HỌ VÀ TÊN CHV: .............................

7/29/2021

Chương 3
Quản trị an toàn thương mại điện tử
trong doanh nghiệp
BỘ MÔN THƯƠNG MẠI ĐIỆN TỬ
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI

Nội dung chương 3
3.1. Tổng quan quản trị an toàn TMĐT
◦ 3.1.1 Khái niệm an toàn thương mại điện tử
◦ 3.1.2. Các nguy cơ đe dọa an tồn thương mại điện tử

3.2. Mơ hình đảm bảo an tồn và chiến lược an tồn
◦ 3.2.1. Mơ hình đảm bảo an toàn TMĐT của doanh nghiệp
◦ 3.2.2. Chiến lược an toàn thương mại điện tử

3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
◦ 3.3.1. Chữ kí số
◦ 3.3.2. Mạng thương mại điện tử an toàn
◦ 3.3.3. Kiểm soát tổng thể

BG UD TMĐT TRONG DN@BMTMĐT_TMU

38


HỌ VÀ TÊN CHV: .............................

7/29/2021

3.1. Tổng quan quản trị an toàn TMĐT
3.1.1 Khái niệm an toàn thương mại điện tử
◦ An tồn có nghĩa là được bảo vệ, khơng bị xâm hại. An toàn là chống lại, hoặc
bảo vệ khỏi tấn cơng, gây tổn hại. An tồn khơng chỉ gắn với bảo vệ con người,
mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin.
◦ An tồn thơng tin: an tồn máy tính (computer security), an tồn mạng (internet
security), an tồn trình duyệt (browser security), an toàn dữ liệu (data security).
◦ An toàn TMĐT là an tồn thơng tin trao đổi giữa các chủ thể tham gia giao dịch,
an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối,
đường truyền…) khơng bị xâm hại từ bên ngồi hoặc có khả năng chống lại
những tai hoạ, lỗi và sự tấn cơng từ bên ngồi.

An tồn TMĐT
•

•

An tồn TMĐT là một lĩnh vực của ATTT, bao gồm: xác thực, cấp phép, kiểm tra
(giám sát), tin cậy, toàn vẹn, sẵn sàng và chống phủ định
Tính xác thực (authentication): Khả năng nhận biết các đối tác tham gia giao dịch.

BG UD TMĐT TRONG DN@BMTMĐT_TMU

39


HỌ VÀ TÊN CHV: .............................


•

Cấp phép/quyền (authorization): Xác định quyền truy cập các tài nguyên
của tổ chức: đọc, xem, nghe, sửa chữa, xóa…

•

Kiểm tra (giám sát_auditing): Tập hợp thơng tin về quá trình truy cập của
người sử dụng

7/29/2021

Tam giác CIA về an tồn thơng tin
Tam giác CIA (Confidenttiality, integrity,
availability) là tâm điểm của ATTT, và các
bộ phận này: Confidentiality, Integrity và
Availability được xem như là các thuộc
tính, đặc tính, mục tiêu, các khía cạnh cơ
bản, tiêu chi … của ATTT.

BG UD TMĐT TRONG DN@BMTMĐT_TMU

40


HỌ VÀ TÊN CHV: .............................

7/29/2021

Tam giác CIA mở rộng

Ngoài 3 yếu tố trên, những yếu tố
khác đã được đề xuất như: tính trách
nhiệm/xác thực (Accountability), tính
khơng thể chối cãi (Non –
Repudiation), và tính với sự phát
triển của hệ thống máy tính như hiện
nay, tính riêng tư (privacy) ngày càng
trở thành một nhân tố rất quan trọng.

 Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho
các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm
(Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ
(Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi
(security design and implementation), quản lý an toàn (security management), và
đánh giá lại (Reassessment).
 Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó
đề xuất 33 nguyên tắc
 Năm 2002, Donn Parker đã đề xuất mơ hình sao 6 cánh (tam giá kép):
confidentiality, possession, integrity, authenticity, availability, và utility.

BG UD TMĐT TRONG DN@BMTMĐT_TMU

41


HỌ VÀ TÊN CHV: .............................

Theo

7/29/2021


ITU-T X.800, ANTT bao gồm ba khía cạnh: tấn cơng an tồn (security attack);

dịch vụ bảo mật (security service), và cơ chế an tồn (security mechanism).
Tấn

cơng an toàn: hành động làm ảnh hưởng hoặc tổn thất ATTT, có thể được phân

loại: tấn cơng thụ động Passive attacks các cuộc tấn chủ động Active attacks
Dịch

vụ bảo mật: bảo vệ dữ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại:

xâm nhập trái phép, bảo đảm tính tồn vẹn, chống chối bỏ, Control/kiểm sốt truy cập,
Tính sẵn sàng/Availability
Các

cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa

đối xứng, Mã hóa khóa cơng khai, Quản lý chia; Hàm băm; Các mã xác thực thông điệp;
Chữ ký số; Các giao thức xác thực thực thể

Khái niệm Quản trị an toàn TMĐT
Xây dựng kế hoạch
Nhận biết các đe dọa
Thực thi và đánh giá các biện pháp đảm bảo an toàn TMĐT

BG UD TMĐT TRONG DN@BMTMĐT_TMU

42



HỌ VÀ TÊN CHV: .............................

7/29/2021

3.1. Tổng quan quản trị an toàn TMĐT
3.1.2. Các nguy cơ đe dọa an toàn thương mại
điện tử

Tấn cơng vào tính bí mật C: nghe trộm, đọc trộm thông tin

BG UD TMĐT TRONG DN@BMTMĐT_TMU

43


HỌ VÀ TÊN CHV: .............................

7/29/2021

Tấn cơng vào tính sẵn sàng (A)

Tấn cơng vào tính tồn vẹn

BG UD TMĐT TRONG DN@BMTMĐT_TMU

44



HỌ VÀ TÊN CHV: .............................

7/29/2021

Tấn cơng vào tính xác thực chủ thể

Các đe dọa an tồn TMĐT của DN




Tấn cơng phi kỹ thuật


Không dựa vào công nghệ; Chủ yếu dựa vào sự nhẹ dạ, cả tin, sự kém hiểu biết, sự chủ
quan, sơ hở hoặc gây sức ép về tâm lý để tấn công, gây hại



Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vơ
thưởng vơ phạt, kẻ tấn cơng có thể làm tổn hại đến hệ thống mạng máy tính.

Tấn công kỹ thuật


Tận dụng những ưu việt lợi thế của cơng nghệ, trình độ chun mơn để tấn cơng vào các hệ
thống




Xét trên góc độ cơng nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khi thực hiện các
giao dịch thương mại điện tử, đó là: Hệ thống của khách hàng, Máy chủ của doanh nghiệp và
Hệ thống truyền dẫn thông tin

BG UD TMĐT TRONG DN@BMTMĐT_TMU

45


HỌ VÀ TÊN CHV: .............................

7/29/2021

Một số dạng tấn công nguy hiểm nhất đối với an toàn thương mại điện tử của doanh
nghiệp bao gồm:











Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối
đe doạ khác nhau như các loại virus, worm, những “con ngựa thành Tơ-roa”, “bad
applets”.
Tin tặc (hacker) là người xâm nhập bất hợp pháp vào một website hay hệ thống công

nghệ thông tin mà họ có thể xác định rõ
Sự khước từ phục vụ (DoS – Denial of Service) Loại tấn công bằng cách gửi một số
lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị
quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động khơng thể (hoặc
khó có thể) truy cập từ bên ngồi
Kẻ trộm trên mạng: Sử dụng các chương trình nghe trộm, theo dõi và đánh cắp các
thơng tin trên mạng
Gian lận thẻ tín dụng
Sự tấn công từ bên trong doanh nghiệp: Những mối đe doạ bắt nguồn từ chính những
thành viên làm việc trong doanh nghiệp

3.2. Mơ hình đảm bảo an tồn và chiến lược an tồn
3.2.1. Mơ hình đảm bảo an tồn TMĐT của doanh nghiệp

Tiếp
cận
nhà
cung
cấp
giải
pháp

BG UD TMĐT TRONG DN@BMTMĐT_TMU

46


HỌ VÀ TÊN CHV: .............................

7/29/2021


3.2. Mơ hình đảm bảo an toàn và chiến lược an toàn
3.2.2. Chiến lược an toàn thương mại điện tử
Quản trị an toàn
thương mại điện tử

Tiếp
cận
nhà
quản
trị

Nhận thức vấn đề
Xây dựng kế hoạch
Thực thi kế hoạch

BG UD TMĐT TRONG DN@BMTMĐT_TMU

An tồn trong
truyền thơng TMĐT

Các cơng nghệ
đảm bảo an toàn mạng

Áp dụng các biện pháp
đảm bảo an toàn trong
truyền thơng TMĐT

Áp dụng các biện pháp
đảm bảo an tồn mạng

và các hệ thống TMĐT

47


HỌ VÀ TÊN CHV: .............................

7/29/2021

3.2. Mơ hình đảm bảo an toàn và chiến lược an toàn
3.2.2. Chiến lược an toàn thương mại điện tử
Các lỗi thường mắc phải trong quản trị an toàn TMĐT:
◦ Đánh giá thấp giá trị của tài sản thơng tin. Rất ít tổ chức có được sự hiểu biết rõ ràng về
giá trị của tài sản thơng tin mà mình có.
◦ Xác định các giới hạn an toàn ở phạm vi hẹp. Phần lớn tổ chức tập trung đến việc đảm
bảo an tồn thơng tin các mạng nội bộ của mình, khơng quan tâm đầy đủ đến an toàn
trong các đối tác thuộc chuỗi cung ứng
◦ Quản trị an tồn mạng tính chất đối phó. Nhiều tổ chức thực hành quản trị an toàn theo
kiểu đối phó, chứ khơng theo cách thức chủ động phịng ngừa, tập trung vào giải quyết
các sự cố an toàn sau khi đã xẩy ra.

3.2. Mơ hình đảm bảo an tồn và chiến lược an toàn
3.2.2. Chiến lược an toàn thương mại điện tử
Các lỗi thường mắc phải trong quản trị an tồn TMĐT:
◦ Áp dụng các quy trình quản trị đã lỗi thời. Nhiều tổ chức ít khi cập nhật
các quy trình đảm bảo an tồn thơng tin cho phù hợp với yêu cầu thay
đổi, cũng như không thường xuyên bồi dưỡng tri thức và kỹ năng an tồn
thơng tin của đội ngũ cán bộ nhân viên.
◦ Thiếu truyền thông về trách nhiệm đảm bảo an tồn thơng tin, coi an tồn
thơng tin như là một vấn đề CNTT, khơng phải là vấn đề tổ chức.


BG UD TMĐT TRONG DN@BMTMĐT_TMU

48


HỌ VÀ TÊN CHV: .............................

7/29/2021

Một q trình mang tính hệ thống để xác định các loại rủi ro có thể xảy ra
và xác định các biện pháp cần thực hiện sẽ giúp ngăn ngừa hay giảm nhẹ
các rủi ro
4 pha của q trình quản trị an tồn TMĐT
Đánh giá

Lên kế hoạch

Đánh giá các rủi ro
bằng các xác định
các tài sản, các điểm dễ bị
tổn thương của hệ thống
và những đe dọa đối với các
điểm này

• Xác định các đe dọa nào
có thể xảy ra, đe dọa nào là
khơng
• Xác định mức độ của các
biện pháp đối phó cho phù

hợp

Thực hiện

Theo dõi/
Kết luận

• Theo dõi, đánh giá tính hiệu
• Áp dụng các giải pháp an
quả của các giải pháp an
ninh phù hợp, đặc biệt chú
ninh
ý các điểm đễ bị tổn
• Phát hiện các mối đe doạ
thương
mới
• Tiếp cận Lợi ích-Chi phí
trong lựa chọn giải pháp an • Cập nhật cơng nghệ bảo
đảm an ninh hiện đại
ninh
• Bổ sung thêm danh mục
các hệ thống cần bảo vệ

3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
3.3.1. Chữ kí số
Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình
thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thơng
điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp
thuận của người đó đối với nội dung thơng điệp dữ liệu được ký.
(Luật Giao dịch điện tử)



Chức năng của chữ ký điện tử





Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể;
Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;
Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký
Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong quá trình lưu
chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký

BG UD TMĐT TRONG DN@BMTMĐT_TMU

49


HỌ VÀ TÊN CHV: .............................

7/29/2021

1.

Tạo một thông điệp gốc để gửi đi

2.

Sử dụng hàm băm (thuật tốn máy tính)

để chuyển từ thông điệp gốc thành thông
điệp rút gọn.

3.

Người gửi sử dụng khóa riêng để mã
hóa thơng điệp số. Thơng điệp rút gọn
sau khi được mã hóa gọi là chữ ký số
hay chữ ký điện tử. Khơng một ai ngồi
người gửi có thể tạo ra chữ ký điện tử vì
nó được tạo ra trên cơ sở khóa riêng

4.

Người gửi mã hóa cả thơng điệp gốc và
chữ ký số sử dụng khóa cơng cộng của
người nhận. Thơng được sau khi được
mã hóa gọi là phong bì số hóa

5.

Người gửi gửi phong bì số hóa cho
người nhận

6. Khi nhận được phong bì số hóa người nhận

sử dụng khóa riêng của mình để giải mã nội
dung của phong bì số hóa và nhận được một
bản sao của thông điệp gốc và chữ ký số của
người gửi

7. Người nhận sử dụng khóa chung của người

gửi để giải mã chữ ký số và nhận được một
bản sao của thông điệp rút gọn gốc (do người
gửi tạo ra, sẽ được sử dụng để đối chứng)
8. Người nhận sử dụng hàm băm để chuyển

thông điệp gốc thành thông điệp rút gọn như
ở bước 2 người gửi đã làm và tạo ra thông
điệp rút gọn mới
9. Người nhận so sánh thông điệp rút gọn mới

và bản copy của thông điệp rút gọn gốc nhận
được ở bước 7; Nếu hai thơng điệp rút gọn
trùng nhau, có thể kết luận chữ ký điện tử là
xác thực và nội dung thông điệp gốc không bị
thay đổi sau khi ký

BG UD TMĐT TRONG DN@BMTMĐT_TMU

50


HỌ VÀ TÊN CHV: .............................

7/29/2021

Cơng nghệ chữ ký số
Mã hóa
Hạ tầng khóa cơng khai

Mã băm

Mã hóa hàm HASH (thuật tốn băm)


Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua
hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra


Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả
E783A3AE2ACDD7DBA5E1FA0269CBC58D.



Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i")
kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là
160 bit) A766F44DDEA5CACC3323CE3E7D73AE82.
Kỹ thuật mã hoá bằng thuật toán băm sử dụng
thuật tốn HASH để mã hố thơng điệp

BG UD TMĐT TRONG DN@BMTMĐT_TMU

51


HỌ VÀ TÊN CHV: .............................

7/29/2021

3.3.2. Mạng thương mại điện tử an tồn


Secure Sockets Layer (SSL) and Transport Layer Security (TLS)
Hình thức bảo mật kênh phổ biến nhất là thông qua Lớp cổng bảo mật (SSL) và giao
thức Bảo mật tầng vận tải (TLS).
Khi người dùng nhận được tin nhắn từ máy chủ trên trang Web mà người dùng sẽ giao
tiếp thơng qua một kênh an tồn, nghĩa là người dùng sẽ sử dụng SSL / TLS để thiết lập
một phiên giao dịch an tồn. (Thơng báo rằng URL thay đổi từ HTTP thành HTTPS.).
Giao dịch an toàn là phiên máy chủ-khách hàng, trong đó URL của tài liệu được yêu
cầu, cùng với nội dung, nội dung của biểu mẫu và cookie được trao đổi, được mã hóa.
 Ví dụ: số thẻ tín dụng của người dùng đã nhập vào biểu mẫu sẽ được mã hóa, thơng
qua một loạt các lần bắt tay và liên lạc, trình duyệt và máy chủ thiết lập danh tính của
nhau bằng cách trao đổi chứng chỉ kỹ thuật số, quyết định hình thức mã hóa được chia
sẻ chung và sau đó tiến hành giao tiếp bằng cách sử dụng khóa phiên đã thỏa thuận.
Khóa phiên là một khóa mã hóa đối xứng duy nhất được chọn chỉ cho phiên bảo mật
duy nhất này. Sau khi sử dụng, nó đã biến mất vĩnh viễn (xem hình)

Các phiên giao dịch an toàn bằng SSL/TLS

BG UD TMĐT TRONG DN@BMTMĐT_TMU

52


HỌ VÀ TÊN CHV: .............................

7/29/2021

Secure Sockets Layer (SSL) and Transport Layer Security (TLS)
 SSL / TLS cung cấp mã hóa dữ liệu, xác thực máy chủ, xác thực máy khách tùy chọn
và tính tồn vẹn của thơng báo cho các kết nối TCP / IP. SSL / TLS giải quyết vấn đề

xác thực bằng cách cho phép người dùng xác minh danh tính của người dùng khác
hoặc danh tính của người phục vụ. Nó cũng bảo vệ tính tồn vẹn của các thông điệp
được trao đổi. Tuy nhiên, khi người bán nhận được thơng tin tín dụng và đơn đặt hàng
được mã hóa, thơng tin đó sẽ được lưu trữ chính xác ở định dạng khơng được mã hóa
trên máy chủ của người bán.
 Mặc dù SSL / TLS cung cấp giao dịch an toàn giữa người bán và người tiêu dùng, nó
chỉ đảm bảo xác thực phía máy chủ. Xác thực máy khách là tùy chọn

 Ngoài ra, SSL / TLS khơng thể cung cấp tính khơng thể chối cãi — người tiêu dùng có
thể đặt hàng hoặc tải xuống các sản phẩm thơng tin, và sau đó u cầu giao dịch không
bao giờ xảy ra.
 Gần đây, các trang mạng xã hội như Facebook và Twitter đã bắt đầu sử dụng SSL /TLS
để ngăn chặn việc chiếm đoạt tài khoản bằng cách sử dụng Firesheep qua mạng không
dây. Firesheep, một tiện ích bổ sung cho Firefox, có thể được tin tặc sử dụng để lấy các
cookie không được mã hóa được sử dụng để “ghi nhớ" một người dùng và cho phép tin
tặc đăng nhập ngay lập tức vào một trang web người sử dụng. SSL / TLS có thể ngăn
chặn một cuộc tấn cơng như vậy vì nó mã hóa cookie.

BG UD TMĐT TRONG DN@BMTMĐT_TMU

53


HỌ VÀ TÊN CHV: .............................

7/29/2021

Bức tường lửa và Mạng riêng ảo
 Tường lửa là rào cản giữa mạng một tổ chức đáng tin cậy và Internet không đáng tin
cậy. Firewall được thiết kế để ngăn chặn trái phép truy cập vào và từ các mạng riêng,

chẳng hạn như mạng nội bộ.

VPN
 Mạng riêng ảo (VPN) đề cập đến việc sử dụng Internet để truyền thơng tin, nhưng theo
cách an tồn hơn. VPN hoạt động giống như một mạng riêng bằng cách sử dụng mã
hóa và các các tính năng bảo mật để bảo mật thơng tin.
 Ví dụ: VPN xác minh danh tính của bất kỳ ai sử dụng mạng. VPN có thể giảm chi phí
liên lạc đáng kể. Chi phí thấp hơn vì VPN thiết bị rẻ hơn các thông tin liên lạc khác các
giải pháp; đường dây thuê riêng không cần thiết để hỗ trợ truy cập từ xa; và một đường
truy cập duy nhất có thể được sử dụng để hỗ trợ nhiều mục đích. Để đảm bảo tính
chính xác, tính tồn vẹn và tính khả dụng của dữ liệu được truyền, VPN sử dụng giao
thức đường hầm. Với giao thức đường hầm, dữ liệu các gói tin được mã hóa lần đầu
tiên và sau đó được đóng gói thành các gói có thể được truyền qua Internet.
 Cisco Systems, Inc. (cisco.com) cung cấp một số loại VPN

BG UD TMĐT TRONG DN@BMTMĐT_TMU

54


HỌ VÀ TÊN CHV: .............................

7/29/2021

3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
3.3.3. Kiểm soát tổng thể

Kiểm soát tổng thể
 Các loại kiểm soát tổng thể là kiểm sốt vật lý, kiểm sốt hành chính và các kiểm soát
khác.

 Kiểm soát vật lý bảo vệ các cơ sở máy tính và tài nguyên, bao gồm cả khu vực thực
nơi cơ sở máy tính được đặt. Các kiểm sốt cung cấp khả năng bảo vệ chống lại các
mối nguy hiểm tự nhiên, các cuộc tấn công nguy hiểm và một số lỗi do con người gây
ra.
 Các biện pháp kiểm sốt hành chính được thực hiện bằng cách hướng dẫn và bao
quát quản lý và ban hành các quy định thực hiện quy định sử dụng an toàn

BG UD TMĐT TRONG DN@BMTMĐT_TMU

55


HỌ VÀ TÊN CHV: .............................

7/29/2021

Câu hỏi
1) Phân tích các yêu cầu an tồn thương mại điện tử
2) Phân tích các đe dọa an tồn thương mại điện tử
3) Phân tích cơ chế tấn cơng an tồn thơng tin
4) Các nguy cơ đe dọa an toàn thương mại điện tử.
5) Các giải pháp đảm bảo an toàn thương mại điện tử
6) Chính sách đảm bảo an tồn thơng tin và an toàn thương mại điện tử cho doanh
nghiệp

BG UD TMĐT TRONG DN@BMTMĐT_TMU

56