Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
Luận văn
Đề tài: Giải pháp an ninh bảo mật
trong dịch vụ thanh toán điện tử
tại Ngân hàng Nông nghiệp và Phát
triển Nông thôn
1
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
LỜI CÁM ƠN
Tôi xin chân thành cảm ơn các thầy, cô giáo Khoa Thương mại Điện
tử và Trường Đại học Thương mại đã tận tình giảng dạy, trang bị những
kiến thức quý báu trong những năm vừa qua.
Đặc biệt tôi xin bày tỏ lòng cảm ơn sâu sắc đến thầy giáo, tiến sĩ
Đàm Gia Mạnh đã tận tình hướng dẫn chỉ bảo tôi trong quá trình thực hiện
đề tài.
Tôi xin chân thành cảm ơn ban lãnh đạo và tập thể cán bộ nhân viên
Ngân hàng Nông nghiệp và Phát triển Nông thôn đã tạo thuận lợi cho tôi
trong quá trình thực tập và thực hiện đề tài tốt nghiệp.
Xin cảm ơn sự quan tâm, giúp đỡ và ủng hộ của ông, bà, cha, mẹ,
các anh chị và bạn bè trong quá trình thực hiện luận văn.
Hà nội, tháng 5 năm 2009
Sinh viên thực hiện
Đỗ Kim Ngân
2
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
TÓM LƯỢC
Tuy mới xuất hiện ở Việt Nam trong mấy năm gần đây nhưng
thương mại điện tử đã chứng tỏ ưu thế vượt trội của mình, giúp giảm chi
phí và nâng cao hiệu quả kinh doanh cho doanh nghiệp và người tiêu dùng.
Việc ứng dụng thương mại điện tử vào hoạt động kinh doanh của các
CHƯƠNG I: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1
1.1 TÍNH CẤP THIẾT NGHIÊN CỨU ĐỀ TÀI 1
1.1.1. Đối với nền kinh tế 1
1.1.2. Đối với ngành ngân hàng 1
1.2. XÁC LẬP VÀ TUYÊN BỐ VẤN ĐỀ TRONG ĐỀ TÀI 2
1.3. CÁC MỤC TIÊU NGHIÊN CỨU 3
1.4. PHẠM VI NGHIÊN CỨU 4
1.5. KẾT CẤU LUẬN VĂN TỐT NGHIỆP 4
CHƯƠNG II: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN NINH
VÀ BẢO MẬT TRONG DỊCH VỤ THANH TOÁN ĐIỆN TỬ 5
2.1. ĐỊNH NGHĨA, KHÁI NIỆM CƠ BẢN 5
2.1.1. Thương mại điện tử 5
2.1.2. Thanh toán điện tử 5
2.1.3. Các hệ thống thanh toán điện tử tại ngân hàng 5
2.1.4. Các phương tiện thanh toán điện tử 6
2.1.5. An ninh mạng và an ninh thanh toán thẻ 7
4
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
2.2. MỘT SỐ LÝ THUYẾT LIÊN QUAN ĐẾN AN NINH BẢO MẬT TRONG
THANH TOÁN ĐIỆN TỬ 8
2.2.1. Những yêu cầu về bảo vệ thông tin bí mật 8
2.2.2. Các biện pháp bảo mật 9
2.3. TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU VỀ AN NINH BẢO MẬT
TRONG THANH TOÁN ĐIỆN TỬ 11
2.3.1. Hội thảo – Triển lãm Quốc gia an ninh bảo mật thông tin 2009 11
2.3.2. Tài liệu tham khảo “Bí quyết kinh doanh trên mạng” 12
2.3.3. Thông tin từ (Website của Hiệp hội ngân
hàng Việt Nam) và website của Agribank: agribank.com.vn 13
2.3.4. Thông tin từ hội nghị tổng kết công nghệ thông tin và dự án IPCAS
18/07/2008 của agribank.com.vn 14
DỊCH VỤ THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT 37
4.1.1. Những kết quả đã đạt được của Ngân hàng NN&PTNT 37
4.1.2. Một số vấn đề còn tồn tại 39
4.1.3. Nguyên nhân của những tồn tại 40
4.1.4. Vấn đề cần giải quyết 40
4.2.DỰ BÁO TRIỂN VỌNG VỀ TÌNH HÌNH THỰC HIỆN CÁC GIẢI PHÁP
AN NINH BẢO MẬT TẠI NGÂN HÀNG NN&PTNT 41
4.2.1. Dự báo tình hình trong thời gian tới 41
4.2.2. Định hướng phát triển của Ngân hàng NN&PTNT về an ninh bảo
mật trong thanh toán trực tuyến 42
6
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
4.3. ĐỀ XUẤT, KIẾN NGHỊ ỨNG DỤNG CÁC GIẢI PHÁP AN NINH BẢO
MẬT TRONG THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT 44
4.3.1. Đề xuất các giải pháp an ninh bảo mật trong thanh toán điện tử tại
Ngân hàng NN&PTNT 44
4.3.2. Các kiến nghị vĩ mô với Nhà nước 49
KẾT LUẬN 52
TÀI LIỆU THAM KHẢO 53
PHỤ LỤC 54
7
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
DANH MỤC CÁC TỪ VIẾT TẮT
Từ viết tắt Ý nghĩa
TMĐT Thương Mại điện tử
Ngân hàng NN&PTNT/
Agribank
Ngân hàng Nông nghiệp và Phát triển
Nông thôn
NHTM Ngân hàng thương mại
31
Hình 3 Biểu đồ đánh giá các yếu tố môi trường 33
Hình 4 Mô hình chính sách an ninh mạng Internet. 36
Hình 5 Hình ảnh website 38
Hình 6 Mô hình máy tính sử dụng Firewall 44
Hình 7 Hình ảnh bảng GnuPG đã tạo xong khóa 48
CHƯƠNG I
TỔNG QUAN VỀ NGHIÊN CỨU ĐỀ TÀI
1.1. TÍNH CẤP THIẾT NGHIÊN CỨU ĐỀ TÀI
1.1.1. Đối với nền kinh tế
10
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
Hiện nay nhờ có kỹ thuật số, cuộc sống con người được cải thiện rất
nhiều, nhanh hơn và thuận tiện hơn. Thương mại điện tử trên thế giới cũng
đang có xu hướng phát triển mạnh mẽ. Kỹ thuật số đã giúp con người tiết
kiệm đáng kể các chi phí như chi phí đi lại, vận chuyển trung gian, chi phí
giao dịch… và đặc biệt là giúp tiết kiệm được thời gian. Con người đã có
thể ngồi tại nhà để mua sắm hay thanh toán mọi thứ theo ý muốn của mình.
Nhiều giao dịch hay thanh toán đã được thực hiện hoàn toàn trên môi
trường mạng, các đối tác không cần phải gặp mặt trực tiếp, nên nhu cầu về
thông tin cá nhân hay thông tin giao dịch là rất lớn. Tuy nhiên cùng với đó
những vi phạm liên quan đến thông tin cá nhân hay thông tin giao dịch
cũng ngày một nhiều hơn, gây tâm lý e ngại cho các cá nhân, tổ chức khi
tham gia giao dịch thương mại điện tử. Do đó việc bảo mật trong quá trình
thanh toán qua mạng là vấn đề chiến lược, trọng tâm trong thương mại điện
tử.
1.1.2. Đối với ngành ngân hàng
Ngày 8 tháng 11 năm 2008 Ngân hàng Nhà nước Việt Nam đã chính
thức đưa vào vận hành hệ thống thanh toán điện tử liên ngân hàng giai
đoạn II. Cũng trong năm 2008, dịch vụ thanh toán thẻ cũng có một năm
điện tử ngày càng được sử dụng rộng rãi nhưng kéo theo đó là tâm lý lo
ngại của khách hàng, sợ bị kẻ gian trên mạng sử dụng những kỹ xảo tinh vi
của chúng để lấy được các mật mã và thông tin cá nhân của khách hàng,
sau đó dùng những thông tin đó để chiếm đoạt tài sản của họ. Để khách
hàng yên tâm, tin tưởng và sử dụng dịch vụ thanh toán điện tử của mình,
các tổ chức tài chính ngân hàng đã không ngừng sử dụng các giải pháp an
ninh bảo mật tiên tiến nhất để bảo vệ cho khách hàng của họ. Trên thế giới
và ngay ở Việt Nam đã có rất nhiều tổ chức tài chính ngân hàng thành công
trong việc áp dụng các phần mềm an toàn bảo mật. Cho nên việc tìm hiểu
và học tập họ rồi từ đó rút ra những giải pháp phát triển hệ thống an ninh
12
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
bảo mật trong dịch vụ thanh toán điện tử tại Ngân hàng NN&PTNT để dịch
vụ thanh toán điện tử của ngân hàng ngày càng phát triển là một việc cần
thiết.
Đề tài này tập trung nghiên cứu các vấn đề liên quan tới các giải
pháp an ninh bảo mật tại các tổ chức tài chính và ngân hàng thương mại
(NHTM) nói chung và của Ngân hàng NN&PTNT nói riêng. Đồng thời,
cũng đưa ra các đề xuất nhằm cải thiện hơn nữa tình hình an ninh bảo mật
trong dịch vụ thanh toán điện tử tại Ngân hàng Nông nghiệp & Phát triển
Nông thôn.
1.3. CÁC MỤC TIÊU NGHIÊN CỨU
Mục tiêu nghiên cứu của luận văn là phân tích các vấn đề liên quan
đến an ninh bảo mật trong dịch vụ thanh toán điện tử của các tổ chức ngân
hàng để từ đó rút ra bài học kinh nghiệm và đưa ra những giải pháp an ninh
bảo mật cho dịch vụ thanh toán điện tử tại Ngân hàng NN&PTNT.
Mục tiêu của luận văn tập trung vào các vấn đề sau:
- Nghiên cứu kiến thức về an ninh bảo mật trong thanh toán điện tử của
ngân hàng.
- Làm rõ vấn đề về an ninh thanh toán trực tuyến và thực trạng tình hình
thanh toán điện tử tại Ngân hàng NN&PTNT
• Chương IV :
Kết luận và đề xuất các giải pháp an ninh bảo mật
trong dịch vụ thanh toán điện tử tại Ngân hàng
NN&PTNT
CHƯƠNG II
MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN NINH VÀ BẢO MẬT
TRONG DỊCH VỤ THANH TOÁN ĐIỆN TỬ
2.1. ĐỊNH NGHĨA, KHÁI NIỆM CƠ BẢN
2.1.1. Thương mại điện tử
14
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
Thương mại điện tử (TMĐT - Electronic Commerce) là một khái
niệm dùng để chỉ quá trình mua và bán một sản phẩm (hữu hình) hoặc dịch
vụ (vô hình) thông qua một mạng điện tử, phương tiện trung gian phổ biến
nhất của thương mại điện tử là Internet. Qua môi trường mạng, người ta có
thể thiết lập giao dịch, thanh toán, mua bán bất cứ sản phẩm gì từ hàng hóa
cho đến dịch vụ, kể cả dịch vụ ngân hàng.
2.1.2. Thanh toán điện tử
Thanh toán điện tử (Electronic Payment) là việc thanh toán tiền
thông qua thông điệp điện tử. Sự hình thành và phát triển của TMĐT đã
hướng thanh toán điện tử mở rộng sang các lĩnh vực mới đó là: trao đổi dữ
liệu tài chính, tiền mặt Internet, túi tiền điện tử hay két điện tử, thẻ thông
minh, giao dịch ngân hàng số hóa.
2.1.3. Các hệ thống thanh toán điện tử tại ngân hàng
• Hệ thống thanh toán điện tử nội bộ trong cùng hệ thống ngân hàng
Chuyển tiền điện tử trong hệ thống ngân hàng là nghiệp vụ chuyển
tiền, thanh toán cho các khách hàng trong cùng hệ thống, chuyển vốn giữa
các chi nhánh trong nội bộ ngân hàng, do đó không làm thay đổi tổng
nguồn vốn của hệ thống ngân hàng. Việc chuyển và hoàn tất một lệnh
được coi là phương thức thanh toán đặc trưng nhất của các giao dịch
trên Internet. Đây là một hình thức thanh toán nhanh và tiện lợi nhất.
Ngoài ra, nó còn đáp ứng được yêu cầu về đầu tiên khi kinh doanh trên
Internet đó là khả năng đến được với thông tin, sản phẩm dịch vụ một
cách nhanh nhất.
- Thẻ ghi nợ: Khi quá trình thanh toán được thực hiện bằng thẻ ghi nợ,
tiền trong tài khoản của người mua ngay lập tức bị rút ra khi giao dịch
16
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
được ấn định. Với người bán, họ có thể biết chắc chắn hơn người mua
có tiền để mua hàng thực sự hay không. Còn đối với người mua, việc
thanh toán sẽ được thực hiện ngay lập tức cho từng giao dịch, vì vậy
tránh được những “cú sốc” thấu chi thẻ tín dụng khi ngân hàng gửi các
bản kê đến.
• Sec trực tuyến
Sec trực tuyến hay còn được gọi là sec điện tử thực chất là một loại
“sec ảo”, cho phép người mua thanh toán bằng sec qua mạng Internet.
Người mua sẽ điền vào form (giống như quyển sec được hiển thị trên màn
hình) các thông tin về ngân hàng, ngày giao dịch và giá trị của giao dịch,
sau đó nhấn nút “send” để gửi đi. Các thông tin này được chuyển đến cho
nhà cung cấp hoặc một trung tâm giao dịch mà nhà cung ứng lựa chọn.
2.1.5. An ninh mạng và an ninh thanh toán thẻ
• An ninh mạng
An ninh mạng có thể được định nghĩa là việc bảo vệ một mạng khỏi
bất kỳ sự phá hoại nào. An ninh mạng là yêu cầu bắt buộc đối với bất kỳ
công ty nào có ý định sử dụng Internet và triển khai các giao dịch điện tử.
Có thể hiểu đơn giản vấn đề an ninh mạng như một trò chơi lật đật, ở đó
một mặt là mạng của công ty, mặt kia là phần còn lại của thế giới trực
tuyến và an ninh đứng giữa để cân bằng hai phía. Do đó có thể thấy rằng,
bất cứ khi nào có một sự thay đổi xảy ra đối với một phía của trò chơi, an
18
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
Các phần mềm an ninh có thể hoạt động như là một hệ thống cảnh
báo để nhắc nhở các nhà quản lý mạng việc nhận dạng vấn đề hoặc trục
trặc hệ thống trước khi chúng trở thành vấn đề nghiên trọng. An ninh mạng
cũng có thể hỗ trợ trong việc sửa chữa các vấn đề mà không cần phải dừng
toàn bộ hệ thống.
2.2.2. Các biện pháp bảo mật
a. Mã hóa
Mã hóa là một quá trình làm cho các thông điệp không thể đọc được,
ngoại trừ bởi những người có một khóa giải mã được cho phép sử dụng.
Mục tiêu của việc mã hóa là nhằm bảo vệ các thông tin nhậy cảm. Có hai
phương pháp mã hóa cơ bản được sử dụng hiện nay là:
• Mã hóa khóa bí mật (còn gọi là mã hóa đối xứng) là một hệ thống bảo
mật dựa trên một khóa bí mật đơn. Do sử dụng cùng một khóa để mã
hóa và giải mã thông điệp nên người gửi và người nhận thông điệp phải
chia sẻ bí mật, gọi là chìa khóa.
• Mã hóa khóa công cộng (còn gọi là mã hóa không đối xứng) sử dụng
hai loại khóa khác nhau: một khóa công khai và một khóa riêng (một
khóa để mã hóa thông điệp và khóa kia để giải mã thông điệp). Hai
khóa có mối quan hệ về măt toán học do đó các dữ liệu được mã hóa
với bất cứ khóa nào chỉ có thể được giải mã bằng cách sử dụng khóa
kia.
b. Chữ ký số
Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc áp
dụng mã hóa khóa công khai ngược lại. Để tạo một chữ ký số, một người
gửi mã hóa thông điệp với chìa khóa riêng của ông ta. Trong trường hợp
này, bất cứ người nào có khóa công khai của ông đều có thể đọc được
thông điệp đó và người nhận cũng có thể tin chắc rằng người gửi thực sự là
19
năng an toàn cho các giao dịch trên Internet.
• SSL ( Secure Socket Layer) – Cơ chế bảo mật SSL: Để đảm bảo rằng
khách hàng của bạn được bảo vệ khi họ nhập thông tin thẻ tín dụng vào
trang bán hàng của bạn, payment gateway sẽ sử dụng SSL để bảo vệ các
thông tin cá nhân bao gồm cả số thẻ tín dụng khi chuyển sang payment
gateway. Nếu máy phục vụ của bạn không hỗ trợ SSL thì trang bán
hàng của bạn sẽ do máy phục vụ nhà cung cấp payment gateway quản lý
mà không mất thêm chi phí nào.
• Giao thức giao dịch điện tử bảo mật SET và giao thức SSL trong thanh
toán điện tử đều là những giải pháp hoàn hảo cho thanh toán điện tử an
toàn. Chúng đều đáp ứng được 4 yêu cầu về bảo mật cho TMĐT là: sự
xác thực, mã hóa, tính chân thực và không thoái thác. Tuy nhiên hiện
nay, giao thức SSL đang được sử dụng rộng rãi hơn giao thức SET,
nguyên do là giao thức SSL đơn giản và dễ sử dụng hơn.
2.3. TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU VỀ AN NINH BẢO MẬT
TRONG THANH TOÁN ĐIỆN TỬ
2.3.1. Hội thảo – Triển lãm Quốc gia an ninh bảo mật thông tin 2009
(Nguồn được trích từ website: )
VNCERT – Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã đưa
ra được kết quả khảo sát về tình hình an ninh bảo mật thông tin tại Việt
Nam trong năm 2008, đặc biệt trong lĩnh vực CNTT, tài chính – ngân hàng
đang ngày càng đáng báo động và có thể diễn biến phức tạp trong năm tới.
Có trên 50% các cơ sở lỏng lẻo, chưa có quy chế an toàn thông tin; chưa có
quy trình ứng phó. Các quy trình báo cáo sự cố chưa đầy đủ và chưa sử
dụng nhiều hỗ trợ của lực lượng chuyên nghiệp; công nghệ lạc hậu; trình
độ hiểu biết và khả năng đánh giá nguy cơ thấp; khó khăn được kể lớn nhất
vẫn ở khâu nhận thức và trình độ chuyên nghiệp.
21
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
Thực trạng đó đặt ra nhu cầu bức thiết về chiến lược tổng thể và kế
1% kế hoạch kinh doanh điện tử di chuyển sang SET
2.3.3. Thông tin từ (Website của Hiệp hội ngân
hàng Việt Nam) và website của Agribank: agribank.com.vn
Từ ngày 1/7/2008, Ngân hàng NN&PTNT (Agribank) đã chính thức
triển khai sản phẩm chuyển tiền điện tử qua tin nhắn SMS từ điện thoại di
động, đồng thời tiếp tục thực hiện dịch vụ nạp tiền qua thuê bao trả trước
(dịch vụ VnTopup) qua mạng Sfone nhưng đến nay dịch vụ đã được áp
dụng với hầu hết các mạng di động trả trước như: VinaPhone, Viettel, E-
Mobile (EVN Telecom)…
Với sản phẩm ATransfer khách hàng có tài khoản thanh toán trong
hệ thống IPCAS của Agribank có thể chuyển tiền qua tin nhắn của tất cả
các mạng di động tới người thụ hưởng là khách hàng cùng có tài khoản
thanh toán trong hệ thống IPCAS của Agribank. Mức chuyển tiền tối đa 01
lần chuyển là 2 triệu VND, và tối đa 01 ngày lên tới 10 triệu VND.
Hệ thống IPCAS có thể tích hợp toàn bộ các ứng dụng nghiệp vụ
ngân hàng trong một hệ thống đồng nhất nên nó có khả năng vừa cung cấp
các sản phẩm và dịch vụ của một ngân hàng thương mại truyền thống, vừa
đưa ra các sản phẩm và dịch vụ mới của một ngân hàng thương mại hiện
đại, từ đó cung cấp cho khách hàng nhiều dịch vụ mới, tiện ích hơn. Với
các sản phẩm, dịch vụ đã cung cấp, khách hàng chỉ cần có một chiếc máy
điện thoại di động là có thể thực hiện được một số giao dịch với ngân hàng
như: Chuyển tiền, vắn tin tài khoản, nạp tiền vào tài khoản điện thoại đi
động…
IPCAS cho phép giao dịch 24h/ngày vì vậy cho phép khách hàng có
thể thực hiện giao dịch thẻ với ngân hàng tại bất cứ thời điểm nào trong
23
Luận văn tốt nghiệp Đỗ Kim Ngân – K41I2
ngày, đồng thời khả năng giao dịch đa chi nhánh giúp khách hàng có thể
gửi, rút tiền nhiều nơi, tiết kiệm thời gian, hạn chế rủi ro trong giao dịch.
Không chỉ mang lại nhiều tiện ích cho khách hàng, IPCAS còn giúp
trong thanh toán điện tử đã đạt được một số thành tựu: nhiều NHTM và các
công ty trực tuyến đã sử dụng giao thức bảo mật SSL và SET để cung cấp
sự bảo mật và bảo vệ riêng tư cho khách hàng, khi khách hàng tiến hành
mã hóa đơn hàng tại máy tính cá nhân của họ; đặc biệt với việc tiếp tục
triển khai phần mềm IPCAS giai đoạn II, Agribank đã đưa ra sản phẩm
chuyển tiền điện tử qua tin nhắn SMS từ điện thoại di động cùng hàng loạt
các dịch vụ ngân hàng hiện đại, nhờ đó khách hàng có thể giao dịch
24h/ngày còn hoạt động của Ngân hàng NN&PTNT thì ngày càng phù hợp
với tiêu chuẩn và thông lệ quốc tế.
Tuy nhiên, bên cạnh những thành tựu đã đạt được thì lĩnh vực an
ninh bảo mật trong thanh toán điện tử ở Việt Nam vẫn còn nhiều hạn do
thiếu cơ sở hạ tầng thanh toán, công nghệ thông tin thì lạc hậu, cùng với đó
là khả năng nhận thức và trình độ chuyên nghiệp của đội ngũ nhân viên
chưa cao đã làm cho quy trình ứng phó hay báo cáo sự cố còn gặp nhiều
hạn chế. Tóm lại, tình hình an ninh bảo mật trong ngành tài chính – ngân
hàng nói chung và trong lĩnh vực thanh toán trực tuyến nói riêng ở Việt
Nam đang ngày càng đáng báo động. Chính vì vậy xu hướng tập trung triển
khai vào lĩnh vưc công nghệ thông tin đặc biệt là công nghệ an ninh bảo
mật đều được các chuyên gia và các nhà quản lý đề cập tới trong các năm
tiếp theo.
2.4. PHÂN ĐỊNH NỘI DUNG VẤN ĐỀ NGHIÊN CỨU CỦA ĐỀ TÀI
2.4.1. Tổng hợp những lý thuyết, lý luận về lĩnh vực an ninh bảo mật
trong thanh toán điện tử tại NHTM
25
Copyright: Tài liệu đại học ©