BÀI THUYẾT TRÌNH MÔN THƯƠNG MẠI ĐIỆN TỬ
Topic 5:
E-commerce Security
Giảng viên hướng dẫn :
Dr Nguyễn Quang Trung
Ms Võ Trung Trinh
Lớp: MBA12C
T hực hiện : Group 3
Trần Viết Khanh
Đặng Thế Hiệp
Trương Đăng Khoa
Nguyễn Thanh Sang(1989)
Đinh Xuân Thắng
1
An ninh Mạng/Bảo Mật trong Thương mại điện tử (TMĐT)
I. Tổng quan về bảo mật trong môi trường TMĐT
a. Môi trường TMĐT:
Theo thống kê 10/2013, hiện tại có trên 1 tỉ người đang sử dụng Internet.
Trong đó, tình trạng tội phạm Internet đặc biệt là tội phạm về tài chính đang ở mức rất cao, đã có 315,000 lượt báo
cáo về tội phạm trên Internet trong đó 1 nửa là mất mát về tài chính ($500tr) trung bình $4,100/lần (2011, Internet
Crime Complaint Center - IC3).
Năm 2011 báo cáo của Symantec cho thấy có trên 405 triệu loại phần mềm độc hại so với 286 triệu của 2010, riêng
những cuộc tấn công trên nền Web tăng 80%, nền Mobile tăng 93%.
Riêng ở Mỹ, các hacker nước ngoài thực hiện trên 100 vụ tấn công vào các website thương mại của Mỹ để lấy cắp
dữ liệu (Mandiant, 10/2013).
Ở chiều ngược lại Mỹ cũng bị cựu nhân viên CIA Snowden tố cáo xâm nhập và lợi dụng các lỗ hổng để theo dõi các
chính phủ và giao dịch trên toàn cầu.
Tại Việt Nam: đã có 2.405 website của các cơ quan và DN bị hack (trung bình 300 website/tháng) trong đó có cả Bộ
Công An, Bộ Quốc phòng, ngân hàng, các cơ quan nghiên cứu… (Bkav, 10/2013).
b. Những yếu tố ảnh hưởng bảo mật TMĐT:
Một giao dịch thương mại điện tử được gọi là an toàn khi đảm bảo không lộ các thông tin cá nhân khi giao dịch,

không bị mất mát về tài sản…
Tuy nhiên bài học trong quá khứ cho thấy không có bất kỳ hệ thống bảo mật nào mãi mãi an toàn, bất cứ hệ thống
nào cũng có thể bị tấn công nếu huy động đủ nguồn lực.Vì vậy, những nghiên cứu đã cho thấy những nhân tố quan
trọng nhất ảnh hưởng đến vấn đề bảo mật của TMĐT là:
- Data: cách tổ chức lưu và quản lý dữ liệu nội bộ
- Technology Solution: các giải pháp về công nghệ để gia tăng an toàn
- Org Policies and Procedures: các quy trình và chính sách để hướng dẫn cho các nhân sự trong tổ chức thực
hiện đúng quy tắc bảo mật dữ liệu
- Laws and Industry Standard: hệ thống luật pháp phải có tác dụng bảo hộ và xử lý nghiêm khắc các vi phạm,
cùng với đó là ứng dụng các tiêu chuẩn công nghiệp mới hơn 1 cách rộng rãi
2
Căn cứ vào quan điểm của 2 đối tượng trong các giao dịch thương mại điện tử thì các vấn đề mà được chú ý nằm
trong bảng sau:
Quan Điểm
Khách hàng Người bán
Toàn vẹn
Dữ liệu gửi và nhận bị thay
đổi?
Nội dung và dữ liệu Web bị thay đổi không xác
thực, dữ liệu nhận từ KH có hợp lệ?
Chống chối
bỏ
Tổ chức có chối bỏ hành động
của họ?
KH có từ chối giao hàng?
Xác thực Giao dịch với ai? Thông tin KH này có đúng hay không?
Riêng tư
Có ai khác đọc được tin nhắn
của tôi?
Dữ liệu bí mật có ai không được quyền xem?

