Khóa luận tốt nghiệp: Một số giải pháp đảm bảo an toàn bảo mật thông tin cho công ty TNHH Zenco
lượt xem 20
download
Khóa luận tốt nghiệp "Một số giải pháp đảm bảo an toàn bảo mật thông tin cho công ty TNHH Zenco" nhằm tổng hợp lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin; phân tích đánh giá thực trạng an toàn bảo mật thông tin của công ty Công ty TNHH Zenco và đưa ra các thiếu sót và lỗ hổng của hệ thống thông tin của công ty dựa trên các tài liệu, các phiếu điều tra. Mời các bạn cùng tham khảo!
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Khóa luận tốt nghiệp: Một số giải pháp đảm bảo an toàn bảo mật thông tin cho công ty TNHH Zenco
- TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ & TMĐT --------- --------- KHÓA LUẬN TỐT NGHIỆP Một số giải pháp đảm bảo an toàn bảo mật thông tin cho công ty TNHH Zenco. Giáo viên hướng dẫn: Cù Nguyên Giáp Sinh viên thực hiện: Vi Văn Chì Mã sinh viên: 15D190074 Lớp : 51S2 Hà Nội - 2019 i
- LỜI CẢM ƠN Lời đầu tiên, em xin chân thành cảm ơn thầy giáo Cù Nguyên Giáp đã hướng dẫn tận tình, chỉ bảo em trong suốt thời gian thực hiện đề tài để em có thể hoàn thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn bảo mật thông tin cho công ty TNHH Zenco. Em xin bày tỏ lòng cảm ơn sâu sắc tới những thầy cô giáo, đặc biệt ở Khoa Hệ Thống Thông Tin Kinh Tế và Thương Mại Điện Tử đã giảng dạy em trong suốt bốn năm ngồi trên ghế giảng đường trường Đại học Thương Mại, giúp em trang bị những kiến thức để làm tốt đề tài khóa luận này và vững bước vào tương lai. Em xin gửi lòng biết ơn sâu sắc đến quý công ty TNHH Zenco Việt Nam, ban lãnh đạo công ty cùng toàn thể nhân viên trong công ty đã tạo điều kiện cho em tìm hiểu, nghiên cứu trong suốt quá trình thực tập tại công ty để em có thể hoàn thành bài khóa luận tốt nghiệp của mình. Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực của bản thân, nhưng do thời gian nghiên cứu còn hạn hẹp, trình độ và khả năng của bản thân còn hạn chế. Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếu sót, kính mong thầy giáo Cù Nguyên Giáp, các thầy cô giáo trong khoa Hệ Thống Thông Tin Kinh Tế và Thương Mại Điện Tử tận tình chỉ bảo để bài của em được hoàn thiện hơn. Em xin chân thành cảm ơn! Sinh viên thực hiện Vi Văn Chì ii
- MỤC LỤC LỜI CẢM ƠN ............................................................................................................ i MỤC LỤC ................................................................................................................ iii DANH MỤC BẢNG BIỂU, HÌNH VẼ .................................................................... v PHẦN MỞ ĐẦU ...................................................................................................... 1 1. TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU ....................... 1 2. MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU ........................................................ 1 3. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU ........................................................ 2 3.1. Đối tượng nghiên cứu của đề tài........................................................................... 2 3.2. Phạm vi nghiên cứu của đề tài.............................................................................. 2 4. PHƯƠNG PHÁP NGHIÊN CỨU .......................................................................... 2 4.1. Phương pháp thu thập dữ liệu............................................................................... 2 4.2. Phương pháp phân tích và xử lý dữ liệu ............................................................... 3 5. KẾT CẤU KHÓA LUẬN ...................................................................................... 4 CHƯƠNG 1. CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN ............................................................................................................. 5 1.1. MỘT SỐ KHÁI NIỆM CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU .... 5 1.1.1. Khái niệm thông tin, HTTT, dữ liệu và CSDL ................................................... 5 1.1.2. Khái niệm an toàn và bảo mật CSDL................................................................. 5 1.2. MỘT SỐ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU CHO HTTT.... 6 1.2.1. Hình thức tấn công HTTT ................................................................................. 6 1.2.2. Các nguy cơ mất an toàn thông tin trong HTTT ................................................. 7 1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU ......................................................11 1.3.1. Tổng quan tình hình nghiên cứu ở Việt Nam ....................................................11 1.3.2. Tổng quan tình hình nghiên cứu trên thế giới ...................................................12 CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN CHO CÔNG TY TNHH ZENCO ....................................................................................................................13 2.1. TỔNG QUAN VỀ CÔNG TY TNHH ZENCO ...................................................13 2.1.1 Khái quát chung về Công Ty TNHH ZENCO Việt Nam ...................................13 2.1.2. Cơ cấu tổ chức của công ty. .............................................................................14 2.1.3 .Các lĩnh vực kinh doanh chủ yếu của công ty. ..................................................16 2.1.4. Tình hình hoạt động kinh doanh của Công ty TNHH ZENCO ..........................16 2.2. Kết quả hoạt động kinh doanh của công ty trong giai đoạn 2016 – 2018 .............17 iii
- 2.2. THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THÔNG THÔNG TIN CÔNG TY TNHH ZENCO ...................................................17 2.2.1. Thực trạng an toàn bảo mật thông tin trong hệ thống thông tin của công ty TNHH Zenco .............................................................................................................18 2.2.2. Tình hình áp dụng chính sách bảo mật tại công ty TNHH ZENCO ..............21 2.3. ĐÁNH GIÁ VỀ AN TOÀN BẢO MẬT THÔNG TIN CỦA CÁC HỆ THỐNG THÔNG TIN CÔNG TY TNHH ZENCO VIỆT NAM. ..............................23 2.3.1. Ưu điểm........................................................................................................23 2.3.2. Nhược điểm ..................................................................................................24 CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN CHO CÔNG TY TNHH ZENCO VIỆT NAM. .......26 3.1. ĐỊNH HƯỚNG PHÁT TRIỂN AN TOÀN BẢO MẬT THÔNG TIN CỦA CÔNG TY TNHH ZENCO VIỆT NAM......................................................................26 3.1.1. Định hướng phát triển chung .............................................................................26 3.1.2. Định hướng phát triển của công ty .....................................................................27 3.2. GIẢI PHÁP NÂNG CAO AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY. ................................................................................................................27 3.2.1. Giải pháp phần cứng ..........................................................................................27 3.2.1.1. Các giải pháp bảo vệ bằng tường lửa phần cứng (FireWall) ..........................27 3.2.1.2. Giao thức bảo mật đường truyền ...................................................................29 3.2.2. Giải pháp phần mềm ........................................................................................32 3.2.3. Giải pháp nguồn nhân lực .............................................................................34 3.3. MỘT SỐ KIẾN NGHỊ VỚI CÔNG TY ...........................................................35 KẾT LUẬN ..............................................................................................................38 TÀI LIỆU THAM KHẢO PHỤ LỤC iv
- DANH MỤC BẢNG BIỂU, HÌNH VẼ Sơ đồ 2.1 : Cơ cấu tổ chức bộ máy công ty ZENCO ..................................................14 Bảng 2.3 : Trang thiết bị phần cứng trong đon vị ......................................................18 Bảng 2.5 Mức độ hợp lý về tần suất cập nhật thông tin trên website của công ty: ......21 Bảng 2.6: Các biện pháp bảo đảm an toàn cho dữ liệu ...............................................21 Bảng 2.7 Mức độ quan tâm của nhân viên công ty đối với sự cần thiết của an toàn bảo mật thông tin .......................................................................................................22 Bảng 2.8 Chất lượng phần mềm sử dụng tại công ty ..................................................22 Bảng 2.9 Khảo sát một số nguy cơ gây mất an toàn dữ liệu ........................................22 Bảng 2.10 Một số biện pháp phòng tránh mất an toàn dữ liệu. ...................................23 Bảng 3.2 Gói dịch vụ cung cấp SSL...........................................................................31 Bảng 3.3. Yêu cầu phần cứng đặt ra với máy chủ người dùng ....................................36 Bảng 3.4 Yêu cầu phần cứng đặt ra với máy tính cá nhân người dùng .......................36 Biểu đồ 2.2.1 Kết quả hoạt động kinh doanh của công ty trong giai đoạn 2016 – 2018.....17 Hình 2.4 :Tỷ lệ nhân viên có chứng chỉ tin học ..........................................................19 Hình 3.1. Tường lửa cho hệ thống mạng ....................................................................28 v
