trung chủ yếu

vào việc nghiên cứu về mặt công nghệ, khả năng sinh mã nguồn tự động (tự động hoá

một số khâu khi viết chương trình). Các công nghệ mới mà đề tài đề cập đến có khả

năng ứng dụng cho nhiều loại hình doanh nghiệp ở Việt Nam. Nhưng đề tài chưa quan

tâm đến vấn đề đảm bảo an toàn cho phần mềm khi áp dụng các công nghệ đó.

Bài báo hội thảo quốc gia của TS. Hoàng Đức Thọ, Học viện Kỹ thuật mật mã

“Một số giải pháp phát triển phần mềm hướng đến an toàn”. Bài báo khái quát thực

trạng phát triển phần mềm ở nước ta hiện nay còn nhiều hạn chế dẫn đến thất bại

trong việc đảm bảo an toàn, những nguyên nhân chủ yếu dẫn đến các phần mềm còn

nhiều lỗ hổng bảo mật để các tin tặc tấn công gây thiệt hại nặng nề cho doanh nghiệp.

Trên cơ sở học tập kinh nghiệm thực tế từ các dự án thành công trong nước và thế

giới, tác giả rút ra bài học kinh nghiệm và đề xuất một số giải pháp để phát triển phần

mềm theo hướng an toàn bằng cách áp dụng các biện pháp phát hiện lỗ hổng bảo mật

trong phần mềm.

Hầu hết các đề tài, bài báo chúng tôi thu thập được chủ yếu đề cập đến khía

cạnh công nghệ, hoặc áp dụng một mô hình chuẩn để phát triển phần mềm hệ thống

thông tin nhằm đảm bảo an toàn. Điều này đòi hỏi các doanh nghiệp phải tuân thủ các

quy trình nghiệp vụ chuẩn trong khâu xây dựng phần mềm mới có khả năng áp dụng

52

được.

Như vậy theo hiểu biết của chủ nhiệm đề tài, chưa có một công trình nào

nghiên cứu đầy đủ về các giải pháp nhằm đảm bảo an toàn cho phần mềm hệ thống

thông tin mà phù hợp với đại đa số các doanh nghiệp Việt Nam (tiết kiệm chi phí),

đồng thời phù hợp cho việc giảng dạy học phần Công nghệ phần mềm trong trường

6.3. Danh mục các công trình đã công bố thuộc lĩnh vực của đề tài của chủ nhiệm và những thành viên tham gia nghiên cứu (họ và tên tác giả; bài báo; ấn phẩm; các yếu tố về xuất bản) [1]. ThS. Nguyễn Quang Trung, “Đảm bảo an toàn thông tin trên mạng bằng công nghệ mạng riêng ảo - ứng dụng tại Công ty Cổ phần Thông tin Thương mại Việt Nam”. Đề tài khoa học cấp cơ sở, 2008.

[2]. ThS. Nguyễn Quang Trung, “Lựa chọn công nghệ để phát triển hệ thống thông tin phục vụ giảng dạy học phần Phát triển hệ thống thông tin kinh tế”, Đề tài khoa học cấp cơ sở, 2014.

[3]. ThS. Nguyễn Quang Trung, “Nghiên cứu lý thuyết quản lý dự án phát triển hệ thống thông tin cho học phần Phát triển hệ thống thông tin kinh tế”, Đề tài khoa học cấp cơ sở, 2015.

53

Đại học.

7. TÍNH CẤP THIẾT CỦA ĐỀ TÀI

Trong lịch sử chúng ta đã trải qua nhiều cuộc cách mạng công nghiệp. Đầu tiên

là động cơ chạy bằng hơi nước và thủy lực, rồi đến động cơ điện, dây chuyền sản xuất

và điện toán hóa,…Tiếp theo sẽ là gì? Một số người gọi đây là cuộc cách mạng công

nghiệp lần thứ tư, hay công nghiệp thế hệ 4.0. Đây là xu hướng kết hợp giữa các hệ

thống ảo và thực thể, vạn vật kết nối Internet (IoT) và các hệ thống kết nối Internet

(IoS). Trong cuộc cách mạng thứ tư, chúng ta sẽ đến với sự kết hợp giữa thế giới thực,

thế giới ảo và thế giới sinh vật. Những công nghệ mới này chính là các hệ thống thông

tin thông minh tác động đến mọi nền kinh tế, mọi ngành công nghiệp, đồng thời cũng

thách thức ý niệm của chúng ta về cách thức bảo vệ các hệ thống này.

Những hệ thống này thuộc mọi lĩnh vực có tiềm năng kết nối hàng tỷ người trên

thế giới, gia tăng đáng kể hiệu quả hoạt động cho các tổ chức, doanh nghiệp, tái tạo

các nguồn tài nguyên thiên nhiên hay thậm chí là khôi phục lại những tổn thất mà các

cuộc cách mạng công nghiệp trước gây ra.

Trong lĩnh vực kinh tế, các hệ thống thông tin kinh tế có vai trò rất quan trọng

đối với doanh nghiệp. Các phần mềm tự động hóa với độ chính xác cao, chất lượng tốt

giúp các doanh nghiệp giảm bớt chi phí hoạt động, cải thiện lợi tức đầu tư và hiệu quả

kinh doanh. Cùng với sự phát triển mạnh mẽ của công nghệ thông tin như hiện nay,

việc thu thập, xử lý thông tin khá dễ dàng và nhanh chóng với các hệ thống thông tin

tự động hóa. Song song với sự phát triển này, cùng với cách quản lý nhân lực, tài sản

nói chung và tài sản thông tin nói riêng của mỗi doanh nghiệp, là sự phát triển của các

loại hình đánh cắp thông tin, xâm nhập hệ thống thông tin trái phép, bao gồm cả bên

trong doanh nghiệp và bên ngoài doanh nghiệp.

Có thể nói hiện nay cả thế giới phải đối mặt với các vấn đề đánh cắp, rò rỉ

thông tin hoặc vi phạm bản quyền riêng tư. Chúng không còn là vấn đề của riêng ai,

mà là vấn đề của tất cả chúng ta. Vấn đề này thực sự nguy hiểm, ảnh hưởng của vấn

đề an toàn cho hệ thống thông tin (HTTT) của các doanh nghiệp là rất lớn. Một khi hệ

thống thông tin trở nên quan trọng thì vấn đề đảm bảo an toàn và bảo mật cho hệ

54

thống thông tin có tính chất sống còn đến sự phát triển của doanh nghiệp. Đảm bảo an

toàn thông tin (ATTT) giúp cho hoạt động của doanh nghiệp luôn thông suốt và an

toàn, đảm bảo các hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố

liên quan đến ATTT. Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin

với khách hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc

An toàn và bảo mật HTTT tập trung vào hai phần chính là an toàn hệ thống và bảo mật dữ liệu. Nếu như bảo mật dữ liệu trong hệ thống tập trung chủ yếu vào việc mã hóa dữ liệu, thì vấn đề

an toàn cho hệ thống thông tin quan tâm đến bảo vệ hệ thống phần cứng, các hệ điều hành, hệ thống mạng, hệ thống phần mềm. Trong đó vấn đề bảo vệ hệ thống phần mềm là quan trọng nhất và chưa

được các doanh nghiệp chú trọng. Vì vậy tác giả chọn đề tài “Một số giải pháp đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp” để nghiên cứu.

8. ĐỐI TƯỢNG, PHẠM VI NGHIÊN CỨU

8.1. Đối tượng nghiên cứu

- Chủ thể nghiên cứu: Vấn đề đảm bảo an toàn cho phần mềm hệ thống thông tin của

doanh nghiệp.

Các giải pháp nhằm đảm bảo an toàn cho phần mềm hệ thống thông tin hiện nay.

- Khách thể nghiên cứu: Quy trình xây dựng phần mềm hướng đến an toàn, Một số

doanh nghiệp có ứng dụng HTTT

8.2. Phạm vi nghiên cứu

Tìm hiểu hệ thống phần mềm, hệ thống thông tin của một số doanh nghiệp, tổ chức ở Hà Nội năm 2015, 2016. Nghiên cứu lý thuyết mô hình phát triển phần mềm, các công đoạn trong phát triển

phần mềm để đưa ra giải pháp đảm bảo an toàn.

55

tế.

9. MỤC TIÊU ĐỀ TÀI, ĐỊA CHỈ VÀ SẢN PHẨM ỨNG DỤNG

9.1. Mục tiêu của đề tài

- Khái quát hoá lý thuyết về an toàn cho phần mềm hệ thống thông tin của

doanh nghiệp.

- Tìm hiểu thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của

doanh nghiệp.

- Lựa chọn được một số giải pháp phù hợp trong điều kiện hiện nay nhằm giúp

9.2. Địa chỉ ứng dụng

- Trường Đại học Thương mại: Dùng làm tài liệu giảng dạy, học tập cho sinh viên và cao học

viên.

- Các doanh nghiệp ứng dụng phần mềm vào hoạt động sản xuất kinh doanh: Phát triển phần

mềm hướng đến an toàn.

9.3. Sản phẩm của đề tài

- Bản báo cáo đề tài nêu rõ các giải pháp nhằm đảm bảo an toàn cho phần mềm hệ thống thông

tin của doanh nghiệp.

- Các giải pháp trong báo cáo đề tài cũng chỉ rõ cho sinh viên có thể áp dụng được các giải pháp

đó cho một doanh nghiệp cụ thể trong việc phát triển phần mềm dùng riêng.

10. CÁCH TIẾP CẬN, PHƯƠNG PHÁP NGHIÊN CỨU

10.1. Cách tiếp cận các mẫu khảo sát

- Tìm hiểu các phương pháp đảm bảo an toàn cho phần mềm hệ thống thông tin trong doanh nghiệp dưới góc độ công nghệ thông tin, từ đó thấy được ưu, nhược điểm của từng phương pháp. Khả năng ứng dụng trong điều kiện cụ thể của từng loại hình doanh nghiệp.

10.2. Phương pháp nghiên cứu

- Loại dữ liệu (định tính, định lượng)

+ Số liệu thống kê các doanh nghiệp có ứng dụng hệ thống thông tin. + Ý kiến chuyên gia nên sử dụng phương pháp nào để đảm bảo an toàn cho HTTT nói chung

và cho phần mềm HTTT nói riêng.

- Phương pháp thu thập dữ liệu sơ cấp (phỏng vấn, điều tra), thứ cấp

Thu thập dữ liệu thứ cấp: Thống kê các công nghệ đảm bảo an toàn mà doanh nghiệp, tổ

chức sử dụng (số liệu của VNCERT, VNISA); Thu thập đề cương, bài giảng, giáo trình liên quan đến đảm bảo an toàn thông tin ở một số trường có đào tạo ngành HTTT quản lý;

Điều tra: Lập và gửi phiếu điều tra đến các doanh nghiệp: Để thấy được thực trạng đảm bảo an toàn thông tin nói chung và an toàn cho phần mềm HTTT của doanh nghiệp, các công nghệ nhằm

56

các doanh nghiệp đảm bảo an toàn cho hệ thống phần mềm của họ.

đảm bảo an toàn và bảo mật mà các DN đó lựa chọn;

Phỏng vấn: Hỏi ý kiến chuyên gia để các chuyên gia đánh giá những phương pháp đảm bảo

an toàn cho HTTT nào phù hợp để áp dụng thực tế.

- Phương pháp xử lý dữ liệu:

+ Sử dụng mô hình toán để xử lý số liệu điều tra, thông tin thứ cấp, tham khảo kết quả

nghiên cứu của các công trình liên quan.

+ Phân tích, so sánh các mô hình cả về lý thuyết và thực nghiệm triển khai ứng dụng từ đó hệ

thống hóa và phát triển lý luận: sử dụng phương pháp nào để đảm bảo an toàn cho phần mềm HTTT đối với từng loại phần mềm cụ thể, những lý thuyết, phương pháp, công cụ dùng để phát triển phần

mềm hướng đến an toàn

11. NỘI DUNG NGHIÊN CỨU VÀ TIẾN ĐỘ THỰC HIỆN

11.1. Nội dung nghiên cứu (trình bày dưới dạng đề cương nghiên cứu chi tiết)

Chương 1. TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI

Nội dung chính:

1.1. Tính cấp thiết của đề tài 1.2. Tổng quan tình hình nghiên cứu trong và ngoài nước 1.3. Mục tiêu của đề tài 1.4. Đối tượng và phạm vi nghiên cứu 1.5. Phương pháp nghiên cứu 1.6. Kết cấu báo cáo đề tài

Chương 2. CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HTTT CỦA DOANH NGHIỆP VIỆT NAM Mục tiêu: Tìm hiểu lý thuyết đảm bảo an toàn cho phần mềm HTTT; Khảo sát thực trạng doanh nghiệp ứng dụng phần mềm, đặc biệt là các doanh nghiệp có phần mềm HTTT. Quá trình khảo sát được thực hiện ở một số doanh nghiệp trên địa bàn Hà Nội. Nội dung chính:

2.1. Cơ sở lý luận 2.2. Thực trạng đảm bảo an toàn cho phần mềm hệ thống thông tin của doanh nghiệp Việt Nam 2.3. Đánh giá thực trạng

Chương 3. CÁC KẾT LUẬN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO PHẦN MỀM HTTT

Mục tiêu: Nghiên cứu và đề xuất giải pháp đảm bảo an toàn cho phần mềm HTTT Nội dung chính:

3.1. Xu hướng đảm bảo an toàn phần mềm trong các doanh nghiệp 3.2. Đề xuất giải pháp đảm bảo an toàn cho phần mềm HTTT 3.3. Một số kiến nghị và giải pháp

KẾT LUẬN TÀI LIỆU THAM KHẢO PHỤ LỤC

57

11.2. Tiến độ thực hiện

Thời gian

Các nội dung, công việc

Sản phẩm

STT

Người thực hiện

thực hiện

(bắt đầu- kết thúc)

9/2016

1

Lập đề cương nghiên cứu chi tiết và kế hoạch chi tiết triển khai

Bản đề cương nghiên cứu chi tiết

ThS. Nguyễn Quang Trung

Chương 1

10/2016

2

Tổng hợp lý thuyết về đảm bảo an toàn cho phần mềm HTTT

ThS. Nguyễn Quang Trung

01 mẫu phiếu điều tra

10/2016

3

Lập mẫu phiếu điều tra

ThS. Nguyễn Quang Trung

4

Báo cáo xử lý, phân tích số liệu điều tra (Chương 2)

ThS. Nguyễn Quang Trung

11/2016 đến 12/2016

Tổ chức điều tra thực tế về thực trạng đảm bảo an toàn phần mềm HTTT trong một số doanh nghiệp và xử lý số liệu điều tra

5

ThS. Nguyễn Quang Trung

01/2017 đến 02/2017

Nghiên cứu và lựa chọn giải pháp đảm bảo an toàn cho phần mềm phù hợp với doanh nghiệp Việt Nam

Báo cáo đề xuất giải pháp đảm bảo an toàn cho phần mềm HTTT phù hợp với doanh nghiệp Việt Nam (Chương 3)

