Tải bản đầy đủ (.doc) (23 trang)
  1. Trang chủ
    2. >>
  2. Kinh Doanh - Tiếp Thị
    3. >>
  3. Thương mại điện tử

Vấn đề an ninh bảo mật TMĐT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (268.61 KB, 23 trang )

CHƯƠNG 7: VẤN ĐỀ BẢO MẬT VÀ AN NINH TRÊN MẠNG
7.1 Rủi ro trong thương mại điện tử
7.1.1 Các rủi ro trong thương mại điện tử
7.1.1.1 Khái niệm về rủi ro trong thương mại điện tử
Rủi ro là một khái niệm rộng và các lĩnh vực khác nhau lại có thể hiểu theo rất nhiều
cách khác nhau. Trong đời sống hàng ngày, trong hoạt động kinh tế của con người thường
có những tai nạn, sự cố bất ngờ, ngẫu nhiên xảy ra, gây thiệt hại về người và tài sản. Những
tai hoạ, tai nạn, sự cố xảy ra một cách bất ngờ, ngẫu nhiên như vậy gọi là rủi ro(risk).
Trong lĩnh vực bảo hiểm thì rủi ro lại được hiểu là những tai nạn, tai hoạ, sự cố xảy ra
một cách bất ngờ hoặc những mối đe doạ nguy hiểm khi xảy ra thì gây tổn thất cho đôí
tượng bảo hiểm. Khái niệm rủi ro trong bảo hiểm nhấn mạnh đến yếu tố “ bất ngờ, không
lường trước được” và “ gây tổn thất”.
Trong thương mại truyền thống, khi đi mua hàng người mua có thể gặp những rủi ro
như không nhận được những hàng hoá mà mình đã mua và thanh toán. Nguy hiểm hơn,
khách hàng có thể bị những kẻ xấu lấy cắp tiền trong khi mua sắm. Nếu là người bán hàng
thì có thể rủi ro là không nhận được tiền thanh toán trong khi hàng đã giao. Thậm chí kẻ xấu
có thể lấy trộm hàng hoá hoặc có những hành vi lừa đảo như thanh toán bằng thẻ tín dụng
ăn cắp được hay tiền giả…
Tất cả những rủi ro xuất hiện trong môi trường thương mại truyền thống đều có thể
xuất hiện trong thương mại điện tử dưới hình thức tinh vi và phức tạp hơn cùng với các rủi
ro đặc trưng chỉ có ở thương mại điện tử. Rủi ro đó có thể là cửa hàng trên mạng bị tấn công
và mất hết dữ liệu về các mặt hàng, thông tin khách hàng và các đơn hàng lưu trữ. Tồi tệ
hơn bạn có thể bị mất các thông tin quan trọng của việc thanh toán. Nếu là khách hàng, rủi
ro có thể là mất số thẻ tín dụng, lộ các thông tin cá nhân khi điền tham số mua hàng trực
tuyến…


Hiện nay chưa có một tổ chức cụ thể nào đưa ra khái niệm chính xác về rủi ro trong
thương mại điện tử bởi thực chất đây là một khái niệm trừu tượng không thể định nghĩa
bằng cách định danh hay liệt kê chính xác được.
Rủi ro trong thương mại điện tử là những tai nạn, sự cố, tai hoạ xảy ra một cách ngẫu


nhiên, khách quan ngoài ý muốn của con người mà khi xảy ra gây ra tổn thất cho các bên
tham gia trong quá trình tiến hành giao dịch trong Thương mại điện tử.
7.1.1.2. Phân loại rủi ro trong thương mại điện tử
Việc phân loại rủi ro luôn cần thiết không những chỉ trong lĩnh vực học tập, nghiên
cứu mà còn có ý nghĩa thực tiễn. Phân loại rủi ro giúp nhận biết được một cách khá chính
xác những gì bất thường đang xảy ra, nắm bắt được đặc điểm và chiều hướng phát triển của
nó từ đó có các biện pháp quản lý, phòng tránh và khắc phục một cách thích hợp, có hiệu
quả nhất. Hơn nữa rủi ro trong Thương mại điện tử rất đa dạng và biến đổi nhanh chóng
cùng với sự phát triển của ngành công nghệ thông tin. Do vậy, việc nhận thức được các loại
rủi ro và những tác hại của chúng trong Thương mại điện tử là điều cần thiết.
Có nhiều tiêu chí để phân loại rủi ro trong TMĐT như tính chất của rủi ro, hậu quả hay
quy mô tác động của nó. Theo nguồn gốc phát sinh của chúng có thể phân ra làm hai nhóm:
Nhóm rủi ro xuất phát từ bên ngoài doanh nghiệp và nhóm rủi ro xuất phát từ bên trong.
Trong mỗi nhóm rủi ro đó lại được phân chia làm hai nhóm nhỏ là rủi ro mang tính kỹ thuật
và rủi ro không mang tính kỹ thuật. Việc phân loại này chỉ mang tính tương đối do sự liên
hệ chặt chẽ của các rủi ro đặc biệt lại liên quan nhiều tới vấn đề công nghệ.
* Rủi ro trong Thương mại điện tử có nguồn gốc khách quan:
Nhóm rủi ro có nguồn gốc khách quan có thể chia làm nhiều loại theo các nguyên nhân
khách quan.
Rủi ro do thiên tai:
Thiên tai là những tai hoạ do thiên nhiên gây ra đối với con người và Thương mại điện
tử cũng không phải là một ngoại lệ. Các rủi ro do thiên tai có thể kể ra như bão lụt, sét đánh,
động đất, núi lửa phun, sóng thần, bão từ trường…Một trận lụt có thể làm hư hỏng hết các ổ


cứng và xoá sạch các dữ liệu của công ty về các giao dịch, về khách hàng gây ra thiệt hại
làm đình trệ hoạt đông của doanh nghiệp. Hay một cú sét có thể làm cháy toàn bộ một hệ
thống máy tính đang tiến hành hàng nghìn giao dịch, do vậy làm cho toàn bộ các giao dịch
bị huỷ bỏ và thiệt hại cũng thật ghê gớm. Hay mỗi đợt bão từ làm biến đổi từ trường của
Trái đất gây ra thiệt hại lớn cho ngành viễn thông như phá hoại các vệ tinh, làm tê liệt các

trạm Servers Internet không dây…
Rủi ro do các tai nạn bất ngờ:
Tai nạn bất ngờ là những tai hoạ mà xảy ra ngoài sự kiểm soát của con người và không
thể lường trước được. Những rủi ro do tai nạn bất ngờ có thể kể ra như :mất điện, sự cố bất
ngờ (sudden breakdown), hoả hoạn, chập điện…Bởi vì khi mất điện toàn bộ hệ thống mạng
cục bộ, cũng như các máy chủ đều phải ngừng hoạt động hoặc hoạt động hạn chế làm cho
các giao dịch hầu như không thực hiện được, đó còn chưa kể đến những thiệt hại khi mà
điện mất giữa lúc các giao dịch đang diễn ra.
Rủi ro do các hiện tượng xã hội gây nên:
Đó là những rủi ro gây ra bởi chiến tranh, khủng bố, bạo loạn, đình công…Bên cạnh các
thiệt hại về sinh mạng và vật chất thì còn các thiệt hại về những dữ liệu trong máy tính của
các công ty có văn phòng ở toà nhà, những máy chủ trong toà nhà bị phá huỷ còn gây ra
những thiệt hại cho các bên có quan hệ giao dịch qua mạng với các công ty trong toà nhà
này. Hay các cuộc đình công của nhân viên tin học của các hãng hàng không hoặc du lịch
còn gây thiệt hại cho doanh nghiệp bằng cách không xử lí các đơn đặt vé hoặc đặt phòng…
Rủi ro do những hành động cố ý của các cá nhân:
Đó là những hành động của các hacker hay các tác giả của những virus máy tính nguy
hiểm… Hacker được hiểu với nghĩa rộng là lợi dụng những kỹ thuật, xâm nhập với thiện ý
hay ác ý vào không gian máy tính ngoài quyền hạn. Bên cạnh hacker thì các loại mã nguy
hiểm (malicious) bao gồm các loại virus, sâu máy tính (worm), những “con ngựa thành
Tơroa”(Trojan).


