Tri thức chuyên ngành

(ICTPress) - Sau khi hoàn thiện các tính năng cơ bản như website bán vé, vé điện tử, ứng dụng bán vé qua di động… Hệ thống vé tàu đang tiếp tục triển khai các tính năng nâng cao trải nghiệm để mang thêm tiện ích đến người dùng.

Ông Bùi Thanh Bình, Giám đốc Trung tâm Giải pháp dịch vụ vận tải hành khách, FPT IS, cho biết, hệ thống sẽ hoàn thiện tiếp các tính năng mới như hệ thống thông tin phục vụ hành khách (bảng LED điện tử và các tivi cung cấp thông tin vé, thông tin hành trình tàu tại các ga); hệ thống tích điểm khách hàng thường xuyên; hệ thống hỗ trợ quản lý mạng lưới đại lý.

Trước đó, hệ thống đã hoàn thiện các tính năng như website bán vé, vé điện tử, ứng dụng bán vé qua di động… giúp người dân có thể mua vé mọi lúc, mọi nơi thay vì phải đến nhà ga xếp hàng chờ đợi. Gần đây nhất, tháng 1/2016, các tính năng như: Ứng dụng đặt mua vé tàu qua điện thoại thông minh, máy tính bảng; Kios in vé tự động và Hệ thống quản lý thông tin khách hàng thường xuyên đã được đưa vào sử dụng.

Với những tiện ích mang lại, Hệ thống vé tàu điện tử đã được bình chọn Top 10 Sao Khuê 2016 khi được hội đồng bình chọn đánh giá cao ở các điểm: giải quyết được khâu phân phối vé của một trong những ngành quan trọng của Việt Nam - ngành đường sắt, giúp nâng cao hiệu suất kinh tế của ngành; giải quyết được bức xúc của người dân có nhu cầu sử dụng và của xã hội; sử dụng công nghệ mới để có thể tạo ra những tính năng hiện đại giúp cải thiện năng lực vận tải, thuận tiện cho người sử dụng.

Dự án Hệ thống bán vé điện tử của Tổng Công ty Đường sắt Việt Nam được FPT IS khởi động từ tháng 7/2014 theo hình thức thuê dịch vụ CNTT. Đây là một trong những dự án trọng điểm hướng tới lợi ích cộng đồng và giao thông thông minh của FPT. 

Trong giai đoạn đầu của dự án, hệ thống bán vé tàu điện tử đã cung cấp dịch vụ cho hành khách có thể đặt chỗ, đăng ký và thanh toán vé tàu qua website. Đồng thời cung cấp dịch vụ thu tiền vé tại hơn 2.500 điểm bưu cục của Tổng Công ty Bưu điện Việt Nam và 53 điểm giao dịch của Ngân hàng quốc tế (VIB) tại TP HCM, Bình Dương và Đồng Nai.

Đầu tháng 9/2015, ngành đường sắt đã chính thức bán vé điện tử và đến tháng 10 triển khai bán vé Tết online. Theo thống kê, hiện đã có khoảng 15 triệu vé tàu điện tử được giao dịch thành công. 

QA

Ảnh: 

(ICTPress) - OpenCPS là một nỗ lực của cộng đồng Phần mềm nguồn mở (PMNM) Việt Nam để góp phần xây dựng chính phủ điện tử (CPĐT) nguồn mở.

Đã có một số dịch vụ công trực tuyến được triển khai ở Việt Nam ở mức độ cao tại các Thành phố cũng như một số Bộ/Ngành. Tuy nhiên, các nhược điểm cơ bản như thiếu mô hình thống nhất về triển khai, tiêu chuẩn về dữ liệu để tiến hành liên thông và tích hợp dữ liệu và phụ thuộc công nghệ vào một số nhà thầu là một trong những rào cản lớn trong việc triển khai các dịch vụ công trực tuyến ở mức độ cao phục vụ cho người dân, doanh nghiệp theo tinh thần nghị quyết 36a/NQ-CP của Chính phủ.

Để giải quyết các vấn đề trên và sự ưu việt vượt trội của mô hình phát triển phần mềm tự do nguồn mở, một số Công ty có kinh nghiệm trong lĩnh vực này đã cùng nhau phát triển phần mềm OpenCPS để đáp ứng nhu cầu triển khai các dịch vụ công trực tuyến cho các Bộ, Ngành, địa phương ở Việt Nam.

Khởi nguồn từ ý tưởng của một số thành viên cốt cán của VFOSSA đã có nhiều năm kinh nghiệm xây dựng chính quyền điện tử, dịch vụ công và xây dựng cộng đồng PMNM, ý tưởng xây dựng phần mềm cung cấp dịch vụ công trực tuyến OpenCPS đã nhanh chóng nhận được sự hưởng ứng của nhiều công ty có liên quan, đến nay OpenCPS đã có 13 thành viên tập thể tự nguyện tham gia và đóng góp  để cùng xây dựng nên một PM lõi cho dịch vụ công trực tuyến theo đúng mô hình phát triển phần mềm nguồn mở với chuẩn mực quốc tế.

Cộng đồng OpenCPS ra mắt tại Hà Nội

Trong lễ ra mắt cộng đồng OpenCPS gồm 13 thành viên ban đầu vào cuối tuần qua, Cộng đồng OpenCPS cho biết sẽ phát hành chính thức đầu tiên vào 15/5/2016 định kỳ 6 tháng 1 lần và hoàn toàn sẵn sàng cho việc thực hiện Nghị quyết 36a/NQ-CP của Chính phủ về CPĐT.

Những lợi thế của OpenCPS

Tại Lễ ra mắt cộng đồng, ông Trần Kiêm Dũng, Giám Công ty Cổ phần Phát triển nguồn mở và dịch vụ FDS, đại diện cho Cộng đồng đã cho biết Nghị quyết 36a/NQ-CP đã đề ra 3 việc quan trọng: Đến năm 2016, các Bộ, ngành Trung ương cung cấp 100% dịch vụ công trực tuyến ở mức độ 3, tích cực triển khai dịch vụ công trực tuyến ở mức độ 4, tích hợp dịch vụ công của các Bộ, ngành, địa phương lên Cổng dịch vụ công quốc gia. OpenCPS là phần mềm dịch vụ công trực tuyến được thiết kế tổng quát đáp ứng nghiệp vụ của các thủ tục hành chính theo quy định của Nhà nước Việt Nam. OpenCPS sẵn sàng cho việc xây dựng dịch vụ công trực tuyến ở mức độ cao nhất (mức độ 4) mà không cần phải lập trình bổ sung ngoài phần mềm xử lý nghiệp vụ cho từng chuyên ngành.

OpenCPS xây dựng trên cơ sở tiêu chuẩn về dữ liệu thủ tục hành chính, trao đổi dữ liệu kết quả thực hiện thủ tục hành chính để tiến hành liên thông dữ liệu. Từ đó, minh bạch hóa quá trình thực hiện thủ tục hành chính cho các cơ quan Nhà nước với người dân và doanh nghiệp cũng như giảm thiểu thời gian, công sức và là một trong những biện pháp hữu hiệu trong quá trình cải cách hành chính theo định hướng của Nhà nước.

OpenCPS có đầy đủ chức năng của các hệ thống dịch vụ công ở mức độ cao nhất như thanh toán trực tuyến, hóa đơn điện tử, tích hợp chữ ký số và xác thực điện tử giúp các giao dịch của doanh nghiệp và người dân với nhà nước thuận tiện, an toàn và bảo mật.

OpenCPS có an toàn, bảo mật?

Tại Lễ ra mắt OpenCPS, đã có những quan ngại về vấn đề an toàn an ninh, bảo mật của OpenCPS được đặt ra cho cộng đồng bởi nếu có ý kiến cho rằng OpenCPS là PMNM nên mã nguồn “phơi” ra trên Internet còn gì là bảo mật?.

Ông Trương Anh Tuấn, đại diện cho cộng đồng đã giải đáp ngay OpenCPS được phát hành theo giấy phép nguồn mở AGPL, không có chi phí bản quyền, hoàn toàn chủ động công nghệ, kiểm soát về an ninh, bảo mật dữ liệu. Đến thời điểm hiện tại, OpenCPS có 13 Công ty sẵn sàng cung cấp dịch vụ hỗ trợ triển khai, bảo trì hệ thống và chắc chắn sẽ có nhiều hơn nữa trong tương lai.

Cộng đồng OpenCPS gồm những công ty hoạt động trong các lĩnh vực khác nhau như hạ tầng CNTT, an ninh mạng, phần mềm, dịch vụ chữ ký số, thanh toán điện tử, hóa đơn điện tử và tổng đài hỗ trợ. Đây cũng là một trong những cộng đồng cung cấp giải pháp tổng thể đầu tiên ở Việt Nam xây dựng sản phẩm theo mô hình phát triển nguồn mở bền vững giúp khách hàng không bị phụ thuộc vào một nhà cung cấp độc quyền và không có chi phí bản quyền vốn dĩ rất đắt tiền với những quốc gia đang phát triển như Việt Nam.

