•Bảo mật, an ninh mạng là vấn đề
nóng hổi trong hoạt động TMĐT
CHƯƠNG 6:
AN TOÀN TRONG THƯƠNG
MẠI ĐIỆN TỬ
I. An toàn trong thương mại điện tử
1. Khái niệm
Là bảo vệ tài sản trong giao
dịch thương mại điện tử trước
những truy cập, sử dụng, thay đổi
hoặc tiêu hủy trái phép
❖ Tài sản trong TMĐT: Quyền sở
hữu, hệ thống thông tin, tài
nguyên, công nghệ
•Làm thế nào để khách hàng tin
tưởng khi thực hiện các giao dịch
trên mạng?
•Nhà cung cấp dịch vụ giao dịch
trực tuyến + ISP có đảm bảo các
giao dịch trên mạng được an
toàn?
2. Các khía cạnh của an toàn trong
TMĐT
- Toàn vẹn: dữ liệu đúng
- Không phủ định: các bên tham gia
không phủ định các hoạt động
- Xác thực: nhận biết các bên tham
gia giao dịch
- Bí mật: quyền truy cập thông tin
- Sẵn sàng: thông tin sẵn sàng
- Riêng tư: thông tin cá nhân
 3. Môi trường an toàn TMĐT
Yếu
Công nghệ hiện đại Công Dữ liệu
tố
bên nghệ
ngoài Chính sách và quy trình chặt chẽ

Cơ sở pháp lý vững chắc Chính

sách &
Cơ quy
Môi trường TMĐT an toàn sở trình
pháp của
Yếu tố bên trong công ty
lý

4. Các đe dọa trong TMĐT

•Spam (thư rác):
•Virus là một chương trình máy tính
có khả năng tự nhân bản và lan
tỏa: chiếm tài nguyên, tốc độ xử lý
máy tính chậm đi, có thể xóa file,
format lại ổ cứng,…
•Sâu máy tính (worms): sâu máy
tính khác với virus ở chỗ sâu
không thâm nhập vào file mà thâm
nhập vào hệ thống
•Trojan: thâm nhập vào máy tính mà
người sử dụng không hay biết.
Ví dụ: cài đặt chương trình theo dõi
bàn phím
•Cửa sau (backdoor): truyền tập tin,
dò mật khẩu,…
•Bots (robnets): bị điều khiển từ một
máy khác

• Theo dõi cookie: duyệt web
• Phần mềm gián điệp: thu thập
thông tin máy chủ
• Phần mềm quảng cáo
•Lừa đảo qua mạng (Phishing): giả
dạng những tổ chức hợp pháp như
ngân hàng, dịch vụ thanh toán qua
mạng...
•Gửi email yêu cầu người nhận cung
cấp thông tin cá nhân và thông tin
tín dụng
•Tuyên bố người nhận đã may mắn
trúng giải thưởng rất lớn
•Tạo ra những website bán hàng,
bán dịch vụ “y như thật” trên mạng

❖ Hacker
• Hacker mũ trắng: vá bảo mật
• Hacker mũ đen: phá hoại, thu
thập thông tin,… ❖Nghe lén
❖An toàn trên mạng xã hội
❖ Bị tấn công từ chối phục vụ
❖An toàn trên nền tảng di động
(Denial of Service):
hacker tự động gửi hàng loạt yêu cầu
về server làm server này quá tải
→ hoạt động mạng chậm, bị gián
đoạn
5. giải pháp bảo mật
5.1. giải pháp điều khiển truy cập
(Access control)
Bước 1: nhận dạng (identification):
khai báo
Bước 2: xác thực (authentication):
Mật khẩu
Security token: mã pin, dãy mã số
Sinh trắc học: vân tay, mống mắt,…
Bước 3: trao quyền: quyền truy cập
❖ Kỹ thuật mã hóa
•Mã hóa là quá trình trộn văn bản
với khóa mã tạo thành văn bản
không thể đọc được trên mạng
•Khi nhận được, dùng khóa mã giải
mã thành bản gốc

❖ Kỹ thuật mã hóa Cơ chế mã hóa

•Mã hóa và giải mã gồm 4 phần cơ
bản:
1. Văn bản nhập vào – plaintext
2. Thuật toán mã hóa – Encryption
3. Văn bản đã mã – ciphertext
4. Giải mã – Decryption
 Mã khoá bí mật (private key)
❖ Mã hóa bí mật (đối xứng): khóa bí
mật cho mã hóa và giải mã
❖ Mã hóa công khai: giải mã bằng
khóa tương ứng Thông
điệp
Đơn đặt
hàng
TĐ đã
được
INTERNET
TĐ đã
được
Đơn đặt
hàng
❖ Mã hóa bất đối xứng: khóa công mã hoá mã hoá

khai & bí mật Người gửi

A
Người nhận
B

So sánh khóa bí mật và khóa công khai

Phương pháp mã hóa công khai mã hóa khóa bí mã hóa khóa bí mật
mật (mã hóa bất đối xứng)
(mã hóa đối xứng)
Mã khoá bí mật (N.nhận)
Mã khoá CC (N.nhận)
Số hóa Một khóa đơn Một cặp khóa
Loại khóa Khóa bí mật Khóa bí mật & công
Thông Đơn đặt TĐ đã
INTERNET
TĐ đã Đơn đặt
khai
điệp được được
hàng
mã hoá mã hoá
hàng Quản lý Đơn giản, khó quản Yêu cầu chứng thực
khóa lý điện tử & bên thứ ba
Người gửi Người nhận
A B Tốc độ Nhanh Chậm
giao dịch
Ứng dụng Mả hóa hàng loạt Mã hóa đơn lẻ
Thường được sử Số lượng nhỏ
dụng Chữ ký điện tử
 ❖ Chữ ký điện tử
- Chữ ký số (digital signature) là đoạn dữ
liệu ngắn đính kèm với văn bản gốc để
chứng thực tác giả của văn bản và giúp
người nhận kiểm tra tính toàn vẹn của
nội dung văn bản gốc.
- Người nhận sẽ giải mã bằng khóa của
người gửi: kiểm tra → kết luận message
này không bị thay đổi trong quá trình
truyền và message này là của người gửi.
❖Chứng nhận điện tử
•Period of validity: ngày hết hạn
của chứng nhận.
•Subject: bao gồm những thông tin
về thực thể được chứng nhận.
•Public key: khóa công khai được
chứng nhận.
•Signature: do private key của CA
tạo ra và đảm bảo giá trị của
chứng nhận.
❖Chứng nhận điện tử
•Xác nhận người sở hữu khoá công
cộng (public key)
•Do một tổ chức có uy tín cấp
(Certificate Authority-CA)
•Cấu trúc của một chứng nhận điện
tử: gồm các thành phần chính như
sau:
•Issuer: tên của CA tạo ra chứng
nhận.
6. Giao thức an toàn
giao thức SSL (Secure Sockets Layer)
•Thực hiện bảo mật nối kết giữa 2
máy tính
•Máy khách và máy chủ qui ước cấp
độ bảo mật, các qui ước xác nhận
và các cơ chế bảo vệ thông tin liên
lạc khác
•Nhiều cơ chế, kiểu loại bảo mật cho
việc thông tin liên lạc giữa các máy
tính
 Thiết Lập phiên mã hóa SSL
7. Bảo vệ hệ thống mạng của tổ chức
❖ Phương án thường sử dụng:
firewall
Mọi thông tin vào/ra khỏi mạng
đều phải đi qua tường lửa
Chỉ cho phép các gói thông tin xác
định
Firewall phải cấu hình tốt nhằm
chống lại các cuộc xâm nhập
❖ HTTP Secure (https) Protocol
•Là sự kết hợp HTTP và SSL/TLS nhằm
cung cấp nhiều tính năng bảo mật
•Xác nhận cả phía máy khách và máy
phục vụ
•Cơ chế mã hóa tự động
•Thực hiện tốt cơ chế
Request/response
•Hỗ trợ các phương pháp mã hóa
symmetric , public-key, message digests
•Chức năng chính của Firewall là
kiểm soát luồng thông tin từ giữa
Intranet và Internet. Thiết lập cơ chế
điều khiển dòng thông tin giữa
mạng bên trong (Intranet) và mạng
Internet
•Cho phép hoặc cấm những dịch
vụ truy nhập ra ngoài (từ Intranet
ra Internet).
 •Cho phép hoặc cấm những dịch ❖Bảo vệ máy chủ
vụ phép truy nhập vào trong (từ
Internet vào Intranet). •Quyền truy cập và sự xác nhận
•Theo dõi luồng dữ liệu mạng giữa - Những ai có thể đăng nhập
Internet và Intranet.
- Yêu cầu máy khách gửi 1 “xác
•Kiểm soát địa chỉ truy nhập, cấm nhận” (certificate) để định danh
địa chỉ truy nhập.
- Server kiểm tra của giấy xác nhận
•Kiểm soát người sử dụng và việc
: thời gian hiệu lực
truy nhập của người sử dụng.
•Kiểm soát nội dung thông tin thông - kiểm tra địa chỉ và tên máy khách
tin lưu chuyển trên mạng

8. Quản trị bảo mật TMĐT

•Tên tài khoản sử dụng cùng với mật
khẩu Quy trình Đánh giá
•Tên tài khoản sử dụng : dạng văn quản trị
bảo mật
bản, Mật khẩu : được mã hóa Kết luận
TMĐT
•Mật khẩu khi nhập vào được mã hóa (Kenneth
và so khớp với thông tin cá nhân của & cs) Phát triển chính sách
NSD được lưu trữ
Lên kế hoạch

Thực hiện
❖Một điểm phòng tránh của công ty
- Thường xuyên kiểm tra website
- Tự bảo vệ mật khẩu
- An toàn mạng nội bộ
- An toàn dữ liệu, thông tin
- Đầu tư công nghệ
- Nhân lực
- Thuê bên ngoài