1
An ninh trong
Thương mại điệntử
Khái niệmrủirotrong TMĐT
Rủi ro trong Thương mại điệntử là
những tai nạn, sự cố, tai hoạ xảyra
mộtcáchngẫu nhiên, khách quan
ngoài ý muốncủacon ngườimàgâyra
tổnthất cho các bên tham gia trong
quá trình tiếnhànhgiaodịch trong
Thương mại điệntử
Tổng quan
 Theo báo cáo củaViện An ninh Máy tính
(CSI) và FBI (Mỹ) về thựctrạng các vụ tấn
công vào hoạt động thương mại điệntử năm
2002:
 Các tổ chứctiếptụcphảichịunhững cuộctấncông
qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó.
khoảng 90% cho rằng họđãthấycósự xâm phạm an
ninh trong vòng 12 tháng gầnnhất.
 Các hình thứctấncôngqua mạng mà các tổ chứ
cphải
chịurất khác nhau. Ví dụ, 85% bị virus tấn công, 78%
bị sử dụng trái phép mạng internet, 40% là nạn nhân
củatấn công từ chốidịch vụ (DoS)
Tổng quan
 Thiệthạivề tài chính qua các vụ tấncôngqua
mạng là rấtlớn:
 80% các tổ chức đãphảichịuthiệthạivề tài chính do
hàng loạtcáckiểutấn công khác nhau qua mạng.
 Tổng thiệthạicủanhững tổ chức này khoảng 455 triệu

đôla Mỹ.
 Theo báo cáo của Trung tâm ứng cứukhẩn
cấp máy tính (CERT) của đạihọcCarnegie
Mellon (Mỹ):
 Số lượng nạnnhâncủ
anhững vụ tấn công qua mạng
tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm
2002, con số này cao gấp20 lầnso với con số nạn
nhân năm 1998.
Tổng quan
Hầuhếtcácnước đã thành lậpnhững
trung tâm an ninh mạng mang tính
quốcgia:
 Trung tâm bảovệ Cơ sở hạ tầng quốcgia
(NIPC) trựcthuộcFBI (Mỹ), có chứcnăng
ngănchặnvàbảovệ hạ tầng quốcgiavề viễn
thông, năng lượng, giao thông vậntải, ngân
hàng và tài chính, các hoạt động cấpcứuvà
các hoạt động khác của chính phủ.
 TạiViệtNam cũng
đã thành lập Trung tâm ứng
cứukhẩncấpmáytínhViệtNam (VnCERT)
vào tháng 12/2005
Yêu cầuvề an ninh
 1 -Bímật(secrecy):
• Đảmbảoviệc, ngoài những ngườicóquyền, không ai đọc
đượccácdữ liệu, lấy được các thông tin cá nhân hoặccác
thông tin bí mật khác
 2 - Toàn vẹn (integrity)
• Đảmbảo thông tin không bị thay đổi

 3 - Sẵn sàng (availability)
• Đảmbảo thông điệphoặcmẩutin đượctruyềngửi
 4 - Chống phủđịnh (non-repudiation)
• Đảmbảorằng các bên tham gia không thể phủđịnh các hành
động họđãthựchiện
 5 - Xác thực (authentication)
•Cóthể nhậnbiết đượccácđối tác tham gia giao dịch
2
Những rủirothường gặp
Nhóm rủirovề dữ liệu
Nhóm rủirovề công nghệ
Nhóm rủirovề thủ tục quy trình giao
dịch củacôngty
Nhóm rủirovề luậtphápvàcáctiêu
chuẩncôngnghiệp
Luật pháp và tiêu chuẩn công nghiệp
C¸c thñ tôc quy tr×nh giao dÞch
Công nghệ
Dữ liệu
Những rủirothường gặp
Những rủirothường gặp
Rủirovề dữ liệu
Dữ liệulưutrữ (website, thông tin thẻ
tín dụng)
 Người bán: thay đổi thông tin website, cơ sở
dữ liệu, nhận được đơn hàng giả mạo,…
 Người mua: thông tin cá nhân, nhậnemail giả
tạo,…
 Chính phủ
Dữ liệutrênđường truyền

Rủirovề công nghệ
Rủiroxảyrado bị tấncôngbằng cách
sử dụng công nghệ tin học
Các hình thứctấncôngchủ yếu:
 Virus hay các đoạnmãnguyhiểm (malicilous
code): Virus là chương trình máy tính có khả
năng nhân bảnhoặctự tạocácbảnsaocủa
chính mình và lây lan sang các chương trình,
các tệpdữ liệu khác trên máy tính
 Tin tặc và các chương trình phá hoại
Rủirovề công nghệ
Các hình thứctấncôngchủ yếu
 Khướctừ dịch vụ (DoS, DDoS): Tấn công
bằng cách sử dụng những giao thông vô ích
làm tràn ngậpdẫn đếntắcnghẽnmạng truyền
thông (DoS), hoặcsử dụng số lượng lớncác
máy tính tấncôngvàomộtmạng từ nhiều
điểm khác nhau gây nên sự quá tảivề khả
năng cung cấpdịch vụ (DDoS)
 Kẻ trộmtrênmạng (sniffer)
3
Tấn công DDoS
Máy tính
trường học
Máy tính
trường học
Máy tính
gia đình
Máy tính
Cơ quan

Máy tính
ISP
Hacker
Nạn nhân
Rủirovề thủ tục quy trình giao
dịch củacôngty
Do không kiểmtrakỹđốitác
Do thiếukỹ năng ký kếthợp đồng/ hợp
đồng điệntử
Rủi ro không nhậnhànghoặc không
thanh toán
 VD: vụ 1 công ty VN bị lừagần 15 tỷ khi mua
hàng từ alibaba.com
Rủirovề luậtphápvàcáctiêu
chuẩncôngnghiệp
Về hiệulựcpháplýcủaGiaodịch điện
tử: trên quy mô quốctế, các nước đối
tác có thừanhậngiaodịch điệntử?
Về tiêu chuẩncôngnghiệp: chưatiêu
chuẩn hóa trong mộtsố lĩnh vựccủa
TMĐT
Ảnh hưởng củarủirotớihoạt
động kinh doanh củaDN
Hạnchế hiệuquả kinh doanh
Thiệthạivề vậtchất
Thiệthạivề thông tin, phầnmềm,
phầncứng
Mấtcơ hộikinhdoanh
Ảnh hưởng đếnuytíndoanhnghiệp
Quảntrị rủirotrong TMĐT

Là quá trình xác định các khả năng bị
tấncôngvàđưaracácgiải pháp thích
hợp để phòng hoặcchống lạinhững
tấncôngnày
Những lỗithường gặpkhiquảntrị rủi
ro:
 Thiếu thông tin hoặc đánh giá thấpthôngtin
nhận được
 Xác định biên giới an ninh quá hẹp
 Các quy trình quảntrị rủirolạchậu
 Thiếutraođổivề các khả năng xảyrarủiro
Quảntrị rủirotrong TMĐT
Các bướcquảntrị rủiro:
 Đánh giá các tài sản, khả năng bị tấn công của
từng tài sảnvàmức độ thiệthạinếubị tấn
công
 Lên kế hoạch: Xác định phải phòng chống loại
tấncôngnàovàbiện pháp thựchiện
 Thựchiện
 Giám sát: Theo dõi và đánh giá hiệuquả các
giảiphápthựchiện
4
Phòng tránh rủirotrong
TMĐT
Đảmbảo an toàn trong giao dịch
Đảmbảoan toànđốivớihệ thống
mạng
Tham gia bảohiểm
Bảomậttronggiaodịch
Mã hoá dữ liệu (encryption)

Lớp ổ cắm an toàn (SSL – Secure
Socket Layer)
Các giao dịch điệntử an toàn (SET –
Secure Electronic Transaction)
Mã hóa và
Chữ ký điệntử
Mã hóa dữ liệu
Là quá trình chuyểncácvănbảnhay
các tài liệugốc thành các vănbảndưới
dạng mậtmãđể bấtcứ ai, ngoài người
gửivàngườinhận, đều không thểđọc
được.
Hai phương pháp mã hóa:
 Mã hóa khóa bí mật (mã hóa khóa đốixứng):
sử dụng 01 “chìa khóa”
 Mã hóa khóa công khai (mã hóa khóa không
đốixứng): sử dụng 02 “chìa khóa” khác nhau,
một để mã và một để giải
Mã hóa khóa bí mật
 Sử dụng 1 chìa khóa để vừamãhóavừagiảimã
 Mã Caesar: thay thế cáckýtự của thông điệpbởikýtự
đứng sau nó k vị trí.
• Vd: k=1 thì aÅb, bÅc,…, zÅa
 Phương pháp thế (substitution):
•thaythế ký tự theo bảng thay thế.
• mã Caecar là trường hợp đặcbiệt.
 Các phầnmềmmãhóakhác
• DES, 3-DES
plaintext: bob. See you this monday. alice
ciphertext: nkn. Icc wky uasi hkjvmw. mgsbc

Bảng
thế
Thông
điệp
Mã hóa khóa bí mật
Khóa bí mật Khóa bí mật
Thông
điệp đầu
Thông
điệp đầu
Thuật mã hóa
(VD: DES)
Thuậtgiảimã
Truyền thông
điệp đãmãhóa
5
Mã hóa khóa bí mật
 Đáp ứng yêu cầuvề tính xác thực
•Xácđịnh bên đốitácvìđãtraođổi chìa khóa vớihọ
•Chỉ có bên đốitáccóthể gửi thông điệpvìchỉ có họ biếtchìa
khóa
 Đáp ứng yêu cầuvề tínhtoànvẹn
• Không ai có thể thay đổinội dung thông điệpnếu không biết
khìa khóa
 Đáp ứng yêu cầuvề tính không thể chốibỏ
•Bằng chứng đồng ý vớinội dung thông điệp đãký
 Đáp ứng tính riêng tư
• Không ai khác có thểđọcnội dung thông điệpnếu không biết
chìa khóa
Î THÔNG ĐIỆP ĐÃ ĐƯỢC “KÝ”

Mã hóa khóa bí mật
Nhược điểm:
•Khótraođổi chìa khóa giữangườigửivàngười
nhận
•Mỗi khách hàng phảicómột chìa khóa riêng Æ việc
tạovàquảnlýkhóakhókhăn
•Dễ “giảimã”hơn: brute-force
Sử dụng 1 cặpvới 2 chìa khóa khác
nhau
Một chìa cung cấpcôngkhai, mộtchìa
bí mật
Mỗichìađềucóthể sử dụng để “khóa”
thông điệp. Khi thông điệp đã được
“khóa”, chỉ có chìa khóa cặptương ứng
mớicóthể “mở” được
Thuật toán RSA (Ronald Rivest, Adi
Shamir, Leonard Adelman)
Mã hóa khóa công khai Mã hóa khóa công khai
Khóa bằng chìa khóa công khai:
Thông
điệp đầu
Thông
điệp đầu
Các khóa
công khai
Khóa bí mật
củaB
Khóa công khai
củaB
Thông điệpcoinhư chưa được“ký”

Thuật mã hóa
(VD: RSA)
Thuậtgiảimã
.
Thông điệp đã
mã hóa
Mã hóa khóa công khai
Khóa bằng chìa khóa bí mật:
Khóa bí mật
củaA
Thông
điệp đầu
Thông
điệp đầu
Khóa công khai
củaA
Các khóa
công khai
Thông điệp đã được“ký” CKĐT
Thuật mã hóa
(VD: RSA)
Thuậtgiảimã
.
Thông điệp đã
mã hóa
Chữ ký điệntử
Chữ ký điệntử đượctạolậpdưới
dạng từ, chữ, số, ký hiệu, âm thanh
hoặc các hình thứckhácbằng phương
tiện điệntử, gắnliềnhoặckếthợp

một cách logic với thông điệpdữ liệu,
có khả năng xác nhậnngười ký thông
điệpdữ liệuvàxácnhậnsự chấp
thuậncủangười đó đố
ivớinội dung
củathôngđiệpdữ liệu. (Đ 21 Luật
GDDT)
6
Cỏc loich ký int
Lois dng k thut ngin
Ch, ký t, õm thanh, bn in quột,
Lois dng k thut trung bỡnh
Ch ký dựng mtkhu, PIN, sinh trchc,
Lois dng k thutcao:
Ch ký s (digital signature): s dng thut mó húa
khúa cụng khai
Ch ký s
iu3, Nghnh 26:
"Ch ký s" l mtdng ch ký int
ctorabng s bin imt thụng
ipd lius dng h thng mtmó
khụng ixng theo úngicúc
thụng ipd liuban uvkhoỏcụng
khai cangikýcúth xỏc nh c
chớnh xỏc:
a) Vicbin i nờu trờn ctorabng ỳng
khoỏ bớ mttng ng vi khoỏ cụng khai trong
cựng mtcp khúa;
b) S ton vnni dung ca thụng ipd liuk
t khi thchinvicbin i nờu trờn.

Ch ký s
Trong thut toỏn mó húa khúa cụng
khai v h tng PKI, ch ký s l vic
s dng chỡa khúa bớ mt mó húa
thụng iptúmtt (ctorasau
khi s dng hm rỳt gn)
Hm rỳt gn(hmbm): s dng
túm ttthụngipgc thnh bn
thụng iptúmtt (messege digest)
cú kớch thccnh
Hợp đồng
Quy trình ký s
ố
đầyđủ
Hợp đồng
HĐ rút gọn
1
Ch ký s
Ch ký s
Hợp đồng
Bm
Ký s
Dỏn
phong bỡ
M
phong bỡ
Ch ký s
Hợp đồng
HĐ rút gọn
1

