Tải bản đầy đủ (.doc) (85 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Thương mại điện tử

An toàn và bảo mật thông tin trong thương mại điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (943.45 KB, 85 trang )

MỞ ĐẦU
Thương mại điện tử ngày càng một lớn mạnh và trở thành một kênh
giao dịch nội địa và quốc tế .Đồng hành với sự phát triển của TMĐT là sự
xuất hiện ngày càng nhiều của các hành vi gian lận trên Internet về cả số
lượng và cách thức. Bởi vì, lợi nhuận từ TMĐT luôn là một nguồn thu nhập
hấp dẫn đối với các tên tội phạm khi mà còn có nhiều doanh nghiệp thiếu
kiến thức lẫn ý thức về bảo mật trong TMĐT cùng với khung luật pháp cho
loại tội phạm này còn chưa đầy đủ. Vấn đề bảo mật, an toàn trên mạng là
một trong những vấn đề nóng hổi trong hoạt động thực tiễn của Thương mại
điện tử.
Bài thuyết trình về “An toàn và bảo mật thông tin trong thương mại
điện tử” sẽ trình bày về những vấn đề cơ bản và thực trạng hiện nay, đồng
thời cũng nêu ra một số biện pháp phòng tránh bảo vệ chúng ta khi tham gia
vào các họat động thương mại điện tử.
Các câu hỏi thường được đặt ra :
+Thương mại điện tử có an toàn không? Nếu có thì tại sao nhiều người vẫn e
ngại khi thanh toán qua Internet?
+ Làm thế nào để người tiêu dùng yên tâm về tính an toàn và độ bảo mật
thông tin của các giao dịch trên Internet?
+ Những việc khác cần làm để bảo vệ khách hàng trên mạng? Làm thế nào
để tôi có thể bảo vệ khách hàng của mình và giành được sự tin cậy của họ?
+Làm thế nào để bảo vệ mình khỏi bị lừa đảo khi sử dụng thương mại điện
tử?
+Doanh nghiệp cần làm gì để bảo mật thông tin cũng như an toàn cho hệ
thống trước các nguy cơ từ mạng máy tính.

Page 1


I.Các vấn đề an toàn và mật cơ bản đặt ra trong TMĐT
Từ góc độ người sử dụng:


-làm sao biết được Web server được sở hữu bởi một doanh nghiệp
hợp pháp?
-àm sao biêt được trang web này không chứa đựng những nội
dung hay mã chương trình nguy hiểm?
- Làm sao biết được Web server không lấy thông tin của mình
cung cấp cho bên thứ 3
Từ góc độ doanh nghiệp:
- Làm sao biết được người sử dụng không có ý định phá hoại hoặc
làm thay đổi nội dung của trang web hoặc website?
-Làm sao biết được làm gián doạn hoạt động của server?
Từ cả hai phía:
-Làm sao biết được không bị nghe trộm trên mạng?
-Làm sao biết được thông tin từ máy chủ đến user không bị thay
đổi?
I.1 Các khía cạnh của an ninh TMĐT
Tính toàn vẹn ( thông tin không bị thay đổi trong quá trình truyền và nhận
tin,thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người
không được phép).
Chống phủ định (các bên tham gia không phủ định hành động trực tuyến
mà họ đã thực hiện).
Chống phủ định liên quan đến khả năng đảm bảo rằng các bên tham gia
thương mại điện tử không phủ định các hành động trực tuyến mà họ đã thực
hiện. Chẳng hạn như một người có thể dễ dàng tạo lập một hộp thư điện tử
qua một dịch vụ miễn phí, từ đó gửi đi những lời phê bính, chỉ trích hoặc các
thông điệp và sau đó lại từ chối những việc làm này. Thậm chí, một khách
hàng với tên và địa chỉ thư điện tử có thể dễ dàng đặt hàng trực tuyến và sau
Page 2


đó từ chối hành động mà mình đã thực hiện. Trong hầu hết các trường hợp

như vậy, thông thường người phát hành thẻ tín dụng sẽ đứng về phía khách
hàng vì người bán hàng không có trong tay bản sao chữ ký của khách hàng
cũng như không có bất cứ bằng chứng hợp pháp nào chứng tỏ khách hàng đã
đặt hàng mình. Và tất nhiên, rủi ro sẽ thuộc về người bán hàng.
Tính xác thực (có thể khiếu nại được..)
Tính xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao
dịch trực tuyến trên Internet, như làm thế nào để khách hàng chắc chắn rằng,
các doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được;
hay những gì khách hàng nói là sự thật ; làm thế nào để biết được một người
khi khiếu nại có nói đúng sự thật, có mô tả đúng sự việc hay không?..
Tính tin cậy
Tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những người có
quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá
trị. Trong một số trường hợp, người ta có thể dễ nhầm lẫn giữa tính tin cậy
và tính riêng tư. Thực chất, đây là hai vấn đề hoàn toàn khác nhau.
Tính riêng tư (thông tin không bị cung cấp cho bên thứ ba sử dụng trái
phép).
Tính riêng tư liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá
nhân mà khách hàng cung cấp về chính bản thân họ. Có hai vấn đề mà người
bán hàng phải chú ý đối với tính riêng tư.
Người bán hàng cần thiết lập các chính sách nôi bộ để có thể quản lý việc sử
dụng các thông tin về khách hàng. Họ cần bảo vệ các thông tin đó tránh sử
dụng vào những mục đích không chính đáng hoặc tránh sử dụng trái phép
các thông tin này. Ví dụ, khi tin tặc tấn công vào các website thương mại
điện tử, truy nhập các thông tin về thẻ tín dụng và các thông tin khác của
khách hàng, trong trường hợp đó, không chỉ xâm phạm đến tính tin cậy của
dữ liệu mà còn vi phạm riêng tư của các cá nhân, những người đã cung cấp
các thông tin đó.

