An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ:
BẢO MẬT
I. Quản lý rủi ro trong thương mại điện tử:
Việt Nam là nước đi sau trong ứng dụng Thương mại điện tử (TMĐT)
và mức độ phát triển của lĩnh vực này còn hạn chế. Tuy nhiên, Việt Nam cũng
không tránh khỏi được các rủi ro mà các nước phát triển về TMĐT đã gặp
phải. Số vụ tấn công các trang web với mục đích xấu hay cảnh báo cũng như
số vụ ăn trộm thông tin tài khoản thanh toán của cá nhân trên mạng ngày càng
gia tăng. Chính vì thế, vấn đề an toàn và bảo mật thông tin là rất quan trọng
bởi vì phần lớn các giao dịch thương mại hiện nay đều thông qua Internet.
1. Định nghĩa:
Rủi ro trong TMĐT là những tại nạn, sự cố, tai hoạ xảy ra một cách
ngẫu nhiên, khách quan ngoài ý muốn của con người, gây ra tổn thất cho các
bên tham gia quá trình giao dịch trong TMĐT.
2. Phân loại
Rủi ro trong TMĐT được phân chia thành 4 nhóm cơ bản sau:
- Nhóm rủi ro về dữ liệu: Các thông tin của khách hàng, đối tác hay đơn
đặt hàng,…bị mất do sự bất cẩn của người quản lý; các thông tin cần
bảo mật bị rò rỉ ra bên ngoài; ổ cứng bị đánh cắp,…
- Nhóm rủi ro về công nghệ: virus, hacker, trộm cắp trên mạng, tấn công
từ chối dịch vụ,…
- Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức: sơ xuất trong
việc chứng thực các thông tin về người mua và đối tác hoặc quy trình
thiếu chặt chẽ của doanh nghiệp,…
1
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp: sự thiếu chặt
chẽ của luật pháp trong TMĐT hay chưa có những luật chính thức và
cụ thể để bảo vệ thông tin cũng như quyền lợi của người tham gia.
Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi

hợp.
- Giai đoạn 3: Thực hiện. Lựa chọn công nghệ đặc thù để chống đỡ các
mối nguy hại đã định hướng ở phần lập kế hoạch. Ngoài ra, các phần
mềm an ninh cũng là lựa chọn để ngăn chặn các nguy cơ.
- Giai đoạn 4: Giám sát. Đánh giá xem biện pháp nào thành công cần
phải phát huy tối đa, biện pháp nào không phù hợp cần phải thay đổi
hoặc những tài sản nào của công ty cần phải tiếp tục bảo đảm an ninh.
2. Một số biện pháp cơ bản đảm bảo an toàn cho giao dịch TMĐT.
Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là
sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có
sử dụng các thiết bị kĩ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa,
chữ kí số và chứng chỉ số.
- Kĩ thuật mã hóa thông tin
- Chữ kí số
- Chứng thư số hóa
3. Một số biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống
TMĐT
• Tường lửa
- Định nghĩa: Bức tường lửa là một phần mền hoặc phần cứng có mục
tiêu là bảo vệ mạng LAN khỏi những người xâm nhập từ bên ngoài. Nó
cho phép những người sử dụng mạng máy tính trong một tổ chức có thể
truy cập tài nguyên của mạng khác nhưng đồng thời ngăn cấm người sử
dụng trái phép từ bên ngoài truy cập vào mạng máy tính của tổ chức.
3
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Đặc điểm:
+ Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức ra
ngoài và ngược lại đều phải đi qua tường lửa
+ Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an
toàn mạng máy tính của tổ chức mới được phép đi qua.

