Luận văn tìm hiểu về các vấn Đề bảo mật thông tin trong thương mại Điện tử và giải pháp

Trên thế giới hiện nay cé những hình thức hoạt động thương mại điện tử như sau: - Email: thực hiện các giao dịch mua bán quảng cáo, chảo bảng bằng cách gửi thư điện Lử tới khách hàng

Trang 1

Báo cáo tốt nghiệp Các vân để báo mật thông tin trang TMIT và giải pháp

Léi cam on

Em xa được bảy tổ lòng biết ơn sâu sắc tới TS Tê Phê Đồ - giảng viên trường, Dai hoc công nghệ - Đại học Quốc Gia Hả Nội đã tận tỉnh hưởng dan va tao moi diéu kiện thuận lợi để em hoàn thành báo cáo thực tập tốt nghiệp của mình

Em xin chân thành câm ơn tật cã các thây cô giáo trang khoa Công nghệ thông tìm - Trường Đại học dân lập Hải Phòng đã nhiệt tình giảng, dạy và cung cấp những kiến thức quý báu đề em có thể hoàn thành tốt đợt thực tập tốt nghiệp này

Cuối cùng, em xin cảm ơn tắt cả các bạn đã động viên, góp ý và trao đối hỗ trợ

cho em trong suối thời gian vita qua

Vi thời gian Hhục lập có hạn, cho nên trong để tài không tránh khỏi những thiểu sót, em rất mong được sự góp ý quỷ báu của tất cả các thay cô giảo cũng như các bạn

đề để tài của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Trang 2

MỤC LỤC

1.1 Hoạt động thương mại điện tử ở thế giới và Việt Nam hiện nay 5

1.1.1 Hoạt động thương mại điện tử trên thể giới hiện nay 5 1.1.2 Hoạt động thương mại điện tứ ở Việt Narn hiện nay 7 1.1.3 Xu hướng phát triển của thương mại điện tử Việt Nam hiện nay 9

1.2 Ứng dụng công nghệ thông tim trong thương mại điện ti 10

1L Bảo mật thông tín trong thương mại diện tứ " .12

2.1 Các loại tội phạm trên mạng và vân đề bảo mật cơ bân đặt ra trong TMĐT .12

2.1.1 Các loại tội phạm trên mạng, 12

2.1.2 Các vẫn để an toàn bảo một cơ bản đặt ra trong, TMĐT Ì4

3.3 Các giải phap dam bao an toàn thông tĩn trong thương ruại điện tử 15

2.2.1 Chững chỉ SỐ vu c cọ nọ ch nọ nh nh TH Thư Hiện 15 2.2.2 Chữ ký số (CKS) ¬— toaeeeeuenes chen re sec lS

3.3 Thú tục thanh toán qua mạng cà ằàc dc non e8

2.3.2 Dinh danh hay TD sé hoa (Digital identificalar) - 26

Trang 3

Báo cáo tốt nghiệp Các vẫn để bảo mật thông tin trong TMĐT và giải pháp

TH Tìm hiểu một số website của một số công ty thương mại điện tử 35

3.1 Hoạt động website chợ điện tử ( http://chodientu.vn ) 3S

3.2 Hoạt động website ebay ( http;//ebay.chodientu.vn ) Al

3.2.1 Giới thiệu tập đoàn ebay c cà cọ ch sờ 4

3.2.3 Quy trình mua hảng và thanh toán như thể nào _

Trang 4

LỜI MỚI ĐẦU

Sự phát triển nhanh chóng của khoa học công nghệ, đặc biệt là sự phát triển của

công nghệ máy tính và kỹ thuật tính toán đã làm thay đối rất nhiễu các hoạt động xã hội

trên thế giới Thương mại điện tử đố ra đời trong bối cảnh đó, tính hiệu quả và thuận lợi

của hoạt động thương mại điện tử ngày cảng dược khẳng dịnh Nhờ thế mà các hoạt đồng thương mại điện tử ngày cảng duoc xnỡ rộng va dan pho biển ở nhiều nơi trên thế giới Nến tảng công nghệ của thương mại diện tử chính là mạng toản cầu - Internet Song, Inbernet cũng chính là mỗi đe doạ đến an toàn cúa hoạt động thương mại điện tứ

ĐỀ tai nay sé “ tìm hiểu về các vấn để bảo mật thông tr trong thương mại điện

tử và giải pháp ” Đồng thời tìm hiểu một số website của một số công ty thương mại

điện tử như chọđiệntử vn và ebay.vn

Sinh viên: Phạm Minh dluyén Khoa CNTT-ĐHDLIIP ‘Trang 4

Trang 5

Chương I: GIỚI THIỆU THƯƠNG MẠI ĐIỆN TỬ

1.1 Hoạt động thương mại điện tử ở thế gì

ä Việt Nam hiện nay:

1.1.1 TToạt động thương mại điện từ trên thể giỏi biện nay:

"Thương mại điện tử dang dan chiếm vị trí chủ dạo", chuyén gia Jeffrey Grau của eMarketer thót lên "Ngảy cảng có nhiều người chuộng hình thức mua sắm này hơn

Số hàng họ mua và số tiển họ bé ra nhiều chua từng có trong lịch sử"

Đi xa hon, hing dau tu Cowen dự doan ring doanh thụ từ thương mại điện tứ có

thể đạt tới cột mộc 225 tỷ USD vào năm 2011 "Còn tại Mỹ

doanh thu cũng sẽ tăng

trưởng 20% trong năm 2007, nhờ vào táo động cửa ba yêu tố: sự phổ cập của băng thông rộng, mức giá hời của các kênh bán hàng trực tuyến và sự tiện lợi ngày cảng cao

của thương mại điện tử"

"Các hãng bản lễ cần chú ý nghiệm túc dến xu hướng mày, nêu như họ không

muốn tụt lại phia sau", Cowen kết luận "Thương mại điện từ đang ở giai đoạn hoàng,

kim và chưa hề có đấu hiệu ngừng lại Nó sẽ tiếp tục vươn mình với tốc độ bỏ xa các

hãng, bản lẻ offline"