Page 3



Tính lợi ích
Tính ích lợi liên quan đến khả năng đảm bảo các chức năng của một website
thương mại điện tử được thực hiện đúng như mong đợi. Đây cũng là vấn đề
mà các website hay gặp phải và là trở ngại không nhỏ đối với việc thực hiện
các giao dịch trực tuyến trên Internet.
Tóm lại, vấn đề an toàn trong thương mại điện tử đựơc xây dựng trên cơ sở
bảo vệ sáu khía cạnh trên, khi nào một trong số các khía cạnh này chưa được
đảm bảo, sự an toàn trong tThương mại điện tử vẫn coi như chưa được thực
hiện triệt để. Như vậy, an toàn trong thương mại điện tử, trong một môi
trường kinh doanh chứa đựng nhiều rủi ro, luôn là một vấn đề quan trọng và
xuyên suốt trong quá trình hoạt động của doanh nghiệp thương mại điện tử
nhất là khi thương mại điện tử đang phát triển mạnh mẽ

II. Xây dựng chính sách bảo mật
Có thể nói, một hệ thống có chính sách bảo mật hợp lý là biện pháp
tốt nhất để đảm bảo an toàn mạng. Việc xây dựng một chính sách bảo mật là
công việc cần thiết nhằm thiết lập các khung chính sách nhằm đảm bảo an
toàn cho hệ thống, đồng thời đảm bảo hệ thống ổn định và có tính thực thi
cao, có khả năng chống lại những cuộc tấn công từ bên ngoài lẫn bên trong.
1. Những chuẩn bị cần thiết
Nhiệm vụ đầu tiên trong các bước xây dựng một chính sách bảo mật
là xác định được mục tiêu cần bảo mật. Điều này giúp cho nhà quản trị biết
được trách nhiệm trong việc bảo vệ tài nguyên của bản thân hoặc của tổ
chức trên mạng. Ngoài ra, nó còn giúp cho nhà quản trị thiết lập được các
biện pháp đảm bảo hữu hiệu tron quá trình trang bị, cấu hình và kiểm soát
hoạt động của hệ thống.
Những mục tiêu bảo mật mà một nhà quản trị hệ thống cần đạt được
bao gồm:

- Xác định đối tượng cần bảo vệ.
Page 4


- Xác định được nguy cơ đối với hệ thống.
- Xác định được phương án thực thi chính sách bảo mật.
a. Xác định đối tượng cần bảo vệ
Trong một hệ thống, người quản trị phải biết được đối tượng nào là
quan trọng, đối tượng nào là không quan trọng để đưa ra một phương pháp
bảo mật tương xứng. Nghĩa là, người quản trị phải xác định rõ độ ưu tiên của
từng đối tượng cần bảo vệ.
Trước hết, liệt kê tất cả các đối tượng cần được bảo vệ trong hệ thống,
thường bao gồm các máy chủ dịch vụ, các router, các điểm truy cập hệ
thống, tài nguyên, các chương trình ứng dụng, cơ sở dữ liệu trong hệ
thống…
b. Xác định nguy cơ đối với hệ thống cần bảo vệ
Các nguy cơ đối với hệ thống thông thường là các lỗ hổng bảo mật
trong các dịch vụ do hệ thống đó cung cấp. Nếu xác định được chính xác lỗ
hổng bảo mật có thể giúp tránh được các cuộc tấn công hay ít ra tìm được
một phương pháp bảo vệ đúng đắn. Thông thường, các lỗ hổng bảo mật này
nằm trong một số các thành phần sau của hệ thống:
- Các điểm truy cập hệ thống.
- Các nguy cơ trong nội bộ một mạng.
- Các phần mềm ứng dụng.
- Không kiểm soát được cấu hình hệ thống.
c. Xác định các phương án thực thi chính sách bảo mật
Sau khi thiết lập được một chính sách bảo mật, người quản trị cần
thực hiện bước tiếp theo, đó là lựa chọn cho mình các phương án thực thi
một chính sách bảo mật. Một chính sách bảo mật là hoàn hảo khi nó có tính
thực thi cao. Để đánh giá tính thực thi người ta đưa ra các tiêu chí sau:

- Tính đúng đắn.
Page 5


- Tính thân thiện.
- Tính hiệu quả.
Tính đúng đắn là tiêu chí quan trọng nhất để chọn lựa một chính sách
bảo mật. Tiêu chí này sẽ đảm bảo cho sự thành công của chính sách bảo mật
đó. Chẳng hạn, nếu một hệ thống thường xuyên có các nguy cơ bị tấn công
từ bên ngoài thì tính đúng đắn thể hiện ở việc chính sách này cần đảm bảo
kiểm soát được các truy cập của khách hàng vào hệ thống bằng việc dựng
các thủ tục quản lý tài khoản người dùng chặt chẽ.
Tính thân thiện cũng là một tiêu chí cần thiết. Một chính sách bảo mật
cần thiết lập ra các công cụ bảo mật thân thiện với người quản trị và dễ dàng
thực thi các chính sách bảo mật. Đồng thời, tính thân thiện còn đảm bảo các
biện pháp bảo mật trên hệ thống không làm khó hoặc bất tiện đối với người
dùng. Chẳng hạn, những chính sách nhằm kiểm tra tính hợp lệ khi khách
hàng truy cập vào hệ thống, những chính sách về bảo vệ mật khẩu như yêu
cầu khách hàng xác nhận mật khẩu của mình theo định kỳ đều phải dễ dàng
và ai cũng có thể chấp nhận, không gây khó khăn cho họ.
Tính hiệu quả thường được người quản trị quan tâm đến. Một chính
sách bảo mật có thể đảm bảo hệ thống an toàn, tin cậy nhưng cần có chi phí
quá cao so với lợi nhuận mà hệ thống mang lại thì không có tính khả thi vì
vậy nó không hiệu quả.
Đánh giá tính hiệu quả của một chính sách bảo mật cần có thời gian,
dựa trên những lợi ích mà nó mang lại trong thời gian hoạt động.
2. Thiết lập các quy tắc bảo mật
Người sử dụng đóng vai trò quan trọng trong quá trình thực thi một
chính sách bảo mật. Về phía người dùng, họ luôn mong tính đơn giản và dễ
dàng đối với các thủ tục. Do đó, khi xây dựng các chính sách bảo mật, một

mặt phải đảm bảo chính sách đó không cản trở người sử dụng. Mặt khác cần
Page 6


làm cho người sử dụng nhận thức được tầm quan trọng của các chính sách
bảo mật và có trách nhiệm bảo vệ nó.
Người sử dụng cần lưu ý đến một số công việc sau:
- Hãy sử dụng tài khoản hợp lệ.
- Quản lý tài khoản. Bao gồm các hoạt động bảo vệ mật khẩu, thay
đổi mật khẩu định kỳ, sử dụng các phần mềm bảo vệ máy trạm
người sử dụng, đăng suất sau một thời gian time – out.
- Có khả năng phát hiện tài khoản sử dụng trái phép. Người sử dụng
cần được huấn luyện về các cách phát hiện tài khoản của mình bị sử
dụng trái phép.
- Có thói quen lập báo cáo khi gặp sự cố. Cần có thói quen thông báo
các sự cố đến các nhà quản trị hệ thống. Về phía nhà quản trị hệ
thống nên xây dựng một báo cáo mẫu cho người sử dụng.
a. Các thủ tục đối với các hoạt động truy cập không hợp lệ
Để phát hiện các hoạt động truy cập không hợp lệ, người quản trị cần
sử dụng một số công cụ. Các công cụ này có thể đi kèm theo hệ điều hành
hoặc từ các nhà sản xuất phần mềm. Sau đây là một số quy tắc sử dụng các
công cụ phát hiện truy cập không hợp lệ:
- Các công cụ như công cụ theo dõi các file đăng nhập.
- Sử dụng công cụ giám sát khác như sử dụng tiện ích về mạng để
theo dõi các lưu lượng tài nguyên trên mạng nhằm phát hiện những
điểm nghi ngờ.
- Xây dựng kế hoạch giám sát. Do có nhiều công việc phải giám sát
nên việc lên kế hoạch là cần thiết. Kế hoạch giám sát có thể được
lập thông qua các công cụ trên hệ thống như cron, schedule. Kế
hoạch cũng phải đảm bảo các công cụ giám sát không chiếm nhiều

tài nguyên của hệ thống.
Page 7


- Tạo báo cáo từ các thông tin giám sát. Các báo cáo đăng nhập có thể
giúp người quản trị phát hiện ra những điểm yếu của mạng, đồng
thời dự báo hướng phát triển của mạng trong tương lai.
Sau khi thực hiện các bước trên và nếu xác định hệ thống của bạn đang
bị tấn công, bạn hãy thực hiện các công việc cần thiết sau:
- Xác định mức độ nguy hiểm, ảnh hưởng của nó tới hệ thống.
- Xác định hành động phá hoại, kiểu tấn công, thiệt hại nếu có.
- Nếu cần, nhờ luật pháp can thiệp.
- Chú ý rằng, khi phân tích các file đăng nhập, bạn cần chú ý một số
quy tắc sau:
o So sánh các hoạt động trong file log với các cuộc đăng nhập
trong quá khứ. Đối với các hoạt động thông thường, các
thông tin trong file log thường có chu kỳ giống nhau.
o Nhiều hệ thống sử dụng các thông tin trong file đăng nhập tạo
hóa đơn cho khách hàng. Người quản trị có thể dựa vào các
thông tin trong hóa đơn thanh toán để xem xét các truy cập
không hợp lệ nếu có những điểm bất thường như thời điểm
truy cập hay số điện thoại lạ.
o Dựa vào các tiện ích như syslog để xem xét. Đặc biệt là các
thông báo lỗi login không hợp lệ trong nhiều lần.
o Dựa vào các tiện ích kèm theo hệ điều hành để theo dõi các
tiến trình hoạt động trên hệ thống, nhằm phát hiện các tiến
trình lạ những chương trình khởi tạo không hợp lệ.
b. Thủ tục quản lý tài khoản người dùng

Page 8



Thủ tục quản lý tài khoản người dùng là hết sức quan trọng để chống
lại các truy cập hệ thống không hợp lệ. Một số thông tin cần thiết khi quản lý
tài khoản người dùng bao gồm:
- Đối tượng nào có thể truy cập vào hệ thống?
- Một tài khoản sẽ tồn tại trong thời gian bao lâu trên hệ thống?
- Những đối tượng nào có quyền truy cập hệ thống?
Những biện pháp bảo vệ tài khoản người dùng:
- Giám sát chặt chẽ hệ thống quản lý truy cập người dùng như hệ
thống quản lý người dùng trên Windows NT là Database
Management users, còn trên Unix là file /ect/paswwd.
- Đối với một vài dịch vụ cho phép sử dụng các tài khoản mà không
cần mật khẩu hoặc mật khẩu dùng chung, hay người dùng có thể sử
dụng tài khoản guest để truy cập hệ thống thì cần xác định rõ những
tác động của nó đối với hệ thống.
- Kiểm soát chặt chẽ các quyến sử dụng tài khoản trên hệ
thống,không sử dụng quyền root trong các trường hợp không cần
thiết. Đối với các tài khoản không còn sử dụng trên hệ thống thì bạn
cần thay đổi mật khẩu hoặc hủy bỏ.
- Ngoài ra, nên có các biện pháp khác hạn chế tài khoản truy cập theo
thời điểm, địa chỉ máy trạm, các thông tin tài khoản không rõ ràng,
hợp lệ.
c. Các thủ tục quản lý mật khẩu
Trong hầu hết các hệ thống hiện nay đều xác thực truy cập qua mật
khẩu người dùng. Vì vậy, các thủ tục quản lý mật khẩu là hết sức quan trọng.
Các thủ tục quản lý mật khẩu bao gồm:
- Lựa chọn mật khẩu mạnh. Một số quy tắc lựa chọn mật khẩu:
o Không sử dụng chính username làm mật khẩu.
Page 9



o Không sử dụng thông tin liên quan đến cá nhân người dùng
làm mật khẩu như tên chính mình, tên người thân, ngày sinh,
số điện thoại, biển số xe…
o Nên kết hợp giữa các ký tự là số và ký tự chữ.
o Nên sử dụng loại mật khẩu có độ dài vừa đủ (12 ký tự),
không nên quá ngắn (dễ bị hack) hoặc quá dài (khó nhớ).
- Cần có chính sách buộc người sử dụng thay đổi mật khẩu sau một
khoảng thời gian nhất định. Hầu hết các hệ thống đểu hỗ trợ cơ chế
này, nếu không thay đổi mật khẩu, tài khoản sẽ không còn giá trị
trong hệ thống.
- Trong trường hợp mất mật khẩu, để cấp lại mật khẩu mới cần có các
thủ tục để xác thực người sử dụng.
- Cần giám sát, theo dõi chặt chẽ các chương trình đổi mật khẩu.
d. Thủ tục quản lý cấu hình hệ thống
Các thủ tục quản lý hệ thống cần xác định rõ ai là người có quyền hợp
lệ thay đổi cấu hình hệ thống, và những thay đổi phải được thông báo đến
nhà quản lý. Trong các thủ tục quản lý cấu hình hệ thống cần xác định rõ
một số thông tin như:
- Vị trí lưu các file cấu hình chuẩn.
- Quy trình quản lý mật khẩu root.
- Các thuật toán mã hóa mật khẩu đang sử dụng.
e. Thủ tục sao lưu và khôi phục dữ liệu
Sao lưu dữ liệu cũng là một công việc quan trọng. Nó không chỉ để
phòng chống đối với các sự cố về hệ thống phần cứng mà còn có thể giúp
nhà quản trị khôi phục lại dữ liệu nếu hệ thống bị tấn công và thay đổi hệ

Page 10



thống hoặc làm mất dữ liệu. Nếu không có dữ liệu sao lưu sẽ không thể khôi
phục lại hệ thống khi nó bị tấn công.
Nhà quản trị cần xây dựng một kế hoạch cụ thể cho công tác sao lưu
dữ liệu, xác định các phương pháp sao lưu sao cho hiệu quả nhất. Nhà quản
trị có thể sao lưu theo định kỳ. Tùy vào tầm quan trọng của dữ liệu trên hệ
thống mà chu kỳ có thể thay đổi, co thể theo tháng, tuần thậm chí ngày.
f. Thủ tục báo cáo sự cố
Cần xây dựng các mẫu báo cáo chuẩn đến những người sử dụng trong
hệ thống. Các mẫu này sẽ được những người sử dụng điền vào và gửi đến
nhà quản trị hệ thống để họ có thể khắc phục kịp thời.
Đối với người sử dụng, nếu phát hiện tài khoản của mình bị tấn công,
họ cần thông báo ngay đến nhà quản trị thông qua các bản báo cáo. Họ có
thể gửi qua email hoặc điện thoại.
3. Hoàn thiện chính sách bảo mật
Sau khi thiết lập và cấu hình được một chính sách bảo mật hệ thống,
nhà quản trị cần kiểm tra lại tất cả và đánh giá chính sách bảo mật này một
cách toàn diện trên tất cả các mặt cần được xét đến. Bởi một hệ thống luôn
có những biến động về cấu hình, các dịch vụ sử dụng, và ngay cả hệ điều
hành mà hệ thống sử dụng hoặc các thiết bị phần cứng cũng có thể biến
động. Bởi vậy, nhà quản trị cần phải luôn luôn rà soát, kiểm tra lại chính
sách bảo mật trên hệ thống của mình để phù hợp với thực tế hiện hành.
Ngoài ra, việc kiểm tra và đánh giá chính sách bảo mật còn giúp cho nhà
quản trị có kế hoạch xây dựng mạng lưới hệ thống hiệu quả hơn.
Công việc kiểm tra đánh giá được thực hiện thường xuyên liên tục
chứ không thực hiện một lần rồi thôi. Thông thường, kết quả của một chính
sách bảo mật thể hiện rõ nhất ở chất lượng dịch vụ mà hệ thống đó cung cấp.
Page 11



Nhà quản trị có thể dựa vào đó để kiểm tra và đánh giá chính sách bảo mật
có hợp lý hay không và cần thay đổi những gì.
Sau đây là một số tiêu chí để đánh giá một chính sách bảo mật:
- Có tính khả thi và thực thi cao.
- Có thể nhanh chóng phát hiện và ngăn ngừa các hoạt động tấn công.
- Có các công cụ hữu hiệu và đủ mạnh để hạn chế hoặc chống lại các
cuộc tấn công vào hệ thống.
Từ các hoạt động đánh giál, kiểm tra đã nêu, các nhà quản trị hệ thống
có thể rút ra những kinh nghiệm nhằm cải thiện hoặc hoàn thiện chính sách
bảo mật mà họ đã tạo ra. Công việc cải thiện chính sách bảo mật có thể làm
giảm sự cồng kềnh của hệ thống, giảm độ phức tạp, tăng tính thân thiện đối
với người dùng, đơn giản công việc hay kiểm soát chặt chẽ hơn hệ thống đã
xây dựng.
Tất nhiên, những hoạt động hoàn thiện chính sách bảo mật phải diễn ra
trong suốt thời gian tồn tại của hệ thống để phù hợp với yêu cầu thực tế.
IV. Bảo mật thông tin
1. Mục tiêu của bảo mật thông tin
Mục tiêu của bảo mật thông tin là bảo vệ ba thuộc tính của thông tin:
- Tính bí mật.
- Tính toàn vẹn.
- Tính sẵn sàng.
Tính bí mật thông tin là một điều quan trọng. Vì đôi khi, thông tin chỉ
được phép xem bởi những người có thầm quyền. Lý do cần phải giữ bí mật
thông tin vì đó là sản phẩm sở hữu của tổ chức, những thông tin nhạy cảm,
quan trọng hay được giữ bí mật dựa trên những điều khoản giữa tổ chức và
khách hàng của tổ chức.
Page 12


Tính toàn vẹn dữ liệu yêu cầu các thông tin không bị làm sai hỏng, suy

biến hay thay đổi. Việc tiếp nhận và đưa ra quyết định dựa trên các thông tin
đã bị biến đổi sẽ gây ra những thiệt hại nghiêm trọng.
Tính sẵn sàng yêu cầu thông tin phải có khi người có thẩm quyền yêu
cầu. Thiếu đi tính sẵn sàng thông tin sẽ mất đi giá trị của nó.
Tấn công vào tính bảo mật của thông tin là làm lộ ra các thông tin
không được phép truy cập. Tấn công và tính toàn vẹn có thể phá hoại hay
thay đổi thông tin. Tấn công vào tính sẵn sàng gây nên sự từ chối dịch vụ hệ
thống. Tất nhiên có những dạng tấn công gây hư hại cho hệ thống mà không
ảnh hưởng tới một trong ba thuộc tính trên.
Tương tự với ba thuộc tính của thông tin, bảo mật thông tin bao gồm:
- Bảo vệ tính bí mật.
- Bảo vệ tính toàn vẹn.
- Duy trì tính sẵn sàng.
Và tất nhiên, quá trình bảo mật nào cũng cần có kế hoạch. Một kế
hoạch thich hợp có thể làm giảm rủi ro và giảm thời gian tối đa cho việc
phòng ngừa, phát hiện và chống đỡ các cuộc tấn công.
2. Các giai đoạn của quá trình bảo mật thông tin
Bảo mật thông tin là một quá trình trải qua các giai đoạn xây dựng và
củng cố trong một thời gian dài. Quá trình bảo mật không bao giờ xác định
được đích đến tuyệt đối. Nói cách khác, việc bảo mật cho một hệ thống diễn
ra thường xuyên, liên tục, không ngừng nghỉ. Tuy nhiên, bạn có thể chia
chúng ra làm ba giai đoạn khá rõ ràng:
- Phòng ngừa.
- Phát hiện tấn công.
- Đối phó với những cuộc tấn công.
Page 13


Mỗi giai đoạn yêu cầu kế hoạch và hành động để chuyển qua giai đoạn
kế tiếp. Sự thay đổi ở một giai đoạn có thể ành hưởng tới toàn bộ quá trình.

