CHƯƠNG 7– AN TOÀN
TRONG THƯƠNG MẠI ĐIỆN TỬ
Khoa Hệ thống thông tin Quản lý
1
NỘI DUNG CHƯƠNG 7
1.
2.
3.
4.
5.
Vấn đề an tồn thơng tin trong TMĐT
Nguy cơ và hình thức tấn cơng trong TMĐT
Quản trị an toàn TMĐT
Chữ ký số
Một số giao thức đảm bảo an tồn thơng tin trong
TMĐT
Khoa Hệ thống thơng tin Quản lý
2
1. Vấn đề An tồn thơng tin
trong TMĐT
An tồn thông tin
▪ Bảo vệ thông tin và hệ thống thông tin khỏi việc trái
phép truy cập, sử dụng, tiết lộ, sửa đổi, xem, ghi, phát
tán hoặc phá hủy.
Khoa Hệ thống thông tin Quản lý
3
Khoa Hệ thống thông tin Quản lý
4
1. Vấn đề An tồn thơng tin
trong TMĐT
Từ phía người
sử dụng
Từ phía tổ
chức
Từ hai phía
➢Website truy cập là xác thực và hợp pháp
➢Các trang web và các mẫu khai thông tin
không chứa đựng các đoạn mã nguy hiểm
➢Thông tin cá nhân được đảm bảo bí mật
➢Máy chủ, nội dung và các dịch vụ cung cấp
trên website không bị phá vỡ.
➢Hoạt động kinh doanh diễn ra đều đặn không
bị gián đoạn
➢Thông tin trao đổi giữa người sử dụng và tổ
chức không bị bên “thứ ba” nghe trộm
➢Thông tin trao đổi giữa hai bên không bị biến
đổi
Khoa Hệ thống thông tin Quản lý
5
1. Vấn đề An tồn thơng tin
trong TMĐT
1
Tính xác thực (Authentication)
2
Quyền cấp phép (Authorization)
3
Kiểm tra (giám sát) (Auditing)
4
Tính tin cậy (confidentiality) và riêng tư (Privacy)
5
Tính tồn vẹn
6
Tính sẵn sàng và chống từ chối
Khoa Hệ thống thông tin Quản lý
6
1. Vấn đề An tồn thơng tin
trong TMĐT
Tính xác thực (Authentication)
• Khả năng nhận biết các đối tác
tham gia giao dịch trực tuyến
• Q trình thơng qua đó một thực
thể này kiểm tra thực thể khác mà
mình u cầu.
• Các dạng: Mật khẩu, thẻ tín
dụng,chữ ký điện tử…
Cấp phép (Authorization)
• Xác định quyền truy cập tài nguyên
của tổ chức
Khoa Hệ thống thông tin Quản lý
7
1. Vấn đề An tồn thơng tin
trong TMĐT
Kiểm tra (Auditing)
Tập hợp thơng tin q trình truy cập
của người sử dụng
Tính tin cậy
Ngồi những người có quyền, khơng
ai có thể xem các thông điệp và truy
cập những dữ liệu có giá trị
Tính riêng tư
Khả năng kiểm sốt việc sử dụng
các thông tin cá nhân của khách
hàng.
Khoa Hệ thống thông tin Quản lý
8
1. Vấn đề An tồn thơng tin
trong TMĐT
Tính tồn vẹn
Dữ liệu/ thông tin không bị thay đổi khi
lữu trữ hoặc truyền phát
Tính sẵn sàng
Đảm bảo chức năng của một website
TMĐT được thực hiện đúng như mong
đợi
Chống từ chối
Các bên tham gia giao dịch không phủ
nhận các hành động trực tuyến mà họ
đã thực hiện
Khoa Hệ thống thông tin Quản lý
9
1. Vấn đề An tồn thơng tin
trong TMĐT
Rủi ro trong thương mại điện tử có thể chia thành
4 nhóm cơ bản sau:
• Nhóm rủi ro dữ liệu
• Nhóm rủi ro về cơng nghệ
• Nhóm rủi ro về thủ tục quy trình giao dịch của tổ
chức
• Nhóm rủi ro về luật pháp và các tiêu chuẩn công
nghiệp
Khoa Hệ thống thông tin Quản lý
10
2. Nguy cơ và hình thức tấn cơng
trong TMĐT
2 hình thức tấn cơng:
• Phi kỹ thuật: Sử dụng mánh khóe, thuyết phục lừa gạt
• Kỹ thuật: Sử dụng cơng cụ làm tổn thương hệ thống
TMĐT
Phần mềm độc hại
Khoa Hệ thống thông tin Quản lý
Dịch vụ
11
2.1. Tấn công phi kỹ thuật
Điểm yếu lớn nhất của các mạng là do con người.
Bao gồm 2 loại:
• Dựa trên con người: Truyền thống qua điện thoại, qua
miệng
• Dựa trên máy tính: Sử dụng địa chỉ thư giả mạo, sửa
đổi liên kết web….
Khoa Hệ thống thông tin Quản lý
12
Biện pháp đối phó với tấn cơng
phi kỹ thuật
Đề cao cảnh giác,
Kiểm tra sự xâm nhập
Hoàn thiện các thủ tục, chính sách
Đào tạo nâng cao nhận thức
Khoa Hệ thống thơng tin Quản lý
13
2.2. Tấn công kỹ thuật
3 bộ phận rất dễ bị tấn công khi thực hiện giao dịch
TMĐT:
▪ Hệ thống khách hàng
▪ Máy chủ doanh nghiệp
▪ Đường dẫn thông tin (Communication pipeline)
Khoa Hệ thống thông tin Quản lý
14
2.3. Một số dạng tấn công
website TMĐT
Các đoạn mã nguy hiểm
(malicious code)
Tin tặc (hacker) và các
chương trình phá hoại
(cybervandalism)
Rủi ro về gian lận thẻ tín
dụng
Tấn cơng từ chối dịch vụ
Kẻ trộm trên mạng
(Sniffer)
Kẻ giả mạo (Phising)
Khoa Hệ thống thông tin Quản lý
15
2.3.1. Các đoạn mã nguy hiểm
(malicious code)
Bao gồm:
▪ Virus
• Chương trình có khả năng tự nhân bản
• Virus macro, virus tệp, virus script
▪ Worm
• Thâm nhập vào hệ thống
• Tự nhân bản
▪ Trojan
• Khơng tự nhân bản được.
• Dùng để thâm nhập vào máy tính mà người dùng khơng biết.
VD: Keystroke logger (phần mềm theo dõi bàn phím)…
• Có thể ăn cắp mật khẩu, tên tài khoản, số thẻ tín dụng, phá
hoại ổ cứng
• Cài trojan: Qua Email, trị chơi…
Khoa Hệ thống thông tin Quản lý
16
2.3.2. Tin tặc và chương trình phá hoại
Tin tặc (Hacker):
• Là người xâm nhập bất hợp pháp vào một website hay
hệ thống cơng nghệ thơng tin.
• Hacker mũ trắng
• Hacker mũ đen
Hành vi của tin tặc:
• đánh sập website,
• hủy dữ liệu,
• xâm nhập hệ thống ngân hàng,
• đánh cắp các tài khoản ATM,
• tài khoản Game, tài khoản Mobile
• ……
Khoa Hệ thống thơng tin Quản lý
17
2.3.2. Tin tặc và chương trình phá hoại
Tác hại do tin tặc:
• Mất niềm tin, danh tiếng của khách hàng vào doanh
nghiệp
• Mất khả năng chấp nhận các phương tiện thanh tốn
• Thu thập và lợi nhuận giảm
• Chi phí sửa chữa.
Một số vụ tấn cơng tại Việt Nam;
• 6/6/2011: Nhóm hacker CmTr tấn cơng hơn 200 website
tiếng Việt tên miền .vn, .com
• 31/5/2011: hệ thống máy chủ FPT bị tấn cơng bởi nhóm
hacker TNK là misafir
Khoa Hệ thống thông tin Quản lý
18
2.3.3. Rủi ro về gian lận thẻ tín dụng
Mối đe dọa
Mối đe dọa
TM Truyền thống
- Mất thẻ
- Đánh cắp thẻ
Khoa Hệ thống thông tin Quản lý
TM Điện tử
-Mất hoặc lộ các thơng tin
liên quan đến thẻ tín dụng
-Các thơng tin giao dịch sử
dụng thẻ tín dụng trong q
trình mua sắm.
19
2.3.4. Tấn công từ chối dịch vụ DoS
D e n i a l o f Se r vi c e
Đặc điểm:
▪ Là kiểu tấn công khiến một hệ thống máy tính hoặc một mạng bị q
tải, dẫn tới khơng thể cung cấp dịch vụ hoặc phải dừng hoạt động
▪ Hình thức:
• Sơ khai DoS (Denial of Service ) – lợi dụng sự yếu kém TCP
• Tấn cơng từ chối dịch vụ phân tán DDoS (Distributed Denial of
Service)
• Tấn cơng phản xạ phân tán DRDoS (Distributed Reflection Denial of
Service)
Tại Việt Nam, theo ghi nhận từ hệ thống giám sát của Viettel Cyber
Security năm 2022, hàng tháng có từ 100 - 300 cuộc tấn công DDoS
chiếm băng thông lớn hơn 1 Gbps/s. Cuộc tấn công lớn nhất ghi
nhận được là khoảng 90 Gbps/s
Hình thức tấn cơng này đã tăng từ 7,9 triệu vụ được phát hiện vào
năm 2018 tới hơn 15 triệu vụ trong năm 2023. Trung bình, mỗi giờ
ngừng truy cập Internet các tổ chức, doanh nghiệp sẽ thiệt hại
khoảng 300.000 USD tới 1 triệu USD .
Khoa Hệ thống thông tin Quản lý
20
2.3.5. Kẻ trộm trên mạng Sniffer
Là một dạng của hình thức theo dõi, nghe trộm, giám
sát sự di chuyển thơng tin trên mạng.
Mục đích:
• Hợp pháp: Phát hiện yếu điểm của mạng
• Phi pháp: Mối hiểm họa lớn khó phát hiện. Lấy cắp
thơng tin có giá trị như thư điện tử, dữ liệu kinh doanh,
báo cáo mật…
Khoa Hệ thống thông tin Quản lý
21
2.3.6. Kẻ giả mạo Phishing
Xuất hiện năm 1987, rộng rãi vào năm 1996.
Giả dạng các tổ chức hợp pháp như ngân hàng, dịch vụ
thanh tốn online…
• Gửi email yêu cầu người nhận cung cấp thông tin cá
nhân và thơng tin thẻ tín dụng…
• Thơng báo người nhận trúng thưởng.
• Tạo website bán hàng, bán dịch vụ lừa đảo
Khoa Hệ thống thông tin Quản lý
22
3. Quản trị an toàn TMĐT
Các lỗi thường mắc phải trong quản trị an tồn TMĐT:
• Đánh giá thấp giá trị tài sản thơng tin
• Xác định giới hạn an tồn ở phạm vi hẹp
• Quản trị an tồn mang tính chất đối phó
• Áp dụng qui trình quản trị đã lỗi thời
Các tổ chức, doanh nghiệp cần phải có một cách tiếp
cận cần thiết đối với vấn đề đảm bảo an toàn các hệ
thống TMĐT.
Khoa Hệ thống thông tin Quản lý
23
3. Quản trị an tồn TMĐT
Tài sản thơng tin cần được đảm bảo an toàn: lưu trữ,
sao lưu, sử dụng chế độ mật khẩu, sử dụng tường
lửa…
Quản trị rủi ro bao gồm:
• Xác định tài sản: xác định máy tính chủ chốt, mạng tài
sản thơng tin giá trị…
• Đánh giá rủi ro: Xác định các mối đe dọa
• Triển khai: Đề xuất danh mục các giải pháp cho việc
quản lý rủi ro
Khoa Hệ thống thông tin Quản lý
24
Một số giải pháp cơng nghệ đảm bảo an
tồn
Cơng nghệ đảm bảo an tồn TMĐT
An tồn truyền thơng
TMĐT
-Kiểm sốt truy cập và
xác thực
-Cơ sở hạ tầng khóa
cơng cộng
An tồn mạng TMĐT
- Tường lửa Firewall
- Bức tường lửa cá nhận
Personal Firewall
- Mạng riêng ảo VPN
- Hệ thống dị tìm thâm
nhập IDS – Instruction
Detection System
Khoa Hệ thống thông tin Quản lý
Bảo vệ hệ thống của
khách hàng
-Các kiểm soát của hệ
điều hành
-Phần mềm chống virus
25