THƯƠNG MẠI ĐIỆN TỬ VÀ
TRIỂN KHAI ỨNG DỤNG
An toàn Thông tin trong Thương mại Điện tử
Giảng viên: TS. Đàm Quang Hồng Hải
•
Các nguy cơ về an ninh trong Thương mại Điện tử
•
Bảo vệ hệ thống Thương mại Điện tử
•
Bảo mật thông tin
•
Chứng thực số
•
Chữ ký điện tử
Nội dung chính
Các nguy cơ về an ninh trong TMĐT
•
Bị truy xuất, thay đổi các dữ liệu trong hệ thống,
thay đổi thông tin trên Website
•
Các thông tin quan trọng như thẻ tín dụng, thông tin
riêng tư bị tiết lộ
•
Hệ thống bị tấn công, không có khả năng đáp ứng
khách hàng
•
Các e-mail giả mạo gửi đến khách hàng
•
Thay đổi thông tin trên DNS Server
www.mot.gov.vn /
www.ecvn.gov.vn

Thương mại Điện tử và lòng tin
•
Các lý do lo ngại về Thương mại Điện tử
•
Người bán lo không thanh toán được
•
Người mua lo không nhận được hàng hoặc hàng sai quy
cách; người mua lo lộ thông tin về thẻ tín dụng
•
Khả năng gian lận do đặc thù của môi trường mạng
•
Chưa có văn bản pháp lý điều chỉnh
•
Làm thế nào để có lòng tin trong Thương mại Điện
tử: Xây dựng luật pháp; Tuyên truyền; Đào tạo ->
biết rõ hơn; Quan sát những mô hình thành công
Chương 7. An toàn mạng
máy tính
5 1-6/2005
Rò rỉ thông tin trong mạng máy tính
•
Alice, Bob, Trudy: các máy tính cụ thể, các dịch vụ cụ thể
(web, mail, DNS, bank…).
•
Bob, Alice muốn “trò chuyện” bí mật; nạn nhân (victim)
của Trudy
•
Trudy (kẻ trộm) muốn và có thể nghe thấy, lưu lại, huỷ
bỏ, sửa đổi thông điệp, gửi thông điệp giả mạo.
(Bob’s girlfriend)

(Alice’s boyfriend)
(Kẻ phá hoại)
www.mot.gov.vn /
www.ecvn.gov.vn
Các hình thức phạm tội và gian lận
•
Khả năng xảy ra tội phạm và gian lận thương mại
trong Thương mại Điện tử cao
•
sử dụng công nghệ, gây khó khăn cho đa số người dùng
•
khung pháp lý xử lý chưa đáp ứng thực tế
•
Bối cảnh
•
không tiếp xúc trực tiếp, khó có thông tin đánh giá về đối
tác
•
không tiếp xúc trực tiếp với hàng hóa
•
các cơ quan phân xử có khó khăn về trình độ khi giải
quyết tranh chấp liên quan đến giao dịch qua phương tiện
điện tử
www.mot.gov.vn /
www.ecvn.gov.vn
Ăn trộm tài khoản
•
Cài hoặc phát tán phần mềm gián điệp nhằm ăn cắp
thông tin
•

Đột nhập hệ thống (hack), chặn bắt các gói thông tin
trên đường truyền
•
chiếm quyền điều khiển hệ thống thông tin
•
thay đổi thông tin
•
làm ngưng hoạt động của hệ thống
•
chiếm quyền sử dụng tài khoản
•
Tại Việt Nam đã phát hiện một số vụ trộm thông tin
tài khoản, làm giả thẻ thanh toán
www.mot.gov.vn /
www.ecvn.gov.vn
Xâm phạm quyền sở hữu trí tuệ
•
Môi trường điện tử là một môi trường rất dễ xảy ra
tình trạng xâm phạm quyền sở hữu trí tuệ.
•
Bản quyền của phần mềm, các bản nhạc, tác phẩm
văn học công bố trên mạng rất dễ dàng bị sao chép,
sử dụng mà không phải tiền bản quyền.
•
Kiểu dáng công nghiệp của các sản phẩm đưa lên
chào hàng trên website có thể bị nhái để làm thành
hàng giả.
•
Ngay cả bí mật thương mại của doanh nghiệp cũng
có thể bị tiết lộ trên Internet.

www.mot.gov.vn /
www.ecvn.gov.vn
Xâm phạm thông tin cá nhân
•
Thu thập thông tin liên quan đến cá nhân mà không
được phép của cá nhân đó, hoặc việc bán thông tin
cá nhân cho bên thứ ba, gửi thư quảng cáo hàng loạt
gây quấy rầy người dùng.
•
Các hình thức phổ biến
•
cài các chương trình ghi lại các thao tác trên bàn phím
(key logger)
•
thiết lập các website giả mạo những website nổi tiếng để
dụ dỗ người dùng cung cấp thông tin cá nhân (phishing)
•
dùng phần mềm rà soát, thu thập thông tin cá nhân
(harvesting)
www.mot.gov.vn /
www.ecvn.gov.vn
10
Lừa đảo trong giao dịch điện tử
•
Lừa đảo trong giao dịch điện tử dễ xảy ra
•
nhận tiền nhưng không giao hàng,
•
giao hàng nhái, hàng giả, hàng kém phẩm chất
•

lợi dụng người mua không có thông tin đầy đủ về
sản phẩm, người bán có thể có những quảng cáo
phóng đại để lừa dối người tiêu dùng
•
Không phải hành vi gian lận nào có sử dụng phương
tiện điện tử thì khi xử lý cũng phải dựa vào Luật
Giao dịch điện tử hoặc các văn bản dưới luật liên
quan.
Xâm nhập bất hợp pháp
•
Sự cố gắng tìm mọi cách để xâm hại đến tính toàn
vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố
gắng vượt qua các cơ chế bảo mật của hệ thống máy
tính hay mạng đó.
•
Việc xâm nhập có thể:
•
xuất phát từ một kẻ tấn công nào đó trên mạng Internet
nhằm giành quyền truy cập hệ thống,
•
một người dùng được phép trong hệ thống đó muốn
chiếm đoạt các quyền khác mà họ chưa được cấp phát.
•
Phát hiện xâm nhập càng có ý nghĩa quan trọng và
cần thiết trong nền tảng bảo mật
Virus máy tính
•
Xuất hiện vào năm 1983, là chương trình máy tính
có khả năng tự nhân bản và lan tỏa.
•

Virus có thể làm tốc độ xử lý của máy tính chậm đi,
có thể xóa file, format lại ổ cứng hoặc gây những hư
hỏng khác.
•
Virus có thể được gửi qua email, ẩn dưới các file
gửi kèm (attachment) và lây nhiễm trong mạng nội
bộ các doanh nghiệp
•
Qua mạng Internet, virus có cơ hội lan truyền nhanh
Thư rác (Spam)
•
Mỗi ngày người dùng có thể nhận nhiều thư
rác, gây mất thời gian, mất tài nguyên như
dung lượng chứa, thời gian tải về
•
Lượng thư rác toàn cầu tăng nhanh chóng và
hiện chiếm tới 86% tổng số email toàn cầu
•
Spam và virut được coi là hai yếu tố hàng đầu
trong các lỗi bảo mật hệ thống đối với các
doanh nghiệp vừa và nhỏ
Sâu máy tính (worms)
•
Sâu máy tính thâm nhập vào hệ thống máy
tính hoặc mạng, có thể tự nhân bản trong toàn
hệ thống mạng.
•
Sâu Internet tự nhân bản và tự gửi chúng qua
hệ thống Internet thông qua những máy tính
bảo mật kém.

•
Sâu email tự gửi những bản nhân bản của
chúng qua hệ thống email với danh bạ địa chỉ
của người dùng
Trojan
•
Là chương trình (malware) thâm nhập vào máy
tính mà người sử dụng máy tính không hay biết.
•
Trojan có thể cài đặt chương trình như: theo dõi
bàn phím (keystroke logger) và gửi “báo cáo” về
cho một địa chỉ email của chủ nhân
•
Người sử dụng máy tính bị nhiễm Trojan có thể
bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín
dụng và những thông tin quan trọng khác
Phishing
•
Giả dạng những tổ chức hợp pháp như ngân
hàng, dịch vụ thanh toán qua mạng để gửi
email yêu cầu cung cấp thông tin cá nhân và
thông tin tín dụng.
•
Gửi email gửi báo người nhận đã may mắn
trúng giải thưởng lớn
•
Tạo ra những website bán hàng, bán dịch vụ
trên mạng để lấy thông tin thẻ tín dụng
Câu hỏi thảo luận
1. Các anh chị nghĩ gì về bảo mật cho khách

hàng và cho doanh nghiệp trong Thương mại
Điện tử ?
2. Các anh chị suy nghĩ gì về lừa đảo trực
tuyến?
www.mot.gov.vn /
www.ecvn.gov.vn
18
An toàn, an ninh thông tin
•
Việc tăng cường an toàn, an ninh thông tin là một
điều kiện rất quan trọng
•
Các tổ chức, doanh nghiệp và người tiêu dùng
khi sử dụng các phương tiện điện tử có kết nối
mạng, đặc biệt là kết nối Internet
•
Đảm bảo hệ thống thông tin có các thiết bị hoặc
phần mềm bảo mật đủ tin cậy, ví dụ thiết bị
phòng chống xâm nhập (IDS, IPS), chương trình
quét virus, chống phần mềm gián điệp, sâu máy
tính, v.v
An toàn hệ thống
•
Cần có quy định an toàn, phòng chống virus
trong mạng nội bộ tránh gián đoạn hoạt động,
mất dữ liệu
•
Cần có những thư mục có password bảo vệ, có
bản back-up (sao lưu) lưu trên đĩa CD/DVD
•

Thường xuyên kiểm nghiệm độ an toàn hệ
thống bằng các phương pháp đánh giá rủi ro
và tấn công trắc nghiệm (Penetration Testing)
•
Có các hệ thống lưu điện, bảo mật cứng như
quy định sử dụng máy chủ
Kỹ thuật tường lửa
•
Chức năng chính của Firewall là kiểm soát luồng
thông tin trao đổi với Internet.
•
Thiết lập cơ chế điều khiển dòng thông tin giữa
mạng bên trong (Intranet) và mạng Internet
•
Kiển soát, cho phép/cấm những dịch vụ truy nhập ra
ngoài hay vào trong (từ Internet Intranet).
•
Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
•
Kiểm soát người sử dụng và việc truy nhập của người sử
dụng.
•
Kiểm soát nội dung thông tin thông tin lưu chuyển trên
mạng
Tường lửa - Firewall
Bảo vệ khách hàng
•
Xây dựng quy chế về thu thập và bảo vệ thông
tin cá nhân cho khách hàng
•

Sử dụng thẻ cứng để xác thực, chống virus và
Trojan, sử dụng tường lửa cá nhân (Personal
Firewall),
•
Các nước có luật về TMĐT, cuối năm 2005, Việt
Nam có "Luật Giao dịch điện tử"
www.mot.gov.vn /
www.ecvn.gov.vn
23
Hoàn thiện khung pháp lý
•
Luật Giao dịch điện tử đã có hiệu lực thi hành, một
số nghị định hướng dẫn Luật cũng đang được gấp
rút xây dựng.
•
Pháp lệnh Bảo vệ người tiêu dùng chưa đề cập đến
những hành vi gian lận thương mại, lừa dối người
tiêu dùng trong môi trường điện tử.
•
Pháp luật về xử phạt vi phạm hành chính và xử lý
hình sự hiện cần bổ sung thêm các chế tài, hình
phạt liên quan đến gian lận thương mại trong thương
mại điện tử.
Bảo vệ cơ sở dữ liệu
•
Thông tin luôn là một tài sản vô giá của doanh
nghiệp và cần được bảo vệ bằng mọi giá
•
Các thông in riêng tư, có giá trị nếu bị tiết lộ sẽ gây
những thiệt hại cho doanh nghiệp

•
Cần thực hiện bảo mật thông qua quyền hạn sử dụng
trong cơ sở dữ liệu,tuy nhiên nhiều hệ quan3 trị
CSDL không có tính bảo mật cao
•
Mã hóa các thông tin quan trọng trong CSDL và
quản lý chặt chẽ các khóa giải mã (key
management)
Bảo vệ máy chủ
•
Quyền truy cập và sự xác nhận với tên tài khoản và
mật khẩu được mã hóa
•
Bảo vệ mạng: sử dụng tường lửa (Firewall) chống
tấn công tầng ứng dụng, chống virus, kiểm soát truy
cập hệ thống
•
Áp dụng thiết bị phát hiện xâm nhập (IDS) cho
mạng (Network IDS) và cho máy chủ (Host IDS)
•
Kiểm soát các lỗ hổng ứng dụng, nhất là ứng dụng
web, mã hóa dữ liệu trên server