Câu hỏi: Viết kế hoạch an toàn cụ thể khi giao dịch qua website ?

Bài làm
1. Giai đoạn đánh giá
- Giai đoạn này xác định những tài sản, bao gồm cả tài sản hữu hình và vô
hình. Giá trị tài sản phải được định rõ, cả về mặt tài chính và phi tài chính
và định rõ tầm quan trọng của từng tài sản và từ đó đánh giá khả năng bị
tấn công của từng tài sản.
- Xác định tài sản: thông tin cá nhân sử dụng để giao dịch, thông tin về thẻ,
thông tin số tài khoản ngân hàng khách hàng, thông tin đơn hàng. Các tài
sản vô hình có thể kể đến như các hợp đồng giao dịch, cơ sở dữ liệu, danh
sách khách hàng, giao dịch trên website.
- Xác định giá trị tài sản
- Xác định các mối đe dọa: mối đe dọa có thể do sự can thiệp gián tiếp hoặc
trực tiếp của các nhân viên trong hệ thống có quyền truy cập tới các tài
sản, các tấn công từ chối dịch vụ làm gián đoạn quá trình giao dịch. Ngoài
ra, thông tin này có thể bị đánh cắp trong quá trình giao dịch qua nghe lén,
nhìn trộm, tấn công kỹ nghệ xã hội.
- Xác định hình thức thiệt hại : Các thông tin tài khoản cá nhân có thể bị sửa
đổi hoặc đánh cắp, hoặc có thể bị phá hủy do bị tấn công. Các hợp đồng,
cơ sở dữ liệu bị đánh cắp, sửa đổi, giả mạo gây sai lệch trong quá trình
giao dịch.

2. Giai đoạn lên kế hoạch

- Xác định các nguy cơ, rủi ro, và giải pháp tương ứng cần tiến hành.
- Rủi ro về dữ liệu:
  Thông tin bí mật về tài khoản có thể bị đánh cắp khi tham gia giao
dịch.
 Trang web giả mạo, giả mạo địa chỉ internet, từ chối dịch vụ.
 Tin tặc tấn công vào website truy cập thông tin thẻ tín dụng.
- Rủi ro về gian lận thẻ tín dụng
 Mất hay bị lộ các thông tin liên quan đến thẻ tín dụng hoặc thông tin
liên quan đến giao dịch sử dụng thẻ trong quá trình diễn ra giao dịch.
- Rủi ro về thủ tục, quy trình giao dịch
 Những đơn đặt hàng không được nhà cung cấp thực hiện trong khi
khách hàng đã tiến hành trả tiền mà không nhận được hàng, nhà cung
cấp từ chối đã nhận đơn đặt hàng.
 Do không có những biện pháp đảm bảo chống phủ định của người
mua trong quy trình giao dịch trên các website nên không thể buộc
người mua phải nhận hàng hay thanh toán khi đơn đặt hàng đã được
thực hiện và hàng đã giao.

3. Giai đoạn thực thi 

- Lựa chọn các giải pháp, công nghệ phù hợp để phòng, tránh rủi ro.

Đối với bên quản trị website:

- Sử dụng kỹ thuật mã hoá thông tin tài khoản, mật khẩu của khách hàng
trong quá trình giao dịch.
- Ngoài ra thiết lập mật khẩu mạnh là giải pháp hữu hiệu đảm bảo an toàn:

 Mật khẩu có số ký tự đủ lớn, tối thiểu 8 ký tự và có sự kết hợp giữa

chữ hoa, chữ thường, chữ số và ký tự đặc biệt. Như vậy sẽ mất rất
nhiều thời gian mới có thể tìm ra và phá mật khẩu, mà tới thời gian đó
mật khẩu đã có thể đã được thay đổi. Mật khẩu cũng nên thường xuyên
 thay đổi (thường từ 30-60 ngày) và không nên sử dụng lại mật khẩu
cũ.
 Kích hoạt tự động việc khóa không cho truy cập hệ thống nếu sau từ 3-
5 lần nhập mật khẩu vẫn không đúng.

 Không sử dụng chức năng tự động điền (auto complete) của một số
phần mềm ứng dụng như Microsoft Explorer để lưu mật khẩu và số tài
khoản
- Sử dụng chữ ký số đối với các hợp đồng giao dịch quan trọng :Chữ ký số
là một thông điệp dữ liệu đã được mã hóa gắn kèm theo hợp đồng dữ liệu
nhằm xác thực người gửi hợp đồng đó cũng như xác nhận các giao
dịch.      
-  Giải pháp về trang thiết bị an ninh mạng:  Sử dụng các thiết bị kiểm soát
mã điện tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân trắc như kiểm
tra vân tay, võng mạc hoặc giọng nói. Triển khai các ứng dụng có khả
năng phát hiện, cảnh báo, ngăn chặn các truy cập trái phép.

Đối với người mua:

- Đăng xuất tài khoản ngay sau khi thực hiện giao dịch tránh trường hợp tài
khoản bị đánh cắp.
- Kiểm tra kỹ lưỡng thông tin trước khi giao dịch tránh cung cấp các thông
tin cho các website giả mạo.
- Sử dụng mật khẩu mạnh, thường xuyên thay mật khẩu từ 30-60 ngày và
không nên sử dụng lại mật khẩu cũ.

4. Giai đoạn giám sát

- Xác định những biện pháp nào mang lại thành công, những biện pháp nào
không hiệu quả cần thay đổi
- Xác định những mối đe dọa mới xuất hiện hay có những cải tiến hoặc
thay đổi gì trong công nghệ, hoặc có những tài sản nào khác.