Tải bản đầy đủ (.doc) (35 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Thương mại điện tử

Một số vấn đề về an ninh thương mại điện tử ở việt nam – thực trạng và giải pháp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (171.75 KB, 35 trang )

I. Phần mở đầu
Internet ngày càng phổ biến trên thế giới. Chính vì thế mà thơng mại điện tử
ngày càng đợc ứng dụng rộng rãi. Không những thế mà thơng mại điện tử
còn giúp chúng ta giải quyết những yêu cầu thiết yếu, cấp bách trên các lĩnh
vực nh hệ thông giao dịch điện tử, thanh toán điện tử mà hoạt động thực tế
của nó còn tạo ra những hiệu quả và lợi ích mà mô hình thơng mại truyền
thống không thể đem lại đợc nh tiết kiệm đợc chi phí đi lại, quảng cáo
( thông qua việc mua bán hay đấu giá trực tuyến thông qua các website
eBay, Amazon, chodientu.com ). Chính vì tiềm lực hết sức to lớn này mà
thơng mại điện tử đang ngày càng có vai trò quan trọng trong nền kinh tế thế
giới.
Nớc ta, mặc dù thơng mại điện tử mới chỉ ở những bớc đầu nhng nó đã thực
sự đem lại những lợi ích không nhỏ cho nền kinh tế. Đây cũng chính là một
trong những phơng tiện giúp chúng ta hội nhập với nền kinh tế thế giới
Tuy nhiên, đi đôi với những lợi ích đó là những rủi ro khi thực hiện kinh
doanh thơng mại điện tử. Chính vì thế vấn đề an ninh thơng mại điện tử là
một vấn đề quan trọng cần đợc nghiên cứu. Đây cũng là lý do em chọn
nghiên cứu đề tài: Một số vấn đề về an ninh thơng mại điện tử ở Việt Nam
Thực trạng và giải pháp.
II. Phần nội dung
1. Cơ sở lý thuyết của vấn đề an ninh thơng mại điện tử
1.1 Khái niệm
Rủi ro trong thơng mại điện tử
Rủi ro trong thơng mại điện tử là những sự cố, tai hoạ xảy ra một cách bất
ngờ nằm ngoài tầm kiểm soát của con ngời hoặc những mối đe doạ nguy
3
hiểm khi xảy ra thì gây tổn thất cho chủ thể tham gia vào hoạt động thơng
mại điện tử
1.2. Các khía cạnh của an ninh thơng mại điện tử
1.2.1. Các khía cạnh an toàn của an ninh thơng mại điện tử
Tính vẹn toàn (Integrity): Đề cập đến khả năng đảm bảo an ninh cho


các thông tin đợc hiển thị trên một website hoặc chuyển hay nhận các thông
tin trên internet. Các thông tin này không bị thay đổi nội dung bằng bất cứ
cách nào bởi ngời không đợc phép.
Trong thơng mại điện tử, nếu khách hàng có nghi ngờ nào về nội dung thông
điệp hoặc sự trung thực của ngời gửi, họ đều có quyền đặt câu hỏi chất vấn
và các quản trị viên hệ thống sẽ là những ngời đầu tiên chịu trách nhiệm về
các vấn đề này. Chính vì vậy, để đảm bảo thông tin, trớc tiên các quản trị
viên hệ thống cần phải xác định chính xác danh sách những ngời đợc phép
thay đổi dữ liệu trên website của doanh nghiệp. Càng có nhiều ngời đợc phép
làm điều này cũng có nghĩa là càng có nhiều mối đe doạ đối với tính toàn
vẹn thông tin cả bên trong và bên ngoài doanh nghiệp.
Chống phủ định ( non-repudiation): Liên quan đến khả năng đảm bảo
rằng các bên tham gia thơng mại điện tử không phủ định các hành động trực
tuyến mà họ đã thực hiện.
Tính xác thực (authencation): Liên quan đến khả năng nhận biết các
đối tác tham gia giao dịch trực tuyến trên internet nh làm thế nào để khách
hàng chắc chắn rằng các doanh nghiệp bán hàng trực tuyến là những ngời có
thể khiếu nại đợc; hay những gì khách hàng nói là sự thật; làm thế nào để
biết đợc một ngời khi khiếu nại có nói đúng sự thật, có mô tả đúng sự việc
hay không?
Tính tin cậy (confidentiality): Tính tin cậy liên quan đến khả năng
đảm bảo rằng ngoài những ngời có quyền, không ai có thể xem các thông
4
điệp và truy cập những dữ liệu có giá trị. Trong một số trờng hợp, ngời ta có
thể nhầm lẫn giữa tính tin cậy và tính riêng t.
Tính riêng t (privacy): Liên quan đến khả năng kiểm soát việc sử dụng
các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ. Có hai
vấn đề ngời bán phải chú ý với tinh riêng t:
- Ngời bán cần thiết lập các chính sách nội bộ để có thể quản lý việc sử
dụng các thông tin về khách hàng.

- Cần bảo vệ các thông tin đó tránh sử dụng vào những mục đích không
chính đáng hoặc sử dụng trái phép các thông tin này.
Tính ích lợi: Liên quan đến khả năng đảm bảo
các chức năng của một website thơng mại điện tử đợc thực hiện đúng nh
mong đợi. Đây là vấn đề mà các website hay gặp phải và là trở ngại không
nhỏ đối với việc thực hiện các giao dịch trực tuyến trên internet.
1.2.2. Các rủi ro trong thơng mại điện tử
Nhóm rủi ro về thông tin
- Lộ bí mật thông tin
Do Internet là một không gian mở, không biên giới, không phân biệt
cho nên thông tin bí mật đợc trao đổi giữa hai bên đối tác rất có thể sẽ bị lộ
ra bên ngoài. Thông tin đó sẽ bị những đối thủ cạnh tranh nắm đợc hay bị sử
dụng vào những mục đích xấu gây tổn hại đến uy tín hình ảnh của công ty
cũng nh thiệt hại về vật chất.
Các công ty rất có nguy cơ gặp phải kẻ trộm trên mạng (sniffer). Đây
là một dạng của chơng trình nghe trộm, giám sát sự di chuyển của thông tin
trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát
hiện các điểm yếu của mạng, nhng ngợc lại, nếu sử dụng vào các mục đích
phạm tội, nó sẽ trở thành những mối hiểm hoạ lớn và rất khó có thể phát
hiện. Kẻ trộm cũng có thể chính là những tin tặc, chuyên ăn cắp các thông
5
tin có giá trị nh thông điệp th điện tử, dữ liệu kinh doanh của các doanh
nghiệp, các báo cáo mật từ bất cứ nơi nào trên mạng.
Xem lén th tín điện tử cũng là một dạng mới của hành vi trộm cắp
thông tin trên mạng. Kỹ thuật xem lén th điện tử sử dụng một đoạn mã ẩn bí
mật gắn vào một thông điệp th điện tử, cho phép ngời nào đó có thể giám sát
toàn bộ các thông điệp chuyển tiếp đợc gửi đi cùng với thông điệp ban đầu.
Và sẽ rất nguy hiểm nếu nh các thông tin bí mật trong nội bộ doanh nghiệp
bị kẻ xấu biết đợc và sử dụng vào những mục đích bất chính.
Đối với thơng mại điện tử, trộm cắp thông tin trên mạng đang là một

mối nguy hại lớn đe doạ tính bảo mật của các dữ liệu kinh doanh quan trọng.
Nạn nhân của nó không chỉ là các doanh nghiệp mà còn có cả những cá
nhân, những ngời có tham gia thơng mại điện tử. Trên thực tế, rất có khả
năng những thông tin cá nhân đợc cung cấp cho các công ty quảng cáo, hoặc
đợc sử dụng sai mục đích. Đây là điều mà khách hàng không hề mong muốn
khi tham gia thơng mại điện tử.
Ngoài ra, trong thơng mại điện tử có nhiều website thơng mại bị phá
huỷ, nhiều doanh nghiệp thơng mại điện tử phải gánh chịu hậu quả do dịch
vụ bị ngng trệ, do bị lộ các thông tin cá nhân hay dữ liệu tín dụng của khách
hàng mà thủ phạm chính là những nhân viên làm việc trong doanh nghiệp,
những ngời đã từng đợc tin tởng và trọng dụng. Những nhân viên làm việc
trong doanh nghiệp có thể truy cập các thông tin bí mật, hoặc xâm nhập tới
mọi nơi trong hệ thống thông tin của tổ chức nếu nh những biện pháp bảo
mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy, trong nhiều
trờng hợp, hậu quả của những đe doạ loại này còn nghiêm trọng hơn những
vụ tấn công từ bên ngoài doanh nghiệp.
Có thể nói giữ bí mật thông tin cho doanh nghiệp trong môi trờng kinh
doanh thơng mại điện tử không phải là điều dễ dàng. Đôi khi chỉ vì sơ suất
6
doanh nghiệp đánh mất thông tin về sản phẩm mới có thể dẫn đến việc đối
thủ cạnh tranh đa ra sản phẩm mới nhanh hơn, mất u thế về thị trờng. Hay
những thông tin về đối tác hoặc khách hàng rơi vào tay đối thủ cạnh tranh có
thể làm cho doanh nghiệp mất nguồn khách hàng. Vì thế đây là một rủi ro
khá phổ biến mà các doanh nghiệp tham gia thơng mại điện tử đều có thể
gặp phải.
- Khó khăn trong quản lý thông tin
Internet là một xa lộ thông tin toàn cầu cho nên việc quản lý đợc lợng
thông tin trên mạng là điều cực kỳ khó khăn. Bất kỳ một cá nhân nào đều có
thể dễ dàng thiết lập đợc một địa chỉ trên mạng. Do vậy một vấn đề đặt ra
cho các doanh nghiệp là liệu các thông tin đợc bảo đảm đến đâu, liệu các

thông tin do các công ty bên đối tác cung cấp có chính xác trung thực hay là
gian dối nhằm mục đích lừa đảo. Trong thơng mại truyền thống, có thể xác
minh khả năng tài chính và các hoạt động kinh doanh của bên đối tác. Tuy
nhiên, trong môi trờng thơng mại điện tử, điều đó không hề dễ dàng.
Hơn thế nữa, không chỉ là những khó khăn trong việc quản lý thông
tin trên mạng, mà ngay cả việc quản lý hệ thống thông tin liên lạc trong nội
bộ doanh nghiệp cũng còn gặp nhiều khó khăn. Thực hiện thơng mại điện tử
không chỉ đơn thuần là một dự án công nghệ. Nó thay đổi các thủ tục và hoạt
động hiện thời của doanh nghiệp, và thờng đòi hỏi những thay đổi lớn về mặt
tổ chức. Kèm theo những thay đổi về cơ cấu tổ chức là những thay đổi trong
cơ sở hạ tầng thông tin liên lạc của doanh nghiệp. Một trong những thách
thức lớn nhất cho các công ty khi thực hiện thơng mại điện tử là quản lý
những thay đổi về tổ chức này.
Trong nhiều trờng hợp, các thay đổi lớn về tổ chức diễn ra xung quanh
việc xử lý thông tin liên lạc. Ví dụ, khả năng liên lạc toàn diện cần trở thành
một phần cơ bản trong cơ sở hạ tầng của doanh nghiệp. Nó có thể đơn giản là
th điện tử, hoặc một ứng dụng khách hàng/ máy chủ đặc biệt. Cơ sở hạ tầng
7
truyền thông, sự phát triển và khuyến khích thói quen sử dụng nó là điều cơ
bản để đảm bảo tính linh hoạt tổ chức, khả năng đáp ứng nhanh chóng các
thay đổi và nắm bắt các cơ hội mới.
Khi một doanh nghiệp đổi mới cơ sở hạ tầng để tăng cờng trao đổi thông tin
thì doanh nghiệp đó cần tìm cách thay thế cơ sở hạ tầng song song bằng một
cơ sở hạ tầng chia sẻ chung. Ví dụ, không nên giữ hai hệ thống tách biệt về
phục vụ khách hàng, một trả lời qua điện thoại và một qua mạng, mà cần
chuyển hai hệ thống đó vào một trạm dữ liệu chung. Điều quan trọng hơn là
tìm cách kết nối các hệ thống phòng ban khác biệt với nhau. Thông tin liên
lạc với khách hàng có thể đợc thu thập từ rất nhiều nguồn (nh mua bán, hỗ
trợ, tiếp thị ), nhng nó cần đợc đa cho những ngời thích hợp, nh các nhà
thiết kế sản phẩm, các kĩ s, và nh thế việc chia sẻ thông tin cần đợc hoàn

thiện càng sớm càng tốt.
Bên cạnh cơ sở hạ tầng thông tin liên lạc còn có nhu cầu quản lý tri thức do
thông tin tạo nên. Đây không phải là điều gì mới lạ. Tuy nhiên, số lợng
thông tin tăng lên và sự chia sẻ thông tin làm cho việc quản lý tri thức ngày
càng quan trọng hơn. Không có nó, các công ty và nhân viên sẽ không thể
tìm và tận dụng các cơ hội, hoặc có thể bị ngợp trong một núi thông tin mà
họ không thể xử lý. Đây chính là một điểm khác biệt khá lớn giữa thơng mại
truyền thống và thơng mại điện tử.
Nhóm rủi ro về kỹ thuật
- Sự xâm nhập của các tin tặc
Tin tặc (hacker) hay tội phạm máy tính là thuật ngữ dùng để chỉ những ngời
truy nhập trái phép vào một website hay hệ thống máy tính. Thực chất, đây là
những ngời quá say mê máy tính, thích tìm hiểu mọi điều về máy tính thông
qua việc lập trình thông minh. Để đùa nghịch, họ đã lợi dụng những điểm
yếu trong hệ thống bảo vệ các website hoặc lợi dụng một trong những u điểm
8
của Internet - đó là một hệ thống mở, dễ sử dụng tấn công nhằm phá hỏng
những hệ thống bảo vệ các website hay hệ máy tính của các tổ chức, các
chính phủ và tìm mọi biện pháp để đột nhập vào những hệ thống đó. Luật
pháp coi các hành vi này là tội phạm. Mục tiêu của các tội phạm loại này rất
đa dạng, đó có thể là hệ thống dữ liệu của các website thơng mại điện tử,
hoặc với ý đồ nguy hiểm hơn, chúng có thể sử dụng các chơng trình phá hoại
(cybervandalism) nhằm gây ra các sự cố, làm mất uy tín hoặc phá huỷ các
website trên phạm vi toàn cầu. Ví dụ, vào ngày 01-04-2001, tin tặc đã sử
dụng các chơng trình phá hoại tấn công vào các máy chủ có sử dụng phần
mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của
phần mềm này và rất nhiều nạn nhân nh Hãng hoạt hình Walt Disney, Nhật
báo phố Wall, hãng xiếc Ringling Brothers and Barnum & Bailey thuộc Tập
đoàn giải trí Feld Entertainment, Inc., Hội chống ngợc đãi động vật Hoa Kỳ
(ASPCA The American Society for the Prevention of Cruelty to Animals)

đã phải gánh chịu hậu quả.
Tin tặc cũng có thể sử dụng các địa chỉ th điện tử giả hoặc mạo danh
một ngời nào đó thực hiện những mu đồ bất chính. Sự lừa đảo cũng có thể
liên quan đến việc thay đổi hoặc làm chệch hớng các liên kết web tới một địa
chỉ khác với địa chỉ thực hoặc tới một website giả mạo website thực cần liên
kết. Những liên kết này có thể sẽ hớng ngời sử dụng tới những website vô bổ,
ngoài mong muốn nhằm thực hiện những mu đồ của tin tặc.
Cho dù các hành vi lừa đảo không làm nguy hại trực tiếp các tệp dữ
liệu hoặc các máy chủ mạng nhng nó đe doạ tính toàn vẹn của một website.
Nếu những kẻ tin tặc làm chệch hớng khách hàng tới một website giả mạo,
giống hệt website mà khách hàng dự định giao dịch, chúng có thể thu thập
các thông tin về đơn đặt hàng và thực hiện các đơn đặt hàng ăn cắp đợc,
những đơn đặt hàng mà lẽ ra phải thuộc về chủ nhân của những website thật.
Hoặc, với mục đích làm mất thanh danh hoặc uy tín của các doanh nghiệp,
9
tin tặc có thể làm thay đổi nội dung các đơn đặt hàng, nh thay đổi số lợng
hay tên các mặt hàng cần mua, sau đó gửi các đơn đặt hàng đã bị thay đổi tới
các website thật. Tất nhiên, khi nhận đợc những hàng hoá không phù hợp,
khách hàng sẽ không chấp nhận những sai sót này. Và trong những trờng hợp
nh vậy, doanh nghiệp sẽ là ngời gánh chịu tất cả, vừa mất uy tín, vừa phải
chịu toàn bộ các chi phí của quá trình thực hiện đơn đặt hàng.
Các hành vi lừa đảo không những đe doạ tính toàn vẹn, mà còn đe doạ
tính xác thực của các giao dịch thơng mại điện tử. Với những trò ranh ma
của mình, tin tặc có thể làm cho các giao dịch thơng mại điện tử trở thành
trắng đen lẫn lộn và cả doanh nghiệp lẫn khách hàng khó có thể xác định
đợc đâu là thật, đâu là giả.
Bên cạnh đó, tin tặc cũng có thể sử dụng những giao thông vô ích làm
tràn ngập và dẫn tới tắc nghẽn mạng truyền thông, hoặc sử dụng số lợng lớn
máy tính tấn công vào một mạng (dới dạng các yêu cầu phân bố dịch vụ) từ
nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ tạo

nên cái gọi là Sự khớc từ phục vụ (DoS Denial of Service).
Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy
tính ngừng hoạt động và trong thời gian đó, ngời sử dụng sẽ không thể truy
cập vào các website. Đối với những website thơng mại điện tử náo nhiệt nh
eBay.com hay Buy.com, những tấn công này cũng đồng nghĩa với những
khoản chi phí vô cùng lớn, vì trong thời gian website ngừng hoạt động,
khách hàng không thể thực hiện các giao dịch mua bán. Doanh nghiệp cũng
có thể mất đi nhiều đơn đặt hàng, nhiều cơ hội kinh doanh đáng kể. Và sự
gián đoạn hoạt động này sẽ ảnh hớng tới uy tín và tiếng tăm của doanh
nghiệp, những điều không dễ dàng gì lấy lại đợc. Mặc dù những cuộc tấn
công này không phá huỷ thông tin hay truy cập vào những vùng cấm của
máy chủ nhng tạo ra nhiều phiền toái, gây trở ngại cho hoạt động của nhiều
doanh nghiệp.
10
- Sự nguy hiểm của các dạng virus máy tính
Virus máy tính là những đoạn mã đợc lập trình ra mà do vô ý hay không cẩn
thận của ngời sử dụng mà virus đợc cài vào hệ thống. Khi đã đợc cài đặt vào
hệ thống, nó sẽ tiến hành phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu của một
công ty, tổ chức (về khách hàng, đối tác, thị trờng ) đợc lu trữ trong máy
tính hay ăn cắp những thông tin tuyệt mật và chuyển những thông tin đó cho
ngời đã gửi virus. Các virus có độ phát tán rất nhanh cho nên mức độ ảnh h-
ởng của nó có thể lan nhanh trong một phạm vi rộng. Các virus có cấu tạo
ngày càng phức tạp và sự phá hoại ngày càng lớn và nghiêm trọng. Hàng
triệu máy tính trên thế giới vào năm 2000 đã từng bị đảo lộn do sự phá hoại
của virus I Love You đợc gửi qua đờng th điện tử từ một kẻ phá hoại ở
Philippin. Mọi dữ liệu trong máy tính của các công ty và cá nhân đều bị xoá
sạch gây thiệt hại hàng tỷ đôla. Vì vậy các công ty cần phải cài đặt những
phần mềm chống virus có hiệu quả và thờng xuyên cập nhật để chống đợc
những virus mới đồng thời hết sức cẩn thận trớc các nguồn thông tin lạ đợc
gửi đến cho mình.

Loại virus phổ biến nhất hiện nay là virus macro, chiếm từ 75% đến
80% trong tổng số các loại virus đợc phát hiện (Study on Computer Crime,
International Computer Security Association, 2000). Đây là loại virus đặc
biệt, chỉ nhiễm vào các tệp ứng dụng đợc soạn thảo, chẳng hạn nh các tệp
văn bản của Microsoft Word, Excel và PowerPoint. Khi ngời sử dụng mở các
tài liệu bị nhiễm virus trong các chơng trình ứng dụng, virus này sẽ tự tạo ra
các bản sao và nhiễm vào các tệp chứa đựng các khuôn mẫu của ứng dụng,
để từ đó lây sang các tài liệu khác. Virus macro cũng có thể dễ lây lan khi
gửi th điện tử có đính kèm tệp văn bản.
Loại virus tệp là những virus thờng lây nhiễm vào các tệp tin có thể
thực thi, nh các tệp tin có đuôi là *.exe, *.com, *.drv và *.dll. Virus này sẽ
hoạt động khi chúng ta thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các
11
bản sao của chính mình ở trong các tệp tin khác đang đợc thực thi tại thời
điểm đó trên hệ thống. Loại virus tệp này cũng dễ dàng lây nhiễm qua con
đờng th điện tử và các hệ thống truyền tệp khác.
Loại virus script là một tập các chỉ lệnh trong các ngôn ngữ lập trình
chẳng hạn nh VBScript (Visual Basic Script) và Javascript. Virus này sẽ hoạt
động khi chúng ta chạy một tệp chơng trình dạng *.vbs hay *.js có nhiễm
virus. Virus I LOVE YOU chính là một ví dụ điển hình của loại virus này.
Trong thực tế, các loại virus nh virus macro, virus tệp, virus script th-
ờng kết nối với một worm (sâu máy tính). Thay vì chỉ lây nhiễm từ tệp tới
tệp, sâu máy tính là một loại virus có khả năng lây nhiễm từ máy tính này
sang máy tính khác. Một sâu máy tính có khả năng tự nhân bản mà không
cần ngời sử dụng hay các chơng trình phải kích hoạt nó. Ví dụ, virus I LOVE
YOU vừa là một virus script, vừa là một sâu máy tính. Nó có khả năng lây
nhiễm rất nhanh qua con đờng th điện tử bằng cách tự gửi bản sao của mình
tới 50 địa chỉ th điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook của ngời
sử dụng.
Khác với các loại khác, virus Con ngựa thành Tơ-roa ban đầu dờng

nh vô hại nhng sau đó có thể mang đến nhiều tai hoạ không ngờ. Bản thân nó
không phải là một loại virus bởi không có khả năng tự nhân bản, nhng chính
nó lại tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vào các hệ
thống máy tính. Chính bởi vậy nó mới có tên là Con ngựa thành Tơ-roa. Nó
xuất hiện vào cuối năm 1989, đợc ngụy trang dới những thông tin về AIDS.
Hơn 10.000 bản sao trên đĩa máy tính, từ một địa chỉ ở London đã đợc gửi
cho những công ty, các hãng bảo hiểm, và các chuyên gia bảo vệ sức khoẻ
trên khắp châu Âu và Bắc Mỹ. Những ngời nhận đã nạp đĩa vào máy tính,
ngay sau đó họ phát hiện ra đó là một con ngựa thành Tơ-roa ác hiểm, đã
xoá sạch các dữ liệu trên đĩa cứng của họ. Những con ngựa thành Tơ-roa
cũng có thể giả dạng các chơng trình trò chơi, nhng thực chất giấu bên trong
12
một đoạn chơng trình có khả năng đánh cắp mật khẩu th điện tử của một ng-
ời và gửi nó cho một ngời khác.
Tóm lại, virus máy tính là mối đe doạ không chỉ với hệ thống của ngời
sử dụng mà cả các hệ thống của tổ chức, cho dù các hệ thống này luôn đợc
bảo vệ kỹ lỡng. Các loại virus nguy hiểm đang và sẽ còn gây ra những tác hại
nghiêm trọng, đe doạ tính toàn vẹn và khả năng hoạt động liên tục, thay đổi
các chức năng, thay đổi nội dung dữ liệu hoặc đôi khi làm ngng trệ toàn bộ
hoạt động của nhiều hệ thống Và, nó cũng chính là một trong những mối
đe doạ lớn nhất đối với an toàn của các giao dịch thơng mại điện tử ngày
nay.
- Lỗi phần mềm hoặc đờng truyền
Làm việc với các đối tác kinh doanh thông qua thơng mại điện tử đòi hỏi sự
cân bằng giữa khả năng của bản thân doanh nghiệp và khả năng của các đối
tác truyền thông. Nếu cơ sở hạ tầng công nghệ thông tin của doanh nghiệp
không tơng thích, sẽ tạo ra những khó khăn trong việc truyền tải những
thông tin về doanh nghiệp và sản phẩm của doanh nghiệp tới khách hàng/ đối
tác. Đây là một trong những mục tiêu của EDI, ví dụ, hình thức của dữ liệu
đợc truyền giữa các đối tác cũng nh phơng tiện truyền tin đều cần đợc tiêu

chuẩn hoá. Nhng các bên hợp tác có thể vẫn cần đổi mới các thủ tục của
mình để xử lý các dữ liệu EDI họ nhận đợc.
Nếu một doanh nghiệp không sẵn sàng, hoặc không thể đáp ứng các yêu cầu
về năng lực thì có thể sử dụng một ngời trung gian. Điều này tỏ ra đặc biệt
hữu ích trong các dự án ngắn hạn. Ngời trung gian có thể cung cấp một mối
liên hệ tạm thời đối với các dữ liệu quan trọng, cung cấp một cơ sở chung
cho các doanh nghiệp trao đổi thông tin với nhau. Điều này cũng giải quyết
đợc vấn đề kiểm soát truy cập. Trong một môi trờng thông tin linh hoạt,
thành viên của cộng đồng thông tin có thể không những xem, mà còn sửa đổi
đợc dữ liệu của ngời khác. Nhiều doanh nghiệp không muốn để ngời ngoài
13
truy cập thông tin của mình, cha nói gì đến cho họ thay đổi thông tin đó.
Việc thiết lập quyền truy cập cho các đối tác, thiết lập một khâu kiểm soát
trung gian và giám sát sự truy cập, cũng nh bảo quản các ngân hàng dữ liệu
có thể phù hợp với các doanh nghiệp muốn chia sẻ dữ liệu mà không phải
duy trì một hệ thống an ninh phụ trợ đối với bên ngoài.
- Mất hoặc bị sao chép, sửa đổi thông tin
Nếu không có sự kiểm soát chặt chẽ, các giao dịch và chứng từ điện tử có thể
dễ dàng bị thay đổi, mất mát, sao chép hoặc sử dụng sai mục đích. Tất cả
những việc này đều có thể dẫn đến những tranh chấp liên quan đến giao dịch
thơng mại điện tử, và liên quan đến quá trình thanh toán.
Bất kỳ dữ liệu nào đợc sắp xếp trên một hệ thống không có ý định công khai
nh báo cáo tài chính, số thẻ tín dụng khách hàng, hoặc ngay cả danh sách địa
chỉ th tín điện tử (e-mail) đều đợc xem là mục đích cho những ngời xâm
phạm hệ thống. Cách thông thờng nhất để thâm nhập hệ thống là giả danh
ngời đợc quyền truy cập hợp pháp để đánh lừa hệ thống bảo vệ.
Ngoài ra, dữ liệu cũng có thể bị thay đổi. Công việc kinh doanh phải
đợc xây dựng, xử lý với những dữ liệu đảm bảo tính toàn vẹn, tức là không bị
thay đổi ngoài ý muốn. Nếu có ai đó xâm nhập hệ thống của doanh nghiệp
và sửa đổi dữ liệu trái ngợc với thông lệ kinh doanh chuẩn, các khách hàng

sẽ không thể tin tởng vào hệ thống của doanh nghiệp nữa, và nguy hiểm hơn,
dữ liệu sai có thể dẫn đến sự sai sót trong xử lý, giao dịch kinh doanh.
Hơn nữa, việc xâm nhập của tin tặc, hoặc các dạng virus máy tính có
thể làm cho doanh nghiệp bị gián đoạn kinh doanh. Khi chu trình kinh doanh
của doanh nghiệp bị trì hoãn hoặc sai hớng, tiềm năng về tài chính sẽ mất đi,
cha kể đến sự mất lòng tin của khách hàng với hệ thống xử lý giao dịch của
doanh nghiệp. Nếu hệ thống xử lý giao dịch thờng xuyên bị gián đoạn nó sẽ
dẫn đến việc mất khách hàng trong môi trờng kinh doanh cạnh tranh mạnh
mẽ nh hiện nay.
14
Khách hàng hoặc đối tác không thể tiếp cận thông tin về sản phẩm:
Trong thơng mại điện tử, thông tin về hàng hoá đều là thông tin số, nói
đơn giản là ngời mua không có điều kiện nếm thử hay dùng thử hàng tr-
ớc khi mua; cha kể tới khả năng bị nhầm lẫn các cơ sở dữ liệu, bị lừa gạt bởi
các thông tin và các tổ chức phi pháp có mặt trên mạng. Vì thế, đang xuất
hiện nhu cầu phải có một trung gian bảo đảm chất lợng (quality guarator) mà
hoạt động hữu hiệu và ít tốn kém; đây là một khía cạnh cơ chế đáng quan
tâm của thơng mại điện tử mà đang đợc chú ý ngày càng nhiều trớc thực tế
các rủi ro ngày càng gia tăng, đánh vào quyền lợi của ngời tiêu dùng. Cơ chế
đảm bảo chất lợng đặc biệt có ý nghĩa với các nớc phát triển, nơi mà dân
chúng cho đến nay vẫn có thói quen tiếp xúc trực tiếp với hàng hoá để kiểm
tra (nhìn, sờ, nếm, ngửi, ) để thử (mặc thử, đội thử, đi thử, ) trớc khi
mua.
Nhìn từ phía doanh nghiệp, đây cũng là một khó khăn lớn mà doanh
nghiệp cần phải giải quyết. Làm thế nào để cho khách hàng/ đối tác thấy đợc
sản phẩm của mình u việt hơn sản phẩm của các đối thủ cạnh tranh khác?
Làm thế nào để hàng hoá dịch vụ của doanh nghiệp không bị lẫn giữa thị tr-
ờng chanh quả? Làm thế nào để khách hàng/ đối tác tin tởng chất lợng hàng
hoá dịch vụ của doanh nghiệp? Đó thực sự là một thách thức mà các doanh
nghiệp tham gia thơng mại điện tử cần phải tìm ra giải pháp khắc phục.

Rủi ro về kỹ thuật
Lợi thế của các công ty đi sau:
Các công ty đi sau trong ứng dụng thơng mại điện tử thờng có lợi thế
hơn nhất là các đối thủ cạnh tranh trực tiếp của doanh nghiệp. Các công ty
này sẽ học tập, bắt chớc cũng nh đúc rút đợc kinh nghiệm để từ đó triển khai
hệ thống của mình tốt hơn thì sẽ thu hút đợc lợng khách hàng hiện tại và
15
tiềm năng của doanh nghiệp làm cho những khoản đầu t của doanh nghiệp sẽ
không thu đợc hiệu quả cao.
Trong thơng mại điện tử, thu hút khách hàng đã khó mà giữ chân
khách hàng lại càng khó hơn. Nếu các công ty tham gia thơng mại điện tử
không chịu thờng xuyên nâng cấp, cập nhật thông tin và đổi mới dịch vụ thì
sẽ có nguy cơ thất bại. Họ không chỉ không thu hút thêm đợc đối tác thơng
mại mà tệ hại hơn, có thể mất đi cả những khách hàng quen thuộc. Khách
hàng luôn có xu hớng tìm đến những nơi có chất lợng sản phẩm tốt nhất,
dịch vụ hoàn hảo nhất. Dù doanh nghiệp có danh tiếng đến đâu vẫn có nguy
cơ mất khách hàng vào tay những doanh nghiệp đi sau với chất lợng sản
phẩm cao hơn và dịch vụ đi kèm hấp dẫn hơn.
Sự hiểu biết của khách hàng/ đối tác về thơng mại điện tử còn hạn chế:
Khách hàng không hiểu hết lợi ích của thơng mại điện tử cũng nh không nắm
vững đợc cách thức thực hiện giao dịch trên mạng sẽ cản trở họ sử dụng th-
ơng mại điện tử. Hơn nữa, về mặt tâm lý, ngời ta thích đi mua sắm, coi mua
sắm nh là một thú vui, một văn hoá chứ không hẳn đã thích mua bán qua
mạng. Ngời ta thích nhìn thấy tận mắt, sờ thấy tận tay những thứ sắp thuộc
về mình trớc khi phải bỏ tiền ra.
Đây là những rủi ro không nhỏ và tơng đối phổ biến. Vì thế, lựa chọn đối tác
cẩn thận và cho đối tác biết rõ những chính sách bảo mật thông tin cũng nh
thanh toán của bản thân doanh nghiệp có thể hạn chế đợc phần nào những rủi
ro phát sinh do nguyên nhân khách hàng hoặc đối tác có những hiểu biết hạn
chế về thơng mại điện tử.

Rủi ro trong hợp đồng điện tử:
- Trong nhiều trờng hợp, doanh nghiệp nhận đợc đơn chào hàng
hay hỏi hàng đợc ký bởi một chữ ký không đảm bảo an toàn, ví dụ nh loại
chữ ký gồm các ký tự đơn giản, chữ ký là một bản quét chữ ký viết tay, chữ
ký xác nhận những thông tin cá nhân, thì cần có một th điện tử yêu cầu
16
đối tác xác nhận thông tin đã nêu. Nếu doanh nghiệp không có sự xác định
lại nhân thân của ngời ký nh thế, rất có khả năng một ngời khác lợi dụng
những thông tin của bên đối tác để gửi chào hàng, đặt hàng giả. Nếu thực
hiện theo những chào hàng, đặt hàng đó, doanh nghiệp sẽ chịu thiệt hại về
vật chất.
- Vấn đề về lu trữ chữ ký điện tử: Doanh nghiệp cần có sự đảm
bảo bảo mật cho các chữ ký điện tử đợc lu giữ trong các máy vi tính vì trong
trờng hợp bất kỳ, ngời nào tiếp cận đợc với chữ ký điện tử đó để ký hợp đồng
thì nghĩa là đã sử dụng nhân thân của chính ngời chủ đích thực của chữ ký.
Và trong trờng hợp đó, ngời chủ đích thực này không còn cách nào khác là
phải công nhận hiệu lực của hợp đồng thơng mại đã ký kết dù điều đó bất lợi
cho anh ta.
- Với các chữ ký sử dụng phơng pháp PKI thì các doanh nghiệp
phải luôn luôn nắm vững các địa chỉ lu trữ phần mã khóa công khai của các
đối tác khác, để khi cần có thể gửi thông tin (đã đợc mật mã bằng mã khoá
công khai) một cách bí mật cho đối tác đó. Trong trờng hợp doanh nghiệp
đánh mất mã khoá, sẽ rất mất thời gian và tốn kém để lấy lại, và đôi khi ảnh
hởng đến việc ký kết hợp đồng với đối tác, ngoài ra có thể gây ra sự mất lòng
tin từ phía đối tác. Hơn nữa, nếu doanh nghiệp để mất mã khoá vào tay ngời
khác, họ có thể giả mạo doanh nghiệp để ký hợp đồng điện tử với đối tác.
Trong trờng hợp này, doanh nghiệp có thể sẽ chịu rất nhiều rủi ro nh: mất
danh tiếng, phải thực hiện những hợp đồng không phải do mình ký, đối tác
không tin tởng
- Phạm vi hiệu lực của hợp đồng thơng mại điện tử và chữ ký điện

tử: Luật pháp một số nớc có thể có những quy định khác nhau, có những hạn
chế nhất định đối với một số loại hợp đồng nhất định phải đợc thành lập và
ký kết dới dạng văn bản giấy mực thông thờng. Thực ra trong điều kiện th-
ơng mại quốc tế, các doanh nghiệp vẫn còn gặp rất nhiều khó khăn do cha có
17
khung luật pháp chung về thơng mại điện tử và chữ ký điện tử giữa các nớc.
Đôi khi hình thái này đợc chấp nhận ở nớc này nhng lại không đợc coi là có
hiệu lực ở một nớc khác. Khi ký kết hợp đồng thơng mại điện tử doanh
nghiệp cần chú ý nghiên cứu kỹ các quy định luật lệ của cả hai nớc để tránh
những rủi ro không đáng có vì hợp đồng vô hiệu, vừa mất thời gian vừa tốn
thêm chi phí.
Rủi ro giao nhận và vận tải hàng hoá:
- Đứng về phía doanh nghiệp, cũng nh trong giao
nhận vận tải truyền thống, doanh nghiệp có thể gặp phải rất nhiều vấn đề
phát sinh trong khi giao hàng nh: khách hàng không nhận đơn hàng, khiếu
nại hàng, đổi hàng và trả lại hàng
- Không nhận đơn hàng: Khi hàng hoá đợc giao tới
tay ngời nhận theo đúng địa chỉ ghi trong hợp đồng, hay trong đặt hàng, nh-
ng khách hàng không nhận hàng. Có thể lỗi thuộc về phía doanh nghiệp nh
hàng hoá cha đúng theo mô tả của đơn hàng nh màu sắc, nớc sản xuất Nh-
ng cũng có thể lỗi thuộc về khách hàng, đặt hàng nhng không có trách nhiệm
với đặt hàng của mình vì không có luật pháp nào ràng buộc họ. Ngoài ra
cũng có thể có lý do ngời khác mạo danh để đặt hàng hoặc ký hợp đồng.
- Khiếu nại hàng: Sau khi đã nhận hàng khách hàng
cũng có thể có những khiếu nại về hàng hoá. Đó có thể là khiếu nại về số l-
ợng, hay chất lợng, hay mẫu mã
Đổi hàng, trả lại hàng: Đối với một số mặt hàng cha đợc tiêu chuẩn hoá, việc
này rất dễ xảy ra do khi đặt hàng qua mạng, khách hàng chỉ cảm nhận
hàng hoá, cha có điều kiện để đánh giá hàng hoá bằng cách thử nên rất có
thể hàng hoá không đáp ứng những yêu cầu của khách hàng.

Rủi ro tín dụng và thanh toán:
18
Thanh toán điện tử đã trở nên khá phổ biến đối với các doanh nghiệp
tham gia thơng mại điện tử. Đây cũng là hình thức thanh toán tơng đối an
toàn đối với các giao dịch loại này. Và chắc chắn trong tơng lai sẽ còn đợc
phát triển mạnh mẽ hơn.
Trong thanh toán thơng mại điện tử, mối đe doạ lớn nhất đối với
khách hàng là bị mất các thông tin liên quan đến thẻ hoặc các thông tin về
giao dịch sử dụng thẻ trong quá trình diễn ra giao dịch. Các tệp chứa dữ liệu
thẻ tín dụng của khách hàng thờng là những mục tiêu hấp dẫn đối với tin tặc
khi tấn công vào các website. Hơn thế nữa, những tên tội phạm có thể đột
nhập vào các website thơng mại điện tử, lấy cắp các thông tin cá nhân của
khách hàng nh tên, địa chỉ, điện thoại Với những thông tin này, chúng có
thể mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ
những mục đích đen tối.
Và cuối cùng, đối với ngời bán hàng, một trong những đe doạ lớn nhất có thể
xảy ra đó là sự phủ định đối với các đơn đặt hàng quốc tế. Trong trờng hợp
một khách hàng quốc tế đặt hàng và sau đó từ chối hành động này, ngời bán
hàng trực tuyến thờng không có cách nào để xác định đợc rằng thực chất
hàng hoá đã đợc giao tới tay khách hàng hay cha và chủ thẻ tín dụng có thực
sự là ngời đã thực hiện đơn đặt hàng hay không. Ngoài ra, khi tiếp nhận đợc
các số thẻ tín dụng trên Internet, các nhà cung cấp không thể xác minh đợc
rằng ngời mua có thực sự là chủ nhân của tấm thẻ đó hay không và cũng
chẳng biết đờng nào để kiểm tra chữ ký của ngời mua.
Thẻ tín dụng là một trong những phơng thức đầu tiên trong thanh toán
điện tử. Đối với phơng thức thanh toán này các doanh nghiệp vẫn còn phải
đối đầu với nhiều rủi ro còn tiềm ẩn. Các doanh nghiệp cần phải đảm bảo
rằng các thông tin nhạy cảm của khách hàng, nh số thẻ tín dụng không bị
chính các nhân viên trong doanh nghiệp mình lợi dụng và cũng không đợc lu
những thông tin cha đợc mã hoá trong bộ nhớ của ổ cứng. Ngay cả khi đã sử

19
dụng chơng trình mã hoá, doanh nghiệp cũng phải thận trọng trong quá trình
số thẻ tín dụng đợc gửi tới máy chủ vì rất có khả năng bị đánh cắp hoặc sử
dụng thông tin một cách bất hợp pháp. Đôi khi khách hàng không hiểu rõ
chính sách của công ty liên quan đến vấn đề sử dụng số thẻ tín dụng trong
thanh toán có thể gây ra những rủi ro bất ngờ.
1.3. Một số giải pháp đảm bảo an ninh trong thơng mại điện tử
1.3.1 Kỹ thuật mã hoá thông tin
Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành
các văn bản dới dạng mật mã để bất cứ ai, ngoài ngời gửi và ngời nhận đều
không thể đọc đợc. Mục đích của kỹ thuật mã hoá là đảm bảo an ninh cho
các thông tin đợc lu giữ, đảm bảo an ninh cho thông tin khi truyền phát. Mã
hoá là một kỹ thuật khá phổ biến, có khả năng đảm bảo bốn khía cạnh trong
sáu khía cạnh an toàn của thơng mại điện tử gồm:
- Đảm bảo tính toàn vẹn của thông điệp
- Chống phủ định
- Đảm bảo tính xác thực
- Đảm bảo tính bí mật của thông tin
Ngày nay, hệ thống mã hoá hiện đại thờng đợc số hoá. Thuật toán dựa trên
các bit đơn của thông điệp chứ không dựa trên ký hiệu chữ cái. Máy tính lu
trữ dữ liệu dới dạng một chuỗi nhị phân, trình tự của các số 1 và 0. Mỗi ký tự
đợc gọi là một bit. Các mã khoá và mã mở là các chuỗi nhị phân với độ dài
khoá đợc xác định sẵn. Các khoá dài hơn có độ mã hoá cao hơn, để giải mã
cần phải mất nhiều thời gian và có khả năng tính toán nhanh hơn, mạnh hơn
Trong thời đại ngày nay, hai kỹ thuật cơ bản thờng đợc sử dụng để mã hoá
thông tin trên internet là mã hoá khoá bí mật và mã hoá khoá công cộng.
Mã hoá bí mật
20
Mã hoá bí mật hay còn gọi là mã hoá khoá bí mật, mã hoá đối xứng hay
mã hoá khoá riêng là mã hoá chỉ sử dụng một khoá cho cả quá trình mã hoá (

đợc thực hiện bởi ngời gửi thông tin) và quá trình giải mã (đợc thực hiện bởi
ngời nhận).
Mã hoá bí mật sử dụng một khoá đối xứng để mã hoá và giải mã thông điệp.
Trong trờng hợp này, ngời gửi mã hoá một thông điệp sử dụng khoá bí mật
đối xứng, sau đó gửi thông điệp đã mã hoá và khoá bí mật đối xứng cho ngời
nhận.
Một vấn đề lớn đối với mã hoá bí mật là trớc khi hai ngời có thể liên lạc an
ninh, họ phải tìm cách trao đổi khoá mã đối xứng một cách an toàn. Có thể
liên lạc qua bu điện truyền thống để trao đổi mã khoá đối xứng( mã khoá bí
mật). Cách thức này có thể an toàn và khả thi nếu thông tin liên lạc chỉ diễn
ra giữa hai ngời, nhng nó lại không phù hợp cho hệ thống lớn. Tính toàn vẹn
và tính bí mật của thông điệp có thể bị vi phạm nếu mật mã lộ trong quá
trình chuyển giữa ngời gửi và ngời nhận. Hơn nữa, vì cả hai bên trong giao
dịch đều dung một mã để mã hoá và giải mã thông điệp, chúng ta không thể
xác định đợc bên nào đã tạo thông điệp. Và để mỗi thông điệp gửi cho một
ngời nhận đợc an toàn chúng ta phải tạo ra các mật mã riêng cho từng ngời
nhận, nh vậy số lợng các mật mã sẽ rất lớn và gây khó khăn cho công tác
quản lý của công ty.
Có một phơng pháp để khắc phục điều này là sử dụng một đơn vị trung tâm
gọi là trung tâm phân phối mật mã (KDC). Trung tâm phân phối chia sẻ mật
mã (khác nhau) với từng ngời sử dụng trong hệ thống. Trong từng giao dịch,
trung tâm sẽ tạo ra mật mã tạm thời sử dụng cho giao dịch đó. Sử dụng
trung tâm giao dịch cho phép khắc phục đợc nhiều nhợc điểm trong phơng
pháp mã hoá bí mật, tuy nhiên an ninh của toàn bộ hệ thống bị phụ thuộc vào
an ninh của trung tâm phân phối mật mã.
Mã hoá công cộng
21
Phơng pháp này sử dụng hai mã khoá trong quá trình mã hoá: một mã dùng
để mã hoá thông điệp và mã khoá khác dùng để giải mã. Hai khoá này có
quan hệ với nhau về mặt thuật toán sao cho dữ liệu đợc mã hoá bằng khoá

này sẽ đợc giải mã bằng khoá kia.
Mỗi ngời sử dụng có hai loại mã khoá: Mã khoá bí mật chỉ riêng mình ngời
đó biết, còn mã khoá công cộng đợc thông báo rộng rãi cho những ngời sử
dụng khác trong hệ thống. Để gửi một thông điệp an ninh, ngời gửi sử dụng
mã khoá công cộng của ngời nhận để mã hoá thông điệp. Ngời nhận khi
nhận đợc thông điệp (đã đợc mã hoá) sẽ sử dụng mã khoá cá nhân của mình
để giảI mã thông điệp. Vì không ai có thể biết đợc mã khoá bí mật của ngời
nhận nên không ai có thể đọc đợc thông điệp đó, tính an ninh của thông điệp
đợc đảm bảo.
Ngời ta có thể sử dụng cả mã khoá bí mật và mã khoá công cộng để mã hoá
thông điệp. Ví dụ, khách hàng sử dụng mã khoá công cộng của ngời bán để
mã hoá thông điệp, lúc này có thể xác minh ngời nhận ngời bán. tuy
nhiên ngời bán lại không thể xác minh đợc ngời gửi khách hàng là ai. Nếu
sử dụng mã khoá bí mật của ngời gửi để mã hoá thông điệp, khi đó thông
điệp chỉ có thể đợc giải mã bằng mã khoá công cộng của ngời gửi. Nh vậy có
thể xác minh đợc ngời gửi là ai.
Hai phơng pháp mã hoá của mã hoá công cộng có thể kết hợp để xác minh
cả hai bên tham gia liên lạc, theo đó cả hai loại mã khoá công cộng và bí mật
đều sử dụng để mã hoá và sau đó ngời nhận cũng dùng cả hai mã khoá này
để giải mã.
1.3.2 Giao thức thoả thuận mã khoá
Một trong những hạn chế của mã khoá công cộng là không hiệu quả khi gửi
số lợng lớn thông tin, dữ liệu vì nó đòi hỏi máy tính có tốc độ nhanh, khả
năng xử lý mạnh. Do vậy phơng pháp mã hoá công cộng khó có thể coi là sự
thay thế hoàn hảo cho phép mã hoá bí mật. Thay vào đó, mã hoá công cộng
22
có thể đợc sử dụng để hai bên tham gia giao dịch trao đổi mã khoá sử dụng
trong mã khoá bí mật. Giao thức thoả thuận mã khoá là quá trình các bên
tham gia giao dịch trao đổi mã khoá. Giao thức đặt ra quy tắc cho thông tin:
loại thuật toán nào sẽ đợc sử dụng trong liên lạc.

Một trong những giao thức thoả thuận mã khoá là phong bì số hoá(digital
envelope). Theo phơng pháp này, thông điệp đợc mã hoá bằng mã khoá bí
mật và sau đó mã khoá bí mật đợc mã hoá sử dụng phơng pháp mã hoá công
cộng. Ngời gửi sẽ gửi kèm thông điệp đã đợc mã hoá( bằng khoá bí mật) và
khoá bí mật đợc mã hoá (bằng khoá công cộng) và gửi toàn bộ cho ngời
nhận.
1.3.3 Chữ ký điện tử
Chữ ký điện tử là bất cứ âm thanh điện tử, ký hiệu hay quá trình điện tử gắn
với hoặc liên quan một cách logic với một văn bản điện tử theo một nguyên
tắc nhất định và đợc ngời ký ( hay có ý định ký) văn bản đó thực thi hoặc áp
dụng.
Chữ ký điện tử là bằng chứng hợp pháp dùng để và đủ để khẳng định trách
nhiệm của ngời ký văn bản điện tử về nội dung của nó, tính nguyên gốc của
văn bản điện tử sau khi đợc chuyển khỏi ngời ký nó.
Cách thức hoạt động của chữ ký điện tử: Các văn bản đợc ký bằng mã
khoá bí mật của ngời tạo ra văn bản đó. Để tăng nhanh quá trình, mã khoá bí
mật đợc sử dụng cho một dạng ngắn hơn của văn bản (dữ liệu), gọi là hash
hay message digest chứ không sử dụng cho toàn bộ dạng nguyên thuỷ của
dữ liệu. Từ đó tạo ra đợc chữ ký điện tử. Chữ ký điện tử có thể đợc lu trữ hay
chuyển đi cùng với dữ liệu. Chữ ký điện tử đợc các bên tham gia giao dịch
kiểm tra khi sử dụng mã khoá công cộng của ngời ký. Đặc điểm này rất quan
trọng, ví dụ khi truyền một tệp dữ liệu không mang virus, bất kỳ ngời nhận
nào có thể kiểm tra liệu tệp đó vẫn ở dạng ban đầu, cha bị thay đổi để ẩn
chứa virus bằng cách kiểm tra chữ ký điện tử đi kèm. Nếu chữ ký điện tử
23
không bị thay đổi, ngời nhận có thể chắc chắn rằng dữ liệu không bị thay đổi
sau khi đợc ký và ngời có mã khoá công cộng chính là ngời đã ký.
Chữ ký điện tử đảm bảo tính nhận dạng theo nhiều cách. Để ký điện tử vào
một văn bản ngời sử dụng kết hợp mã khoá bí mật của mình với tài liệu và
thực hiện tính toán ghép (mã khoá + tài liệu) để tạo ra một số duy nhất gọi là

chữ ký điện tử.
1.3.4 Chứng thực điện tử
Việc nhận dạng đối tác giao dịch đợc tăng cờng thông qua sử dụng chứng
thực điện tử. Trớc khi hai bên tham gia giao dịch , ví dụ A và B, sử dụng ph-
ơng phap mã hoá công cộng để thực hiện liên lạc, mỗi bên đều muốn chắc
chắn nhận dạng chính xác bên kia. Trớc khi B chấp nhận thông điệp gửi kèm
với chữ lý điện tử của A, anh ta muốn đảm bảo rằng mã khoá công cộng đó
là của A và không có ai giả mạo A đang giao dịch với mình. Một phơng pháp
để đảm bảo mã khoá công cộng đó là nhờ một hệ thống an ninh truyền thẳng
từ A tới B, tuy nhiên trong phần lớn các trờng hợp thì khả năng này khó xảy
ra. Một phơng pháp khác là nhờ một bên thứ ba đáng tin cậy hơn xác nhận
rằng mã khoá công cộng đó là của A. Bên thứ ba này đợc gọi là cơ quan
chứng thực (certificate authority). Khi A chứng minh đợc t cách của mình, cơ
quan chứng thực sẽ tạo ra một thông điệp có chứa tên và mã khoá công cộng
của A. Thông điệp này gọi là chứng thực và cơ quan chứng thực ký vào
theo phơng pháp điện tử. Để có hiệu quả thì mã khoá công cộng của cơ quan
chứng thực cũng phải đợc công bố rộng rãi với càng nhiều ngời càng tốt. Do
vậy, nhờ việc sử dụng mã khoá công cộng của một cơ quan làm công cụ xác
minh t cách của đối tác tham gia giao dịch cho phép mọi ngời dễ dàng thực
hiện giao dịch thơng mại điện tử với đọ an ninh và tin cậy cao hơn.
Do vậy, chứng thực điện tử là trung tâm của an ninh trong thơng mai điện tử.
Thông qua bên thứ ba, chứng thực điện tử là công cụ dễ dàng và thuận tiện
để các bên tham gia gia dịch trong thơng mại điện tử tin tởng lẫn nhau.
24
1.3.5 An ninh mạng và bức tờng lửa
Mục tiêu của an ninh mạng là chỉ cho phép ngời sử dụng đợc cấp phép truy
cập thông in và dịch vụ, đồng thời ngăn cản những ngời sử dụng không đợc
cấp phép có thể truy cập vào hệ thống.
Bức tờng lửa: là một phần mềm hoặc một phần cứng cho phép những ngời sử
dụng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác

(nh mạng internet) nhng đồng thời ngăn cấm những ngời sử dụng khác
( không đợc phép) từ bên ngoài truy cập vào mạng mày tính của tổ chức. Một
bức tờng lửa có các đặc điểm sau:
- Tất cả các giao thông từ bên trong mạng máy tính của tổ chức và ngợc
lại đều phải đi qua đó.
- Chỉ các giao thông đợc phép, theo quy định về an ninh mạng máy tính
của tổ chức mới đợc phép đi qua.
- Không đợc phép thâm nhập vào chính hệ thống này.
Tờng lửa là một thiết bị bảo vệ nằm ở biên giới mạng máy tính, tờng lửa
phân chia mạng máy tính thành hai vung riêng biệt, một vùng là vùng tin cậy
và vùng kia là vùng không tin cậy nhằm bảo vệ mọi truy cập trái phép từ
vùng không tin cậy đối với vung tin cậy. Tờng lửa ngăn cản các truy nhập
trái phép bằng cách lọc tất cả những giao dịch theo một luật đã định nghĩa tr-
ớc. Tờng lửa là công cụ thực thi chính sách an ninh mạng máy tính bằng
cách định nghĩa các dịc vụ và các truy nhập đợc phép hoặc bị ngăn cản,
chính sách an ninh mạng máy tính bắt buộc tất cả các truy nhập đều phải
thông qua tờng lửa để cho phép kiểm soát và điều chỉnh khi cần.
Tờng lửa không có tác dụng bảo vệ trong các trờng hợp sau:
- Hành động phá hoại hoặc truy cập trái phép xuất phát từ mạng bên
trong ( vùng mạng tin cậy)
25
- Bảo vệ mạng khỏi những truy cập đợc phép nhng là những truy nhập
mang mục đích xấu. Bởi vì những truy nhập này sau khi đợc xác thực thẩm
quyền thì đợc phép làm mọi thứ trong thẩm quyền của nó.
- Bảo vệ mạng khỏi tất cả các cuộc tấn công có hại. Tin tặc có thể lợi
dụng lỗ hổng của các dịch vụ mà truy nhập đến các cổng này đợc sự cho
phép bởi tờng lửa.
Tờng lửa là một công cụ để bảo vệ an ninh hệ thông mạng máy tính, và nó
phải đợc kèm theo với rất nhiều biện pháp khác thì mới đảm bảo đợc an ninh
thơng mại điện tử.

2. Thực trạng vấn đề an ninh thơng mại điện tử ở Việt Nam
Việt Nam chúng ta hoà nhập internet vào cuối năm 1997, sau đó không lâu
thì thơng mại điện tử đã xuất hiện. Tuy nhiên phải đến những năm gần đây
thì thơng mại điện tử ở nớc ta mới thực sự phát triển.
2.1. Một số thành tựu trong an ninh thơng mại điện tử ở Việt Nam
- Ngày 29/11/2005 Luật Giao dịch điện tử đã đợc Quốc hội phê duyệt.
Theo đó những khía cạnh chủ yếu của giao dịch thơng mại điện tử đã đợc
công nhận tính pháp lý và có cơ chế bảo vệ: thông điệp dữ liệu, chữ ký điện
tử, dịch vụ chứng thực chữ ký điện tử
- Ngày 09/06/2006 Chính phủ đã ban hành nghị định về thơng mại
điện tử (số 57/2006/NĐ - CP) cụ thể các điều, khoản của Luật giao dịch điện
tử, đồng thời nêu ra các chế tài, công cụ, tổ chức quản lý của nhà nớc đối với
giao dịch thơng mại điện tử. Bộ Thơng mại là cơ quan nhà nớc có chức năng
quản lý nhà nớc đối với lĩnh vực này.
26
- Định hớng phát triển thơng mại điện tử
Thủ tớng Chính phủ đã phê duyệt kế hoạch tổng thể phát triển thơng mại
điện tử giai đoạn 2006 2010 theo quyết định số 222/2005/QĐ - TTg vào
ngày 15/09/2005. Trong đó mục tiêu của nớc ta trong việc phát triển thơng
mại điện tử đến năm 2010 là:
Khoảng 60% doanh nghiệp có quy mô lớn tiến hành giao dịch thơng mại
điện tử loại hình B2B.
Khoảng 80% có quy mô vừa và nhỏ tiến hành giao dịch thơng mại điện tử
loại hình B2C hoặc B2B
Khoảng 10% hộ gia đình tiến hành giao dịch thơng mại điện tử loại hình
C2B hoặc C2C.
Các chào thầu mua sắm Chính phủ đợc công bố trên các trang tin của các cơ
quan Chính phủ và ứng dụng giao dịch thơng mại điện tử trong mua sắm
Chính phủ.
- Xây dựng cổng thông tin điện tử

Ngày 26/08/2005 cổng thơng mại điện tử quốc gia ECVN đã đợc khai trơng
tại địa chỉ website , do bộ Thơng mại chủ trì nhằm
xây dựng một cổng thơng mại điện tử cho cộng đồng doanh nghiệp Việt
Nam. ECVN đợc thành lập nhằm hỗ trợ các doanh nghiệp nhanh chóng làm
quen và tham gia vào phơng thức kinh doanh đầy tiềm năng nh thơng mại
điện tử. Qua đó nâng cao sức cạnh tranh của doanh nghiệp trong bối cảnh hội
nhập kinh tế quốc tế đang diễn ra sâu rộng trên phạm vi toàn cầu. ECVN hỗ
trợ các doanh nghiệp mua bán trực tuyến (B2B) trên quy mô lớn thuận lợi,
hiệu quả góp phấn thúc đẩy xuất khẩu.
27

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×