a. Phòng ngừa
Thực hiện những công việc sau có thể giúp cho hệ thống của bạn có
sức đề kháng cao hơn với những cuộc tấn công:
- Đưa ra chính sách an toàn thông tin.
- Giáo dục nhận thức về bảo mật.
- Điều khiển quá trình truy cập.
Xây dựng chính sách an toàn thông tin là xác định những gì cần bảo
vệ, mức độ bảo vệ đối với từng đối tượng. Đông thời chính sách cũng xác
định trách nhiệm của tổ chức, kỷ luật cần thi hành, sự kiểm tra xem xét lại
đối với quá trình bảo mật.
Giáo dục nhận thức về bảo mật là quá trình giáo dục nhân viên về tầm
quan trọng của bảo mật, cách sử dụng các công cụ đo lường bảo mật, các thủ
tục báo cáo về vi phạm chế độ bảo mật và trách nhiệm chung của nhân viên
khi thực thi chính sách an toàn thông tin. Đi kèm với việc giáo dục, nên có
một chế độ khen thưởng các nhân viên thực hiện tốt việc học tập.
Điều khiển quá trình truy cập. Một người dùng không thể truy cập
vào tất cả các hệ thống của tổ chức, cũng như không thể truy cập tất cả các
thông tin trên hệ thống họ đang truy cập. Để thực hiện được điều này cần có
sự quản lý truy cập. Quản lý truy cập dựa trên phương pháp định danh và
xác thực.
 Định danh là số nhận dạng duy nhất, đó là những gì một user ( máy
khách, người, phần mềm ứng dụng, phần cứng, mạng) sử dụng để
phân biệt nó với các đối tượng khác. Một user dùng định danh để tạo
ra dấu hiệu nhận biết anh/ chị là ai. Định danh được tạo ra cho user
Page 14


không được phép chia sẻ với bất kỳ user hay nhóm user nào khác.
User sử dụng định danh để truy cập đến các tài nguyên cho phép.
 Xác thực là quá trình xác nhận tính hợp lệ đối với một định danh. Khi

một người trình diện định danh của mình, quyền truy cập và định
danh đó phải được xác thực. Xác thực đảm bảo một mức độ tin cậy
bằng ba nhân tố sau:
o Những gì bạn biết. Mật khầu là cách được sử dụng thường
xuyên nhất. Tuy nhiên, một cụm từ bí mật hay số PIN có thể
được sử dụng. Đây là kiểu xác thực một nhân tố.
o Những gì bạn có. Nhân tố xác thực này sử dụng những gì bạn
có, chẳng hạn như một tấm thẻ nhận dạng, thẻ thông minh.
Những vật này đòi hỏi người sử dụng phải sở hữu một vật gì đó
để làm vật xác nhận. Đây là một xác thực tin cậy hơn, đòi hỏi
hai nhân tố, chẳng hạn như những gì bạn biết với những gì bạn
có thể nhận thức. Kiểu xác thực này được biết dưới cái tên gọi
là xác thực hai nhân tố hay xác thực nhiều mức.
o Những gì đại diện cho bạn. Đây là nhân tố xác thực tốt nhất.
Đại diện cho bạn có thể là dấu tay, võng mạc hay AND. Việc
đo lường các nhân tố này gọi là trắc sinh học. Quá trình xác
thực tốt nhất này đòi hỏi cả ba nhân tố. Các máy móc hoặc ứng
dụng có độ bảo mật cao sẽ dùng ba nhân tố để xác thực user.
b. Phát hiện tấn công
Không có một giải pháp bảo mật nào là hoàn hảo cho mọi tình huống.
Việc biết được khi nào hệ thống bị tấn công và bị tấn công như thế nào để có
biện pháp chống đỡ cụ thể là rất quan trọng. Việc phát hiện hiểm họa dựa
trên cơ sở bảo vệ theo lớp. Như vậy, khi một lớp bị hỏng thì hệ thống sẽ
Page 15


được biết và được báo động. Yếu tố quan trọng nhất trong biện pháp này là
sự phát hiện đúng lúc và khả năng báo trước nguy hiểm. Hệ thống phát hiện
xâm nhập IDS sẽ được sử dụng cho mục đích này.
Hệ thống IDS có khả năng kiểm soát các hoạt động của hệ thống và

thông báo cho người chịu trách nhiệm khi hoạt động đó cần kiểm tra chứng
thực. Hệ thống có thể dò tìm dấu vết tấn công, những thay đổi trên tập tin,
cấu hình và các hoạt động khác của hệ thống giống như một thiết bị cảnh
báo cháy thông minh có thể báo động được hỏa hoạn, chỉ ra nơi xuất phát
đám cháy, đường dẫn và thông báo cho các trạm cứu hỏa. Vấn để ở đây là,
IDS phải đủ thông minh để phân biệt được sự khác nhau giữa một hoạt động
bình thường và hoạt động nguy hại cho hệ thống, giống như việc phân biệt
được hỏa hoạn thật sự với việc nấu nướng bình thường. Điều này có thiên
hướng là một nghệ thuật hơn là khoa học.
Công cụ dò tìm IDS có thể được đặt ở một chỗ hợp lý trên mạng và
trên tầng ứng dụng, có thể được điều chỉnh để làm việc với một mạng hay
một máy chủ cụ thể. Quá trình điều chỉnh IDS là ghi nhận cho nó một đe dọa
biết trước, kiểu xâm phạm, phương pháp và quá trình thâm nhập.
c. Đối phó với tấn công
Để quá trình phát hiện tấn công có giá trị thì phải có một đáp ứng
đúng lúc. Đáp ứng này cần được lên kế hoạch từ trước. Việc đưa ra quyết
định quan trọng hay xây dựng một chính sách đối phó tấn công trong khi
đang bị tấn công là một phương pháp không tốt lắm.
Có hai hướng giải quyết chính cho việc đối phó với tấn công:
Một là cắt bỏ các kết nối trái phép, loại trừ tận gốc nguyên nhân của
hiểm họa và khôi phục lại hệ thống. Phương pháp tiếp cận này mang tính
khả thi nhiều hơn khi thực thi nhiệm vụ với các máy tính mạnh và thời gian
khôi phục hợp lý. Đây cũng là phương pháp ưa thích của một tổ chức.
Page 16


Hai là theo dõi và bắt giữ kẻ phá hoại. Người quản trị phải xem xét
mỗi giải pháp trong từng trường hợp cụ thể và giải quyết theo thực tế.
3. Thế nào là một hệ thống an toàn thông tin?
Ở trên, chúng ta đã bàn về các giai đoạn bảo mật thông tin. Rất nhiều

hiểm họa đang rình rập bên ngoài, nguy cơ bị mất thông tin khi truyền trên
mạng là thường xuyên. Chẳng hạn, việc thanh toán bằng thẻ tín dụng thông
qua dịch vụ web sẽ gặp một số rủi ro sau:
- Thông tin từ trình duyệt web của khác hàng ở dạng thuần văn bản
nên có thể bị lọt vào tay kẻ khác.
- Trình duyệt web của khách hàng không thể xác định được máy chủ
mà mình trao đổi thông tin có phải là thật hay chỉ là một website giả mạo.
- Không ai có thể đảm bảo được dữ liệu truyền đi có bị thay đổi hay
không.
Vì vậy, các hệ thống cần có cơ chế đảm bảo an toàn trong quá trình
giao dịch điện tử. Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp
ứng các yêu cầu sau:
- Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi là không bị
đánh cắp.
- Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, giả
mạo.
- Hệ thống phải có khả năng kiểm tra tính toàn vẹn dữ liệu.

III Gian lận trong TMĐT
1. Gian lận trong TMĐT là gì?
Tất cả các hành vi gian lận thanh toán trên Internet đều bắt nguồn từ
việc lấy trộm các thông tin nhận dạng thương nhân và người tiêu dùng. Nó
còn phụ thuộc vào khả năng truy cập vào các hệ thống thanh toán để thực
Page 17


hiện các hành vi gian lận. Kết quả là: hàng hóa bị lấy trộm, thông tin nhận
dạng bị lấy trộm, và tiền bị lấy trộm.
a. Giả mạo các thông tin nhận dạng của khách hàng:
Thông tin thẻ tín dụng có thể bị lấy trộm bằng nhiều cách khác nhau,

không phải tất cả đều được thực hiện trực tuyến. Trớ trêu thay, một nguồn
thông tin phổ biến bị lấy trộm là qua những giấy biên nhận thẻ tín dụng được
bỏ đi. Những giấy biên nhận này thường bao gồm số thẻ tín dụng cùng với
ngày giá hạn thẻ, thông tin của hầu hết các giao dịch thẻ tín dụng qua điện
thoại và trực tuyến. Các tên tội phạm còn sử dụng sự trợ giúp của các
“skimmer” để quyết dưới dạng kỹ thuật số các số thẻ tín dụng trong vài giây
để tách ra khỏi các thẻ tín dụng. Cuối cùng, các tên tội phạm có thể có được
thông tin thẻ tín dụng ảo bằng cách xâm nhập vào trong cơ sở dữ liệu của
khách hàng thông qua các web cấu hình sai hay những lỗ hỏng khác của hệ
thống, shopping cart hay nhà cung cấp máy chủ. Các tên tội phạm máy tính
còn biết cách sử dụng các công nghệ phụ trợ. Nhưng chương trình mã hóa tự
động được gọi là “spiders” hay “port scans” cho phép các tên tội phạm nhận
ra được những điểm yếu trong hệ thống của bạn.
Với thông tin thẻ tín dụng đánh cắp được, tội phạm có thể dùng nó để
mua hàng hóa, dịch vụ. Hành vi đó được gọi là “product thieft – ăn trộm
hàng hóa”. Thông tin thẻ tín dụng còn có thể được kết nối với các thông tin
về địa chỉ và số phúc lợi xã hội có giá trị để mở các thẻ tín dụng mới với tên
và địa chỉ của tội phạm. Hành vi này được gọi là “consumer identity theft –
ăn trộm thông tin nhận dạng người dùng” và có thể phá hỏng nghiêm trọng
hồ sơ thẻ tín dụng của người tiêu dùng.
b. Giả mạo thông tin nhận dạng người bán
Cũng giống như các tội phạm ngoại tuyến xâm nhập vào một két tiền,
các tên tội phạm trực tuyến cũng xâm nhập vào két tiền ảo của bạn bằng
Page 18


cách ăn trộm thông tin truy cập của bạn để mạo danh bạn. Hành vi đó được
gọi là “merchant indentity theft – ăn trộm thông tin nhận dạng người bán”.
Tương tự với hành vi ăn trộm thông tin của người tiêu dùng, các tên tội
phạm cũng có thể có được thông tin của người bằng nhiều nguồnl, ngoại

tuyến cũng như trực tuyến. Kẻ trộm có thể là người trong nội bộ, người làm
công hay các khách truy cập rất đơn giản chỉ việc sao chép các thông tin truy
cập và mật khẩu từ những tờ giấy nhắn gắn trên các bàn máy tính. Các tên
tội phạm cũng có thể lẻn vảo trụ sở hay những nơi để giấy tờ để ăn trộm
những thông tin này. Ăn trộm thông tin người bán trực tuyến liên quan đến
việc tấn công vào cơ sỏ dữ liệu của bạn hay các hệ thống back – end để lấy
trộm thông tin người sử dụng của tài khoản payment gateway.
Thông tin này được sử dụng trái phép để truy cập vào tài khoàn
payment gateway của bạn, còn được gọi là “merchant account takeover – sự
tiếp quản merchant account” hay”hijacking – vụ cướp bóc”. Việc tiếp quản
tài khoản cho phép bọn tội phạm lấy trộm tiền trực tuyến từ công ty bạn
bằng cách phát hành các thẻ tín dụng hay các giấy tờ thanh toán khác cho
chúng.
c. Truy cập vào các hệ thống thanh toán
Các thông tin nhận dạng là mục tiêu nhắm đến đầu tiên của các hành vi
gian lận thanh toán trên Internet, nhưng các tên tội phạm cần phải truy cập
vào được các hệ thống thanh toán để thực hiện gian lận. Các tên tội phạm
truy cập vào hệ thống thanh toán thông qua hai kênh chính:
- Trang checkout trên website của bạn.
- Tài khoản payment gateway của bạn.
Trang checkout của bạn là một địa chỉ chung cho tất cả mọi người trên
toàn cầu, 24 giờ trong ngày, 7 ngày trong tuần. Điểm nổi bật của một trang
checkout là bạn có thể giao dịch với bất kỳ ai trên toàn thế giới và cửa hàng
Page 19


của bạn luôn luôn mở cửa. Nhưng những tiện lợi này lại nảy sinh ra các vấn
đề về an toàn. Trong một mưu đồ gian lận quen thuộc, bọn tội phạm truy cập
vào trang checkout của bạn để thử nghiệm các số thẻ tín dụng lấy trộm được
để xem chúng có còn giá trị hay không, hành vi này gọi là “carding”. Mưu