Thời gian qua, các dịch vụ mua sắm qua mạng đã cãi tiến và điều chỉnh rất nhiều

để mang đến sự thoải mái, tiên lợi cao nhất cho khách hàng Người tiểu đùng giờ đây có thể an tâm mua sắm đú mọi hàng hỏa từ Internet

Trên thế giới hiện nay cé những hình thức hoạt động thương mại điện tử như

sau:

- Email: thực hiện các giao dịch mua bán ( quảng cáo, chảo bảng ) bằng cách gửi

thư điện Lử tới khách hàng quen thuộc hoặc gửi Không 1m quảng bá Lới mọi người có sử:

dụng thư điện tử

- Thanh toán điện tử

- Trao đổi đữ liệu tải chính điện tủ: thực hiện trao đổi các thông tin về tài chính

của doanh nghiệp theo một hình thức đặc biệt, các thông tin về tải chỉnh của doanh

Sinh viên: Phạm Minh dluyén Khoa CNTT-ĐHDLIIP Trang 5

Trang 6

nghiệp và khách hàng tham gia vào thương vụ TMIĐT được trao đổi, kiếm tra và xác nhận dé dang ma không có bắt kỹ sự xuất hiện của liễn mặt

‘Tién điện tứ: là tiến mặt được chuyên đối sang tiền điện tứ Quá trinh này được

địch là vô danh, chống được tiên giả

- Vi tiên điện tử: là thư mục hay tại khoản để người sử dụng lưu trữ tiễn điện tử,

- Bán lô làng hoá hữu hình: Người bán sẽ xây dựng cửa hàng äo trên mạng Để

có thê thực hiện múa bán hang hoa khach hàng phải tìm đến trang web của cửa hàng,

thủ tục giao địch, mua hàng trên mạng là 39 triệu người đăng gấp đôi sơ với năm

Trang 7

1998), 34% sẽ hộ gia đình người Mỹ đã nối mạng Internet và 17% trong số đé đã tiến

anh mua hang qua mang

‘Theo cdc chuyén gia tong linh vue céng nghé théng tin, doanh thu br ban hang

qua mang Internet sẽ tiếp tục tăng trong năm tới và sẽ giữ mức én định trong vài năm tiếp theo

Mặc đù bán hảng qua mạng Internet đang phát triển một cách nhanh chóng nhưng cũng phải cân nhiều thời gian để có thể dat được doanh thu cao của hầu hết các công ty, Đã có những lo ngại vẻ sự cạnh tranh với thương mại điện tử của các đổi tú, trong thê giới kinh đoanh truyền thông, Tùy truy ngành công nghiệp khác nỶaau số phải đối dâu với những thách thức khác nhau trong nãm 2000 trong ngành công nghiệp mảy tỉnh, 60% chuyên gia công nghệ thông tĩn lo lắng về các hoạt động thương mại điện tử của các đôi thủ cạnh tranh hơn các phương thíức kinh doanh trưyền thẳng xưa nay Tuy nhiên, các ngảnh sẵn xuất và địch vụ khác thị chỉ có khoảng 30% lo ngại vẻ dạng kinh đoanh qua thương mại điện tử của đối thủ

Mặc dù bán hang qua mang Internet dang phát triển một cách nhanh chúng

nhưng cũng phải cần nhiều thời gian để có thể đạt được doanh thu cao của hẳu hết các công ty Đã có những lo ngại về sự canh tranh với thương nhai điện Lữ của các đối thủ trong thế giới kinh doanh truyền thống Tủy từng ngành công nghiệp khác nhau sẽ phải đổi đâu với những thách thức khác nhau trong năm 2000 trong ngành công nghiệp máy tính, 60% chuyên gia công nghệ thông tì lo lắng về các hoạt dộng thương mại điện tử của các đối thủ cạnh tranh hơn các phương thức kinh doanh truyền thông xưa nay Tuy

nhiên, các ngành sản xuất và địch vụ khác thì chí có khoảng 30% lo ngại về đạng kinh duanh qua thương rrai điện tử củn dối thủ

1.1.3 1Toạt động thương mại điện từ ở Việt Nam biện nay:

Thương mại điện tử ở Việt Nam (TMĐT-VN) chỉ thực sự phát triển trong năm

2008 Song, so với nhu câu cân thiết đối với các doanh nghiệp Việt Nam (DN-VN),

Trang 8

hiện trang TMĐT-VN còn rất khiêm tổn, eụ thẻ là sự hiện điền và hoạt động của cáo

website thương mại Cá Hiệp hội TMĐT-VN chỉ có trên 100 thành viên đủ nói lên điều nay

Năm 2009, TMIDT-VN sẽ có cơ hội để cất cánh vả đột phá về tốc độ tăng

trưởng Hiện DN bỏ chi phí quảng, cáo trên truyền hình hay bảo chỉ rất đắt, nhưng néu

có website riêng để quảng bá cho địch vụ, sản phẩm của minh, chỉ phí sẽ rẻ hơn rất nhiều Trong bồi cảnh thị trường tụt giảm đo khủng hoảng kinh tế toàn cảu, chỉ phí cho

một website DN hoạt động tại VN từ 5 triệu - 20 triệu đồng tháng, trong khi 30 giây

quảng các trên truyền hình có thế tới vài chục triệu đẳng Dặt logo va bamaer trên một

website thương mại thuần túy chỉ mất vải triện đồng/áng, nhưng hiệu quả quảng bá không hể thấp Thông kê từ các nước phát triển cho thấy tốc độ tăng truởng doanh thu quảng cáo TMĐT lăng rất nhanh so với các hình thức khác

Tiến cạnh đó, VN da gan như hoàn chỉnh hệ thống pháp lý và co quan quan lý Nhà nước về TMĐIL Việt Nam chính thức mở cửa thị tường bản lẻ cũng là tiên để để TMĐT phát triển

