Bảo mật hệ thống trong phần mềm quản lý bán hàng

Bảo mật hệ thống trong phần mềm quản lý bán hàng

Trong thực tế, nhiều hệ thống trên thị trường (đặc biệt là thị trường Việt Nam) chưa chú trọng đến vấn đề bảo mật. Một phần là do việc đầu tư để bảo mật rất tốn thời gian và đòi hỏi kỹ thuật cao. Một phần là do nhiều công ty cho rằng khách hàng Việt Nam chưa có kiến thức về bảo mật hoặc chưa quan tâm đến vấn đề bảo mật.

Thực ra, một hệ thống tốt ngoài khả năng quản lý còn cần phải có khả năng bảo mật cao giúp an toàn tối đa cho dữ liệu. Vì nếu hệ thống bảo mật kém sẽ làm cho:

- Giảm sự tin cậy của dữ liệu (không biết dữ liệu đang đúng hay sai)

- Thất thoát dữ liệu, làm lộ bí mật kinh doanh

Sau đây chúng tôi xin trình bày các vấn đề cơ bản để quý khách hiểu thêm vào bảo mật hệ thống:

1. Kết nối cơ sở dữ liệu

Các chương trình không chú ý đến vấn đề bảo mật có thể mắc lỗi sơ đẳng là người dùng chỉ cần mở các file config là có thể biết được kết nối vào cơ sở dữ liệu thế nào (máy nào chứa cơ sở dữ liệu, cơ sở dữ liệu gì, tên đăng nhập, mật khẩu…)

Giải quyết: cần mã hóa tất cả các thông tin kết nối vào cơ sở dữ liệu.

2. Tên bảng, tên cột trong cơ sở dữ liệu dễ tìm, dễ hiểu

Các tên bảng như NGUOI_DUNG, GIAO_DICH… và tên cột như PASSWORD, PHAN_QUYEN, SO_LUONG, GIA TIEN… quá dễ dàng sẽ làm người quản trị cơ sở dữ liệu hay bất kỳ người nào kết nối vào được cơ sở dữ liệu có thể chỉnh sửa các thông tin Giao Dịch hoặc Quyền làm ảnh hưởng đến dữ liệu hoặc truy cập bất hợp lệ vào chương trình

Giải quyết: cần mã hóa tên bảng, tên cột trong database.

3. Thay đổi dữ liệu mà không thông qua hệ thống

Nếu một ngày phát sinh hàng trăm, thậm chí hàng ngàn giao dịch. Khi người bán hàng, nhập dữ liệu là bán 3 cái với giá là 200 USD và in hóa đơn ra cho khách hàng. Sau đó thì vào trực tiếp database và chỉnh sửa dữ liệu lại còn 150 USD thì khó có khả năng đối chiếu giữa máy và giao dịch thực tế.

Giải quyết: phải có công cụ theo dõi các dữ liệu kho và bán hàng bị chỉnh sửa mà không thông qua hệ thống.

4. Mật mã, quyền và phân quyền

Vấn đề 1: Mật mã người dùng không được mã hóa hoặc mã hóa sơ sài. Người nào truy suất trực tiếp vào cơ sở dữ liệu (quản trị cơ sở dữ liệu, người hack vào hệ thống….) thì dễ dàng thấy được mật mã để truy cập bất hợp lệ bằng các tài khoản của người dùng có các quyền cao (Quản Trị, giám đốc…) để đánh cắp hoặc thay đổi thông tin một cách bất hợp pháp.

Giải quyết vấn đề 1: chuẩn mã hóa MD5

Vấn đề 2: Quyền được nhìn thấy và chỉnh sửa một cách dễ dàng trong cơ sở dữ liệu. Ví dụ một người truy xuất trực tiếp vào cơ sở dữ liệu có thể thấy được User A có quyền gì và truy cập được vào trang nào thì sẽ dễ dàng tạo một User mới có các quyền đó mà không thông qua chương trình để truy cập bất hợp lệ vào hệ thống.

Giải quyết vấn đề 2: mã hóa quyền và các chi tiết phân quyền.

5. Phân quyền

Phân quyền phải đủ chi tiết. Một trang quản trị phải có 4 quyền: xem, xóa, sửa và thêm mới. Một báo cáo phải có 3 quyền: xem, in và xuất excel. Chi tiết như vậy thì mới có thể kiểm soát truy cập một cách cẳn kẽ và đầy đủ để tránh thất thoát dữ liệu

-------------------------------------------------------------

Công ty TNHH TMDV và phát triển thị trường Tân Phát Tại Sài Gòn: Số 81 Cách mạng T8,Quận 1, TPHCM,  Tel: (028)730 666 86 -0941581166   Tại HN: Số 33 Võ Văn Dũng,Quận Đống Đa, Hà Nội, Tel: (024) 35. 666.555 , (024)73003666 -------------------- Phòng bán hàng dự án chuỗi siêu thị, nhà máy KCN: 0912270988 , 0917886988 / Email:tt06@tanphat.com.vn Phòng Bán hàng cho các đại lý: 091.227.0988 , 091.666.0504 , 091.666.0042 /  Email: pp01@tanphat.com.vn