Virus máy tính là những chương trình có kích thước nhỏ, độ lây nhiễm nhanh chủ yếu
qua đĩa mềm khi mà khả năng lưu trữ của máy tính chưa cao. Sau này sự phát triển của
Internet và thư điện tử đã tạo ra một môi trường phát tán mới cho virus. Vì thư điện tử có
thể chứa các file đính kèm với kích thước lớn nên người ta đã mượn khái niệm “sâu máy
tính” để chỉ trường hợp này. Sâu có đặc điểm là kích thước lớn hơn virus, sinh sôi nhanh,
nhiều và có tính phá hoại lớn hơn. Thông qua hệ thống thư điện tử, một con sâu máy tính có
thể tự sinh sôi ra hàng nghìn bản sao và phát tán khắp toàn địa cầu chỉ trong vòng mấy phút

thông qua e-mail.
“ Con ngựa thành Tơroa” (Trojan) là các chương trình gián điệp ẩn trong máy tự động
sao các mã khoá, dữ liệu gửi tới một địa chỉ nhất định, thậm chí có thể cho phép đột nhập
vào máy để thay đổi dữ liệu. Do vậy, Trojan là một phương tiện phổ biến nhằm đánh cắp
các thông tin cá nhân, dữ liệu mật nhất là các chương trình mã nguồn của các sản phẩm
phần mềm và các thông tin bí mật của các đối thủ cạnh tranh.
Tóm lại, các đoạn mã nguy hiểm là mối đe doạ không chỉ với hệ thống của người sử
dụng mà cả các hệ thống của tổ chức, cho dù các hệ thống này luôn được bảo vệ kỹ lưỡng.
Các loại virus nguy hiểm đang và sẽ còn gây ra những tác hại nghiêm trọng, đe doạ tính
toàn vẹn và khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi nội dung dữ liệu
hoặc đôi khi làm ngưng trệ toàn bộ hoạt động của nhiều hệ thống. Và, nó cũng chính là một
trong những mối đe doạ lớn nhất đối với an toàn của các giao dịch thương mại điện tử ngày
nay.
- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
Tin tặc (hacker) hay tội phạm máy tính là thuật ngữ dùng để chỉ những người truy
nhập trái phép vào một website hay hệ thống máy tính. Thực chất, đây là những người quá
say mê máy tính, thích tìm hiểu mọi điều về máy tính thông qua việc lập trình thông minh.
Để đùa nghịch, họ đã lợi dụng những điểm yếu trong hệ thống bảo vệ các website hoặc lợi
dụng một trong những ưu điểm của Internet - đó là một hệ thống mở, dễ sử dụng tấn công
nhằm phá hỏng những hệ thống bảo vệ các website hay hệ máy tính của các tổ chức, các


chính phủ và tìm mọi biện pháp để đột nhập vào những hệ thống đó. Luật pháp coi các hành
vi này là tội phạm. Mục tiêu của các tội phạm loại này rất đa dạng, đó có thể là hệ thống dữ
liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn, chúng có thể sử
dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự cố, làm mất uy tín
hoặc phá huỷ các website trên phạm vi toàn cầu.
Ví dụ, vào ngày 01-04-2001, tin tặc đã sử dụng các chương trình phá hoại tấn công
vào các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm
làm giảm uy tín của phần mềm này và rất nhiều nạn nhân như Hãng hoạt hình Walt Disney,

Nhật báo phố Wall, hãng xiếc Ringling Brothers and Barnum & Bailey thuộc Tập đoàn giải
trí Feld Entertainment, Inc., Hội chống ngược đãi động vật Hoa Kỳ (ASPCA – The
American Society for the Prevention of Cruelty to Animals) đã phải gánh chịu hậu quả.
* Rủi ro trong Thương mại điện tử có nguồn gốc chủ quan:
Rủi ro có nguồn gốc chủ quan ngày càng phổ biến hơn do số lượng người sử dụng
Internet tăng mạnh. Tuy nhiên, nhóm rủi ro này có thể gồm một số loại sau:
Rủi ro do lừa đảo:
Lừa đảo trong Thương mại điện tử là việc tin tặc sử dụng các địa chỉ thư điện tử giả
hoặc mạo danh một người nào đó thực hiện những mưu đồ bất chính. Sự lừa đảo cũng có
thể liên quan đến việc thay đổi hoặc làm chệch hướng các liên kết Web tới một địa chỉ káhc
với địa chỉ thực hoặc tới một Website giả mạo Website thực cần liên kết. Những liên kết
này có thể sẽ hướng người sử dụng tới những website vô bổ, ngoài mong muốn nhằm thực
hiện những mưu đồ tin tặc. Hiện nay, liên tục các vụ lừa đảo trên mạng xảy ra dưới hình
thức giả mạo các ngân hàng có dịch vụ trực tuyến như Citibank ở Hoa Kì, Halifax và Barlay
ở Anh, ANZ, ASB, BNZ ở NewZealand để ăn cắp tên và mật khẩu truy cập tài khoản. Thủ
đoạn của bọn lừa đảo là gửi các thư điện tử có xuất xứ na ná với Websites của các ngân
hàng với nội dung như vì lý do an ninh hoặc có thay đổi trong hệ thống tài khoản nên yêu
cầu người nhận thư cung cấp tên và mật khẩu của tài khoản để đăng nhập lại. Thậm chí,
chúng còn đưa các đường dẫn vào trong thư điện tử hoặc thiết lập trang Web giả mạo cùng


các đường dẫn kê khai như trường hợp của ngân hàng ANZ và người nhận sẽ tự để lộ tên tài
khoản và mật khẩu vào tay chúng khi nhấp chuột vào các đường dẫn này. Ví dụ điển hình là
vụ lừa đảo qua mạng ở NewZealand, trang web có địa chỉ làwww.devancy.com tự xưng là
đối tác của các ngân hàng nổi tiếng trong khu vực như ANZ, ASB, BNZ, National Bank và
Westpac.Thủ đoạn của những kẻ lừa đảo là thuyết phục khách hàng chấp nhận một số
khoản tiền gửi qua tài khoản của họ rồi sẽ được chuyển tiếp tới một bên thứ ba, sau khi trừ
đi một khoản phí giao dịch khá hời cho chủ tài khoản.
Rủi ro do nghẽn mạng giao dịch:
Nói là kinh doanh mạng người ta có thể giao dịch tự do bất cứ lúc nào với thời gian

cực nhanh. song thực tế không phải lúc nào cũng diễn ra như vậy. trong kinh doanh trên
mạng, rất nhiều giao dịch không thực hiện được do tắc nghẽn mạng hay do bị khống chế
của “hải quan ảo”. rất nhiều website nổi tiếng thường bị tắc nghẽn không truy cập được do
quá nhiều người muốn vào nhưng cửa thì có hạn. Rủi ro này cũng phương hại tới lợi nhuận
kinh doanh trên mạng của các doanh nghiệp.Ở việt nam, rủi ro tắc nghẽn mạng giao dịch
cũng thường xuyên xảy ra, ví dụ như: tắc nghẽn mạng cả mạng điện thoại cố định cũng như
di động trong dịp worldcup, nhịp cầu âm nhạc…, tắc nghẽn mạng Internet dịp thông báo kết
quả thi đại học.
Rủi ro do vi phạm quyền sở hữu trí tuệ:
Đây là loại rủi ro đang nổi cộm trên mạng Internet. rủi ro này thường xảy ra do tính
địa phương về sở hữu trí tuệ. tên giao dịch hay nhãn hiệu sản phẩm của một công ty nước
ngoài có thể trùng với tên giao dịch hay nhãn hiệu của một công ty nước khác cùng kinh
doanh trên mạng. Đặc biệt khi trùng lắp với công ty đã tạo lập được uy tín và danh tiếng và
đang làm ăn có hiệu quả trên mạng thì nhất định công ty kia sẽ bị kiện cho dù không cố ý
nhái tên hay nhãn hiệu sản phẩm.
Rủi ro an toàn bảo mật:
Tính bảo mật trên đường truyền là một nôi dung quan trọng để có thể kinh doanh trên
mạng.các thông tin trong giao dịch và khoá số trên mạng rất dễ bị thất thoát bởi vì được


truyền đi khắp thế giới. ai có thể đảm bảo chắc chắn rằng các dữ liệu truyền cho nhau trong
giao dịch đảm bảo tuyệt đối tính bí mật. nguyên nhân của sự thất thoát có thể do chủ quan
cũng có thể do khách quan.chẳng hạn như trong trường hợp những kẻ trôm trên mạng
(sniffer) là một dạng của chương trình gián điệp (trojan) chuyên được sử dụng nhằm ăn cắp
các thông tin có giá trị như dữ liệu kinh doanh của các doanh nghiệp… đối với thương mại
điện tử, sự an toàn trên mạng là một vấn đề luôn cần phải lưu ý. nạn nhân của nó không chỉ
là các doanh nghiệp mà cả những cá nhân, những người có tham gia thương mại điện tử. khi
gặp rủi ro này, giao dịch trên mạng có thể không đạt kết quả hoặc kết quả không đạt như
mong muốn hay sẽ bị thiệt hại khi thực hiện….
Rủi ro do sự bất cẩn của người sử dụng:

Trong giao dịch trên mạng, rủi ro này cũng thường xuyên gặp phải, ví dụ như: tắt máy,
tắt nguồn điện hay nhấp ”nhầm chuột”…một công ty Hồng Kông đưa giá chào bán trên
mạng lô hàng máy điều hoà National 9000 btu của Nhật Bản với giá 130 usd/chiếc. Ngay
sau đó có hàng trăm hợp đồng ký kết có hiệu lực bởi vì giá chào hàng quá rẻ. Sau khi thấy
hiện tượng bất thường, kiểm tra lại đơn chào bán thì giá chào bán chỉ bằng 1/3 so với giá
quy định. Nguyên nhân giá chào thấp là do người giao dịch đã nhấp “chuột” nhầm vào phần
giá cả nên giá đã được chia ba. Nhưng hợp đồng đã được ký kết và đã có hiệu lực nên
không thể thay đổi được nữa. Hay do bất cẩn của người sử dụng khi truyền dữ liệu đặc biệt
là những con số qua dấu chấm hoặc dấu phẩy đằng sau những con số. Sự bất cẩn của người
truyền dữ liệu có thể làm tăng hoặc làm giảm giá trị của con số truyền đi đã gây ra nhiều tác
hại trong giao dịch và đôi khi gây ra những thiệt hại rất lớn cho doanh nghiệp.
Rủi ro khước từ phục vụ (DoS-denial of service):


H. 1 Mô hình tấn công từ chối dịch vụ

Sự khước từ phục vụ của một Website là hậu quả của việc tin tặc sử dụng những giao
thông vô ích làm tràn ngập và dẫn tới tắc nghẽn mạng truyền thống, hoặc sử dụng số lượng
lớn máy tính tấn công vào một mạng (dưới dạng các yêu cầu phân bố dịch vụ) từ nhiều
điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ. Những cuộc tấn công
DoS có thể là nguyên nhân khiến cho mạng máy tính ngưnừg hoạt động và trong thời gian
đó, người sử dụng sẽ không thể truy cập vào các website. Đối với những trang Web thương
mại điện tử náo nhiệt như eBay.com hay Buy.com hay Amazon.com, những cuộc tấn công
này cũng đồng nghĩa với những khoản chi phí vô cùng lớn, vì trong thời gian website ngừng
hoạt động, khách hàng không thể thực hiện các giao dịch mua bán. Và sự gián đoạn hoạt
động này ảnh hưởng tới uy tín và tiếng tăm của doanh nghiệp, những điều không dễ dàng gì
lấy lại được. Mặc dù những cuộc tấn công này không phá huỷ thông tin hay truy cập vào
những vùng cấm của máy chủ nhưng tạo ra nhiều phiền toái, gây trở ngại cho hoạt động của
nhiều doanh nghiệp. Thí dụ, tháng 2 năm 2000, các vụ tấn công DoS từ bọn tin tặc là
nguyên nhân dẫn tới ngừng hoạt động hàng loạt website trên thế giới trong nhiều giờ: eBay



ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3,5 giờ , E-Trade gần 3 giờ,
Yahoo.com, Buy.com và ZDNet cũng ngừng hoạt động từ 3-4 giờ. Mike McConnelL,
Security and the Internet,Wall Street Journal, 17-2-2000, ngay cả Microsoft cũng đã phải
gánh chịu hậu quả của những cuộc tấn công này. Cho đến nay, cả thế giới đang hy vọng tìm
ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai.
Kẻ trộm trên mạng (sniffer):
Đây là một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên
mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể giúp phát hiện các điểm yếu
của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích phạm tội, nó sẽ trở thành những
mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm cũng có thể chính là những tin tặc,
chuyên ăn cắp các thông tin có giá trị như thông điệp thư điện tử, dữ liệu kinh doanh của
các doanh nghiệp, các báo cáo mật từ bất cứ nơi nào trên mạng.
Xem lén thư tín điện tử cũng là một dạng mới của hành vi trộm cắp thông tin trên
mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào một thông điệp
thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được
gửi đi cùng với thông điệp ban đầu. Chẳng hạn, một nhân viên phát hiện thấy lỗi kỹ thuật
trong khâu sản xuất, anh ta lập tức gửi một báo cáo cho cấp trên thông báo phát hiện của
mình. Một kẻ nào đó, sử dụng kỹ thuật xem lén thư điện tử, có thể theo dõi và biết được
toàn bộ thông tin trong các bức thư điện tử gửi tiếp sau đó bàn về vấn đề này. Và sẽ rất nguy
hiểm nếu như các thông tin bí mật trong nội bộ doanh nghiệp bị kẻ xấu biết được và sử dụng
vào những mục đích bất chính.
Rủi ro trong việc sử dụng và quản lý mạng:
Việc truy cập mạng để gửi các thông điệp điện tử phục vụ giao dịch với khách hàng là
những công việc bình thường của các công ty kinh doanh trên mạng. Rủi ro ở đây chính là
việc trao đổi các thông tin qua lại giữa các bên. Do vô tình hay nhầm lẫn, người giao dịch
có thể xoá đi những tệp dữ liệu hoặc làm mất đi những chương trình dày công thiết kế và
xây dựng của công ty trong lúc truy cập mạng. Thiệt hại xảy ra là khó xác định.Giao dịch



trên mạng, việc thành bại của công ty cũng còn phụ thuộc nhiều vào chương trình quản lý
mạng. Nếu trong giao dịch điện tử, khách hàng cảm thấy khó khăn trong việc liên hệ hay
truy cập thì cho dù một lần cũng có thể làm giảm uy tín của công ty hay mất cơ hội trong
kinh doanh.
Rủi ro gian lận thẻ tín dụng:
Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong trường hợp
thẻ tín dụng bị mất, bị đánh cắp; các thông tin về số thẻ, mã số định danh cá nhân (PINPersonal Identification Number), các thông tin về khách hàng bị tết lộ và sử dụng bất hợp
pháp …Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức
tạp hơn nhiều so với trong thương mại truyền thống. Nếu như trong thương mại truyền
thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất đối với khách hàng, thì
trong thương mại điện tử mối đe doạ lớn nhất là bị mất các thông tin liên quan đến thẻ hoặc
các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ra giao dịch. Các tệp chứa dữ liệu
thẻ tín dụng của khách hàng thường là những mục tiêu hấp dẫn đối với tin tặc khi tấn công
bào các website. Hơn thếnữa, những tiên tội phạm có thể đột nhập vào các website thương
mại điện tử, lấy cắp các thông tin cá nhân cả khách hàng như tên, địa chỉ, điện thoại…Với
những thông tin này, chúng có thể mạo danh khách hàng thiết lập các khoản tín dụng mới
nhằm phục vụ những mục đích đen tối. Và cuối cùng, đối với người bán, một trong những
đe doạ lớn nhất có thể xảy ra đó là sự phủ định đối với các đơn đặt hàng quốc tế. Trong
trường hợp một khách hàng quốc tế đặt hàng và sau đó từ chối hành động này, người bán
hàng trực tuyến thường không có cách nào để xác định rằng thực chất hàng hoá đã được
giao tới tay khách hàng hay chưa và chủ thẻ tín dụng có thực sự là người đã thực hiện đơn
đặt hàng hay không. Đây đang là hiện tượng tội phạm khá nổi cộm ở ngay Việt Nam, và
Cục phòng chống tội phạm kĩ thuật cao-Bộ Công An đã phải vào cuộc. Vì hiện nay hiện
tượng ăn cắp mã số thẻ tín dụng của các hacker Việt Nam quá phổ biến đến mức các nhà
cung cấp hàng hoá và dịch vụ nước ngoài thường xuyên từ chối các giao dịch có nguồn gốc
từ Việt Nam mà thanh toán bằng thẻ tín dụng.


7.1.2 Ảnh hưởng của rủi ro tới hoạt động của doanh nghiệp trong thương mại điện tử

7.1.2.1 Đối với người tiêu dùng
Thiệt hại vật chất
Như đã phân tích ở trên, các rủi ro trong TMĐT là khá nhiều đặc biệt khả năng xảy ra
các rủi ro này càng cao hơn đối với những người tiêu dùng ít kinh nghiệm và hiểu biết. Việc
mỗi ngày có hàng ngàn mã PIN thẻ tín dụng bị đánh cắp và sử dụng trái phép đã làm nhiều
người ngần ngại tham gia mua bán trên mạng. Chưa có con số chính xác và cụ thể về thiệt
hại đối với những thẻ tín dụng bị đánh cắp vì không thể thống kê được những mã thẻ bị xâm
nhập trái phép mà chính chủ không biết. Tuy nhiên ước tính lên tới hàng triệu USD/ngày.
Ngoài việc bị mất tiền trong tài khoản, người tiêu dùng còn bị thiệt hại đối với phần cứng
khi bị các virus xâm nhập; tiền cước phải trả thêm đối với các dịch vụ viễn thông, Internet
do bị ăn cắp tài khoản hay trả tiền khống cho các hàng hóa, dịch vụ không có thực hoặc kém
chất lượng. Tệ hơn nữa có khi phải chịu những chi phí kiện tụng phát sinh khi có tranh chấp
trong TMĐT dù có hay không tham gia. Điều rõ ràng nhận thấy nhất là quyền lợi của người
tiêu dùng tham gia các giao dịch mua bán trên mạng chưa thực sự được bảo vệ. Chưa có một
tổ chức hay một văn bản pháp lý chính thức nào bảo vệ các cá nhân khi tham gia vào
TMĐT. Điều này hạn chế rất nhiều đến sự tiếp cận của đông đảo người dùng với TMĐT.
Thiệt hại phi vật chất
Thiệt hại phi vật chất trong TMĐT đôi khi còn nghiêm trọng hơn thiệt hại vật chất.
Những thiệt hại này gồm có bị lộ thông tin cá nhân, bị thay đổi thông tin cá nhân, bị giả
danh ảnh hưởng đến uy tín và bị kiện tụng.
Khi mua hàng trên một website hoặc ngay cả khi chỉ lướt web thông thường, các thông
tin của người dùng đều bị lưu giữ lại nhiều bởi các trang web đó. Các thông tin bị lưu giữ có
thể chỉ đơn giản là tên tuổi, địa chỉ, hòm thư điện tử cho đến thói quen, sở thích thậm chí
những thông tin mang tính riêng tư hay bí mật. Mục đích của việc lấy thông tin cá nhân của
người dùng cũng khác nhau. Mục đích tốt thường là để đơn giản hóa thao tác cho người sử
dụng khi truy cập, để cung cấp thông tin. Còn lại thường nhằm mục đích quảng cáo. Các


thông tin được tập hợp lại thành một cơ sở dữ liệu nhằm để bán cho các công ty có nhu cầu.
Thông tin cũng có thể sử dụng với mục đích xấu như tống tiền, khủng bố. Một số tin tặc còn

có thể thay đổi thông tin cá nhân khiến cho người sử dụng gặp nhiều rắc rối không chỉ trong
giao dịch trên mạng mà còn trong cuộc sống bên ngoài. Các hacker còn có thể giả danh
người dùng tham gia vào các giao dịch không chỉ gây thiệt hại vật chất mà còn làm ảnh
hưởng tới uy tín của họ. Trong các trường hợp nghiêm trọng khi trị giá và mức độ vụ việc
lớn, người sử dụng có thể bị kiện tụng vô cớ.
Tóm lại đối với người tiêu dùng khi tham gia vào các giao dịch thì rủi ro không phải là
nhỏ và gây nhiều hậu quả nghiêm trọng không chỉ về vật chất mà còn cả về tinh thần.
7.1.2.2 Đối với doanh nghiệp
Hạn chế hiệu quả kinh doanh
Các rủi ro khi xảy ra làm tăng chi phí rất nhiều như các chi phí phụ thêm để phục vụ
cho việc điều hành website của nhà cung cấp thay thế, chi phí sửa chữa website đã bị tấn
công bởi hacker hoặc các lỗi thiết bị, và chi phí để phục hồi lại những thông tin bị mất. Mặt
khác kết quả hoạt động cũng bị giảm sút do kinh doanh bị gián đoạn. Doanh thu, lợi nhuận
giảm đi đôi với các chi phí tăng có nghĩa là hiệu quả kinh doanh giảm
Rủi ro có thể gây ra thiệt hại về vật chất hay tài sản hữu hình
Sự mất mát tài sản hữu hình xảy ra đối với bản thân những tài sản thuộc quyền sở hữu
của doanh nghiệp cũng như những tài sản mà doanh nghiệp phải có trách nhiệm. Đó có thể
là sự mất mát, hoặc thất thoát đối với nhà xưởng hoặc các tài sản khác của doanh nghiệp,
bao gồm cả thiết bị máy tính.
Thiệt hại vật chất đối với doanh nghiệp có thể do bất cẩn của nhân viên như báo giá sai
dẫn đến thiệt hại, hoặc do thiên tai gây ra các thiệt hại về dữ liệu trong máy tính hoặc làm
gián đoạn các giao dịch đang diễn ra. Hơn nữa, doanh nghiệp còn có thể bị lừa đảo bởi các
công ty ma trên mạng.
Rủi ro có thể làm mất đi cơ hội trong kinh doanh của của doanh nghiệp


Tiêu biểu cho loại tác hại này là thiệt hại của các cuộc tấn công từ chối phục vụ DoS
(Denial of service)gây ra nghẽn mạng giao dịch như trường hợp của các trang Web thương
mại điện tử. Theo ước tính mỗi ngày Amazon.com có tới hàng nghìn đơn đặt hàng lớn nhỏ
với doanh thu trung bình xấp 500.000 USD/ ngày thì việc hệ thống máy tính tê liệt trong

vòng 16 giờ đồng hồ sẽ làm hãng mất rất nhiều đơn đặt hàng, đó còn chưa kể những thiệt
hại về mặt uy tín của hãng đối với khách hàng.
Rủi ro gây ảnh hưởng tới uy tín kinh doanh của doanh nghiệp:
Uy tín của doanh nghiệp là một yếu tố quan trọng quyết định sự tồn tại và phát triển
của doanh nghiệp. Hơn nữa, một khi uy tín của doanh nghiệp được đặt cược trên mạng
Internet toàn cầu thì bất kì một sự suy giảm uy tín nào cũng là đáng kể và gây ra hậu quả
lớn. Microsoft là một ví dụ điển hình, người khổng lồ này không những phải gánh chịu
những đợt tấn công của các hacker mà còn bị chính các hacker khai thác các lỗ hổng của các
hệ điều hành như Windows2000, Windows Server 2000 và các bộ Office nổi tiếng của hãng
để tạo ra các virus có sức công phá và mức độ lây lan kinh khủng. Vì các phần mềm của
hãng Microsoft được sử dụng rộng rãi nên hậu quả đối với các mạng máy tính trên toán thế
giới là rất lớn.
Rủi ro trong thương mại điện tử quả thật là những tai họa có tính thường trực đối với
các doanh nghiệp thương mại điện tử. Những thiệt hại do chúng gây ra cũng khó có thể dự
đoán trước được, do vậy các doanh nghiệp cần phải có các biện pháp ngăn ngừa, hạn chế
các loại rủi ro này.
Rủi ro trong Thương mại điện tử quả thật là những tai họa có tính thường trực đối với
các doanh nghiệp Thương mại điện tử. Những thiệt hại do chúng gây ra cũng khó có thể dự
đoán trước được, do vậy các doanh nghiệp cần phải có các biện pháp ngăn ngừa, hạn chế
các loại rủi ro này.
7.1.2.3 Đối với thương mại và nền kinh tế
Những rủi ro trong TMĐT cản trở rất nhiều sự phát triển của TMĐT nói riêng và nền
kinh tế nói chung. Trước tiên đó là hậu quả của các ảnh hưởng đã phân tích ở trên. Một khi


gây ngần ngại cho người tiêu dùng và các doanh nghiệp thì TMĐT sẽ bị hạn chế. Số lượng
người sử dụng ít, rủi ro cao, thiệt hại nhiều tất yếu TMĐT không thể biến đổi nhiều về lượng
để dẫn đến có thể thay đổi về chất tức hàm ý nói đến sự phát triển.
Thương mại điện tử cũng có xu hướng làm gia tăng khoảng cách giàu nghèo giữa các
quốc gia. Trong hoạt động TMĐT quốc tế, các nước phát triển sẽ có lợi thế hơn rất nhiều so

với các nước đang phát triển do kết cấu hạ tầng cơ sở CNTT, khuôn khổ pháp lý, môi trường
kinh tế xã hội và hệ thống tài chính tại các nước đang phát triển thường yếu kém hơn nhiều.
Các nước đang phát triển tiếp tục đứng trước cuộc cạnh tranh kinh tế không cân sức, nên
càng dễ chịu nhiều thua thiệt và bất bình đẳng. Trong một thế giới “số hóa”, nhiều vấn đề
nghiêm trọng đối với các nước đang phát triển như: địa vị quốc gia, sự lũng đoạn của các
nước phát triển, sự phân tán quyền lực của các ngành, chủ quyền quốc gia, quyền tri thức và
quyền riêng tư cá nhân v.v.. cần được các nước đang phát triển tiếp tục nghiên cứu, chủ
động tiếp thu mặt tích cực, phòng ngừa các tiêu cực xảy ra. Do vậy, nếu không có những
đối sách hữu hiệu, các nước đang phát triển không chỉ bị tụt hậu xa về mức sống mà cả về
trình độ phát triển kinh tế - xã hội.
Ngoài ra, nguy cơ lệ thuộc công nghệ đang lớn dần khiến các nước phải quan tâm.
Không thể không thừa nhận rằng các nước phát triển, mà hàng đầu là nước Mỹ, đang khống
chế toàn bộ công nghệ thông tin quốc tế, cả phần cứng cũng như phần mềm (phần mềm hệ
thống và phần mềm ứng dụng). Có thể nhận xét rằng trong khi đa số các nước còn đang vật
lộn trong nền "kinh tế vật thể", thì Mỹ đã vượt lên và tiến nhanh trong nền "kinh tế ảo", lấy
"kinh tế tri thức", "sở hữu trí tuệ", "giá trị chất xám" làm nền móng. Sự khác biệt ấy bộc lộ
ngày càng rõ theo tiến trình nền kinh tế toàn cầu chuyển sang "kỷ nguyên số hoá" như một
xu hướng tất yếu khách quan. Một khi thương mại nói riêng với các hoạt động kinh tế nói
chung được số hoá thì toàn thế giới sẽ nằm trong tầm khống chế công nghệ của Mỹ. Mỹ sẽ
giữ vai trò người bán công nghệ thông tin cho toàn thế giới, với công nghệ được đổi mới
hàng ngày và thuần tuý "kinh tế tri thức", trong khi các nước khác tiếp tục sản xuất các "của
cải vật thể" phục vụ cho nước Mỹ. Bức tranh ấy nay đã khá rõ nét và để thay đổi nó chắc


chắn phải cần đến những nỗ lực chiến lược lớn lao từ phía các đối thủ của Mỹ trong những
quãng thời gian lịch sử, mà trong những quãng thời gian ấy bản thân nước Mỹ cũng không
lùi lại hay đứng yên. Những nước đang phát triển hơn, đã chậm chân, rất có thể mãi mãi
phải ở một tầm thấp dưới và bị phụ thuộc hoàn toàn về công nghệ vì điều kiện thực tế vĩnh
viễn không cho phép họ đuổi kịp nữa. Sự phụ thuộc ấy không chỉ thể hiện ở những thiệt thòi
về kinh tế, mà ở tầm cao hơn: Mỹ và các nước tiên tiến gần với Mỹ về công nghệ thông tin

có thể nắm được thông tin của các nước thuộc đẳng cấp công nghệ thấp hơn. Đây có thể sẽ
là một trong những nét đặc trưng cơ bản của trật tự thế giới mới trong thế kỷ XXI.
Tóm lại, những hậu quả mà các rủi ro trong TMĐT đem lại cần được nhận thức một
cách nghiêm túc không chỉ trên phương diện một người tiêu dùng, một doanh nghiệp mà
trên phương diện cả một nền kinh tế để từ đó đưa ra những biện pháp hiệu quả nhất.
Lời dẫn: Vai trò của an toàn và phòng tránh rủi ro trong thương mại điện tử
Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đề mới mẻ. Các
bằng chứng thu thập được từ hàng loạt các cuộc điều tra cho thấy những vụ tấn công qua
mạng hoặc tội phạm mạng trong thế giới thương mại điện tử đang gia tăng nhanh từng ngày.
Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công
vào hoạt động thương mại điện tử năm 2002 cho biết:
- Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bên trong lẫn
bên ngoài tổ chức. Trong những tổ chức được điều tra, khoảng 90% cho rằng họ đã thấy có
sự xâm phạm an ninh trong vòng 12 tháng gần nhất.
- Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau: 85% bị
virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ
chối dịch vụ (DoS).
- Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn: 80% các tổ chức
được điều tra trả lời rằng họ đã phải chịu thiệt hại về tài chính do hàng loạt các kiểu tấn
công khác nhau qua mạng. Tổng thiệt hại của những tổ chức này khoảng 455 triệu đôla Mỹ.
- Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năng phòng chống các
vụ tấn công qua mạng. Hầu hết các tổ chức được điều tra đều trả lời rằng họ đã sử dụng các
thiết bị bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống. Tuy nhiên, không có tổ
chức nào tin rằng hệ thống thương mại điện tử của mình tuyệt đối an toàn.


Ngoài ra, theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT) của đại
học Carnegie Mellon (Mỹ), số lượng nạn nhân của những vụ tấn công qua mạng tăng từ
22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, và con số này cao gấp 20 lần so với con
số nạn nhân năm 1998. Để đối phó với tình trạng mất an ninh qua mạng, ở hầu hết các nước

đã thành lập những trung tâm an ninh mạng mang tính quốc gia, như Trung tâm bảo về Cơ
sở hạ tầng quốc gia (NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng
quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạt
động cấp cứu và các hoạt động khác của chính phủ. Tại Việt Nam cũng đã thành lập Trung
tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT- Vietnam Computer Emergency
Response Teams) vào tháng 12/2005 theo quyết định số 13/2006/QĐ-BBCVT. Trung tâm
VNCERT sẽ là đầu mối trao đổi thông tin với các trung tâm an toàn mạng quốc tế của Việt
Nam và hợp tác với các tổ chức CERT trên thế giới. Theo ông Đỗ Duy Trác, phụ trách
CERT, thì trong những năm gần đây, tội phạm tin học gia tăng cả về phạm vi và mức độ
chuyên nghiệp. Ban đầu là lấy cắp mật khẩu thể tín dụng để mua sách và phần mềm qua
mạng, tiếp đến là làm thẻ tín dụng giả để lấy cắp tiền từ máy ATM, thiết lập các mạng máy
tính giả để gửi thư rác, thư quảng cáo, hay tấn công từ chối dịch vụ, thậm chí ngang nhiên
hơn nữa là đe dọa tấn công, tống tiền hay bảo kê các website thương mại điện tử
7.2 Xây dựng kế hoạch an ninh cho thương mại điện tử
Việc xây dựng kế hoạch an ninh thương mại điện tử cho doanh nghiệp bao gồm 4
giai đoạn sau:
- Giai đoạn đánh giá: Giai đoạn này xác định những tài sản doanh nghiệp có, bao
gồm cả tài sản hữu hình và vô hình. Giá trị tài sản phải được định rõ, cả về mặt tài chính và
phi tài chính và định rõ tầm quan trọng của từng tài sản đối với doanh nghiệp và từ đó đánh
giá khả năng bị tấn công của từng tài sản. Việc đánh giá gồm các nội dung sau:
+ Xác định các mối đe dọa: đa số những vụ xâm phạm an ninh trái phép là do sự can
thiệp trực tiếp hay gián tíếp của con người các hệ thống và những người có quyền truy cập
tới tài sản phải được định rõ như giám đốc IT, nhân viên, các nhà tư vấn,… Khả năng mối
đe dọa trở thành hiện thực cũng cần được đánh giá.
+ Xác định hình thức thiệt hại: ví dụ các thông tin quan trọng có thể bị sửa đổi hoặc
đánh cắp bởi các cá nhân, hoặc có thể bị phá hủy do bị tấn công.
- Giai đoạn lên kế hoạch: Xác định rõ ràng đe dọa nào cần phải chống đỡ và giải
pháp tương ứng cần được tiến hành, thời gian cụ thể và người chịu trách nhiệm triển khai.
Đánh giá và lựa chọn các giải pháp phù hợp.



- Giai đoạn thực thi: Các công nghệ đặc thù có thể được chọn để chống đỡ với các
nguy cơ dễ xảy ra nhất. Việc lựa chọn công nghệ dựa vào những định hướng đã được nêu ra
ở giai đoạn Lập kế hoạch. Ngoài những công nghệ đặc thù, các phần mềm an ninh từ những
nhà cung cấp khác cũng có thể được lựa chọn.
- Giai đoạn giám sát: Xác định những biện pháp nào mang lại thành công, những
biện pháp nào không hiệu quả cần thay đổi, liệu có những mối đe dọa mới xuất hiện hay có
những cải tiến hoặc thay đổi gì trong công nghệ, hoặc có những tài sản nào khác của doanh
nghiệp cần bảo đảm an ninh.
7.2.1 Những biện pháp cơ bản nào đảm bảo an toàn cho giao dịch TMĐT
Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là sử dụng hạ
tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ
thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ số và chứng chỉ số. Các kỹ
thuật sử dụng trong Hạ tầng khóa công khai có thể hiểu như sau:
7.2.1.1 Sử dụng kỹ thuật mã hoá thông tin:
Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn
bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa. Giải mã là quá trình văn bản
dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa. Mục đích của kỹ thuật mã
hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin
khi truyền phát.
Mã hoá thông tin là một kỹ thuật được sử dụng rất sớm kể từ khi loài người bắt đầu giao
tiếp với nhau và thuật mã hóa cũng phát triển từ những thuật toán rất sơ khai trước đây tới
các công nghệ mã hóa phức tạp hiện nay. Một phần mềm mã hóa sẽ thực hiện hai công
đoạn: thứ nhất là tạo ra một chìa khóa và thứ hai là sử dụng chìa khóa đó cùng thuật mã hóa
để mã hóa văn bản hoặc giải mã.
Có hai kỹ thuật cơ bản thường được sử dụng để mã hoá thông tin là mã hoá “khoá
đơn” sử dụng một “khoá bí mật” và mã hoá kép sử dụng hai khóa gồm “khoá công khai” và
”khóa bí mật”.
+ Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật:
Mã hoá khoá bí mật, còn gọi là mã hoá đối xứng hay mã hoá khoá riêng, là việc sử

dụng một khoá chung, giống nhau cho cả quá trình mã hoá và quá trình giải mã. Quá trình
mã hoá khoá bí mật được thực hiện như minh họa trong hình 6.1.
Phương pháp mã hoá khoá riêng


Tuy nhiên, tính bảo mật trong phương pháp mã hóa bí mật phụ thuộc rất lớn vào chìa
khóa bí mật. Ngoài ra, sử dụng phương pháp mã hoá khoá bí mật, một doanh nghiệp rất khó
có thể thực hiện việc phân phối an toàn các mã khoá bí mật với hàng ngàn khách hàng trực
tuyến của mình trên những mạng thông tin rộng lớn. Và doanh nghiệp sẽ phải bỏ ra những
chi phí không nhỏ cho việc tạo một mã khoá riêng và chuyển mã khoá đó tới một khách
hàng bất kỳ trên mạng Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Ví dụ, một
trong các hình thức đơn giản của khóa bí mật là password để khóa và mở khóa các văn bản
word, excel hay power point.
+ Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật
Kỹ thuật mã hoá này sử dụng hai khoá khác nhau trong quá trình mã hoá và giải mã:
một khoá dùng để mã hoá thông điệp và một khoá khác dùng để giải mã. Hai mã khoá này
có quan hệ với nhau về mặt thuật toán sao cho dữ liệu được mã hoá bằng khoá này sẽ được
giải mã bằng khoá kia. Khoá công cộng là phần mềm có thể công khai cho nhiều người biết,
còn khoá riêng được giữ bí mật và chỉ mình chủ nhân của nó được biết và có quyền sử
dụng.


Phương pháp mã hoá khoá công cộng

Như vậy, kỹ thuật mã hóa này đảm bảo tính riêng tư và bảo mật, vì chỉ có người
nhận thông điệp mã hóa được gửi đến mới có thể giải mã được. Ngoài ra kỹ thuật này
cũng đảm bảo tính toàn vẹn, vì một khi thông điệp mã hóa bị xâm phạm, quá trình giải
mã sẽ không thực hiện được.
Trong quá trình sử dụng, có một số đặc điểm cần lưu ý đối với hai kỹ thuật mã hóa
trên.

So sánh phương pháp mã hoá khóa riêng và mã hoá khoá công cộng
Đặc điểm
Số khoá
Loại khoá

Mã hoá khoá riêng
Một khoá đơn
Khoá bí mật

Mã hoá khoá công cộng
Một cặp khoá
Một khóa bí mật và một khóa công

Quản lý khoá

Đơn giản, nhưng khó quản lý

khai
Yêu cầu các chứng nhận điện tử và

Tốc độ giao

Nhanh

bên tin cậy thứ ba
Chậm

dịch
Sử dụng


Sử dụng để mã hoá những dữ liệu Sử dụng đối với những ứng dụng có
lớn (hàng loạt)

nhu cầu mã hoá nhỏ hơn như mã hoá
các tài liệu nhỏ hoặc để ký các thông
điệp

7.2.1.2 Chữ ký số (Digital signature)
Về mặt công nghệ, chữ ký số là một thông điệp dữ liệu đã được mã hóa gắn kèm
theo một thông điệp dữ liệu khác nhằm xác thực người gửi thông điệp đó. Quá trình ký
và xác nhận chữ ký số như sau: Người gửi muốn gửi thông điệp cho bên khác thì sẽ dùng
một phần mềm rút gọn thông điệp dữ liệu điện tử, xử lý chuyển thông điệp dữ liệu điện
tử thành một “thông điệp tóm tắt” (Message Digest), thuật toán này được gọi là thuật toán
rút gọn (hash function). Người gửi mã hoá bản tóm tắt thông điệp bằng khóa bí mật của
mình (sử dụng phần mềm bí mật được cơ quan chứng thực cấp) để tạo thành một chữ ký
điện tử. Sau đó, người gửi tiếp tục gắn kèm chữ ký điện tử này với thông điệp dữ liệu ban
đầu. Sau đó gửi thông điệp đã kèm với chữ ký điện tử một cách an toàn qua mạng cho


người nhận. Sau khi nhận được, người nhận sẽ dùng khoá công khai của người gửi để
giải mã chữ ký điện tử thành bản tóm tắt thông điệp. Người nhận cũng dùng rút gọn
thông điệp dữ liệu giống hệt như người gửi đã làm đối với thông điệp nhận được để biến
đổi thông điệp nhận được thành một bản tóm tắt thông điệp. Người nhận so sánh hai bản
tóm tắt thông điệp này. Nếu chúng giống nhau tức là chữ ký điện tử đó là xác thực và
thông điệp đã không bị thay đổi trên đường truyền đi.
Ngoài ra, chữ ký số có thể được gắn thêm một “nhãn” thời gian: sau một thời gian
nhất định quy định bởi nhãn đó, chữ ký số gốc sẽ không còn hiệu lực, đồng thời nhãn
thời gian cũng là công cụ để xác định thời điểm ký.
7.2.1.3 Phong bì số (Digital Envelope)
Tạo lập một phong bì số là một quá trình mã hoá sử dụng khoá công khai của

người nhận (phần mềm công khai của người nhận, phần mềm này cũng do cơ quan chứng
thực cấp cho người nhận, và được người nhận thông báo cho các đối tác biết để sử dụng
khi họ muốn gửi thông điệp cho mình). Khóa bí mật này được dùng để mã hoá toàn bộ
thông tin mà người gửi muốn gửi cho người nhận, khóa này đảm bảo chỉ có duy nhất
người nhận là người mở được thông điệp để đọc. Vì duy nhất người nhận là người nắm
giữ khóa tương ứng để giải mã (phần mềm bí mật hay khóa bí mật, khóa này cũng do cơ
quan chứng thực cấp cho người nhận).
7.2.1.4 Chứng thư số hóa (Digital Certificate):
Nếu một bên có mã khóa công khai của bên thứ 2 để có thể tiến hành mã hóa và
gửi thông điệp cho bên đó, mã khóa công khai này sẽ được lấy ở đâu và liệu bên này có
thể đảm bảo định danh chính xác của bên thứ 2 không? Chứng thư điện tử xác minh rằng
người cầm giữ mã khóa công cộng hoặc mã khóa bí mật chính là người chủ của mã khóa
đó. Bên thứ ba, Cơ quan chứng thực, sẽ phát hành chứng thư điện tử cho các bên tham
gia. Nội dung Chứng thư điện tử bao gồm: tên, mã khoá công khai, số thứ tự của chứng
thực điện tử, thời hạn hiệu lực, chữ ký của cơ quan chứng nhận (tên của cơ quan chứng
nhận có thể được mã hoá bằng mã khoá riêng của cơ quan chứng nhận) và các thông tin
nhận dạng khác. Các chứng thư này được sử dụng để xác minh tính chân thực của
website (website certificate), của cá nhân (personal certificate) và của các công ty phần
mềm (software publisher certificate).
7.2.2 Các biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống TMĐT
Một số công nghệ được phát triển nhằm đảm bảo rằng trong nội bộ mạng của một doanh
nghiệp, các hoạt động sẽ được đảm bảo an toàn khỏi các vụ tấn công hoặc xâm phạm từ


bên ngoài, đồng thời có chức năng cảnh báo các hoạt động tấn công từ bên ngoài vào hệ
thống mạng.
7.2.2.1 Tường lửa:
Tường lửa là một thành phần của mạng, gồm phần mềm hoặc phần cứng hoặc kết
hợp cả phần mềm và phần cứng, cho phép những người sử dụng mạng máy tính của một
tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), nhưng đồng

thời ngăn cấm những người sử dụng khác, không được phép từ bên ngoài truy cập vào
mạng máy tính của tổ chức. Một bức tường lửa có những đặc điểm sau:
- Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức đi ra ngoài và
ngược lại đều phải đi qua thiết bị hay phần mềm này;
- Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an toàn mạng
máy tính của tổ chức, mới được phép đi qua;
Về cơ bản, tường lửa cho phép những người sử dụng mạng máy tính bên trong
tường lửa được bảo vệ nhưng vẫn có khả năng truy cập toàn bộ các dịch vụ bên ngoài
mạng ; đồng thời ngăn chặn và chỉ cho phép một số các truy cập từ bên ngoài vào mạng
trên cơ sở đã kiểm tra tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên miền
(domain name) … Ví dụ, một nhà sản xuất chỉ cho phép những người sử dụng có tên
miền thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để
mua hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa trong và
ngoài mạng máy tính của tổ chức. Tường lửa bảo vệ mạng máy tính của tổ chức tránh
khỏi những tổn thương do những tin tặc, những người tò mò từ bên ngoài tấn công. Tất
cả mọi thông điệp được gửi đến và gửi đi đều được tường lửa kiểm tra đối chiếu với
những quy định về an toàn do tổ chức xác lập. Các tường lửa phổ biến hiện nay gồm:
Windows XP Personal firewall, Microsoft ISA server (đa chức năng), Checkpoint.
7.2.2.2 Mạng riêng ảo (VPN)
Khi công ty muốn tạo ra một ứng dụng B2B, cung cấp cho các nhà cung cấp, đối
tác và những đối tượng khác quyền truy cập không chỉ với dữ liệu đặt trên trang web của
họ, mà còn cả quyền truy cập đối với dữ liệu chứa trong các tệp khác (như tệp Word,
Excel, file đồ họa, file âm thanh, hình ảnh...). Theo cách truyền thống, liên lạc với công
ty có thể thực hiện thông qua một đường truyền riêng hoặc thông qua một đường quay số
tới modem hoặc tới một máy chủ truy cập từ xa (RAS – Remote Access Server) mà máy
chủ này cho phép kết nối trực tiếp tới mạng LAN của công ty. Ưu điểm của việc thuê
đường truyền riêng là giảm thiểu khả năng bị hacker nghe trộm các liên lạc, tuy nhiên chi
phí lại cao. Do đó, doanh nghiệp có thể tham khảo một giải pháp kinh tế hơn đó là sử



dụng mạng riêng ảo. Mạng riêng ảo sử dụng mạng internet để truyền tải thông tin nhưng
vẫn duy trì sự bí mật bằng cách sử dụng thuật mã khóa (để mã giao dịch, xác minh tính
chân thực để đảm bảo rằng thông tin không bị truy xuất trái phép và thông tin đến từ
những nguồn tin cậy) và quản lý quyền truy cập để xác định danh tính của bất kỳ ai sử
dụng mạng này. Hơn nữa, một mạng riêng ảo cũng có thể được sử dụng để hỗ trợ những
liên lạc giữa các chi nhánh và trụ sở công ty và những liên lạc giữa các công nhân lưu
động với trụ sở làm vịêc của họ. Số lượng các doanh nghiệp sử dụng hình thức này ngày
càng tăng, điều này thể hiện ở doanh số của thị trường dịch vụ mạng riêng ảo toàn thế
giới, năm 2005 đã đạt mức 23 tỷ USD vào năm 2005 và hứa hẹn sẽ tăng thêm 22% trong
vòng 3 năm tới.
7.2.3. Một số biện pháp khác nhằm đảm bảo an toàn cho hệ thống TMĐT
7.2.3.1 Sử dụng password đủ mạnh
Để đảm bảo bí mật cho mật khẩu, khi thiết lập nên xem xét các tiêu chí như:
+ Mật khẩu có số ký tự đủ lớn, tối thiểu 8 ký tự và có sự kết hợp giữa chữ hoa,
chữ thường, chữ số và biểu tượng. Như vậy sẽ mất rất nhiều thời gian mới có thể tìm ra
và phá mật khẩu, mà tới thời gian đó mật khẩu đã có thể đã được thay đổi. Mật khẩu cũng
nên thường xuyên thay đổi (thường từ 30-60 ngày) và không nên sử dụng lại mật khẩu
cũ.
+ Kích hoạt tự động việc khóa không cho truy cập hệ thống nếu sau từ 3-5 lần
nhập mật khẩu vẫn không đúng.
+ Không sử dụng chức năng tự động điền (auto complete) của một số phần mềm
ứng dụng như Microsoft Explorer để lưu mật khẩu và số tài khoản
7.2.3.2 Phòng chống virus
Theo thống kê, trung bình mỗi tháng có hơn 500 virus ra đời, do đó doanh nghiệp
nên sử dụng các phần mềm chống virus để kiểm tra tất cả các dữ liệu hoặc được truyền
qua cổng máy chủ ở mạng hoặc truyền giữa các cổng nội bộ. Các phần mềm chống virus
cũng nên được cập nhật thường xuyên (hàng ngày, hàng tuần). Thông thường, các công
ty phần mềm virus uy tín thường gửi email tới khách hàng thông báo về việc xuất hiện
những virus mới và cung cấp công cụ update tự động cho khách hàng.
Định dạng cổng email để khóa các tệp có đuôi dạng VBS, SHS, EXE, SCR, CHM

và BAT hoặc những tệp có hai phần mở rộng dạng như .txt.vbs hoặc .jpg.vbs vì những
tệp dạng này thường do virus tạo ra.
Phố biến kiến thức cho người sử dụng, ví dụ, không mở những email lạ có tệp
đính kèm, thậm chí từ người gửi có tên trong sổ địa chỉ; không tải về những tệp từ những


nguồn không rõ ràng; thường xuyên quét virus; cập nhật phần mềm quét virus thường
xuyên; không gửi những cảnh báo về virus hoặc các thư dây chuyền cho những người sử
dụng khác.
7.2.3.3 Giải pháp an ninh nguồn nhân lực
Các doanh nghiệp cần lưu ý mọi nhân viên trong doanh nghiệp mình ý thức về vấn
đề an ninh mạng và những nguy cơ tấn công doanh nghiệp có thể chịu trong trường hợp
thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ phía các nhân viên. Nhân viên
cũng cần được lưu ý về các giải pháp an toàn mạng nên áp dụng như việc chọn mật khẩu,
thay đổi mật khẩu, quét virus thường xuyên hay xóa bỏ những email lạ.
7.2.3.4 Giải pháp về trang thiết bị an ninh mạng
Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc như : các thẻ từ, mã điện
tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân trắc như kiểm tra vân tay, võng mạc
hoặc giọng nói. Các biện pháp khác có thể là sao lưu dữ liệu vào những nơi an toàn, đánh
dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm như camera và chuông báo
động.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×