Ngày nay người ta hiểu khái niệm thương mại điện tử thông thường là tất cả các phương pháp tiến hành kinh doanh và các quy trình quản trị thông qua các kênh điện tử mà trong đó Internet
Trang 1Trường ĐH Bách khoa Hà Nội
Báo cáo đề tài nhánh 4
Thuộc đề tài:
Nghiên cứu xây dựng hệ thống kiểm soát trung cập mạng và an ninh thông tin dựa trên sinh trắc học sử dụng công nghệ nhúng
Chủ nhiệm đề tài: Nguyễn Thị Hoàng Lan
8600-4
Hà Nội - 2010
Trang 2BỘ KHOA HỌC VÀ CÔNG NGHỆ BỘ GIÁO DỤC VÀ ĐÀO TẠO
Trường Đại học Bách khoa HN
CHƯƠNG TRÌNH KHCN CẤP NHÀ NƯỚC KC.01/06-10
BÁO CÁO NHÁNH 4
KẾT QUẢ KHOA HỌC CÔNG NGHỆ ĐỀ TÀI Nghiên cứu xây dựng hệ thống kiểm soát truy cập mạng và an ninh thông tin dựa trên sinh trắc học
sử dụng công nghệ nhúng
Mã số đề tài: KC.01.11/06-10
Cơ quan chủ trì đề tài: Đại học Bách khoa Hà Nội
Hà Nội - 11/2010
Trang 31
MỤC LỤC
Chương 1 Cơ sở pháp lý về PKI, các chính sách và giao dịch điện tử ở Việt Nam 7
1.1 Khảo sát thực trạng giao dịch điện tử và nhu cầu bảo mật an toàn thông tin, những giải pháp về an toàn thông tin cho các giao dịch điện tử trên thế giới và Việt Nam 7
1.1.1 Tổng quan 7
1.1.2 Khái quát về thực trạng ứng dụng thương mại điện tử ở thế giới và Việt Nam 10
1.1.3 An toàn, bảo mật thông tin đối với thương mại điện tử 16
1.2 Khảo sát các quy định, chính sách về bảo đảm an toàn an ninh hệ thống sử dụng các dấu hiệu sinh trắc ở Việt Nam 31
1.2.1 Nhu cầu đảm bảo an toàn thông tin sử dụng dấu hiệu sinh trắc 31
1.2.2 Khảo sát Bio PKI - khả năng triển khai – vân tay, thẻ thông minh trên thế giới 37
1.2.3 Khảo sát Bio PKI - khả năng triển khai – vân tay, thẻ thông minh ở Việt Nam 41
1.2.4 Một số quy định, chính sách liên quan đến vấn đề giao dịch điện tử và đảm bảo an toàn thông tin sử dụng dấu hiệu sinh trắc của Việt Nam 44
Chương 2 Mô hình triển khai PKI và các ứng dụng giao dịch điện tử trên nền PKI ở Việt Nam 49
2.1 Khảo sát các mô hình, chính sách, các kiến trúc hệ PKI theo chuẩn đang được sử dụng trên thế giới 49
2.1.1 Yêu cầu chứng thực trong các giao dịch điện tử 49
2.1.2 Các dịch vụ an toàn 50
2.1.3 Bảo đảm an toàn thông tin bằng mật mã 52
2.2 Hạ tầng khoá công khai - PKI 58
2.2.1 Công nghệ và chuẩn 59
2.2.2 Các thành phần của PKI 64
2.2.3 Các mô hình PKI 80
2.2.4 Các chính sách 87
2.3 Các mô hình và giải pháp triển khai hệ thống PKI đang được áp dụng tại các cơ quan kinh doanh và Chính phủ tại Việt Nam 90
2.3.1 Khái quát thực trạng bảo mật của Việt Nam 90
2.3.2 Thực trạng triển khai công nghệ PKI ở Việt Nam 94
2.3.3 Thực tế mô hình PKI đang được sử dụng tại cơ quan, doanh nghiệp Việt Nam 96
2.4 Khảo sát một số mô hình BioPKI 100
2.4.1 Mô hình BioPKI 200 100
2.4.2 Khảo sát mô hình BioPKI của Index Security 104
Chương 3 Khảo sát hệ thống an ninh BioPKI 111
3.1 Mô hình kiến trúc tổng thể hệ thống BioPKI 111
3.2 Khảo sát các thành phần chức năng trong hệ thống BioPKI 114
Trang 42
3.2.1 Hệ thống con CA 114
3.2.2 Hệ thống con RA 118
3.2.3 Hệ thống con LRA 120
3.3 Khảo sát một số dịch vụ lõi của hệ thống BioPKI 122
3.3.1 Quản lý người dùng 122
3.3.2 Cấp phát chứng thư mới 124
3.3.3 Hủy chứng thư theo yêu cầu 132
3.4 Khảo sát giải pháp tích hợp sinh trắc và công nghệ nhúng trong hệ thống BioPKI 135
3.4.1 Giải pháp tích hợp sinh trắc và công nghệ nhúng bảo vệ khóa cá nhân 135
3.4.2 Quá trình xác thực đa sinh trắc khi đọc thẻ Bio-PKI 138
Chương 4 Xây dựng mô hình chữ kí số và thiết kế các thành phần ứng dụng chữ kí số trên nền hệ thống BioPKI 140
4.1 Khái quát chung về chữ kí số 140
4.1.1 Khái niệm chữ kí số 140
4.1.2 Chữ kí số trực tiếp 141
4.1.3 Chữ kí số có trọng tài 144
4.1.4 Chuẩn chữ kí số 145
4.2 Mô hình chữ kí số trên nền hệ thống BioPKI 148
4.2.1 Thiết kế kịch bản ứng dụng 149
4.2.2 Kịch bản thử nghiệm tất cả các thành phần của hệ thống, ứng dụng chữ kí số 154
4.3 Phân tích thiết kế các thành phần của ứng dụng chữ kí số 157
4.3.1 Phân tích yêu cầu 157
4.3.2 Phân tích các chức năng của ứng dụng chữ kí số 158
4.3.3 Biểu đồ phân cấp chức năng của ứng dụng chữ kí số 159
4.3.4 Cài đặt và thử nghiệm các thành phần chữ kí số 160
4.4 Đề xuất các giải pháp triển khai ứng dụng chữ kí số trên nền BioPKI 162
4.4.1 Triển khai hệ thống BioPKI 162
4.4.2 Triển khai chữ kí số trên ứng dụng Application-based 169
4.4.3 Triển khai chữ kí số trên các ứng dụng Web-based 172
4.5 Xây dựng thử nghiệm ứng dụng chữ kí số trên nền BioPKI (mô hình ứng dụng xác thực bảng điểm) 175
4.5.1 Phân tích yêu cầu 175
4.5.2 Phân tích các giải pháp chức năng 177
4.5.3 Kịch bản thử nghiệm ứng dụng 183
Chương 5 Ứng dụng chữ kí số trên nền BioPKI và các ứng dụng trong thực tiễn 185
5.1 Ứng dụng trên nền Desktop: hệ thống phần mềm 185
5.1.1 Giới thiệu phần mềm 185
5.1.2 Thiết kế hệ thống 187
5.2 Ứng dụng trên nền Web 194
5.2.1 Đặt vấn đề 194
Trang 53
5.2.2 Giải pháp cho bài toán 196
5.2.3 Mục tiêu và việc thực hiện xây dựng Website 197
5.2.4 Nội dung tóm tắt yêu cầu của Website 197
5.2.5 Phân tích thiết kế hệ thống 198
5.3 Đánh giá thử nghiệm các phiên bản ứng dụng hệ BioPKI dùng công nghệ nhúng 210
5.3.1 Mục đích 210
5.3.2 Khảo sát hệ thống hiện tại 211
5.3.3 Thông tin chung 212
5.3.4 Phạm vi thử nghiệm 212
5.3.5 Các yêu cầu cho thử nghiệm 213
5.3.6 Thử nghiệm 213
5.4 Khảo sát về khả năng áp dụng hệ thống BioPKI trong giao dịch điện tử và xây dựng mô hình giải pháp để triển khai ứng dụng trong thực tế 222
5.4.1 Khảo sát khả năng áp dụng hệ thống BioPKI trong giao dịch điện tử 222
5.4.2 Xây dựng mô hình giải pháp để triển khai ứng dụng trong thực tế 226
Chương 6 Kết quả thử nghiệm triển khai ứng dụng chữ kí số tại phòng thí nghiệm 229
6.1 Phương pháp và môi trường thử nghiệm 229
6.1.1 Mô hình hệ thống thử nghiệm 229
6.1.2 Phương pháp thử nghiệm 230
6.2 Nội dung và kết quả thử nghiệm 231
6.3 Đánh giá kết quả thử nghiệm 233
TỔNG HỢP CÁC KẾT QUẢ VÀ KẾT LUẬN 234
TÀI LIỆU THAM KHẢO 237
Trang 64
DANH MỤC CÁC BẢNG
Bảng 2.1 Dịch vụ ứng dụng PKI 95
Bảng 2.2 Các dịch vụ ứng dụng PKI theo từng khu vực 96
Bảng 6.1 Nội dung và kết quả thử nghiệm 231
Bảng 6.2 Đánh giá kết quả thử nghiệm 233
Trang 75
DANH MỤC HÌNH VẼ
Hình 2.1 Mô hình mã hóa đối xứng 53
Hình 2.2 Mô hình hệ mã hóa đối xứng 54
Hình 2.3 Mô hình mật mã khoá công khai đảm bảo tính mật [2] 56
Hình 2.4 Mô hình mã hóa khóa công khai đảm bảo tính xác thực [2] 56
Hình 2.5 Cấu trúc chứng thư số 62
Hình 2.6 Mô hình hoạt động của một CA 65
Hình 2.7 Mô hình hoạt động RA – LRA 69
Hình 2.8 Cấu trúc cây thư mục và các thư mục 71
Hình 2.9 Các lựa chọn khai thác kho giữa các vùng kho chứa vùng biên 78