đồ gian lận khác liên quan đến việc sử dụng “generator”, hay các chương
trình phần mềm tự động tạo ra và đăng ký các số thẻ giả mạo cho đến khi họ
truy cập vào được một số thẻ tín dụng có thật. Không có các chương trình
kiểm soát sự an toàn riêng, trang checkout của bạn rất có thể trở thành một
điểm đến hấp dẫn đối với bọn tội phạm.
Các hành vi gian lận tinh xảo hơn liên quan đến việc tiếp quản quyền
kiểm soát cơ sở hạ tầng thanh toán của bạn. Bằng các hành vi merchant
account takeover hay hijacking, các tên tội phạm sử dụng thông tin nhận
dạng người bán để giả mạo bạn. Ngay khi vào được bên trong tài khoản của
bạn, chúng hoàn toàn giành quyền kiểm soát và có thể sử dụng khả năng
truy cập này để ăn trộm tiền hay thực hiện các hành vi phạm tội khác. Việc
lấy trộm tiền rất đơn giản, ngay khi truy cập vào payment gateway của bạn,
bọn tội phạm chuyển tiền từ tài khoản của bạn tới tài khoản của chúng. Bọn
tội phạm còn có thể sử dụng payment gateway của bạn để lấy được các thẻ
tín dụng có giá trị sử dụng trong những hành vi gian lận khác. Thực vậy, qua
việc sử dụng công ty bạn để phạm tội, bạn sẽ thiệt hại hàng nghìn đô la cho
các khoản chi phí xác minh, phí bổi thường và tiền phạt.
Những ước tính về thiệt hại do gian lận gây ra bởi Fraud Type”
- Ăn trộm sản phẩm = 1 - 1000 đô la Mỹ 1 lần
- Ăn trộm thông tin nhận dạng = 1000 – 10.000 đô la Mỹ một lần.
- Ăn trộm tiền = hơn 10.000 đô la Mỹ mỗi lần.
2. Ai có nguy cơ bị gian lận trực tuyến?
Page 20


Cần nhấn mạnh ở đây là tất cả các doanh nghiệp đều có nguy cơ chịu
rủi ro, bất kỳ doanh nghiệp nào, vào bất kỳ lúc nào. Bảng dưới đây liệt kê
các yếu tố có thể làm bọn tội phạm để ý, ưu tiên tấn công bạn nhiều hơn.
Loại doanh nghiệp
Các doanh nghiệp Các tên tội phạm thường sử dụng các kỹ thuật giăng bẫy

không có các

tinh vi bằng cách sử dụng các phần mềm thông minh

chương trình bảo

cho phép chúng tìm kiếm trên Internet các doanh nghiệp

vệ an toàn

có các lỗ hỏng trong hệ thống. Sau đó, bọn tội phạm sẽ
sử dụng thông tin này phá vỡ hệ thống của bạn để lấy
trộm thông tin truy cập vào tài khoản của bạn và thực
hiện các hành vi ăn trộm hay tiếp quản. Không có một
chương trình bảo vệ hệ thống tốt, bạn sẽ là mục tiêu đầu

tiên của loại tội phạm này.
Các doanh nghiệp Đó là một con dao hai lưỡi. Các doanh nghiệp cần phải
có tần số xuất

xuất hiện nhiều để thu hút các khách hàng, lúc này

hiện và giao dịch

những ý đồ gian lận sẽ xuất hiện nhiều hơn đối với các

lớn.

doanh nghiệp phát động các chương trình quảng cáo hay
đưa tin tức rầm rộ. Và bọn tội phạm biết rằng các doanh

nghiệp càng có nhiều giao dịch hơn thì càng có ít thời

gian để quan tâm tới việc chống lại gian lận.
Các sản phẩm hay dịch vụ được bán
Các doanh nghiệp Những mặt hàng này bao gồm các hàng hóa cao cấp như
bán hàng hóa chất máy tính và các thiết bị điện tử khác. Giá trị hàng hóa
lượng cao có thể

lớn, việc tiêu thụ dễ dàng khiến các doanh nghiệp kinh

dễ dàng bán lại
Các thương nhân

doanh các mặt hàng này luôn được tội phạm để ý.
Việc mua những hàng hóa này không đòi hỏi các thông

bán hàng hóa có

tin địa chỉ rõ ràng, tạo sơ hở cho các tên tội phạm che

thể download về

đậy một giao dịch gian lận.
Page 21


từ Internet
Các thương nhân

Cở sở khách hàng

Rất khó khăn để xác nhận địa chỉ hay thông tin nhận

bán hàng trên

dạng của những khách hàng người nước ngoài, và còn

toàn thế giới

khó khăn hơn trong việc điều tra và khởi kiện các hành

vi gian lận từ bên ngoài.
Mùa giao dịch
Các doanh nghiệp Các tên tội phạm sẽ biết bạn bị hạn chế thời gian quan
có khối lượng

tâm đến các biện pháp bảo vệ chống gian lận khi khối

giao dịch lớn vào

lượng giao dịch lớn. Nhưng tại sao lại là quý 4? Trong

quý 4

thời gian này, khối lượng giao dịch thường tăng 2 lần
bởi các dịp lễ tết cuối năm. Đồng hành với nó gian lận

Internet tăng 3 lần.
Các doanh nghiệp Nhiều người tiêu dùng chưa biết đến bạn, giờ đây họ đã
thực hiện chương


biết. Một số tên tội phạm chưa biết đến bạn…

trình khuyến mại

Bọn tội phạm luôn rình mò các chương trình quảng cáo

đặc biệt

khuyến mại đặc biệt. Chúng cũng biết chắc chắn rằng
bạn bị hạn chế về thời gian cho các biện pháp bảo vệ

chống gian lận khi lượng giao dịch tăng cao.
3 Bảo vệ hoạt động kinh doanh trước các hành vi gian lận
Mặc dù những dấu hiệu gian lận ngày càng xuất hiện nhiều và đe dọa
các thương nhân, tuy nhiên có một số cách có thể giúp bạn giảm đáng kể
nguy cơ bị gian lận. Có 3 con đường dẫn đến gian lận chính trên Internet:
các giao dịch đặc biệt, truy cập vào tài khoản payment gateway của bạn và
truy cập vào hệ thống mạng của bạn. Việc bảo vệ công ty bạn trước các hành
vi gian lận đòi hỏi bạn xác định được con đường dẫn bạn đến bị gian lận.
Dịch vụ VeriSign Payflow của bạn đạt tiêu chuẩn với nhiều tính năng bảo vệ
chống gian lận quan trọng, nhưng bạn cần làm cho chúng hoạt động và sử
Page 22


dụng chúng để bảo vệ hoạt động kinh doanh trực tuyến của bạn. Các dịch vụ
bảo vệ chống gian lận của Verisign còn cung cấp các tính năng an toàn cùng
với một giao diện quản lý gian lận riêng, cho phép bạn truy cập và kiểm soát
tất cả các chức năng bảo vệ chống gian lận của bạn một cách dễ dàng và
thuận tiện.
a. Gian lận từ các giao dịch