- PHẦN MỞ ĐẦU 1. TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU Trong nền kinh tế toàn cầu hóa như hiện nay, công nghệ thông tin đã chi phối mọi hoạt động trong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinh doanh. Ứng dụng công nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển. Và ngày nay, vấn đề an toàn và bảo mật thông tin được xem là sự sống còn đối với các doanh nghiệp, nó quyết định sự thành bại của các doanh nghiệp trên thương trường nếu như họ biết sử dụng thông tin như thế nào sao cho đạt hiệu quả nhất. Dữ liệu là phần không thể thiếu của bất cứ doanh nghiệp nào dù lớn hay nhỏ và nó được coi là một phần tài sản của doanh nghiệp. Dữ liệu, thông tin luôn đối mặt với nguy cơ mất an toàn của cả các yếu tố bên trong và bên ngoài doanh nghiệp. Việc đảm bảo an toàn thông tin và dữ liệu của doanh nghiệp lại không hề dễ dàng. Sự phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy cơ mất an toàn của hệ thống. Các nguy cơ bảo mật ngày càng nở rộ, các rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược của doanh nghiệp. Vì vậy việc bảo vệ an toàn thông tin, đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệm thông tin trao đổi là rất cần thiết. Hiện nay, việc đưa ra một số giải pháp đảm bảo an toàn và bảo mật thông tin cho HTTT đã được rất nhiều doanh nghiệp quan tâm và đã triển khai. Đặc biệt với công ty TNHH Zenco Việt Nam là một doanh nghiệp hàng đầu trong lĩnh vực bán lẻ, phân phối các sản phẩm dưới mô hình kinh doanh trực tuyến (kinh doanh Thương mại điện tử), thông tin là một trong những dữ liệu quan trọng bậc nhất mà công ty cần bảo mật. Bởi vậy, ngay từ khi hoạt động, công ty TNHH Zenco nói riêng và với các doanh nghiệp nói chung đã có các biện pháp đảm bảo an toàn thông tin và HTTT, đó cũng là bảo vệ sự sống còn của doanh nghiệp mình. Nhận thức được điều đó sau thời gian thực tập tại công ty em quyết định chọn đề tài: “Một số giải pháp đảm bảo an toàn bảo mật thông tin cho Công ty TNHH Zenco” 2. MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU Hiện nay, hầu hết các doanh nghiệp đang phải đối mặt với các nguy cơ mất an toàn thông tin nhưng việc đảm bảo an toàn thông tin lại không được chú trọng, không được thực hiện thường xuyên. Nguyên nhân là do phần lớn các cán bộ, nhân viên không chú trọng tới việc bảo đảm an toàn thông tin của doanh nghiệp, không ý thức được tầm quan trọng của việc đảm bảo an toàn thông tin trong doanh nghiệp, các quy 1
- trình đảm bảo an toàn thông tin chưa rõ ràng và thống nhất. Do vậy mục tiêu nghiên cứu của đề tài này là: Nghiên cứu và đưa ra một số giải pháp nhằm đảm bảo an toàn bảo mật thông tin. Do đó, nhiệm vụ nghiên cứu bao gồm: - Tổng hợp lý thuyết và cơ sở lý luận về đảm bảo an toàn thông tin - Phân tích đánh giá thực trạng an toàn bảo mật thông tin của công ty Công ty TNHH Zenco và đưa ra các thiếu sót và lỗ hổng của HTTT của công ty dựa trên các tài liệu, các phiếu điều tra. - Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đề xuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mật thông tin có thể áp dụng với công ty. 3. ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 3.1. Đối tượng nghiên cứu của đề tài Trong đề tài nghiên cứu này đối tượng nghiên cứu chính của đề tài là vấn đề an toàn và bảo mật thông tin. Khách thể nghiên cứu là Công ty TNHH Zenco. Trong đó được chia làm các đối tượng nhỏ hơn là: - Hệ thống mạng các máy chủ máy trạm của công ty - Các phần cứng và phần mềm được sử dụng tại công ty. - Cơ sở dữ liệu và lưu trữ tại các máy chủ, máy trạm của công ty - Nhân viên và quản lý, yếu tố liên quan đến bảo mật, con người trong công ty. Từ đó đưa ra các giải pháp về công nghệ và con người để đảm bảo an toàn thông tin cho công ty. 3.2. Phạm vi nghiên cứu của đề tài Đề tài sẽ tập trung nghiên cứu trong phạm vi Công ty TNHH Zenco, cụ thể: - Về mặt không gian: Dựa trên tài liệu thu thập được tại công ty, các phiếu điều tra và các tài liệu tham khảo được, đề tài tập trung nghiên cứu tình hình an toàn và bảo mật CSDL tại Công ty TNHH Zenco. - Về thời gian: Đề tài sử dụng số liệu báo cáo tài chính, tài liệu liên quan của công ty. Các số liệu được khảo sát trong quá trình thực tập tại công ty. 4. PHƯƠNG PHÁP NGHIÊN CỨU 4.1. Phương pháp thu thập dữ liệu Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên quan đến đề tài nghiên cứu qua internet và các bài báo. Phân tích, tổng hợp các tài liệu có liên quan đến đề tài. Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra, phỏng vấn 2
