Tài liệu Đề tài: Giải pháp an ninh bảo mật trong dịch vụ thanh toán điện tử tại Ngân hàng Nông nghiệp và Phát triển Nông thôn pdf

Đề tài “Giải pháp an ninh bảo mật trong dịch vụ thanh toán điện tửtại Ngân hàng Nông nghiệp và Phát triển Nông thôn” nhằm nghiên cứu vàlàm rõ thực trạng các vấn đề về an ninh bảo mật tro

Luận văn

Đề tài: Giải pháp an ninh bảo mật trong dịch vụ thanh toán điện tử tại Ngân hàng Nông nghiệp và Phát

triển Nông thôn

LỜI CÁM ƠN

Tôi xin chân thành cảm ơn các thầy, cô giáo Khoa Thương mại Điện

tử và Trường Đại học Thương mại đã tận tình giảng dạy, trang bị nhữngkiến thức quý báu trong những năm vừa qua

Đặc biệt tôi xin bày tỏ lòng cảm ơn sâu sắc đến thầy giáo, tiến sĩĐàm Gia Mạnh đã tận tình hướng dẫn chỉ bảo tôi trong quá trình thực hiện

đề tài

Tôi xin chân thành cảm ơn ban lãnh đạo và tập thể cán bộ nhân viênNgân hàng Nông nghiệp và Phát triển Nông thôn đã tạo thuận lợi cho tôitrong quá trình thực tập và thực hiện đề tài tốt nghiệp

Xin cảm ơn sự quan tâm, giúp đỡ và ủng hộ của ông, bà, cha, mẹ,các anh chị và bạn bè trong quá trình thực hiện luận văn

Hà nội, tháng 5 năm 2009 Sinh viên thực hiện

Đỗ Kim Ngân

TÓM LƯỢC

Tuy mới xuất hiện ở Việt Nam trong mấy năm gần đây nhưngthương mại điện tử đã chứng tỏ ưu thế vượt trội của mình, giúp giảm chiphí và nâng cao hiệu quả kinh doanh cho doanh nghiệp và người tiêu dùng.Việc ứng dụng thương mại điện tử vào hoạt động kinh doanh của cácdoanh nghiệp là xu thế tất yếu Chính vì thế, nhiều giao dịch hay thanh toán

đã được thực hiện hoàn toàn trên môi trường mạng, các đối tác không cầnphải gặp mặt trực tiếp, nên nhu cầu về thông tin cá nhân hay thông tin giaodịch là rất lớn Nhưng cùng với đó những vi phạm liên quan đến thông tin

cá nhân hay thông tin giao dịch cũng ngày một nhiều hơn, gây tâm lý engại cho các cá nhân, tổ chức khi tham gia giao dịch thương mại điện tử

Đề tài “Giải pháp an ninh bảo mật trong dịch vụ thanh toán điện tửtại Ngân hàng Nông nghiệp và Phát triển Nông thôn” nhằm nghiên cứu vàlàm rõ thực trạng các vấn đề về an ninh bảo mật trong thanh toán điện tửđược triển khai tại các NHTM nói chung và của Ngân hàng NN&PTNT nóiriêng Trên cơ sở các lý luận và đánh giá, khảo sát thực trạng những ưuđiểm, những tồn tại trong lĩnh vực an ninh bảo mật thanh toán điện tử tạiNgân hàng NN&PTNT, luận văn đã đề xuất một số giải pháp nhằm nângcao hiệu quả an ninh bảo mật tại ngân hàng

Với việc chọn đề tài luận văn tốt nghiệp “Giải pháp an ninh bảo mậttrong dịch vụ thanh toán điện tử tại Ngân hàng Nông nghiệp và Phát triểnNông thôn” hi vọng sẽ giải quyết được phần nào những khó khăn đang gặpphải trong dịch vụ thanh toán điện tử tại Ngân hàng NN&PTNT Tuy nhiên

do thời gian và khả năng nên còn một số vấn đề chưa được giải quyết nhưgiải pháp về việc sử dụng lược đồ bảo mật trong các hệ thống thanh toánđiện tử chưa được nghiên cứu sâu, tôi sẽ thực hiện tiếp khi có điều kiện

MỤC LỤC

LỜI CẢM ƠN i

TÓM LƯỢC ii

MỤC LỤC iii

DANH MỤC CÁC TỪ VIẾT TẮT vii

DANH MỤC BẢNG BIỂU viii

DANH MỤC HÌNH VẼ ix

CHƯƠNG I: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1

1.1 TÍNH CẤP THIẾT NGHIÊN CỨU ĐỀ TÀI 1

1.1.1 Đối với nền kinh tế 1

1.1.2 Đối với ngành ngân hàng 1

1.2 XÁC LẬP VÀ TUYÊN BỐ VẤN ĐỀ TRONG ĐỀ TÀI 2

1.3 CÁC MỤC TIÊU NGHIÊN CỨU 3

1.4 PHẠM VI NGHIÊN CỨU 4

1.5 KẾT CẤU LUẬN VĂN TỐT NGHIỆP 4

CHƯƠNG II: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN NINH VÀ BẢO MẬT TRONG DỊCH VỤ THANH TOÁN ĐIỆN TỬ 5

2.1 ĐỊNH NGHĨA, KHÁI NIỆM CƠ BẢN 5

2.1.1 Thương mại điện tử 5

2.1.2 Thanh toán điện tử 5

2.1.3 Các hệ thống thanh toán điện tử tại ngân hàng 5

2.1.4 Các phương tiện thanh toán điện tử 6

2.1.5 An ninh mạng và an ninh thanh toán thẻ 7

2.2 MỘT SỐ LÝ THUYẾT LIÊN QUAN ĐẾN AN NINH BẢO MẬT TRONG

THANH TOÁN ĐIỆN TỬ 8

2.2.1 Những yêu cầu về bảo vệ thông tin bí mật 8

2.2.2 Các biện pháp bảo mật 9

2.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU VỀ AN NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ 11

2.3.1 Hội thảo – Triển lãm Quốc gia an ninh bảo mật thông tin 2009 11

2.3.2 Tài liệu tham khảo “Bí quyết kinh doanh trên mạng” 12

2.3.3 Thông tin từ http://www.vnba.org.vn/ (Website của Hiệp hội ngân hàng Việt Nam) và website của Agribank: agribank.com.vn 13

2.3.4 Thông tin từ hội nghị tổng kết công nghệ thông tin và dự án IPCAS 18/07/2008 của agribank.com.vn 14

2.4 PHÂN ĐỊNH NỘI DUNG VẤN ĐỀ NGHIÊN CỨU CỦA ĐỀ TÀI 16

2.4.1 Tổng hợp những lý thuyết, lý luận về lĩnh vực an ninh bảo mật trong thanh toán điện tử tại NHTM 16

2.4.2 Một số các đề xuất giải pháp an ninh bảo mật sử dụng trong thanh toán điện tử 16

CHƯƠNG III: PHƯƠNG PHÁP NGHIÊN CỨU VÀ KẾT QUẢ PHÂN TÍCH THỰC TRẠNG ỨNG DỤNG CÁC GIẢI PHÁP AN NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT 18

3.1 CÁC PHƯƠNG PHÁP NGHIÊN CỨU 18

3.1.1 Phương pháp thu thập dữ liệu 18

3.1.2 Phương pháp phân tích dữ liệu 19

3.2 TỔNG QUAN TÌNH HÌNH VÀ ẢNH HƯỞNG NHÂN TỐ MÔI TRƯỜNG ĐẾN CÁC GIẢI PHÁP AN NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN

TỬ 20

3.2.1 Tổng quan tình hình an ninh bảo mật trong thanh toán điện tử 20

3.2.2 Các nhân tố môi trường ảnh hưởng đến các giải pháp an ninh bảo mật trong thanh toán điện tử 24

3.3 KẾT QUẢ PHÂN TÍCH VÀ XỬ LÝ DỮ LIỆU VỀ TÌNH HÌNH AN NINH BẢO MẬT TẠI NGÂN HÀNG NN&PTNT 27

3.3.1 Giới thiệu chung về dịch vụ thanh toán trực tuyến tại Ngân hàng NN&PTNT 27

3.3.2 Đánh giá chung về công nghệ an ninh bảo mật trong dịch vụ thanh toán điện tử tại Ngân hàng NN&PTNT 34

CHƯƠNG IV: KẾT LUẬN VÀ ĐỀ XUẤT CÁC GIẢI PHÁP AN NINH BẢO MẬT TRONG DỊCH VỤ THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT 37

4.1 KẾT LUẬN CHUNG VỀ TÌNH HÌNH AN NINH BẢO MẬT TRONG DỊCH VỤ THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT 37

4.1.1 Những kết quả đã đạt được của Ngân hàng NN&PTNT 37

4.1.2 Một số vấn đề còn tồn tại 39

4.1.3 Nguyên nhân của những tồn tại 40

4.1.4 Vấn đề cần giải quyết 40

4.2.DỰ BÁO TRIỂN VỌNG VỀ TÌNH HÌNH THỰC HIỆN CÁC GIẢI PHÁP AN NINH BẢO MẬT TẠI NGÂN HÀNG NN&PTNT 41

4.2.1 Dự báo tình hình trong thời gian tới 41

4.2.2 Định hướng phát triển của Ngân hàng NN&PTNT về an ninh bảo mật trong thanh toán trực tuyến 42

4.3 ĐỀ XUẤT, KIẾN NGHỊ ỨNG DỤNG CÁC GIẢI PHÁP AN NINH BẢO

MẬT TRONG THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT 44

4.3.1 Đề xuất các giải pháp an ninh bảo mật trong thanh toán điện tử tại Ngân hàng NN&PTNT 44

4.3.2 Các kiến nghị vĩ mô với Nhà nước 49

KẾT LUẬN 52

TÀI LIỆU THAM KHẢO 53

PHỤ LỤC 54

tại các cửa hàng, siêu thị…)

SWIFT Society for Worldwide Interbank

Financial TelecommunicationSET Secure Electionic Transaction Protocol

Bảng 2 Bảng đánh giá mức độ quan trọng các chỉ tiêu an ninh

bảo mật.

31Bảng 3 Bảng đánh giá các yếu tố môi trường 32

Hình 2 Biểu đồ thể hiện mức độ quan trọng của các chỉ tiêu

an ninh bảo mật trong thanh toán trực tuyến

31

Hình 3 Biểu đồ đánh giá các yếu tố môi trường 33Hình 4 Mô hình chính sách an ninh mạng Internet 36Hình 5 Hình ảnh website http://www.agribank.com.vn/ 38Hình 6 Mô hình máy tính sử dụng Firewall 44Hình 7 Hình ảnh bảng GnuPG đã tạo xong khóa 48

CHƯƠNG I

TỔNG QUAN VỀ NGHIÊN CỨU ĐỀ TÀI

1.1 TÍNH CẤP THIẾT NGHIÊN CỨU ĐỀ TÀI

1.1.1. Đối với nền kinh tế

Hiện nay nhờ có kỹ thuật số, cuộc sống con người được cải thiện rấtnhiều, nhanh hơn và thuận tiện hơn Thương mại điện tử trên thế giới cũng

đang có xu hướng phát triển mạnh mẽ Kỹ thuật số đã giúp con người tiếtkiệm đáng kể các chi phí như chi phí đi lại, vận chuyển trung gian, chi phígiao dịch… và đặc biệt là giúp tiết kiệm được thời gian Con người đã cóthể ngồi tại nhà để mua sắm hay thanh toán mọi thứ theo ý muốn của mình.

Nhiều giao dịch hay thanh toán đã được thực hiện hoàn toàn trên môitrường mạng, các đối tác không cần phải gặp mặt trực tiếp, nên nhu cầu vềthông tin cá nhân hay thông tin giao dịch là rất lớn Tuy nhiên cùng với đónhững vi phạm liên quan đến thông tin cá nhân hay thông tin giao dịchcũng ngày một nhiều hơn, gây tâm lý e ngại cho các cá nhân, tổ chức khitham gia giao dịch thương mại điện tử Do đó việc bảo mật trong quá trìnhthanh toán qua mạng là vấn đề chiến lược, trọng tâm trong thương mại điệntử

1.1.2. Đối với ngành ngân hàng

Ngày 8 tháng 11 năm 2008 Ngân hàng Nhà nước Việt Nam đã chínhthức đưa vào vận hành hệ thống thanh toán điện tử liên ngân hàng giaiđoạn II Cũng trong năm 2008, dịch vụ thanh toán thẻ cũng có một nămphát triển tích cực, các tổ chức ngân hàng trong nước đã phát hành khoảng13,4 triệu thẻ thanh toán với 7.051 máy rút tiền tự động (còn gọi là ATM -Automated Teller Machine), số lượng máy POS (Point of Sale – máy quẹtthẻ thanh toán tại các cửa hàng, siêu thị…) đạt trên 24.000 chiếc… cùngvới đó là sự phát triển nhảy vọt về số lượng website thương mại điện tửcung cấp dịch vụ thanh toán trực tuyến Nhưng để dịch vụ thanh toán trựctuyến phát triển mạnh mẽ như vậy không phải chỉ do bản thân các tổ chứcngân hàng mở rộng phát triển về quy mô về số lượng… mà còn do quyếtđịnh của khách hàng có muốn sử dụng hình thức thanh toán điện tử thaycho hình thức thanh toán bằng tiền mặt hay không Qua nghiên cứu và tìmhiểu tôi thấy, khi khách hàng quyết định lựa chọn hình thức thanh toán phitiền mặt, thanh toán điện tử thì vấn đề về an ninh bảo mật trong khi thanh

toán qua mạng luôn là mối quan tâm hàng đầu của họ Hiểu được mối quantâm và lo ngại của khách hàng nên Ngân hàng Nông nghiệp và Phát triểnNông thôn (NN&PTNT) đã luôn có những ưu tiên hàng đầu cho việc bảođảm an toàn hệ thống và cho khách hàng Tuy nhiên, quá trình triển khaicòn nhiều hạn chế nên Ngân hàng đã chưa đạt được hiệu quả cao Đây cũngchính là lý do tôi chọn đề tài nghiên cứu của mình là “Giải pháp an ninhbảo mật trong dịch vụ thanh toán điện tử tại Ngân hàng Nông nghiệp vàPhát triển Nông thôn”.

1.2 XÁC LẬP VÀ TUYÊN BỐ VẤN ĐỀ TRONG ĐỀ TÀI

Qua quá trình thực tập và tìm hiểu các hoạt động thanh toán trựctuyến tại Ngân hàng NN&PTNT tôi nhận thấy lượng khách hàng đến vớidịch vụ thanh toán điện tử tại Ngân hàng chưa nhiều, nguyên nhân của vấn

đề một phần là do dịch vụ thanh toán điện tử của Ngân hàng chưa đa dạng,hấp dẫn Dịch vụ thanh toán điện tử của Ngân hàng chỉ bao gồm: dịch vụthẻ ATM&POS, Mobile – banking (SMS Banking, VnTopUp, Atransfer –chuyển khoản bằng SMS) Trong thời đại ngày nay, hình thức thanh toánđiện tử ngày càng được sử dụng rộng rãi nhưng kéo theo đó là tâm lý longại của khách hàng, sợ bị kẻ gian trên mạng sử dụng những kỹ xảo tinh vicủa chúng để lấy được các mật mã và thông tin cá nhân của khách hàng,sau đó dùng những thông tin đó để chiếm đoạt tài sản của họ Để kháchhàng yên tâm, tin tưởng và sử dụng dịch vụ thanh toán điện tử của mình,các tổ chức tài chính ngân hàng đã không ngừng sử dụng các giải pháp anninh bảo mật tiên tiến nhất để bảo vệ cho khách hàng của họ Trên thế giới

và ngay ở Việt Nam đã có rất nhiều tổ chức tài chính ngân hàng thành côngtrong việc áp dụng các phần mềm an toàn bảo mật Cho nên việc tìm hiểu

và học tập họ rồi từ đó rút ra những giải pháp phát triển hệ thống an ninhbảo mật trong dịch vụ thanh toán điện tử tại Ngân hàng NN&PTNT để dịch

vụ thanh toán điện tử của ngân hàng ngày càng phát triển là một việc cầnthiết.

Đề tài này tập trung nghiên cứu các vấn đề liên quan tới các giảipháp an ninh bảo mật tại các tổ chức tài chính và ngân hàng thương mại(NHTM) nói chung và của Ngân hàng NN&PTNT nói riêng Đồng thời,cũng đưa ra các đề xuất nhằm cải thiện hơn nữa tình hình an ninh bảo mậttrong dịch vụ thanh toán điện tử tại Ngân hàng Nông nghiệp & Phát triểnNông thôn

1.3 CÁC MỤC TIÊU NGHIÊN CỨU

Mục tiêu nghiên cứu của luận văn là phân tích các vấn đề liên quanđến an ninh bảo mật trong dịch vụ thanh toán điện tử của các tổ chức ngânhàng để từ đó rút ra bài học kinh nghiệm và đưa ra những giải pháp an ninhbảo mật cho dịch vụ thanh toán điện tử tại Ngân hàng NN&PTNT

Mục tiêu của luận văn tập trung vào các vấn đề sau:

- Nghiên cứu kiến thức về an ninh bảo mật trong thanh toán điện tử củangân hàng

- Làm rõ vấn đề về an ninh thanh toán trực tuyến và thực trạng tình hình

an ninh bảo mật trong thanh toán điện tử của Ngân hàng NN&PTNT

- Tìm hiểu và nghiên cứu thêm về các giải pháp an ninh bảo mật của các

tổ chức ngân hàng thương mại khác trong và ngoài nước

- Đề xuất giải pháp an ninh bảo mật trong thanh toán tại Ngân hàngNN&PTNT

1.4 PHẠM VI NGHIÊN CỨU

Luận văn tập trung nghiên cứu về tình hình thanh toán điện tử (haythanh toán trực tuyến) tại Ngân hàng Nông nghiệp & Phát triển Nông thôn,đặc biệt là trên website: http://www.agribank.com.vn trong các năm 2006

đến năm 2008, các sự cố do gian lận hay lỗi mạng trong quá trình thực hiệncác giao dịch thanh toán điện tử tại các tổ chức tài chính ngân hàng và cácbiện pháp khắc phục sửa chữa của họ Việc tìm hiểu nghiên cứu thực trạngcủa vấn đề này sẽ giúp đề xuất ra được hướng các giải pháp về an ninh bảomật hiệu quả cho quá trình thực hiện thanh toán điện tử tại Ngân hàngNN&PTNT trong tương lai khoảng 3 đến 5 năm tới.

Đề tài này được tôi nghiên cứu và thực hiện trong thời gian 3 tháng

từ ngày 16 tháng 2 năm 2009 đến ngày 4 tháng 5 năm 2009

1.5 KẾT CẤU LUẬN VĂN TỐT NGHIỆP

Ngoài phần mở đầu, tóm tắt, mục lục, kết luận, danh mục tài liệutham khảo, luận văn tốt nghiệp bao gồm bốn chương sau:

 Chương I : Tổng quan về nghiên cứu đề tài

 Chương II : Một số vấn đề lý luận cơ bản về an ninh bảo mật trong

dịch vụ thanh toán điện tử

 Chương III : Phương pháp nghiên cứu và kết quả phân tích thực

trạng ứng dụng các giải pháp an ninh bảo mật trongthanh toán điện tử tại Ngân hàng NN&PTNT

 Chương IV : Kết luận và đề xuất các giải pháp an ninh bảo mật

trong dịch vụ thanh toán điện tử tại Ngân hàngNN&PTNT

CHƯƠNG II

MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN NINH VÀ BẢO MẬT

TRONG DỊCH VỤ THANH TOÁN ĐIỆN TỬ

2.1. ĐỊNH NGHĨA, KHÁI NIỆM CƠ BẢN

2.1.1. Thương mại điện tử

Thương mại điện tử (TMĐT - Electronic Commerce) là một kháiniệm dùng để chỉ quá trình mua và bán một sản phẩm (hữu hình) hoặc dịch

vụ (vô hình) thông qua một mạng điện tử, phương tiện trung gian phổ biếnnhất của thương mại điện tử là Internet Qua môi trường mạng, người ta cóthể thiết lập giao dịch, thanh toán, mua bán bất cứ sản phẩm gì từ hàng hóacho đến dịch vụ, kể cả dịch vụ ngân hàng.

2.1.2. Thanh toán điện tử

Thanh toán điện tử (Electronic Payment) là việc thanh toán tiềnthông qua thông điệp điện tử Sự hình thành và phát triển của TMĐT đãhướng thanh toán điện tử mở rộng sang các lĩnh vực mới đó là: trao đổi dữliệu tài chính, tiền mặt Internet, túi tiền điện tử hay két điện tử, thẻ thôngminh, giao dịch ngân hàng số hóa

2.1.3. Các hệ thống thanh toán điện tử tại ngân hàng

 Hệ thống thanh toán điện tử nội bộ trong cùng hệ thống ngân hàng

Chuyển tiền điện tử trong hệ thống ngân hàng là nghiệp vụ chuyểntiền, thanh toán cho các khách hàng trong cùng hệ thống, chuyển vốn giữacác chi nhánh trong nội bộ ngân hàng, do đó không làm thay đổi tổngnguồn vốn của hệ thống ngân hàng Việc chuyển và hoàn tất một lệnhthanh toán được thực hiện thông qua mạng máy tính trong nội bộ ngânhàng

 Hệ thống thanh toán điện tử liên ngân hàng

Hệ thống thanh toán điện tử liên ngân hàng là hệ thống thanh toángiữa hai hay nhiều NHTM hay chi nhánh NHTM trong và ngoài hệ thống,trên cùng địa bàn hoặc khác địa bàn Hệ thống này được thể hiện dưới haihình thức: thanh toán song biên giữa hai ngân hàng và thanh toán điện tửliên ngân hàng

 Hệ thống thanh toán liên ngân hàng quốc tế qua SWIFT

Society for Worldwide Interbank Financial Telecommunication (viếttắt là SWIFT) là một tổ chức hoạt động theo đạo luật của Bỉ, hoạt độngkhông vì lợi nhuận, cung cấp cho các ngân hàng thành viên một mạng riêng

để chuyển giao dữ liệu trên phạm vi toàn cầu Mục đích hoạt động củaSWIFT là chuyển những thông tin thanh toán, giá thành hạ, an toàn, nhanhchóng, không dùng chứng từ giữa ngân hàng với ngân hàng Mọi thông tincủa SWIFT đều được mật mã hóa mà chỉ những người có phận sự mớiđược tiếp nhận

 Hệ thống ngân hàng điện tử và dịch vụ E-Banking

Ngân hàng điện tử được hiểu là các nghiệp vụ, sản phẩm dịch vụngân hàng truyền thống trước đây được phân phối trên kênh mới nhưInternet, điện thoại, mạng không dây và các phương tiện điện tử khác

2.1.4. Các phương tiện thanh toán điện tử

 Các loại thẻ

- Thẻ thanh toán: là một phương tiện thanh toán không dùng tiền mặt,

mà người sở hữu thẻ có thể sử dụng để rút tiền mặt tại các máy ATM,các quầy dịch vụ của ngân hàng, đồng thời để thanh toán tiền hàng hóadịch vụ tại các cơ sở chấp nhận thẻ

- Thẻ tín dụng (Visa hay MasterCard): Thanh toán bằng thẻ tín dụng

được coi là phương thức thanh toán đặc trưng nhất của các giao dịchtrên Internet Đây là một hình thức thanh toán nhanh và tiện lợi nhất.Ngoài ra, nó còn đáp ứng được yêu cầu về đầu tiên khi kinh doanh trênInternet đó là khả năng đến được với thông tin, sản phẩm dịch vụ mộtcách nhanh nhất

- Thẻ ghi nợ: Khi quá trình thanh toán được thực hiện bằng thẻ ghi nợ,

tiền trong tài khoản của người mua ngay lập tức bị rút ra khi giao dịchđược ấn định Với người bán, họ có thể biết chắc chắn hơn người mua

có tiền để mua hàng thực sự hay không Còn đối với người mua, việcthanh toán sẽ được thực hiện ngay lập tức cho từng giao dịch, vì vậytránh được những “cú sốc” thấu chi thẻ tín dụng khi ngân hàng gửi cácbản kê đến.

 Sec trực tuyến

Sec trực tuyến hay còn được gọi là sec điện tử thực chất là một loại

“sec ảo”, cho phép người mua thanh toán bằng sec qua mạng Internet.Người mua sẽ điền vào form (giống như quyển sec được hiển thị trên mànhình) các thông tin về ngân hàng, ngày giao dịch và giá trị của giao dịch,sau đó nhấn nút “send” để gửi đi Các thông tin này được chuyển đến chonhà cung cấp hoặc một trung tâm giao dịch mà nhà cung ứng lựa chọn.2.1.5. An ninh mạng và an ninh thanh toán thẻ

 An ninh mạng

An ninh mạng có thể được định nghĩa là việc bảo vệ một mạng khỏibất kỳ sự phá hoại nào An ninh mạng là yêu cầu bắt buộc đối với bất kỳcông ty nào có ý định sử dụng Internet và triển khai các giao dịch điện tử

Có thể hiểu đơn giản vấn đề an ninh mạng như một trò chơi lật đật, ở đómột mặt là mạng của công ty, mặt kia là phần còn lại của thế giới trựctuyến và an ninh đứng giữa để cân bằng hai phía Do đó có thể thấy rằng,bất cứ khi nào có một sự thay đổi xảy ra đối với một phía của trò chơi, anninh ở giữa phải thay đổi để duy trì sự cân bằng Ngày nay với sự thay đổinhanh chóng của công nghệ kỹ thuật nên việc đòi hỏi thay đổi hệ thống anninh mạng cũng trở nên cấp bách hơn bao giờ hết

 An ninh thanh toán thẻ

An ninh thanh toán thẻ có thể được hiểu là việc bảo vệ hệ thốngthanh toán không dùng tiền mặt bao gồm việc bảo mật các thông tin, dữliệu, tài sản…liên quan đến các chủ thể tham gia trong hệ thống thanh toán

thẻ và việc đảm bảo cho các giao dịch trong thanh toán trực tuyến đượchoàn thành thành công.

Mục tiêu của an ninh thanh toán thẻ là để:

- Xác nhận người giữ thẻ, người bán, người chấp nhận thẻ

- Đảm bảo sự bí mật của các số liệu thanh toán

- Đảm bảo tính chân thực của các dữ liệu thanh toán

- Xác định lệnh giải mã và các nghi thức cần thiết cho an ninh

2.2 MỘT SỐ LÝ THUYẾT LIÊN QUAN ĐẾN AN NINH BẢO MẬT

TRONG THANH TOÁN ĐIỆN TỬ

2.2.1. Những yêu cầu về bảo vệ các thông tin bí mật

 Đảm bảo dữ liệu

Đảm bảo dữ liệu có nghĩa là thông tin trên mạng của bạn được đảmbảo khỏi các cuộc tấn công bên ngoài, không bị phân quyền tiếp cận sửdụng và đảm bảo rằng việc sử dụng mạng hàng ngày không phá hỏng mộtcách không cố ý các thông tin đã được lưu giữ

 Đảm bảo sự an toàn của mạng

Đảm bảo sự an toàn của mạng là một vấn đề an ninh của hệ thốngmạng nhằm duy trì hoạt động, cấu trúc vô hình (hoặc vô định hình) với kẻtấn công Đó được hiểu như là sự kiểm soát các trục trặc và có khả năngbảo trì, sao lưu, vá lỗi, nâng cấp các dữ liệu hay kĩ thuật trong khi mạngđang hoạt động bình thường

Các phần mềm an ninh có thể hoạt động như là một hệ thống cảnhbáo để nhắc nhở các nhà quản lý mạng việc nhận dạng vấn đề hoặc trục

trặc hệ thống trước khi chúng trở thành vấn đề nghiên trọng An ninh mạngcũng có thể hỗ trợ trong việc sửa chữa các vấn đề mà không cần phải dừngtoàn bộ hệ thống.

