Chương 3

An ninh thương mại điện tử
Đàm Thị Thuỷ 
Bộ môn Quản trị kinh doanh
Email: 


Chương 3: An ninh TMĐT


Câu hỏi ơn tập chương 3
1. Khái niệm về an ninh TMĐT. Các khía cạnh về an ninh TMĐT 
của phía người mua và người bán?
2. Những nguy cơ đe dọa an ninh trong TMĐT
3. Kỹ thuật mã hóa thơng tin, phân biệt mã hóa cơng cơng và mã hóa 
bí mật.
4. Chữ ký điện tử và vai trị của chữ ký điện tử
5. Các rủi ro đối với máy chủ, mạng và máy khách?
6. Khái niệm về 
7. Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT
8. Chức năng chủ yếu của hệ thống bảo mật thơng tin
9. Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT


3.1 Vấn đề an ninh cho các hệ thống TMĐT
 Làm thế nào để cân bằng giữa an ninh và tiện dụng. 

Một hệ thống càng an tồn thì khả năng xử lý, thực 
thi thao tác càng phức tạp.

 Các loại tội phạm trong  TMĐT rất tinh vi trong khi 

việc  giảm  các  rủi  ro  TMĐT  là  một  quá  trình  phức 
tạp  liên  quan  đến  những  đạo  luật  mới,  cơng  nghệ 
mới, nhiều thủ tục và các chính sách tổ chức.

 TMĐT đã hấp dẫn các tin tặc khi khách hàng sử 

dụng  thẻ  để  mua  hàng  hoặc  dịch  vụ  trực  tuyến, 
dùng email để thực hiện các giao dịch kinh tế.


3.1 Vấn đề an ninh cho các hệ thống TMĐT
Các  yếu  tố  làm  số  lượng  các  tấn  công  trên  mạng  phát 
triển:
+ Các hệ thống an ninh ln tồn tại các điểm yếu.
+ Vấn đề an ninh và dễ dàng sử dụng.
+ Vấn đề an ninh thường xuất hiện sau khi có sức ép thị 
trường.
+  Vấn  đề  an  ninh  của  trang  e.commerce  cịn  phụ  thuộc 
vào an ninh của internet, số lượng các trang web của các 
trường, thư viện, cá nhân…


3.2 Các khía cạnh của an ninh TMĐT
3.2.1 Những quan tâm

* Phía người mua: Bằng cách nào ?
+ Biết chắc Website do một cơng ty hợp pháp quản lý và 
sở hữu. 

+ Biết chắc trang web khơng chứa các đoạn mã nguy 
hiểm hoặc các nội dung khơng lành mạnh.
+ Biết chắc rằng web server sẽ khơng cung cấp các thơng 
tin của người sử dụng cho một người khác.


3.2 Các khía cạnh của an ninh TMĐT
3.2.1 Những quan tâm

* Phía cơng ty: Bằng cách 
nào biết chắc rằng
+  Người  sử  dụng  sẽ 
khơng xâm nhập vào trang 


3.2 Các khía cạnh của an ninh TMĐT
3.2.2 u cầu của an ninh TMĐT
ü Tính tồn vẹn
ü Chống phủ định
ü Tính xác thực
ü Tính đáng tin cậy
ü Tính riêng tư.
ü Tính ích lợi



3.2 Các khía cạnh của an ninh TMĐT
3.2.3 Những nguy cơ đe doạ an ninh TMĐT

ü Các đoạn mã nguy hiểm (malicious code): gồm 


nhiều mối đe dọa khác nhau như các loại virus, 
worm.

ü Tin tặc (hacker) và các chương trình phá hoại 

(cybervandalism) 

ü Gian lận thẻ tín dụng
ü Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử 

giả hoặc mạo danh một người nào đó nhằm thực 
hiện những hành động phi pháp.


3.2 Các khía cạnh của an ninh TMĐT
3.2.3 Những nguy cơ đe doạ an ninh TMĐT

ü Sự khước từ dịch vụ (DoS, DDoS): là việc các hacker 

sử  dụng  những  giao  thơng  vơ  ích  làm  tràn  ngập  hoặc 
tắc nghẽn mạng truyền thơng, hoặc sử dụng số lượng 
lớn máy tính tấn cơng vào một mạng.

ü Nghe  trộm,  giám  sát  sự  di  chuyển  của  thơng  tin  trên 

mạng. Xem lén thư điện tử là sử dụng các đoạn mã ẩn 
bí mật gắn vào một thơng điệp thư điện tử, cho phép 
người xem lén có thể giám sát tồn bộ các thơng điệp 
chuyển tiếp được gửi đi với thơng điệp ban đầu 



Top 10 vụ vi phạm dữ liệu nổi bật nhất 2019


Blur – cơng ty cung cấp dịch vụ quản lý và bảo mật password: Tuy nhiên, một trong những 
máy chủ của cơng ty khơng được bảo mật, dẫn tới lộ thơng tin của 2,4 triệu người dùng bao 
gồm tên, gợi ý mật khẩu, IP, và email.



Fortnite – Game online với hơn 200 triệu người chơi: Tội phạm m ạng l ợi d ụng nhi ều l ỗ 
hổng trong game để xem thơng tin cá nhân của người chơi và nghe lén các cuộc trị chuyện 
trong game của họ.



Sở Y Tế và Dịch Vụ Xã Hội Alaska: Tin tặc đã tấn cơng bộ phận hỗ trợ cơng cộng và có 
được quyền truy cập vào danh tính của 100.000 ứng viên đăng ký tham gia hỗ trợ chính phủ.



Dunkin’ Donuts: Hackers có quyền truy cập vào tài khoản của cơng ty chứa thơng tin các 
thành viên của giải thưởng DD Perks (chương trình tích điểm và đổi q tặng dành cho 
khách hàng của Dunkin’ Donuts). Chúng đã tiến hành bán các giải thưởng đó trên dark web. 



Facebook: một lỗ hổng bảo mật trên Facebook đã cho phép hacker truy cập vào 50 triệu tài 
khoản. Vụ tấn cơng này được thực hiện bằng cách truy cập vào tokens của người dùng 

(token cho phép người dùng giữ phiên đăng nhập trên các thiết bị trong một khoảng thời 
gian). Do ảnh hưởng của vụ tấn cơng, Facebook đã u cầu tất cả người dùng phải đăng 
nhập lại trên tồn bộ thiết bị.


Top 10 vụ vi phạm dữ liệu nổi bật nhất 2019


Whatsapp: nhóm tin tặc đã khai thác tính năng voice call (đàm thoại bằng giọng 
nói) để cài đặt phần mềm khảo sát vào máy người dùng. Vụ vi phạm ảnh 
hưởng tới 1,5 tỷ người trên tồn thế giới. Phần mềm gián điệp này đã truy cập 
vào một số tính năng trên smartphone của người dùng như microphone, camera, 
email, tin nhắn. 



Instagram: một kho dữ liệu chứa thơng tin liên lạc của 49 triệu người dùng đã 
bị để lộ. Phần lớn thơng tin trong đó thuộc về các influencers (người có tầm 
ảnh hưởng trên mạng xã hội), người nổi tiếng, và các tài khoản doanh nghiệp.



Quest Diagnostics: thơng tin tài chính và số an sinh xã hội của 49 triệu người đã 
bị lộ trong một vụ vi phạm dữ liệu. Tin tặc đã truy cập vào cổng thanh tốn 
của một đối tác của cơng ty.



Sở Dịch vụ Y Tế cấp quận tại Los Angeles: một cuộc tấn cơng phishing nhắm 
vào nhà thầu đã khiến cho thơng tin cá nhân của 15.000 bệnh nhân bị đánh cắp.




DoorDash: một nhà cung cấp bên thứ ba của dịch vụ giao đồ ăn này đã bị tấn 
cơng, làm lộ thơng tin của khoảng 4,9 triệu người dùng DoorDash.


3.3 Hệ thống bảo mật trong TMĐT
3.3.1 Khái niệm

ü Bảo  mật  thông  tin là  bảo  vệ  thông  tin  dữ  liệu  cá 

nhân, tổ chức nhằm tránh khỏi sự xâm nhập không 
được phép bởi những kẻ xấu hoặc tin tặc hoặc bất 
cứ người nào.

ü Hệ thống bảo mật thông tin trong TMĐT là tập hợp 

các giải pháp đồng bộ về pháp lý, kinh tế, nhân sự 
và  kỹ  thuật  nhằm  chống  lại  xâm  nhập  bất  hợp 
pháp  của  kẻ  xấu  hoặc  tin  tặc  hoặc  bất  cứ  người 
nào vào cơ sở dữ liệu thông tin của cá nhân hoặc tổ 
chức


3.3 Hệ thống bảo mật trong TMĐT
3.3.2 Lý do cần bảo mật an tồn thơng tin
ü Tại sao cần

bảo mật thơng tin?



3.3 Hệ thống bảo mật trong TMĐT

3.3.3 Một số rủi ro thường gặp trong TMĐT
ü Rủi ro về cơng nghệ:
•

Rủi ro đối với máy chủ

•

Rủi ro đối với máy khách

•

Rủi ro mạng và đường truyền

ü Rủi ro với cơ sở dữ liệu
ü Rủi ro về giao dịch và thanh tốn trong TMĐT
ü Rủi ro về pháp lý 


3.3 Hệ thống bảo mật trong TMĐT

3.3.3 Một số rủi ro thường gặp trong TMĐT
•

Rủi ro đối với máy chủ: 


Máy chủ là liên kết thứ 3 trong bộ ba máy khách – Internet 
–  máy  chủ  (client  –  Internet  –  server),  bao  g ồm  đ­ường 
dẫn thương mại điện tử giữa ng­ười sử dụng và máy chủ 
th­ương mại.
Máy chủ có những điểm yếu sau
* Máy chủ web và các phần mềm hỗ trợ 
* Các ch­ương trình phụ trợ bất kỳ có chứa dữ liệu
* Các ch­ương trình tiện ích đ­ược cài đặt trong máy chủ