Cá nhân
Thông tin cá nhân của tôi
được sử dụng ntn?
Dùng dữ liệu cá nhân của KH ntn?
Tiện ích Có thể truy cấp trang web đó? Trang web hiện tại có còn hoạt động?
c. Xung đột giữa bảo mật và các giá trị còn lại:
Tuy nhiên, trong thực tế luôn tồn tại sự xung khắc giữa nhu cầu được đảm bảo an ninh cao với việc thỏa mãn tính
nhanh chóng, tiện lợi, dễ sử dụng khi thực hiện giao dịch.
Vì 1 thực tế là khi giao dịch càng sử dụng nhiều các biện pháp bảo mật thì càng khó để người dùng thực hiện vì càng
phải tiến hành nhiều bước phức tạp hơn.
3
Đó là lý do các biện pháp công nghệ liên tục được đưa ra để giải quyết vấn đề này như bảo mật qua điện thoại, mã
OTP, công nghệ sinh trắc học…
4
II. Những nguy cơ thường gặp hiện nay
Sơ đồ sau sẽ cho phép thấy được toàn cảnh chu trình của 1 giao dịch thương mại điện tử đầy đủ và đặc biệt là các
điểm yếu dễ bị tấn công của nó.
Trong đó:
1. Web bugs: lỗi do xử lý bên trong website TMĐT
2. Wifi: sơ hở bảo mật wifi nên bị lộ thông tin qua mạng này
3. Customer list: bị tấn công và mất danh sách khách hàng
4. DB server: máy chủ dữ liệu bị tấn công (thường do lỗi SQL injection)
5. Lỗi sơ hở khi truyển thông tin từ máy chủ dữ liệu đến ngân hàng
6. DOS: tấn công từ chối dịch vụ vào ngân hàng người mua
7. Thay đổi thông tin trong quá trình giao hàng hóa
8. Tấn công vào ngân hàng của người bán
5
Các điểm yếu trên thường được tấn công bằng các công cụ như sau:
1. Malicious Code (Malware, mã độc):
a) Drive by download (yêu cầu tải file có mã độc về máy)

b) Virus (lây nhiễm qua các file trong máy tính tự động)
c) Worm (lây qua máy tính khác nhau thường qua đường email)
d) Trojan horse (xâm nhập và chờ đợi hiệu lệnh để thực thi phá hoại từ bên ngoài)
e) Backdoor (xâm nhập và tạo ra lỗ hổng để sử dụng sau đó)
f) Bots, botnet (xâm nhập, chiếm quyền và huy động nhiều máy tính để tấn công 1 đối tượng)
Tiêu biểu có 1 số loại mã độc phổ biến sau:
6
Ramnit Virus/Worm
Nhiễm nhiều
nhất 2011
Nhiều loại file, tự copy vào ổ USB,
tự chạy bằng Auto Play khi cắm vào
máy tính
Sality.AE Virus/Worm
Thứ 2 trong
2011
Tự tắt các phần mềm và dịch vụ bảo
mật, kết nối vào botnet, tự tải và cài
đặt các loại khác
Conficker
(A,B,C)
Worm 2008
Tấn công HĐH Microsoft với công
nghệ chuyên dụng, vẫn còn nhiễm
đến hiện tại
7
2. Potentially Unwanted Program:
a) Adware: phần mềm, ứng dụng nhằm mục đích quảng cáo, spam
b) Spyware
Các phần mềm chạy ẩn và theo dõi các hoạt động cũng như lấy trộm các thông tin cá nhân người dùng

3. Phishing & Indentity Theft (lừa đảo, trộm thông tin):
a) Social engineering: dựa vào sự tò mò, hiếu kì để lừa user tải 1 file mã độc về máy hoặc dùng trang web giả để
user nhập thông tin
b) Phishing: lừa, trộm thông tin tài chính cá nhân,thường thấy qua email lừa đảo
8
4. Hacking, cyber vandalism, hacktivism, data breached:
a) Hacker: truy cập trái phép
b) Cracker: truy cập trái phép có ý định phạm tội
c) Cyber vandalism: phá hoại mạng
d) Hacktivism: tin tặc
e) White/Black/Grey hats
f) Data breach: phá dữ liệu
5. Credit card fraud/theft (gian lận, lừa thẻ TD):
9
6. Spoofing (pharming, giả mạo) and spam:
7. Denial of Service (Dos) and Distributed denial of service (DDos):
Dùng bot/botnet để tấn công gây tràn và website, server bị từ chối không thể đáp ứng các dịch vụ đang cung cấp
10
8. Sniffing: bắt gói tin trong mạng, email …
9. Insider attacks (tấn công từ nội bộ):
11
10. Server thiết kế yếu và các phần mềm máy trạm:
Các Server được thiết kế yếu, không đủ mạnh để chạy các ứng dụng bảo mật
11. Các phần mềm nhiều lỗ hổng để tấn công
Social Network Issues:Facebook, twitter cung cấp quá nhiều thông tin cá nhân
12. Mobile platform Issues:
Niềm tin vào điện thoại như trước
Nhưng thật ra khi phát triển thông minh hơn  tất cả mọi người đều dễ bị tấn công qua bluetooth, wifi, 3g, tin rác…
13. Cloud Issues:
-Tập trung dữ liệu tại các cloud server nên khi bị tấn công người dùng không thể truy cập dữ liệu (Google Drive,

Dropbox).
12
-Lộ thông tin khi có thể vượt qua khai báo tài khoản để truy xuất dữ liệu từ các lỗ hổng (Dropbox, 06/2011)
- Dùng cloud để phát tán virus
14. Một số loại khác:
• Rootkit: khó để phát hiện vì nó vốn tích cực cố gắng để tự ẩn mình, tắt chương trình Antivirus của bạn hoặc
cài đặt vào hạt nhân của HĐH.
• Scareware: thường được biết đến là crimeware, thường xuất hiện như 1 cảnh báo chống virus giả mạo trên 1
trang web. Nếu bạn tin vào điều đó và tải về chương trình chống virus giả mạo, nó sẽ thông báo là có virus
trong hệ thống của bạn. Các chương trình diệt virus này sẽ đòi hỏi thẻ tín dụng thanh toán trước khi sửa chữa
cho hệ thống của bạn
• Can thiệp vào tham số trên URL
15. Dấu hiệu nhận dạng:
 Thường thấy:
◦ Không vào được website
◦ Có nội dụng lạ
 Chuyên dụng:
◦ Mất số lượng lớn link index: sử dụng google để check với cú pháp: site:
tenmiencuaban.com và lượng index chỉ còn bằng 1/3 so với tổng lượng links
bạn có thì 70% là website của bạn bị nhiểm malware rồi.
◦ Mất nhiều traffic: Một khi Google và các search engine phát hiện ra rằng
website của bạn có chưa mã độc, chúng sẽ lập tức loạt website của bạn ra
khỏi trang kết quả tìm kiếm. Hoặc cảnh báo cho người dùng khi họ tìm kiếm
13
với kết quả dẫn đên trang web của bạn. Điều này thật sự sẽ lấy đi của bạn rất
nhiều traffic.
◦ GOOGLE WEBMASTER TOOLS: công cụ được yêu thích nhất trong giới
webmaster. dễ dàng nhận được thông báo mỗi khi website của bạn bị nhiểm
malware, thông báo chính xác đến nỗi liệt kê hết thẩy những trang bị nhiễm
ra cho bạn. Nhưng có 1 vấn đề là các webmaster Vietnam rất it khi quan tâm

và kiếm tra Google Webmaster Tool, đa phần chỉ cấu hình 1 lần rồi để đó.
◦ Website xếp hàng top với từ khoá không liên quan: malware cài những
backlink ẩn, hoặc lợi dụng domain của website để spam. Hacker sử dụng
phần mềm tự động dò các website có lỗ hổng để gắn các link trỏ đến các
nguồn chứa mã độc. Điều này sẽ khiến cho website của bạn “được” xếp
hàng top với rất nhiều từ khóa không liên quan đến lĩnh vực của mình hoặc
các từ vớ vẩn nào đó….
 Chèn mã độc
 Virus facebook
14
III. Một số giải pháp phổ biến đang được sử dụng
1. Mã hóa
 Là quá trình chuyển văn bản hay các tài liệu gốc thành văn bản dưới dạng mật mã để bất cứ ai ngoài người
gửi và người nhận đều không thể đọc được
 Bảo đảm an ninh thông tin khi truyền phát
 Hai phương pháp mã hóa:
◦ Mã hóa đối xứng (Symmetric Key Encryption): Dùng 1 khóa cho mã hóa và giải mã
15
◦ Mã hóa khóa công khai (Public Key Encryption): Dùng 2 mã khóa trong quá trinh mã hóa. 1 khóa
dùng để mã hóa, 1 khóa dùng để giải mã
◦ Khóa công khai
 Được thông báo rộng rãi cho những người sử dụng khác trong hệ thống
 Dùng để mã hóa thông điệp hoặc kiểm tra chữ ký
◦ Khóa bí mật
 Chỉ nơi giữ được biết
 Để giãi mã thông điệp hoặc tạo chữ ký
◦ Ứng dụng
16
 Mã hóa/ Giải mã
 Đảm bảo bí mật của thông tin

 Chữ ký số
 Hỗ trợ xác thực văn bản( Digital signatures)
 Trao đổi khóa
 Cho phép chia sẽ khóa phiên trong mã hóa đối xứng(Digital Envelopes)
2. Chữ ký điện tử
 Chữ ký điện tử là bằng chứng hợp pháp dùng để và đủ khẳng định trách nhiêm của người ký văn bản điện tử
về nội dung của nó, tính nguyên gốc của văn bản điện tử sau khi chuyển khỏi người ký nó.
 Các cơ quan chứng nhận (Certificate Authority - CA) sẽ đứng ra xác thực chữ ký điện tử(hay khóa công khai)
là của cá nhân hay tổ chức cụ thể và duy nhất
 Chứng thực điện tử bao gồm:
 Tên của cá nhân hoặc tổ chức
 Khóa công khai
 Số định danh của chứng thực điện tử
 Thời hạn hiệu lực
 Chữ ký của cơ quan chứng nhận
17
3. SSL/TLS
4. Tường lửa (Firewalls)
 Phần cứng hoặc phần mềm
 Sử dụng các chính sách bảo mật để lọc gói
trong mạng nội bộ
18

5. Bảo vệ máy tính
 Tự người sử dụng phải biết cách bảo vệ máy tính của mình bằng các phương pháp sau:
 Sử dụng hệ điều hành bản quyền, an toàn
 Liên tục Upgrades, patches các phiên bản vá lỗi mới nhất
 Sử dụng và cập nhật liên tục các phần mềm diệt virus
19