2.2.2. Các biện pháp bảo mật

a Mã hóa

Mã hóa là một quá trình làm cho các thông điệp không thể đọc được,ngoại trừ bởi những người có một khóa giải mã được cho phép sử dụng.Mục tiêu của việc mã hóa là nhằm bảo vệ các thông tin nhậy cảm Có haiphương pháp mã hóa cơ bản được sử dụng hiện nay là:

 Mã hóa khóa bí mật (còn gọi là mã hóa đối xứng) là một hệ thống bảomật dựa trên một khóa bí mật đơn Do sử dụng cùng một khóa để mãhóa và giải mã thông điệp nên người gửi và người nhận thông điệp phảichia sẻ bí mật, gọi là chìa khóa

 Mã hóa khóa công cộng (còn gọi là mã hóa không đối xứng) sử dụnghai loại khóa khác nhau: một khóa công khai và một khóa riêng (mộtkhóa để mã hóa thông điệp và khóa kia để giải mã thông điệp) Haikhóa có mối quan hệ về măt toán học do đó các dữ liệu được mã hóavới bất cứ khóa nào chỉ có thể được giải mã bằng cách sử dụng khóakia

b Chữ ký số

Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc ápdụng mã hóa khóa công khai ngược lại Để tạo một chữ ký số, một ngườigửi mã hóa thông điệp với chìa khóa riêng của ông ta Trong trường hợpnày, bất cứ người nào có khóa công khai của ông đều có thể đọc đượcthông điệp đó và người nhận cũng có thể tin chắc rằng người gửi thực sự làtác giả của thông điệp Một chữ ký số thường được gắn kèm với thông

điệp được gửi, cũng giống như chữ ký viết tay Tính chân thực và việc xácnhận được đảm bảo bằng việc sử dụng chữ ký số.

c Các chứng thực (xác nhận)

Một chứng thực thường ngụ ý nói đến việc xác nhận về nhân thânđược phát hành bởi một cơ quan chứng thực bên thứ ba đáng tin cậy Mộtchứng thực bao gồm các bản ghi các thông tin như số sêri, tên người chủ sởhữu, các chìa khóa công khai của người chủ sở hữu (một cho việc trao đổikhóa bí mật với tư cách là người nhận và một cho chữ ký số với tư cáchngười gửi), một thuật toán sử dụng những khóa này, loại hình chứng thực(người chủ sở hữu thẻ, người kinh doanh, hay một cổng thanh toán), têncủa bên thứ ba và chữ ký của họ Việc chứng thực được củng cố thêm bằngviệc sử dụng các giấy tờ chứng nhận

d Tường lửa (Fire – Wall)

Một bức tường lửa là phần mềm bắt buộc giữa các mạng, nó là phầnmềm đảm bảo an ninh mạng dựa trên giao thông

Chức năng cơ bản của tường lửa là làm hẹp lối vào mạng tại mộtđiểm đơn và sau đó kiểm soát các thông tin vào và ra khỏi mạng

Tường lửa đưa ra các tiêu chuẩn đối với các gói tin, quyết định chấpnhận hay từ chối vận chuyển gói tin, ấn định điểm đến và đường đi của góitin

e Các giao thức giao dịch điện tử bảo mật

 SET ( Secure Electionic Transaction Protocol) – Giao dịch điện tử an toàn: Đây là tiêu chuẩn bảo mật mới nhất trong Thương mại điện tử,

được phát triển bởi một tập đoàn các công ty thẻ tín dụng lớn như Visa,MasterCard và American Express cũng như các ngân hàng, các công tybuôn bán trên mạng và các hãng thương mại khác nhằm làm tăng khảnăng an toàn cho các giao dịch trên Internet

 SSL ( Secure Socket Layer) – Cơ chế bảo mật SSL: Để đảm bảo rằng

khách hàng của bạn được bảo vệ khi họ nhập thông tin thẻ tín dụng vàotrang bán hàng của bạn, payment gateway sẽ sử dụng SSL để bảo vệ cácthông tin cá nhân bao gồm cả số thẻ tín dụng khi chuyển sang paymentgateway Nếu máy phục vụ của bạn không hỗ trợ SSL thì trang bánhàng của bạn sẽ do máy phục vụ nhà cung cấp payment gateway quản lý

mà không mất thêm chi phí nào

 Giao thức giao dịch điện tử bảo mật SET và giao thức SSL trong thanhtoán điện tử đều là những giải pháp hoàn hảo cho thanh toán điện tử antoàn Chúng đều đáp ứng được 4 yêu cầu về bảo mật cho TMĐT là: sựxác thực, mã hóa, tính chân thực và không thoái thác Tuy nhiên hiệnnay, giao thức SSL đang được sử dụng rộng rãi hơn giao thức SET,nguyên do là giao thức SSL đơn giản và dễ sử dụng hơn

2.3. TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU VỀ AN NINH BẢO MẬT

TRONG THANH TOÁN ĐIỆN TỬ

2.3.1. Hội thảo – Triển lãm Quốc gia an ninh bảo mật thông tin 2009

(Nguồn được trích từ website: http://www.tapchibcvt.gov.vn )

VNCERT – Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã đưa

ra được kết quả khảo sát về tình hình an ninh bảo mật thông tin tại ViệtNam trong năm 2008, đặc biệt trong lĩnh vực CNTT, tài chính – ngân hàngđang ngày càng đáng báo động và có thể diễn biến phức tạp trong năm tới

Có trên 50% các cơ sở lỏng lẻo, chưa có quy chế an toàn thông tin; chưa cóquy trình ứng phó Các quy trình báo cáo sự cố chưa đầy đủ và chưa sửdụng nhiều hỗ trợ của lực lượng chuyên nghiệp; công nghệ lạc hậu; trình

độ hiểu biết và khả năng đánh giá nguy cơ thấp; khó khăn được kể lớn nhấtvẫn ở khâu nhận thức và trình độ chuyên nghiệp

Thực trạng đó đặt ra nhu cầu bức thiết về chiến lược tổng thể và kếhoạch cụ thể nhằm đảm bảo an ninh bảo mật thông tin Để tìm giải phápcho vấn đề này, Hội thảo đã đưa ra 4 nội dung chính:

 Chiến lược và quy hoạch an toàn thông tin quốc gia và nền tảng côngnghệ cho đảm bảo an ninh trật tự xã hội

 Chiến lược an toàn thông tin cho doanh nghiệp và tổ chức

 Bảo mật mạng và an toàn dữ liệu

 Chứng thực số và chữ ký điện tử

2.3.2. Tài liệu tham khảo “Bí quyết kinh doanh trên mạng”

Thanh toán trực tuyến là một trong những vấn đề cốt yếu củaTMĐT Thiếu hạ tầng thanh toán, chưa thể có TMĐT theo đúng nghĩa của

nó Phương pháp thanh toán trực tuyến trên Internet cho TMĐT B2C phổbiến nhất là thẻ tín dụng Tuy nhiên, một mối lo ngại cho khách hàng là vấn

đề an ninh khi gửi những thông tin về thẻ tín dụng, bao gồm tên, số thẻ,ngày hết hiệu lực Người mua còn lo ngại về vấn đề bảo vệ riêng tư Họkhông muốn người khác biết họ là ai, hay họ mua gì Họ cũng muốn tinchắc rằng không ai thay đổi hóa đơn đặt hàng của họ và rằng họ đang liên

hệ với người bán hàng thực sự và không phải một người giả danh

Hiện nay, nhiều công ty sử dụng giao thức SSL để cung cấp sự bảomật và bảo vệ riêng tư Giao thức này cho phép khách hàng mã hóa đơn đặthàng tại máy tính cá nhân của họ Tuy nhiên, giao thức này không cung cấpcho khách hàng mọi sự bảo vệ mà họ có thể có

Visa và MasterCard đã cùng nhau phát triển một giao thức an toànhơn, được gọi là giao thức SET Về mặt lý thuyết, đó là một giao thức hoànhảo Tuy nhiên SET không phổ biến nhanh như nhiều người mong đợi dotính phức tạp: thời gian phản hồi chậm và sự cần thiết phải cài đặt ví số ởmáy tính của khách hàng Nhiều ngân hàng ảo, cửa hàng điện tử duy trì

giao thức SSL, thậm chí Wal – Mart Online đi theo cả hai giao thức SSL vàSET Ngoài ra, theo một cuộc khảo sát do Forrest Research thực hiện chỉ

có 1% kế hoạch kinh doanh điện tử di chuyển sang SET

2.3.3. Thông tin từ http://www.vnba.org.vn/ (Website của Hiệp hội ngân

hàng Việt Nam) và website của Agribank: agribank.com.vn

Từ ngày 1/7/2008, Ngân hàng NN&PTNT (Agribank) đã chính thứctriển khai sản phẩm chuyển tiền điện tử qua tin nhắn SMS từ điện thoại diđộng, đồng thời tiếp tục thực hiện dịch vụ nạp tiền qua thuê bao trả trước(dịch vụ VnTopup) qua mạng Sfone nhưng đến nay dịch vụ đã được ápdụng với hầu hết các mạng di động trả trước như: VinaPhone, Viettel, E-Mobile (EVN Telecom)…

Với sản phẩm ATransfer khách hàng có tài khoản thanh toán trong

hệ thống IPCAS của Agribank có thể chuyển tiền qua tin nhắn của tất cảcác mạng di động tới người thụ hưởng là khách hàng cùng có tài khoảnthanh toán trong hệ thống IPCAS của Agribank Mức chuyển tiền tối đa 01lần chuyển là 2 triệu VND, và tối đa 01 ngày lên tới 10 triệu VND

Hệ thống IPCAS có thể tích hợp toàn bộ các ứng dụng nghiệp vụngân hàng trong một hệ thống đồng nhất nên nó có khả năng vừa cung cấpcác sản phẩm và dịch vụ của một ngân hàng thương mại truyền thống, vừađưa ra các sản phẩm và dịch vụ mới của một ngân hàng thương mại hiệnđại, từ đó cung cấp cho khách hàng nhiều dịch vụ mới, tiện ích hơn Vớicác sản phẩm, dịch vụ đã cung cấp, khách hàng chỉ cần có một chiếc máyđiện thoại di động là có thể thực hiện được một số giao dịch với ngân hàngnhư: Chuyển tiền, vắn tin tài khoản, nạp tiền vào tài khoản điện thoại điđộng…

IPCAS cho phép giao dịch 24h/ngày vì vậy cho phép khách hàng cóthể thực hiện giao dịch thẻ với ngân hàng tại bất cứ thời điểm nào trong

ngày, đồng thời khả năng giao dịch đa chi nhánh giúp khách hàng có thểgửi, rút tiền nhiều nơi, tiết kiệm thời gian, hạn chế rủi ro trong giao dịch.

Không chỉ mang lại nhiều tiện ích cho khách hàng, IPCAS còn giúpviệc quản lý và điều hành trở nên trôi chảy và kịp thời hơn, giúp hoạt độngngân hàng phù hợp với chuẩn và thông lệ quốc tế

2.3.4. Thông tin từ hội nghị tổng kết công nghệ thông tin và dự án

IPCAS 18/07/2008 của agribank.com.vn

Tại Hội nghị, Phó Tổng Giám đốc Phạm Thanh Tân đã trình bầy bảnbáo cáo đánh giá hoạt động CNTT năm 2008, những kết quả kinh nghiệmtriển khai dự án IPCAS và kế hoạch tiếp theo lộ trình hiện đại hóa ngânhàng của Agribank

Với mục tiêu xây dựng mô hình kinh doanh đa chức năng như môhình ngân hàng hiện đại, quản lý và kinh doanh tập trung, tích hợp cáccông cụ quản lý, hỗ trợ đa kênh thanh toán, tích hợp các dịch vụ ngân hàngmới, thời gian qua Agribank đã triển khai thí điểm IPCAS cho một số chinhánh loại 1, loại 2 và bước đầu đã có hiệu quả như tạo nền tảng để triểnkhai nhiều dịch vụ ngân hàng và đáp ứng các thông lệ quốc tế, giảm laođộng thủ công, tăng cường tiện ích dịch vụ và khả năng cạnh tranh về dịch

vụ ngân hàng trên địa bàn chi nhánh

Bên cạnh đó hệ thống chuyển tiền điện tử, kết nối hệ thốngBanknets – Smartlink đa dạng các loại thể, triển khai các sản phẩm dịch vụnhư dịch vụ SMS Banking, Vntopup, kết nối thanh toán với công ty chứngkhoán, gửi, rút tiền nhiều nơi, hệ thống Bill Payment kết nối và thực hiêndịch vụ thanh toán hóa đơn giữa Agribank và nhà cung cấp dịch vụ khôngnhững mang đến tính tiện ích sử dụng cho khách hàng mà còn nâng cao vịthế của Agribank

Theo Phó Tổng Giám đốc Phạm Thanh Tân thì kế hoạch triển khaigiai đoạn II của IPCAS sẽ tập trung vào công nghệ thông tin và hệ thống;thông tin khách hàng; thẻ; quản lý Ngân sách, quản lý nhân sự, quản lý tàisản, quản lý tiền lương, thông tin quản lý.

Kết luận: Nhìn chung trong thời gian qua, lĩnh vực an ninh bảo mật

trong thanh toán điện tử đã đạt được một số thành tựu: nhiều NHTM và cáccông ty trực tuyến đã sử dụng giao thức bảo mật SSL và SET để cung cấp

sự bảo mật và bảo vệ riêng tư cho khách hàng, khi khách hàng tiến hành

mã hóa đơn hàng tại máy tính cá nhân của họ; đặc biệt với việc tiếp tụctriển khai phần mềm IPCAS giai đoạn II, Agribank đã đưa ra sản phẩmchuyển tiền điện tử qua tin nhắn SMS từ điện thoại di động cùng hàng loạtcác dịch vụ ngân hàng hiện đại, nhờ đó khách hàng có thể giao dịch24h/ngày còn hoạt động của Ngân hàng NN&PTNT thì ngày càng phù hợpvới tiêu chuẩn và thông lệ quốc tế

Tuy nhiên, bên cạnh những thành tựu đã đạt được thì lĩnh vực anninh bảo mật trong thanh toán điện tử ở Việt Nam vẫn còn nhiều hạn dothiếu cơ sở hạ tầng thanh toán, công nghệ thông tin thì lạc hậu, cùng với đó

là khả năng nhận thức và trình độ chuyên nghiệp của đội ngũ nhân viênchưa cao đã làm cho quy trình ứng phó hay báo cáo sự cố còn gặp nhiềuhạn chế Tóm lại, tình hình an ninh bảo mật trong ngành tài chính – ngânhàng nói chung và trong lĩnh vực thanh toán trực tuyến nói riêng ở ViệtNam đang ngày càng đáng báo động Chính vì vậy xu hướng tập trung triểnkhai vào lĩnh vưc công nghệ thông tin đặc biệt là công nghệ an ninh bảomật đều được các chuyên gia và các nhà quản lý đề cập tới trong các nămtiếp theo

2.4. PHÂN ĐỊNH NỘI DUNG VẤN ĐỀ NGHIÊN CỨU CỦA ĐỀ TÀI

2.4.1. Tổng hợp những lý thuyết, lý luận về lĩnh vực an ninh bảo mật

trong thanh toán điện tử tại NHTM

 Khái quát các vấn đề lý luận của an ninh bảo mật trong thanh toán trựctuyến tại ngân hàng Đây là nền tảng để vận dụng, triển khai việc bảomật thông tin hay giao dịch trực tuyến cho khách hàng và ngân hàngtrước môi trường công nghệ đang ngày càng phát triển.