Cũng theo ông Tuấn, theo thống kê, nghiên cứu thực tế trên thế giới hơn 10 năm đã rút ra những kết luận xác đáng về PMNM. Đối với phát triển phần mềm nói chung có một công đoạn security audit (xác minh an toàn, bảo mật thông tin), công đoạn này luôn luôn cần mã nguồn. Đối với phần mềm nguồn “đóng”, chỉ khi hãng phần mềm có nhu cầu đưa mã nguồn mới giao cho đối tác thuê hoặc tự hãng audit. Đối với PMNM, quá trình security audit luôn luôn liên tục, mã nguồn luôn công khai trên Internet và được đẩy liên tục vào trong kho mã nguồn, nhiều con mắt “soi” mỗi phiên bản mới được phát hành, bản vá và xem luôn các vấn đề nên thì lỗi sẽ “cạn”, đặc biệt lỗi liên quan đến bảo mật, bao gồm cả lỗi cố tình để lại như lỗ hổng “cửa hậu”.

Trong PMNM, lỗi cửa hậu được giải quyết gần như triệt để. Thực tế mà nói, trong rất nhiều năm đặc biệt những năm gần đây, phần mềm “đóng” có rất nhiều lỗ hổng, “cửa hậu” bị phát hiện là cố tình để lại, trong khi với PMNM là gần như không có. Nếu như có, quá trình phát hiện, sửa lỗi của PMNM cũng nhanh hơn rất nhiều, ông Tuấn phân tích và khẳng định.

Cộng đồng OpenCPS coi trọng an toàn an ninh bảo mật. Cộng đồng có nhóm an toàn an ninh, bảo mật cho riêng OpenCPS, với sự tham gia của các công ty và sau này sẽ có thêm NetNam, iWay, Valatek và sự hỗ trợ ban đầu của VNCERT. OpenCPS có sự hỗ trợ của các cộng đồng, công ty nguồn mở hàng đầu thế giới như Redhat và MariaDB để có thể triển khai các hệ thống lớn với hiệu năng cao, an toàn và bảo mật. “Cộng đồng OpenCPS coi trọng an ninh an toàn bảo mật từ hạ tầng, từ giai đoạn phát triển”, ông Tuấn cho biết thêm.

Cả hai “đại gia” PMNM tiêu biểu của thế giới là RedHat và MariaDB đều có mặt tại Lễ ra mắt OpenCPS tại VN đã có những tham luận khẳng định hỗ trợ OpenCPS

Cộng đồng cũng thực hiện hỗ trợ kỹ thuật miễn phí cho người sử dụng, người sử dụng có thể hỗ trợ lẫn nhau và hỗ trợ từ nhà cung cấp dịch vụ từ cộng đồng, hoặc các công ty không từ OpenCPS và nhiều lựa chọn như nhà cung cấp dịch vụ, hạ tầng một khi đơn vị cung ứng giải pháp OpenCPS. OpenCPS phát triển theo chuẩn mực quốc tế, và sẽ hỗ trợ theo suốt dòng đời phát triển sản phẩm. Khi phát triển tính năng mới, OpenCPS thì có những nhánh riêng để sửa lỗi.

Trao đổi thêm về vấn đề an ninh an toàn bảo mật của PMNM, ông Nguyễn Hồng Quang, Chủ tịch Câu lạc bộ Phần mềm tự do nguồn mở Việt Nam (VFOSSA), tổ chức bảo trợ cộng đồng phần mềm lõi dịch vụ công nguồn mở OpenCPS cho biết những nghiên cứu của các hãng điều tra có uy tín thế giới trong những năm gần đây về tương lai của nguồn mở đều chỉ ra rằng mô hình phát triển PMNM cho phép tạo ra những phần mềm có chất lượng vượt trội và an toàn, an ninh cao hơn hẳn mô hình phần mềm nguồn đóng truyền thống. Bởi theo phân tích của ông Quang việc lựa chọn PMNM trước tiên là vì chất lượng cao, để đảm bảo an ninh, chủ quyền trên không gian mạng, tránh sự lệ thuộc, bị khóa trói vào một hoặc vài hãng phần mềm độc quyền trên thế giới.

Ông Quang cũng tin rằng để xây dựng CPĐT chất lượng cao, đảm bảo an ninh, chủ quyền cho khu dữ liệu của toàn dân, phát triển bền vững, không lệ thuộc vào các nhà cung cấp giải pháp độc quyền, tôn trọng bàn quyền và sở hữu trí tuệ mà Việt Nam đã cam kết với thế giới, giá thành hạ, bớt gánh nặng đầu tư cho ngân sách thì PMNM là con đường tốt nhất, đúng nhất, nếu không nói là sự lựa chọn khá thi duy nhất.

Nhấn mạnh thêm một điểm, ông Quang lưu ý CPĐT phải là CPĐT nguồn mở tức là không chỉ phần mềm mà toàn bộ quy trình xây dựng hệ thống, ngay từ khâu đầu tiên, đều theo phong cách nguồn mở, công khai minh bạch, mới có thể đáp ứng được các yêu cầu.

Cũng tại Lễ ra mắt cộng đồng, ông Nguyễn Trọng Đường, Giám đốc VNCERT bày tỏ mong muốn cộng đồng PMNM phát triển rộng khắp cộng đồng, thu hút thêm nhiều công ty, cá nhân, bạn trẻ tham gia vào phát triển sản phẩm. Ông Đường cũng nhấn mạnh cộng đồng không chỉ phát triển sản phẩm mà có cộng đồng để bảo vệ an toàn cho sản phẩm để sẵn sàng xử lý các sự cố khi sản phẩm bị mất an toàn hay bị phát hiện có lỗ hổng. Chúng ta phải song hành phát triển cộng đồng và phát triển giải pháp bảo vệ an toàn cho sản phẩm đó.

HM

Ảnh: 

(ICTPress) - Tập đoàn Microsoft ngày vừa công bố đã ra mắt phiên bản báo cáo An toàn An ninh mạng phiên bản số 20 (SIRv20).

Bản báo cáo năm nay bao gồm các dữ liệu liên quan đến mối đe dọa trong nửa năm cuối của 2015 kèm dữ liệu xu hướng dài hạn về các lỗ hổng trong ngành công nghiệp, những trang web khai thác, chứa mã độc và phần mềm độc hại. Báo cáo này cũng cung cấp dữ liệu sâu sắc về những hiểm họa  ẩn với hơn 100 quốc gia/ vùng lãnh thổ.

Bản báo cáo SIR số 20 cũng bổ sung một số những nội dung mới sau:

Thứ nhất, báo cáo An toàn An ninh mạng phiên bản số 20 bao gồm chương mang tên "PLATINUM: mục tiêu tấn công tại Nam Á và Đông Nam Á". Chương này cung cấp chi tiết về một nhóm hiểm họa xác định, mới được phát hiện, Microsoft đặt tên mã là PLATINUM. Nhóm này đã tiến hành nhiều chiến dịch gián điệp mạng kể từ năm 2009, với mục tiêu tập trung là khối chính phủ và các tổ chức có liên quan ở Đông Nam Á. Thông tin từ báo cáo có thể giúp hiểu rõ hơn về biện pháp giảm thiểu những rủi ro mà các tổ chức phải đối mặt với những nhóm như vậy.

Một nội dung khác mang tên "Bảo vệ định danh trong điện toán đám mây: Giảm thiểu các cuộc tấn công bằng mật khẩu". Phần này của báo cáo tập trung vào những việc Microsoft thực hiện để ngăn chặn thỏa hiệp của tài khoản từ bên trong dịch vụ đám mây của Microsoft. Đây cũng là nội dung Microsoft lần đầu công bố trong báo cáo SIR.

Báo cáo An toàn An ninh mạng cảnh báo về các mối đe dọa cho khách hàng, đối tác và các ngành công nghiệp liên quan đã được Microsoft xuất bản liên tục từ 10 năm nay. Microsoft đã công bố hơn 12.500 trang báo cáo trong suốt thời gian này về các mối đe dọa hiện hữu, hơn 100 bài viết trên blog về an ninh, chia sẻ nhiều video và chuyển tiếp thông tin hữu ích về an ninh và bảo mật qua hàng ngàn cuộc họp cùng khách hàng trên toàn thế giới.

Báo cáo An toàn An ninh mạng phiên bản 20 có thể tải về từ địa chỉ www.microsoft.com/sir.

QA

Ảnh: 

Thói quen sử dụng mạng xã hội để chia sẻ thông tin chưa được kiểm chứng đã khiến mọi thứ ngày càng trở nên lệch lạc chỉ vì sự hấp tấp của người dùng.

Chia sẻ thông tin cảnh báo là một việc tốt, tuy nhiên đối với những vụ việc chưa được kiểm chứng hoặc không có thông tin chính xác thì việc chia sẻ (share) tràn lan sẽ khiến các tin đồn thất thiệt này dễ lan rộng.

Nhiều người thường có thói quen share bài viết hoặc hình ảnh lung tung trên Facebook mà không hề kiểm chứng, cứ nghĩ rằng điều này hoàn toàn vô hại nhưng thực chất nó ảnh hưởng không nhỏ đến gia đình và cuộc sống của các nạn nhân.

Đăng tải thông tin bắt cóc chưa được kiểm chứng. Ảnh: Internet

Đơn cử như vụ đứa trẻ ba tuổi bị hai thanh niên giật ngay trên tay người mẹ, Hương "mắt lồi" tái xuất giang hồ hay vụ việc những phụ nữ dân tộc dùng bùa ngải để bắt cóc trẻ em… được chia sẻ rộng rãi trên mạng xã hội trong thời gian vừa qua.

Cụ thể, một người nào đó đã cắt ghép hình ảnh trong clip hướng dẫn cách phòng tránh khi bị giật trẻ em của võ sư Lê Hoàng Mai, sau đó đăng tải lại với tiêu đề và nội dung gây sốc, gây hoang mang dư luận. Điều này đặc biệt nguy hiểm hơn khi bạn có lượng lớn người theo dõi hoặc có sức ảnh hưởng trong cộng đồng mạng.

Thực chất đây là hình ảnh bé gái bị chết do cuộc nội chiến tại Syria. Ảnh: Internet

Gần đây, một số trang còn đưa tin về hình ảnh bé gái bị điện giật chết do ngậm phải dây sạc điện thoại. Thông tin này đã được cộng đồng mạng chia sẻ với tốc độ chóng mặt, đặc biệt là các bậc cha mẹ. 

Thực chất, đây là hình ảnh bé gái người Syria đã bị chết trong cuộc nội chiến tại nước này vào năm ngoái. Phiên bản đầu tiên được đăng tải trên Twitter vào ngày 21-5-2015, không hiểu sao có một số người đã “đào mộ” lên rồi chia sẻ với nội dung bị chết vì điện giật. Đa số các cục sạc điện thoại đều có dòng điện chỉ 5V, không đủ mạnh để giết chết một người. 

Cài đặt tiện ích Facebook FilterFeed để lọc các thông tin nhảm nhí. Ảnh: MH

Vài người than phiền rằng dạo gần đây họ không dám lên Facebook vì có quá nhiều thông tin sai lệch, gây nhức đầu và hoang mang. Để lọc bớt các thông tin nhảm nhí, bạn hãy cài đặt tiện ích Facebook FilterFeed tại địa chỉ https://goo.gl/ALFZwR cho trình duyệt Chrome, nhấn Add to Chrome > Add extension.

Khi đã hoàn tất, bạn hãy nhấn vào biểu tượng của Facebook FilterFeed, nhập các từ khóa cần chặn như bắt cóc, điện giật, tắm biển… rồi nhấn Enter. Tự động tiện ích này sẽ ẩn các bài viết có chứa từ khóa mà bạn thiết lập khỏi News Feed.

Để tránh bị bội thực thông tin trên Facebook. Ảnh: MH

Lưu ý, tiện ích này chỉ có chức năng ẩn các bài viết khỏi News Feed và trang cá nhân của bạn chứ không hề xóa bài viết.

Google không hề tính phí việc tìm kiếm, do đó, trước khi đăng tải một thông tin gì đó, bạn hãy bỏ ra vài giây để kiểm chứng, điều này sẽ giúp hạn chế các tin tức nhảm nhí được lan rộng.

Nguồn: Minh Hoàng (Pháp luật TP.HCM)

Ảnh: 

(ICTPress) - Trong một nghiên cứu mới đây của Microsoft trên 5.000 người lao động văn phòng thuộc 13 quốc gia Châu Á, 46% người lao động Việt Nam chia sẻ rằng, họ luôn được khuyến khích để làm việc hiệu quả hơn, hợp tác hơn và sáng tạo hơn, đồng thời, vẫn đảm bảo các quyền lợi của họ trong hệ thống làm việc liên tục thay đổi. 

Theo nghiên cứu này, cứ 8/10 người làm việc trong các văn phòng Việt Nam dành ít nhất 1 ngày trong 5 ngày làm việc để làm việc bên ngoài văn phòng. 5/10 người làm việc chia sẻ ý tưởng, thông tin với đồng nghiệp sẽ mang lại lợi ích tức thời cho tổ chức của mình.

Một trong những bước đầu tiên tối ưu nhất là triển khai các công nghệ mới, nhưng đòi hỏi phải luôn tuân thủ các chính sách được thay đổi thường xuyên. Các tổ chức cần cân nhắc về chính sách nơi làm việc nhằm trang bị tốt hơn và trao quyền cho nhân viên trong “Thế giới làm việc mới” (NWoW) để luôn có được sự hợp lý với thị trường, với nhân sự mà vẫn đảm bảo sự thành công cho doanh nghiệp trong nền kinh tế mới.

Không phải là sự cân bằng giữa công việc và cuộc sống mà là tích hợp công việc vào cuộc sống

Một tổ chức luôn quan tâm tới nhân viên, luôn có những chính sách đãi ngộ tới nhân viên đồng thời hỗ trợ những phong cách làm việc khác biệt cho nhân sự, thường là tổ chức giúp nhân sự tích hợp được công việc vào cuộc sống. Nhờ công nghệ giúp triển khai việc di động và kết nối tức thì, khái niệm tích hợp công việc vào cuộc sống hay ngược lại đã trở nên công thức phổ cập của thời đại mới.

Điều thú vị trong nghiên cứu chỉ ra rằng 66% nhân sự muốn ở trong văn phòng để hoàn tất công việc chỉ bởi họ cần các truy cập vào thiết bị và những công cụ này đặt tại văn phòng, 23% nói rằng họ làm như vậy chỉ bởi mong muốn tiếp cận đồng nghiệp và lãnh đạo.

Điểm nhấn ở đây là có khoảng trống về vận hành cần thay đổi để các công ty có được năng suất cao hơn nữa. Từ góc nhìn của lãnh đạo, cần đồng thuận để trao quyền cho nhân viên nhiều hơn, giúp họ có thể làm việc từ xa và nâng cao hiệu suất làm việc trong tổ chức.

Dưới đây là 3 điểm cân nhắc để triển khai chính sách NwoW:

1.  Quản trị theo hiệu quả, không quản trị theo sự hiện diện

Dù “Công việc không phải là điểm đến, mà là việc đang làm”, nhưng tại các quốc gia Châu Á, đặc biệt là trong các phản hồi của nghiên cứu tại Hong Kong, Hàn Quốc, thời gian đối diện với đồng nghiệp và lãnh đạo dường như rất quan trọng và là lí do chính để nhân sự có mặt đúng giờ tại nơi làm việc. Nghiên cứu đã chỉ ra, khái niệm từ xa thậm chí gây nguy hiểm cho đánh giá về năng lực nhân viên, vì quan niệm về việc có mặt thụ động, tức là việc hiện diện tại văn phòng, đồng nghĩa với hiệu suất của một người tại nơi làm việc. “Quản lý về hiệu quả chứ không quản lý sự hiện diện” là khái niệm mà nhà quản lý cần lấy làm trọng tâm trong môi trường làm việc hiện đại ngày nay để mang lại những điều tốt nhất cho nhân viên.

Công việc hiện nay đòi hỏi đáp ứng nhanh theo yêu cầu thị trường kèm dịch chuyển, để quản trị đội ngũ phân tán thành công, thì điều tốt nhất cho các lãnh đạo là quản trị theo các chỉ số hiệu suất chính (KPIs) của nhóm được chỉ định từ trước. Đây là điểm quan trọng để tập trung đánh giá về năng lực và kết quả. Bằng cách này, nhân viên ý thức được kỳ vọng và năng lực của họ luôn được đánh giá đúng để có thể cống hiến chứ không phải là đo bằng sự có mặt tại văn phòng.

Ví dụ tiêu biểu tại Microsoft là nhân viên và khách mời được cung cấp liên kết Skype for Business cho các cuộc họp cả nội bộ hay bên ngoài. Nhờ đó, tất cả các bên có thể cùng tham gia vào các cuộc thảo luận nhanh chóng để đưa ra quyết định và tiết kiệm được thời gian và chi phí dịch chuyển. 

2. Củng cố hợp tác giữa các nhóm.

Nghiên cứu cũng chỉ ra rằng, 51% phản hồi cảm thấy năng lực hợp tác tức thì cùng các nhóm làm việc sẽ có lợi cho hầu hết các tổ chức. Gợi ý là tạo hoặc tu sửa không gian làm việc sẽ thúc đẩy hợp tác và sáng tạo đồng thời dỡ luôn được sự e dè do cách biệt giữa các nhóm phòng ban. Tại Microsoft, ý tưởng này được triển khai. Các văn phòng trên toàn cầu của Microsoft đều có nhiều các không gian làm việc khác nhau, bao gồm những gian hàng café phong cách, các bàn làm việc đứng hay các cabin điện thoại để tham dự các cuộc họp ảo. Một  khảo sát được tiến hành sau khi sửa văn phòng Singapore vào năm 2012 cho thấy 49% nhân viên cộng tác nhiều hơn với các đồng nghiệp và 77% thấy rõ sự cải thiện trong môi trường làm việc.

Là tập đoàn hàng đầu về bảo hiểm tại châu Á, AIA mới đây đã giới thiệu Office 365 đến hơn 20.000 người sử dụng trên toàn khu vực Châu Á - Thái Bình Dương. Bằng cách tận dụng công cụ đám mây, AIA đã vượt qua rào cản về ngôn ngữ cho nhân viên. Nhân viên AIA bây giờ có thể tự do trao đổi ý tưởng và cộng tác trong thời gian thực. Cụ thể, lãnh đạo tại Singapore có thể nói tiếng phổ thông và sử dụng Yammer để kết nối với các đồng nghiệp của ông nói tiếng Malay ở Malaysia hay tiếng Việt tại Việt Nam.

3. Dân chủ hóa tiếp cận công nghệ

Đa số người được hỏi trong nghiên cứu nói rằng, họ cần phải ở văn phòng để truy cập vào thiết bị và công cụ chỉ có sẵn tại nơi làm việc. Và phản hồi từ 53% giữ vị trí quản lý trong các tổ chức cũng thể hiện rằng họ được trang bị tốt hơn để làm việc cùng các đối tác trong và ngoài công ty, so với 40.7% số người được hỏi không nắm vị trí quản lý.

Trong thế giới của điện thoại di động và điện toán đám mây phổ biến hiện nay, triển khai cho nhân viên làm việc linh hoạt và từ xa là yếu tố cơ bản để doanh nghiệp thành công. Song song đó, còn phải luôn đảm bảo dữ liệu của công ty được bảo vệ an toàn. Office 365 giúp giải quyết bài toán này. Ngoài cung cấp dịch vụ bảo mật cấp độ doanh nghiệp, Office 365 cũng cung cấp cho quản trị viên và người sử dụng quyền điều khiển nhằm hỗ trợ đáp ứng các yêu cầu cần tuân thủ của Doanh nghiệp.

Điều quan trọng là trao quyền cho nhân viên theo phương thức để họ góp phần tăng năng suất cho Doanh nghiệp mà không bị giới hạn trong quản lý năng lực nhân viên. Sẽ còn những yếu tố về niềm tin cần được xây dựng; cho các lãnh đạo trao quyền và tin tưởng nhân viên với mục tiêu công việc xác định và cho nhân viên củng cố niềm tin với lãnh đạo. Sự chuyển hướng tới “Thế giới làm việc mới” cần phải xuất phát từ cân nhắc về quan niệm không gian làm việc và thực hành công nghệ trong nền kinh tế kỹ thuật số để thúc đẩy sự thành công của Doanh nghiệp.

QA

Ảnh: 

(ICTPress) - Phần mềm mSales của MobiFone đã được Hiệp hội Phần mềm và Dịch vụ CNTT Việt Nam (VINASA) và Ban Tổ chức Chương trình Danh hiệu Sao Khuê 2016 bình chọn thuộc Top 10 Sao Khuê 2016

Phần mềm mSales là một công cụ hiệu quả giúp quản lý công tác phát triển thị trường, giám sát nhân viên bán hàng và chăm sóc điểm bán lẻ. Hệ thống đã góp phần không nhỏ vào mức tăng trưởng doanh thu và tốc độ phát triển kinh doanh ấn tượng trong năm 2015 của Tổng Công ty.

Giải pháp phần mềm mSales đã được triển khai tại MobiFone với vai trò là hệ thống duy nhất trong quản trị, quản lý kênh phân phối và lực lượng bán hàng lên đến 115.000 điểm bán, hơn 1500 đại lý trên nền tảng di động, phát triển trên công nghệ MobileFirst, hỗ trợ tích hợp ứng dụng với các hệ thống nghiệp vụ bên trong doanh nghiệp một cách an toàn.

Giải pháp mSale có thiết kế tuân thủ kiến trúc hướng dịch vụ SOA, trong đó mọi kết nối đến hệ thống khác đều thông qua trục tích hợp dịch vụ ESB. Áp dụng giải pháp công nghệ quản lý quy trình nghiệp vụ BPM để dễ dàng thiết kế, điều chỉnh theo yêu cầu sản xuất kinh doanh. Với 4 lĩnh vực kinh doanh chính là Viễn thông - CNTT, Truyền hình, Phân phối và bán lẻ, Đa dịch vụ, việc đưa Msale tham dự Sao Khuê là chứng minh nỗ lực của MobiFone trong việc cung cấp các giải pháp CNTT cho khách hàng. MobiFone mong muốn giúp các nhà sản xuất, nhà phân phối sử dụng hiệu quả phần mềm mSale trong công tác phân phối, quản lý, từ đó nâng cao hiệu quả bán hàng.

Đơn vị triển khai phần mềm mSales, Tổng Công ty Viễn thông MobiFone đã vinh dự được tôn vinh tại chương trình Danh hiệu Sao Khuê ngày 23/04/2016 về doanh thu, thương hiệu, thị phần, và đặc biệt là mức độ ảnh hưởng tới kinh tế - xã hội.

Sự kiện nhận giải thưởng Sao Khuê đã diễn ra chỉ một vài ngày sau khi MobiFone chính thức khai trương cửa hàng bán lẻ thứ 10 tại Hải Phòng, đồng thời chính thức triển khai chiến dịch “Triệu trái tim kết nối” với hàng loạt ưu đãi lớn dành cho khách hàng trên cả nước trong thời gian từ 21/4 - 31/5/2016.

Chương trình Danh hiệu Sao Khuê là hoạt động do Hiệp hội Phần mềm và Dịch vụ CNTT Việt Nam (VINASA) tổ chức. Năm 2016 là năm đầu tiên chương trình này bình chọn Danh hiệu Top 10 Sao Khuê dành cho 10 sản phẩm, dịch vụ CNTT xuất sắc nhất về các mặt doanh thu, uy tín thương hiệu, thị phần, số lượng khách hàng sử dụng, và đem lại hiệu quả kinh tế - xã hội to lớn. Theo thông tin từ Ban tổ chức, Top 10 Sao Khuê năm 2016 có tổng doanh thu trên 240 triệu USD, chiếm 17% doanh thu của toàn ngành phần mềm hiện nay. 

Minh Anh

Ảnh: 

(ICTPress) - Bây giờ thì chúng ta biết chính xác người nghiện iPhone là như thế nào.

Theo Apple: một người sử dụng iPhone bình thưởng có thể mở điện thoại 80 lần/ngày.

Theo tỷ lệ này, trung bình 12 giờ/ngày, người sử dụng iPhone kiểm tra 6 - 7 lần/giờ, hay cứ 10 phút/lần. Điều này không có gì là quá mức, mặc dù có thể người sử dụng mở điện thoại của mình với tần suất cao hơn nhiều.

Một nghiên cứu trước đây với người sử dụng điện thoại Android mở điện thoại 110 lần/ngày.

Apple đã chia sẻ số liệu này bởi công ty này muốn nhấn mạnh việc sử dụng vân tay Touch ID để đăng nhập điện thoại dễ dàng hơn rất nhiều so với nhập mã PIN hay mật khẩu mỗi lần người sử dụng nhận được một tin nhắn hay thư điện tử.

Theo nhà phân tích Ben Bajarin, người tham gia vào một cuộc kiểm tra chuyên sâu tại trụ sở của Apple tuần trước cho Business Insider biết: Apple đang nỗ lực một điều dường như không dự báo trước được ở cấp ngành: là tăng cường bảo mật nhưng thực tế cũng nâng cao trải nghiệm người sử dụng.

Trước Touch ID, nhiều tổ chức cần tới số PIN 8 số hay dài hơn. Hãy tưởng tượng nhập số PIN có số dài như vậy mỗi lần bạn mở máy điện thoại thông minh. Nhấn mạnh điểm này, Apple đã chia sẻ một con số ấn tượng: người sử dụng trung bình mở khóa điện thoại iPhone 80 lần/ngày.

Sự cân đối giữa an ninh và trải nghiệm người sử dụng rất quan trọng khi Apple muốn sẵn sàng cho iCloud an ninh, có thể gây ra phiền toái cho người sử dụng, như không thể phục hội mật khẩu bị quên.

Các biện pháp an ninh của Apple đã và đang dịch chuyển từ khía cạch nhỏ của một thiết kế phần mềm của công ty sang một tính năng mạnh mẽ toàn diện hơn. Nhưng Apple hiểu rằng cần phải đưa mật khẩu hay mã hóa dữ liệu vào trong một trải nghiệm người sử dụng chất lượng, hay không thể ai khác có thể sử dụng các tính năng an ninh này.

Ví dụ, Touch ID không chỉ giúp điện thoại của bạn an ninh, mà còn cứ trung bình 5 giây nhập mã - giả dụ như vậy, một sự hơi phóng đại – thì cũng tiết kiệm cho người sử dụng một ít phút mỗi ngày, để mọi người có lý do sử dụng và yêu thích tính năng này. Đặc biệt nếu họ trượt để mở máy 10 phút/lần.

HY

Ảnh: 

Liên tục các thông tin gần đây trên các phương tiện truyền thông về các đợt tấn công bảo mật đã góp phần nâng cao nhận thức của mọi người về vấn đề này, tuy vậy chỉ nhận thức không thôi thì chưa đủ.

Các mối đe dọa liên tục tiến triển nhanh chóng về cả số lượng và độ phức tạp, bắt buộc các doanh nghiệp (DN) phải liên tục tìm kiếm các giải pháp mới, tiên tiến hơn để bảo vệ dữ liệu khách hàng và dịch vụ mình đang cung cấp. Đặc biệt, khi việc kinh doanh trực tuyến và các dịch vụ, giao tiếp với khách hàng ngày càng dựa vào hạ tầng mạng, nhu cầu đảm bảo tính sẵn sàng của hệ thống và khả năng phòng vệ trước các hacker ngày càng được đề cao.

Nhưng ngay cả khi đầu tư mạnh mẽ vào các hệ thống và dịch vụ phòng vệ, vẫn có vô số các tổ chức rơi vào trạng thái ngưng trệ dịch vụ hay bị thất thoát thông tin, thường được nhắc tới bởi thảm họa tấn công từ chối dịch vụ phân tán (DDoS), DDoS có thể được sử dụng để tấn công trực tiếp vào hạ tầng mạng hoặc có thể được sử dụng để buộc hệ thống mạng bộc lộ những sơ hở mà từ đó mở đường cho những tấn công tinh vi tiếp theo. Có thể nói, chưa bao giờ các tổ chức và các giải pháp kỹ thuật lưu ý đến các thách thức của DDoS như ngày hôm nay.

Mặc dù lo lắng là vậy nhưng không nhiều tổ chức hiểu được một cách đầy đủ vể mức độ dễ tổn thương của hệ thống hiện tại, những gì cần phải làm để khắc phục, cũng như cách thức để đánh giá hiệu quả của những giải pháp bổ sung.

Bài viết này sẽ đề cập đến các cuộc tấn công DDoS ngày nay, cách thức tiếp cận chiến lược để giảm thiểu hậu quả, cũng như các phương pháp đo kiểm mạnh mẽ, đầy đủ và linh hoạt cho phép các tổ chức biết được điểm yếu của hệ thống hiện tại, cũng như năng lực thực sự của hệ thống mà mình đang định nâng cấp để tối ưu hiệu quả đầu tư.

Bước 1: Hiểu về các hình thức DDoS ngày nay – tấn công băng thông, tấn công mạng và tấn công ứng dụng.

Có thể có rất nhiều động cơ khác nhau như tống tiền, chính trị, cạnh tranh, hay thậm chí chỉ để tiêu khiển, các tấn công DoS ngày nay được phổ biến ở một số hình thức thông dụng sau:

Tấn công băng thông hoặc tấn công mạng: mục tiêu là là phát tràn ngập các kết nối để đạt đến điểm mà băng thông trở nên bão hòa, hoặc hệ thống phòng thủ bị che phủ hoàn toàn. Lúc đó, người sử dụng dịch vụ thông thường sẽ gặp phải trạng thái bị từ chối, hoặc ngẫu nhiên lúc được lúc không khi truy cập vào dữ liệu.

Các mối đe dọa có thể đến từ việc tận dụng quy trình hoạt động của các giao thức, hoặc phát tràn ngập SYN, ICMP,... thậm chí có thể tấn công tinh vi hơn bằng cách thêm các địa chỉ IP giả trộn vào lưu lượng tấn công để tạo ra những phản ứng tiếp theo để tiếp tục làm bão hoà môi trường mạng. Với hình thức này thì một cuộc tấn công khởi tạo từ một máy laptop đơn lẻ cũng có thể được sử dụng để làm nghẹt một hệ thống hiệu suất cao, ngăn chặn sự truy nhập của những người dùng thông thường, làm suy giảm rất lớn độ sẵn sàng của hệ thống và đòi hỏi rất lớn về chi phí và thời gian để phòng chống và khắc phục.

Tấn công định hướng vào ứng dụng: tấn công trực tiếp vào cơ sở hạ tầng máy chủ và  năng lực phục vụ của trang web (chẳng hạn như Apache Killer và Slowloris), làm tràn ngập tài nguyên và chiếm đoạt các chức năng chính như tìm kiếm, tạo giỏ hàng online,…

Ví dụ: một số lượng lớn yêu cầu tìm kiếm sẽ được khởi tạo, từ đó tạo nên hàng triệu bản ghi (record) trên hệ thống, vượt quá các giới hạn phục vụ của trang web hoặc ứng dụng. Tương tự thế, lặp lại liên tục các lệnh bổ sung và bỏ giỏ hàng từ nhiều địa điểm khác nhau cũng sẽ làm sập ứng dụng mục tiêu.

Ở lớp trên cùng của mô hình OSI, lớp ứng dụng được xác định là thành phần khó nhất để phòng vệ, đặc biệt là nếu chỉ dựa trên các kỹ thuật phòng vệ thông thường bởi vì đối với các thiết bị bảo mật thấp cấp, các kết nối tấn công lớp ứng dụng là không thể phân biệt được với lưu lượng thông thường. Khác với kiểu tấn công lớp mạng khi các dòng bản tin SYN có thể được chạy dựa trên một số ít địa chỉ IP cụ thể và dễ dàng bị phát hiện, một tấn công ứng dụng sẽ thường lợi dụng các đặc tính đặc trưng của một người dùng để gửi đến nạn nhân, ví dụ như lặp lại các phiên download một file PDF trên website.

Tấn công kinh tế: là một hình thức tấn công mới dựa trên các tấn công từ chối dịch vụ cổ điển, bằng cách giày vò những người có các thông tin thẻ tín dụng được lưu trên đám mây. Khi các ứng dụng và dịch vụ được chuyển lên các dịch vụ đám mây công cộng, những kẻ tấn công bây giờ có thể tác động đến các giới hạn tín dụng tương ứng với các mức cam kết dịch vụ (SLA). Tấn công DDoS làm suy kiệt băng thông, khả năng lưu trữ hoặc các giới hạn tín dụng điện toán để làm gián đoạn hoặc ngắt dịch vụ, tác động trực tiếp đến kinh tế của nhà cung cấp.

Tấn công màn hình khói (smokescreen) đang trở thành một mối nguy hiểm thường trực thực sự khi DDoS được sử dụng để làm lệch hướng quan tâm của hệ thống phòng vệ. Khi các đặc tính của trang web bị tấn công, các nguồn lực bên trong và bên ngoài thường tập trung vào việc ngắt các trang web này, làm sạch lưu lượng và cho nó hoạt động trở lại. Những nỗ lực to lớn này lại mang lại một cơ hội to lớn cho một chuỗi tấn công ẩn ở cổng sau (back door) và chèn vào các công cụ SQL. Những phần chèn này thường kéo theo một số lượng lớn các yêu cầu kỳ cục, các yêu cầu này sẽ gây chú ý trong điều kiện thông thường, tuy nhiên nó có thể sẽ bị lần khuất trong các mớ hỗn độn chuỗi tấn công DDoS. Như vậy, tấn công DDoS chỉ là màn chắn cho các hoạt động bất thường này mà thôi.

Các công cụ SQL có thể được sử dụng để phá vỡ các cơ sở dữ liệu, ảnh hưởng đến thời gian phản hồi, thậm chí để trộm cắp dữ liệu. Có nhiều thông tin cho rằng các cuộc tấn công bởi các nhóm hacker chính trị (hacktivist) chỉ bắt đầu với các thao tác phishing (thủ đoạn gửi các thông tin giả mạo để lừa đảo thông qua website, email,… để thu thập thông tin người người dùng) đơn giản nhưng đã thu thập được rất nhiều thông tin quân sự nhạy cảm như tọa độ GPS của các địa điểm trọng yếu, có thể được sử dụng bởi các nhóm khủng bố,...

Tấn công tích hợp: hiện rất nhiều các đợt tấn công DoS cao cấp hiện nay kết hợp nhiều hoặt tất cả các hình thức tiếp cận ở trên để tạo nên các tấn công ở nhiều góc độ, đòi hỏi hệ thống phòng vệ phải có khả năng phòng thủ ở nhiều mặt.

Tóm lại, tấn công từ chối dịch vụ đã biến đổi rất nhiều: từ những kịch bản đo đơn giản khi một người sử dụng một đợt tấn công một chiều từ một điểm điều khiển đơn, đến các hình thức tấn công có độ phân tán cao, chia làm nhiều bước, với sự tham gia của rất nhiều nhóm sử dụng các hình thức trao đổi được mã hoá.

Các lượt tấn công phối hợp được thực hiện đều đặn bởi rất nhiều nhóm hoạt động cùng nhau từ rất nhiều địa điểm - được thực hiện một cách có chủ đích hoặc từ đặc tính của hijacking và mạng botnet. Chúng được thực hiện như các chiến dịch quân sự với việc lập kế hoạch trước trên phạm vi rộng, mức độ phối hợp cao, và các kế hoạch bất ngờ để phạm tội hoặc là một kế hoạch linh hoạt với khả năng điều chỉnh các tấn công tiếp theo dựa trên mức độ thành công của các nỗ lực tấn công trước đó. Việc lập kế hoạch tấn công sẽ được các đối đối tượng nghiên cứu dựa trên các dữ liệu có được từ các đợt thằm dò nhỏ lẻ trước đấy, cũng như từ việc giám sát các vòng lặp phản hồi để biết được khi nào đợt tấn công thứ hai, hoặc pha tấn công tiếp theo nên bắt đầu nhằm đạt được hiệu quả cao nhất.

Vậy có thể làm điều gì để giải quyết vấn đề này?

Tất cả các công ty - đặc biệt là các công ty tài chính, bán lẻ, ngân hàng - phải đánh giá được mức độ bảo vệ dữ liệu khách hàng, độ nhanh và phù hợp của hệ thống phòng vệ hiện tại khi phải đối phó với các đợt tấn công thảm khốc.

Bước 2: Phòng vệ một cách chủ động

Hình 1. Mô hình đánh giá độ kiên cường của hạ tầng mạng, data center và các ứng dụng dưới các đợt tấn công DDoS quy mô

Khi các cuộc tấn công ngày một trở nên phức tạp thì các giải pháp phòng vệ cũng phải có tính chiến lược, chủ động và phân tán hơn. Các cách thức tiếp cận mới và cũ có thể được sử dụng song song:

Các giải pháp cho khách hàng DN như tường lửa, tường lửa chuyên cho ứng dụng web, giải pháp chống DDoS cho doanh nghiệp, và các IPS/IDS giúp bảo vệ tính sẵn sàng của dịch vụ và chống lại các tấn công lưu lượng; các giải pháp DDoS dành riêng cho DN còn có thể thực hiện một số thao tác lọc và làm sạch dữ liệu nhất định.

Tuy vậy, các thiết bị phòng vệ thông thường có thể bị giảm khả năng khi lưu lượng dữ liệu quá lớn tác động đến năng lực của chúng trong việc thực thi các thiết lập có sẵn. Ví dụ: khi lưu lượng tấn công DDoS làm tắc các đường truyền dữ liệu, các thiết bị phòng vệ có thể phải bỏ bớt đi một số quy định đã được thiết lập dành tài nguyên CPU cho việc xử lý các dữ liệu này, và đó chính là lúc mở cửa cho các mã chèn SQL.

Các dịch vụ truyền tải và phân phối nội dung có thể sử dụng các proxy và các mạng truyền tải nội dung CDN ở phía trước hạ tầng web, khi đó lưu lượng sẽ được chuyển hướng sang các “trung tâm làm sạch” khi lưu lượng tấn công băng thông vượt quá mức kiểm soát.

Các dịch vụ chống DDoS dạng điện toán đám mây có thể xác minh dữ liệu ngay cả khi bị tấn công lưu lượng ở mức cao, khi đó nó phân phối tải việc để làm sạch và bảo vệ các đường truyền dữ liệu cho khách hàng một cách rất nhanh chóng.

Các dịch vụ chống DDoS dành riêng cho phép lưu lượng được chuyển đến trung tâm lọc bỏ dữ liệu, nơi các dữ liệu độc hại bị lọc bỏ và lưu lượng hợp pháp được được cho qua với độ trễ thấp nhất.

Hình 2. Hai mô hình mô phỏng chủ yếu để kiểm tra thiết bị/hệ thống bảo mật (Mô hình đo kiểm 2 phía (trái) và Mô hình đo kiểm 1 phía (phải))

Tuy vậy, việc có càng nhiều giải pháp chống DDoS không hẳn là tốt, nếu các giải pháp đó đều tập trung vào một số ít mặt phòng vệ, hoặc đều có chung một số hạn chế, đó là chưa kể đến hiệu quả đầu tư khi phải sử dụng đồng thời nhiều giải pháp có tính năng tương tự nhau. Do vậy các DN phải đẩy mạnh việc có một giải pháp bảo mật tại chỗ mang tính chiến lược, chủ động, và đã được chứng minh hiệu quả, cùng với việc có các phương tiện đáng tin để kết hợp trong tương lai.

Nếu không có được một quy trình đúng đắn và năng lực phản hồi gần như tức thời, tất cả các công nghệ trên thế giới sẽ không thể chặn được các đợt tấn công đúng lúc để đảm bảo kết quả kinh doanh. Quy trình nên được chia ra làm 3 bước cơ bản để giải quyết những gì xảy ra trước, trong và sau một cuộc tấn công:

- Trước: dễ dàng nhận thấy bước đầu tiên là phải thường xuyên cập nhật cơ sở dữ liệu về các nguy cơ bảo mật, có khả năng phát hiện và nhận dạng chính xác các tấn công ngay khi nó bắt đầu. Bước này phải có khả năng xác định trước biện pháp phòng vệ nào là đủ rắn chắc để chống lại các tấn công trực tiếp ở những mức độ nhất định nào đó.

- Trong: khi cuộc chiến đang diễn ra, độ ưu tiên cao nhất là huy động các đội phản ứng có kỹ năng cao, được chuẩn bị tốt để có thể duy trì và khôi phục lại trạng thái sẵn sàng càng nhanh càng tốt. Tuy vậy, vẫn cần phải có một nhóm có trách nhiệm lưu lại những sự kiện, những thao tác xử lý, sự thay đổi trạng thái xảy ra trong suốt quá trình để làm cơ sở dữ liệu phân tích sau này.

- Sau: khi đợt tấn công kết thúc, song song với nỗ lực bồi đắp những thiệt hại đã xảy ra – thất thoát tài chính, sự ngờ vực từ khách hàng,… bộ phận kỹ thuật phải tiến hành phân tích dữ liệu thu thập được trong quá trình bị tấn công, xác định và loại trừ các điểm dễ bị tổn thương để tránh bị tấn công trong tương lai.

Bước 3: Thực hiện các bài kiểm tra tốt nhất để giảm thiểu các hậu quả của tấn công DDoS

Cách tốt nhất để kiểm tra các chiến lược và quy trình phòng vệ bảo mật của một DN hoặc nhà cung cấp dịch vụ là đưa chúng vào các bài kiểm tra và sử dụng kết quả thu được để tinh chỉnh lại cơ sở hạ tầng và các quy trình bảo mật

Tất nhiên, lý tưởng nhất là thực hiện việc này mà không phải tác động đến các hệ thống đang hoạt động, và gây nên những rủi ro có thể làm dừng các hoạt động kinh doanh.

Phương pháp kiểm tra tốt nhất là mô phỏng các mối đe dọa một cách có kiểm soát, với cách đo lường chính xác và khả năng chỉ ra những liên kết yếu trong một chuỗi các quy trình/thiết bị bảo mật. Các cách thức kiểm tra tiêu chuẩn bao gồm:

- Tạo các tấn công tinh vi: Nếu chỉ đơn thuần phát các luồng tấn công SYN đến một trang web thì sẽ không thể làm lộ được những điểm yếu sâu kín của hệ thống phòng vệ khi dữ liệu tấn công có chèn SQL. Do vậy, các loại tấn công băng thông phải được thực hiện theo chuỗi, các tấn công phải tinh vi và mang tính định hướng cao hơn để đánh giá năng lực phản hồi của cơ sở hạ tầng mạng tốt đến mức nào.

- Linh hoạt thêm vào và bỏ đi các bước có chọn lọc: để thấy trước nguy cơ của các tấn công sử dụng công cụ HOIC (High-orbit Ion Cannon), đơn vị phòng vệ cần phải thu thập các file cấu hình được sử dụng trong từng lần thay đổi để đánh giá hiệu quả ngăn chặn tấn công với từng trường hợp, để từ đó xây dựng các quy tắc để phòng vệ chống lại nó.

- Đo theo các mức độ: Tỉ lệ chẩn đoán nhầm 1% có thể chấp nhận được với mức lưu lượng thấp, nhưng sẽ chôn vùi đội phân tích trong một cuộc tấn công DDoS. Các kịch bản xấu nhất phải được thực thi để đảm bảo tính sẵn sàng chiến đấu.

- Kiểm tra chức năng lưu log file dưới điều kiện bị tấn công: các cuộc tấn công là không thể tránh khỏi, và chức năng ghi log file đóng một vai trò sống còn cần phải được bảo vệ đầu tiên.

- Tạo ra một mạng lưới phân cấp: đơn vị phòng vệ cần một cách thức đo kiểm mà không cần phải đưa hiệu năng của mạng lưới đang hoạt động vào trạng thái rủi ro. Duy trì một mạng dành riêng cho nhu cầu đo kiểm còn cho phép chất lượng và tác động của các sản phẩm, dịch vụ và phiên bản phần mềm mới được đánh giá trước khi đầu tư và triển khai trên mạng thực.

Xu hướng thực hiện: đi trước một bước

Các DN cần có một công cụ tạo ra các sự kiện bảo mật phức tạp để đánh giá và giúp tối ưu các công cụ phòng vệ đang có ở doanh nghiệp, có khả năng tạo ra các kịch bản tấn công ở mức độ toàn cầu, với sự kết hợp lưu lượng ứng dụng thông thường với các bộ dữ liệu tấn công băng thông và tấn công lớp ứng dụng. Khả năng này cho phép tạo ra các loại dữ liệu sạch và bẩn từ một giải pháp tích hợp có độ chính xác cao, cho phép thực hiện các việc đánh giá quy mô và phẩm chất mới cho thiết bị bảo mật dựa trên nền tảng đang có.

Khi sử dụng các công cụ này, người dùng có thể thực hiện một dải rộng lớn các tấn công với nhiều phương diện khác nhau, bao gồm tấn công DDoS theo lớp, tấn công lớp ứng dụng, tấn công phi trạng thái, và các hình thức khai thác thông tin từ xa theo kiểu từng bước và được điều khiển. Ví dụ: sau một khoảng thời gian thực hiện các tấn công lớp mạng, người dùng có thể phát đi các tấn công lớp ứng dụng, rồi sau đó là các tấn công phi trạng thái và tấn công từ xa.

Các lượt tấn công có thể được phát đi từ nhiều mạng con ở nhiều khu vực khác nhau để đạt được mục tiêu mô phỏng tấn công phối hợp, có thể thay đổi một cách linh hoạt bước tấn công tiếp theo khi cách tiếp cận trước đó thành công hay thất bại, và có thể nâng mức lưu lượng tấn công lên trên 600GBps.

Hình 3. Ví dụ về kết quả cần thu được khi đánh giá các thiết bị bảo mật

Khi đó, người sử dụng sẽ nhìn được một bức tranh tổng thể, mức độ thành công của các nỗ lực tấn công DDoS, mức độ thành công của các người dùng thực khi kết nối đến dịch vụ,…Với những hiểu biết chính xác thu được sau khi đánh giá hiệu năng mạng lưới và ứng dụng, cũng như dòng công việc cần thực hiện để phản hồi các đợt tấn công DDoS, các phòng IT có thể thực hiện được những điều chỉnh và hiệu chỉnh ý nghĩa để nâng cao năng lực phòng vệ của hệ thống mạng công ty. Tuy vậy, chúng không dừng lại ở đó…

Vậy còn gì nữa?

Đến một lúc nào đó, tất cả các đợt tấn công sẽ kết thúc. Lúc đó, những ai có trách nhiệm với vấn đề bảo mật phải thực hiện một phân tích chi tiết về những gì đã thực sự diễn ra, ví dụ: hệ thống đã thực hiện tính năng fail open (cho phép tất cả các giao dịch khi có lỗi) hay fail closed (đóng tất cả các giao dịch khi có lỗi), cơ sở hạ tầng bị ảnh hưởng gì không, các bước nào phải được thực hiện để tránh lặp lại nguy cơ bị tấn công. Các câu hỏi này chỉ có thể được trả lời bằng việc thực hiện các cách thức kiểm tra được mô tả ở trên.

Giải pháp tiếp cận này giúp các nhà chiến lược bảo mật điều chỉnh một cách tỉ mỉ quy trình làm việc của mình, từ lựa chọn sản phẩm và thiết kế cơ sở hạ tầng đến việc đánh giá việc nâng cấp, mô hình hoá các rủi ro tiềm năng, và đến việc kiểm tra độ sẵn sàng của hệ thống. Việc đánh giá các giải pháp chống DDoS và mức độ sẵn sàng chiến đấu của hệ thống trong một môi trường bảo mật luôn tiến triển sẽ làm giảm thiểu tối đa các rủi ro theo thời gian và giữ cho tổ chức luôn có được một hệ thống phòng vệ cập nhật và có khả năng thực hiện tức thời các phản hồi uy lực với những tấn công mạnh mẽ và phức tạp như hiện nay.

KS. Võ Thư Khánh

Tài liệu tham khảo:

1. IXIA company: http://www.ixiacom.com/

2. COMIT Corporation: http://www.comitcorp.com/

Ảnh: 

(ICTPress) - Một nghiên cứu về khoa học thần kinh đo lường các phản ứng của người sử dụng đối với hiệu suất mạng cho thấy nhịp tim và stress tăng khi một người sử dụng tải trang web và video chậm.

Các cấp độ stress được đo lường có thể được so sánh với các tình huống khác trong cuộc sống hàng ngày như xem một bộ phim kinh dị hay giải một bài toán và cao hơn là xếp hàng đợi thanh toán tại cửa hàng tạp hóa.

Nghiên cứu này được Ericsson ConsumerLab ủy thác và có trong Báo cáo di động của Ericsson về xã hội kết nối được công bố hồi tháng 2, đo lường về hoạt động của não, sự vận động của mắt và mạch đập khi người sử dụng hoàn tất các hoạt động khác nhau như lướt web và xem video clip.

Những người tham gia nghiên cứu được đo lường ở 3 cấp độ là trễ nhiều, vừa và không trễ trong toàn bộ thời gian thực hiện các hoạt động. Các phản ứng với thời gian tải ban đầu (thời gian đến nội dung) và các lần dừng do phải chờ đợi tải lại trong khi xem video được ghi lại và phân tích.

Các kết quả giúp cho thấy các thay đổi khác nhau như thế nào về hiệu suất mạng có thể tác động tới trải nghiệm người dùng và cuối cùng tác động tới giá trị thương hiệu.

Trong số các kết quả của nghiên cứu cho thấy những lần trễ trung bình, riêng làm gia tăng 38% nhịp tim. Độ trễ trung bình 2 giây khi tải video dẫn tới các cấp độ stress trung bình dao động từ 13 – 16% cao hơn mức cơ bản. Một video bắt đầu tải bị dừng do phải đợi tải lại lại sẽ gây ra stress tăng thêm 15%.

Nghiên cứu này cũng cho thấy trễ thời gian xem nội dung trễ tới 6 giây, thì một nửa số người tham gia nghiên cứu tăng 19% so với mức cơ bản, trong khi một nửa số người cho thấy các dấu hiệu của sự chịu đựng - hoạt động của mắt bị sao lãng và mức độ stress giảm.

Ngoài tác động do hiệu ứng mạng chậm đối với các cá nhân, báo cáo còn cho thấy sự tác động tới nhận thức thương hiệu. Người sử dụng không gặp phải các vấn đề về trễ mạng sẽ gia tăng cam kết đối với thương hiệu.

“Điều này cho thấy họ hài lòng hơn đối với nhà mạng của họ. So sánh cho thấy, các nhóm trải nghiệm trễ trung bình và trễ nhiều cho thấy cam kết không rõ ràng và thậm chí tiêu cực đối với thương hiệu”, báo cáo trích dẫn nghiên cứu cho biết.

“Thú vị là các trễ trung bình sẽ làm tăng tiêu cực gấp đôi đối với nhà mạng, khi sự chậm trễ không chỉ làm giảm tin cậy đối với thương hiệu mà còn làm gia tăng tin cậy đối với thương hiệu đối thủ. Trong khi đó, người sử dụng gặp phải trễ cao sẽ phản ứng tiêu cực đối với tất cả các thương hiệu của nhà cung cấp dịch vụ di động”, báo cáo cho biết.

Minh Anh

Ảnh: 

(ICTPress) - Những giải pháp và dịch vụ hiện đại, trọng tâm là Office 365, giúp tối ưu hiệu quả vận hành, xử lý các vấn đề nổi cộm như năng suất, bảo mật và xử lý thông tin mọi nơi cho doanh nghiệp (DN).

Tại Hội thảo chia sẻ những giải pháp CNTT dành cho khối DN vừa và nhỏ và khối DN khởi nghiệp (Startups) do Microsoft và VCCI đồng tổ chức ngày mới đây tại TP. HCM, đại diện Microsoft đã chia sẻ về Office 365 và những giải pháp An toàn An ninh mạng, những xu hướng bảo mật cần quan tâm và các bài toán về an ninh “đám mây” - một trong thách thức mới của nền kinh tế hiện đại.

Là mạch máu của nền kinh tế Việt Nam với tỉ trọng chiếm 95% số DN đang hoạt động, khối DN vừa và nhỏ ngày càng đóng vai trò quan trọng và đang gánh nhiều trọng trách trong sự phát triển của nền kinh tế quốc gia. Chính vì vậy, VCCI và Microsoft đã phối hợp thực hiện hàng loạt các hoạt động hỗ trợ có ý nghĩa quan trọng về CNTT nhằm thúc đẩy sự phát triển ổn định và bền vững của khối DN vừa và nhỏ Việt Nam.

Điện toán “đám mây” hiện trở thành một vấn đề được quan tâm hàng đầu trên toàn cầu và cả tại Việt Nam. Tuy nhiên, việc triển khai dịch vụ đám mây tại Việt Nam, đặc biệt là trong khối DN vừa và nhỏ, vẫn còn chậm trễ, một phần do vấn đề tâm lý - ngại đổi mới, phần sâu xa là vì các DN chủ yếu vẫn chỉ dùng những ứng dụng quản lý đơn giản, thiếu khả năng chi trả số tiền lớn cho các dịch vụ CNTT phức tạp. Một trong những rào cản lớn nhất của khách hàng DN vừa và nhỏ là chi phí. Office 365 sẽ giải quyết được băn khoăn này bằng giải pháp đám mây: cung cấp đầy đủ tổ hợp nền tảng hạ tầng, cài đặt với lựa chọn đa dạng, có bảo trì và đảm bảo an ninh, nhưng có chi phí hết sức phù hợp.

Sử dụng dịch vụ Office 365 theo hình thức thuê bao, DN có thể khai thác hiệu quả của một loạt những ứng dụng tiện ích luôn được cập nhật nhất đến từ Microsoft. Ngoài ra, khi sử dụng thuê bao Office 365, các băn khoăn về dữ liệu và tính an ninh trên đám mây của DN và khách hàng sẽ được giải tỏa. Theo các nghiên cứu mới nhất của đối tác độc lập, Office 365 có độ bảo mật cao theo chuẩn ISO 27001 và ISO 27018 là 2 chuẩn bảo mật  về sản phẩm và bảo vệ quyền riêng tư cao nhất trên thế giới hiện nay.

“Thấu hiểu những hạn chế hiện hành, Microsoft đưa ra Office 365, dịch vụ đám mây phù hợp nhất để có thể tối ưu hóa vận hành, tính bảo mật cao nhưng có chi phí phù hợp với điều kiện kinh tế của các DNVVN. Dịch vụ đám mây Office 365 được phát triển dựa trên bộ Microsoft Office quen thuộc sẽ hỗ trợ các doanh nghiệp những nền tảng vận hành tối ưu nhưng dễ sử dụng nhất như chia sẻ tài liệu và hợp tác, xử lý email năng suất, lưu trữ trực tuyến dung lượng lớn, tổ chức họp mọi nơi mọi lúc,… trên các giao diện thân thiện và quen thuộc như Microsoft Outlook, Word, Excel, PowerPoint và Skype for Business”, ông Nguyễn Văn Giáp, phụ trách khối DN vừa và nhỏ, Microsoft Việt Nam phát biểu tại hội thảo.

Ngoài chi phí phù hợp và luôn kết nối, bộ Office 365 còn cung cấp những dịch vụ và giải pháp hiệu quả giúp nhân viên hợp tác dễ dàng. Nhờ khả năng cộng tác và chia sẻ thông tin mạnh mẽ với nhiều ứng dụng như Exchange Online, Skype for Business(Lync), Share Point, One Drive for Business, Yammer, Sway, Video, Delve,… các tiến trình công việc được theo dõi chặt chẽ và được quản lý trực quan bởi các dịch vụ trực tuyến. Những điểm cộng này giúp nhân viên trong tổ chức luôn nắm bắt tiến độ và nhanh chóng hoàn thành các công việc được giao. 

“Microsoft là tập đoàn công nghệ có kinh nghiệm chuyên sâu về phân tích và thiết kế các giải pháp đám mây với độ tin cậy cao, đảm bảo yếu tố an ninh tối ưu. Dù có nhiều tên tuổi cùng lĩnh vực nhưng chúng tôi vẫn tư vấn khách hàng lựa chọn Microsoft bởi công ty có khả năng cung cấp một giải pháp điện toán đám mây tổng thể với nhiều tiện ích, đặc biệt là những ứng dụng văn phòng Office quen thuộc và dễ sử dụng”, ông Nguyễn Việt Hải, Giám đốc eDT chia sẻ.

Office 365 chính là sản phẩm đám mây, phát triển trên bộ Microsoft Office quen thuộc, thân thiện với 1.2 tỉ người dùng và DN trên khắp toàn cầu. Là dịch vụ đám mây được Microsoft phát triển và cung cấp, nên Office 365 sẽ mang lại hiệu quả, năng suất cho người dùng, đảm bảo thời gian hoạt động xuyên suốt (SLA) đến 99,9%, tạo môi trường làm việc chuyên nghiệp. Được đông đảo DN toàn cầu bình chọn, có tăng trưởng vượt bậc liên tục nhiều năm, các dịch vụ Microsoft Cloud Services đã được sử dụng rộng rãi tại hơn 20 triệu doanh nghiệp ở 89 quốc gia.

Microsoft Office 365 là bộ dịch vụ tích hợp đầy đủ từ trọn bộ Office Pro Plus; Exchange Online (dịch vụ quản lý thông tin cá nhân/ tin nhắn lưu trữ trên đám mây); Skype for Business (ứng dụng họp trực tuyến), Sharepoint Online (Portal online nội bộ cho doanh nghiệp), OneDrive for Business (hệ thống lưu trữ trực tuyến), Yammer (mạng xã hội riêng cho DN), Sway (trình bày, tạo slide trình chiếu, chia sẻ slide nhanh chóng); Video có hệ thống chia sẻ chuyên nghiệp và Thư ký ảo Delve.

Đặc biệt, Microsoft Exchange Online thừa hưởng platform mail xuất sắc trên nền tảng Exchange Server 2016 cùng giải pháp mail hosting chuyên nghiệp trên đám mây Microsoft. Đây là giải pháp email hàng đầu cho DN với dung lượng mail mặc định lớn nhất hiện nay lên đến 50GB và khả năng gửi nhận mail lên đến 150Mb/lần, giúp giảm được chi phí đầu tư hệ thống mà vẫn đầy đủ các tính năng mạnh mẽ. Với dung lượng lưu trữ cực lớn, truy cập an toàn với độ bảo mật tuyệt đối, chống các phần mềm độc hại, phần mềm spam và đảm bảo hoạt động kinh doanh liên tục, dịch vụ email cho DN của Microsoft - Exchange Online xứng đáng là một trong những giải pháp email hàng đầu cho DN. Nhờ hệ thống mail đơn giản, luôn kết nối và trải nghiệm sự hiệu quả với tính năng đa dạng của Outlook quen thuộc, nhân viên các tổ chức có thể tiếp cận được với email của họ bất cứ nơi đâu bất cứ lúc nào, đồng thời các lãnh đạo cũng có thể quản lý đơn giản và dễ dàng hơn.

“Cùng hệ thống đối tác kinh nghiệm và có uy tín cung cấp Office 365 và các dịch vụ đám mây tại Việt Nam là hoạt động nhằm củng cố cam kết của Microsoft trong hỗ trợ các DN Việt Nam nâng cao hiệu quả hoạt động sản xuất kinh doanh và khả năng cạnh tranh trên thị trường trong nước và quốc tế, sẵn sàng cho hội nhập TPP & AEC”, Ông Phạm Trần Anh, Giám đốc khối khách hàng DN và Đối tác, Microsoft Việt Nam nhấn mạnh.

Bạn đọc quan tâm có thể tìm hiểu chi tiết về Office 365 dành cho khối DN, có tại: https://products.office.com/vi-vn/business/compare-office-365-for-business-plans và tham khảo về bảo mật của Office 365 tại: https://products.office.com/vi-vn/business/office-365-trust-center-top-10-trust-tenets-cloud-security-and-privacy.

QA

Ảnh: