Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
CHƯƠNG I
TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU
1.1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI :
Thời gian qua nhiều ngân hàng đã đưa ra các dịch vụ internet banking,
home banking, ATM, phone banking và mobile banking. Tất cả các dịch vụ
đó là nền tảng cho chính ngân hàng trong việc hỗ trợ TMĐT. Nó góp phần
quan trọng thay đổi nhận thức của khách hàng về các kênh TTĐT. Về phía
ngân hàng, mức độ sẵn sàng cho thanh toán trực tuyến đã ở mức cao: ví dụ
thanh toán qua thẻ, tài khoản... Tuy nhiên, mức độ đồng nhất về chuẩn
nghiệp vụ, bảo mật hay các chuẩn khác (chuẩn dữ liệu...) khi nền kinh tế
chuyển sang TMĐT vẫn còn hạn chế. Các ngân hàng vẫn chưa tạo được
“tiếng nói” chung.
Hệ thống thanh toán điện tử liên ngân hàng do Ngân hàng Nhà nước chủ
trì là hệ thống thanh toán điện tử trực tuyến hiện đại nhất từ trước đến nay
tại Việt Nam, được xây dựng theo tiêu chuẩn quốc tế và hoạt động rất hiệu
quả kể từ tháng 5/2002 đến nay. Hệ thống thanh toán nội bộ của các ngân
hàng thương mại cũng đã hoàn thành và đưa vào vận hành kể từ cuối năm
2003.
Lợi ích mang lại từ hiện đại hoá hoạt động thanh toán không chỉ làm giảm
đáng kể thời gian thanh toán, giúp tăng nhanh vòng quay vốn của doanh
nghiệp và nền kinh tế mà còn là cơ sở cho các ngân hàng thực hiện dịch vụ
ngân hàng điện tử, là nền tảng quan trọng cho sự phát triển thương mại điện
tử ở Việt Nam và hạn chế thanh toán bằng tiền mặt trong nền kinh tế. Đồng
thời số lượng khách hàng gia tăng, khoản tiền giao dịch qua ngân hàng cũng
đột biến theo. Không những thế, một sự thay đổi tích cực khác sẽ xuất hiện
trong mối quan hệ giữa ngân hàng với khách hàng theo hướng ngay càng sâu
1
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
đậm hơn. Khách hàng trực tuyến cảm thấy tiện lợi hơn cả về thời gian và
tiền bạc so với các khách hàng ngoại tuyến.
Công nghệ thông tin phát triển như vũ bão đang được các ngân hàng áp
dụng ngày một nhiều hơn, giúp hoạt động hiệu quả hơn. Tuy nhiên, nó cũng
chính là con dao hai lưỡi có thể phá sụp các ngân hàng bất cứ lúc nào bởi sự
tấn công từ bên ngoài. Những “gian lận công nghệ cao” trong lĩnh vực ngân
hàng đang xuất hiện ngày một nhiều. Số lượng ngân hàng bị ảnh hưởng bởi
các hacker cũng tăng lên từng ngày. Hoạt động của hệ thống ngân hàng rất
nhạy cảm và tiềm ẩn nhiều rủi ro: Rủi ro về quy trình nghiệp vụ - rủi ro tín
dụng, rủi ro lãi suất, rủi ro ngoại hối, rủi ro quản trị; Rủi ro về hệ thống, về
con người; Rủi ro liên quan đến khách hàng, đến đối tác của khách hàng...
Vì thế, việc đảm bảo an toàn cho hoạt động ngân hàng nói chung và đặc biệt
là bảo mật và an toàn thông tin ngân hàng luôn là một trọng tâm đối với cả
hệ thống ngân hàng.
Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam với mục tiêu
tạo ra một kênh thanh toán trực tuyến hiện đại, thực sự tiện lợi và đáp ứng
tối đa nhu cầu thanh toán nên luôn luôn chú trọng đến vấn đề bảo mật trong
thanh toán. Tuy nhiên là người đi sau và còn ít kinh nghiệm, Ngân hàng
Nông nghiệp và Phát triển nông thôn Việt Nam không tránh khỏi những vấp
váp, sai sót khi ứng dụng công nghệ thông tin vào hệ thống của mình. Một
trường hợp xảy ra ngày 1/10/2006, anh Hoàng Tuấn Anh (Phòng 513, B22,
Kim Liên, Hà Nội) rút tiền qua máy ATM Agribank đặt tại Sở giao dịch Chi
Nhánh Thăng Long (đường Phạm Ngọc Thạch, Hà Nội).Anh Tuấn Anh đưa
thẻ vào, thực hiện các thao tác nhập mã số bình thường, nhưng khi anh vừa
ấn nút "rút tiền", máy ATM trả lại thẻ, đồng thời in hoá đơn thông báo rằng
khách hàng đã rút 5 triệu đồng và được trừ trong tài khoản. Có thể nói đây
2
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
cũng là một trong những trường hợp sai sót trong thanh toán qua thẻ của
ngân hàng, gây phản ứng xấu của khách hàng với Ngân hàng.
Nhận thức được vấn đề này, sau quá trình tìm hiểu tại Ngân hàng Nông
nghiệp và Phát triển nông thôn Việt Nam, em đã chọn đề tài “ Giải pháp
bảo mật thông tin khách hàng trong thanh toán trực tuyến tại Ngân
hàng Nông nghiệp và Phát triển nông thôn Việt Nam” làm đề tài cho luận
văn tốt nghiệp của mình.
1.2 MỤC TIÊU NGHIÊN CỨU CỦA ĐỀ TÀI :
Từ cơ sở lý luận và thực trạng hoạt động bảo mật thông tin khách hàng
trong thanh toán trực tuyến tại Ngân hàng Nông nghiệp và Phát triển nông
thôn Việt Nam, em xin đưa ra một số giải pháp nhằm khắc phục các mặt tồn
tại của ngân hàng hiện nay và với hy vọng các giải pháp cùng công nghệ tiên
tiến hiện đại mới nhất có thể giúp cho ngân hàng ngày một phát triển và
được khách hàng tin dùng.
1.3 PHẠM VI, ĐỐI TƯỢNG NGHIÊN CỨU :
Luận văn tập trung trình bày những nội dung chủ yếu về an toàn dữ liệu,
chế độ bảo mật thông tin khách hàng trong thanh toán trực tuyến tại Ngân
hàng Nông nghiệp và Phát triển nông thôn Việt Nam.
1.4 PHƯƠNG PHÁP NGHIÊN CỨU :
Luận văn sử dụng phương pháp thống kê, phân tích tổng hợp, tiếp cận hệ
thống lý luận và thực tiễn, trên cơ sở của chủ nghĩa duy vật biện chứng và
duy vật lịch sử để phân tích và xử lý các vấn đề nghiên cứu.
1.5 KẾT CẤU LUẬN VĂN :
3
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
Luận văn được chia làm 4 chương:
Chương 1: Tổng quan đề tài nghiên cứu.
Chương 2: Cơ sở lý luận về bảo mật thông tin khách hàng trong thanh
toán trực tuyến.
Chương 3: Thực trạng bảo mật thông tin khách hàng trong thanh toán
trực tuyến tại Ngân hàng nông nghiệp và Phát triển nông thôn Việt
Nam.
Chương 4: Giải pháp bảo mật thông tin khách hàng trong thanh toán
trực tuyến tại Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt
Nam.
Do còn hạn chế về thời gian nghiên cứu, tài liệu thu thập cũng như trình độ
hiểu biết, đề tài nghiên cứu của em không tránh khỏi những thiếu sót. Kính
mong thầy cô giáo quan tâm, đóng góp ý kiến để cho đề tài của em được
hoàn thiện.
Em xin chân thành cảm ơn!
4
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
CHƯƠNG II
CƠ SỞ LÝ LUẬN VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG
TRONG THANH TOÁN TRỰC TUYẾN
2.1 KHÁI NIỆM VỀ BẢO MẬT THÔNG TIN KHÁCH HÀNG
2.1.1 Khái niệm về bảo mật thông tin
Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của
thông tin.
