Chương 4:
An ninh trong
Thương mại điện tử
Khái niệm rủi ro trong TMĐT

Rủi ro trong Thương mại điện tử là
những tai nạn, sự cố, tai hoạ xảy ra
một cách ngẫu nhiên, khách quan
ngoài ý muốn của con người mà gây ra
tổn thất cho các bên tham gia trong
quá trình tiến hành giao dịch trong
Thương mại điện tử
Tổng quan

Theo báo cáo của Viện An ninh Máy tính
(CSI) và FBI (Mỹ) về thực trạng các vụ tấn
công vào hoạt động thương mại điện tử năm
2002:

Các tổ chức tiếp tục phải chịu những cuộc tấn công
qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó.
khoảng 90% cho rằng họ đã thấy có sự xâm phạm an
ninh trong vòng 12 tháng gần nhất.

Các hình thức tấn công qua mạng mà các tổ chức phải
chịu rất khác nhau. Ví dụ, 85% bị virus tấn công, 78%
bị sử dụng trái phép mạng internet, 40% là nạn nhân
của tấn công từ chối dịch vụ (DoS)
Tổng quan

Thiệt hại về tài chính qua các vụ tấn công qua

cứu khẩn cấp máy tính Việt Nam (VnCERT)
vào tháng 12/2005
Yêu cầu về an ninh

1 - Bí mật (secrecy):
•
Đảm bảo việc, ngoài những người có quyền, không ai đọc
được các dữ liệu, lấy được các thông tin cá nhân hoặc các
thông tin bí mật khác

2 - Toàn vẹn (integrity)
•
Đảm bảo thông tin không bị thay đổi

3 - Sẵn sàng (availability)
•
Đảm bảo thông điệp hoặc mẩu tin được truyền gửi

4 - Chống phủ định (non-repudiation)
•
Đảm bảo rằng các bên tham gia không thể phủ định các hành
động họ đã thực hiện

5 - Xác thực (authentication)
•
Có thể nhận biết được các đối tác tham gia giao dịch
Những rủi ro thường gặp

Nhóm rủi ro về dữ liệu


sử dụng công nghệ tin học

Các hình thức tấn công chủ yếu:

Virus hay các đoạn mã nguy hiểm (malicilous
code): Virus là chương trình máy tính có khả
năng nhân bản hoặc tự tạo các bản sao của
chính mình và lây lan sang các chương trình,
các tệp dữ liệu khác trên máy tính

Tin tặc và các chương trình phá hoại
Rủi ro về công nghệ

Các hình thức tấn công chủ yếu

Khước từ dịch vụ (DoS, DDoS): Tấn công
bằng cách sử dụng những giao thông vô ích
làm tràn ngập dẫn đến tắc nghẽn mạng truyền
thông (DoS), hoặc sử dụng số lượng lớn các
máy tính tấn công vào một mạng từ nhiều điểm
khác nhau gây nên sự quá tải về khả năng
cung cấp dịch vụ (DDoS)

Kẻ trộm trên mạng (sniffer)
Tấn công DDoS
Máy tính
trường học
Máy tính
trường học
Máy tính

Ảnh hưởng của rủi ro tới hoạt
động kinh doanh của DN

Hạn chế hiệu quả kinh doanh

Thiệt hại về vật chất

Thiệt hại về thông tin, phần mềm, phần
cứng

Mất cơ hội kinh doanh

Ảnh hưởng đến uy tín doanh nghiệp
Quản trị rủi ro trong TMĐT

Là quá trình xác định các khả năng bị
tấn công và đưa ra các giải pháp thích
hợp để phòng hoặc chống lại những
tấn công này

Những lỗi thường gặp khi quản trị rủi
ro:

Thiếu thông tin hoặc đánh giá thấp thông tin
nhận được

Xác định biên giới an ninh quá hẹp

Các quy trình quản trị rủi ro lạc hậu


Socket Layer)

Các giao dịch điện tử an toàn (SET –
Secure Electronic Transaction)
Mã hóa và
Chữ ký điện tử
Mã hóa dữ liệu

Là quá trình chuyển các văn bản hay
các tài liệu gốc thành các văn bản dưới
dạng mật mã để bất cứ ai, ngoài người
gửi và người nhận, đều không thể đọc
được.

Hai phương pháp mã hóa:

Mã hóa khóa bí mật (mã hóa khóa đối xứng):
sử dụng 01 “chìa khóa”

Mã hóa khóa công khai (mã hóa khóa không
đối xứng): sử dụng 02 “chìa khóa” khác nhau,
một để mã và một để giải
Mã hóa khóa bí mật

Sử dụng 1 chìa khóa để vừa mã hóa vừa giải mã

Mã Caesar: thay thế các ký tự của thông điệp bởi ký tự
đứng sau nó k vị trí.
•
Vd: k=1 thì ab, bc,…, za

•
Xác định bên đối tác vì đã trao đổi chìa khóa với họ
•
Chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa
khóa

Đáp ứng yêu cầu về tính toàn vẹn
•
Không ai có thể thay đổi nội dung thông điệp nếu không biết
khìa khóa

Đáp ứng yêu cầu về tính không thể chối bỏ
•
Bằng chứng đồng ý với nội dung thông điệp đã ký

Đáp ứng tính riêng tư
•
Không ai khác có thể đọc nội dung thông điệp nếu không biết
chìa khóa
 THÔNG ĐIỆP ĐÃ ĐƯỢC “KÝ”