Thương mại điện tử
Chương 5
Bảo mật trong thương mại điện tử
Thương mại điện tử 1
Mục tiêu
 Mô tả các khía cạnh bảo mật trong TMĐT
 Các công cụ bảo mật các kênh truyền thông
 Các công cụ bảo vệ mạng, máy chủ và máy
khách
 Thảo luận về tầm quan trọng của cách chính
sách, thủ tục và luật lệ để tăng tính an toàn



Thương mại điện tử 2
Nội dung
1. Môi trường bảo mật trong thương mại điện tử
2. Những mối đe dọa về bảo mật trong môi trường
thương mại điện tử
3. Những giải pháp kỹ thuật
4. Những chính sách, thủ tục và pháp luật

Thương mại điện tử 3
1. Môi trường bảo mật trong TMĐT
Thương mại điện tử 4
Figure 5.4, Page 253
Các vấn đề trong bảo mật
 Toàn vẹn thông tin (Integrity): khả năng đảm
bảo an toàn thông tin trong quá trình truyền-nhận.
 Chống thoái thác (Nonrepudiation): khả năng
đảm bảo một thỏa thuận, một hành động trên

Internet không bị các bên tham gia từ chối.
 Xác thực người dùng (Authenticity): chứng
thực rằng một người hay một hành động là đáng
tin cậy.

Thương mại điện tử 5
Các vấn đề trong bảo mật(tt)
 Tính bí mật (Confidentiality): đảm bảo dữ liệu chỉ
hiển thị với người được phép xem
 Tính riêng tư (Privacy): khả năng kiểm soát
thông tin mà khách hàng đã cung cấp (vd: e-mail,
address, credit card…)
 Tính sẵn sàng (Availability): đảm bảo khả năng
hoạt động của web site
Thương mại điện tử 6
Authentication vs Authorization
 Authentication: Who goes there?
 Something you know
 Something you have
 Something you are
 Authorization: Are you allowed to do that?

Thương mại điện tử 7
Ảnh hưởng của bảo mật
 Bảo mật vs Tính tiện dụng.
 Bảo mật vs Tốc độ.
 Bảo mật vs Mong muốn hành động nặc danh của
khách hàng.

Thương mại điện tử 8

Một số vấn đề xác thực khác
 Xác thực đa yếu tố (Multi-factor authentication)
 Ví dụ: 2FA, 3FA,…
Thương mại điện tử 9
Những mối đe dọa
 Đối tượng tấn công:
 Client.
 Server.
 Kênh truyền thông (vd: internet, mạng nội bộ…).
Thương mại điện tử 10
Những mối đe dọa
 Mã độc hại (malicious code)
 Lừa đảo (Phishing)
 Hacking và cybervandalism
 Gian lận thẻ tín dụng (Credit card fraud/theft)
 Spoofing (pharming)
 Tấn công từ chối dịch vụ (Denial of service attacks)
 Nghe lén (Sniffing)
 Insider jobs
 Các phần mềm ở server và client

Thương mại điện tử 11
Một giao
dịch
TMĐT
điển hình
Thương mại điện tử 12
SOURCE: Boncella, 2000.
Vulnerable Points in an E-commerce
Environment

Figure 5.4, Page 274
Copyright © 2011 Pearson Education,
Inc. Slide 5-13
SOURCE: Boncella, 2000.
Mã độc hại (Malicious code)
 Viruses: chương trình máy tính có khả năng
nhân bản và lây nhiễm sang các file khác trong
cùng máy tính.
 Worms: được thiết kế để lây nhiễm giữa các máy
tính trong cùng một mạng.
 Trojan horse: mã độc hại ngụy trang như một
chương trình bình thường.
 Bots: biến máy bị lây nhiễm thành một máy trạm,
chịu sự điều khiển của bot-herder.

Thương mại điện tử 14
Lừa đảo (Phishing)
 Những hành động mạo danh đánh lừa người
dùng cung cấp thông tin cá nhân (số thẻ tín dụng,
mật mã…)
 Hình thức phổ biến: e-mail scam letter.
 Là một trong những hình thức lừa đảo phát triển
nhanh nhất.

Thương mại điện tử 15
Hacking và Cybervandalism
 Hacker: cá nhân tiến hành truy xuất trái phép vào
hệ thống máy tính.
 Cracker: hacker có mục đích phi pháp.
 Cybervandalism: hành động phá hoại, thay đổi

giao diện một web site.
 Phân loại hacker:
 White hats
 Black hats
 Grey hats

Thương mại điện tử 16
Gian lận thẻ tín dụng
 Nguy cơ mất thông tin về thẻ tín dụng ngăn cản
sự phát triển của thương mại trực tuyến.
 Hacker lấy cắp thông tin về thẻ tín dụng và các
thông tin khác của khách hàng để tiến hành giao
dịch bất hợp pháp.
 Giải pháp: xây dựng cơ chế xác thực mới.

Thương mại điện tử 17
Spoofing (Pharming)
 Đánh lừa bằng cách sử dụng địa chỉ e-mail giả
hay giả mạo là một người nào đó.
 vs (font Calibri)
 vs (font
Tahoma)
 Social engineering techniques.
 Nguy cơ: mất thông tin cá nhân (username,
password, credit card…).

Thương mại điện tử 18
Tấn công từ chối dịch vụ
 Tấn công từ chối dịch vụ (Denial of service
attack): tấn công làm quá tải tài nguyên của hệ

thống  hệ thống không có khả năng đáp ứng
những dịch vụ khác cho người dùng bình thường.
 Tấn công từ chối dịch vụ phân tán (Distributed
denial of service (dDoS) attack): tấn công từ một
hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy
tính trong mạng botnet.

Thương mại điện tử 19
Những mối đe dọa
 Sniffing: kiểu phần mềm nghe lén, thu thập thông
tin lưu chuyển trong một mạng máy tính; cho
phép hacker lấy cắp thông tin ở bất cứ nơi nào
trong mạng.
 Insider jobs.
 Phần mềm, chương trình được sử dụng ở client
và server: chứa những lỗi tiềm tàng có thể bị
hacker khai thác (vd: IIS, IE…).

Thương mại điện tử 20
Những giải pháp kỹ thuật
 Bảo vệ việc truyền thông trên Internet: mã hóa
thông tin.
 Bảo mật các kênh truyền dữ liệu: SSL, S-HTTP,
VPN.
 Bảo vệ mạng nội bộ: firewall, proxy…
 Bảo vệ server & client: IDS, Anti-virues…

Thương mại điện tử 21
Các công cụ

Thương mại điện tử 22
Một số khái niệm trong Cryptography
 Plaintext (original data), ciphertext (encrypted
data)
 Cryptosystems = encryption + decryption
algorithms
 Encryption, decryption process needs keys
 Symmetric (shared-/secret-key) cryptosystem: the
same key for (en/de)cryption algorithms
 Asymmetric (public-key) cryptosystem: public &
private keys
Thương mại điện tử 23
Mã hóa (Encryption)
 Mã hóa: quá trình chuyển đổi dữ liệu dạng văn
bản (plain-text) thành dữ liệu mã hóa (cipher text).
 Mục đích: bảo đảm an toàn thông tin trong lưu trữ
và truyền tải.
 Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT:
 Toàn vẹn (Message integrity).
 Chống thoái thác (Nonrepudiation).
 Xác thực (Authentication).
 Tính bí mật (Confidentiality).

Thương mại điện tử 24
Mã hóa khoá đối xứng
 Cả người gửi và người nhận dùng chung 1 khóa
để mã hóa và giải mã thông điệp.
 Đòi hỏi phải có một bộ khóa riêng cho mỗi giao
dịch. Vd: nhóm 4 người cần 6 khóa.
 Hạn chế: khóa phải được bảo mật trong khi phân

phối và trong khi dùng.
 Data Encryption Standard (DES): thuật toán mã
hóa đối xứng được sử dụng phổ biến nhất hiện
nay. Sử dụng khóa có chiều dài 56 bits. Các thuật
toán khác (3-DES, AES…) sử dụng khóa dài 128
đến 2048 bits.

Thương mại điện tử 25