Chương 3

AN NINH THƯƠNG MẠI ĐIỆN TỬ

1
Rủi ro trong TMĐT

Định nghĩa : Những sự cố, tai hoạ xảy ra một cách

bất ngờ nằm ngoài tầm kiểm soát của con người,
hoặc những mối đe doạ nguy hiểm gây tổn thất cho
chủ thể tham gia vào hoạt động TMĐT

2
 An ninh trong TMĐT
- Trung tâm bảo vệ cơ sở hạ tầng quốc gia (NIPC) trực thuộc
FBI (Mỹ)
- Trung tâm ứng cứu khan cấp máy tính Việt Nam (VnCERT-
Vietnam Computer Emergency Response Teams)
Theo VnCERT, những tội phạm thường gặp:
-Lấy cắp mật khẩu thẻ tín dụng
-Làm thẻ tín dụng giả để lấy cắp tiền từ ATM
-Thiết lập mạng máy tính giả gửi thư rác, thư quảng cáo
-Tấn công từ chối dịch vụ (DOS)
-Đe doạ tấn công, tống tiền hay bảo kê website TMĐT
Những rủi ro thường gặp

• Nhóm rủi ro về dữ liệu

• Nhóm rủi ro về công nghệ
• Nhóm rủi ro về thủ tục quy trình giao dịch của
công ty
• Nhóm rủi ro về luật pháp và các tiêu chuẩn công
nghiệp
Những rủi ro thường gặp

Luật pháp và tiêu chuẩn công

nghiệp

Các thủ tục quy trình giao dịch

Công nghệ

Dữ liệu
Các giao dịch TMĐT thông thường

Slide 5-6
Copyright © 2016 Pearson Education, Ltd.
Các điểm có thể phát sinh rủi ro

Slide 5-7
Copyright © 2016 Pearson Education, Ltd.
Những rủi ro thường gặp
Rủi ro về dữ liệu

• Dữ liệu lưu trữ (website, thông tin thẻ tín dụng)

– Người bán: thay đổi thông tin website, cơ sở dữ liệu,
nhận được đơn hàng giả mạo,…
– Người mua: thông tin cá nhân, nhận email giả tạo,…
– Chính phủ
• Dữ liệu trên đường truyền
Rủi ro về công nghệ

Các hình thức tấn công chủ yếu:

• Phát tán virus
•Tin tặc, các chương trình phá hoại
•Phishing – “ kẻ giả mạo”
•Kẻ trộm trên mạng (sniffer)
•Tấn công từ chối dịch vụ (DOS - Denial Of Service
attack)
•Gửi thư rác với quy mô lớn
•Thu thập thông tin người sử dụng bằng spyware
 Các loại hình tấn công vào các
website TMĐT - Phát tán virus

• 3 loại chính:
– virus ảnh hưởng tới các tệp (file) chương trình
(.com, .exe, .bat, .pif, .sys...)
– virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi
động)
– virus macro
• Virus được đánh giá là mối đe doạ lớn nhất đối
với an toàn của các giao dịch thương mại điện tử
hiện nay.
 Tin tặc (hacker) và các chương
trình phá hoại (cybervandalism)

• Tin tặc hay tội phạm máy tính:

– những người truy cập trái phép vào một website, CSDL
hay HTTT.
• Những hành vi của tin tặc:
– đánh sập website,
– hủy dữ liệu,
– xâm nhập hệ thống ngân hàng,
– đánh cắp các tài khoản ATM,
– tài khoản Game, tài khoản Mobile
 Tin tặc (hacker) và các chương
trình phá hoại (cybervandalism)

• Nguy hiểm hơn chúng có thể sử dụng các

chương trình phá hoại (cybervandalism) nhằm
gây ra các sự cố, làm mất uy tín hoặc phá huỷ
website trên phạm vi toàn cầu.
Phishing – “ kẻ giả mạo”

• một loại tội phạm công nghệ cao

– sử dụng email, tin nhắn pop-up hay trang web
– lừa người dùng cung cấp các thông tin cá nhân như
thẻ tín dụng, mật khẩu, số tài khoản ngân hàng.
• Các website thường xuyên bị giả mạo
– Ebay, MSN, Yahoo, BestBuy, American Online
– Paypal: http://paypal.com,
http://paypal.com@218.36.41.188/fl/login.html
Rủi ro về gian lận thẻ tín dụng

• Trong TMĐT mối đe doạ lớn nhất là bị “mất” (hay

bị lộ) các thông tin liên quan đến thẻ tín dụng
hoặc các thông tin giao dịch sử dụng thẻ tín dụng
trong quá trình thực hiện các giao dịch mua sắm
qua mạng và các thiết bị điện tử.
Tấn công từ chối dịch vụ

• tấn công khiến một hệ thống máy tính hoặc một

mạng bị quá tải, dẫn tới không thể cung cấp dịch
vụ hoặc phải dừng hoạt động.
• Vụ tấn công DOS điển hình vào những website
hàng đầu:
– eBay, Amazon, CNN, E-Trade, Yahoo, Buy.com và
ZDNet.
Tấn công DDoS

Máy tính
ISP
Kẻ trộm trên mạng (sniffer)

• Kẻ trộm trên mạng (sniffer) là một dạng của

chương trình theo dõi, nghe trộm, giám sát sự di
chuyển của thông tin trên mạng.
Rủi ro về thủ tục quy trình giao dịch
của công ty

• Do không kiểm tra kỹ đối tác

• Do thiếu kỹ năng ký kết hợp đồng/ hợp đồng điện
tử
• Rủi ro không nhận hàng hoặc không thanh toán
Rủi ro về luật pháp và các tiêu chuẩn
công nghiệp

• Về hiệu lực pháp lý của Giao dịch điện tử: trên

quy mô quốc tế, các nước đối tác có thừa nhận
giao dịch điện tử?
• Về tiêu chuẩn công nghiệp: chưa tiêu chuẩn hóa
trong một số lĩnh vực của TMĐT
Ảnh hưởng của rủi ro tới hoạt động
kinh doanh của DN

• Hạn chế hiệu quả kinh doanh

• Thiệt hại về vật chất
• Thiệt hại về thông tin, phần mềm, phần cứng
• Mất cơ hội kinh doanh
• Ảnh hưởng đến uy tín doanh nghiệp
Quản trị rủi ro trong TMĐT

• Là quá trình xác định các khả năng bị tấn công và

đưa ra các giải pháp thích hợp để phòng hoặc
chống lại những tấn công này
• Những lỗi thường gặp khi quản trị rủi ro:
– Thiếu thông tin hoặc đánh giá thấp thông tin nhận được
– Xác định biên giới an ninh quá hẹp
– Các quy trình quản trị rủi ro lạc hậu
– Thiếu trao đổi về các khả năng xảy ra rủi ro
Quản trị rủi ro trong TMĐT

• Các bước quản trị rủi ro:

– Đánh giá các tài sản, khả năng bị tấn công của từng tài
sản và mức độ thiệt hại nếu bị tấn công
– Lên kế hoạch: Xác định phải phòng chống loại tấn công
nào và biện pháp thực hiện
– Thực hiện
– Giám sát: Theo dõi và đánh giá hiệu quả các giải pháp
thực hiện
Phòng tránh rủi ro trong thương mại điện tử

• Kinh doanh
• Kỹ thuật
Phòng tránh rủi ro trong TMĐT

• Đảm bảo an toàn trong giao dịch

• Đảm bảo an toàn đối với hệ thống mạng
• Tham gia bảo hiểm
 Giải pháp kỹ thuật

• Bảo vệ tại môi trường giao dịch Internet

– Cryptography
• Bảo đảm an toàn các kênh truyền thông
– SSL, TLS, VPNs, Wi-Fi
• Bảo vệ mạng
– Firewalls, proxy servers, IDS, IPS
• Bảo vệ máy chủ, máy khách
– Bảo mật hệ điều hành, anti-virus

Copyright © 2016
Slide 1-26 Ltd.
Pearson Education,
Thống kê các công cụ nhằm bảo vệ an toàn
trang web

Slide 5-27
Copyright © 2016 Pearson Education, Ltd.
 Yêu cầu về an ninh

• 1 - Bí mật (secrecy):
• Đảm bảo việc, ngoài những người có quyền, không ai đọc được các dữ
liệu, lấy được các thông tin cá nhân hoặc các thông tin bí mật khác
• 2 - Toàn vẹn (integrity)
• Đảm bảo thông tin không bị thay đổi
• 3 - Sẵn sàng (availability)
• Đảm bảo thông điệp hoặc mẩu tin được truyền gửi
• 4 - Chống phủ định (non-repudiation)
• Đảm bảo rằng các bên tham gia không thể phủ định các hành động họ
đã thực hiện
• 5 - Xác thực (authentication)
• Có thể nhận biết được các đối tác tham gia giao dịch
Bảo mật trong giao dịch

• Mã hoá dữ liệu (encryption)

• Lớp ổ cắm an toàn (SSL – Secure Socket Layer)
• Các giao dịch điện tử an toàn (SET – Secure
Electronic Transaction) – visa - master
Mã hóa và
Chữ ký điện tử
Mã hóa dữ liệu

• Là quá trình chuyển các văn bản hay các tài liệu
gốc thành các văn bản dưới dạng mật mã để bất
cứ ai, ngoài người gửi và người nhận, đều không
thể đọc được.
• Hai phương pháp mã hóa:
– Mã hóa khóa bí mật (mã hóa khóa đối xứng): sử dụng 01
“chìa khóa”
– Mã hóa khóa công khai (mã hóa khóa không đối xứng):
sử dụng 02 “chìa khóa” khác nhau, một để mã và một để
giải
Mã hóa khóa bí mật
 Sử dụng 1 chìa khóa để vừa mã hóa vừa giải mã
 Mã Caesar: thay thế các ký tự của thông điệp bởi ký tự đứng sau nó k vị trí.
• Vd: k=1 thì ab, bc,…, za
 Phương pháp thế (substitution):
• thay thế ký tự theo bảng thay thế.
• mã Caecar là trường hợp đặc biệt.
 Các phần mềm mã hóa khác
• DES, 3-DES

Bảng
thế

Thông plaintext: bob. See you this monday. alice

điệp ciphertext: nkn. Icc wky uasi hkjvmw. mgsbc
Mã hóa khóa bí mật

Khóa bí mật Khóa bí mật

Truyền thông
điệp đã mã hóa

Thông Thông
Thuật giải mã
điệp đầu Thuật mã hóa điệp đầu
(VD: DES)
Mã hóa khóa bí mật

• Đáp ứng yêu cầu về tính xác thực

• Xác định bên đối tác vì đã trao đổi chìa khóa với họ
• Chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa khóa
• Đáp ứng yêu cầu về tính toàn vẹn
• Không ai có thể thay đổi nội dung thông điệp nếu không biết khìa
khóa
• Đáp ứng yêu cầu về tính không thể chối bỏ
• Bằng chứng đồng ý với nội dung thông điệp đã ký
• Đáp ứng tính riêng tư
• Không ai khác có thể đọc nội dung thông điệp nếu không biết chìa
khóa

 THÔNG ĐIỆP ĐÃ ĐƯỢC “KÝ”

Mã hóa khóa bí mật

• Nhược điểm:
• Khó trao đổi chìa khóa giữa người gửi và người nhận
• Mỗi khách hàng phải có một chìa khóa riêng  việc tạo và
quản lý khóa khó khăn
• Dễ “giải mã” hơn: brute-force
Mã hóa khóa công khai

• Sử dụng 1 cặp với 2 chìa khóa khác nhau

• Một chìa cung cấp công khai, một chìa bí mật
• Mỗi chìa đều có thể sử dụng để “khóa” thông
điệp. Khi thông điệp đã được “khóa”, chỉ có chìa
khóa cặp tương ứng mới có thể “mở” được
• Thuật toán RSA (Ronald Rivest, Adi Shamir,
Leonard Adelman)
Mã hóa khóa công khai
Khóa bằng chìa khóa công khai:

Các khóa Thông điệp coi như chưa được

công khai “ký”

Khóa bí mật
Khóa công khai
của B
của B
Thông điệp đã
mã hóa

Thông Thuật mã hóa Thuật giải mã Thông

điệp đầu (VD: RSA) . điệp đầu
Mã hóa khóa công khai
Khóa bằng chìa khóa bí mật:

Thông điệp đã được “ký” CKĐT

Các khóa
công khai

Khóa bí mật Khóa công khai

của A của A
Thông điệp đã
mã hóa

Thông Thuật mã hóa Thuật giải mã Thông

điệp đầu (VD: RSA) . điệp đầu
Chữ ký điện tử

• Chữ ký điện tử được tạo lập dưới dạng từ,

chữ, số, ký hiệu, âm thanh hoặc các hình
thức khác bằng phương tiện điện tử, gắn liền
hoặc kết hợp một cách logic với thông điệp
dữ liệu, có khả năng xác nhận người ký
thông điệp dữ liệu và xác nhận sự chấp
thuận của người đó đối với nội dung của
thông điệp dữ liệu. (Đ 21 Luật GDDT)
Các loại chữ ký điện tử

• Loại sử dụng kỹ thuật đơn giản

• Chữ, ký tự, âm thanh, bản in quét, …
• Loại sử dụng kỹ thuật trung bình
• Chữ ký dùng mật khẩu, PIN, sinh trắc học,…
• Loại sử dụng kỹ thuật cao:
• Chữ ký số (digital signature): sử dụng thuật mã hóa khóa
công khai
Chữ ký số

Điều 3, Nghị định 130:

• "Chữ ký số" là một dạng chữ ký điện tử được tạo ra
bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ
thống mật mã không đối xứng theo đó người có
được thông điệp dữ liệu ban đầu và khoá công khai
của người ký có thể xác định được chính xác:
• a) Việc biến đổi nêu trên được tạo ra bằng đúng khoá bí mật
tương ứng với khoá công khai trong cùng một cặp khóa;
• b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực
hiện việc biến đổi nêu trên.
Chữ ký số

• Trong thuật toán mã hóa khóa công khai và hạ

tầng PKI, chữ ký số là việc sử dụng chìa khóa bí
mật để mã hóa “thông điệp tóm tắt” (được tạo ra
sau khi sử dụng hàm rút gọn)

• Hàm rút gọn (hàm băm): sử dụng để tóm tắt thông

điệp gốc thành bản thông điệp tóm tắt (messege
digest) có kích thước cố định
 Quy trình “ký số” đầy đủ

Hợp đồng Hợp đồng INTERNET

Dán
Băm
HĐ rút gọn Chữ ký số phong bì

Ký số Hợp đồng
Máy tính người gửi
Máy tính người nhận Chữ ký số

Kiểm tra
nội dung Kiểm tra
Băm chữ ký
Mở
Hợp đồng phong bì

INTERNET
HĐ rút gọn HĐ rút gọn Chữ ký số
2 1
So sánh
 (2) Người gửi sử (3) Mã hóa bằng
(1) dụng hàm băm Thông điệp khóa bí mật của
người gửi Chữ ký số
Thông tóm tắt
điệp gốc

Thông
điệp gốc
và Chữ
ký số (4) Mã hóa bằng khóa
công cộng của người nhận

GỬI Phong bì số
(5) Gửi cho người nhận

NHẬN Phong bì số
(6) Giải mã bằng khóa bí mật của ng
nhận

(1) Chữ ký số
Thông
điệp gốc

(8) Sử dụng (7) Giải mã bằng khóa công

hàm băm khai của người gửi

Thông điệp Thông điệp

tóm tắt mới tóm tắt gốc
(9)
So sánh
Quản lý khóa

• PKI: Public Key Infrastructure

• Gồm:
– Chữ ký số
– Chứng thực số (Digital Certificate)
– Cơ quan chứng thực chữ ký số (CA – Certification
Authority)
– Hạ tầng mạng
Quản lý khóa

• "Tổ chức cung cấp dịch vụ chứng thực chữ ký số" là tổ chức
cung cấp dịch vụ chứng thực chữ ký điện tử thực hiện hoạt
động cung cấp dịch vụ chứng thực chữ ký số.
• "Chứng thư số" là một dạng chứng thư điện tử do tổ chức
cung cấp dịch vụ chứng thực chữ ký số cấp.
(Nghị định 26)
– “Chứng thư điện tử” là thông điệp dữ liệu do tổ chức cung
cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm
xác nhận cơ quan, tổ chức, cá nhân được chứng thực là
người ký chữ ký điện tử. (Luật GDDT)
Lớp ổ cắm an toàn (SSL)
SSL

• SSL là một chương trình an toàn cho việc truyền thông

trên web. Chương trình này bảo vệ các kênh thông tin
trong quá trình trao đổi dữ liệu giữa máy chủ và các
trình duyệt web thay vì phải bảo vệ từng mẫu tin. SSL
là giao thức Web dùng để thiết lập bảo mật giữa máy
chủ và khách
SSL

• SSL họat động trên tầng TCP của giao thức OSI
(Open Systems Interconnection), và trên giao thức khác
như Telnet và HTTP
• SSL chứa giao thức “bắt tay ” (handshake stage),
bảo mật cho server (và máy khách nếu cần ), xác
định mã hóa, thuật tóan mã hóa, và chuyển đổi
khóa mã
SSL
Các giao dịch điện tử an toàn – SET
(Secure Electronic Transaction)
SET
• Sử dụng trong thanh toán sử dụng bằng thẻ tín dụng
• Là một giao thức bảo mật khá toàn diện, sử dụng mật mã để cung
cấp tính bảo mật cho thông tin, đảm bảo tính toàn vẹn trong thanh
toán, và cho phép xác thực các thực thể với nhau. Để xác thực,
những người mua hàng và người bán háng được yêu cầu cần phải
có các chứng chỉ số được cấp bởi các tổ chức được đảm bảo
An toàn đối với hệ thống mạng

• Tường lửa (firewall): là phần mềm và/hoặc phần

cứng ngăn cách một mạng với bên ngoài
– Tất cả các luồng thông tin từ bên trong mạng máy tính
của tổ chức đi ra ngoài và ngược lại đều phải đi qua
thiết bị hay phần mềm này;
– Chỉ các luồng thông tin được phép và tuân thủ đúng
quy định về an toàn mạng máy tính của tổ chức, mới
được phép đi qua
– cisco
Tường lửa
An toàn đối với hệ thống mạng

• Phòng chống virus

• Sử dụng password mạnh
• An ninh nguồn nhân lực
• Trang thiết bị an ninh mạng: kiểm soát việc ra/vào
trụ sở làm việc: thẻ từ, kiểm tra sinh trắc học, …