 Điều tra, thu thập dữ liệu thứ cấp, sơ cấp liên quan đến vấn đề an ninhbảo mật trong thanh toán trực tuyến tại Ngân hàng NN&PTNT

 Phân tích xử lý các dữ liệu thu thập được, tổng hợp thành thông tin cầnthiết phục vụ cho đề tài nghiên cứu

 Qua việc nghiên cứu, phân tích thực trạng an ninh bảo mật trong thanhtoán trực tuyến tại Ngân hàng NN&PTNT để phát hiện ra những vấn đềcòn tồn tại chưa được giải quyết, chưa phát triển để từ đó đưa ra cáckiến nghị, đề xuất các giải pháp, kiến nghị ở tầm vi mô và vĩ mô

2.4.2. Một số các đề xuất giải pháp an ninh bảo mật sử dụng trong

thanh toán điện tử

2.4.2.1 Lựa chọn an ninh bức tường lửa

Một bức tường lửa là phần mềm bắt buộc giữa các mạng Chức năng

cơ bản là làm hẹp lối vào mạng tại một thời điểm đơn và sau đó kiểm soátcác thông tin vào và ra khỏi mạng Qua đánh giá tường lửa sẽ quyết địnhliệu nó nên cho phép thông tin đi qua hay từ chối Như vậy ngân hàng sẽhạn chế được những cuộc tấn công phá hoại từ bên ngoài

2.4.2.2. Lược đồ bảo mật trong các hệ thống thanh toán điện tử

Bốn yêu cầu về bảo mật trong thanh toán điện tử an toàn:

- Xác thực: một phương pháp kiểm tra nhân thân của người mua trướckhi việc thanh toán được chứng thực

- Mã hóa: quá trình làm cho thông điệp không thể giải đoán được ngoạitrừ bởi một người có một khóa để giải mã được cho phép sử dụng.

- Tính toàn vẹn: bảo đảm rằng thông tin sẽ không bị vô tình hay ác ý thayđổi hay phá hỏng trong quá trình truyền đi

- Tính không thoái thác: bảo vệ chống lại sự từ chối của khách hàng đốivới những đơn đặt hàng đã đặt và sự từ chối của người bán hàng đối vớinhững khoản thanh toán đã được trả

Đối với Ngân hàng NN&PTNT thì triển khai thêm hệ thống thanhtoán điện tử là mã hóa công cộng và chữ ký số là phù hợp với nhu cầu củakhách hàng và xu thế phát triển của thế giới Vì TMĐT đang ngày mộtphát triển mạnh mẽ và khách hàng thì ngày càng muốn được sử dụng cácdịch vụ thanh toán điện tử hiện đại và an toàn hơn

2.4.2.3 Đào tạo và nâng cao chất lượng trình độ chuyên môn và trách

nhiệm cho đội ngũ cán bộ nhân viên ngân hàng

- Bên cạnh việc đầu tư cở sở hạ tầng kỹ thuật, công nghệ thông tin thìđào tạo, nâng cao chất lượng chuyên môn cho đội ngũ cán bộ nhân viêncủa Ngân hàng NN&PTNT cũng rất cần thiết

- Ngân hàng cần chỉ rõ trách nghiệm và nghĩa vụ cho nhân viên của mìnhtrong quá trình thực hiện các giao dịch thanh toán điện tử để tránh xảy

ra nhầm lẫn khiến kẻ xấu lợi dụng chiếm đoạt tài sản của khách hàng vàcủa Ngân hàng

CHƯƠNG III

PHƯƠNG PHÁP NGHIÊN CỨU VÀ KẾT QUẢ PHÂN TÍCH THỰC TRẠNG ỨNG DỤNG CÁC GIẢI PHÁP AN NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT

3.1 CÁC PHƯƠNG PHÁP NGHIÊN CỨU

3.1.1 Phương pháp thu thập dữ liệu

* Phương pháp định lượng:

Công cụ được sử dụng trong phương pháp là khảo sát bằng phiếu

điều tra Tiến hành phát 10 phiếu điều tra trắc nghiệm cho 10 nhân viên tại

Sở giao dịch Ngân hàng NN&PTNT

Số phiếu đã phát : 10 phiếu

Số phiếu thu về : 10 phiếu

Mục đích của việc điều tra bằng phiếu điều tra trắc nghiệm là giúpquá trình nghiên cứu có cái nhìn khách quan nhất về tình hình an ninh bảomật tại Ngân hàng NN&PTNT Qua đó có thể đánh giá tổng quan nhất vàđưa ra các giải pháp áp dụng các vấn đề đã được học vào thực tế nghiêncứu

* Phương pháp định tính:

Công cụ được sử dụng trong phương pháp này là phỏng vấn trựctiếp Phỏng vấn là đưa ra những câu hỏi với người đối thoại để thu thậpthông tin Phỏng vấn có thể được tổ chức có cấu trúc, nghĩa là ngườinghiên cứu hỏi các câu hỏi được xác định rõ ràng hoặc phỏng vấn khôngtheo cấu trúc, nghĩa là người nghiên cứu cho phép một số các câu hỏi của

họ được trả lời (hay dẫn dắt) theo ý muốn của người trả lời

Số lượng người được phỏng vấn: 1 người

Quá trình phỏng vấn giúp tiếp cận được với nhân viên của công ty,qua đó sẽ có cái nhìn sâu sắc hơn về vấn đề nghiên cứu Buổi phỏng vấndiễn ra thành công dựa trên sự hợp tác chân thành từ phía Ngân hàngNN&PTNT Mục đích của buổi phỏng vấn nhằm giải quyết một số vấn đề

cấp thiết về tình hình an ninh bảo mật trong thanh toán điện tử tại Ngânhàng mà phiếu điều tra chưa giải quyết được

Ngoài ra, trong quá trình thực tâp và làm luận văn tiến hành quan sáttrực tiếp qúa trình làm việc của các nhân viên, đồng thời thu thập một số dữliệu từ tham khảo tài liệu thứ cấp tại Ngân hàng NN&PTNT, cùng một sốcác bài báo, bài viết về tình hình an ninh bảo mật hay dịch vụ thanh toánđiện tử tại Ngân hàng NN&PTNT để xây dựng cơ sở luận cho đề tài nghiêncứu của mình

3.1.2 Phương pháp phân tích dữ liệu

Qua việc sử dụng phương pháp thu thập số liệu từ những thựcnghiệm như: quan sát thực tế quá trình làm việc tại Ngân hàng NN&PTNT,phỏng vấn tìm hiểu chuyên sâu, phát phiếu điều tra trắc nghiệm tới một sốnhân viên và nhà quản lý Tôi đã tiến hành sử dụng phương pháp phân tíchthống kê, tổng hợp, so sánh các dữ liệu thu được để đưa ra những kết luận

có liên quan đến lĩnh vực an ninh bảo mật trong thanh toán điện tử tại đây

Ngoài ra, so sánh trang web http://www.agribank.com.vn của Ngânhàng với các trang web khác thông qua phân tích các bảng số liệu thu thậpđược về số lượng khách hàng mở tài khoản tại ngân hàng, số lượng dịch vụcung ứng trực tiếp trên trang web và số lượng những sự cố giao dịch, thanhtoán trực tuyến liên quan đến tình hình an ninh bảo mật tại Ngân hàngNN&PTNT

Từ kết quả phân tích dữ liệu, rút ra kết luận về tình hình an ninh bảomật trong thanh toán trực tuyến tại Ngân hàng NN&PTNT, sau đó tìm racác giải pháp an ninh bảo mật trong thanh toán trực tuyến cho phù hợp

3.2 TỔNG QUAN TÌNH HÌNH VÀ ẢNH HƯỞNG NHÂN TỐ MÔI

TRƯỜNG ĐẾN CÁC GIẢI PHÁP AN NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ

3.2.1 Tổng quan tình hình an ninh bảo mật trong thanh toán điện tử

 Tình hình chung về xu thế phát triển của thanh toán TMĐT

(Nguồn từ website: http://www.vntrades.com/ )

Theo nhận định của ông Trần Hữu Linh - Phó cục trưởng CụcTMĐT và Công nghệ thông tin (Bộ Công thương) tại Diễn đàn và Triểnlãm về phát triển thanh toán trực tuyến trong thương mại điện tử (VPO2009) diễn ra ngày 16.3 vừa qua tại Hà Nội thì có 65% người tiêu dùng cótìm hiểu thông tin về sản phẩm trước khi mua, 27% các hoạt động mua sắm

có ảnh hưởng từ internet, cộng thêm số người sử dụng internet hiện chiếmtới 25% dân số, Việt Nam hiện đang có những thuận lợi lớn trong việc pháttriển TMĐT trong đó có thanh toán trực tuyến

Báo cáo về tình hình TMĐT Việt Nam 2008 của Bộ Công thươngcho thấy, có tới 88% DN cho phép nhận đơn hàng bằng phương tiện điện

tử, 45% DN có website và 35% doanh nghiệp có doanh thu trên 15% nhờTMĐT Những con số này cho thấy nhu cầu bức thiết trong lĩnh vực nàycủa các DN Việt Nam Đã đến lúc các DN, đặc biệt là các DN vừa và nhỏnên tích hợp chức năng thanh toán điện tử vào website của mình Tuynhiên, những vấn đề còn tồn tại như việc thanh toán bằng tiền mặt vẫn cònphổ biến, an ninh bảo mật cho hạ tầng viễn thông còn hạn chế, các tiện íchthanh toán điện tử chưa phong phú cũng ảnh hưởng đến sự phát triển củadịch vụ này

 Thực trạng về tình hình an ninh bảo mật trong thanh toán trực tuyến hiện nay

- Tại Việt Nam

Tại hội thảo Ebanking & Security diễn ra từ ngày 1 - 31/12/2008,hầu hết các chuyên gia trong lĩnh vực an ninh bảo mật đều đồng nhất quanđiểm đánh giá các hệ thống CNTT của lĩnh vực tài chính ngân hàng là

“yếu cả phòng lẫn chống” (Nguồn từ website: http://www.ffb.edu.vn )

Điển hình là trong năm 2008 rất nhiều các website bị tấn công donhững điểm yếu về an ninh chưa được các quản trị cập nhật vá lỗi, chẳnghạn ngày 23/7/2008 website của Ngân hàng Techcombank bị hacker xâmnhập để lại thông điệp cảnh báo lỗi bảo mật Và rất nhiều website ngânhàng và các hệ thống thanh toán trực tuyến khác đều trong tình trạng mất

an toàn thông tin Các website chứng khoán cũng gặp những lỗ hổngnghiêm trọng, tháng 4/2008 có 38% các website trong số 72 website củacác công ty chứng khoán đang hoạt động được các trung tâm An ninh antoàn kiểm tra, đều tồn tại những lỗ hổng mà các hacker có thể lợi dụng đểchiếm quyền kiểm soát Hầu hết các công ty này đều chưa có các giải pháptổng thể để bảo vệ hệ thống an ninh của mình cũng như phản ứng nhanhvới các lỗi được phát hiện Ngoài ra đã có hiện tượng bắt tay giữa cáchacker và nhà đầu tư chứng khoán để thay đổi kết quả giao dịch

Bên cạnh việc an ninh của các website chưa được quan tâm đúngmức thì trong năm 2008 lừa đảo trực tuyến cũng gia tăng hết sức nhanhchóng Các hình thức lừa đảo trực tuyến qua diễn đàn, email, tin nhắn từcác tổng đài tự động, ăn cắp và làm giả thẻ tín dụng, đã đến mức đáng báođộng

Ở Việt Nam trong năm 2008, lừa đảo thanh toán đã tăng lên với mức

độ chóng mặt: 187% so với cùng kỳ năm ngoái làm thất thoát tới 37 triệuUSD, 6 tháng đầu năm 2008 đã có tới 20.000 cuộc tấn công lừa đảo trựctuyến

Những cảnh báo về an toàn trong hệ thống ATM cũng chưa được cácngân hàng quan tâm nhiều Trong khi đó tội phạm thẻ ngày càng nguy hiểm

và tinh vi hơn trong hoạt động của mình Những tội phạm thẻ ATM có thểchiếm đoạt thông tin thẻ của khách hàng và tiến hành lấy tiền trong tàikhoản gây ra thiệt hại hàng tỉ đồng cho các ngân hàng.

- Tình hình an ninh bảo mật trong thanh toán trực tuyến trên thế giới

Trước đây, tội phạm thường dụ người dùng "nộp" số PIN qua các e mail lừa đảo (phishing), cài phần mềm ghi lại ký tự bàn phím (keylogger)hoặc gắn camera siêu nhỏ tại các điểm ATM Nhưng giờ đây bọn tội phạm

-đã thâm nhập trực tiếp vào hệ thống máy tính sử dụng Windows có nhiệm

vụ xác nhận quá trình giao dịch Với thủ đoạn gắn khe đọc thẻ ATM để ghilại số PIN Từ tháng 10/2007 đến 3/2008, một nhóm hacker đã tìm ra cáchchui vào mạng ATM của ngân hàng Citibank, được lắp đặt trong chuỗi cửahàng 7-Eleven ở Mỹ, để rình mò số PIN mà người sử dụng nhập vào Cụcđiều tra liên bang FBI đã bắt giữ 3 kẻ tình nghi, đồng thời khẳng định vụ

việc này được thực hiện dưới sự chỉ đạo của một nhân vật ở Nga (Nguồn

từ website: http://www.baovietnam.vn )

Đây không đơn thuần là rắc rối của riêng Citibank và 7-Eleven bởi

nó chứng minh khả năng tội phạm có thể tiếp cận mật khẩu dạng số (PIN)bằng cách tấn công máy tính đầu cuối - nơi có trách nhiệm chấp thuận chokhách hàng rút tiền hay không

PIN đáng ra là thành phần bất khả xâm phạm nhưng thực tế nhiềungân hàng không mã hóa theo đúng nguyên tắc, khiến nó bị rò rỉ trong quátrình chuyển đổi giữa máy ATM và máy tính xử lý giao dịch Vấn đề màgiới bảo mật quan tâm hiện nay là hacker thâm nhập vào hệ thống như thếnào Chúng đã giành quyền truy cập với mật khẩu admin (quản trị) từ xa,hay cài phần mềm chứa mã độc vào máy chủ ngân hàng?

Tóm lại, nhiều ngân hàng cũng như các công ty tài chính đã rất chủquan trong việc phòng chống virus, mã độc, khiến cho việc mất thông tin