Tính bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những
người được cấp quyền. Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của
thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy
xuất thông tin khi họ cần.
2.1.2 An toàn dựa trên người sử dụng
Là mức an toàn mà tất cả người sử dụng đều nhận biết được sự hiện diện
của nó. Đây là dạng an toàn đưa ra buộc người sử dụng phải nhập tên người
sử dụng và password mỗi khi sử dụng hệ thống.
Một mạng cần được bảo vệ ngay đối với người sử dụng làm việc với
chúng hàng ngày. Điều này nghĩa là cần tạo ra sự đảm bảo rằng mỗi người
sử dụng chỉ có khả năng sử dụng những nguồn lực mà công việc hàng ngày
của anh ta đòi hỏi sử dụng. Mức an toàn này cũng cho phép nhà quản trị
mạng kiểm soát các dữ liệu người sử dụng có khả năng xem xét và thay đổi.
2.1.3 Mục tiêu của bảo mật thông tin
Đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này
vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận
5
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao
nên hệ thống chỉ có thể đạt tới độ an toàn nào đó.
Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi
đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự
an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc
tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.
2.1.4 Bảo mật thông tin khách hàng
Các thông tin khách hàng cần bảo mật
+ Những thông tin quan trọng về khách hàng của công ty.
+ Chi tiết nghiệp vụ quan trọng của khách hàng với công ty.
+ Chính sách chăm sóc khách hàng của công ty.
Bảo mật thông tin khách hàng theo cấp bậc
+ Cấp tuyệt mật: Thông tin khách hàng cấp tuyệt mật là thông tin quan
trọng nhất của công ty, khi thông tin này lọt ra ngoài thì sẽ ảnh hưởng
nghiêm trọng đến lợi ích và quyền lợi của công ty. Thông tin khách hàng
quan trọng ảnh hưởng trực tiếp đến quyền lợi của công ty được coi là cấp
tuyệt mật.
+ Cấp cơ mật: Thông tin khách hàng cấp cơ mật là bí mật quan trọng của
công ty, khi thông tin này lọt ra ngoài thì sẻ ảnh hưởng nghiêm trọng đến lợi
ích và quyền lợi của công ty. Thông tin khách hàng liên quan đến nghiệp vụ
quan trọng của công ty coi là cấp cơ mật.
+ Cấp bí mật: Thông tin khách hàng cấp bí mật là những bí mật của công
ty. Khi để lọt ra ngoài sẽ gây tổn hại cho lợi ích và quyền lợi công ty. Thông
tin khách hàng có mối quan hệ bình thường với công ty là cấp bí mật.
2.1.5 Vai trò của bảo mật thông tin khách hàng
6
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
Bảo mật thông tin khách hàng đóng vai trò quan trọng trước quyết định sử
dụng dịch vụ ngân hàng điện tử của khách hàng, đồng thời nó mang lại niềm
tin cho khách hàng khi tham gia hoạt động giao dịch trên mạng. Là vấn đề
chiến lược và là trọng tâm hàng đầu của các ngân hàng vì việc sử dụng hệ
thống thanh toán tiền tự động hiện còn khá rủi ro về vấn đề bảo mật, tính
riêng tư như việc chữ ký điện tử bị rò mật mã, các mã số thông tin cá nhân
(pin) thông tin về thẻ tín dụng bị rò rỉ và có thể bị liên hệ đến từng vụ thanh
toán tự động, nên việc xây dựng hệ thống bảo mật khắc phục các mặt tồn tại
đó là rất cần thiết và cấp bách.
2.2 NHỮNG LÝ THUYẾT BẢO MẬT THÔNG TIN KHÁCH HÀNG
TRONG THANH TOÁN TRỰC TUYẾN
2.2.1 Khái niệm thanh toán trực tuyến
Thanh toán trực tuyến là việc thanh toán thông qua thông điệp điện tử thay
cho việc giao tay tiền mặt.
Theo cách hiểu này thanh toán trực tuyến là hệ thống thanh toán dựa trên
nền tảng công nghệ thông tin. Việc thanh toán được thực hiện qua máy tính
và mạng máy tính, nối mạng các đơn vị thành viên tham gia thanh toán.
2.2.2 Vai trò của thanh toán trực tuyến
Thanh toán trực tuyến nhằm thực hiện cân bằng cho việc trao đổi giá trị.
Việc trả lương bằng cách chuyển tiền trực tiếp vào tài khoản, trả tiền mua
hàng bằng thẻ mua hàng, thẻ tín dụng…đã quen thuộc từ lâu nay thực chất
đều là các dạng TTTT. TTTT sử dụng các máy rút tiền tự động ATM
(Automatic Teller Machine ), thẻ tín dụng mua hàng ( Purchasing Card ), thẻ
thông minh ( Smart Card ) là loại thẻ có gắn chip điện tử ( Electronic Purse),
tiền mặt Cyber ( Cyber Card ), các chứng từ điện tử (ví dụ như hối phiếu,
7
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
giấy nhận nợ điện tử)…Việc xây dựng một hệ thống thanh toán tài chính tự
động an toàn là điều kiện tiên quyết để thực hiện thành công TMĐT tiến tới
nền kinh tế số hoá.
Sử dụng hệ thống TTTT tạo điều kiện cho việc đa dạng hoá các phương
thức sử dụng tiền tệ và lưu chuyển dễ dàng ở phạm vi đa quốc gia. Tiền sử
dụng là tiền điện tử không mất chi phí in ấn, kiểm đếm, giao nhận. Tốc độ
lưu chuyển tiền tệ qua ngân hàng nhanh và kiểm soát được quy trình rủi ro
trong thanh toán. Về phía người sản xuất thì thu được tiền nhanh chóng, rút
ngắn chu trình tái sản xuất tránh đọng vốn, tăng tốc độ lưu thông hàng hoá
và tiền tệ. Người tiêu dùng có khả năng lựa chọn dễ dàng hàng hoá một cách
tức thời và theo ý của mình.
2.2.3 Bảo mật thông tin và tác động của nó đến hoạt động thanh toán
Bốn yêu cầu chủ yếu về bảo mật cho việc thanh toán điện tử an toàn bao
gồm:
2.2.3.1 Xác thực
Là việc kiểm tra nhân thân của người mua trước khi việc thanh toán được
chứng thực. Xác thực là một tính năng rất quan trọng trong việc thực hiện
các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính với cơ
quan pháp quyền. Các hoạt động này cần phải xác minh rõ người gửi thông
tin để sử dụng tư cách pháp nhân.
2.2.3.2 Mã hóa
Một quá trình làm cho các thông điệp không thể giải đoán được ngoại trừ
bởi những người có khóa giải mã được cho phép sử dụng. Khi người gửi đã
mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới
giải mã được thông tin để đọc. Trong quá trình truyền thông tin qua Internet,
dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được
8
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
trong gói tin có thông tin gì. Đây là một tính năng rất quan trọng, giúp người
sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin. Những trao đổi
thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng
điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm
bảo an toàn.
2.2.3.3 Tính toàn vẹn
Bảo đảm rằng thông tin sẽ không bị vô tình hay ác ý thay đổi hay phá hỏng
trong quá trình truyền đi.
2.2.3.4 Tính không thoái thác
Bảo vệ chống lại sự từ chối của khách hàng đối với những đơn hàng đã đặt
và sự từ chối của người bán hàng đối với những khoản thanh toán đã được
trả.
2.2.4 Những biện pháp bảo mật trong hệ thống thanh toán điện tử
2.2.4.1 Mã hóa
Mã hóa là phương thức biến đổi thông tin từ định dạng thông thường thành
một dạng khác ( mã hóa ) không giống như ban đầu nhưng có thể khôi phục
lại được ( giải mã ).
Mục tiêu của mã hóa là nhằm bảo vệ các thông tin nhạy cảm. Trong một
hệ thống mã hóa, một thông điệp được mã hóa bằng cách dùng một khóa.