Phải chắc chắn rằng mối giao dịch mà bạn chấp nhận và thực hiện là
một giao dịch có giá trị về mặt pháp lý. Bạn nên cẩn thận khi phủ nhận hay
từ chối những giao dịch mà bạn nghi vấn nhưng thực tế chúng lại đảm bảo
có giá trị về mặt pháp lý. Sự xác nhận các giao dịch có giá trị bao gồm:
Xác nhận người mua khi có thể. Bao gồm cả việc nhận ra ai là các
khách hàng cũ đã từng mua hàng của bạn nhiều lần. Việc lưu danh sách các
khách hàng cũ có các giao dịch hợp pháp tại site của bạn là rất quan trọng
không chỉ để kiểm soát gian lận mà còn nắm được các xu hướng mua hàng
và cách tạo dựng lòng trung thành của khách hàng. Hãy chắc chắn rằng tất
cả các thông tin khách hàng đều đã được mã hóa và được lưu giữ an toàn.
Hãy tranh thủ tận dụng các chương trình xác minh người mua của
MasterCard và Visa để xác nhận khách hàng và thu lợi từ việc chuyển giao
trách nhiệm pháp lý.
Bảo vệ các nội dung đơn hàng trước các hành vi gian lận. Có một khối
lượng lớn thông tin được tập hợp từ mỗi giao dịch điều đó có thể giúp bạn
hiểu được mức độ nguy hiểm mà bạn có thể phải đối mặt. Hãy đưa vào hoạt
động các dịch vụ xác minh địa chỉ và các tính năng mã hóa an toàn thẻ là
tiêu chuẩn của dịch vụ Payflow của bạn. Các cách bảo vệ khác như kiểm tra
địa chỉ IP và gửi địa chỉ có hiệu lực sẽ làm tăng tính chắc chắn của một giao
dịch với các khách hàng mới. Còn nữa, hãy lưu giữ một danh sách thông tin
được tập hợp từ những đơn đặt hàng có gian lận. Tương tự với danh sách các
Page 23


khách hàng cũ và trung thành của bạn, việc xây dựng danh sách các khách
hàng gian lận, giúp bạn tổ chức hợp lý hơn quy trình thanh toán. Để quản lý
hiệu quả tất cả các thông tin rủi ro được tập hợp từ một giao dịch, điều quan
trọng là sử dụng một bộ các quy tắc tự động hóa quá trình bảo vệ các giao
dịch để bạn có thể nhanh chóng thực hiện các đơn đặt hàng cho các khách
hàng trung thành và ngăn chặn trước các đơn đặt hàng có rủi ro. Các dịch vụ

bảo vệ chống gian lận của Verisign tặng cho bạn một giải pháp tiết kiệm chi
phí và được thừa hưởng từ Verisign các danh sách cập nhật liên tục và thiết
thực về những nguy cơ rủi ro cao.
Xem xét lại các giao dịch có dấu hiệu nghi ngờ. Cuối cùng, xem xét lại
từng giao dịch có nghi ngờ để chắc chắn rằng bạn đang giao dịch với một
khách hàng hợp pháp. Và điều quan trọng là phải đảm bảo rằng bạn có đầy
đủ các thông tin cần thiết để đưa ra quyết định thực hiện đơn đặt hàng của
khách hàng. Các thương nhân trực tuyến ngày nay hủy bỏ 5% tổng số giao
dịch bởi vì họ không có thời gian hay thông tin để có được một giao dịch
hợp pháp từ một giao dịch có dấu hiệu đáng ngờ. Các dịch vụ bảo vệ chống
gian lận của Verisign cho phép bạn xem xét lại một cách tự động và liên tục
các đơn đặt hàng có dấu hiệu rủi ro, trước khi bạn thực hiện chúng bằng
cách cho bạn thời gian để đưa ra một quyết định chắc chắn và có hiểu biết.
Mặc dù những bước này đòi hỏi bạn đầu tư nhiều thời gian và nhân lực,
tuy nhiên sự an toàn trong hoạt động kinh doanh của bạn hoàn toàn phụ
thuộc vào chúng. Các dịch vụ bảo vệ chống lại gian lận của Verisign tự động
quá trình thủ công này vì vậy việc bảo vệ hoạt động kinh doanh trực tuyến
của bạn chống lại các hành vi gian lận sẽ nhanh hơn và không gây rắc rối.
Và giao diện quản lý gian lận “plain English” được tích hợp liền với dịch vụ
Verisign Payflow, vì vậy dễ thiết lập và dễ sử dụng và bạn không cần bất kỳ
một chương trình nào hay bất kỳ kinh nghiệm nào về các hành vi gian lận.
Page 24


b. Gian lận từ tài khoản
Hãy chắc chắn rằng chỉ những người sử dụng được phép mới truy cập
vào được tài khoản payment gateway của bạn và được báo động khi có dấu
hiệu có hành vi truy cập tài khoản bất hợp pháp. Hãy thực hiện các biện
pháp sau để giúp bạn chống lại các gian lận xảy ra tại tài khoản.
Hạn chế truy cập điều hành. Kích hoạt các tính năng “cài đặt giao dịch”

là tiêu chuẩn với dịch vụ Verisign Payflow của bạn. Những chương trình cài
đặt này cho phép bạn hạn chế được truy cập đối với các giao dịch điều hành
có tính rủi ro cao, như việc phát hành thẻ tín dụng. Bạn cũng nên thay đổi
mật khẩu tài khoản của bạn theo một lịch trình đều đặn. Với các dịch vụ bảo
vệ chống gian lận của Verisign, bạn có thể thực hiện các chức năng này cùng
với những chức năng và tính năng ngăn chặn gian lận khác một cách dễ dàng
và tiện lợi qua việc sử dụng giao diện quản lý gian lận riêng được tích hợp
với dịch vụ VeriSign Payflow của bạn.
Kiểm tra các hoạt động tài khoản có dấu hiệu gian lận. Hãy xem xét
các dấu hiệu truy cập trái phép tài khoản của bạn, nó có thể chỉ rõ sự tiếp
quản merchant account. Dịch vụ bảo vệ chống gian lận của Verisign có khả
năng tùy chình với đội ngũ chuyên gia giàu kinh nghiệm về các hành vi gian
lận. Dịch vụ này còn lưu giữ hiện trạng của các merchant account để phát
hiện ra các dấu hiệu nghi ngờ gian lận. Việc kiểm tra tài khoản có thể giúp
bạn có được sự tiếp quản tài khoản trước khi nó gây ra bất kỳ một sự thiệt
hại nào.
c. Gian lận từ hệ thống mạng
Chắc chắn rằng hệ thống mạng của bạn được bảo vệ chống lại sự truy
cập không được phép. Bảo vệ các gian lận từ hệ thống mạng bao gồm:
Hạn chế truy cập vào hệ thống. Kích hoạt tính năng địa chỉ IP “được
cho phép” là tiêu chuẩn trên dịch vụ Verisign Payflow của bạn. Nó đảm bảo
Page 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×