Báo cáo tổng kết đề tài

03/2017

6

Viết báo cáo tổng kết đề tài

ThS. Nguyễn Quang Trung

12. SẢN PHẨM

12.1. Sản phẩm khoa học

Bài báo đăng tạp chí nước ngoài

Bài báo đăng tạp chí trong nước

V

Bài đăng kỷ yếu hội nghị, hội thảo quốc tế

12.2. Sản phẩm hỗ trợ đào tạo cho

V

Nghiên cứu sinh Cao học

ĐH, CĐ

12.3. Các sản phẩm khác

Stt

Tên sản phẩm

Yêu cầu khoa học

Số lượng

1 Mẫu phiếu điều tra

01

Tập hợp các phiếu điều tra và những kết quả phân tích trên máy tính.

58

2

Báo cáo tổng kết

1 BC x 6 bản

Trình bày đầy đủ những kết quả nghiên cứu đã đạt được (đảm bảo tính hệ thống, logic) khoảng 40 - 60 trang đánh máy vi tính khổ A4.

3

01

Công bố kết quả nghiên cứu khoa học và thực tế của đề tài.

Bài báo về giải pháp nâng cao tính năng an toàn cho phần mềm HTTT của doanh nghiệp

13. HIỆU QUẢ (giáo dục và đào tạo, kinh tế - xã hội)

- Kết quả của đề tài có ý nghĩa giáo dục và đào tạo là lựa chọn được một số giải pháp đảm bảo an toàn cho phần mềm HTTT phù hợp cho doanh nghiệp Việt Nam trong điều kiện hiện nay, qua đó giúp sinh viên chuyên ngành Quản trị hệ thống thông tin có thể tiếp cận vấn đề ATTT

với thực tế.

- Trên cở sở nghiên cứu đánh giá một số phương pháp đảm bảo an toàn cho phần mềm HTTT cả về mặt lý thuyết, cả về mặt ứng dụng tại các doanh nghiệp giúp các doanh nghiệp hiểu, lựa chọn được phương pháp phù hợp với quy mô, lĩnh vực kinh doanh của mình mà không tốn

quá nhiều chi phí. Điều đó mang lại hiệu quả kinh tế, nâng cao năng lực cạnh tranh cho doanh nghiệp, góp phần hiện đại hoá các doanh nghiệp Việt Nam.

14. PHƯƠNG THỨC CHUYỂN GIAO KẾT QUẢ NGHIÊN CỨU VÀ ĐỊA CHỈ ỨNG DỤNG

- Trực tiếp chuyển giao Báo cáo kết quả nghiên cứu đề tài cho cán bộ giảng dạy và nghiên cứu

thuộc ngành Hệ thống thông tin quản lý của trường Đại học Thương Mại.

- Dựa vào kết quả nghiên cứu của đề tài trưởng các Bộ môn chuyên ngành thuộc ngành Hệ thống thông tin quản lý có thể điều chỉnh phương pháp, công cụ, đề tài thảo luận trong giảng dạy học phần Công nghệ phần mềm, An toàn HTTT.

59

15. KINH PHÍ THỰC HIỆN ĐỀ TÀI VÀ NGUỒN KINH PHÍ

Tổng kinh phí: 10.000.000 NVĐ (Mười triệu đồng)

Dự trù kinh phí theo các mục chi (phù hợp với nội dung nghiên cứu):

- Viết đề cương tổng quát và chi tiết: - Lập mẫu phiếu điều tra (1 mẫu)” - Cung cấp thông tin - Báo cáo xử lý, phân tích số liệu điều tra - Báo cáo tổng kết đề tài

1.500.000 đ 1.500.000 đ 3.000.000 đ 2.000.000 đ 3.000.000 đ

Ngày 17 tháng 6 năm 2016

Ngày 15 tháng 6 năm 2016

Xác nhận của hội đồng khoa học khoa

Chủ nhiệm đề tài

(ký, họ và tên)

Nguyễn Quang Trung

Ngày tháng năm 2016

Cơ quan chủ quản duyệt

HIỆU TRƯỞNG

60