Kimtra
ch ký
Kimtra
nidung
Bm
HĐ rút gọn
2
Máy tính Ngời gửi
Máy tính Ngời nhận
INTERNET
INTERNET
So sỏnh
Thụng
ipgc
v Ch
ký s
(1)
Thụng
ipgc
Ch ký s
Thụng ip
túm ttgc
(2) Ngigis
dng hm bm
(3) Mó húa bng khúa
bớ mtcangigi
Thụng ip
túm tt
Ch ký s
(4) Mó húa bng khúa cụng

cng canginhn
(5) Gichonginhn
Phong bỡ s
(6) Giimóbng khúa bớ mtcangnhn
Phong bỡ s
(7) Giimóbng khúa cụng khai
cangigi
(8) S dng hm
bm
(9)
So sỏnh
Thụng ip
túm ttmi
GI
NHN
(1)
Thụng
ipgc
Qunlýkhúa
PKI: Public Key Infrastructure
Gm:
Ch ký s
Chng thcs (Digital Certificate)
C quan chng thcch ký s (CA
Certification Authority)
H tng mng
7
Quảnlýkhóa
 "Tổ chức cung cấpdịch vụ chứng thựcchữ ký
số" là tổ chức cung cấpdịch vụ chứng thực

chữ ký điệntử thựchiệnhoạt động cung cấp
dịch vụ chứng thựcchữ ký số.
 "Chứng thư số" là mộtdạng chứng thưđiện
tử do tổ chức cung cấpdịch vụ chứ
ng thực
chữ ký số cấp.
(Nghịđịnh 26)
 “Chứng thưđiệntử” là thơng điệpdữ liệudo tổ chức
cung cấpdịch vụ chứng thựcchữ ký điệntử phát hành
nhằmxácnhậncơ quan, tổ chức, cá nhân được
chứng thựclàngườikýchữ ký điệntử. (LuậtGDDT)
Câu hỏi
Đặc điểmnàokhơngphảicủamãkhố
bí mật?
•Khốđể mã và giảigiống nhau
•Ngườigửivàngườinhậncùngbiếtkhốnày
• Chi phí quảnlýkhốthấpvàquảnlýđơngiản
• Doanh nghiệpsẽ phảitạokhốbímậtchotừng
khách hàng
Câu hỏi
Yếutố nào khơng thuộcquytrìnhtạo
lậpchữ ký điệntử?
• Thơng điệpgốc
•Bảntómtắt thơng điệp
• Khố cơng cộng
•Chữ ký điệntử
Câu hỏi
Yếutố nào khơng thuộcquytrìnhxác
nhậnchữ ký điệntử?
• Thơng điệpnhận được

•Khốbímật
•Bảntómtắt thơng điệp
•Kếtquả so sánh hai bảntómlược
Lớp ổ cắman tồn
(SSL)
SSL
SSL là một chương trình an toàn cho việc truyền
thông trên web. Chương trình này bảo vệ các kênh
thông tin trong quá trình trao đổi dữ liệu giữa máy
chủ và các trình duyệt Web thay vì phải bảo vệ từng
mẫu tin. SSL là giao thức Web dùng để thiết lập bảo
mật giữa máy chủ và khách
SSL không thể bảo vệ được các thông tin cá nhân
(như số thẻ tín dụng, các thông tin về cá nhân khách
hàng ) khi các thông tin này lưu giữ trên máy chủ
của người bán.
8
SSL
SSL họat động trên tầng TCP củagiao
thứcOSI
(Open Systems Interconnection),
và trên giao thứckhácnhư Telnet và
HTTP
SSL chứagiaothức“bắttay”
(handshake stage), bảomậtcho
server (và máy khách nếucần), xác
định mã hóa, thuật tóan mã hóa, và
chuyển đổikhóamã
SSL
Các giao dịch điện

tử an tồn - SET
SET
Được thiết kế đặc biệt để bảo vệ các giao dòch
thanh toán trong TMĐT. SET sử dụng các chứng
thực điện tử (VD của VIỆT NAM là http://ca-
vdc.com.vn) để xác thực mỗi bên tham gia trong
một giao dòch thương mại điện tử bao gồm người
mua, người bán, và ngân hàng của người bán.
Trong toàn bộ quá trình giao dòch người bán hàng
không trực tiếp xem được các thông tin về thẻ tín
dụng của khách hàng và các thông tin cũng không
được lưu trữ trên máy chủ của người bán.
An tồn đốivớihệ thống
mạng
Tường lửa (firewall): là phầnmềm
và/hoặcphầncứng ngăncáchmột
mạng vớibênngồi
 Tất cả các luồng thơng tin từ bên trong mạng
máy tính của tổ chức đi ra ngồi và ngược lại
đều phải đi qua thiết bị hay phần mềm này;
 Chỉ các luồng thơng tin được phép và tn thủ
đúng quy định về an tồn mạng máy tính của
tổ chức, mới được phép đi qua
Tường lửa
9
An toàn đốivớihệ thống
mạng
Phòng chống virus
Sử dụng password mạnh
An ninh nguồn nhân lực

Trang thiếtbị an ninh mạng: kiểmsoát
việcra/vàotrụ sở làm việc: thẻ từ,
kiểmtrasinhtrắchọc, …