3.3 Hệ thống bảo mật trong TMĐT

3.3.3 Một số rủi ro thường gặp trong TMĐT
•

Rủi  ro  đối  với  máy  khách:  Sử  dụng  active  content  như 
một cơng cụ để lấy dữ liệu

o

Các ch­ương trình gây hại có thể phát tán qua các trang 
Web, phát hiện ra số thẻ tín dụng, tên ng­ười sử dụng 
và mật khẩu. Những thơng tin này đ­ược l­ưu giữ trong 
những file đặc biệt (cookie)

o

Nhiều  Active  content  cịn  lan  truyền  thơng  qua  các 
cookie, chúng có thể phát hiện nội dung các file của máy 
khách, thậm chí có thể huỷ bỏ các file trong máy khách



3.3 Hệ thống bảo mật trong TMĐT

3.3.3 Một số rủi ro thường gặp trong TMĐT
•

Rủi ro đối với máy khách:

Cụ thể rủi ro tấn cơng vào các website TMĐT:
­ Phát tán virus
­ Tin tặc, các chương trình phá hoại
­ Kẻ giả mạo (Phishing)
­ Kẻ trộm trên mạng (sniffer)
­ Tấn cơng tư chối dịch vụ
­ Gửi thư rác với quy mơ lớn, gây nhiễu
­ Thu thập thơng tin người sử dụng…


3.3 Hệ thống bảo mật trong TMĐT

3.3.3 Một số rủi ro thường gặp trong TMĐT
•

Rủi ro mạng và đường truyền:

o

Sự cố


o

Phá hoại

o

Quá tải


3.3 Hệ thống bảo mật trong TMĐT

3.3.3 Một số rủi ro thường gặp trong TMĐT
ü Rủi ro với cơ sở dữ liệu:
•

Rủi  ro  xẩy  ra  đối  với  các  dữ  liệu  chứa  thơng  tin  về  mật 
khẩu/ tên ng­ười dùng.

•

Tiếp  đó  các  ch­ương  trình  nh­ư:  con  ngựa  thành  Tơ­roa 
nằm  ẩn  trong  hệ  thống  cơ  sở  dữ  liệu,  mở  cổng  sau  để 
chuyên  những  thông  tin  cần  thiết  ra  ngồi  thơng  qua  việc 
giáng cấp các thơng tin này.
o

Việc giáng cấp các thơng tin này bằng cách chuyển các 
thơng tin nhậy cảm sang vùng chứa thơng tin có tính bảo 
mật thấp hơn.


o

Sau khi giáng cấp thơng tin, những đối t­ượng bên ngồi 


3.3 Hệ thống bảo mật trong TMĐT

3.3.4 Mục tiêu của hệ thống bảo mật cho các hoạt 
động TMĐT
(1) Chống xâm nhập bất hợp pháp

(2) Chống sự tấn cơng của Hacker
(3) Bảo đảm thơng tin khơng bị lộ, 
(4) Đảm bảo khơng bị sửa đổi, mất dữ liệu của thơng 
tin
(5) Đảm bảo tính sẵn sàng của thơng tin
(6) Đảm bảo tính tồn vẹn của giao dịch 


3.3 Hệ thống bảo mật trong TMĐT

3.3.5 Chức năng chủ yếu của hệ thống bảo mật 
thơng tin
ü Ngăn ngừa thiệt hại
ü Thơng báo trư­ớc
ü Thu thập có giới hạn
ü Việc sử dụng những thơng tin 
ü Quyền lựa chọn của chủ thể dữ liệu
ü Tính tồn vẹn của thơng tin
ü An ninh, an tồn dữ liệu 

ü Tiếp cận và điều chỉnh dữ liệu 
ü Trách nhiệm


3.4 Một số giải pháp cơng nghệ đảm bảo an ninh 
trong TMĐT

ü là q trình chuy
3.4.1 K
ỹ thuật mã hố thơng tin
ển các văn bản hay các tài liệu gốc thành 
các  văn  bản  dưới  dạng  mật  mã  (số  hóa)  để  bất  cứ  ai, 
ngồi người gửi và người nhận đều khơng thể đọc được.
ü Hệ  thống  mã  hóa  hiện  đại  thường  được  số  hóa  –  thuật 

tốn
dựa trên các  bit đơn của thơng điệp chứ khơng dựa trên ký
hiệu  chữ  cái.  Máy  tính  lưu  trữ  dữ  liệu  dưới  dạng  một
chuỗi nhị phân, trình tự của các số 1 và 0. Mỗi ký tự gọi
là  một  bit.  Các  mã  khóa  và  mã  mở  là  các  chuỗi  nhị  phân
với độ dài khóa được xác định sẵn.  


3.4 Một số giải pháp cơng nghệ đảm bảo an ninh 
trong TMĐT
ü Kỹ thu
3.4.1 K
ỹ thu
ật mã hố thơng tin
ật mã hố:

•

Mã hố khố bí mật

•

Mã hố cơng cộng

ü Giao thức thoả thuận mã khố: Phong bì số hố.