Bài giảng Thương mại điện tử căn bản - Chương 3: An ninh thương mại điện tử - Nguyễn Anh Tuấn

Chương 3.
AN NINH THƯƠNG MẠI ĐIỆN TỬ
121
3.1. Vấn đề an ninh cho các hệ thống Thương
mại điện tử
- Làm thế nào để cân bằng giữa an ninh và tiện
dụng. Một hệ thống càng an toàn thì khả năng xử
lý, thực thi thao tác càng phức tạp.
- Các loại tội phạm trong TMĐT rất tinh vi trong
khi việc giảm các rủi ro TMĐT là một quá trình
phức tạp liên quan đến những đạo luật mới, công
nghệ mới, nhiều thủ tục và các chính sách tổ chức.
122
TMĐT đã hấp dẫn các tin tặc khi khách hàng sử dụng thẻ để mua
hàng hoặc dịch vụ trực tuyến, dùng email để thực hiện các giao
dịch kinh tế.
Các yếu tố làm số lượng các tấn công trên mạng phát triển:
+ Các hệ thống an ninh luôn tồn tại các điểm yếu.
+ Vấn đề an ninh và dễ dàng sử dụng.
+ Vấn đề an ninh thường xuất hiện sau khi có sức ép thị trường.
+ Vấn đề an ninh của trang e.commerce còn phụ thuộc vào an
ninh của nternet, số lượng các trang web của các trường, thư
viện, cá nhân
123
3.2. Các khía cạnh của an ninh TMĐT 
3.2.1. Những quan tâm về vấn đề an ninh TMĐT
* Phía người mua: Bằng cách nào ?
+ Biết chắc Website do một công ty hợp pháp quản lý và sở hữu.
+ Biết chắc trang web không chứa các đoạn mã nguy hiểm hoặc 
các nội dung không lành mạnh.
+ Biết chắc rằng web server sẽ không cung cấp các thông tin của 
người sử dụng cho một người khác.
124
3.2.1. Những quan tâm về vấn đề an ninh TMĐT (tiếp)
* Phía công ty: Bằng cách nào biết chắc rằng
+ Người sử dụng sẽ không xâm nhập vào trang web để thay đổi
các trang và nội dung trên đó.
+ Người sử dụng sẽ không phá hoại website để những người khác
không thể sử dụng được.
* Từ phía cả công ty và người sử dụng: bằng cách nào họ có
thể biết chắc rằng:
+ Đường truyền sẽ không bị người thứ ba theo dõi.
+ Các thông tin được lưu chuyển giữa hai bên sẽ không bị thay
đổi.
125
3.2.2. Yêu cầu của an ninh TMĐT 
- Tính toàn vẹn.
- Chống phủ định.
- Tính xác thực.
- Tính đáng tin cậy.
- Tính riêng tư. 
126
3.2.3. Những nguy cơ đe dọa an ninh TMĐT
- Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe 
dọa khác nhau như các loại virus, worm.
- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism)
- Gian lận thẻ tín dụng
- Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo 
danh một người nào đó nhằm thực hiện những hành động phi 
pháp.
127
3.2.3. Những nguy cơ đe dọa an ninh TMĐT (tiếp)
- Sự khước từ dịch vụ: là việc các hacker sử dụng những giao
thông vô ích làm tràn ngập hoặc tắc nghẽn mạng truyền thông,
hoặc sử dụng số lượng lớn máy tính tấn công vào một mạng.
- Nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Xem
lén thư điện tử là sử dụng các đoạn mã ẩn bí mật gắn vào một
thông điệp thư điện tử, cho phép người xem lén có thể giám sát
toàn bộ các thông điệp chuyển tiếp được gửi đi với thông điệp
ban đầu
128
3.2.4. Hệ thống bảo mật trong TMĐT
3.2.4.1. Khái niệm về bảo mật và hệ thống bảo mật thông tin trong
TMĐT
Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm
tránh khỏi sự xâm nhập không được phép bởi những kẻ xấu hoặc tin tặc
hoặc bất cứ người nào.
Hệ thống bảo mật thông tin trong TMĐT là tập hợp các giải pháp đồng
bộ về pháp lý, kinh tế, nhân sự và kỹ thuật nhằm chống lại xâm nhập
bất hợp pháp của kẻ xấu hoặc tin tặc hoặc bất cứ người nào vào cơ sở
dữ liệu thông tin của cá nhân hoặc tổ chức
129
3.2.4.2. Lý do cần phải bảo mật an toàn thông tin
Thông tin, dữ liệu được ví như tài sản trong nhà của bạn vậy. Nếu
bạn để quên hoặc làm mất ở đâu đó thì rất có thể thông tin của
bạn sẽ bị mất, hoặc bị chiếm đoạt.
Còn đối với chuyên ngành CNTT thì bảo mật thông tin được ví
như hệ thống máy tính, dữ liệu Đó là những tài sản vô cùng
quan trọng, giá trị.
Hiện nay tình hình hacker ngày càng nguy hiểm, khó lường. Việc
đảm bảo tính năng bảo mật thông tin là vô cùng quan trọng vì
thông tin đó có thể liên quan tới bạn, tới công ty và doanh nghiệp
của bạn. Nếu bạn để lộ ra ngoài hoặc kém bảo mật thì chuyện tin
tặc xâm nhập rất cao
130
131
3.2.4.3. Một số rủi ro thường gặp trong TMĐT
a. Rủi ro đối với máy chủ
Máy chủ là liên kết thứ 3 trong bộ ba máy khách – Internet –
máy chủ (client – Internet – server), bao gồm đường dẫn
thương mại điện tử giữa người sử dụng và máy chủ thương
mại.
Máy chủ có những điểm yếu sau
* Máy chủ web và các phần mềm hỗ trợ
* Các chương trình phụ trợ bất kỳ có chứa dữ liệu
* Các chương trình tiện ích được cài đặt trong máy chủ
132
b. Rủi ro đối với cơ sở dữ liệu thông tin
• Rủi ro xẩy ra đối với các dữ liệu chứa thông tin về mật khẩu/
tên người dùng.
• Tiếp đó các chương trình như: con ngựa thành Tơ-roa nằm ẩn
trong hệ thống cơ sở dữ liệu, mở cổng sau để chuyên những
thông tin cần thiết ra ngoài thông qua việc giáng cấp các thông
tin này.
– Việc giáng cấp các thông tin này bằng cách chuyển các
thông tin nhậy cảm sang vùng chứa thông tin có tính bảo
mật thấp hơn.
– Sau khi giáng cấp thông tin, những đối tượng bên ngoài có
thể dễ dàng xâm nhập và đánh cắp dữ liệu
133
c. Rủi ro với máy khách
Sử dụng active content như một công cụ lấy dữ liệu:
• Các chương trình gây hại có thể phát tán qua các trang Web,
phát hiện ra số thẻ tín dụng, tên người sử dụng và mật khẩu.
Những thông tin này được lưu giữ trong những file đặc biệt
(cookie)
• Nhiều Active content còn lan truyền thông qua các cookie,
chúng có thể phát hiện nội dung các file của máy khách, thậm
chí có thể huỷ bỏ các file trong máy khách
3.2.4.3. Mục tiêu của hệ thống bảo mật cho các hoạt động 
TMĐT:
(1) Chống xâm nhập bất hợp pháp
(2) Chống sự tấn công của Hacker
(3) Bảo đảm thông tin không bị lộ, 
(4) Đảm bảo không bị sửa đổi, mất dữ liệu của thông tin
(5) Đảm bảo tính sẵn sàng của thông tin
(6) Đảm bảo tính toàn vẹn của giao dịch
134
135
3.2.4.4. Chức năng chủ yếu của hệ thống bảo mật thông tin
• Ngăn ngừa thiệt hại
• Thông báo trước
• Thu thập có giới hạn
• Việc sử dụng những thông tin 
• Quyền lựa chọn của chủ thể dữ liệu
• Tính toàn vẹn của thông tin
• An ninh, an toàn dữ liệu
• Tiếp cận và điều chỉnh dữ liệu
• Trách nhiệm
3.2.5. Một số giải pháp công nghệ đảm bảo an ninh trong
TMĐT
3.2.5.1. Kỹ thuật mã hóa thông tin:
là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn
bản dưới dạng mật mã (số hóa) để bất cứ ai, ngoài người gửi và
người nhận đều không thể đọc được.
Hệ thống mã hóa hiện đại thường được số hóa – thuật toán
dựa trên các bit đơn của thông điệp chứ không dựa trên ký
hiệu chữ cái. Máy tính lưu trữ dữ liệu dưới dạng một
chuỗi nhị phân, trình tự của các số 1 và 0. Mỗi ký tự gọi
là một bit. Các mã khóa và mã mở là các chuỗi nhị phân
với độ dài khóa được xác định sẵn
.
136
Ngày nay, hai kỹ thuật cơ bản thường được sử dụng để
mã hóa thông tin trên internet là mã hóa “khóa riêng” hay
mã hóa “khóa bí mật” và mã hóa “khóa công cộng”.
+ Mã hóa “khóa bí mật” còn gọi là mã hóa đối xứng, người
gửi mã khóa một thông điệp sử dụng khóa bí mật đối
xứng, sau đó gửi thông điệp đã mã hóa và bí mật đối xứng
cho người nhận bằng một cách nào đó mà họ cảm thấy là
an toàn.
137
+ Mã hóa công cộng: là phương pháp sử dụng hai mã khóa cho
quá trình mã hóa, một mã dùng để mã hóa thông điệp, một mã để
giải mã thông điệp.
Mỗi người sử dụng có hai loại mã khóa: mã khóa bí mật chỉ riêng
người đó biết, còn mã khóa công cộng được thông báo rộng rãi
cho những người sử dụng khác trong hệ thống. Người gửi sử
dụng mã khóa công cộng của người nhận để mã hóa thông điệp.
Người nhận khi nhận được thông điệp sẽ sử dụng mã khóa cá
nhân của mình để giải mã thông điệp.
138
Giao thức thỏa thuận mã khóa: Một trong những giao thức thỏa
thuận mã khóa là phong bì số hóa. Thông điệp được mã hóa bằng
mã khóa bí mật và sau đó mã khóa bí mật được mã hóa bằng mã
khóa công cộng. Người gửi sẽ gửi kèm thông điệp đã
được mã hóa (bằng khóa bí mật) và khóa bí mật được mã hóa
(bằng khóa công cộng) và gửi toàn bộ cho người nhận.
139
3.2.5.2. Chữ ký điện tử (chữ ký số): 
Là một biện pháp mã khóa công cộng được sử dụng phổ biến
trong TMĐT, đó là bất cứ âm thanh điện tử, ký hiệu hay quá trình
điện tử gắn với hoặc liên quan một cách logic với một văn bản
điện tử khác theo một nguyên tắc nhất định và được người ký
(hay có ý định ký) văn bản đó thực thi hoặc áp dụng
Tính chất của chữ ký số
- Có khả năng xác thực tác giả và thời gian ký
- Có khả năng xác thực tại thời điểm ký
- Các thành viên thứ ba có thể kiểm tra chữ ký để giải quyết các 
tranh chấp
140
141
Yêu cầu đối với chữ ký số
- Chữ ký phải là một mẫu bit phụ thuộc vào thông báo
được ký
- Chữ ký phải được sự dụng một thông tin duy nhất nào
đó từ người gửi, nhằm ngăn chặn làm giả và chối bỏ
- Tạo ra chữ ký số dễ dàng
- Dễ dạng nhận ra và kiểm tra chữ ký số
- Khó có thể làm giả chữ ký số
- Trong thực tế cần phải lưu giữ một bản sao chữ ký số
3.2.5.3. Chứng thực điện tử:
Là trung tâm an ninh trong TMĐT, thông qua bên thứ 3, là công
cụ dễ dàng và thuận tiện để các bên tham gia giao dịch TMĐT tin
tưởng lẫn nhau.
3.2.5.4. Chứng chỉ điện tử
Chứng chỉ điện tử là một “tài liệu có chứa một tuyên bố được
chứng thực tính đúng đắn của thông tin”
Trong thương mại điện tử, một chứng chỉ là một tài liệu chứa một
tập hượp thông tin có chữ ký số của một người có thẩm quyền và
người này được cộng đồng những ngươi sử dụng chứng chỉ chấp
nhận và tin cậy
142
3.2.4.5. Bức tường lửa:
a. Khái niệm
Bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân,
tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn
các truy cập thông tin không mong muốn từ ngoài vào hệ
thống mạng nội bộ cũng như ngăn chặn các thông tin bảo mật nằm
trong mạng nội bộ xuất ra ngoài internet mà không được cho phép.
Mục tiêu của an ninh mạng là chỉ cho phép người sử dụng được
cấp phép truy cập thông tin và dịch vụ.
Bức tường lửa: bảo vệ mạng LAN khỏi những người xâm nhập từ
bên ngoài. Mỗi mạng LAN có thể kết nói với internet qua một
cổng và thông thường phải có tường lửa.
143
b. Chức năng và vai trò của tường lửa đối với máy tính và thiết bị mạng
– Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ
có trong mạng nội bộ.
– Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.
– Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.
– Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).
– Kiểm soát truy cập của người dùng.
– Quản lý và kiểm soát luồng dữ liệu trên mạng.
– Xác thực quyền truy cập.
– Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.
– Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng), giao
thức mạng.
– Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng.
– Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
– Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia
tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.
– Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn không muốn.
144
145
c. Tường lửa trong điện toán đám mây
Đối với người dùng hiện nay thì điều quan trọng nhất là tính sẵn sàng, một hệ
thống CNTT hay một website phải luôn luôn hoạt động thì các công việc kinh
doanh sản xuất mới hoạt động được. Dịch vụ tường lửa trên nền điện toán đám
mây được cấu hình cho phép giữ những thông lượng mạng tốt và loại bỏ những
thông lượng mạng không tốt và đảm bảo cho hệ thống uptime 99.99%.
Ưu điểm của tường lửa điện toán đám mây - Cloud Firewall
- Tính sẵn sàng cao: Cloud Firewall được kiến trúc với cách tiếp cận điều
khiển bằng hệ thống để đảm bảo mức độ sẵn sàng cao nhất.
- Trang bị VPN ( mạng riêng ảo): dịch vụ Cloud Firewall cung cấp năng lực
VPN để loại bỏ nhu cầu cho nhiều thiết bị
- Hiệu suất cao: Cloud Firewall có khả năng xử lý lượng tải thông lượng mạng
vào giờ cao điểm để đảm bảo hiệu suất lớn nhất ngay cả của những môi trường
phức tạp nhất.
146
147
TMĐT
Câu hỏi ôn tập chương 3
1. Khái niệm về an ninh TMĐT. Các khía cạnh về an ninh TMĐT của phía người mua và
người bán?
2. Những nguy cơ đe dọa an ninh trong TMĐT
3. Kỹ thuật mã hóa thông tin, phân biệt mã hóa công công và mã hóa bí mật.
4. Chữ ký điện tử và vai trò của chữ ký điện tử
5. Các rủi ro đối với máy chủ, mạng và máy khách?
6. Khái niệm về
7. Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT
8. Chức năng chủ yếu của hệ thống bảo mật thông tin
9. Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT