Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
CHƯƠNG I
TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU
1.1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI :
Thời gian qua nhiều ngân hàng đã đưa ra các dịch vụ internet banking,
home banking, ATM, phone banking và mobile banking. Tất cả các dịch vụ
đó là nền tảng cho chính ngân hàng trong việc hỗ trợ TMĐT. Nó góp phần
quan trọng thay đổi nhận thức của khách hàng về các kênh TTĐT. Về phía
ngân hàng, mức độ sẵn sàng cho thanh toán trực tuyến đã ở mức cao: ví dụ
thanh toán qua thẻ, tài khoản... Tuy nhiên, mức độ đồng nhất về chuẩn
nghiệp vụ, bảo mật hay các chuẩn khác (chuẩn dữ liệu...) khi nền kinh tế
chuyển sang TMĐT vẫn còn hạn chế. Các ngân hàng vẫn chưa tạo được
“tiếng nói” chung.
Hệ thống thanh toán điện tử liên ngân hàng do Ngân hàng Nhà nước chủ
trì là hệ thống thanh toán điện tử trực tuyến hiện đại nhất từ trước đến nay
tại Việt Nam, được xây dựng theo tiêu chuẩn quốc tế và hoạt động rất hiệu
quả kể từ tháng 5/2002 đến nay. Hệ thống thanh toán nội bộ của các ngân
hàng thương mại cũng đã hoàn thành và đưa vào vận hành kể từ cuối năm
2003.
Lợi ích mang lại từ hiện đại hoá hoạt động thanh toán không chỉ làm giảm
đáng kể thời gian thanh toán, giúp tăng nhanh vòng quay vốn của doanh
nghiệp và nền kinh tế mà còn là cơ sở cho các ngân hàng thực hiện dịch vụ
ngân hàng điện tử, là nền tảng quan trọng cho sự phát triển thương mại điện
tử ở Việt Nam và hạn chế thanh toán bằng tiền mặt trong nền kinh tế. Đồng
thời số lượng khách hàng gia tăng, khoản tiền giao dịch qua ngân hàng cũng
đột biến theo. Không những thế, một sự thay đổi tích cực khác sẽ xuất hiện
trong mối quan hệ giữa ngân hàng với khách hàng theo hướng ngay càng sâu
1
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
đậm hơn. Khách hàng trực tuyến cảm thấy tiện lợi hơn cả về thời gian và
tiền bạc so với các khách hàng ngoại tuyến.
bảo mật thông tin khách hàng trong thanh toán trực tuyến tại Ngân
hàng Nông nghiệp và Phát triển nông thôn Việt Nam” làm đề tài cho luận
văn tốt nghiệp của mình.
1.2 MỤC TIÊU NGHIÊN CỨU CỦA ĐỀ TÀI :
Từ cơ sở lý luận và thực trạng hoạt động bảo mật thông tin khách hàng
trong thanh toán trực tuyến tại Ngân hàng Nông nghiệp và Phát triển nông
thôn Việt Nam, em xin đưa ra một số giải pháp nhằm khắc phục các mặt tồn
tại của ngân hàng hiện nay và với hy vọng các giải pháp cùng công nghệ tiên
tiến hiện đại mới nhất có thể giúp cho ngân hàng ngày một phát triển và
được khách hàng tin dùng.
1.3 PHẠM VI, ĐỐI TƯỢNG NGHIÊN CỨU :
Luận văn tập trung trình bày những nội dung chủ yếu về an toàn dữ liệu,
chế độ bảo mật thông tin khách hàng trong thanh toán trực tuyến tại Ngân
hàng Nông nghiệp và Phát triển nông thôn Việt Nam.
1.4 PHƯƠNG PHÁP NGHIÊN CỨU :
Luận văn sử dụng phương pháp thống kê, phân tích tổng hợp, tiếp cận hệ
thống lý luận và thực tiễn, trên cơ sở của chủ nghĩa duy vật biện chứng và
duy vật lịch sử để phân tích và xử lý các vấn đề nghiên cứu.
1.5 KẾT CẤU LUẬN VĂN :
3
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
Luận văn được chia làm 4 chương:
Chương 1: Tổng quan đề tài nghiên cứu.
Chương 2: Cơ sở lý luận về bảo mật thông tin khách hàng trong thanh
toán trực tuyến.
Chương 3: Thực trạng bảo mật thông tin khách hàng trong thanh toán
trực tuyến tại Ngân hàng nông nghiệp và Phát triển nông thôn Việt
Nam.
Chương 4: Giải pháp bảo mật thông tin khách hàng trong thanh toán
trực tuyến tại Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt
2.1.3 Mục tiêu của bảo mật thông tin
Đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an toàn này
vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận
5
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao
nên hệ thống chỉ có thể đạt tới độ an toàn nào đó.
Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi
đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự
an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc
tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng.
2.1.4 Bảo mật thông tin khách hàng
Các thông tin khách hàng cần bảo mật
+ Những thông tin quan trọng về khách hàng của công ty.
+ Chi tiết nghiệp vụ quan trọng của khách hàng với công ty.
+ Chính sách chăm sóc khách hàng của công ty.
Bảo mật thông tin khách hàng theo cấp bậc
+ Cấp tuyệt mật: Thông tin khách hàng cấp tuyệt mật là thông tin quan
trọng nhất của công ty, khi thông tin này lọt ra ngoài thì sẽ ảnh hưởng
nghiêm trọng đến lợi ích và quyền lợi của công ty. Thông tin khách hàng
quan trọng ảnh hưởng trực tiếp đến quyền lợi của công ty được coi là cấp
tuyệt mật.
+ Cấp cơ mật: Thông tin khách hàng cấp cơ mật là bí mật quan trọng của
công ty, khi thông tin này lọt ra ngoài thì sẻ ảnh hưởng nghiêm trọng đến lợi
ích và quyền lợi của công ty. Thông tin khách hàng liên quan đến nghiệp vụ
quan trọng của công ty coi là cấp cơ mật.
+ Cấp bí mật: Thông tin khách hàng cấp bí mật là những bí mật của công
ty. Khi để lọt ra ngoài sẽ gây tổn hại cho lợi ích và quyền lợi công ty. Thông
tiền mặt Cyber ( Cyber Card ), các chứng từ điện tử (ví dụ như hối phiếu,
7
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
giấy nhận nợ điện tử)…Việc xây dựng một hệ thống thanh toán tài chính tự
động an toàn là điều kiện tiên quyết để thực hiện thành công TMĐT tiến tới
nền kinh tế số hoá.
Sử dụng hệ thống TTTT tạo điều kiện cho việc đa dạng hoá các phương
thức sử dụng tiền tệ và lưu chuyển dễ dàng ở phạm vi đa quốc gia. Tiền sử
dụng là tiền điện tử không mất chi phí in ấn, kiểm đếm, giao nhận. Tốc độ
lưu chuyển tiền tệ qua ngân hàng nhanh và kiểm soát được quy trình rủi ro
trong thanh toán. Về phía người sản xuất thì thu được tiền nhanh chóng, rút
ngắn chu trình tái sản xuất tránh đọng vốn, tăng tốc độ lưu thông hàng hoá
và tiền tệ. Người tiêu dùng có khả năng lựa chọn dễ dàng hàng hoá một cách
tức thời và theo ý của mình.
2.2.3 Bảo mật thông tin và tác động của nó đến hoạt động thanh toán
Bốn yêu cầu chủ yếu về bảo mật cho việc thanh toán điện tử an toàn bao
gồm:
2.2.3.1 Xác thực
Là việc kiểm tra nhân thân của người mua trước khi việc thanh toán được
chứng thực. Xác thực là một tính năng rất quan trọng trong việc thực hiện
các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính với cơ
quan pháp quyền. Các hoạt động này cần phải xác minh rõ người gửi thông
tin để sử dụng tư cách pháp nhân.
2.2.3.2 Mã hóa
Một quá trình làm cho các thông điệp không thể giải đoán được ngoại trừ
bởi những người có khóa giải mã được cho phép sử dụng. Khi người gửi đã
mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới
giải mã được thông tin để đọc. Trong quá trình truyền thông tin qua Internet,
dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được
Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc áp dụng
mã hóa khóa công khai lại. Để tạo ra một chữ ký số, một người gửi mã hóa
một thông điệp với chìa khóa riêng của mình. Trong trường hợp này, bất cứ
người nhận nào đó có chìa khóa công khai của họ đều có thể đọc nó, song
người nhận có thể tin chắc rằng người gửi thực sự là tác giả của thông điệp.
Một chữ ký số thường được gắn kèm với thông điệp được gửi, cũng giống
như chữ ký viết tay.Tính chân thực và việc xác nhận được đảm bảo bằng
việc sử dụng chữ ký số.
Khi kết hợp với kỹ thuật số hóa thông điệp, việc mã hóa sử dụng khóa
riêng cho phép người sử dụng ký thông điệp. Một số hóa thông điệp là một
giá trị được tạo ra cho một thông điệp mang tính duy nhất cho thông điệp đó
(không thể tạo ra 2 thông điệp khác nhau có cùng số hóa thông điệp- xác
suất 1/10
48
). Một số hóa thông điệp được tạo ra bằng cách đưa thông điệp
qua một chức năng mã hóa một cửa, tức là một nơi không thể quay lại. Khi
số của thông điệp được mã hóa dùng riêng của người gửi và được ghép thêm
vào thông điệp gốc, kết quả được gọi là chữ ký số hóa của thông điệp. Người
nhận chữ ký số hóa có thể chắc chắn rằng thông điệp thực sự đến từ người
gửi.
Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện
sau:
- Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra
được bằng khoá công khai ghi trên chứng thư số có hiệu lực đó.
- Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá
công khai ghi trên chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ
ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ
chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy
chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ chức cung
10
yêu cầu B xuất trình CMND cho mọt công chứng viên trước khi phát hành
chứng nhận.
Các nhà chứng thực điện tử CA cung cấp cho khách hàng đầy đủ thông tin
và cách sử dụng khóa mã và phải đảm bảo những điều kiện sau:
- Chứng thực danh tính của những người tham gia giao dịch: Chỉ có chủ sở
hữu của chứng chỉ số mới có thể ký chữ ký điện tử và gửi thông điệp đi. Và
người nhận thông điệp tin tưởng thông điệp đúng là của người chủ hợp pháp
gửi đến
- Bảo mật được thông tin: Thông điệp được mã hoá trước khi chuyển đi.
- Đảm bảo tính toàn vẹn của dữ liệu khi đến người nhận: Thông tin để được
mã hoá sẽ không bị sửa đổi trên đường
Sau khi B đã cung cấp một bằng chứng về nhận dạng, cơ quan cấp chứng
nhận sẽ tạo ra một thông điệp chứa đựng tên của B và khóa công cộng của
anh ta. Thông điệp này được gọi là một giấy chứng nhận, được ký số hóa bởi
cơ quan chứng nhận. Nó chứa đựng các thông tin nhận dạng người chủ cũng
như một bản copy của một trong các khóa công cộng của người chủ. Để đạt
lợi ích tốt nhất, khóa công cộng của cơ quan chứng nhận nên được càng
nhiều người biết càng tốt.
Ở Việt Nam hiện nay việc xây dựng phát triển hệ thống CA là một nhân tố
rất quan trọng giúp thúc đẩy nền TMĐT VN phát triển. Do đó mới chỉ có 1
số tổ chức đứng ra cung cấp thử nghiệm và phát triển chữ kí điện tử như
VDC,VASC. Bộ Thông tin và Truyền thông (MIC) đang xây dựng trung tâm
chứng thực điện tử quốc gia RootCA.Và tất nhiên tính an toàn của chữ kí
điện tử do những tổ chức này cung cấp không thể so sánh đuợc với các đại
gia lâu năm trên thế giới như Verisign, Entrust,RSA....
2.2.5 Giao thức giao dịch điện tử bảo mật
12
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
2.2.5.1 SET (secure electronic transaction protocol)
Giao thức SET được thiết kế nguyên thủy bởi Visa và MasterCard vào
+ Mã hoá kết nối: Tất cả các thông tin trao đổi giữa máy trạm và máy chủ
được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật.
2.2.5.3 IPsec ( IP security )
Bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin
trên nền tảng Internet Protocol (IP). Bao gồm xác thực và mã hoá cho mỗi
gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm
những giao thức cung cấp cho mã hoá và xác thực.
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
1. Mã hoá quá trình truyền thông tin
2. Đảm bảo tính nguyên vẹn của dữ liệu
3. Phải được xác thực giữa các giao tiếp
4. Chống quá trình replay trong các phiên bảo mật.
5. Modes – Các mode
Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho
tính toàn vẹn dữ liệu, và thuật toán TripleDES-CBC và AES-CBC cho mã
mã hoá và đảm bảo độ an toàn của gói tin.
2.3 TÌNH HÌNH NGHIÊN CỨU BẢO MẬT THÔNG TIN KHÁCH
HÀNG TRONG THANH TOÁN TRỰC TUYẾN NHỮNG NĂM QUA
2.3.1 Sách tham khảo
- Giáo trình An toàn và bảo mật thông tin : TS. Trần Văn Dũng – Trường ĐH
Giao thông vận tải, Khoa CNTT, Bộ môn khoa học máy tính – 2008
- Giáo trình Công nghệ bảo mật và chữ ký điện tử : Bộ môn CNTT, Đại học
Thương mại – 2007
14
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
- Giáo trình An toàn dữ liệu : Bộ môn CNTT, Đại học Thương mại – 2007
- Lý thuyết mật mã và an toàn thông tin : Phan Đình Diệu - Đại học Quốc gia
Hà Nội - 1999.
- Công nghệ bảo mật World Wide Web : Nguyễn Ngọc Tuấn, Hồng Phúc -
thiết phục vụ cho đề tài nghiên cứu.
+ Qua việc nghiên cứu, phân tích thực trạng bảo mật thông tin khách hàng
trong thanh toán trực tuyến tại ngân hàng Agribank để phát hiện ra những
vấn đề còn tồn tại chưa được giải quyết, chưa phát triển để từ đó đưa ra các
kiến nghị, đề xuất các giải pháp, kiến nghị ở tầm vi mô và vĩ mô.
16
Luận văn tốt nghiệp Nguyễn Thị Hồng Lam – K41I2
CHƯƠNG III
THỰC TRẠNG BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG
THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG NGHIỆP
VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM
3.1 HỆ THỐNG CÁC PHƯƠNG PHÁP NGHIÊN CỨU
3.1.1. Phương pháp thu thập dữ liệu :
Phiếu câu hỏi điều tra trắc nghiệm : Với số lượng 10 câu hỏi trong 1 phiếu
điều tra, các câu hỏi tập trung vào vấn đề nghiên cứu nhằm khai thác thông
tin từ ngân hàng về vấn đề đang được điều tra.
Phỏng vấn chuyên gia : Cùng với các câu hỏi đóng là các câu hỏi mở nhằm
tìm hiểu những đánh giá của các chuyên gia trong ngành về vấn đề tầm quan
trọng của bảo mật thông tin khách hàng trong giai đoạn hiện nay.
Phương pháp thu thập dữ liệu thứ cấp (qua các báo cáo kinh doanh, tài liệu
thống kê, các báo cáo hội thảo, qua Internet…)
3.1.2. Phương pháp phân tích dữ liệu và xử lý dữ liệu
Phương pháp định lượng: Sử dụng phầm mềm thống kê kết quả Excell.
Phương pháp định tính: Lập bảng tổng kết và diễn giải.
3.2 THỰC TRẠNG ỨNG DỤNG BẢO MẬT THÔNG TIN VÀO HOẠT
ĐỘNG THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG
NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM
3.2.1 Các dịch vụ ngân hàng điện tử và sản phẩm thanh toán trực
tuyến Ngân hàng Nông nghiệp và Phát triển nông thôn cung cấp cho
khách hàng
18
Copyright: Tài liệu đại học ©