Văn bản đã được mã hóa ( Giai đoạn chuyển thông tin nguyên gốc ban đầu
thành các dạng thông tin được mã hóa – gọi là bản mã ) sau đó được chuyển
tới người nhận ở đó nó được giải mã (Thực hiện biến đổi bản mã để thu lại
thông tin nguyên gốc như trước khi mã hóa ) bằng cách sử dụng một khóa để
tạo ra thông điệp gốc.
2.2.4.2 Chữ ký số
9
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc áp dụng
mã hóa khóa công khai lại. Để tạo ra một chữ ký số, một người gửi mã hóa
một thông điệp với chìa khóa riêng của mình. Trong trường hợp này, bất cứ
người nhận nào đó có chìa khóa công khai của họ đều có thể đọc nó, song
người nhận có thể tin chắc rằng người gửi thực sự là tác giả của thông điệp.
Một chữ ký số thường được gắn kèm với thông điệp được gửi, cũng giống
như chữ ký viết tay.Tính chân thực và việc xác nhận được đảm bảo bằng
việc sử dụng chữ ký số.
Khi kết hợp với kỹ thuật số hóa thông điệp, việc mã hóa sử dụng khóa
riêng cho phép người sử dụng ký thông điệp. Một số hóa thông điệp là một
giá trị được tạo ra cho một thông điệp mang tính duy nhất cho thông điệp đó
(không thể tạo ra 2 thông điệp khác nhau có cùng số hóa thông điệp- xác
suất 1/10
48
). Một số hóa thông điệp được tạo ra bằng cách đưa thông điệp
qua một chức năng mã hóa một cửa, tức là một nơi không thể quay lại. Khi
số của thông điệp được mã hóa dùng riêng của người gửi và được ghép thêm
vào thông điệp gốc, kết quả được gọi là chữ ký số hóa của thông điệp. Người
nhận chữ ký số hóa có thể chắc chắn rằng thông điệp thực sự đến từ người
gửi.
Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện
sau:
- Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra
được bằng khoá công khai ghi trên chứng thư số có hiệu lực đó.
- Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá
công khai ghi trên chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ
ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ
chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy
chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ chức cung
10
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận tại Việt Nam
cấp.
- Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
- Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký
khi người đó ký số thông điệp dữ liệu.
Việc giả mạo chữ kí điện tử là hoàn toàn có thể.Vì vậy trong giao dịch các
doanh nghiệp thường phải sử dụng các biện pháp như : không hoàn toàn dựa
vào chữ kí điện tử hoặc gọi điện cho đối tác để chứng thực ......
2.2.4.3 Các chứng thực ( xác nhận )
Để xác nhận về nhân thân, được phát hành bởi một cơ quan chứng thực
bên thứ ba CA ( third- party certificate authority) đáng tin cậy. Một chứng
thực bao gồm các bản ghi các thông số như seri, tên người chủ sở hữu, các
chìa khóa công khai của người chủ sở hữu ( một cho việc trao đổi khóa bí
mật với tư cách là người nhận và một cho chữ ký số với tư cách người gửi ),
một thuật toán sử dụng những khóa này, loại hình chứng thực, tên của CA
và chữ ký số của CA. Việc chứng thực được củng cố thêm bằng việc sử
dụng các giấy chứng nhận.
Sự cần thiết của chứng thực: Trước khi hai bên sử dụng mã hóa khóa công
cộng để tiến hành kinh doanh, mỗi bên muốn được đảm bảo rằng bên kia là
xác thực. Trước khi A nhận một thông điệp với chữ ký số hóa của B, anh ta
muốn được đảm bảo rằng khóa công cộng thuộc về B chứ không phải thuộc
ai đó cải trang B trên một trang mở. Một cách để đảm bảo chắc chắn rằng
khóa công cộng thuộc về B là phải nhận được nó trên một kênh được đảm
bảo trực tiếp từ B. Tuy nhiên, trong hầu hết các trường hợp, giải pháp này là
không thực tế. Một giải pháp thay thế cho việc truyền tải đảm bảo về khóa là
sử dụng một bên thứ ba được ủy thác để xác nhận rằng khóa công cộng
thuộc về B. Bên thứ ba như vậy gọi là cơ quan chứng nhận CA. CA có thể
11
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
yêu cầu B xuất trình CMND cho mọt công chứng viên trước khi phát hành
chứng nhận.
Các nhà chứng thực điện tử CA cung cấp cho khách hàng đầy đủ thông tin
và cách sử dụng khóa mã và phải đảm bảo những điều kiện sau:
- Chứng thực danh tính của những người tham gia giao dịch: Chỉ có chủ sở
hữu của chứng chỉ số mới có thể ký chữ ký điện tử và gửi thông điệp đi. Và
người nhận thông điệp tin tưởng thông điệp đúng là của người chủ hợp pháp
gửi đến
- Bảo mật được thông tin: Thông điệp được mã hoá trước khi chuyển đi.
- Đảm bảo tính toàn vẹn của dữ liệu khi đến người nhận: Thông tin để được
mã hoá sẽ không bị sửa đổi trên đường
Sau khi B đã cung cấp một bằng chứng về nhận dạng, cơ quan cấp chứng
nhận sẽ tạo ra một thông điệp chứa đựng tên của B và khóa công cộng của
anh ta. Thông điệp này được gọi là một giấy chứng nhận, được ký số hóa bởi
cơ quan chứng nhận. Nó chứa đựng các thông tin nhận dạng người chủ cũng
như một bản copy của một trong các khóa công cộng của người chủ. Để đạt
lợi ích tốt nhất, khóa công cộng của cơ quan chứng nhận nên được càng
nhiều người biết càng tốt.
Ở Việt Nam hiện nay việc xây dựng phát triển hệ thống CA là một nhân tố
rất quan trọng giúp thúc đẩy nền TMĐT VN phát triển. Do đó mới chỉ có 1
số tổ chức đứng ra cung cấp thử nghiệm và phát triển chữ kí điện tử như
VDC,VASC. Bộ Thông tin và Truyền thông (MIC) đang xây dựng trung tâm
chứng thực điện tử quốc gia RootCA.Và tất nhiên tính an toàn của chữ kí
điện tử do những tổ chức này cung cấp không thể so sánh đuợc với các đại
gia lâu năm trên thế giới như Verisign, Entrust,RSA....
2.2.5 Giao thức giao dịch điện tử bảo mật
12
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
2.2.5.1 SET (secure electronic transaction protocol)
Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào
năm 1997 và được phát triển dần lên từ đó. Giao thức SET đáp ứng được 4
yêu cầu về bảo mật trong TMĐT: xác thực, mã hóa, tính chân thực, tính
không thoái thác. Ngoài ra SET xác định hình thức thông điệp, hình thức
chứng thực, và thể thức trao đổi thông điệp. Trong giao thức SET, có 4 thực
thể: người chủ sở hữu thẻ, người kinh doanh thẻ, cơ quan chứng thực CA và
cổng nối thanh toán. Vai trò của cơ quan phát hành, cơ quan nhận thanh toán
và cơ quan nhãn hiệu vượt quá tầm của các đặc tính giao thức SET. Vai trò
của cổng nối thanh toán là để kết nối Internet và các mạng độc quyền của
các ngân hàng
2.2.5.2 SSL ( secure socket layer )
SSL là dịch vụ an toàn tầng vận chuyển, ban đầu được phát triển bởi
Netscape. Sau đó phiên bản 3 của nó được thiết kế cho đầu vào công cộng
và trở thành chuẩn Internet.
Giao thức SSL đã được sử dụng rộng rãi trên mạng Internet trong việc xác
thực và mã hoá thông tin giữa máy trạm và máy chủ. SSL có thể sử dụng để
hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được
chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
+ Xác thực máy chủ: Cho phép người sử dụng xác thực được máy chủ
muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai
để chắc chắn rằng chứng chỉ và khoá công cộng của máy chủ là có giá trị và
được cấp phát bởi một CA trong danh sách các CA đáng tin cậy của máy
trạm.
+ Xác thực máy trạm: Cho phép phía máy chủ xác thực được người sử
dụng muốn kết nối. Phía máy chủ cũng sử dụng các kỹ thuật mã hoá công
13
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
khai để kiểm tra xem chứng chỉ và khoá công cộng của máy chủ có giá trị
hay không và được cấp phát bởi một CA trong danh sách các CA đáng tin
cậy không.
+ Mã hoá kết nối: Tất cả các thông tin trao đổi giữa máy trạm và máy chủ
được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật.
2.2.5.3 IPsec ( IP security )
Bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin
trên nền tảng Internet Protocol (IP). Bao gồm xác thực và mã hoá cho mỗi
gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm
những giao thức cung cấp cho mã hoá và xác thực.
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
1. Mã hoá quá trình truyền thông tin
2. Đảm bảo tính nguyên vẹn của dữ liệu
3. Phải được xác thực giữa các giao tiếp
4. Chống quá trình replay trong các phiên bảo mật.
5. Modes – Các mode
Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho
tính toàn vẹn dữ liệu, và thuật toán TripleDES-CBC và AES-CBC cho mã
mã hoá và đảm bảo độ an toàn của gói tin.
2.3 TÌNH HÌNH NGHIÊN CỨU BẢO MẬT THÔNG TIN KHÁCH
HÀNG TRONG THANH TOÁN TRỰC TUYẾN NHỮNG NĂM QUA
2.3.1 Sách tham khảo
- Giáo trình An toàn và bảo mật thông tin : TS. Trần Văn Dũng – Trường ĐH
Giao thông vận tải, Khoa CNTT, Bộ môn khoa học máy tính – 2008
- Giáo trình Công nghệ bảo mật và chữ ký điện tử : Bộ môn CNTT, Đại học
Thương mại – 2007
14
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
- Giáo trình An toàn dữ liệu : Bộ môn CNTT, Đại học Thương mại – 2007
- Lý thuyết mật mã và an toàn thông tin : Phan Đình Diệu - Đại học Quốc gia
Hà Nội - 1999.
- Công nghệ bảo mật World Wide Web : Nguyễn Ngọc Tuấn, Hồng Phúc -
Nhà xuất bản Thống kê – 2005
Nhìn chung tất cả các sách tham khảo này đều mang nặng tính lý thuyết
chứ chưa áp dụng bảo mật cho một ngành nghề cụ thể nào.
2.3.2 Báo, tạp chí
- Báo cáo kết quả triển khai công nghệ thông tin góp phần triển khai cung
cấp sản phẩm dịch vụ năm 2008. Các giải pháp phát triển công nghệ thông
tin 2009: Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam –
3/2009
- Báo cáo thường niên năm 2007 : Ngân hàng Nông nghiệp và Phát triển
nông thôn Việt Nam
- Quản lý và triển khai dự án corebank tại Agribank : Phạm Thanh Tân –
12/2008
Là báo cáo của ngành nhưng là báo cáo kết quả triển khai công nghệ thông
tin nên chưa chuyên sâu vào vấn đề bảo mật. Bảo mật chỉ là một trong
những yếu tố cần quan tâm của vấn đề công nghệ.
2.3.3 Các tài liệu Internet khác
Các tài liệu Internet cũng chỉ tập trung vào các hội thảo, hay các báo cáo
nói về bảo mật thông tin trong thanh toán, hoặc đề cập tới sự cố khách hàng
gặp phải khi thực hiện thanh toán trực tuyến. Chứ không có tài liệu nào đi
sâu về đề tài bảo mật thông tin trong khách hàng thanh toán trực tuyến
15
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
2.4 PHÂN ĐỊNH NỘI DUNG
+ Khái quát hoá vấn đề lý luận về vấn đề bảo mật thông tin khách hàng
trong thanh toán trực tuyến tại ngân hàng. Đó chính là nền tảng để vận dụng,
triển khai việc bảo mật thông tin khách hàng vào thực tiễn trong môi trường
công nghệ ngày càng nhiều thay đổi.
+ Điều tra, thu thập dữ liệu thứ cấp, dữ liệu sơ cấp liên quan đến vấn đề bảo
mật thông tin khách hàng tại ngân hàng Agribank.
+ Phân tích xử lý các dữ liệu thu thập được, tổng hợp thành thông tin cần
thiết phục vụ cho đề tài nghiên cứu.
+ Qua việc nghiên cứu, phân tích thực trạng bảo mật thông tin khách hàng
trong thanh toán trực tuyến tại ngân hàng Agribank để phát hiện ra những
vấn đề còn tồn tại chưa được giải quyết, chưa phát triển để từ đó đưa ra các
kiến nghị, đề xuất các giải pháp, kiến nghị ở tầm vi mô và vĩ mô.
16
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
CHƯƠNG III
THỰC TRẠNG BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG
THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG NGHIỆP
VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM
3.1 HỆ THỐNG CÁC PHƯƠNG PHÁP NGHIÊN CỨU
3.1.1. Phương pháp thu thập dữ liệu :
Phiếu câu hỏi điều tra trắc nghiệm : Với số lượng 10 câu hỏi trong 1 phiếu
điều tra, các câu hỏi tập trung vào vấn đề nghiên cứu nhằm khai thác thông
tin từ ngân hàng về vấn đề đang được điều tra.
Phỏng vấn chuyên gia : Cùng với các câu hỏi đóng là các câu hỏi mở nhằm
tìm hiểu những đánh giá của các chuyên gia trong ngành về vấn đề tầm quan
trọng của bảo mật thông tin khách hàng trong giai đoạn hiện nay.
Phương pháp thu thập dữ liệu thứ cấp (qua các báo cáo kinh doanh, tài liệu
thống kê, các báo cáo hội thảo, qua Internet…)
3.1.2. Phương pháp phân tích dữ liệu và xử lý dữ liệu
Phương pháp định lượng: Sử dụng phầm mềm thống kê kết quả Excell.
Phương pháp định tính: Lập bảng tổng kết và diễn giải.
3.2 THỰC TRẠNG ỨNG DỤNG BẢO MẬT THÔNG TIN VÀO HOẠT
ĐỘNG THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG
NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM
3.2.1 Các dịch vụ ngân hàng điện tử và sản phẩm thanh toán trực
tuyến Ngân hàng Nông nghiệp và Phát triển nông thôn cung cấp cho
khách hàng
3.2.1.1 Các dịch vụ Ngân hàng điện tử của Ngân hàng Agribank :
17
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
+ Phone- Banking :
Là hệ thống tự động trả lời hoạt động 24/24, khách hàng nhấn vào các phím
trên bàn phím điện thoại theo mã do ngân hàng quy định trước, để yêu cầu
hệ thống trả lời thông tin.
Các chức năng chính
- Nghe thông tin về tài khoản
- Nghe thông tin về tỷ giá hối đoái
- Nghe thông tin về lãi suất
- Để nghe về thông tin cá nhân
- Nghe 10 thông báo mới nhất của Ngân hàng
- Để huỷ bỏ một yêu cầu truy cập vào hệ thống
+ Mobile- Banking :
Là một kênh phân phối sản phẩm dịch vụ ngân hàng qua hệ thống mạng
điện thoại di động.
Các chức năng chính:
- Thông báo thay đổi số dư tài khoản
- Vấn tin tài khoản, in sao kê năm giao dịch gần nhất
- Sử dụng dịch vụ nạp tiền vào điện thoại qua tin nhắn – VNTopup
+ Internet- Banking :
Là một trong những kênh phân phối các sản phẩm dịch vụ của ngân hàng,
đưa ngân hàng đến từng nhà, từng văn phòng, trường học, đến bất kỳ nơi
đâu và bất kỳ lúc nào. Với máy tính kết nối Internet, khách hàng của ngân
hàng sẽ được cung cấp và được hướng dẫn các sản phẩm, dịch vụ của ngân
hàng khi truy nhập vào website Agribank.com.vn
Các chức năng chính:
- Vấn tin tài khoản, sao kê
- Các nghiệp vụ tích hợp
18