Môn học: TMĐT

CHƯƠNG 4: RỦI RO VÀ PHÒNG TRÁNH

RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ

GV: Phạm Thị Châu Quyên

Trường ĐH Ngoại thương TP. HCM
4 NỘI DUNG CHƯƠNG 4

Tổng quan về an toàn và phòng tránh

1
rủi ro trong TMĐT

2 Các rủi ro chính trong TMĐT

3 Xây dựng kế hoạch an ninh cho TMĐT

 TỔNG QUAN VỀ AN TOÀN VÀ PHÒNG TRÁNH
4.1 RỦI RO TRONG TMĐT

•  Tấn công mạng và tội phạm mạng gia tăng nhanh

•  Các tổ chức phải chịu những cuộc tấn công cả bên
trong lẫn bên ngoài
•  Các hình thức tấn công mạng rất khác nhau
•  Thiệt hại về tài chính qua các cuộc tấn công mạng là
rất lớn
•  Phải sử dụng nhiều biện pháp đồng thời để nâng cao
khả năng phòng chống các vụ tấn công mạng.
4.2 CÁC RỦI RO CHÍNH TRONG TMĐT

①  Nhóm rủi ro dữ liệu

②  Nhóm rủi ro về công nghệ
③  Nhóm rủi ro về thủ tục quy trình giao dịch của
tổ chức
④  Nhóm rủi ro về luật pháp và các tiêu chuẩn
công nghiệp
4.3 XÂY DỰNG KẾ HOẠCH AN NINH CHO TMĐT

(1) Các biện pháp bảo đảm an toàn cho giao dịch
TMĐT
(2) Các biện pháp bảo đảm an toàn cho hệ thống
TMĐT
4.3 XÂY DỰNG KẾ HOẠCH AN NINH CHO TMĐT

(1) Các biện pháp bảo đảm an toàn cho giao dịch
TMĐT
•  Sử dụng kỹ thuật mã hoá thông tin
•  Chữ ký điện tử, chữ ký số
•  Phong bì số
•  Chứng thư số hoá
1 MÃ HOÁ KHOÁ BÍ MẬT

Mã hóa khóa đối xứng (mã hóa khóa bí mật)

Sử dụng 1 khóa chung giống nhau cho cả quá
trình mã hóa và quá trình giải mã.
2 MÃ HOÁ KHOÁ CÔNG KHAI

Mã hóa khóa công khai sử dụng 2 khóa khác

nhau trong quá trình mã hóa và giải mã

§  Một khóa dùng để mã hóa thông điệp

§  Một khóa dùng để giải mã

3 Các dạng chữ ký điện tử

Hình
ảnh

Âm
CKS
thanh

CKĐT
Đặc
điểm PIN
sinh học

Pass-
word
 1. Pen and
touch screen
2. Fingerprint, retina reading devices
3. Voice recognition device
4. Applied in security system
5. Smart card
6. Verify the account holder through card
and password
NGUỒN THÔNG TIN TRÊN INTERNET LÀ VÔ TẬN

q  Có những thông tin chỉ

được truy cập bởi những
người có liên quan
q  Nhiều dịch vụ cần biết
chính xác người yêu cầu/
người cung cấp và nội
dung thông tin có bị thay
đổi khi gửi/ nhận không.
CẦN 1 CHỮ KÝ ĐIỆN TỬ AN TOÀN!
4 CHỮ KÝ ĐIỆN TỬ AN TOÀN – CHỮ KÝ SỐ

1. Dữ liệu tạo chữ ký chỉ gắn duy nhất với người ký;

2. Dữ liệu tạo chữ ký chỉ thuộc quyền kiểm soát của

người ký;

3. Mọi thay đổi đối với chữ ký điện tử sau thời điểm
ký đều có thể bị phát hiện;

4. Mọi thay đổi đối với nội dung thông điệp dữ liệu
sau thời điểm ký đều có thể bị phát hiện
Nguồn: Điều 22, Luật GD ĐT 2005
4 CHỮ KÝ SỐ
“ Chữ ký số là một dạng chữ ký điện tử, được tạo ra bằng sự

biến đổi một thông điệp dữ liệu sử dụng hệ thống

mật mã không đối xứng theo đó người có được thông
điệp dữ liệu ban đầu và khóa công khai của người ký có thể
xác định được chính xác:
a)  Việc biến đổi nêu trên được tạo ra bằng đúng khóa bí mật
tương ứng với khóa công khai trong cùng một cặp khóa
b)  Sự toàn vẹn nội dung của thông điệp dữ liệu kể từ khi thực
hiện việc biến đổi nêu trên”
4 CHỮ KÝ SỐ

•  Tính toàn vẹn thông tin

•  Tính chống chối bỏ
•  Tính xác thực
•  Tính bảo mật
4 CHỮ KÝ SỐ

1. Trong trường hợp pháp luật quy định văn bản cần có
chữ ký thì yêu cầu đối với một thông điệp dữ liệu
được xem là đáp ứng nếu thông điệp dữ liệu đó được
ký bằng chữ ký số;
2. Trong trường hợp pháp luật quy định văn bản cần
được đóng dấu của cơ quan, tổ chức thì yêu cầu đó
đối với một thông điệp dữ liệu được xem là đáp ứng
nếu thông điệp dữ liệu đó được ký bởi chữ ký số của
người có thẩm quyền.
Nguồn: Điều 8, Nghị định Chữ ký số (NĐ 26.2007)
5 QUY TRÌNH KÝ SỐ
Original message

Hash
Private key

Summary Digital signature

(Hash value) Encrypt

Attach to
first message

Encrypt Digitally signed

message
Public key
Digital envelop
2.3. Quy trình tạo chữ ký số (CKS)
 Decrypt Digital envelop XÁC THỰC
Private key

Digitally signed message

Public key seperate

Message
decrypt Digital
signature
Hash

Can Summary Summary

1 2
decrypt?

Similitary?
Message integrity
Right sender?
Message has been alterd
6 DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ

CA = CERTIFICATION AUTHORITY
6 DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ

Chứng thư điện tử là thông điệp dữ liệu do

tổ chức cung cấp dịch vụ chứng thực chữ ký
điện tử phát hành nhằm xác nhận cơ quan,
tổ chức, cá nhân được chứng thực là người
ký chữ ký điện tử.
Nguồn: Điều 4, khoản 1, Luật GDĐT 2005
6 DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ

NỘI DUNG CHỨNG THƯ SỐ

1.  Tên của CA
2.  Tên của người đăng ký/ thuê bao
3.  Số seri của chứng thư số
4.  Điều khoản của chứng thư số
5.  Khóa công khai của người đăng ký
6.  Chữ ký số của CA
7.  Giới hạn mục đích và phạm vi sử dụng chứng thư số
8.  Nghĩa vụ pháp lý của CA
9.  Những nội dung khác được quy định bởi Bộ Thông tin
và Truyền thống
6 DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ

BẢN
Nội dung HÀM TÓM KHÓA BÍ
CKS
chứng thư số BĂM LƯỢC MẬT

Nộị dụng
+ CKS
chứng thư số

CHỨNG THƯ SỐ
6 DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ

CÁC CA TRÊN THẾ GIỚI

6 DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ

CÁC CA Ở VIỆT NAM

4.3 XÂY DỰNG KẾ HOẠCH AN NINH CHO TMĐT

(2) Các biện pháp bảo đảm an toàn cho hệ thống

TMĐT
•  Tường lửa
•  Mạng riêng ảo (VPN)
•  Sử dụng mật khẩu đủ mạnh
•  Phòng chống virus
•  Giải pháp an ninh nguồn nhân lực
•  Giải pháp về trang thiết bị an ninh mạng