Bài giảng Hệ thống thông tin quản lý - Chương 2: Nền tảng công nghệ thông tin trong hệ thống thông tin quản lý

à  các  thiết   bị   được  máy   Onh   hóa   trong  một   khu   vực   địa   lý   giới   hạn   như  một   văn   phòng,  một  tòa  nhà,  một  xưởng  sản  xuất,  hoặc  những  vị  trí  làm  việc  khác.     •  Các máy tính được nối vào mạng nhờ card mạng  và  tuân  theo  một  số   cấu  trúc  liên  kết    mạng.   •  Mạng  LAN  có  thể  là  mạng  hữu  tuyến  hoặc  vô  tuyến.   •  Thông  thường,  mỗi mạng LAN có một máy chủ và một số máy tính cá nhân hoặc  các trạm làm việc.   •  Mỗi một mạng LAN cần có một hệ điều hành mạng:   Chương   trình   thường  trực  trên  máy  chủ  thực  hiện  việc  cài  đặt  phần  cứng  và  phần  mềm   cho  mạng  cũng  như  quản  lý  và  điều  hành  tất  cả  các  thiết  bị  trên  mạng. 5/25/14 137 LAN       5/25/14 138 WAN  (Wide  Area  Network) •  Mạng WAN: Mạng mà phạm vi của nó có thể trong một hoặc nhiều quốc gia, trong lục địa.   •  Trong mạng WAN có nhiều mạng LAN.   Thông   thường   kết   nối   giữa  các  LAN  được  thực   hiện   thông   qua   mạng   viễn  thông.   5/25/14 Tổng quan về HTTTKT - Bộ môn CNTT 139 WAN   •  Các  thành  phần  của  WAN   –  Máy  chủ   (máy  Onh   lớn,  máy  Onh  mini)   cung   cấp  năng   lực  Onh   toán,   truy  nhập  vào  các  cơ  sở  dữ  liệu,  cung  cấp  các  chương  trình  ứng  dụng   và  điều  hành  mạng.   –  Thiết  bị  đầu  cuối  là  thiết  bị  cuối  cùng  gắn  vào  mạng  (máy  Onh,  thiết  bị   vào  ra).   –  Máy  1ền  xử  lý  xử  lý  các  tác  vụ  vào/ra  và  một  số  tác  vụ  khác,  trước  khi   vào  máy  chủ.   –  Bộ   tập   trung   tập   trung   nhiều   luồng   thông   1n   vào  một   kênh   truyền   hoặc  tách  thông  1n  từ  một  kênh  truyền  ra.   –  Modem   chuyển   đổi   On   hiệu   (số/   On   hiệu   trên   kênh   truyền,   On   hiệu   trên  kênh  truyền/số).   –  Phần  mềm  mạng  quản  lý  truy  nhập  và  truyền  thông.   5/25/14 Bài giảng HTTT KT&QL 140 Kiến  trúc  mạng  và  chuẩn  hóa  mạng     •  Kiến  trúc  mạng   – Thể  hiện  cách  nối  các  máy  Onh  với  nhau  ra  sao  và   tập  các  quy  tắc,  quy  ước  mà  tất  cả  các  thực  thể   tham  gia  truyền  thông  trên  mạng  phải  tuân  theo   để  đảm  bảo  truyền  thông  1n  một  cách  1n  cậy     – Ví  dụ:  Ethernet,  TokenRing,  AppleTalk   Đặc tính Mô tả Kiểu topo truyền thống Linear bus Kiểu topo khác Star bus Kiểu truy nhập mạng CSMA/CD Đặc tả IEEE 802.3 Tốc độ truyền dữ liệu 10 Mbps hoặc 100 Mbps Kiểu cáp Cáp đồng trục (Thicknet), cáp xoắn UTP Kiến  trúc  Ethernet     Kiến  trúc  TokenRing   Đặc tính Mô tả Kiểu topo truyền thống Star-wired ring Kiểu truy nhập mạng token-passing Đặc tả IEEE 802.5 Tốc độ truyền dữ liệu 4 Mbps hoặc 16 Mbps Kiểu cáp Cáp xoắn STP, UTP Kiến  trúc  mạng  và  chuẩn  hóa  mạng   •  Chuẩn  hóa  mạng   – Định  ra  các  chuẩn  để  có  thể  dùng  các  thiết  bị   mạng  được  sản  xuất  bởi  bất  kỳ  nhà  sản  xuất  nào   – Các  tổ  chức  uy  On:     •  ISO  (Interna1onal  Standard  Organiza1on)   •  IEEE  (Ins1tute  of  Electrical  and  Electronics  Engineers)   •  ITU  (Interna1onal  Telecommunica1on  Union)   •  ANSI  (American  Na1onal  Standards  Ins1tute)   •  v.v..   Mạng  doanh  nghiệp     145   2.3  Viễn  thông,  mạng     •  2.3.1  Công  nghệ  mạng  và  cơ  sở  hạ  tầng  mạng   doanh  nghiệp   •  2.3.2    Internet,  intranet  và  extranet   146   Internet •  Mạng   Internet   là   mạng   của   các   mạng   và   có   phạm  vi  toàn  cầu,  sử  dụng  nhiều  loại  phương   1ện   truyền   thông   khác   nhau   và   cung   cấp   nhiều  loại  dịch  vụ  trên  mạng.   5/25/14 Tổng quan về HTTTKT - Bộ môn CNTT 147 5/25/14 Bài giảng HTTT KT&QL 150 Internet   •  Các  thành    phần  của  mạng  Internet:   –  Mạng  con:  LAN,  WAN   –  Thiết  bị  đầu  cuối  gắn  vào  một  mạng  con  của  mạng   Internet,  trợ  giúp  cho  người  sử  dụng  cuối.   –  Thiết  bị  (hệ  thống)  trung  gian  được  sử  dụng  để  nối  hai   mạng  con  với  nhau  cho  phép  truyền  thông  giữa  hai  máy   đầu  cuối  gắn  vào  hai  mạng  khác  nhau.  Ví  dụ  cầu  nối   (bridge),  bộ  định  tuyến  (router)  v..v.   –  ISP(Nhà  cung  cấp  dịch  vụ  Internet),  IAP(  Nhà  cung  cấp   điểm  truy  cập  Internet   –  Giao  thức  TCP/IP:  Tập  các  quy  tắc  và  thủ  tục  quy  ước  được   sử  dụng  để  thực  hiện  việc  truyền  thông  trên  mạng   Internet.   Internet   •  TCP/IP:   – Giúp  phân  nhỏ  các  1n  nhắn  thành  các  gói  dữ  liệu  ,   xác  định  đường  truyền  cho  chúng  tới  địa  điểm   nhận,  và  sau  đó  ghép  các  gói  dữ  liệu  thành  1n   nhắn  ban  đầu.     – Mỗi  thiết  bị  kết  nối  vào  Internet  đều  có  một  địa   chỉ  IP   – Tên  miền  là  tên  tương  ứng  với  một  địa  chỉ  IP  số   32-­‐bit  dành  cho  mỗi  máy  Onh  kết  nối  vào  Internet,   được  duy  trì  bởi  máy  chủ  DNS     Internet •  Dịch  vụ  :   –  E-­‐mail:  Giúp  chia  sẻ  dữ  liệu  hoặc  nhắn  1n  từ  một  người  gửi  tới  một   người   –  Nhóm  1n  tức:  Các  nhóm  tranh  luận  trên  các  bảng  1n  điện  tử   –  LISTSERVs:  Các  nhóm  tranh  luận  cùng  dịch  vụ  danh  sách  thư  điện  tử   –  Cha¸ng  và  gửi  1n  nhắn  trao  đổi  tương  tác   –  Telnet:  Đăng  nhập  vào  một  hệ  thống  máy  Onh  và  làm  việc  với  một  hệ   thống  khác   –  FTP:  Chuyển  file  từ  máy  Onh  này  sang  máy  Onh  khác   –  World  Wide  Web:  Nhận,  định  dạng,  và  trình  bày  thông  1n  (gồm  cả  văn   bản,  audio,  đồ  họa,  và  video)  dùng  liên  kết  siêu  văn  bản   5/25/14 154 5/25/14 Bài giảng HTTT KT&QL 155 Intranet   •  Mạng riêng cho một doanh nghiệp  nhưng  được  thiết  lập   dựa   trên   chuẩn   Web   và   truyền   thông   qua   mạng   Internet.   –  Intranet giúp chia sẻ thông tin và các nguồn tài   nguyên khác của doanh   nghiệp. –  Intranet đảm bảo tính duy nhất của thông tin trong doanh nghiệp.   •  Intranet kết nối nhiều máy tính tới mạng Internet qua một cổng duy nhất. Extranet •  Hai  mạng  Intranet  liên  kết,  trao  đổi  thông  1n  với  nhau  được   gọi  là  mạng  Extranet  giữa  hai  doanh  nghiệp.     •  Extranet  cung  cấp  khả  năng  tạo  ra  các  ứng  dụng  mà  các  bên   cộng  tác  và  khách  hàng  có  thể  truy  nhập  nhưng  không  dành   cho  công  chúng  nói  chung.   •  Extranet  (cũng  như  Intranet)  có  các  khối  phần  cứng  hoặc   phần  mềm  dùng  để  mã  hóa  thông  1n,  kiểm  soát,  bảo  vệ   thông  1n  (tường  lửa_  firewall)  giữa  các  đối  tác  với  nhau.     5/25/14 156 157 Hình minh họa doanh nghiệp sử dụng Internet, Intranet, Extranet Cơ  hội     •  Các doanh nghiệp –  Có cơ hội giảm một cách đáng kể chi phí truyền thông với nhân viên, nhà cung cấp, và khách hàng. –  Có nhiều cơ hội mới để phát triển mô hình kinh doanh mới dựa trên các công nghệ viễn thông mới. •  Dịch vụ và công nghệ mạng băng thông rộng •  Chuyển mạch khung •  Chuyển mạch không đồng bộ ATM •  Mạng số dịch vụ tích hợp •  Đường truyền thuê bao kỹ thuật số v..v 158   2.4  An  toàn  bảo  mật  hệ  thống   •  2.4.1  Các  nguy  cơ  mất  an  toàn  bảo  mật  hệ   thống   •  2.4.2  Công  nghệ  và  công  cụ  đảm  bảo  an  toàn   và  bảo  mật  hệ  thống     Nhu  cầu  bảo  mật  thông  1n   •  Một  số  loại  thông  1n  chỉ  còn  ý  nghĩa  khi  chúng   được  giữ  kín  hoặc  giới  hạn  trong  một  số  các   đối  tượng  nào  đó   – Ví  dụ:  thông  1n  chiến  lược  quân  sự,     Nhu  cầu  toàn  vẹn  thông  1n   •  Nếu  thiết  bị  lưu  trữ  hoạt  động  không  an  toàn,   thông  1n  lưu  trữ  trên  đó  bị  mất  đi  hoặc  sai   lệch  toàn  bộ  hay  một  phần,  khi  đó  Onh  toàn   vẹn  của  thông  1n  không  còn  được  bảo  đảm.   Nhu  cầu  an  toàn  bảo  mật  hệ  thống   •  Từ  2  nhu  cầu  chính   –  An  toàn  máy  Onh:  Bảo  vệ  thông  1n  bên  trong  máy  Onh   –  An  toàn  đường  truyền:  Bảo  vệ  thông  1n  trong  khi  chúng   đang  được  truyền  từ  hệ  thống  này  sang  hệ  thống  khác   •  Phát  sinh  các  nhu  cầu  cụ  thể:   –  An  toàn  hệ  điều  hành   –  An  toàn  dữ  liệu   –  An  toàn  CSDL   –  An  toàn  mạng  máy  Onh   Mục  1êu  của  an  toàn  bảo  mật  hệ  thống     •  Tính  bí mật   –  Thông  1n  không  bị  lộ  đối  với   người  không  được  phép •  Tính  toàn  vẹn   –  Ngăn  chặn  việc  xóa  bỏ  hoặc  sửa   đổi  dữ  liệu  trái  phép.   •  Tính  sẵn  sàng   –  Thông  1n  sẵn  sàng  cho  người   dùng  hợp  pháp     •  Tính  xác  thực   –  Xác  thực  đúng  thực  thể  cần  kết   nối   –  Xác  thực  đúng  nguồn  gốc  thông   1n     •  Nguy  cơ   – Nguy  cơ  là  những  hành  vi,  sự  kiện,  đối  tượng  có   khả  năng  ảnh  hưởng  đến  an  toàn  của  hệ  thống   – Ví  dụ:     •  Đánh  cắp  thông  1n  điện  tử   •  Đánh  cắp  thông  1n  vật  lý,  vd:  lấy  văn  bản  từ  máy  in   hoặc  từ  băng/  đĩa  máy  Onh   •  Xâm  phạm  riêng  tư   •  Máy  Onh  và  thiết  bị  ngoại  vi  bị  hỏng  hóc     •  Chặn  đường  truyền  1n   2.4.1  Các  nguy  cơ    mất  an  toàn  bảo  mật   hệ  thống    Các  nguy  cơ  mất  an  toàn  bảo  mật  hệ  thống   •  Phụ  thuộc  vào  các  thành  phần  của  hệ  thống   – Máy  khách:  Truy  cập  trái  phép,  gặp  lỗi   – Đường  truyền:  Thay  đổi  thông  điệp,  gian  lận  &   trộm  cắp,  bắt  gói  1n,  phong  tỏa  đường  truyền   – Máy  chủ:  Tin  tặc,  virus  &  sâu  máy  Onh,  gian  lận  &   trộm  cắp,  phá  hoại,  tấn  công  từ  chối  dịch  vụ   – Hệ  thống:  Trộm  cắp,  sao  chép,  thay  thế  dữ  liệu,   hỏng  hóc  phần  cứng  và  phần  mềm    Các  nguy  cơ  mất  an  toàn  bảo  mật   hệ  thống   Dùng  mã  độc:  Virus,  Trojan,  Sâu   máy  znh   Dùng  các  phần  mềm:  Gián  điệp,   quảng  cáo,  đánh  cắp  mật  khẩu   Một  số  hình  thức  tấn  công  phổ  biến   167  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   Một  số  hình  thức  tấn  công  phổ  biến   Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   168   •  Nghe  lén,  sử  dụng  máy  Onh  trái  phép     •  Trộm  cắp  hoặc  phá  hoại  dữ  liệu  điện  tử,  trộm  cắp,  phá  hoại   hoặc  phá  hủy  phần  cứng   •  Tấn  công  website/máy  chủ.  Tấn  công  từ  chối  dịch  vụ   •    Người  thực  hiện   •  Ngoài  tổ  chức     – Tin  tặc   – Đối  thủ  cạnh  tranh   – Khủng  bố   •  Trong  tổ  chức     – Nhân  viên   Phòng  tránh  tấn  công  hệ  thống   •  Biên  pháp  an  ninh   –  Chính  sách  và  thủ  tục     –  Công  cụ  kỹ  thuật  để  chống  lại   •  Truy  cập  trái  phép   •  Trộm  cắp   •  Thay  thế  thông  điệp   •  Hỏng  hóc  vật  lý   •  Kiểm  soát   –  Chính  sách,  thủ  tục  về  mặt  tổ  chức   –  Phương  pháp  nhẳm  đảm  bảo     •  Độ  an  toàn  cho  tài  sản   •  Dữ  liệu  1n  cậy  và  chính  xác   •  Tuân  thủ  các  chuẩn  quản  lý   Kiểm  soát   Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   171   •  Kiểm  soát  chung   –  Kiểm  soát  truy  cập  mức  vật  lý   và  logic   •  Phần  cứng,  phần  mềm   –  Kiểm  soát  hệ  điều  hành   •  Phân  quyền     –  Kiểm  soát  an  toàn  dữ  liệu   •  Mã  hóa  dữ  liêu   –  Kiểm  soát  thực  thi   •  Xác   định,   đánh   giá,   lựa   chọn,   liên  lạc,  phục  hồi,     –  Kiểm  soát  quản  trị  hệ  thống   •  Phân   quyền,   tạo,   sao   chép,   đánh  giá,     •  Kiểm  soát  ứng  dụng   –  Đầu  vào   •  Quá  trình  cập  nhật  dữ  liệu,  xác   định  các  kiểu  dữ  liệu,  dung   lượng,     –  Quá  trình  xử  lý   •  Dùng  file  nhật  ký  (logs),  hàm   băm,  nhãn  thời  gian..   –  Đầu  ra   •  Xác  thực,  điều  phối,  truy  cập,   máy  in   –  Lưu  trữ   •  Kiểm  soát  truy  cập  logic  đến   CSDL   b.  Biện  pháp  an  ninh   •  Kiểm  soát  truy  cập     –  Mức  vật  lý:  Kiểm  soát  truy  cập  vào  máy  chủ,  băng/đĩa  lưu  trữ,  Sử  dụng  các  Onh  năng  an   ninh  như:  Camera,  còi  báo  động,   –  Mức   Logic:  Định  danh,  mật   khẩu,   sinh   trắc  học,   token,   CAPTCHA,   Tường   lửa,  Hệ   thống   phát  hiện  xâm  nhập,  Phần  mềm  diệt  virus     •  Bảo  mật  mạng  có  dây  và  không  dây   –  Có  dây:  SSL   –  Không  dây  giao  thức:  WEP,  VPN,  WPA   •   Sử  dụng  các  hệ  mã  hóa   –   HTTPS   –   Mã  hóa  khóa  đối  xứng  (1  khóa)   –   Mã  hóa  khóa  công  khai  (2  khóa:  Bí  mật  và  công  khai)   –   Chứng  chỉ  số   Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   172    2.4.2  Công  nghệ  và  công  cụ  đảm  bảo  an  toàn  và   bảo  mật  hệ  thống   b.  Công  nghệ,  công  cụ   b.  Sự  cần  thiết,  thách  thức  và  giải  pháp  cho  an   toàn  thông  1n  hệ  thống   a.  Công  nghệ  và  công  cụ   i.  Kiểm  soát  truy  cập   ii.  Bảo  mật  mạng  không  dây   iii.  Mã  hóa   i.  Kiểm  soát  truy  cập     Mức  vật  lý   •  Kiểm   soát   truy   cập   vào   máy   chủ,   băng/đĩa   lưu   trữ,..   •  Sử  dụng  các  Onh  năng  an   ninh   như:   Camera,   còi   báo  động,   Mức  logic     •  Định  danh,  mật  khẩu,  sinh   trắc  học,  token   •  CAPTCHA   (Ký   tự   kiểm   tra   người  dùng)   •  Tường  lửa   •  Hệ   thống   phát   hiện   xâm   nhập  (xác  thực)   •  Phần  mềm  diệt  virus   Hệ  thống  tường  lửa   Hệ  thống  tường  lửa   •  Chức  năng:   – Separator:  Tách  rời  giữa  mạng  nội  bộ  và  mạng   công  cộng.   – Restricter:  Chỉ  cho  phép  một  số  lượng  giới  hạn  các   loại  lưu  lượng  được  phép  xuyên  qua  tường  lửa,     – Analyzer:  Theo  dõi  lưu  lượng  luân  chuyển  qua   tường  lửa,  ghi  lại  các  thông  1n  này  lại  theo  yêu   cầu  của  người  quản  trị  để  phục  vụ  cho  các  phân   Och  để  đánh  giá  mức  độ  an  toàn  của  hệ  thống.     Hệ  thống  phát  hiện  xâm  nhập   •  IDS  (Intrusion  Detec1on  System):  phát  hiện   các  dấu  hiệu  của  tấn  công,  xâm  nhập  bằng   theo  dõi   •  Phân  Och  hai  nguồn  thông  1n  chủ  yếu  sau  đây:   – Thông  1n  về  các  thao  tác  thực  hiện  trên  máy  chủ   được  lưu  trong  nhật  ký  hệ   – Lưu  lượng  đang  lưu  thông  trên  mạng   •  Phát  hiện,  dự  đoán,  thậm  chí  là  phản  ứng  lại   tấn  công.   ii.  Mã  hóa   •  Mã  hóa  khóa  đối  xứng  (1  khóa)   •  Mã   hóa   khóa   công   khai   (2   khóa:   Bí   mật   và   công  khai)   •  Chứng  chỉ  số,  hạ  tầng  khóa  công  khai  PKI   h¼ps   iii.  Bảo  mật  mạng  không  dây   •  Các  chuẩn  bảo  mật  dành  cho  WiFi,  xếp  theo  khả   năng  bảo  mật  từ  cao  xuống  thấp:   –  WPA2  +  AES   –  WPA  +  AES   –  WPA  +  TKIP/AES  (TKIP  đóng  vai  trò  là  phương  án  dự   phòng)   –  WPA  +  TKIP   –  WEP_(Wired  Equivalent  Privacy)   –  Mạng  mở,  không  mã  hóa   iii.  Bảo  mật  mạng  không  dây   •  WEP  (Wired  Equivalent  Privacy)   – WEP  được   phê   chuẩn   là   phương   thức   bảo   mật   1êu   chuẩn   dành   cho   WiFi   vào   tháng   9/1999     – Có  nhiều  phiên  bản  64  bit,  128  bit,  256  bit   – Nhiều  lỗ  hổng  bảo  mật  trong  chuẩn  WEP   ii.  Bảo  mật  mạng  không  dây   •  WPA  (WiFi  Protected  Access)   – WPA  là  phương  thức  được  đưa  ra  để  thay  thế   WEP,  được  áp  dụng  chính  thức  vào  năm  2003   – Số  ký  tự  mã  hóa  256  bit   – Có  khả  năng  kiểm  tra  Onh  toàn  vẹn  của  gói  1n     – Có  giao  thức  khóa  toàn  vẹn  thời  gian  TKIP   (Temporal  Key  Integrity  Protocol)     C.  Sự  cần  thiết,  thách  thức  và  giải  pháp  cho  an  toàn   thông  1n  hệ  thống   i.  Sự  cần  thiết   ii.  Thách  thức   iii.  Giải  pháp     184  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   i.Sự  cần  thiết   •  Kiểm   soát   và   đảm   bảo   an   toàn   cho   HTTT   là   điều   vô   cùng  cấp  thiết   •  Sự   thiếu   an   toàn   và   1n   cậy   của   hệ   thống   có   thể   dẫn   đến   những   vấn   đề   về   lợi   nhuận,   nợ,   danh   1ếng,   thương  hiệu,  và  khả  năng  sống  còn  của  doanh  nghiệp  .     •  Các  doanh  nghiệp  hiện  nay  có  cơ  hội  để  tạo  ra  các  hệ   thống  và  website  1n  cậy,  an   toàn  –   là  những  công  cụ   hỗ  trợ  cho  chiến  lược  kinh  doanh  điện  tử  và  TMĐT.     185  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   ii.Những  thách  thức   •  Thực  thi  chính  sách  an  ninh  hiệu  quả   •  Mọi  hoạt  động  không  vượt  qua  công  cụ  kiểm   soát   186  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014    Thực  thi  chính  sách  an  ninh  hiệu  quả   •  Các nhà quản lý chưa đánh giá cao giá trị của một chiến lược an ninh.   •  Kiểm  soát và các biện  pháp  an ninh thường  chưa  được đưa vào thiết kế của các quá trình kinh doanh chính và hệ thống.   •  Nhiều công ty thiếu   công   tác khắc phục thảm họa hoặc không vá lỗi  phần mềm thường xuyên chống lại lỗ hổng bảo mật. •  Nhận thức của người dùng còn yếu. 75% các công ty có chính sách bảo mật thông tin không cập nhật   hệ   thống   thường  xuyên và chỉ có 9%  nhân viên hiểu các chính sách an ninh.   187  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014    Mọi  hoạt  động  không  vượt  qua  công  cụ  kiểm  soát   •  Nếu một hệ thống đòi hỏi quá nhiều mật khẩu, ủy quyền hoặc cấp độ bảo mật truy cập thông tin, hệ thống sẽ trở   nên  khó sử dụng và do đó không hiệu quả.   •  Kiểm soát có hiệu quả nhưng không ngăn cản các cá nhân được ủy quyền sử dụng hệ thống  là  rất khó để thiết kế     •  Có   rất   nhiều   công   nghệ   để   DN   lựa   chọn,   tuy   nhiên   cần   lựa   chọn  giải  pháp  hiệu  quả  nhất   188  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   Giải  pháp   •  Phối hợp kế hoạch an ninh của công ty với kế hoạch kinh doanh tổng thể của nó cho thấy rằng an ninh là thiết yếu cho sự thành công của DN như bất kỳ chức năng kinh doanh nào  khác. •  Thực thi biện pháp an ninh và thực hiện kiểm soát là trách nhiệm của tất cả mọi thành  viên trong tổ chức.   189  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   Giải  pháp   •  Hỗ trợ và cam kết từ lãnh đạo cao nhất là  cần thiết để thấy rằng an ninh thực sự là một ưu tiên của công ty và quan trọng đối với tất cả các khía cạnh của doanh nghiệp.     •  Người  quản lý nên đặt  ra  những  câu hỏi sau đây:     –  Tài nguyên nào  là  quan trọng nhất để kiểm soát và đảm  bảo   an  toàn?  Chi phí để thay thế những tài sản quan trọng nếu chúng bị phá hủy hoặc tổn hại? Vấn  đề  pháp lý khi  thông  1n   bị  truy cập bởi các bên không được phép?   190  Bài  giảng  HTTT  quản  lý  1.3  -­‐  2014   Giải  pháp   –  Mức độ thời gian chết của hệ thống bao  nhiêu  là chấp nhận được? Bao nhiêu sự gián đoạn trong chức năng kinh doanh hoặc tổn thất tài chính là doanh nghiệp sẵn sàng chịu đựng?   –  Mức tối thiểu có thể chấp nhận cho hiệu   suất   thực   thi   của   phần mềm và hệ thống là gì?   –  Chi  phí  DN  sẵn sàng  bỏ  ra đầu tư để bảo vệ tài sản thông tin của mình?   Giải  pháp   •  Các doanh nghiệp lớn có thể có  1  vị  trí chính thức là giám đốc an ninh (CSO  -­‐  chief security officer). –  Quyết định quản lý chủ chốt bao gồm việc xác định một mức độ kiểm soát thích hợp cho tổ chức và thiết lập các tiêu chuẩn cho độ chính xác và độ tin cậy của hệ thống. •  Để phát triển  hoạt  động  kiểm  soát  và  an  ninh, người dùng cần phải thay đổi cách  làm việc. –  Người dùng cần được đào tạo đặc biệt về cách bảo vệ thiết bị,   mật khẩu;   làm thế nào để làm việc với các phần mềm chống virus và bảo vệ khác.