- - Nội dung: Bảng câu hỏi gồm các câu hỏi, các câu hỏi đều xoay quanh các hoạt động đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đối với Công ty TNHH Zenco. - Cách thức tiến hành: Bảng câu hỏi sẽ được gửi cho 20 nhân viên trong công ty để thu thập ý kiến. - Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM thông tin của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo ATBM thông tin trong Công ty TNHH Zenco . Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cập là những thông tin đã được thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty. - Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh của công ty trong vòng 3 năm: 2016, 2017, 2018 được thu thập từ phòng hành chính, kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác. - Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báo của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet. Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ bộ các tài liệu đó. Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sung vào, nếu đủ rồi thì tiến hành bước xử lý dữ liệu. Phương pháp này được sử dụng cho khóa luận để thu thập dữ liệu liên quan đến vấn đề an toàn bảo mật tại Công ty TNHH Zenco. Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập và xử lý thông tin từ các nguồn thu thập. Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bên trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2016 – 2018, từ phiếu điều tra và tài liệu thống kê khác Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán về tình hình phát triển HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu. 4.2. Phương pháp phân tích và xử lý dữ liệu Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông tin sau: 3
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social Sciences). SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản để thực hiện hầu hết các công việc thống kê phân tích số liệu. Người dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có thể thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện. Thường sử dụng để đưa ra các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị. 5. KẾT CẤU KHÓA LUẬN Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệu tham khảo và phụ lục thì khóa luận gồm 3 phần: Chương 1: Cơ sở lý luận của vấn đề an toàn bảo mật thông tin. Chương 2: Kết quả phân tích, đánh giá thực trạng về vấn đề an toàn bảo mật thông tin cho công ty TNHH Zenco Chương 3: Định hướng phát triển và đề xuất giải pháp đảm bảo an toàn thông tin cho công ty TNHH Zenco 4
- CHƯƠNG 1. CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN 1.1. MỘT SỐ KHÁI NIỆM CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU 1.1.1. Khái niệm thông tin, HTTT, dữ liệu và CSDL Thông tin là điều hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu…(theo Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội.) Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử dụng. Thông tin được coi như một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu. Khái niệm hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức (theo Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội.). Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau. Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển (theo Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội) Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách quan. Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng. Dữ liệu có thể là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng. Dữ liệu qua quá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đích khác nhau của con người (theo Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.) Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản, hình ảnh. Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ trên các phương tiện lưu trữ như đĩa từ, băng từ v..v nhằm thỏa mãn các yêu cầu khai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứng dụng (theo Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa.) 1.1.2. Khái niệm an toàn và bảo mật CSDL Theo từ điển Tiếng Việt, an toàn có nghĩa là được bảo vệ, không xâm phạm. Một hệ thống thông tin được coi là an toàn ( security) khi thông tin không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép. 5
- Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu. Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Bảo mật trở nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụng các công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tài nguyên (các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong các vật liệu) và lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phần mềm của cơ quan hoặc người sở hữu hệ thống). Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin. + Bí mật nghĩa (Confidentially) là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. + Tính trọn vẹn (Integrity) là bảo vệ sự chính xác hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền. + Tính sẵn sàng (Availabillity) của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần. Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định. Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất an toàn Bảo mật CSDL chính là việc bảo về được thông tin trong CSDL tránh được những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dung thông tin CSDL. Vai trò của an toàn bảo mật thông tin trong doanh nghiệp: An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vững của các doanh nghiệp. Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá. Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp. Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp 1.2. MỘT SỐ LÝ THUYẾT VỀ AN TOÀN VÀ BẢO MẬT DỮ LIỆU CHO HTTT 1.2.1. Hình thức tấn công HTTT Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn 6
- công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra. Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline): + Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. + Tấn công trực tuyến không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất của tấn công trực tuyến là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng. Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được. Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác. Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng. 1.2.2. Các nguy cơ mất an toàn thông tin trong HTTT Nguy cơ mất an toàn thông tin về khía cạnh vật lý Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài. 7
- Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin: Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin. Kẻ xấu có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dung thông tin (các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp. Nguy cơ bị tấn công bởi các phần mềm độc hại Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware),... + Virus: là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa, file khác mà người sữ dụng không hay biết. Thông thừờng virus máy tính mang tính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu. Chúng có các tính chất: Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy nhiên cũng có một số virus không gây hại như chương trình được tạo ra chỉ với mục đích trêu đùa). + Worm: Loại virus lây từ máy tính này sang máy tính khác qua mạng, khác với loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây sang máy khác khi ai đó đem chương trình nhiễm virus sang máy này. + Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm gián điệp, chúng không lây lan như virus. Thường bằng cách nào đó (lừa đảo người sử dụng thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài đặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra bên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân. Nguy cơ xâm nhập từ lỗ hổng bảo mật Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt trên máy tính. Hiện, nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi mục đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của mình. 8
- Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập. Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quản trị chính. Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể. Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số. Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng này làm việc tương đối nhanh và luôn có trong tay những kẻ tấn công. Nguy cơ mất an toàn thông tin do sử dụng e-mail Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống như email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức cụ thể. Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là một đồng nghiệp hoặc một đối tác nào đó. Người dùng bị tấn công bằng thư điên tử có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus. Rất nhiều người sử dụng e-mail nhận ra rằng họ có thể là nạn nhân của một tấn công e-mail. Một tấn công e-mail có vẻ như xuất phát từ một nguồn thân thiện, hoặc thậm chí là tin cậy như: một công ty quen, một người thân trong gia đình hay một đồng nghiệp. Người gửi chỉ đơn giản giả địa chỉ nguồn hay sử dụng một khoản mục email mới để gửi e-mail phá hoại đến người nhận. Đôi khi một e-mail được gửi đi với một tiêu đề hấp dẫn như “Congratulation you’ve just won free software. Những e-mail phá hoại có thể mang một tệp đính kèm chứa một virus, một sâu mạng, phần mềm gián điệp hay một trojan horse. Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa một macro (một chương trình hoặc một tập các chỉ thị) chứa mã độc. Ngoài ra, e-mail cũng có thể chứa một liên kết tới một web site giả. Nguy cơ mất an toàn thông tin trong quá trình truyền tin Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận. Nguy cơ bị tắc nghẽn, ngưng trệ thông tin Tắc nghẽn và ngưng trệ thông tin có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượng người truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đường truyền lại quá nhỏ gây ra tắc nghẽn. Các công nghệ giúp đảm bảo an toàn bảo mật dữ liệu phổ biến hiện nay. Công nghệ tường lửa (FireWall) FireWall là một công cụ phần cứng hoặc phần mềm hoặc là cả 2 được tích hợp vào hệ thống để chống lại sự truy cập trái phép, ngăn chặn virus… để đảm bảo nguồn thông tin nội 9
- bộ được an toàn, tránh bị kẻ gian đánh cắp thông tin. Firewall hỗ trợ máy tính kiểm soát luồng thông tin giữa intranet và internet, Firewall sẽ quyết định dịch vụ nào từ bên trong được phép truy cập ra bên ngoài, những người nào bên ngoài được phép truy cập vào bên trong hệ thống, hay là giới hạn truy cập những dịch vụ bên ngoài của những người bên trong hệ thống. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS + Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS). Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công. + Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS). Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục. Công nghệ mạng LAN ảo (VLAN) VLAN là kỹ thuật cho phép tạo ra các mạng LAN độc lập trên cùng một kiến trúc hạ tầng. Việc tạo ra nhiều mạng LAN ảo trong cùng một mạng cục bộ giúp giảm thiểu vùng quảng bá, cũng như tạo điều kiện thuận lợi cho việc quản lý những mạng cục bộ rộng lớn. VLAN giúp tăng khả năng bảo mật bởi các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau. Các máy tính trong VLAN chỉ có thể liên lạc được với nhau trong cùng 1 VLAN cụ thể chẳng hạn VLAN kế toán. Máy ở mạng VLAN kế toán không thể kết nối được với các máy ở VLAN kỹ sư. Điều này sẽ giúp bảo mật dữ liệu tốt hơn. Nghiên cứu mạng riêng ảo(VPN) Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã hoá. Xác thực, xác nhận và quản lý tài khoản: AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Mã hoá dữ liệu: là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Công nghệ phòng các phần mềm độc hại Các phần mềm độc hại, virus khi tấn công vào hệ thống mạng của doanh nghiệp sẽ đánh cắp toàn bộ dữ liệu một cách nhanh chóng. Khả năng lấy lại dữ liệu là rất thấp và giá trị bảo mật cũng không còn cao nữa. Một số giải pháp hiện nay mà doanh nghiệp thường lựa chọn: giải pháp phòng chống mã độc, virus riêng lẻ cho người dùng, giải pháp phòng chống mã độc tập trung hay giải pháp phòng chống mã độc ở gateway... Luôn luôn cập nhật cách diệt virus, mã độc mới nhất. Vì chúng luôn biến tướng và phát sinh mỗi ngày, nếu ta không kịp cập nhật có thể các chương trình bảo vệ của chúng ta bị lỗi thời so với những loại virus, mã độc mới 10
- 1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU 1.3.1. Tổng quan tình hình nghiên cứu ở Việt Nam Trong tình hình các công trình nghiên cứu về an toàn và bảo mật thông tin trong trong nước cũng có những chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về an toàn và bảo mật thông tin ra đời như: Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê, Hà Nội. Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trong TMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như những nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trong TMĐT. Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này cũng đề cập đến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình. Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống thông tin, Đại học Nha Trang. Bài giảng đưa ra một số vấn đề an toàn bảo mật thông tin và việc khắc phục, bảo vệ thông tin trong quá trình truyền thông tin trên mạng và bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài giúp cho các nhà kinh doanh cũng như doanh nghiệp áp dụng cho hệ thống của mình. Nguyễn Tuấn Anh, Khoa CNTT, Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử”, Đại học Bách Khoa. Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT như: mã hóa, chữ ký số…. Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể. ThS. Nguyễn Tiến Đức (2002), “Tình hình an ninh thông tin ở Việt Nam và sự tiếp cận ISO/IEC 27001 – Hệ thống Quản lý an ninh thông tin (ISMS)”, cục Công nghệ thông tin Việt Nam. Ở đây, tác giả đã nêu ra một cách tổng quát về tình hình an ninh thông tin tại Việt Nam cũng như sự tiếp cận tiêu chuẩn này đối với các tổ chức, doanh nghiệp nói chung, đặc biệt là đối với các doanh nghiệp hoạt động trong lĩnh vực Công nghệ thông tin ( CNTT) trong thời điểm thế giới đánh giá mức độ an toàn thông tin của các doanh nghiệp Việt Nam còn rất yếu. Tuy nhiên, đề tài chưa nghiên cứu đến khả năng ứng dụng thực tế quy trình xây dựng hệ thống an ninh bảo mật vào một doanh nghiệp cụ 11
- thể nào. Cùng là một quy trình triển khai ISO 27001 ứng với mỗi doanh nghiệp sẽ có mức độ và phạm vi áp dụng khác nhau. 1.3.2. Tổng quan tình hình nghiên cứu trên thế giới Ở Việt Nam nói riêng và trên Thế giới nói chung, có không ít người quan tâm và nghiên cứu đưa ra phương hướng và giải pháp đảm bảo an toàn và bảo mật thông tin nói chung. Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của các doanh nghiệp lớn nhỏ, các tổ chức, chính phủ… William Stallings (2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall. Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng. Kiểm tra các thực hành an ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụng ngày nay. Các chương trình mã hóa được sử dụng rộng rãi nhất dựa trên các dữ liệu Encryption Standard (DES) được thông qua vào năm 1977 của Cục Tiêu chuẩn Quốc gia, nay là Viện Tiêu chuẩn và Công nghệ (NIST), như tiêu chuẩn xử lý thông tin liên bang 46 (FIPS PUB 46). Erik Johansson, Pontus Johnson (2005), Assessment of Enterprise Information Security – Estimating the Credibility of the Results. Bài báo này trình bày các kết quả từ một dự án nghiên cứu đang thực hiện tập trung vào việc phát triển phương pháp đánh giá Bảo mật thông tin doanh nghiệp (Enterprise Information Security), dự án là một phần của một chương trình nghiên cứu toàn diện, Cấu trúc Doanh nghiệp, The Enterprise Architecture Research Programme (EARP). EARP khai thác các phần của cấu trúc doanh nghiệp như một cách tiếp cận để quản lý tổng danh mục hệ thống thông tin của công ty. Các bên liên quan chính của Cấu trúc Doanh nghiệp là CIO (Chief Information Officer) chịu trách nhiệm quản lý và phát triển hệ thống thông tin doanh nghiệp. Mục tiêu tổng thể của chương trình nghiên cứu là cung cấp chức năng CIO với các công cụ và phương pháp dựa trên cấu trúc để lập kế hoạch và ra quyết định liên quan đến các hệ thống thông tin toàn doanh nghiệp Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols, John Wiley & Sons. Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động, nguyên tắc, các thuật toán và giao thức bảo mật Internet. Đưa ra các biện pháp khắc phục các mốiđe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã. Tính xác thực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet. Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cập vào mạng. Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet. 12
- CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN CHO CÔNG TY TNHH ZENCO 2.1. TỔNG QUAN VỀ CÔNG TY TNHH ZENCO 2.1.1 Khái quát chung về Công Ty TNHH ZENCO Việt Nam - Tên công ty: CÔNG TY TNHH ZENCO VIỆT NAM - Trụ sở chính: Số 5/55 Huỳnh Thúc Kháng, Quận Đống Đa, Hà Nội - Điện thoại: 024.66.866.388 - Mã số thuế: 0106115850 - Loại hình công ty: Công ty TNHH - Tên giao dịch: ZENCO VN CO.,LTD - Ngày hoạt động: 06/03/2013 - Giám đốc: Hoàng Văn Thành - Email : tuyendung@zenco.vn - Website : http://zenco.vn/ Lịch sử hình thành và phát triển Công ty TNHH Zenco Việt Nam được thành lập 2012 với định hướng hoạt động đầu tư vào sản phẩm Đồng Phục cho khách hàng doanh nghiệp và học trò với 2 thương hiệu chính là Đồng Phục Đẹp K14.vn và CAVA Uniform. Sứ mệnh cao nhất mà Zenco hướng tới là tạo ra được những sản phẩm chất lượng nhất và sáng tạo nhất, trở thành thương hiệu số 1 Việt Nam về giải pháp đồng phục cho khách hàng. Trong những năm tiếp theo ngoài việc mở rộng thêm nhiều chi nhánh trên toàn quốc, Zenco sẽ cho ra đời những thương hiệu khác có liên quan đến dịch vụ dành cho doanh nghiệp. Trải qua 7 năm hình thành và phát triển, Zenco cũng cấp nhiều sản phẩm hữu ích cho khách hàng cá nhân và doanh nghiệp. Zenco luôn ý thức được rằng mọi cam kết của Zenco đều được thông qua các hoạt động đối nội, đối ngoại. Bởi vậy, tinh thần trách nhiệm luôn được đặt lên hàng đầu tại Zenco. các thành viên Zenco đều là những người trẻ, cùng làm việc nhiệt huyết, tận tâm với khách hàng, mong muốn đem lại cho khách hàng trải nghiệm tốt nhất về sản phẩm và dịch vụ Hệ thống của Zenco được tiếp tục phát triển dựa trên nhiều yếu tố: kế thừa và phát huy các giá trị truyền thống của công ty, đổi mới và sáng tạo các giá trị mới cho một giai đoạn phát triển vượt bậc. Thương hiệu mới Zenco mang những đặc tính riêng với giá trị cốt lõi: Đoàn kết, sáng tạo, luôn cải tiến chất lượng là sức mạnh. 13
- 2.1.2. Cơ cấu tổ chức của công ty. 2.1.2.1. Sơ đồ tổ chức bộ máy công ty. Mô hình tổ chức bộ máy hoạt động của doanh nghiệp theo hướng chức năng được mô tả theo sơ đồ: Hội đồng quản trị Giám đốc Phó giám đốc kinh doanh Phó giám đốc kỹ thuật Phòng kế toán Phòng hành chính Phòng kỹ thuật Phòng thiết kế Sơ đồ 2.1 : Cơ cấu tổ chức bộ máy công ty ZENCO 2.1.2.2. Chức năng nhiệm vụ của từng bộ phận Mỗi phòng ban trong Công ty lại đảm nhận những nhiệm vụ và chức năng khác nhau. Và mỗi nhiệm vụ và chức năng lại là một khâu hết sức quan trọng tạo nên sự phát triển Zenco trong thời điểm hiện tại và tương lai. Hội đồng quản trị gồm có các cơ quan quản lý công ty, có toàn quyền quyết định mọi vấn đề có liên quan đến mục đích, quyền lợi của công ty. Giám đốc: Là người đứng đầu đại diện của công ty, là người quản lý, điều hành mọi hoạt động sản xuất kinh doanh. Giám đốc có quyền bổ nhiệm, miễn nhiệm, cách chức các chức danh quản lý trong công ty, bảo vệ quyền lợi cho cán bộ nhân viên, quyết định lương và phụ cấp đối với người lao động trong công ty, phụ trách chung về vấn đề tài chính, đối nội, đối ngoại. 14
- Phó giám đốc + Phó giám đốc kinh doanh: Quản lý về việc mua hàng hoá và tiêu thụ sao cho kết quả đạt được là cao nhất. Hỗ trợ Tổng giám đốc trong hoạt động kinh doanh, chịu trách nhiệm trước Hội đồng quản trị và tổng giám đốc về kết quả hoạt động kinh doanh trong phạm vi quyền hạn của mình + Phó giám đốc kỹ thuật: Chịu trách nhiệm về mặt kỹ thuật thay thế giám đốc điều hành mọi công việc khi giám đốc đi vắng. Tuy nhiên chịu trách nhiệm trước giám đốc về công việc được giao Phòng kinh doanh: Có nhiệm vụ nghiên cứu, tìm hiểu, mở rộng thị trường, giới thiệu sản phẩm, lập kế hoạch kinh doanh. Tham mưu giúp ban giám đốc trong việc mua hàng hoá trong nước và ngoài nước sao cho giảm thiểu các chi phí, đồng thời đưa ra các phương hướng kinh, xây dựng các kế hoạch marketing sao cho hoạt động kinh doanh hiệu quả nhất. Phòng kế toán- hành chính : + Phòng kế toán: Có nhiệm vụ tổ chức toàn bộ công tác tài chính kế toán, tín dụng theo đúng luật kế toán của Nhà nước - Tổ chức và lưu trữ hệ thống sổ sách, chứng từ kế toán và các vấn đề liên quan đến công tác kế toán của Công ty theo đúng chế độ kế toán hiện hành. . - Xuất và thu hóa đơn cho các đối tác làm ăn cụ thể là lấy hóa đơn từ những nhà xuất khẩu hàng đồng thời xuất hóa đơn cho những khách hàng mua hàng của Công ty. Và đi cùng với việc xuất nhập hóa đơn là việc chi và thu những khoản tiền tương ứng; - Thanh toán lương cho nhân viên hàng tháng; - Lập báo cáo kết quả kinh doanh và trình nhà quản lý sau mỗi năm tài chính của Công ty - Thỏa thuận đàm phán với đối tác để có thể thu được những khoản công nợ, hay trao đổi với nhà cung cấp để họ cho ta hoãn trả tiền trong trường hợp tài chính của Công ty gặp khó khăn; - Hoạch toán, kê khai và nộp thuế nhu nhập doanh nghiệp theo yêu cầu của nhà nước. + Phòng hành chính nhân sự: Thực hiện các công việc liên quan đến công tác văn phòng, hội họp, nhân sự: Soạn thảo, lưu trữ công văn giấy tờ… 15
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Khóa luận tốt nghiệp: Một số giải pháp hoàn thiện việc xây dựng văn hóa doanh nghiệp tại công ty Viễn thông quốc tế VTI
100 p | 256 | 89
-
Khóa luận tốt nghiệp: Một số biện pháp phát triển hoạt động quản trị rủi ro thanh khoản tại ngân hàng VP bank
124 p | 286 | 80
-
Khóa luận tốt nghiệp: Một số liên minh chiến lược trong kinh doanh quốc tế trên thế giới và giải pháp cho việc thành lập liên minh chiến lược ở Việt Nam
92 p | 568 | 74
-
Khóa luận tốt nghiệp: Một số vấn đề về hoàn thiện quản trị nguồn nhân lực tại các doanh nghiệp Việt Nam trong quá trình hội nhập vào WTO
103 p | 276 | 65
-
Khóa luận tốt nghiệp: Một số giải pháp nhằm nâng cao hiệu quả hoạt động nhập khẩu tân dược và nguyên liệu sản xuất thuốc tân dược tại công ty cổ phần xuất nhập khẩu y tế Việt Nam
103 p | 315 | 54
-
Báo cáo khóa luận tốt nghiệp: Một số giải pháp nhằm giúp cho học sinh, sinh viên trường Cao đẳng Cần Thơ học tập tốt và yêu thích môn học Giáo dục quốc phòng an ninh
24 p | 294 | 45
-
Khóa luận tốt nghiệp: Một số giải pháp nâng cao hiệu quả thu hút và sử dụng vốn ODA trong ngành lâm nghiệp ở Việt Nam
105 p | 181 | 28
-
Khóa luận tốt nghiệp: Một số giải pháp nhằm nâng cao vai trò của hiệp hội ngành hàng nông sản xuất khẩu Việt Nam
109 p | 267 | 23
-
Khóa luận tốt nghiệp: Một số giải pháp đẩy mạnh xuất khẩu các mặt hàng chủ lực trong lĩnh vực công nghiệp của Việt Nam trong thời gian tới
84 p | 163 | 15
-
Khóa luận tốt nghiệp: Một số biện pháp góp phần hoàn thiện kế toán chi phí sản xuất và tính giá thành sản phẩm tại nhà máy thuốc lá Sài Gòn
90 p | 55 | 15
-
Khoá luận tốt nghiệp: Một số biện pháp nhằm nâng cao năng lực biểu diễn toán học cho học sinh trong dạy học tam giác đồng dạng
54 p | 20 | 10
-
Khóa luận tốt nghiệp: Một số giải pháp nhằm hoàn thiện công tác tuyển dụng nhân sự tại Công ty cổ phần Tìm kiếm và Phát triển Nguồn nhân lực Gjobs
87 p | 18 | 8
-
Khóa luận tốt nghiệp: Một số giải pháp nâng cao hiệu quả hoạt động kinh doanh của Công ty cổ phần Quốc tế Bắc Việt Nam
74 p | 15 | 8
-
Khóa luận tốt nghiệp: Một số giải pháp marketing nhằm nâng cao hiệu quả sản xuất kinh doanh tại Công ty Cổ phần Đầu tư Và Khai khoáng Việt Nam
73 p | 9 | 5
-
Khóa luận tốt nghiệp: Một số giải pháp nhằm mở rộng hoạt động tín dụng tại Ngân hàng TMCP Tiên Phong - Chi nhánh Hải Phòng
76 p | 10 | 4
-
Khóa luận tốt nghiệp: Một số biện pháp nâng cao hiệu quả sử dụng nguồn nhân lực tại Công ty TNHH Một thành viên 189
64 p | 5 | 4
-
Khóa luận tốt nghiệp: Một số biện pháp cải thiện tình hình tài chính tại Công ty cổ phần Xây dựng & Trang trí nội thất Hải Phòng
92 p | 7 | 4
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn