Nhiều hệ thống trên thị trường (đặc biệt là thị trường Việt Nam) chưa chú trọng đến vấn đề bảo mật. Một phần là do việc đầu tư để bảo mật rất tốn thời gian và đòi hỏi kỹ thuật cao. Một phần là do nhiều công ty cho rằng khách hàng Việt Nam chưa có kiến thức về bảo mật hoặc chưa quan tâm đến vấn đề bảo mật.
Thực ra, một hệ thống tốt ngoài khả năng quản lý còn cầnphải có khả năng bảo mật cao giúp an toàn tối đa cho dữ liệu. Vì nếu hệ thống bảo mật kém sẽ làm cho:
- Giảm sự tin cậy của dữ liệu (không biết dữ liệu đang đúng hay sai)
- Thất thoát dữ liệu, làm lộ bí mật kinh doanh
Sau đây chúng tôi xin trình bày các vấn đề cơ bản để quý khách hiểu thêm vào bảo mật hệ thống:
1. Kết nối cơ sở dữ liệu
Các chương trình không chú ý đến vấn đề bảo mật có thể mắc lỗi sơ đẳng là người dùng chỉ cần mở các file config là có thể biết được kết nối vào cơ sở dữ liệu thế nào (máy nào chứa cơ sở dữ liệu, cơ sở dữ liệu gì, tên đăng nhập, mật khẩu…)
Giải quyết: cần mã hóa tất cả các thông tin kết nối vào cơ sở dữ liệu.
2. Tên bảng, tên cột trong cơ sở dữ liệu dễ tìm, dễ hiểu
Các tên bảng như NGUOI_DUNG, GIAO_DICH… và tên cột như PASSWORD, PHAN_QUYEN, SO_LUONG, GIA TIEN… quá dễ dàng sẽ làm người quản trị cơ sở dữ liệu hay bất kỳ người nào kết nối vào được cơ sở dữ liệu có thể chỉnh sửa các thông tin Giao Dịch hoặc Quyền làm ảnh hưởng đến dữ liệu hoặc truy cập bất hợp lệ vào chương trình
Giải quyết: cần mã hóa tên bảng, tên cột trong data base.
3. Thay đổi dữ liệu mà không thông qua hệ thống
Nếu một ngày phát sinh hàng trăm, thậm chí hàng ng àn giao dịch. Khi người bán hàng, nhập dữ liệu là bán 3 cái với giá là 200 USD và in hóa đơn ra cho khách hàng. Sau đó thì vào trực tiếp database và chỉnh sửa dữ liệu lại còn 150 USD thì khó có khả năng đối chiếu giữa máy và giao dịch thực tế.
Giải quyết: phải có công cụ theo dõi các dữ liệu kho và bán hàng bị chỉnh sửa mà không thông qua hệ thống.
4. Mật mã, quyền và phân quyền
Vấn đề 1: Mật mã người dùng không được mã hóa hoặc mã hóa sơ sài. Người nào truy suất trực tiếp vào cơ sở dữ liệu (quản trị cơ sở dữ liệu, người hack vào hệ thống….) thì dễ dàng thấy được mật mã để truy cập bất hợp lệ bằng các tài khoản của người dùng có các quyền cao (Quản Trị, giám đốc…) để đánh cắp hoặc thay đổi thông tin một cách bất hợp pháp.
Giải quyết vấn đề 1: chuẩn mã hóa MD5
Vấn đề 2: Quyền được nhìn thấy và chỉnh sửa một các h dễ dàng trong cơ sở dữ liệu. Ví dụ một người truy xuất trực tiếp vào cơ sở dữ liệu có thể thấy được User A có quyền gì và truy cập được vào trang nào thì sẽ dễ dàng tạo một User mới có các quyền đó mà không thông qua chương trình để truy cập bất hợp lệ vào hệ thống.
Giải quyết vấn đề 2: mã hóa quyền và các chi tiết phân quyền.
5. Phân quyền
Phân quyền phải đủ chi tiết. Một trang quản trị phải có 4 quyền: xem, xóa, sửa và thêm mới. Một báo cáo phải có 3 quyền: xem, in và xuất excel. Chi tiết như vậy thì mới có thể kiểm soát truy cập một cách cẳn kẽ và đầy đủ để tránh thất thoát dữ liệu
Ngoài ra, bảo mật còn có các vấn đề khác mà bên công ty CAM sẵn sàng chia sẽ trong buổi demo các Phần Mềm Quản Lý Kho Và Bán Hàng kèm theo các vấn đề liên quan khác như vấn đề an toàn dữ liệu, sao lưu dự phòng...