Bài giảng Thương mại điện tử - Chương 3: An ninh thương mại điện tử - Đàm Thị Thuỷ

Chương 3 
An ninh thương mại điện tử 
Đàm Thị Thuỷ 
Bộ môn Quản trị kinh doanh 
Email: thuydt@tlu.edu.vn 
Chương 3: An ninh TMĐT 
3.1 Vấn đề an ninh cho các hệ thống TMĐT 
3.2 Các khía cạnh của an ninh TMĐT 
3.3 Hệ thống bảo mật trong TMĐT 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong 
TMĐT 
Câu hỏi ôn tập chương 3 
1. Khái niệm về an ninh TMĐT. Các khía cạnh về an ninh TMĐT của 
phía người mua và người bán? 
2. Những nguy cơ đe dọa an ninh trong TMĐT 
3. Kỹ thuật mã hóa thông tin, phân biệt mã hóa công công và mã hóa 
bí mật. 
4. Chữ ký điện tử và vai trò của chữ ký điện tử 
5. Các rủi ro đối với máy chủ, mạng và máy khách? 
6. Khái niệm về 
7. Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT 
8. Chức năng chủ yếu của hệ thống bảo mật thông tin 
9. Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.1 Vấn đề an ninh cho các hệ thống TMĐT 
 Làm thế nào để cân bằng giữa an ninh và tiện dụng. 
Một hệ thống càng an toàn thì khả năng xử lý, thực thi 
thao tác càng phức tạp. 
 Các loại tội phạm trong TMĐT rất tinh vi trong khi 
việc giảm các rủi ro TMĐT là một quá trình phức tạp 
liên quan đến những đạo luật mới, công nghệ mới, 
nhiều thủ tục và các chính sách tổ chức. 
TMĐT đã hấp dẫn các tin tặc khi khách hàng sử 
dụng thẻ để mua hàng hoặc dịch vụ trực tuyến, 
dùng email để thực hiện các giao dịch kinh tế. 
3.1 Vấn đề an ninh cho các hệ thống TMĐT 
Các yếu tố làm số lượng các tấn công trên mạng phát triển: 
+ Các hệ thống an ninh luôn tồn tại các điểm yếu. 
+ Vấn đề an ninh và dễ dàng sử dụng. 
+ Vấn đề an ninh thường xuất hiện sau khi có sức ép thị 
trường. 
+ Vấn đề an ninh của trang e.commerce còn phụ thuộc vào 
an ninh của internet, số lượng các trang web của các 
trường, thư viện, cá nhân 
3.2 Các khía cạnh của an ninh TMĐT 
3.2.1 Những quan tâm 
* Phía người mua: Bằng cách nào ? 
+ Biết chắc Website do một công ty hợp pháp quản lý và sở 
hữu. 
+ Biết chắc trang web không chứa các đoạn mã nguy hiểm 
hoặc các nội dung không lành mạnh. 
+ Biết chắc rằng web server sẽ không cung cấp các thông 
tin của người sử dụng cho một người khác. 
3.2 Các khía cạnh của an ninh TMĐT 
3.2.1 Những quan tâm 
* Phía công ty: Bằng cách nào biết chắc rằng 
+ Người sử dụng sẽ không xâm nhập vào trang web để thay đổi các 
trang và nội dung trên đó. 
+ Người sử dụng sẽ không phá hoại website để những người khác 
không thể sử dụng được. 
* Từ phía cả công ty và người sử dụng: bằng cách nào họ có thể 
biết chắc rằng: 
+ Đường truyền sẽ không bị người thứ ba theo dõi. 
 + Các thông tin được lưu chuyển giữa hai bên sẽ không bị thay đổi. 
3.2 Các khía cạnh của an ninh TMĐT 
3.2.2 Yêu cầu của an ninh TMĐT 
 Tính toàn vẹn 
 Chống phủ định 
 Tính xác thực 
 Tính đáng tin cậy 
 Tính riêng tư. 
 Tính ích lợi 
3.2 Các khía cạnh của an ninh TMĐT 
3.2.3 Những nguy cơ đe doạ an ninh TMĐT 
 Các đoạn mã nguy hiểm (malicious code): gồm nhiều 
mối đe dọa khác nhau như các loại virus, worm. 
 Tin tặc (hacker) và các chương trình phá hoại 
(cybervandalism) 
 Gian lận thẻ tín dụng 
 Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử 
giả hoặc mạo danh một người nào đó nhằm thực hiện 
những hành động phi pháp. 
3.2 Các khía cạnh của an ninh TMĐT 
3.2.3 Những nguy cơ đe doạ an ninh TMĐT 
 Sự khước từ dịch vụ (DoS, DDoS): là việc các hacker sử 
dụng những giao thông vô ích làm tràn ngập hoặc tắc 
nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn 
máy tính tấn công vào một mạng. 
 Nghe trộm, giám sát sự di chuyển của thông tin trên 
mạng. Xem lén thư điện tử là sử dụng các đoạn mã ẩn bí 
mật gắn vào một thông điệp thư điện tử, cho phép người 
xem lén có thể giám sát toàn bộ các thông điệp chuyển 
tiếp được gửi đi với thông điệp ban đầu 
Top 10 vụ vi phạm dữ liệu nổi bật nhất 2019 
 Blur – công ty cung cấp dịch vụ quản lý và bảo mật password: Tuy nhiên, một trong những máy 
chủ của công ty không được bảo mật, dẫn tới lộ thông tin của 2,4 triệu người dùng bao gồm tên, 
gợi ý mật khẩu, IP, và email. 
 Fortnite – Game online với hơn 200 triệu người chơi: Tội phạm mạng lợi dụng nhiều lỗ hổng 
trong game để xem thông tin cá nhân của người chơi và nghe lén các cuộc trò chuyện trong 
game của họ. 
 Sở Y Tế và Dịch Vụ Xã Hội Alaska: Tin tặc đã tấn công bộ phận hỗ trợ công cộng và có được 
quyền truy cập vào danh tính của 100.000 ứng viên đăng ký tham gia hỗ trợ chính phủ. 
 Dunkin’ Donuts: Hackers có quyền truy cập vào tài khoản của công ty chứa thông tin các thành 
viên của giải thưởng DD Perks (chương trình tích điểm và đổi quà tặng dành cho khách hàng 
của Dunkin’ Donuts). Chúng đã tiến hành bán các giải thưởng đó trên dark web. 
 Facebook: một lỗ hổng bảo mật trên Facebook đã cho phép hacker truy cập vào 50 triệu tài 
khoản. Vụ tấn công này được thực hiện bằng cách truy cập vào tokens của người dùng (token 
cho phép người dùng giữ phiên đăng nhập trên các thiết bị trong một khoảng thời gian). Do ảnh 
hưởng của vụ tấn công, Facebook đã yêu cầu tất cả người dùng phải đăng nhập lại trên toàn bộ 
thiết bị. 
Top 10 vụ vi phạm dữ liệu nổi bật nhất 2019 
 Whatsapp: nhóm tin tặc đã khai thác tính năng voice call (đàm thoại bằng giọng 
nói) để cài đặt phần mềm khảo sát vào máy người dùng. Vụ vi phạm ảnh hưởng 
tới 1,5 tỷ người trên toàn thế giới. Phần mềm gián điệp này đã truy cập vào một số 
tính năng trên smartphone của người dùng như microphone, camera, email, tin 
nhắn. 
 Instagram: một kho dữ liệu chứa thông tin liên lạc của 49 triệu người dùng đã bị 
để lộ. Phần lớn thông tin trong đó thuộc về các influencers (người có tầm ảnh 
hưởng trên mạng xã hội), người nổi tiếng, và các tài khoản doanh nghiệp. 
 Quest Diagnostics: thông tin tài chính và số an sinh xã hội của 49 triệu người đã 
bị lộ trong một vụ vi phạm dữ liệu. Tin tặc đã truy cập vào cổng thanh toán của 
một đối tác của công ty. 
 Sở Dịch vụ Y Tế cấp quận tại Los Angeles: một cuộc tấn công phishing nhắm vào 
nhà thầu đã khiến cho thông tin cá nhân của 15.000 bệnh nhân bị đánh cắp. 
 DoorDash: một nhà cung cấp bên thứ ba của dịch vụ giao đồ ăn này đã bị tấn 
công, làm lộ thông tin của khoảng 4,9 triệu người dùng DoorDash. 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.1 Khái niệm 
 Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, 
tổ chức nhằm tránh khỏi sự xâm nhập không được 
phép bởi những kẻ xấu hoặc tin tặc hoặc bất cứ người 
nào. 
 Hệ thống bảo mật thông tin trong TMĐT là tập hợp 
các giải pháp đồng bộ về pháp lý, kinh tế, nhân sự và 
kỹ thuật nhằm chống lại xâm nhập bất hợp pháp của 
kẻ xấu hoặc tin tặc hoặc bất cứ người nào vào cơ sở 
dữ liệu thông tin của cá nhân hoặc tổ chức 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.2 Lý do cần bảo mật an toàn thông tin 
 Tại sao cần 
bảo mật thông tin? 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.3 Một số rủi ro thường gặp trong TMĐT 
 Rủi ro về công nghệ: 
• Rủi ro đối với máy chủ 
• Rủi ro đối với máy khách 
• Rủi ro mạng và đường truyền 
 Rủi ro với cơ sở dữ liệu 
 Rủi ro về giao dịch và thanh toán trong TMĐT 
 Rủi ro về pháp lý 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.3 Một số rủi ro thường gặp trong TMĐT 
• Rủi ro đối với máy chủ: 
Máy chủ là liên kết thứ 3 trong bộ ba máy khách – Internet 
– máy chủ (client – Internet – server), bao gồm đường dẫn 
thương mại điện tử giữa người sử dụng và máy chủ thương 
mại. 
Máy chủ có những điểm yếu sau 
* Máy chủ web và các phần mềm hỗ trợ 
* Các chương trình phụ trợ bất kỳ có chứa dữ liệu 
* Các chương trình tiện ích được cài đặt trong máy chủ 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.3 Một số rủi ro thường gặp trong TMĐT 
• Rủi ro đối với máy khách: Sử dụng active content như 
một công cụ để lấy dữ liệu 
o Các chương trình gây hại có thể phát tán qua các trang 
Web, phát hiện ra số thẻ tín dụng, tên người sử dụng và 
mật khẩu. Những thông tin này được lưu giữ trong những 
file đặc biệt (cookie) 
o Nhiều Active content còn lan truyền thông qua các cookie, 
chúng có thể phát hiện nội dung các file của máy khách, 
thậm chí có thể huỷ bỏ các file trong máy khách 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.3 Một số rủi ro thường gặp trong TMĐT 
• Rủi ro đối với máy khách: 
Cụ thể rủi ro tấn công vào các website TMĐT: 
- Phát tán virus 
- Tin tặc, các chương trình phá hoại 
- Kẻ giả mạo (Phishing) 
- Kẻ trộm trên mạng (sniffer) 
- Tấn công tư chối dịch vụ 
- Gửi thư rác với quy mô lớn, gây nhiễu 
- Thu thập thông tin người sử dụng 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.3 Một số rủi ro thường gặp trong TMĐT 
• Rủi ro mạng và đường truyền: 
o Sự cố 
o Phá hoại 
o Quá tải 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.3 Một số rủi ro thường gặp trong TMĐT 
 Rủi ro với cơ sở dữ liệu: 
• Rủi ro xẩy ra đối với các dữ liệu chứa thông tin về mật khẩu/ 
tên người dùng. 
• Tiếp đó các chương trình như: con ngựa thành Tơ-roa nằm ẩn 
trong hệ thống cơ sở dữ liệu, mở cổng sau để chuyên những 
thông tin cần thiết ra ngoài thông qua việc giáng cấp các 
thông tin này. 
o Việc giáng cấp các thông tin này bằng cách chuyển các 
thông tin nhậy cảm sang vùng chứa thông tin có tính bảo 
mật thấp hơn. 
o Sau khi giáng cấp thông tin, những đối tượng bên ngoài có 
thể dễ dàng xâm nhập và đánh cắp dữ liệu 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.4 Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT 
(1) Chống xâm nhập bất hợp pháp 
(2) Chống sự tấn công của Hacker 
(3) Bảo đảm thông tin không bị lộ, 
(4) Đảm bảo không bị sửa đổi, mất dữ liệu của thông 
tin 
(5) Đảm bảo tính sẵn sàng của thông tin 
(6) Đảm bảo tính toàn vẹn của giao dịch 
3.3 Hệ thống bảo mật trong TMĐT 
3.3.5 Chức năng chủ yếu của hệ thống bảo mật thông tin 
 Ngăn ngừa thiệt hại 
 Thông báo trước 
 Thu thập có giới hạn 
 Việc sử dụng những thông tin 
 Quyền lựa chọn của chủ thể dữ liệu 
 Tính toàn vẹn của thông tin 
 An ninh, an toàn dữ liệu 
 Tiếp cận và điều chỉnh dữ liệu 
 Trách nhiệm 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.1 Kỹ thuật mã hoá thông tin 
 là quá trình chuyển các văn bản hay các tài liệu gốc thành 
các văn bản dưới dạng mật mã (số hóa) để bất cứ ai, ngoài 
người gửi và người nhận đều không thể đọc được. 
 Hệ thống mã hóa hiện đại thường được số hóa – thuật toán 
dựa trên các bit đơn của thông điệp chứ không dựa trên ký 
hiệu chữ cái. Máy tính lưu trữ dữ liệu dưới dạng một 
chuỗi nhị phân, trình tự của các số 1 và 0. Mỗi ký tự gọi 
là một bit. Các mã khóa và mã mở là các chuỗi nhị phân 
với độ dài khóa được xác định sẵn. 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.1 Kỹ thuật mã hoá thông tin 
 Kỹ thuật mã hoá: 
• Mã hoá khoá bí mật 
• Mã hoá công cộng 
 Giao thức thoả thuận mã khoá: Phong bì số hoá. 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.2 Chữ ký điện tử (chữ ký số) 
 Là một biện pháp mã khóa công cộng được sử dụng phổ 
biến trong TMĐT, đó là bất cứ âm thanh điện tử, ký 
hiệu hay quá trình điện tử gắn với hoặc liên quan một 
cách logic với một văn bản điện tử khác theo một 
nguyên tắc nhất định và được người ký (hay có ý định 
ký) văn bản đó thực thi hoặc áp dụng 
 Tính chất của chữ ký số 
- Có khả năng xác thực tác giả và thời gian ký 
- Có khả năng xác thực tại thời điểm ký 
- Các thành viên thứ ba có thể kiểm tra chữ ký để giải 
quyết các tranh chấp 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.2 Chữ ký điện tử (chữ ký số) 
Yêu cầu đối với chữ ký số 
• Chữ ký phải là một mẫu bit phụ thuộc vào thông báo 
được ký 
• Chữ ký phải được sự dụng một thông tin duy nhất nào 
đó từ người gửi, nhằm ngăn chặn làm giả và chối bỏ 
• Tạo ra chữ ký số dễ dàng 
• Dễ dạng nhận ra và kiểm tra chữ ký số 
• Khó có thể làm giả chữ ký số 
• Trong thực tế cần phải lưu giữ một bản sao chữ ký số 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.2 Chữ ký điện tử (chữ ký số) 
Quy trình thực hiện chữ ký điện tử: 
• Bước 1. Mã hóa tài liệu (gốc) (TL1) 
Bên ký tài liệu (bên A) dùng Mã khóa bí mật mã hóa bản tài liệu gốc => Bản 
tài liệu được mã hóa (TL2) 
• Bước 2. Chuyển bản tài liệu được mã hóa 
 TL2 được đến bên xác nhận (bên B) 
• Bước 3. Giải mã TL2 
Bên B dùng mã khóa công cộng để giải mã TL2 => TL3 
• Bước 4. So sánh TL1 với TL3 
Bên B dừng phần mềm để so sánh TL1 với TL3. 
- Nếu trùng lặp: xác nhận bên A đã ký 
- Nếu không trùng lặp, không phải bên A ký 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.3 Chứng thực điện tử 
 Là một hệ thống bảo mật an ninh mạng khi thực hiện 
giao dịch trên internet 
 Là trung tâm an ninh trong TMĐT, thông qua bên thứ 3, 
là công cụ dễ dàng và thuận tiện để các bên tham gia 
giao dịch TMĐT tin tưởng lẫn nhau. 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.4 Chứng chỉ điện tử 
 Chứng chỉ điện tử là một “tài liệu có chứa một tuyên bố 
được chứng thực tính đúng đắn của thông tin” 
 Trong thương mại điện tử, một chứng chỉ là một tài liệu 
chứa một tập hợp thông tin có chữ ký số của một người 
có thẩm quyền và người này được cộng đồng những ng-
ười sử dụng chứng chỉ chấp nhận và tin cậy 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.4 Chứng chỉ điện tử 
Quy trình xác nhận danh tính của đối tượng giao dịch thông qua 
Chứng chỉ điện tử (CA: Certificate Authority) 
• Bước 1. Cấp chứng chỉ CA 
Tổ chức trung gian (Có uy tín) cấp CA cho các bên giao dịch (DN) 
có nhu cầu. 
Các DN khai vào form quy định bao gồm các nội dung: Tên, Địa chỉ, 
Điện thoại, E.mail, và các thông tin khác. 
Tổ chức trung gian cấp CA cho các bên liên quan 
• Bước 2. Xác nhận danh tính của các đối tượng giao dịch 
Khi tiến hành giao dịch, các bên xuất trình CA, các bên tự xác định 
CA để xác nhận danh tính nhờ sự giúp đỡ kiểm tra của Tổ chức trung 
gian để tránh giả mạo. 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.5 Bức tường lửa 
 Bức tường lửa (firewall) là rào chắn mà một số cá nhân, tổ 
chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn 
chặn các truy cập thông tin không mong muốn từ ngoài vào 
hệ thống mạng nội bộ cũng như ngăn chặn các thông tin 
bảo mật nằm trong mạng nội bộ xuất ra ngoài internet mà 
không được cho phép. 
 Mục tiêu của an ninh mạng là chỉ cho phép người sử dụng 
được cấp phép truy cập thông tin và dịch vụ. 
 Bức tường lửa: bảo vệ mạng LAN khỏi những người xâm 
nhập từ bên ngoài. Mỗi mạng LAN có thể kết nói với 
internet qua một cổng và thông thường phải có tường lửa. 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.5 Bức tường lửa 
b. Chức năng và vai trò của tường lửa đối với máy tính và thiết bị mạng 
– Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ. 
– Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong. 
– Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài. 
– Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép). 
– Kiểm soát truy cập của người dùng. 
– Quản lý và kiểm soát luồng dữ liệu trên mạng. 
– Xác thực quyền truy cập. 
– Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng. 
– Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng), giao thức mạng. 
– Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng. 
– Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật. 
– Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường 
truyền internet ổn định hơn rất nhiều. 
– Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn không muốn. 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.5 Bức tường lửa 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.5 Bức tường lửa 
c. Tường lửa trong điện toán đám mây 
Đối với người dùng hiện nay thì điều quan trọng nhất là tính sẵn sàng, một hệ thống CNTT 
hay một website phải luôn luôn hoạt động thì các công việc kinh doanh sản xuất mới hoạt 
động được. Dịch vụ tường lửa trên nền điện toán đám mây được cấu hình cho phép giữ 
những thông lượng mạng tốt và loại bỏ những thông lượng mạng không tốt và đảm bảo cho 
hệ thống uptime 99.99%. 
Ưu điểm của tường lửa điện toán đám mây - Cloud Firewall 
- Tính sẵn sàng cao: 
- Trang bị VPN ( mạng riêng ảo): 
- Hiệu suất cao: 
3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 
3.4.5 Bức tường lửa