AN TOÀN THƯƠNG MẠI ĐIỆN TỬ
AN TOÀN THƯƠNG MẠI ĐIỆN TỬ
(Electronic Commerce Security)
(Electronic Commerce Security)
Copyright@Bộ môn QTTN TMĐT
1
NỘI DUNG CHÍNH
NỘI DUNG CHÍNH
1.
1.
Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT
Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT
2. Các nguy cơ và các hình thức tấn công đe dọa an
toàn thương mại điện tử
3. Quản trị an toàn thương mại điện tử
4. Một số giải pháp đảm bảo an toàn TMĐT
5. Câu hỏi thảo luận và tài liệu tham khảo
copyright@Bộ môn QTTN TMĐT
2
Đ/n an toàn TMĐT:
An toàn có nghĩa là được bảo vệ, không bị xâm hại. An toàn
trong thương mại điện tử được hiểu là an toàn thông tin trao
đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ
thống (hệ thống máy chủ thương mại và các thiết bị đầu
cuối, đường truyền…) không bị xâm hại từ bên ngoài hoặc
có khả năng chống lại những tai hoạ, lỗi và sự tấn công từ
bên ngoài.
copyright@Bộ môn QTTN TMĐT
3
Copyright@Bộ môn QTTN TMĐT
Môi trường an toàn TMĐT

4
Những vấn đề căn bản an toàn TMĐT:
Về phía người dùng:
Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận
hành hay không?
Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các
đoạn mã nguy hiểm hay không?
Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website
tiết lộ cho bên thứ ba hay không?
Yêu cầu từ phía doanh nghiệp:
Người sử dụng có định xâm nhập vào máy chủ hay những trang web và
thay đổi các trang Web và nội dung trong website của công ty hay không:
Người sử dụng có làm làm gián đoạn hoạt động của máy chủ, làm những
người khác không truy cập được vào site của doanh nghiệp hay không?
Copyright@Bộ môn QTTN TMĐT
5
Những vấn đề căn bản an toàn TMĐT:
Yêu cầu từ cả người dùng và doanh nghiệp:
Liệu thông tin giữa người dùng và doanh nghiệp truyền trên mạng có
bị bên thứ ba “nghe trộm” hay không?
Liệu thông tin đi đến và phản hồi giữa máy chủ và trình duyệt của
người sử dụng không bị biến đổi hay không?.
Bản chất của an toàn TMĐT là một vấn đề phức tạp. Đối với
an toàn thương mại điện tử, có sáu vấn đề cơ bản cần phải
giải quyết, bao gồm: sự xác thực, quyền cấp phép, kiểm tra
(giám sát), tính bí mật, tính toàn vẹn, tính sẵn sàng và
chống từ chối.
Copyright@Bộ môn QTTN TMĐT
6
Những vấn đề căn bản an toàn TMĐT:

Sự xác thực (Authentication)
Quyền cấp phép (Authoziration)
Kiểm tra (giám sát) (Auditing)
Tính tin cậy (confidentiality) và tính riêng tư (Privacy)
Tính toàn vẹn
Tính sẵn sàng (tính ích lợi)
Chống phủ định (Nonrepudation)
Copyright@Bộ môn QTTN TMĐT
7
Những vấn đề căn bản an toàn TMĐT:
Copyright@Bộ môn QTTN TMĐT
8
Tấn công phi kỹ thuật: Bằng cách lừa gạt người dùng tiết lộ
thông tin hoặc thực hiện các hành động mang tính vô thưởng vô phạt, kẻ tấn
công có thể làm tổn hại đến hệ thống mạng máy tính.
Ví dụ, kẻ tấn công gửi một bức thư điện tử như sau đến người dùng:
Người dùng của xyz.com kính mến
Chúng tôi đã phát hiện ra rằng tài khoản thư điện tử của Ông (Bà) đã
được sử dụng để gửi một lượng rất lớn thư rác (spam) trong tuần lễ qua.
Hiển nhiên là máy tính của Ông (Bà) đã bị tổn hại và hiện giờ đang chạy trên
một máy chủ ủy quyền bị nhiễm virus con ngựa thành Troia.
Chúng tôi khuyên Ông (Bà) hãy tuân thủ các chỉ dẫn được đính kèm
bức thư này (xyz.com.zip) để bảo vệ máy tính của Ông (Bà) được an toàn.
Chúc Ông (Bà) may mắn.
Đội hỗ trợ kỹ thuật của xyz.com.
Copyright@Bộ môn QTTN TMĐT
9
Tấn công kỹ thuật:
Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn
thương khi thực hiện các giao dịch thương mại điện tử, đó là hệ thống

của khách hàng, máy chủ của doanh nghiệp và đường dẫn thông tin
(communications pipeline) (hình 7.3).
Copyright@Bộ môn QTTN TMĐT
10
Tấn công kỹ thuật:
Có bảy dạng tấn công nguy hiểm nhất đối với an toàn của các website
và các giao dịch thương mại điện tử, bao gồm: các đoạn mã nguy hiểm,
tin tặc và các chương trình phá hoại, trộm cắp/ gian lận thẻ tín dụng,
lừa đảo, khước từ phục vụ, nghe trộm và sự tấn công từ bên trong
doanh nghiệp.
Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao
gồm nhiều mối đe doạ khác nhau như các loại virus, worm, những “con
ngựa thành Tơ-roa”, “bad applets”.
Copyright@Bộ môn QTTN TMĐT
11
Tấn công kỹ thuật:
Các đoạn mã nguy hiểm (malicious code):
Copyright@Bộ môn QTTN TMĐT
Tên Kiểu Mô tả
Melissa Virus
macro/
worm
Bị phát hiện lần đầu tiên vào năm 1999. Tại thời điểm đó,
Melisa đã lây nhiễm vào các chương trình trong phạm vi
rộng lớn trước khi bị phát hiện. Loại mã này tấn công vào
tệp khuôn mẫu chung (normal.dot) của Microsoft Word và
nhiễm vào tất cả các tài liệu mới được tạo ra. Một thư
điện tử dạng tệp tài liệu Word nếu nhiễm loại mã này sẽ
lây sang 50 người khác trong sổ địa chỉ Microsoft
Outlook của người sử dụng.

12
Tấn công kỹ thuật:
Các đoạn mã nguy hiểm (malicious code):
Copyright@Bộ môn QTTN TMĐT
Tên Kiểu Mô tả
ILOVEY
OU
Virus
script/
worm
ILOVEYOU tấn công vào tháng 5-2000. Nó vượt qua
Melisa và trở thành một loại virus lây nhiễm nhanh nhất.
Nó sử dụng Microsoft Outlook để gửi đi các thông điệp
có đính kèm tệp “Love-Letter-For-You.TXT.vbs”. Khi mở
tệp này, virus sẽ xoá toàn bộ các tệp .mp3 và .jpg. Loại
virus này sử dụng Microsoft Outlook và chương trình
mIRC để tự nhân bản và thâm nhập vào các hệ thống
khác.
13
Tấn công kỹ thuật:
Các đoạn mã nguy hiểm (malicious code):
Copyright@Bộ môn QTTN TMĐT
Tên Kiểu Mô tả
ExploreZi
p
Con ngựa
thành Tơ-
roa/ worm
ExploreZip bị phát hiện lần đầu tiên vào tháng 6-1999 và sử dụng
Microsoft Outlook để tự nhân bản. Khi mở ra, loại virus này tự tìm

kiếm một số tệp và làm giảm dung lượng của các tệp này xuống 0
(zero), làm cho các tệp này không thể sử dụng và không thể khôi
phục được.
Virus tệp Loại virus này bị phát hiện lần đầu năm 1998 và vô cùng nguy hiểm.
Vào ngày 26-4 hàng năm, ngày kỷ niệm vụ nổ nhà máy điện nguyên
tử Chernobyl, nó sẽ xoá sạch 1Mb dữ liệu đầu tiên trên đĩa cứng
khiến cho các phần còn lại không thể hoạt động được.
14
Tấn công kỹ thuật:
Tin tặc (hacker) và các chương trình phá hoại
(cybervandalism)
Gian lận thẻ tín dụng
Sự khước từ phục vụ (DoS - Denial of Service)
Kẻ trộm trên mạng
Sự tấn công từ bên trong doanh nghiệp
Copyright@Bộ môn QTTN TMĐT
15
Các lỗi thường mắc phải trong quản trị an toàn
TMĐT:
Đánh giá thấp giá trị của tài sản thông tin. Rất ít tổ chức có
được sự hiểu biết rõi ràng về giá trị của tài sản thông tin mà
mình có.
Xác định các giới hạn an toàn ở phạm vi hẹp. Phần lớn tổ
chức tập trung đến việc đảm bảo an toàn thông tin các
mạng nội bộ của mình, không quan tâm đầy đủ đến an toàn
trong các đối tác thuộc chuỗi cung ứng
Quản trị an toàn mạng tính chất đối phó. Nhiều tổ chức thực
hành quản trị an toàn theo kiểu đối phó, chứ không theo
cách thức chủ động phòng ngừa, tập trung vào giải quyết
các sự cố an toàn sau khi đã xẩy ra.

Copyright@Bộ môn QTTN TMĐT
16
Các lỗi thường mắc phải trong quản trị an toàn
TMĐT:
Áp dụng các quy trình quản trị đã lỗi thời. Nhiều tổ chức ít
khi cập nhật các quy trình đảm bảo an toàn thông tin cho
phù hợp với nhu cầu thay đổi, cũng như không thường
xuyên bồi dưỡng tri thức và kỹ năng an toàn thông tin của
đội ngũ cán bộ nhân viên.
Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông
tin, coi an toàn thông tin như là một vấn đề CNTT, không
phải là vấn đề tổ chức.
Copyright@Bộ môn QTTN TMĐT
17
Một quá trình mang tính hệ thống để xác định các loại
Một quá trình mang tính hệ thống để xác định các loại
rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để ngăn ngừa
rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để ngăn ngừa
hay giảm nhẹ các rủi ro này
hay giảm nhẹ các rủi ro này
Đánh giá
Đánh giá
Lên kế hoạch
Lên kế hoạch
Thực hiện
Thực hiện
Theo dõi/
Theo dõi/
Kết luận
Kết luận

Đánh giá
Đánh giá
các tài sản tài (hệ thống máy
các tài sản tài (hệ thống máy
tính, mạng, thông tin), xác
tính, mạng, thông tin), xác
định các điểm dễ bị
định các điểm dễ bị
tổn thương của hệ thống
tổn thương của hệ thống
và những đe dọa đối với các
và những đe dọa đối với các
điểm này
điểm này
•


Xác định các đe dọa nào
Xác định các đe dọa nào
có thể xảy ra, đe dọa nào là
có thể xảy ra, đe dọa nào là
không
không
•
Sử dụng đội ngũ IT trong
Sử dụng đội ngũ IT trong
doanh nghiệp hoặc tư vấn
doanh nghiệp hoặc tư vấn
bên ngoài
bên ngoài

•
Áp dụng các giải pháp an
Áp dụng các giải pháp an
ninh phù hợp, đặc biệt chú
ninh phù hợp, đặc biệt chú
ý các điểm đễ bị tổn thương
ý các điểm đễ bị tổn thương
•
Tiếp cận Lợi ích-Chi phí
Tiếp cận Lợi ích-Chi phí
trong lựa chọn giải pháp an
trong lựa chọn giải pháp an
ninh
ninh
•
Theo dõi, đánh giá tính
Theo dõi, đánh giá tính
hiệu quả của các giải pháp
hiệu quả của các giải pháp
an ninh
an ninh
•
Phát hiện các mối đe doạ
Phát hiện các mối đe doạ
mới
mới
•
Cập nhật công nghệ bảo
Cập nhật công nghệ bảo
đảm an ninh hiện đại

đảm an ninh hiện đại
•
Bổ sung thêm danh mục
Bổ sung thêm danh mục
các hệ thống cần bảo vệ
các hệ thống cần bảo vệ
4 pha của quá trình quản trị an toàn TMĐT
Copyright@Bộ môn QTTN TMĐT
18
4.
4.
Một số giải pháp công nghệ đảm bảo
Một số giải pháp công nghệ đảm bảo
an toàn trong TMĐT
an toàn trong TMĐT
Kiểm soát truy cập (Access Control): cơ chế xác định ai có quyền sử dụng
tài nguyên mạng (trang web, file tài liệu, cơ sở dữ liệu, phần mềm ứng dụng,
server, máy in….) một cách hợp pháp. Một tổ chức có thể có danh sách
người dùng (có thể theo nhóm) được phép truy cập, truy cập đến đâu, được
quyền gì (đọc, xem, viết , in, copy, xóa, sửa đổi hoặc tất cả)
Xác thực (Authentication): Một khi người dùng đã được phân định
(Identified), họ cần được xác thực (Authenticate). Xác thực là quá trình kiểm
tra xem người dùng có phải chính là người xưng danh hay không. Việc kiểm
tra thông thường dựa trên cơ sở một hay nhiều các dấu hiện phân biệt
người này với người khác. Các dấu hiệu có thể thuộc loại một người biết
(như Password), loại một người nào đó có (như chếc thẻ) hoặc bản thân
dấu hiệu của một người nào đó (vân tay). Để tăng tính tin cậy của xác thực,
có thể kết hợp 2 yếu tố
Copyright@Bộ môn QTTN TMĐT
19

4.
4.
Một số giải pháp công nghệ đảm bảo
Một số giải pháp công nghệ đảm bảo
an toàn trong TMĐT
an toàn trong TMĐT
Passwords: Cấu tạo từ tổ hợp các số, ký hiệu, chữ cái…
Passwords thường kém an toàn vì người dùng có thói quen để
chúng ở nơi ít bí mật, dễ tìm, hay lựa chọn các giá trị dễ đoán,
hay nói cho người khác biết khi đuợc hỏi…
Tokens:
Token thụ động (Passive Tokens) thường là các thẻ nhựa có dải từ
(magnetic strips) chứa mã bí mật. Khi sử dụng cần đưa vào đầu đọc
(reader) gắn với máy tính nơi làm việc.
Token chủ động (Active Tokens): thường là một thiết bị điện tử nhỏ
(như thẻ thông minh, máy tính bỏ túi…), khi sử dụng, người dùng nhập
số PIN, thiết bị sinh ra Password sử dụng một lần để truy nhập mạng.
Copyright@Bộ môn QTTN TMĐT
20
4.
4.
Một số giải pháp công nghệ đảm bảo
Một số giải pháp công nghệ đảm bảo
an toàn trong TMĐT
an toàn trong TMĐT
Các hệ thống sinh trắc học:
Sinh trắc sinh lý học: Hệ thống nhận dạng để xác nhận một người bằng cách nhận
dạng, so sánh các đặc tính sinh lý học như dấu vân tay, mống mắt, đặc điểm khuôn
mặt, giọng nói với một cơ sở dữ liệu số hóa thiết lập từ trước
Ví dụ Nhận dạng vân tay: Hình dạng, độ nông sâu, khoảng cách giữa các đường

vân đầu ngón tay một người mang tính đặc thù, được chuyển đổi thành dạng số và
lưu trữ như các mẫu dùng để so sánh nhận dạng (xác thực). Xác suất 2 người có
vân tay giống nhau là 1/1 tỷ.
Sinh trắc học hành vi: Hệ thống nhận dạng để xác nhận một người bằng cách
quan sát, ghi nhận hành vi của người đó và so sánh với một cơ sở dữ liệu số hóa
thiết lập từ trước
Ví dụ nhận dạng qua cách đánh máy trên bàn phím: mỗi người đánh máy áp lực,
tốc độ, nhịp độ khác nhau
Copyright@Bộ môn QTTN TMĐT
21
4.
4.
Một số giải pháp công nghệ đảm bảo
Một số giải pháp công nghệ đảm bảo
an toàn trong TMĐT
an toàn trong TMĐT
Cơ sở hạ tầng khóa công cộng:
(PKI- Public Key Infrastructure) là một hệ thống nhằm đảm bảo an toàn
giao dịch qua Internet (trước hết là giao dịch thanh toán) bằng cách sử
dụng mã hóa khóa công cộng, chữ ký điện tử, chứng thực điện tử và các
yếu tố kỹ thuật khác.
Mã hoá là quá trình xáo trộn (mã hóa) một thông điệp sao cho bất cứ ai đó,
ngoài người gửi và người nhận, đều khó và tốn nhiều chi phí để có thể giải
mã được thông điệp
Mục đích của quá trình mã hóa là đảm bảo:
Tính toàn vẹn của thông điệp;
Chống phủ định;
Tính xác thực;
Tính bí mật của thông tin.
Copyright@Bộ môn QTTN TMĐT

22
4.
4.
Một số giải pháp công nghệ đảm bảo
Một số giải pháp công nghệ đảm bảo
an toàn trong TMĐT
an toàn trong TMĐT
Một số k/n liên quan đến mã hóa:
Bản rõ (Plaintext): Thông điệp chưa mã hóa, con người có thể
đọc
Bản mã hoá hay bản mờ (Ciphertext): Bản gốc sau khi đã mã
hóa chỉ máy tính mới có thể đọc được
Thuật toán mã hóa (Encryption algorithm): Là một biểu thức
toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại
Khóa (Key): Mã bí mật dùng để mã hóa và giải mã một thông
điệp
Hệ thống khóa đối xứng (khóa riêng): dùng một khóa cho cả quá trình
mã hóa và giải mã, chỉ người gửi và người nhận được biết
Hệ thống khóa phi đối xứng (khóa công cộng): sử dụng nhiều cặp khóa
liên kết từng đôi. Một khóa chung mọi người đến biết, một khóa riêng
cho mỗi người.
Copyright@Bộ môn QTTN TMĐT
23
Mã hoá khoá bí mật
Mã hoá khoá bí mật
Gọi là mã hoá đối xứng hay mã hoá khoá riêng
Gọi là mã hoá đối xứng hay mã hoá khoá riêng
Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi
Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi
người gửi) và quá trình giải mã (thực hiện bởi người nhận)

người gửi) và quá trình giải mã (thực hiện bởi người nhận)
Mã hoá khoá công cộng
Mã hoá khoá công cộng
Gọi là mã hoá không đối xứng hay mã hoá khoá chung
Gọi là mã hoá không đối xứng hay mã hoá khoá chung
Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để
Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để
mã hoá thông điệp và một khoá khác dùng để giải mã.
mã hoá thông điệp và một khoá khác dùng để giải mã.


Copyright@Bộ môn QTTN TMĐT
24
Mã hoá khoá bí mật
Mã hoá khoá bí mật
Mã hoá khoá công cộng
Mã hoá khoá công cộng
Copyright@Bộ môn QTTN TMĐT
25