Nam bit được diệu đó, hiện nay ở Việt Nam, các công ty TMĐT dang tăng lên

về số lượng, Nghĩa là các công ty này chủ yêu là các công ty nhỏ, bán lẻ hàng hoá với các hình thức thanh toán vẫn còn đơn giản và chủ yến bằng tiền mặt Khách hàng của

họ không ở phạm vị lớn, chú yếu trong nội thành phố hay đến 1 vải tính lân cận liảng hóa của hạ để đến tay các khách hàng ở tỉnh khác thường thông qua đường bưu điện chứ số ÍL các công ty này có địch vụ vận chuyên riêng Điều đó dẫn đến khách hàng

phải chị: phí vận chuyển của buu điện, làm giảm đi lợi ích của khách hàng Song, nhờ

ia các pông ty này mà người liên đảng Việt Nam làm quen đẫn với việc

sự phát triển

xnua hàng qua mạng và tăng số lượng sử đụng hình thức thanh toán qua thể, góp phần

xây dựng lên nên móng cho sự phát triển cia TMDT ở nước ta trong tương li Mặt

khác, các công ly như thể cứng chỉ lập trung ở môi số tỉnh, thành phố lớm như : Hà Nội,

thành phỏ Hỗ Chỉ Minh Tuy số lượng có tăng lên, nhưng nhìn chung là TMĐT ở Việt

Trang 9

Một trong những phương tiện để phát triển thương mại điện tử đó là: website

thương mại (websHe-TM) Website thương rnại là nơi để các doanh nghiệp quâng cáo

hàng hoá đến khách hàng mà khách hàng, của họ không nhất thiết phải đền tận nơi trưng, bày mới tiếp cận được vái sản phẩm Diễn này cũng nhờ việc mạng internet ngày cảng

dược mở rộng hơn ở Việt Nam

Có nhiều nguyên nhân din đến tinh trang èo uột về số lượng va chất lượng của

website-TM Trước hệt, DN-VN cên thiêu co sé ha tang, con người để đầu từ TMĐT,

'Thứ hai, chua đánh giá hết tính hiệu quả của TMĐT trong sẵn xuất kinh doanh Ngoài

ra, DN-VN cũng khó nhìn nhận, bay nói một cách chính xác là sự hiệu quả từ TMDT

chưa thể hiện rõ rệt để các TỔN nhận biết

Để một website DN dến dược với người tiểu đàng (NTD) và có dược niềm tin của họ thị bân thân nó cũng phải được quảng bá Đây cũng là bài toán mà DN cân

nghiên cửu một cách nghiêm túc Ngoài ra, côn một rào cần quan trọng dối với TMĐT

1à thỏi quen thanh toản bằng tiên mặt của NED và hệ thống thanh toản giao dịch TMĐT

cluza thực sự thuận Hện

Do vậy, dé phan déng DN ty xoay xở làm website thú sẽ rất khỏ khăn và khó thực hiện trên điện rộng Hiện [iiệp hội TMIDT VN đã cổ gắng vận động các nguồn tài trợ để hễ trợ kinh phí đảo tạo đôi ngũ nhân hrc xây đựng và quân lý wehsite cho các

DN

1.1.3 Xu bưởng phát triển cũa thương mại didn tie Viet Nam hidn nay:

Xu hướng phát triển TMDT-VN hiện nay là mở rộng TMDT trong nước cả và số

lượng và chất lượng,

Ngày 9/12/2005, Vụ trưởng Vụ Thương mại Điện tử (Bộ Thương mại) Nguyễn

'thanh Hưng cho biết, bản Kế hoạch phát triển tổng thể thương mại điện tử giai đoạn

/QÐ-TTg của Thủ tướng

2006-3010 vừa được chính thức phê duyệt theo Quyết định

Chinh phú Theo do, 4 mục tiêu lớn cho phát triển thương mại diện tử dến năm 2010 phải đạt được là: 60% doanh nghiệp lớn bao gồm các tập đoàn kinh tế, hệ thống các

Trang 10

tổng công ty ứng dụng thương mại điện tủ, cụ thể là hình thức giao dịch B2B (giữa

doanh nghiệp với doanh nghiệp), 8094 các doanh nghiệp nhỗ và vừa ứng đụng thường

mại điền tử theo hai hinh thức B2B và B2C (doanh nghiệp với khach hing}, 10% sé hd

gia định tham gia các loại hình thương mại điện tử mua bán lẻ như B2C và C2C (khách hàng với khách hảng), mục tiêu thử 4 là dưa các loại bình dịch vụ công như khai báo

hải quan, thuế, hạn ngạch vào giao dịch điển tứ

Ông Trần Thanh Hải, Phó Vụ trưởng Vụ Thương mại Điện tử cho biết, mặc đủ 4 mục

tiêu trêu không thật sự cao bởi hiện một số nước trong khu vực như Thải Lan, Singapo, Brunei, Malaixia hién cũng đang hoặc đã vượt qua mức này, song đề đạt được các

mục liêu đó phải cần sự nỗ lực rất cao

Các giải pháp dược tập trung nhằm dua 4 mục tiêu trên thành hiện thực là công tác

tuyên truyền và đảo tạo, hoàn thiện hệ thông văn bản pháp quy, cung cấp các địch vụ công và mua sam công rực tuyển, phải triển công nghệ, tăng cường hợp tác quốc tế và

hỗ trợ doanh nghiệp dười nhiều hình thức

1.2 Ứng dụng công nghệ thông tin trong (hương mại điện tử:

Trong thương mại điện tử không thể thiểu những ứng dung của công nghệ thông tin Từ khâu quảng cáo sân phẩm cho đến thanh toán và bảo mật thông tin của thương

mại điện tử luôn có những ứng dụng của công nghệ thông tín

Quảng cáo là ý định phân phát thông tin để tác động lên cáo giao địch mua bán

VỀ gia cả, quảng cáo rực tuyến rễ hơn quảng cáo trên phương liện khác Quảng cáo trực tuyển có thể cập nhật nội dung liên tục với chỉ phí thấp Về hình thức đữ liệu

âm thanh, đồ hoa, hình ảnh, video Ngoài ra, có thế

phong phú: có thể sử dụng van ban

kết hợp trò chơi giải trí với quãng cáo trực tuyến Để quảng cao sản phẩm dến với

người tiêu dùng, các công ty thương mại điện tứ xây dựng các website thương mại Các website nảy nhú những lũ trưng bày sẵn phẩm của doanh nghiệp Trên đó, các hình ảnh,

tính năng, công dụng, giả cả của sản phẩm được trình bảy chi tiét Ngoai ra, con cd mục hễ trợ online để giải đáp những thắc mắc của khách hàng Mặt khác, để khách