- BullGuard Antivirus
Theo bảng thống kê trên ta thấy, phần mềm diệt virus tốt nhất năm 2013 là
Antivirus Plus.
• Chữ kí số, chứng thực số
- Chữ kí số là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video,
mã nhận thực, hàm băm và các thiết bị bút điện tử ) nhằm mục đích
xác định người chủ của dữ liệu đó.
- Chữ kí số là một thông điệp xác thực được trao đổi giữa 2 bên và được
bảo vệ bởi một bên thứ 3. Tuy nhiên, nó không bảo vệ 2 bên với nhau.
Toàn bộ quá trình gồm 3 thuật toán:
5
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Thuật toán tạo khóa
- Thuật toán tạo chữ kí số
- Thuật toán kiểm tra chữ kí số
Kết quả điều tra năm 2012 cho thấy, 83% doanh nghiệp sử dụng phần
mềm diệt virus, 57% doanh nghiệp sử dụng tường lửa và 23% sử dụng các
biện pháp phần cứng để đảm bảo an toàn thông tin. Tỷ lệ doanh nghiệp ứng
dụng chữ ký số tương đối ổn định so với năm 2011 (23% năm 2012 so với
22% năm 2011).
6
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Ngoài ra còn có một số biện pháp cơ bản khác nhằm đảm bảo an toàn
cho TMĐT như tạo mạng riêng ảo (VPN), sử dụng password đủ mạnh, giải
pháp an ninh nguồn nhân lực, giải pháp về trang thiết bị an ninh mạng…
4. Tình huống thực tế: Khách hàng của eBay bị lừa đảo qua mạng
Vấn đề:
Ngày 17/11/2003, một số khách hàng của eBay được thông báo bằng
Email rằng tài khoản của họ trên eBay đang được cập nhật và tăng cường mức
độ an toàn. Thông báo kèm theo một đường dẫn (link) đến một trang web của

như trước khi mã hóa.
Để mã hóa và giải mã cần một giá trị đặc biệt gọi là khóa.
8
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Giải mã văn bản khi không biết khóa gọi là phá mã.
1.2 Mục đích và lợi ích của mã hóa.
- Mục đích: đảm bảo an ninh thông tin khi truyền phát.
- Lợi ích:
+ Mã hóa có lợi cho việc bảo vệ và xác nhận.
+ Mã hóa cung cấp các công cụ để nhận dạng người gởi, xác nhận nội
dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thư tín và
đảm bảo bí mật.
1.3 Tính chất của mã hóa
- Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một cách
an toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có
được nội dung của dữ liệu gốc ban đầu. Chỉ những người được phép
mới có khả năng đọc được nội dung thông tin ban đầu.
- Authentication (Tính xác thực): Giúp cho người nhận dữ liệu xác định
được chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu. Kẻ giả mạo
không thể có khả năng để giả dạng một người khác hay nói cách khác
không thể mạo danh để gửi dữ liệu. Người nhận có khả năng kiểm tra
nguồn gốc thông tin mà họ nhận được.
- Integrity (Tính toàn vẹn): Giúp cho người nhận dữ liệu kiểm tra được
rằng dữ liệu không bị thay đổi trong quá trình truyền đi. Kẻ giả mạo
không thể có khả năng thay thế dữ liệu ban đầu bằng dữ liệu giả mạo.
- Non-repudation (Tính không thể chối bỏ): Người gửi hay người nhận
không thể chối bỏ sau khi đã gửi hoặc nhận thông tin.
2. Phân loại mã hóa thông tin.
- Mã hóa cổ điển
- Mã hóa đối xứng

Người gửi Người
nhận
Diễn giải cho sơ đồ bên trên: Trong hệ thống mã hoá đối xứng, trước
khi truyền dữ liệu, 2 bên gửi và nhận phải thoả thuận về khoá dùng chung cho
quá trình mã hoá và giải mã. Sau đó, bên gửi sẽ mã hoá bản rõ (Plaintext)
bằng cách sử dụng khoá bí mật này và gửi thông điệp đã mã hoá cho bên
nhận. Bên nhận sau khi nhận được thông điệp đã mã hoá sẽ sử dụng chính
khoá bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext).
Trong quá trình này, thì thành phần quan trọng nhất cần phải được giữ
bí mật chính là khoá.
Mã hoá đối xứng có thể được phân thành 02 loại:
- Loại thứ nhất tác động trên bản rõ theo từng nhóm bits (mật mã khối
– Block Cipher). Theo đó, từng khối dữ liệu trong văn bản ban đầu
được thay thế bằng một khối dữ liệu khác có cùng độ dài. Đối với các
thuật toán ngày nay thì kích thước chung của một Block là 64 bits.
11
Thông
điệp ban
đầu
Thông điệp
đã đổi mã
InternetThông
điệp đã đổi
mã
Thông
điệp ban
đầu
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
- Loại thứ hai tác động lên bản rõ theo từng bit một (mật mã dòng –
Stream Cipher). Theo đó, dữ liệu của văn bản được mã hoá từng bit

n: số người liên lạc
2.4 Mã hóa bất đối xứng (mã hóa công cộng)
Là phương pháp sử dụng 2 mã khóa trong quá trình mã hóa. Một khóa
dùng để mã hóa và một khóa dùng để giải mã 2 khóa này có quan hệ về mặt
thuật toán sao cho dữ liệu được mã hóa bằng khóa này sẽ được giải mã bằng
khóa kia.
• Quá trình truyền tin sử dụng mã khóa công khai:
Mật mã gửi (# Mật mã nhận) (Mật mã nhận)
Người gửi Người nhận
Mỗi người sử dụng có một cặp gồm 2 khóa, một khóa công khai và một
khóa bí mật
- Khóa công khai: được thông báo rộng rãi cho những người sử dụng
khác trong hệ thống và dùng để mã hóa thông điệp hoặc kiểm tra chữ
kí.
- Khóa bí mật: chỉ nơi giữ được biết và dùng để giải mã thông điệp hoặc
tạo chữ kí.
Diễn giải sơ đồ trên (quy trình):
13
Thông
điệp đã đổi
mã
Thông
điệp đã đổi
mã
Thông
điệp ban
đầu
Thông
điệp ban
đầu

quán) và tính không từ chối
khi sử dụng chữ kí số.
Nhược điểm -2 khóa giống nhau, trao đổi
khóa rất khó khăn.
-Khó phân phát hóa.
-Không kiểm tra được gian
lận một trong hai bên.
-Chỉ phù hợp với việc trao
đổi thông tin giữa 2 người,
không phù hợp cho hệ thống
lớn.
-Số lượng khóa lớn.
-Tốc độ xử lý rất chậm.
-Thiên về tính toán.
-Việc xác thực khóa tương
đối khó khăn.
14
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
-Thông tin có thể bị lộ.
-Không hỗ trợ sử dụng chữ kí
số.
IV. Ứng dụng mã hóa trong việc bảo mật thông tin.
1. Chữ ký điện tử:
1.1Định nghĩa:
Chữ ký điện tử là một phương pháp mã hóa công cộng được sử dụng
phổ biến trong TMĐT. Sử dụng chữ kí điện tử nhằm đảm bảo tính toàn vẹn,
duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. Chữ
kí điện tử là một công cụ bảo mật an toàn nhất hiện nay. Nó là bằng chứng
xác thực người gửi chính là tác giả của thông điệp mà không phải là một ai
khác. Chữ ký điện tử được gắn với một thông điệp điện tử thì đảm bảo rằng

Cơ quan chứng thực là một tổ chức nhà nước hoặc tư nhân đóng vai trò
là người thứ 3 đáng tin cậy trong thương mại điện tử để xác định nhân thân
của người sử dụng khoá công khai. Sự xác nhận của CA về chữ ký điện tử, về
lai lịch của người ký, thông điệp của người ký và tính toàn vẹn của nó là rất
quan trọng trong giao dịch điện tử.
Cơ quan chứng thực có vai trò quan trọng, bởi trong thương mại điện
tử, các bên tham gia không gặp mặt trực tiếp nhau và đôi khi không quen biết
nhau nên rất cần có sự đảm bảo của người thứ 3. Hệ thống bảo mật hiện nay
đảm bảo độ an toàn rất cao, gần như là tuyệt đối, song việc thực hiện phụ
thuộc vào trình độ cũng như thực trạng cơ sở hạ tầng tin học của các bên.
3. Phong bì số: (Digital Envelope)
16
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
Tạo lập một phong bì số là một quá trình mã hoá một chìa khoá bí mật
(chìa khoá DES) bằng khoá công khai của người nhận. Chìa khoá bí mật này
được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người
nhận và phải được chuyển cho người nhận để người nhận dùng giải mã những
thông tin.
BẢNG PHÂN CÔNG CÔNG VIỆC TRONG NHÓM
STT Họ và Tên Công việc đảm trách Ghi chú Đánh giá
17
An ninh trong TMĐT: “Bảo mật” – Nhóm 7 GVHD: Ths.Nguyễn Thị Trần Lộc
của Giảng
viên
1
Lê Văn Tiến Quản lý rủi ro trong TMĐT. Nhóm
trưởng
2
Phạm Kiều Oanh Bảo vệ thông tin trong
TMĐT.