Trang 11

hàng có thế biết và tiếp cân các website quảng cáo này thí còn cần những ứng dụng,

kháo của công nghệ thông tin ihu: email Cée email cd thdng tin v8 website quing eho

được gửi tới tận email của khách bảng, Hay, thiết lập các đường dẫn tới các các website tương thích với website của đoanh nghiệp Chắng hạn những website về cùng một thị

trường dịnh hướng giống như doanh nghiệp và không cạnh tranh với website của doanh

nghiệp Cũng có thẻ lả các website có tên tuổi, có số lượng người truy cập lớn

Các website thương mại không chỉ để quảng cáo sản phẩm, mà tại đây khách

hàng có thể đặt mua hàng ( với hình thức bản lế hàng hoá giao dịch giữa khách hàng với doanh nghiệp ), lý hợp đồng ( với hình thức giao địch giữa doanh nghiệp với doanh nghiệp )

Tới khâu thanh toán trong thương mại diện tử cũng ko thể tách rời ứng dụng công nghệ thông tin

Trang 12

Chương II: CAC VAN DE BAO MAT THONG TIN TRON THUONG MẠI ĐIỆN TỬ

2.1 Các loại tội phạm trên mạng và vẫn đề bảo mật cơ bản đặt ra trong THĐT

Vân đề bảo mi, an nĩnh lrên mạng là tnột trong những van để nóng hỏi trong hoạt động, thực tiến của Thương mại diện tử Liệu khách hảng có tin tưởng, khi thục hiện các giao địch trên mạng không? Và liệu những nhà cung cấp địch vụ giao địch trực tuyến cũng

như cáo TẾP có bảo đâm duợc rhưững thông tin của khách hàng giao dịch trên mạng

được an toàn không? Chúng ta sẽ làm sáng tố một số vẫn dé sau để trả lời cho các câu

hồi trên

3 1-1 Cúc loại tội pham trén mang

Trên mạng máy tính internet hiện nay hàng ngày có rất nhiêu vẫn đề tội phạm từ học đã và đang xây ra Có một số loại tội phạm chính sau:

Gian lận trên mạng là hảnh vi gian lận, làm giả đề thu nhập bát chính Ví dụ sử

đụng sẻ thẻ VISA giả để mua bản trên mạng,

Tan công Cyber Ia một cuộc tắn công điện tử để xâm nhập trải phép trên internet vào mạng mục tiêu dễ lâm hỏng dữ liệu, chương trình, và phân cửng của các website

hodc may trạm

Hackers (tin tic): Hackers nguyén thuy Ia tiện ích trong hệ diễu hành Ưnix giúp

xây dụng Usenet, và World Wide Web Nhung, dẫn dẫn thuật ngữ hacker để chí người

lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tỉnh

Crackers; La nguoi tim cách bẻ khoả để xâm nhập trải phép vào máy tính hay

các chương trình Các loại tân cóng trên mạng:

1, Tân công kỹ thuật là tấn công bằng phân mềm do các chuyên gia có kiến thức

hệ thông giỏi thực hiện

2, Tân công không kỹ thuật là việc tìm cách lừa để lá y được thông tin nhạy cảm

3, Tên công làm từ chối phue vu (Denial-of-service (DoS) aftack) la sit dung phần mềm đặc biệt liên tục gửi đến máy tỉnh mục tiêu làm no bị quá tải, không

thể phục vụ được

Trang 13

Bao cao tot nghiép Các vẫn đề bảo mật thông tin trong TMĐT và giải pháp

4, Phân tán cuộc tấn công lam tir choi phue vu (Distributed denial of service (DDoS) attack) 1a sự tắn công làm từ chối phục vụ trong đỏ kẻ tân công cỏ quyền truy cập bắt hợp pháp vào vào nhiều máy trên mạng đề gửi số liệu giả đến

mục tiêu

5, Virus là đoạn mã chương trình chẻn vảo máy chủ sau đỏ lây lan Nó không

chạy độc lập

6, Sâu Wonm là một chương trình chạy độc lập Sử dụng tài nguyên của máy chủ

để lam truyền thông tin đi các máy khác

Các cuộc tắn công tin tặc trên mạng ngày cảng tăng trên mang Internet va ngày cảng đa dạng vi trên mạng hiện giờ là thông tin vả tiền Các nhân tế tác động đến

sự ra tăng tin tặc là sự phat triển mạnh của TMĐT và nhiều lỗ hồng công nghệ

của các website

Hình 4: Mô hình tin tặc phân tần cuộc tắn công làm từ chối phục vụ

Exhibit 9.3 Using Zombies in a DDoS Atack

Hacker

⁄

Academic Government Computer Ce Computer

Trang 14

2.1.2 Các vẫn để an toàn bảa một cơ băn đặt ra trong TMDT

Từ góc độ người sử đựng: làm sao biết được Web server được số hữu bởi một doanh nghiệp hợp pháp? Lámn sao biết được trang web này không chứa đựng những nội

đừng hay mã chương trình nguy hiểm? Làm sao biết được Web server không lây thông, tin của mình cung cấp cho bên thử 3

'Từ góc độ doanh nghiệp: Lám sao biết được người sử dụng không có ý định pha hoại hoặc làm thay đối nội đung của trang web hoặc website? Làm sao biết được làm

gián đoạn hoạt động của server

Tw ca hai phia: Làm sao biết được không bị nghe trộm trên mang? Làm sao biết được thông tím từ máy chủ đến user không bị thay đổi? Một số khái niệm vé an Loan bão

mật hay dùng trong TMĐT

Quyên được phép (Authorization): Qua tinh đảm bảo cho người có quyền này

được truy cập vào một số tải nguyên của mạng

Xác thực(Authentieation): Quá trình xác thục một thực thể xem họ khai bảo với

Sự riêng Lu: (Confidentialily/privacy) 14 bao vé thong tìm mua ban của người liệu

ding Tinh toan ven (Integrity): Kha ning bao vé dit ligu khéng bi thay déi

Không thoái tháo (Nonrepudiation): Khả năng không thể từ chổi các giao dịch đã

thực hiện

Trang 15

Bao cao tot nghiép Các vẫn đề bảo mật thông tin trong TMĐT và giải pháp

Exhibit 9.2 General Security Issues at E-Commetce Sites

Authentication Privacy! Authentication Privacy/

Integrity ‘Authorization — Integrity

|

Nonrepudiation

“—-1'

Hình 5: Các vấn để bảo mật của một website TMDT

Các van dé an toàn bảo mật của một website TMĐT Có rất nhiều giải pháp công

nghệ và không công nghệ để đảm bão an toản bảo mật trên mạng Một trong giải pháp

quan trong ứng dụng trong TMĐT là sử dung kỹ thuật mật mã vả các giao thức bão

mật

2.2 Các giải pháp đảm bảo an toàn thông tin trong thương mại điện tử:

Để bảo mật thông tin trong thương mại điện tử, hiện nay ta cỏ những công cụ như Chứng chỉ số (digital certificate), chit ky sé (digital sign), xác thực

(authentication), bảo mật web (web security) vùng an ninh (DMZ) và Firewall Các

công cụ bao mật nảy được sử dụng ket hop, bé sung cho nhau trong quả trình diễn ra

các giao dịch của thương mại điện tử

Trang 16

Ngày nay việc giao tiếp qua mang Internet đang trỏ thành một nhu câu cấp thiết Các

thông tin truyền trên tạng đều rất quan trọng, như tuấ số tài khoân, thông tin mật

‘Tuy nhiên, với các thú đoạn tỉnh vị, nguy cơ bị ấn cắp thông tin qua mạng công ngày cảng gia tăng,

Hiện giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/TP Đây là giao thức cho

phép các thông tin được gửi từ máy tính này tới máy tỉnh khác thông qua một loại các

máy trung gian hoặc các mạng riêng biệt Chỉnh điều này đã tạo cơ hội cho những "kế

trộm"øông nghệ cao có thẻ thực hiện các hành động, phí pháp Các thông tin truyền trên

mạng đều có thể bị nghe trộm (iavesdropping), giả mạo (Tampering), mao danh

(mpersonatiem) v.v Các biện pháp bảo mật hiệu nay, chẳng hạn như dùng mật khâu, đêu không đâm bảo vì có thể bị nghe trộm hoặc bị đồ ra nhanh chóng

Do vay, dé bao mật, các thông tin truyện trên Internet ngày nay déu có xu hướng được

mã hoá Trước khi truyền qua mạng Internet, người gửi mã hoá théng tin, trong quả trình truyền, dủ có "chặn" được các thông tin này, kế trộm cũng không thê đọc được vỉ

bị mã hoá Khi tới đích, người nhậu sẽ sử dụng một công cụ đặc biệt để giải mỗ

Phương pháp mi hoa va bao mat phỏ biển nhất dang được thẻ giới áp dụng là chứng chỉ

sé (Digital Certificate) Với chúng chỉ số, người sử dụng có thể mã hoá thông tin một cách hiệu quả, chẳng giả mao (cho phép người nhận kiếm tra thông tin có bị thay đối không), xác thục danh tỉnh của người gửi Ngoài ra chứng chí số cón là bằng chủng giúp chống chối cãi nguễn gốc, ngăn chăn người gửi chối cài nguồn gốc tài liệu mình

đã gửi

Chung chi sé ld gi?

Chimg chi s6 là một tếp tím điện tử dùng dé

ce minh danh tính một cả nhân, mội máy

chủ một công ty trên Internet Nó giống như bằng lái xe, hộ chiếu, chứng mình thư hay những giấy tờ xác mình cá nhân Dễ có chứng mính thu, bạn phải được cơ quan Công An sở Lại cấp Chứng chỉ số cũng vậy, phải do một tổ chúc đứng ra chứng rhận những thông tin của bạn là chỉnh xác, dược gợi la Nha cung cấp chứng thực số (Certificate Authority, viết tắt là GA) CA phải đảm bảo về độ tin cậy, chịu trách nhiệm

Trang 17

về độ chính xác của chứng chỉ số mả mỉnh cập Trong chứng chỉ số có ba thành phần

chính

'Fhông tin cả nhân của người được cấp

hoá công khai (Public key) của người được cấp

Chữ ký số của CA cấp chứng, chỉ

Thông tin cá nhân:

Đây là các thông tin của đối tượng được cấp chứng chỉ số, gdm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức v.v Phin này giống như cảo thông tin trên chứng, mình thư của mỗi người

Khoá công khai

Trong khải niệm mật mã, khoá công khai là một giá trị dược nhá cung cấp chứng thực

đưa ra như một khóa rnã hoá, kết hợp cùng với một khoá cá nhân đuy nhất được tạo ra

tử khoá công khai để tạo thành cặp mã khoả bãi dối xứng Nguyễn lý hoại dang của khoả công khai trong chứng, chỉ số là bai bên giao dịch phải biết khoá công khai của nhau Bên A muốn gửi cho bên B thì phải đúng khoả công khai của bên B để mã hoá thông tin Bên B sẽ dùng khoá cả nhân của mình để mở thông tin dé ra Tinh bat déi

xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã đữ liệu được mã hoá bằng khóa công khai (rang củng một cặp khoá duy nhất mà một cá nhân sở hữu), nhưng khoá công khai không cỏ khả năng giải mã lại thông tin, ké cá những thông tin

đo chính khoá công khai đó đã mã hoá Đây là đặc tính cản thiết vỉ có thế nhiều cá nhân

TỤC, D cũng thực hiệu giao dịch và có khoá công khai của A, nhưng Œ,D không thế

giải mã được các thông tin mà B gửi cho A dù cho đã chặn bắt được các gói thông tin

gin di trén mang

Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thự nhân dan, thi khoa công khải đóng vai trẻ như danh tỉnh cúa bạn trên giấy chúng minh thư (gềm tên địa chỉ, ảnh ), côn khoá cá nhân là gương mặt và đấu vẫn tay của bạn Nếu cơi một bưu phẩm lá thông tin truyền dị, dược "mã hoá" bằng dia chi va tén người nhận của bạn, thì

Trang 18

đủ ai đó có dùng chimg minh tr của bạn với mục địch lẫy bưu phẩm này, họ cũng không được nhân viên bưu điện giao buu kiện vì ảnh mặt và đầu vn lay không giống,

Chữ ký số của CA cấp chủng chỉ:

Gòn gọi là chứng chỉ gốc Dây chính là sự xác nhận của CA, bảo đảm tính chính xác và

hợp lệ của chứng chỉ Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký

số của CA có hợp lệ hay không Trên chứng mình thu, đây chỉnh lá con dâu xác nhận của Công An Tỉnh hoặc Thành phổ mà bạn trực thuộc Về nguyên tắc, khi kiếm tra chứng minh thư, đúng ra đầu tiên phải là xem con dẫu này, để biết chứng, mình thư cỏ

bị làm giả hay không

T.ợi ích của chứng chỉ số Mã hoá

Lợi ích dẫu tiên của chứng chỉ số là tính bảo mật thông tin Khi người gửi đã mã hoá

thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới giải mã được thông,

tin dé đọc Trong quá trình truyền thông liu qua Tnlemelt, đủ có đọc dược các gói lim dã

mã hoá này, kẻ xấu cũng không thể biết được trong gói tin có thông tín gì Đây là một

tính năng rãi quan trợng, giúp người sử dung hoàn toàn tin cây về khả nắng bão mậL

thông từL Mhững trao đổi thông tin cần bảo mật cao, chẳng han giao địch liên ngân tàng, ngân hàng điện tử, thanh toán bằng thẻ tín đụng, đầu cần phải có chúng chỉ số

đâm bảo an toàn

Tuôn đâm bảo an toàn

Trang 19

Xác thực

Ki bạn gửi một thông tị kèm chứng chỉ số, người nhận - có thế là đối Lác kinh doanh,

tổ chúc hoặc cơ quan chữh quyển - sẽ xác định rõ được danh tỉnh của

bạn Có nghĩa là đủ không nhìn thảy bạn, nhưng qua hệ thống chứng chỉ số mả bạn và

người nhận củng sử dụng, người nhận sẽ biết chắc chắn đó là bạn chứ không phải lả một người khác Xác thực là một tính năng rất quan trọng trong việc thực

hiện các giao địch điện tử qua mạng, cũng như các thủ tục hành chính với

cơ quan pháp quyền Các hoạt động này cần phái xác mình rõ người gửi thông tin để sử đụng tư cách phán nhàn Dây chính là nên tảng của một Chính phủ điện

tử, mỗi lrường cho phép công dân có thể giao liếp, thực hiện ác

Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn vẻ những thông tin

mà chứng chỉ số đi kèn Trong trường hợp người gửi chối cãi, phủ nhận một thông tì

nao đó khỏng phải do mình gửi (chẳng hạn một don dat hang qua mạng), chứng chỉ số

mà người nhận có được sẽ là bằng chúng khẳng định người gửi lả tác giả của thông tin

đó Trong trường hợp chổi cãi, CA cmpg cap chimg chi s6 cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thống tin, chứng tỏ nguồn gốc thông tin được gửi

2.1.2 Chữ kỷ số (CKS)

CKS được phát triển và ứng dụng rộng rõi hiện nay dựa trên thuật loán RSA (Tên viết tất của ba tác giã: Rivest, Shamir và Adleman), là cơ sở quan trọng đề hình thành hạ

tầng khóa công khai (PubliefKey Tnliastruclure) cho phép người sử dụng của mội ruạng

công cộng không bảo mật như Internet trao đổi dữ liêu và tiền một cách an toàn, thông qua việc sử dung mét cặp mã khóa công khai và bi mật được cấp phát, sử dụng qua một nhà cũng cấp chứng thực CA (Cứ

Iicale Authornty) được tín ruệm Việc lhữa nhận:

CKS thuộc quyền sở hữu của một cả nhân nào đỏ, cần phải dược một tổ chức CA chứng,

thục Và CA chủng nhận phải được thừa nhận về tính pháp lý và kỹ thuật

Trang 20

chứng thực số có giá trị pháp lý trong giao địch điện tứ, bước đầu thúc đầy sự phát triển

của thương mai điện tử tại Việt Nam

Din vi nda cung cấp giải pháp “chữ ký số”?

- Chimg chi sé SST Server VASC-CA: Gidp bao mat hoal déng Irao đối thông tin trên

website, xác thực người dùng bing SSL, xac minh tinh chinh théng, chéng gid mao, cho phép thanh toán bằng thể tín đụng, ngốn chặn lucker dò ruật khẩu

- Chứng chỉ số nhà phát triển phản mẻn VASC-CA: Cho phép nhá phát triển phan mềm ký vào các chương trình applet, script, Java software, ActiveX control, EXE, CAB

va DL, đâm bảo tỉnh hợp pháp của sân phẩm, cho phép người sử đựng nhận điện được

nhá cung cấp, phát hiện được sự thay đổi của chương trình (do hỏng, bị hacker hay

virus phá hoại)

Tương tự như vậy, số lượng đơn vị cưng cấp giải pháp img dung cé dùng CKS ở Việt Nam hiện ray cũng chưa nhiều Các công ty như Giải Pháp Thể Minh Thông

(www.tomica.vn), MI-SOFT(www.misoficom.vn) là những cỏng ty cung cấp tích

hợp giái pháp chữ ký số LISM (Ilardware Security Module) váo thể thông mính và USD Token vào các ứng dụng và giao dich cần bão mật như: Irtemet Bankimg Money

Tranfer, VEN bay e-Signing

Trang 21

Đề CŒKS được sử dụng rộng rãi tại Việt Nam, việc quan trọng là cân có một tổ chức cấp,

CA được thừa nhận, và được sự ủng hộ mạnh mố của Nhà Nước trong việc ứng đựng

thương mại điện tử và hành chỉnh điện tử

TỨng dụng “Chữ ký số" tại Việ

Khá năng ủng dụng của CKS khá lớn, do có tác dụng tương tự như chữ kỷ tay, nhưng

Nam

ding cho môi trường điện tử Thường CKS được sử dụng trong giao địch cân an toàn

qua mạng Internet, như giao dịch thương mại điện tử, tài chính, ngân bàng Thứ 2 lá

ding, dé ky lên eMail, văn ban tài liệu Soft-Copy, phản mềm module phân mềm và việc chuyên chúng thông qua Tntemet hay mạng công công Tuy nhiên, sử dụng hay

không sử dụng CKS vẫn còn tùy vào sự lựa chọn của người dủng,

Hién nay nhiều ngân hàng Việt Nam dã ứng dụng CKS trong các hệ thông như Internet

Banking, Home Banking hay hé théng bao mal néi bd Ngai ra ede website cia cdc

ngân hàng, công ty cần bảo mật giao dịch trên đường truyền, mạng riêng ão VEN đã áp đụng CKS Có thể nói, gàng ngày cảng nhiều sự hiện điện của CKS trong các hệ thông,

ting dung CNTT bảo mật của DN, tổ chức ở Việt Nam,

Lei ich “Chit ky sa”

‘Ung dụng CKS giúp giải quyết tốt hơn các giải pháp xác thực và bảo mật CKS giải

quyết vấn để toàn vẹn dữ Hiệu và là bằng chứng chồng chối bỏ trách nhiêm trên nội dung da ky, giúp cho các tổ chức, cá nhân yên tâm với các giao dịch diện tử của mình

trong môi trường Irternet

Đôi với lĩnh vực trao đổi thông tin, với sự phố biến hiện nay cứa e-nail nhờ tỉnh nhanh

chóng linh hoạt, việc sử dụng CKS sẽ giúp che việc trao đối văn bản nội dụng trở nên

để dàng và dam bảo Ví dụ: Hệ thống quân lý văn bản, hợp đẳng số sẽ được lưu trữ, im kiểm bằng hệ thống máy tính Các giao địch, trao đổi văn bản giữa cá nhân - tỏ chức

nha nude (C2G), DN - Nhà Nước(E-G), DN-DN(32B) hay giữa các tổ chức cơ quan

Trang 22

nhả nước với nhau sẽ nhanh chóng và đảm bảo tính pháp lý, tiết kiệm rất nhiều thời gim, chỉ phí giấy tờ và vận chuyển, đi lại

Tặc biệt, tăng cường ứng đụng CKS sẽ thủo đẩy việc ứng đựng thương mại điện tử, chính phú điện tử, bảnh chính điện Lừ và kinh doanh điện tứ, đồng thời cũng bão vệ bản

quyền các tải sẵn số hóa

2.2.3 Bio mat Website

Khi Website của bạn sử dụng cho mục dịch thương mại diện tử bay cho những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thế

bị lộ Để trảnh ngày co nay, ban có thể dùng chứng chỉ số SSL Server dễ bảo mật cho Website ciia minh Chimg chi sé SSL Server sẽ cho phép bạn lập cầu hình Website của

mình theo giao thúc bảo mật SSL (Secure Sockets Layer) Loai chimg chi sé nay sé

cung cấp cho Website của bạn một định danh duy nhất nhằm: đảm bảo với khách hang của bạn về tỉnh xác thực và tính hợp pháp của Website Chứng chỉ số SSL Server cũng

cho phép trao đối thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên

và đối tác của bạn thông qua công nghệ 58L mà nổi bật là các tỉnh năng

! Thực hiện mua bản bằng thẻ tín đụng

+ Báo vệ những thông lầu cá nhân nhạy câm của khách hàng,

+ Đảm báo hacker không thể dò tim được mật khẩu

Pam bao phan mềm

Nếu bạn là một nhả sân xuất phần mềm, chắc chắn bạn sé cần những "con tem chống hàng g

đụng hình thức sở hữu ban quyển Chúng chỉ số Nhà phát triển phần mỗm sẽ cho phép,

" cho sản phẩm cửa minh Dây là một công cụ không thể thiểu trong việc áp

bạn ký vào các applet, script, Java software, ActiveX control, các file dang EXE, CAB, DLL Nhu vy, théng qua chứng chỉ sổ, bạn sẽ đảm bảo tính hợp pháp cũng như

nguồn gốc xuất xứ của sản phẩm Hơn nữa người đùng sản phẩm có thê xác thực được bạn là nhá cung cấp, phát hiện được sự thay đổi của chương trinh (do về tỉnh hỏng hay

do virus pha, bi crack va ban lau )

Trang 23

2.3 Thủ tục thanh toán qua mạng

Dé tìm hiểu thú tục thanh toán qua m ang trước hết ta xem các công đoạn của một giao

địch mua bán trên mạng

Giầm cú 6 công đoạn sau:

1 Khách hảng, tr một máy tính tại một nơi nào đó, điển những thông tin thanh

toán và địa chỉ liên hệ vào đơn dit hing (Order Form) cia Website bản hàng (còn gọi là Website thương mại diện tử) Doanh nghiệp nhận dược yêu cẩu mua

hàng hoá hay địch vụ của khách hang và phản hồi xác nhận tóm tắt lại những thông tin cần thiết nh ruặt hàng đã chọn, địa chỉ giao nhận và số phiếu đặt hàng,

Khách hảng kiểm tra lại cac théng tin va kich (click) vao nut (button) "dat hang",

từ bàn phim hay chuột (nouse) của máy tính, để gởi thông từ trả về cho doanh

nghiệp

3 Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng thời chuyển tiếp thông tin

thanh toán (số thé tin dung, ngay dao han, chủ thể .) đã được mã hoá đến máy

chú (Server, thiết bị xứ lý dữ liệu) của Trung tâm cùng cấp địch vụ xử lý thế trên

mạng Internet Với quá trinh mã hóa các thông tin thanh toán của khách hàng,

được bão mật an toàn nhằm chẳng giam lận Irong các giao địch (chẳng hạn doarh nghiệp sẽ không biết được thông tỉn vẻ thẻ tín dựng của khách hàng)

4 Khi Tnmg tâm Xử lý thé tín dụng nhận được thông tim thanh toán, sé giải mã

thông tín và xử lý giao dich ding sau bite tuong hia (FireWall) va tách rời mạng

Internet (off the Internet), nhằm mục địch bảo mật tuyệt đối cho các giao dich thương mại, định dang lai giao địch và chuyển liếp thông tím thanh toán đến ngân:

hàng của doanh nghiệp (Acquirer) theo mét dường dây thuê bao riêng (một

đường truyễn số liệu riêng biệt)

5 Ngân hàng của doanh nghiệp gôi thông điệp diện tử yêu câu thanh toán

(authorization request) dén ngân hàng hoặc công ty cung cấp thẻ tin dụng của

Trang 24

khách hàng (Issuer) Và tố chức tài chính này sẽ phăn hỏi là đồng ý hoặc từ chối

thánh loán đến trung lâm xử lý thé tin dung trén mang Internet

6 Trang, tim xử lý thẻ tin dụng trên Intemet sẽ tiếp tục clruyễn tiếp những thông tin

phản hỏi trên đến doanh nghiệp, và tùy theo đỏ doanh nghiệp thông bảo che khách hàng dược rõ là dơn dặt hàng sẽ được thực hiện hay không

7 Toản bộ thời gian thực hiện một giao dịch qua mạng từ bước Ì -> bước 6 được

xử lý trong khoảng 15 - 20 giây

Van dé quan trong của một hệ thỏng thương, mại diện tử là có một cách nào đó

để người mua kich vào phim mua hàng và chập nhận thanh toán Thực tế đang ding

3 cách thanh toán: bằng tiển rặt, bằng séc và hằng thé tin dung Cac cơ chế tương

tự cũng được sứ dụng cho kinh doanh trực tuyến Chúng ta sẽ lân lượt xem xét ting hình thức thanh Loán trên và bất đầu bằng hình thức để nhất để thực hiện thanh toán trực tuyến là thẻ tin dụng,

2.3.1 Thế tín dụng

Thể tín dụng đã được xử lý điện Lử hàng thập kỹ nay Chúng được sử dụng đầu tiên trong các nhả hàng khách sạn, sau đó là các của hảng bách hoá Cả một ngành công

nghiệp lớn đang tổn tại trong lĩnh vực xử lý các giao dich thé tin dụng trực tuyển với

cáp công ty như: Fust Dafa Corp, Total Systeru Corp, và Kational Data Corp, chủ tiết hoá các giao địch phia sau mồi quan hệ giữa nhá hàng, người bán hàng vả người sử đụng thể tín dụng Hàng triệu các cửa hàng bách hoá trên toàn nước Mỹ được trang bị

các trạm đầu cuối ( Hewlett-Packape Verifone lả nhà sản xuất hảng, đầu của thiết bị này

) thông qua đó thẻ tín đựng được kiểm tra, nhập số thẻ và biên lai này để xác thục việc mua hang

'Trước khi nhận số thế tin dụng của người mua qua lrternet ta cần có một chứng nhận người bán Nếu ta đã hoạt đông kinh doanh thi đơn giản là yêu cảu cung cấp chứng, nhận Nếu chưa có bắt cử cái gì thì ba có thế thục hiện việc này rữnh chống lại một

nhà băng nảo đó hoặc truy nhập vào một WIB site có cáo mẫu đăng ký trực tuyển Sử

Trang 25

dung thé tín dựng trực tuyến ngày hêm nay, tuy nhiên, giồng như việc sử đựng chúng

với muột \*operaling standing by\" Số

thể và chỉ tiết của giao địch được lưu lại và xứ lý,

nhưng không cỏ sự xuất hiện cứa người mua và khi cỏ một vụ thanh toán bị lỡ thi nò

vẫn được lưu lại trên hệ thông Bởi lý đo này cáo chỉ phí xử lý thẻ tin dụng trực tuyến

nhiều ngang bằng với chỉ phí để xử lý một giao dịch chứ không ngang bằng với một

mnức phí hư điện thoại và thỏng thường là vào khoảng SƠ xen (Các giao dịch được xử

ly thông qua các trạm đầu cuối đã được hợp đẳng chỉ mất khoảng từ 3 đến 5 xen),

Ngoài các khoản trên, phí được giảm nhỏ việc sử dụng các dịch vụ của Visa va AMasterCard, là các tổ hợp của các nhà băng, hoặc Amerioan Iixpress Co Và Discover

1à các công ly riêng rẽ xú lý và quân lý các giao dịch thể lin dụng Điều đó có ngiữa là

ta sé phai trả từ 2 đến 3 xen cho một đô la khi sử dụng Visa hay MasterCard, va it hon

một chút với Discœver, đổi với American Express phi này vào khoảng 5 xen cho một đô

c tho ước giữa các công ty cung cấp thê và cáo chủ đoanh nghiệp giúp cho khách

hàng không phải trả các chỉ phí nảy Việc chiết khẩu cũng khác giữa người sử dụng tại

trạm đầu cuối nơi mà thẻ tín dụng tôn lại raột

ach vat lý, và môi gường WEB nơi mà

thẻ không hiện diện Trong quả trình chuyên đôi dễ chiết khẩu người bản được dám bảo thanh toán Người mua được đâm bảo về việc sẽ nhận được hàng hoá và một sé dam

bảo cỏ giới hạn khác chồng lại việc bị lừa hoặc mắt thể (Bảo hiểm thê được bản bởi

các nhà băng phát hành thẻ và các rúi ro sẽ được thanh toán) Cửa bàng trên WIIH cần phan mềm nào để có thể xử lý thẻ tín đụng? ở mức don giản nhất, phải có sẵn mệt số

biểu mẫu có khả năng mã hoá bảo một, thông thường là Sercure Socket I.aycr (SSL),

một tiêu chuẩn đối với cả các trình duyệt của Microsoft va Netscape, va diéu dé cing

Tiêu đề	Luận văn tìm hiểu về các vấn đề bảo mật thông tin trong thương mại điện tử và giải pháp
Tác giả	Phạm Minh Huyền, Phạm Minh dluyộn
Người hướng dẫn	TS. Tờ Phờ Đồ
Trường học	Đại học Quốc Gia Hà Nội
Chuyên ngành	Công nghệ thông tin
Thể loại	Báo cáo tốt nghiệp
Năm xuất bản	2009
Thành phố	Hà Nội

Định dạng
Số trang	50
Dung lượng	1,02 MB