Hình 2.10 Kiến trúc PKI với một CA đơn 81
Hình 2.11 Kiến trúc PKI cây phân cấp 82
Hình 2.12 Kiến trúc PKI mắt lưới 84
Hình 2.13 Kiến trúc chứng thực chéo 85
Hình 2.14 Kiến trúc CA cầu 87
Hình 2.15 Giao tiếp tích hợp sinh trắc BioPKI 200 101
Hình 2.16 Cấu hình hệ thống BioPKI 200 103
Hình 2.17 Hệ thống ứng dụng BioStik trên mạng Internet 107
Hình 3.1 Mô hình kiến trúc tổng thể hệ thống BioPKI 111
Hình 3.2 Kịch bản thêm người dùng mới tại LRA 122
Hình 3.3 Kịch bản xóa người dùng tại LRA 124
Hình 3.4 Giao dịch tại LRA thêm mới người dùng 125
Hình 3.5 Giao dịch xin cấp chứng thư mới tại LRA 126
Hình 3.6 Giao dịch xin cấp chứng thư mới tại RA 128
Hình 3.7 Giao dịch cấp chứng thư số mới tại CA-Operator 129
Hình 3.8 Giao dịch nhận thẻ trả về từ RA tại LRA 131
Hình 3.9 Giao dịch trả thẻ cho người dùng tại LRA 132
Hình 3.10 Giao dịch hủy chứng thư theo yêu cầu người dùng tại LRA 133
Hình 3.11 Giao dịch hủy chứng thư tại RA 134
Hình 3.12 Giao dịch hủy chứng thư tại CA-Operator 135
Hình 3.13 Mô hình sử dụng thẻ Bio-Etoken bảo vệ khóa cá nhân 136
Hình 3.14 Tích hợp sinh trắc và công nghệ nhúng vào hệ thống 137
Hình 4.1 Chữ kí số trực tiếp [2] 142
Hình 4.2 Chữ kí số trực tiếp (tiếp) 142
Hình 4.3 Sơ đồ chữ kí số theo chuẩn DSS 145
Hình 4.4 Quá trình kí và kiểm tra theo DSS 146
Hình 4.5 Biểu đồ usecase nhóm các chức năng liên quan tới ứng dụng trên nền PKI 148
Hình 4.6 Quy trình kí số trong hệ BioPKI 150
Hình 4.7 Quy trình xác thực chữ kí số 152
Hình 4.8 Quy trình giao tiếp thẻ Bio-Etoken 153
Hình 4.9 Quá trình kí có thử nghiệm hoạt động tất cả các thành phần của hệ thống BioPKI 154
Trang 86
Hình 4.10 Quá trình xác thực có thử nghiệm hoạt động tất cả các thành phần của hệ
thống BioPKI 156
Hình 4.11 Biểu đồ phân cấp chức năng của ứng dụng chữ kí số 160
Hình 4.12 Mô hình triển khai hệ thống BioPKI tại các đơn vị ứng dụng 162
Hình 4.13 Hạ tầng triển khai hệ thống BioPKI 164
Hình 4.14 Triển khai chữ kí số trên ứng dụng Application based 170
Hình 4.15 Tạo chữ kí trên tệp tin 171
Hình 4.16 Xác thực chữ kí trên tập tin 171
Hình 4.17 Sơ đồ phân cấp chức năng ứng dụng chữ kí số trên nền web-based 173
Hình 4.18 Chữ kí số trên nền Web-based 174
Hình 4.19 Nền tảng Web-based để xây dựng ứng dụng chữ kí số 175
Hình 4.20 Quá trình kí bảng điểm tại phòng Đào tạo 180
Hình 4.21 Quá trình ký bảng điểm tại văn phòng Khoa/Viện 180
Hình 4.22 Quá trình xác thực chữ ký phòng Đào tạo 181
Hình 4.23 Quá trình giảng viên ký lên bảng điểm 181
Hình 4.24 Quá trình xác thực chữ kí của giảng viên tại phòng đào tạo 182
Hình 4.25 Quá trình ký bảng điểm trước khi công bố 182
Hình 4.26 Kịch bản thử nghiệm ứng dụng 183
Hình 5.1:Lược đồ quan hệ thực thể Hồ sơ Cấp giấy phép SX KD SPMMDS 190
Hình 5.2:Lược đồ quan hệ thực thể Cấp giấy phép SX,KD SPMMDS 190
Hình 5.3: Sơ đồ tổng quan thủ tục cấp chứng nhận hợp chuẩn, hợp quy 191
Hình 5.4: Lược đồ quan hệ thực thể Cấp giấy chứng nhận HC-HQ 191
Hình 5.5: Lược đồ quan hệ thực thể Quản trị hệ thống 192
Hình 5.6:Giao diện chính của chương trình 192
Hình 5.7:Màn hình xác thực người dùng sử dụng thiết bị lưu khoá bí mật eToken 193
Hình 5.8: Quy trình xử lý hồ sơ thủ công 196
Hình 5.9: Quy trình Quản trị tin tức 199
Hình 5.10: Lược đồ quan hệ thực thể 207
Hình 5.11 Quá trình xác thực trên hệ thống website 218
Hình 5.12 Mô hình hoạt động của các ứng dụng khi thực hiện đăng nhập hệ thống 221
Hình 5.13 Mô hình tập trung 226
Hình 5.14 Mô hình phân tán 227
Hình 6.1 Mô hình hệ thống thử nghiệm 229
Trang 91.1.1 Tổng quan
Khái niệm “Thương mại điện tử” (còn gọi là thị trường điện tử, thị trường ảo, E-Commerce hay E-Business) ngày nay dường như đã trở nên quá quen thuộc với cộng đồng ứng dụng công nghệ thông tin vào các lĩnh vực của đời sống xã hội Đây là một hoạt động được thực hiện thông qua việc truyền
dữ liệu giữa các máy tính liên kết với nhau trong một mạng (như Internet)
Thương mại điện tử bao gồm tất cả các loại giao dịch thương mại mà trong đó các đối tác giao dịch sử dụng các kỹ thuật thông tin trong khuôn khổ chào mời, thoả thuận hay cung cấp dịch vụ
Hiện nay định nghĩa thương mại điện tử được rất nhiều tổ chức quốc tế đưa ra Một cách tổng quát, các định nghĩa thương mại điện tử được chia thành hai nhóm tuỳ thuộc vào 2 quan điểm khác nhau
Theo Tổ chức Thương mại thế giới (WTO) và Tổ chức hợp tác kinh tế châu Á-Thái Bình Dương (APEC) thì thương mại điện tử chỉ đơn thuần bó hẹp trong việc mua bán hàng hóa và dịch vụ thông qua các phương tiện điện
tử, nhất là qua Internet và các mạng liên thông khác
Tuy nhiên, theo quan điểm của Uỷ ban Liên hợp quốc về Luật Thương mại quốc tế (UNCITRAL) và Uỷ ban châu Âu thì thương mại điện tử là các giao dịch tài chính và thương mại bằng phương tiện điện tử Thương mại điện
tử theo quan điểm này bao gồm nhiều hành vi trong đó: hoạt động mua bán,
Trang 108
trao đổi hàng hoá, dịch vụ; chuyển tiền điện tử; mua bán cổ phiếu điện tử, vận đơn điện tử; đấu giá thương mại; mua sắm công cộng; đầu tư; cấp vốn; ngân hàng; bảo hiểm; tiếp thị; chăm sóc sức khoẻ; giáo dục Như vậy, phạm vi hoạt động của thương mại điện tử rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế, trong đó hoạt động mua bán hàng hoá và dịch vụ chỉ là một phạm vi rất nhỏ trong thương mại điện tử Do đó việc áp dụng thương mại điện tử sẽ làm thay đổi hình thái hoạt động của hầu hết nền kinh tế
Ngày nay người ta hiểu khái niệm thương mại điện tử thông thường là tất cả các phương pháp tiến hành kinh doanh và các quy trình quản trị thông qua các kênh điện tử mà trong đó Internet (hay ít nhất là các kỹ thuật và giao thức được sử dụng trong Internet) đóng một vai trò cơ bản và công nghệ thông tin được coi là điều kiện tiên quyết
Thông thường có 3 đối tượng chính tham gia vào hoạt động thương mại điện tử là: Người tiêu dùng – C (Consumer) giữ vai trò quyết định sự thành công của thương mại điện tử; Doanh nghiệp – B (Business) đóng vai trò là động lực phát triển thương mại điện tử và Chính phủ - G (Government) giữ vai trò định hướng, điều tiết và quản lý các hoạt động thương mại điện tử Từ
đó hình thành nên những mối quan hệ trong thị trường này:
- C2C (Consumer-To-Comsumer) Người tiêu dùng với Người tiêu dùng
- C2B (Consumer-To-Business) Người tiêu dùng với doanh nghiệp
- C2G (Consumer-To-Government) Người tiêu dùng với chính phủ
- B2C (Business-To-Consumer) Doanh nghiệp với Người tiêu dùng
- B2B (Business-To-Business) Doanh nghiệp với doanh nghiệp
- B2G (Business-To-Government) Doanh nghiệp với chính phủ
- G2C (Government-To-Consumer) Chính phủ với Người tiêu dùng
- G2B (Government-To-Business) Chính phủ với doanh nghiệp
- G2G (Government-To-Government) Chính phủ với chính phủ
Thương mại điện tử thường hoạt động dưới một số hình thức chính như sau:
Trang 119
- Thư điện tử (e-mail): các tổ chức, cá nhân có thể gửi thư cho nhau một cách trực tuyến thông qua mạng Đây là hình thức phổ biến nhất và dễ thực hiện nhất, hầu như mọi người ở mọi lứa tuổi đều có thể sử dụng
- Thanh toán điện tử (e-payment): là việc thanh toán tiền thông qua hệ thống mạng (chẳng hạn như: trả lương bằng cách chuyển tiền trực tiếp vào tài khoản, trả tiền mua hàng bằng thẻ tín dụng, thẻ mua hàng ) Ngoài ra, thanh toán điện tử còn áp dụng trong các dịch vụ như: trao đổi dữ liệu điện
tử tài chính (FEDI) phục vụ cho việc thanh toán điện tử giữa các công ty giao dịch với nhau bằng điện tử; tiền mặt Internet (Internet Cash) là tiền mặt được mua từ một nơi phát hành (ngân hàng hoặc tổ chức tín dụng) rồi được chuyển đổi sang các đồng tiền khác thông qua Internet; túi tiền điện
tử (electronic purse) là nơi để tiền mặt Internet, chủ yếu là thẻ thông minh smart card, tiền được trả cho bất kỳ ai đọc được thẻ; giao dịch ngân hàng
số hoá (digital banking), giao dịch chứng khoán số hoá (digital securities trading) phục vụ cho các hoạt động thanh toán giữa ngân hàng với khách hàng, giữa ngân hàng với các đại lý thanh toán, giữa hệ thống ngân hàng này với hệ thống ngân hàng khác hay thanh toán trong nội bộ một hệ thống ngân hàng
- Trao đổi dữ liệu điện tử (EDI) là việc chuyển giao thông tin từ máy tính điện tử này sang máy tính điện tử khác bằng phương tiện điện tử, có sử dụng một tiêu chuẩn đã được thỏa thuận để cấu trúc thông tin, công việc trao đổi thường là giao dịch kết nối, đặt hàng giao dịch gửi hàng hoặc thanh toán
- Truyền dung liệu: truyền nội dung của hàng hoá số, giá trị của nó không phải nằm trong vật mang tin mà nằm trong bản thân nội dung của nó, chẳng hạn như: tin tức, phim ảnh, chương trình phát thanh, truyền hình, chương trình phần mềm, vé máy bay, vé xem phim, hợp đồng bảo hiểm được số hoá và truyền gửi theo mạng
Trang 1210
- Mua bán hàng hoá hữu hình: hàng hoá hữu hình là tất cả các loại hàng hoá
mà con người sử dụng được chào bán và được chọn mua thông qua mạng như: ô tô, xe máy, thực phẩm, vật dụng, thuốc, quần áo Người mua xem hàng, chọn hàng hoá và nhà cung cấp trên mạng, sau đó xác nhận mua và trả tiền bằng thanh toán điện tử Người bán sau khi nhận được xác nhận mua và tiền điện tử của người mua sẽ gửi hàng hoá theo đường truyền thống đến tay người mua
Các hình thức hoạt động của thương mại điện tử vẫn đang ngày một mở rộng và có nhiều sáng tạo Ngày nay, rất nhiều ngành công nghiệp cũng như các lĩnh vực xã hội khác nhau cũng tham gia vào thị trường thương mại điện
tử Và như vậy, lợi ích mà thương mại điện tử đem lại cho cuộc sống của con người hiện đại cũng ngày một mở rộng hơn, nâng cao hơn
1.1.2 Khái quát về thực trạng ứng dụng thương mại điện tử ở thế giới và
tử mở rộng đến các hoạt động trao đổi nội bộ dữ liệu điện tử và thư viện điện
tử Các dịch vụ trực tuyến bắt đầu xuất hiện vào giữa những năm 1980 Chỉ đến thập kỷ 1990, thương mại điện tử mới chuyển từ các hệ thống cục bộ sang mạng toàn cầu Internet Hàng loạt các tên tuổi lớn (Amazon.com, Yahoo!, eBay.com, NTTDoMoCo, Dell, Electrolux, WallMart ) đã khẳng định và
Trang 132000 đạt hơn 700 tỷ USD, năm 2005 đạt khoảng 3.893,5 tỷ USD và năm 2009 đạt gần 8.000 tỷ USD
Theo một thống kê của Miniwatts Marketing Group thì tính đến hết tháng 3 năm 2008, Mỹ vẫn là quốc gia đứng đầu thế giới về số lượng người
sử dụng Internet (trên 218 triệu người), chiếm 71,9% dân số trong nước và 15,5% người dùng thế giới, tốc độ tăng trưởng giai đoạn 2000-2008 là 128,9% Xếp thứ 2 sau Mỹ là Trung Quốc chiếm 14,9% người dùng thế giới, tốc độ tăng trưởng giai đoạn 2000-2008 là 833,3% Nhật Bản đứng thứ 3 trong bảng xếp hạng, Hàn Quốc đứng thứ 9 và Việt Nam đứng thứ 17 sau Indonesia
Song hành với sự phát triển mạnh mẽ của Internet thì các dịch vụ ứng dụng của nó cũng phát triển một cách nhanh chóng, đặc biệt là các dịch vụ thương mại điện tử Sự phát triển của thương mại điện tử dường như không có giới hạn mặc dù gặp khá nhiều trở ngại Cụ thể là trong những năm qua, tuy
có thời gian các công ty thương mại điện tử gặp phải không ít khó khăn, song
tỷ lệ tăng việc làm trong các công ty này (khoảng 10%) vẫn tăng nhanh hơn tỷ
lệ tăng việc làm của toàn bộ nền kinh tế Những công việc liên quan đến mạng Internet cũng tăng khoảng 30% Theo kết quả điều tra của Công ty Tình báo kinh tế (EIU) thuộc tạp chí The Economist, triển vọng phát triển thương mại điện tử trên thế giới rất tươi sáng, đặc biệt là khu vực Châu Á
Thương mại điện tử càng lúc càng phát triển trên thế giới và doanh thu
do thương mại điện tử mang lại cũng tăng gần gấp đôi mỗi năm, đó là lý do
Trang 14- Đạo luật của Pháp ngày 13 tháng 3 năm 2000 về giao dịch điện tử;
- Luật của California số 820 ngày 16 tháng 9 năm 2000 về giao dịch điện tử;
- Văn bản số 62 năm 1999 của Thượng viện Georgia giải thích về thương mại điện tử và chữ ký điện tử;
- Luật chữ ký điện tử năm 1995 của Utah's;
- Luật về chữ ký điện tử của Đức ngày 11 tháng 6 năm 1997;
- Luật của Singapore số 23-98 năm 1998 về giao dịch điện tử được thông qua ngày 29 tháng 6 năm 1998;
- Luật thống nhất về giao dịch điện tử của Mỹ ngày 23-30 tháng 7 năm 1999;
Năm 1996, trên bình diện quốc tế, tổ chức UNCITRAL đã thông qua Luật mẫu về thương mại điện tử và đã được đưa vào hệ thống luật của nhiều nước (Colombia, Pháp, Hàn Quốc, Singapore, Illinois ) và sắp sửa được đưa vào hệ thống luật một số nước khác (Achentina, Malaixia)
Ngoài ra, tổ chức UNCITRAL còn đưa ra những qui tắc thống nhất về chữ ký điện tử để bảo đảm độ an toàn, độ tin cậy của giao dịch điện tử và đã được thông qua năm 2001 Những qui tắc này đã được sử dụng làm cơ sở cho những qui định pháp lý về chữ ký điện tử ở Singapore
Liên minh Châu Âu cũng có một khuôn khổ pháp lý thống nhất trong lĩnh vực này, trong đó có:
Trang 1513
- Thông tư số 95/46/CE của Nghị viện Châu Âu và Hội đồng Châu Âu ngày
24 tháng 10 năm 1995 về việc bảo hộ dữ liệu cá nhân;
- Thông tư số 1999/93/CE ngày 13 tháng 12 năm 1999 của Nghị viện Châu
Âu và hội đồng Châu Âu về khuôn khổ chung của chữ ký điện tử
1.1.2.2 Thực trạng ứng dụng thương mại điện tử ở Việt Nam
1.1.2.2.1 Thực trạng
Trong bảng xếp hạng của Miniwatts Marketing Group, tính đến hết tháng 3 năm 2008, Việt Nam đứng thứ 17 trong top các quốc gia có nhiều người sử dụng Internet nhất thế giới và có tốc độ tăng trưởng số người dùng internet nhanh số 1 thế giới (giai đoạn 2000-2008), tăng 9.561,5 %, gấp 7,8 lần so với quốc gia đứng thứ hai [1] So với các quốc gia trong khu vực Châu
Á, tính đến hết năm 2007, Việt Nam chúng ta hiện có số người sử dụng internet nhiều thứ năm, sau Trung Quốc, Nhật Bản, Ấn Độ, Hàn Quốc, Indonexia
Với tốc độ phát triển mạnh mẽ như vậy nên các ứng dụng của Internet, đặc biệt là các dịch vụ thương mại điện tử được tiếp nhận một cách nhanh chóng Thương mại điện tử đã manh nha xuất hiện tại Việt Nam từ những năm 1998 Và năm 2006 là năm có ý nghĩa đặc biệt đối với thương mại điện
tử Việt Nam Đó là năm đầu tiên thương mại điện tử được pháp luật thừa nhận chính thức khi Luật Giao dịch điện tử, Luật Thương mại (sửa đổi), Bộ luật Dân sự (sửa đổi) và Nghị định Thương mại điện tử có hiệu lực Năm
2006 cũng là năm đầu tiên triển khai Kế hoạch tổng thể phát triển thương mại điện tử giai đoạn 2006-2010 theo Quyết định số 222/2005/QĐ-TTg ngày 15 tháng 9 năm 2005 của Thủ tướng Chính phủ
Theo kết quả khảo sát điều tra của Bộ Công thương năm 2007 về mức
độ sẵn sàng ứng dụng thương mại điện tử trong các doanh nghiệp thuộc các ngành nghề khác nhau của Việt Nam cho thấy trung bình mỗi doanh nghiệp
có 22.9 máy tính (năm 2006 là 17.6), 89% doanh nghiệp có từ 1 đến 50 máy
Trang 1614
[1], trong đó ngành ngân hàng, tài chính, tư vấn, bất động sản và dịch vụ công nghệ thông tin-thương mại điện tử có tỷ lệ trang bị máy tính cao nhất Bên cạnh đó, tình hình đào tạo công nghệ thông tin và thương mại điện tử cũng có
sự biến chuyển nhanh chóng và càng ngày càng được quan tâm đầu tư hơn Năm 2004, chi phí cho đào tạo chỉ chiếm bình quân 12,3% tổng số chi phí công nghệ thông tin của doanh nghiệp thì năm 2007, con số này đã tăng lên đến 20,5% Hơn nữa, trong số các doanh nghiệp được khảo sát thì có đến 97% doanh nghiệp đã kết nối Internet Điều này cho thấy độ sẵn sàng cho thương mại điện tử của các doanh nghiệp là rất cao
Kết quả điều tra trong 2 năm 2006 và 2007 cho thấy ứng dụng thương mại điện tử của doanh nghiệp ngày càng mở rộng trên mọi cấp độ và phát triển nhanh ở những ứng dụng có độ phức tạp cao Tỷ lệ doanh nghiệp có website năm 2007 là 38%, tỷ lệ tham gia sàn giao dịch là 10%, tỷ lệ kết nối cơ
sở dữ liệu với đối tác là 15% và có đến 80% doanh nghiệp được khảo sát có
sử dụng hình thức ứng dụng thương mại điện tử phổ biến là e-mail trong đó
có 65% doanh nghiệp nhận đặt hàng qua thư điện tử Trong các doanh nghiệp hiện nay, tỷ lệ cán bộ chuyên trách về thương mại điện tử cũng gia tăng rõ rệt với mức trung bình là 2.7 người trong một doanh nghiệp, tăng gấp đôi so với con số 1.5 của năm 2006
Một số hoạt động nổi bật về thương mại điện tử của Việt Nam trong vài năm gần đây [1]:
− Năm 2006, “Chiến lược 459” được thành lập và được xem là chiến lược
về IT nhằm quản lý thị trường công nghệ thông tin và gia tăng các công
cụ sử dụng internet bằng việc sử dụng các dịch vụ trực tuyến đáp ứng được nhu cầu nhanh chóng và dễ dàng sử dụng của các doanh nghiệp cũng như cá nhân Do vậy, tỉ lệ phát triển thương mại điện tử cũng được
mở rộng dần dần Ngoài ra, việc đầu tư vào phần mềm và dịch vụ cũng
đã làm tăng các giao dịch B2B và B2C
Trang 1715
− Bộ Thương mại VN (nay là Bộ Công thương) đã đề xuất “Chiến lược phát triển thương mại điện tử VN 2006-2010” Mục tiêu của chiến lược đặt ra là đến năm 2010, hơn 90% doanh nghiệp nhỏ và vừa ứng dụng thương mại điện tử trong kinh doanh, 70% doanh nghiệp thực hiện giao dịch B2B, 30% tổ chức chính phủ thực hiện mua bán bằng con đường trực tuyến, và 15% hộ gia đình sử dụng thương mại điện tử
− Các nội dung chính trong 6 đường lối chỉ đạo của Đảng: tăng cường giáo dục/đào tạo trong các tổ chức chính quyền cùng với thương mại điện tử
và giáo dục/đào tạo cho các doanh nghiệp nhỏ và vừa và đối tượng thanh niên thành phố Đường lối chỉ đạo cũng chỉ rõ rằng việc tăng cường bảo mật cũng sẽ được thi hành nhằm bảo vệ quyền sở hữu trí tuệ và thông tin
cá nhân khách hàng
− Cổng thương mại điện tử đầu tiên của VN được khai trương năm 2005
và hiện tại các giao dịch đang được thực hiện đối với những mặt hàng trong 18 lĩnh vực, 14 dịch vụ bổ sung cũng được cung cấp
1.1.2.2.2 Một số vấn đề cản trở sự phát triển của TMĐT ở VN
Tuy nhiên, bên cạnh những thành công và thuận lợi thì thương mại điện
tử của Việt Nam cũng đang phải đối mặt với một số vấn đề lớn làm cản trở sự phát triển và mở rộng thị trường, hợp tác quốc tế
Trước hết là một số quy định bất hợp lý cho thương mại điện tử vẫn còn tồn tại Những quy định về cấp phép thành lập website hay mua bán tên miền chưa phù hợp với thực tiễn Cùng với tiến bộ công nghệ, sự phát triển phong phú, đa dạng của thương mại điện tử luôn đặt ra những vấn đề mới cho
hệ thống pháp luật về thương mại điện tử Sự bùng nổ của trò chơi trực tuyến dẫn đến nhu cầu xác định tính hợp pháp của tài sản ảo, các vụ tranh chấp về tên miền cho thấy cần có tư duy quản lý thích hợp với loại tài nguyên đặc biệt này, việc gửi thư điện tử quảng cáo thương mại với số lượng lớn đòi hỏi phải
có biện pháp bảo vệ người tiêu dùng
Trang 1816
Tiếp đến là vấn đề an toàn, an ninh mạng, tội phạm liên quan đến thương mại điện tử Những hành vi lợi dụng công nghệ để phạm tội ngày một gia tăng; tình trạng đột nhập tài khoản, trộm thông tin thẻ thanh toán đã gây ảnh hưởng không nhỏ đến các hoạt động thương mại điện tử lành mạnh Bên cạnh đó, hình thức thanh toán điện tử hay giao dịch điện tử ở Việt Nam cho đến nay hầu như vẫn chưa thực sự đáp ứng được nhu cầu của người dùng do các vấn đề luật pháp, về ngân hàng và các nhà cung cấp dịch vụ thanh toán trung gian Do vậy, người mua hàng trên mạng cuối cùng vẫn phải thanh toán bằng tiền mặt hoặc chuyển khoản cho nhà cung cấp qua 1 thiết bị trung gian khác mà không có thể thanh toán trực tiếp trên website bán hàng Chính điều này đã gây cản trở không ít đến các hoạt động trực tuyến, gia tăng chi phí và tổn hại kinh tế của người tham gia
Ngoài ra, nhận thức của doanh nghiệp và người dân về thương mại điện
tử nhìn chung vẫn còn thấp và chưa phổ biến rộng rãi, đồng đều trên khắp các tỉnh thành, chủ yếu là tập trung vào các thành phố lớn; cơ sở hạ tầng phục vụ cho thương mại điện tử còn yếu kém, sơ sài Do vậy cũng gây ảnh hưởng không nhỏ đến sự phát triển của thương mại điện tử ở Việt Nam
1.1.3 An toàn, bảo mật thông tin đối với thương mại điện tử
1.1.3.1 Nhu cầu bảo mật thông tin của thương mại điện tử
Lợi ích của thương mại điện tử đối với nền kinh tế quốc dân cũng như
sự phát triển về mặt công nghệ và thị trường toàn cầu là vô cùng to lớn Tuy nhiên, song hành cùng với những thuận lợi bao giờ cũng nảy sinh và tồn tại khó khăn Vấn đề đáng lo ngại nhất hiện nay mà tất cả các quốc gia đều phải đối mặt đó là sự tấn công, phá hoại của một số phần tử xã hội, gây ảnh hưởng không nhỏ đến nền kinh tế Các cuộc tấn công mạng trên toàn cầu gây thiệt hại hàng tỉ USD mỗi năm và con số này đang không ngừng gia tăng Theo thống kê của Ủy ban Thương mại Liên bang Hoa Kỳ năm 2004, việc mất dữ liệu ở Mỹ trong 5 năm đã gây thiệt hại 60 tỉ USD Còn theo Computer
Trang 1917
Economics năm 2004, chỉ riêng 4 loại sâu máy tính MyDoom, Bagel, Netsky
và Sasser đã gây tổng thiệt hại đến 11 tỉ USD Tháng 1/2002, Cloud Nine - nhà cung cấp dịch vụ tại châu Âu - đã bị phá sản chỉ vì các cuộc tấn công từ chối dịch vụ… Một vấn đề bức xúc được đặt ra là các giải pháp an toàn thông tin cho thương mại điện tử Ngày nay, các phương thức bảo vệ hệ thống máy tính truyền thống như sử dụng các chương trình quét và diệt virus ngày càng giảm tính hiệu quả và hầu như không còn tự bảo vệ hệ thống được nữa Hàng năm, mỗi quốc gia phải chi trả một khối lượng chi phí không nhỏ cho các hoạt động này nhằm đem lại quyền lợi cho người dùng Vấn đề đảm bảo an ninh quốc gia trong thời đại toàn cầu hoá về thông tin đã trở thành một thách thức lớn ngay cả với các quốc gia có một nền công nghệ thông tin hùng mạnh
Theo các thống kê gần đây, một loạt các vụ tấn công của bọn tội phạm vào các máy tính kết nối tới Internet đã thúc đẩy Cơ quan an ninh (Defense Information Systems Agency) siết chặt các chính sách và thủ tục đảm bảo an toàn trong cơ sở hạ tầng thông tin Các vụ tấn công vào ngân hàng đã tăng lên một cách đáng báo động từ tháng 4 năm 1994, khi Đội hành động khẩn cấp (Computer Emergency Response Team) đưa ra cảnh báo rằng họ không biết những kẻ xâm nhập và lấy cắp mật khẩu Internet sử dụng một chương trình gọi là “sniffer” Đây là một chương trình hoạt động lén lút nhằm lưu giữ các mật khẩu đăng nhập của người sử dụng Số mật khẩu bị lấy cắp trong loạt tấn công đó được thống kê là khoảng 1 triệu hoặc nhiều hơn
Từ năm 1991, Bộ Thương mại và công nghiệp – DTI của Anh đã tài trợ cho hoạt động nghiên cứu về lỗ hổng an ninh thông tin nhằm giúp cho các doanh nghiệp trong nước hiểu rõ hơn về những rủi ro mà họ đang phải đối mặt Bản khảo sát 2006 – ISBS 2006 - là bản khảo sát thứ 8 về vấn đề này đã chỉ ra những thực trạng mà giới doanh nghiệp cũng như chính phủ, cộng đồng cần quan tâm ISBS 2006 cho thấy rằng nước Anh vẫn tiếp tục gia tăng kết nối tới Internet với một số lượng khổng lồ các doanh nghiệp Tuy nhiên, các
Trang 20ra, an ninh mạng Việt Nam năm 2007 thực sự là một năm bất ổn và được coi
là năm “báo động đỏ” Hàng nghìn virus mới xuất hiện, những cuộc tấn công
có chủ đích của giới hacker vào các website của các cơ quan, tổ chức và doanh nghiệp đã gây ra những hậu quả nhất định cho các đơn vị này Nhiều hoạt động phạm pháp, lợi dụng Internet làm môi trường hoạt động, tình trạng phát tán thư rác, virus tăng theo cấp số nhân Theo ước tính, năm 2007 ở nước ta thiệt hại do virus gây ra có thể lên tới hơn 2 nghìn tỉ đồng Đầu năm
2008, các số liệu thống kê cho thấy, tình hình mất an toàn an ninh mạng vẫn không có dấu hiệu giảm Theo nhận định của các chuyên gia, năm 2008 vẫn tiếp tục xuất hiện nhiều biến thể virus mới Virus, Spyware, Adware, Rootkit sẽ vẫn tiếp tục xuất hiện hàng ngày và tập trung tấn công vào từng nhóm đối tượng có chủ đích thay vì tấn công chung chung trên diện rộng Do
đó, con số thiệt hại cũng sẽ tăng lên một cách đáng báo động
Trong bối cảnh ứng dụng thương mại điện tử ngày càng phát triển, việc thu thập thông tin khách hàng trên môi trường mạng đang trở thành xu hướng tất yếu trong hoạt động phát triển kinh doanh của doanh nghiệp Các giao dịch thương mại điện tử giữa doanh nghiệp với cá nhân (B2C), các hoạt động thu thập và xử lý dữ liệu, tiếp thị, quản trị quan hệ khách hàng (CRM), v.v… diễn
ra ngày càng phổ biến Những hoạt động này đặt ra nhu cầu lớn về thông tin
cá nhân, bao gồm cả những thông tin riêng tư nhất Nhiều công nghệ tiên tiến như cookies, rệp web, định vị toàn cầu và các cơ sở dữ liệu số hoá cho phép các công ty chuyên hoạt động kinh doanh trên Internet có thể tự động thu thập
Trang 21Các hiểm hoạ đối với thương mại điện tử có thể xảy ra ở bất kỳ mắt xích nào trong dây chuyền thương mại, bắt đầu với một máy khách, kết thúc với các máy chủ thương mại và văn phòng Tuy nhiên, cũng có những hiểm hoạ khó phát hiện hơn, chúng là các applet phía máy khách Nói chung, các kênh truyền thông và Internet là những điểm yếu đặc biệt dễ bị tấn công Internet là một mạng rộng lớn và không một ai có thể kiểm soát hết được các nút mà thông tin đi qua Các hiểm hoạ luôn có khả năng xảy ra Dạng tấn công kiểu sâu Internet được tung ra trong năm 1998 là một ví dụ điển hình về hiểm hoạ an toàn, nó sử dụng Internet như là một công cụ đi khắp thế giới và lây nhiễm sang hàng ngàn máy tính chỉ trong vài phút
Cũng giống như các máy khách, máy chủ thương mại là đối tượng của các hiểm hoạ an toàn Trầm trọng hơn, các hiểm hoạ an toàn có thể xảy ra với bất kỳ máy khách nào kết nối với máy chủ Các chương trình CGI chạy trên các máy chủ có thể gây thiệt hại cho các cơ sở dữ liệu, các phần mềm cài đặt trong máy chủ và sửa đổi các thông tin độc quyền nhưng khó bị phát hiện Các tấn công có thể xuất hiện ngay trong máy chủ (dưới hình thức các chương trình) hoặc có thể đến từ bên ngoài Một tấn công bên ngoài xảy ra khi một thông báo tràn ra khỏi vùng lưu giữ nội bộ của máy chủ và ghi đè lên các thông tin thiết yếu Thông tin này có thể bị thay thế bằng dữ liệu hoặc các chỉ lệnh, các chương trình khác trên máy chủ thực hiện các chỉ lệnh này Việc bảo
Trang 2220
vệ các tài sản điện tử không phải là một tuỳ chọn, mà nó thực sự cần thiết khi thương mại điện tử ngày càng phát triển Thế giới điện tử sẽ phải thường xuyên đối mặt với các hiểm hoạ như virus, sâu, con ngựa thành Tơroa, những đối tượng nghe trộm và các chương trình gây hại mà mục đích của chúng là phá vỡ, làm trễ hoặc từ chối truyền thông luồng thông tin giữa khách hàng và nhà sản xuất Để tránh nguy cơ mất hàng tỷ đôla, việc bảo vệ phải được phát triển không ngừng để các khách hàng tin cậy vào các hệ thống trực tuyến, nơi
họ giao dịch và kiểm soát công việc kinh doanh
Việc kết nối qua mạng Internet hiện nay chủ yếu sử dụng giao thức TCP/IP TCP/IP cho phép các thông tin được gửi từ một máy tính này tới một máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt trước khi nó có thể đi tới đích Tính linh hoạt này của giao thức TCP/IP
đã tạo cơ hội cho “bên thứ ba” có thể thực hiện các hành động bất hợp pháp,
1.1.3.2 Thực trạng thị trường bảo mật thông tin trên thế giới
Hiện nay, các hình thức thông tin được phân phối một cách nhanh chóng thông qua các kênh truyền thông cùng với sự gia tăng số người sử dụng
Trang 2321
internet, thư điện tử và những nỗ lực xây dựng hạ tầng IT cho xã hội và các hoạt động kinh tế của doanh nghiệp và tư nhân đã làm cho thương mại điện tử cũng như mạng toàn cầu phát triển nhanh chóng Cùng với sự phát triển đó, rất nhiều các hành động bất hợp pháp như giả mạo/thay thế và tiết lộ thông tin của cá nhân, doanh nghiệp thông qua các mạng máy tính (bao gồm cả internet) cũng đang gia tăng một cách nhanh chóng, phá vỡ các hệ thống và
dữ liệu Do đó, nguy cơ xảy ra sự rối loạn kinh tế xã hội là rất cao nhưng hiện tại vẫn chưa có một phương pháp bảo vệ hoặc giải pháp nào hoàn hảo để chống lại được tình hình trên
Nhiều tổ chức công cộng và doanh nghiệp đã cài đặt và sử dụng các sản phẩm bảo mật như firewalls, hệ thống phát hiện xâm nhập, và các mạng riêng ảo như là một công cụ bảo vệ thông tin trên mạng và công việc của mình nhằm ngăn chặn rủi ro và bảo đảm an toàn cho những hoạt động trao đổi qua hạ tầng truyền thông Tuy nhiên, việc cài đặt đơn giản các sản phẩm đó không thể đạt được mức độ bảo mật như mong muốn và xu hướng chung ngày nay là cài đặt và tích hợp các giải pháp thông qua các chiến lược bảo mật
Thị trường hệ thống bảo vệ IT hiện nay được chia thành 3 lĩnh vực: phần mềm bảo mật, phần cứng, và các dịch vụ bảo mật Thông qua việc phân tích của IDC, thị trường bảo mật IT của thế giới năm 2006 là 44.5 tỉ đô la và
sẽ tăng lên 100 tỉ đô la trong năm 2010
Trong các lĩnh vực bảo mật thì thị trường dịch vụ bảo mật sẽ chiếm tỉ
lệ lớn nhất trong suốt quá trình từ năm 2001 đến 2009 Tuy nhiên, thị trường phần cứng cũng đã cho thấy tỉ lệ tăng trưởng cao trong giai đoạn đó và sẽ chiếm ½ thị trường thế giới cùng với thị trường phần mềm trong năm 2009 Kết quả nghiên cứu của CAGR về thị trường dịch vụ bảo mật, phần cứng bảo mật và phần mềm bảo mật là 24%, 25%, và 16% trong giai đoạn 2005-2010
và thị trường dịch vụ sẽ chuyển từ phần mềm tới áp dụng các sản phẩm Thị
Trang 2422
trường thế giới cũng hy vọng rằng firewalls/VPNs và các sản phẩm phát hiện xâm nhập mạng chiếm ưu thế về giá cả giữa các ứng dụng phần cứng và có mức độ tăng trưởng hàng đầu
1.1.3.2.1 Thị trường phần mềm bảo mật
Chiếm phần lớn trong thị trường phần mềm bảo mật là phần mềm quản
lý thông tin mật và phần mềm bảo mật 3A (security content management and security 3A) Đặc biệt, phần mềm quản lý thông tin mật đạt tới 21.7% của CAGR trong giai đoạn 2005-2010 và chiếm 43% thị trường
PECS (Policy Enforced Client Security) được nhiều doanh nghiệp chấp nhận và có tốc độ tăng trưởng nhanh, có ảnh hưởng quan trọng tới hoạt động mua bán phần mềm bảo mật Việc ủng hộ rộng rãi PECS trong các doanh nghiệp sẽ tạo nên một làn gió mạnh mẽ thúc đẩy phát triển các thiết bị di động theo các tiêu chuẩn thương mại, cần phải có nhiều sản phẩm phần mềm bảo mật được tích hợp và có hiệu lực hơn để bảo vệ dữ liệu hoặc các ứng dụng, từ chối các truy nhập có hại và bảo vệ người dùng
1.1.3.2.2 Thị trường phần cứng bảo mật
Các sản phẩm ứng dụng bảo mật firewall/VPN đang dẫn đầu trong thị trường phần cứng và có tốc độ tăng trưởng nhanh, chiếm 24.8% của CAGR trong giai đoạn 2005-2010
Để bảo đảm khả năng cạnh tranh của các sản phẩm ứng dụng có tốc độ phát triển nhanh trên thị trường phần cứng bảo mật, cần phải cải tiến và tách biệt các chức năng Theo đó, cũng cần phải duy trì mối quan hệ mật thiết với các nhà cung cấp dịch vụ quản lý bảo mật (vì tỉ lệ sử dụng các dịch vụ outsourced, đặc biệt là hệ thống phát hiện xâm nhập và quản lý firewall là rất cao)
1.1.3.2.3 Thị trường dịch vụ bảo mật
Thị trường dịch vụ bảo mật được hy vọng sẽ tăng từ 18 tỉ đô la năm
2005 lên 40 tỉ đô la trong năm 2010, chiếm 23.7% CAGR Thị trường dịch vụ
Trang 2523
bảo mật chiếm 42% năm 2009, dẫn đầu về dịch vụ cài đặt và tốc độ phát triển của dịch vụ quản lý bảo mật và dịch vụ đánh giá rủi ro cũng tăng lên đáng kể Thị trường dịch vụ bảo mật được hy vọng là sẽ tiếp tục mở rộng với tốc
độ tăng trưởng cao, đặc biệt là trong khu vực Châu Á/Thái Bình Dương, Latin, Châu Mỹ và phía Tây Châu Âu Những nhân tố được cân nhắc trong thị trường dịch vụ bảo mật là tính hệ thống và các rào cản văn hoá cũng như khả năng vượt qua các rào cản kỹ thuật Ngoài ra, việc bảo vệ các đối tác chiến lược cùng với những chuyên gia địa phương và việc phát triển các chiến lược địa phương hoá cân bằng với toàn cầu về vấn đề bảo mật cũng là một bài toán quan trọng
Nhìn chung, thị trường bảo mật có tốc độ phát triển cao hơn so với các thị trường về công nghệ thông tin khác Hoạt động thanh toán của các doanh nghiệp và tổ chức cộng đồng của mỗi quốc gia chiếm quyền ưu tiên bậc nhất, tiếp theo là việc gia nhập của các nhà cung cấp mới vào hoạt động quản lý ID, các hoạt động dịch vụ web, sự phát triển của các sản phẩm bảo mật IT và thị trường dịch vụ Những sản phẩm tối ưu nhất cũng như những sản phẩm ứng dụng bảo mật đang được thiết kế để đáp lại nhu cầu của mạng thương mại, các sản phẩm được tung ra thị trường hầu hết đều được tích hợp chức năng bảo vệ
1.1.3.3 Thực trạng thị trường bảo mật thông tin ở Việt Nam
Việt Nam là quốc gia đông dân số thứ 2 trong khu vực Đông Nam Á với hơn 80 triệu dân Thị trường của một số ngành công nghiệp như điện thoại, truyền thông di động, máy tính và Internet được đánh giá là có sức hấp dẫn về khả năng tiềm lực trong tương lai Tỉ lệ tăng trưởng của thị trường công nghệ thông tin Việt Nam đang cố gắng đạt tới là 15.4% hàng năm, tăng
từ 520 triệu đô la năm 2004 đến 920 triệu đô la năm 2008
Thị trường phần cứng chiếm 79.2% thị trường công nghệ thông tin với
410 triệu đô la năm 2004 và 700 triệu đô la trong năm 2008 với tỉ lệ tăng
Trang 2620 - 25%, đứng đầu trong các thành phần kinh tế
Hiện tại, trong nước có hơn 800 doanh nghiệp hoạt động trong lĩnh vực liên quan đến công nghệ thông tin trong đó có hơn 600 công ty nước ngoài, hơn 200 viện nghiên cứu và tổ chức giáo dục Theo tạp chí PC World, 5.8%
tổ chức liên quan đến công nghệ thông tin đã thành lập và hoạt động từ hơn
10 năm trước và có 94.2% được thành lập trong vòng 10 năm trở lại đây Khoảng 80% doanh nghiệp và tổ chức liên quan đến công nghệ thông tin chủ yếu kinh doanh về phần cứng và xấp xỉ 20% trong thị trường phần mềm, truyền dữ liệu và dịch vụ
Tuy nhiên, thị trường bảo mật của Việt Nam thì hầu như chưa tạo được những con số đáng kể Hầu hết các sản phẩm bảo mật được dùng và kinh doanh trên thị trường hiện nay là từ nhập khẩu Các sản phẩm bảo mật trong nước nếu có cũng chỉ dừng lại ở mức phòng chống virus Tiêu chuẩn bảo mật nội địa chưa được quan tâm và đầu tư đúng mức
Hiện tại, hầu hết các tổ chức, cá nhân đều tự nghiên cứu và trang bị các phương tiện bảo mật để bảo vệ thông tin cho mình dựa trên tư vấn của các doanh nghiệp trong và ngoài nước Các sản phẩm được dùng chủ yếu là của nước ngoài Do vậy, chi phí đầu tư cho bảo mật khá cao nên nhiều doanh nghiệp tư nhân, nhỏ lẻ không đủ sức trang bị hoặc phó mặc Chỉ khi nào xảy
ra biến cố mới tìm cách cứu chữa
Trang 2725
Các tổ chức có nhu cầu cao về hệ thống bảo mật ở Việt Nam hiện nay chủ yếu là hệ thống ngân hàng, tài chính và một số cơ quan bộ, ngành thuộc chính phủ
Nhìn chung, nhu cầu về các sản phẩm bảo mật đang được đặt ra đối với ngành công nghiệp công nghệ thông tin, đặc biệt là công nghiệp bảo mật Những ngành có liên quan đến lĩnh vực này như công nghiệp dịch vụ mạng, công nghiệp dịch vụ Internet, công nghiệp thương mại điện tử đều có tốc độ phát triển nhanh chóng Do đó, nhu cầu càng trở nên cấp bách và thiết thực hơn
Hiện tại có thể khái quát một số nhu cầu của thị trường trong lĩnh vực này như sau:
Nhu cầu về sản phẩm, công nghệ mạng
o Ở thị trường NI của VN, thị trường dịch vụ internet, ngân hàng thương mại điện tử, các nguồn đầu tư tích cực từ doanh nghiệp và các tổ chức cộng đồng vẫn tiếp tục tăng lên đáp ứng nhu cầu công nghệ và sản phẩm trong tương lai
o Việc sử dụng các sản phẩm bảo vệ thông tin của nước ngoài gia tăng cùng với tỉ lệ tăng trưởng cao của ngành công nghiệp công nghệ thông tin VN, nhưng hầu như vẫn chưa có một sản phẩm nào được đánh giá là có thể đảm bảo đầy đủ yêu cầu ổn định và tin cậy của hệ thống
o Hiện nay nhu cầu của VN về trung tâm chứng nhận đánh giá (assessment certification center) và công nghệ đánh giá các sản phẩm bảo vệ thông tin trong lĩnh vực công nghệ mạng là rất cấp bách
o Do vậy, các sản phẩm bảo vệ thông tin, sản phẩm bảo vệ thông tin mạng như Firewall, IDS (Hệ thống phát hiện xâm nhập) và VPN (mạng riêng ảo) cần phải được đánh giá đầu tiên
Nhu cầu bảo vệ thông tin và kích hoạt các ngành công nghiệp bảo mật
Trang 2826
o Hiện nay, rất nhiều loại hình thông tin được truyền qua các kênh truyền của VN và có thể gây nên tình trạng rối loạn kinh tế xã hội do
sự xâm nhập thông tin trái phép
o Thị trường công nghệ thông tin thế giới đã lên tới xấp xỉ 4 tỉ đô la trong năm 2006 và là thị trường hấp dẫn các nhà đầu tư Tuy nhiên,
VN vẫn chỉ ở mức mà các sản phẩm bảo mật được dùng chủ yếu là
o Các tiêu chuẩn bảo mật trong nước trong tương lai cần được phát triển tại các ngành công nghiệp bảo mật và chuẩn bị gia nhập vào hiệp ước xác thực lẫn nhau để thiết lập phương hướng phát triển cho các ngành công nghiệp này và để chuẩn bị nền móng xuất khẩu sản phẩm bảo mật trong tương lai
Cần phải có sự hỗ trợ cấp quốc gia để thúc đẩy các ngành công nghiệp bảo mật thông tin
o Chính phủ cần tiếp tục hỗ trợ cho ngành công nghiệp này nhằm xây dựng các hệ thống và phương pháp thúc đẩy phát triển công nghệ và sản phẩm bảo mật, xây dựng các công cụ hướng dẫn về mặt công nghệ của sản phẩm, các chiến lược đào tạo, bồi dưỡng nhân tài trong lĩnh vực này
Trang 2927
1.1.3.4 Giải pháp kết hợp công nghệ sinh trắc và công nghệ chứng thực
Nhìn chung, các giải pháp đảm bảo an toàn, an ninh cho thương mại điện tử đã được quan tâm phát triển từ lâu và cũng đã có không ít các giải pháp được đưa ra từ các chuyên gia về lĩnh vực an toàn thông tin trên thế giới như: Cisco, TrendMicro, CheckPoint, Internet Security Systems, RSA Security, Entrust, Juniper
Hiện nay, xu hướng chung của thế giới là kết hợp các công nghệ nhằm đem lại hiệu quả tối ưu cho việc bảo đảm an toàn thông tin Một trong những giải pháp đó là sự kết hợp giữa công nghệ sinh trắc và công nghệ chứng thực (cụ thể là PKI - Public Key Infrastructure) Đây là giải pháp có tính khả thi cao và đã được một số nước triển khai
Cơ sở hạ tầng khoá công khai (PKI - Public Key Infrastructure) cùng các tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập mà chúng ta có thể sử dụng để giải quyết cho bài toán đảm bảo an toàn thông tin trong xã hội hiện đại Đây là công nghệ xác thực đầu tiên và hoàn thiện nhất sử dụng phương pháp mã hoá dựa trên khoá
bí mật và khoá công cộng PKI cho phép người sử dụng của một mạng công cộng không bảo mật, như Internet, có thể trao đổi dữ liệu và tiền một cách an toàn thông qua việc sử dụng một cặp mã khoá công khai và cá nhân được cấp phát và sử dụng qua một nhà cung cấp chứng thực tín nhiệm Hệ thống này cung cấp các chứng thư số, dùng để xác minh một cá nhân hoặc tổ chức, khi cần thì có thể thu hồi lại Ngoài ra, PKI còn bao gồm cả việc ứng dụng rộng rãi các dịch vụ bảo mật khác như: dịch vụ dữ liệu tin cậy, thống nhất dữ liệu
về tổng thể và quản lý mã khoá
Tuy nhiên, nhược điểm lớn của PKI chính là vấn đề đảm bảo an toàn cho khoá bí mật (khoá cá nhân) của chủ sở hữu trong khi lưu trữ cũng như sử dụng Nền tảng của hệ thống PKI chính là hệ mật mã khoá công khai: tức là dùng cặp khoá công khai và khoá bí mật khác nhau để thực hiện các quá trình
Trang 3028
mã hoá và giải mã Như vậy, chỉ có chủ thể nào là chủ sở hữu của khoá bí mật thì mới có thể giải mã được thông điệp đã được mã hoá Từ đó làm nảy sinh các vấn đề về an toàn của khoá bí mật Thông thường, khoá bí mật được lưu trữ trên phương tiện máy tính cá nhân người dùng hoặc lưu trên thẻ smartcard của cá nhân Tuy nhiên, quyền truy nhập đến khoá này lại chỉ được bảo vệ bằng mật khẩu (thường là 6-8 ký tự) mà trên thực tế, mật khẩu rất có nguy cơ
bị lộ, bị mất hoặc bị đánh cắp bằng các chương trình virus, mã độc hại Khi
đó, độ an toàn của giao dịch trong hệ thống bị thất bại Cơ chế đảm bảo an toàn cho khoá bí mật bằng mật khẩu không thể hiện được tính chống phủ nhận trong mật mã học Chủ sở hữu khoá có thể chia sẻ khoá bí mật với một người khác một cách vô tình hoặc cố ý Khi đó, người có mật khẩu này sẽ có đầy đủ quyền hạn như một người chủ thực sự
Vấn đề này có thể được giải quyết bằng một cách đơn giản nhất, đó là kết hợp đặc điểm sinh trắc chủ sở hữu khoá vào hệ thống PKI Việc làm này tạo nên một cơ chế xác thực định danh mạnh hơn mật khẩu truyền thống rất nhiều Về nguyên tắc, đây là giải pháp tương đối hoàn thiện cho vấn đề bảo
vệ an toàn và sử dụng khoá bí mật Hệ thống kết hợp sẽ là hệ thống PKI sinh trắc hay BioPKI
Nhìn chung, có 3 hướng tích hợp đặc điểm sinh trắc vào hệ thống PKI:
- Dùng đặc trưng sinh trắc bảo vệ khoá cá nhân (Thẩm định sinh trắc)
- Dùng đặc trưng sinh trắc mã hoá khoá cá nhân
- Sinh khoá cá nhân từ đặc trưng sinh trắc
Thẩm định (xác thực) sinh trắc học đưa ra một cơ chế mới cho khóa bảo mật bằng cách sử dụng một đặc trưng sinh trắc học để bảo mật khóa mật
mã Thay vì nhập mật mã để truy nhập khóa mật mã, khóa này được bảo vệ bởi xác thực sinh trắc học Khi người dùng muốn truy nhập một khóa bảo mật thì họ sẽ được yêu cầu một mẫu sinh trắc bắt buộc Mẫu sinh trắc này cùng
Trang 31Có nhiều phương pháp khác nhau có thể triển khai để bảo mật khóa với một sinh trắc học [4,5] Phương pháp thứ nhất là ảnh sinh trắc được lấy và mẫu tương ứng được gửi tới một vị trí bảo mật cho việc so sánh mẫu Nếu người dùng được xác định thì khóa sẽ được truy xuất từ vị trí bảo mật Điều này cung cấp một cơ chế thuận tiện cho người dùng khi họ không nhớ mật
mã Phương pháp này làm việc tốt trong ứng dụng truy nhập vật lý có mẫu và khóa có thể được lưu trữ ở vị trí vật lý an toàn, tách rời các thiết bị lấy ảnh Đối với phương pháp này, đường dây truyền dữ liệu cũng phải được bảo mật
để tránh tấn công nghe trộm Tuy nhiên, đối với việc sử dụng máy tính cá nhân, các khóa thường được lưu trữ trong ổ cứng và như vậy là không bảo mật
Phương pháp thứ hai là ẩn khóa cá nhân vào trong chính các mẫu được lấy thông qua một giải thuật thay thế tin cậy Nhờ vào sự xác thực thành công của người dùng, thuật toán tin cậy này có thể đơn giản lấy ra các bit khóa từ các vị trí thích hợp và đưa khóa vào trong hệ thống Tuy nhiên, như vậy cũng
có nghĩa là khóa mật mã sẽ được khôi phục từ cùng một vị trí trong một mẫu mỗi lần người dùng khác nhau được xác thực bởi hệ thống Do đó, nếu một người tấn công tìm được các vị trí bit và xác định được khóa thì cũng có thể dựng lại khóa nhúng từ bất kỳ mẫu của người dùng khác Khi kẻ tấn công truy nhập được vào chương trình lấy mẫu thì có thể tìm ra được các vị trí của
Trang 32là các mẫu sinh trắc) được sử dụng trực tiếp như khóa cá nhân Tuy nhiên, có
2 vấn đề lớn trong phương pháp này Thứ nhất, kết quả của sự thay đổi trong hình ảnh sinh trắc vì các nhân tố môi trường và sinh lý, các mẫu sinh trắc không đủ chắc chắn để sử dụng như một khóa cá nhân Thứ hai, nếu khóa cá nhân đã bị phá, sau khi sử dụng sinh trắc sẽ bị mất tính cố định Trong một hệ thống nào đó việc cập nhật theo chu kỳ khóa cá nhân thường được yêu cầu và việc làm này thực sự khó khăn
Một kỹ thuật mới cho việc bảo mật khóa bằng cách sử dụng sinh trắc học đã được phát triển bởi Mytect Technology Inc ở Toronto Canada Giải pháp này không thực hiện độc lập 2 giai đoạn xác thực người dùng và truy xuất khóa Thay vào đó, khóa được liên kết với sinh trắc tại mức cơ bản trong khi lấy mẫu và sau đó được khôi phục bằng cách sử dụng sinh trắc trong thời gian xác thực Hơn nữa, khóa hoàn toàn phụ thuộc vào dữ liệu sinh trắc, điều này có nghĩa là việc sử dụng sinh trắc không mất tính cố định khi khóa đã từng bị phá và khóa có thể dễ dàng sửa đổi hoặc cập nhật Quá trình phát triển bởi Mytec được gọi là mã hóa sinh trắc Trong suốt thời gian lấy mẫu, quá trình mã hóa sinh trắc kết hợp hình ảnh sinh trắc với một khóa số để tạo ra một khóa bảo mật cho dữ liệu được gọi là Bioscrypt Khóa số có thể được sử dụng như một khóa giải mã Trong suốt thời gian xác thực, thuật toán mã hóa sinh trắc lấy khóa mã hóa bằng cách kết hợp hình ảnh sinh trắc với Bioscrypt
Do đó, mã hóa sinh trắc không đơn giản là cung cấp câu trả lời có/không trong quá trình xác thực người dùng để thuận tiện cho việc truy xuất khóa, mà
Trang 3331
thay vào đó khóa chỉ được lấy ra bằng cách kết hợp hình ảnh sinh trắc với Bioscrypt
Mã hóa sinh trắc là một công đoạn liên quan đến quá trình quản lý khóa
an toàn Mã hóa sinh trắc không cung cấp trực tiếp cơ chế cho việc mã hóa/giải mã dữ liệu, nhưng cung cấp một cơ chế thay thế cho các giao thức bảo vệ khóa bảo mật cơ bản Đặc biệt, mã hóa sinh trắc cung cấp phương thức bảo mật cho việc quản lý khóa hỗ trợ cho hệ mật
1.2 Khảo sát các quy định, chính sách về bảo đảm an toàn an ninh hệ thống sử dụng các dấu hiệu sinh trắc ở Việt Nam
1.2.1 Nhu cầu đảm bảo an toàn thông tin sử dụng dấu hiệu sinh trắc
Sự phát triển vượt bậc của công nghệ thông tin truyền thông đã cho phép chúng ta có thể truyền, sao chép và lưu trữ khối lượng lớn dữ liệu một cách nhanh chóng và dễ dàng Các phương pháp truyền thông phổ biến như điện thoại, phát thanh và cáp truyền hình, và hệ thống radio thường sử dụng các phương tiện điện tử để phân phối thông tin dưới dạng tín hiệu tương tự Tuy nhiên, việc chuyển sang công nghệ số là cuộc cách mạng hoá về phương pháp tạo lập và điều khiển thông tin Quá trình xử lý của máy tính số và các công nghệ mạng đang thay thế những phương pháp truyền thống về sản xuất, lưu trữ, truyền và phổ biến thông tin Việc kết hợp các loại trình diễn thông tin khác nhau như văn bản, tần số âm thanh (audio), hình ảnh và video là hết sức dễ dàng đối với công nghệ số Vì vậy việc phân biệt các loại hình sản xuất
và phân phối thông tin khác nhau trở nên mờ nhạt Hơn nữa, hệ thống mạng thông tin truyền thông và các công nghệ hiện nay cũng làm thay đổi cung cách con người giao tiếp và hoạt động kinh doanh trong nhiều lĩnh vực như: thương mại, pháp luật …
Việc hội tụ các hệ thống thông tin truyền thông riêng lẻ trước đây thành một mạng toàn cầu gồm các mạng con là một cơ chế quản lý giao dịch mới và
sẽ cho phép truy nhập ảo một cách không giới hạn tới những tài nguyên thông
Trang 3432
tin, giáo dục và giải trí Việc này sẽ làm nảy sinh các vấn đề về quyền sở hữu trí tuệ Trong khi các mạng thông tin truyền thông làm cho việc truyền các loại dữ liệu được số hoá trở nên nhanh chóng, chi phí rẻ và đơn giản thì nguy
cơ sao chép và phân phối dữ liệu lại tạo nên những thách thức mới cho vấn đề bảo vệ quyền sở hữu trí tuệ Điều này cũng thúc đẩy phát triển công nghệ bảo
vệ bí mật riêng tư và dữ liệu, bao gồm dữ liệu cá nhân, hồ sơ hành chính nhà nước và các thông tin kinh doanh, tài chính
Sự bùng nổ các mạng mở trên toàn cầu và nguy cơ an ninh thông tin đã dẫn đến phát triển phương pháp bảo đảm an toàn cho các hệ thống thông tin truyền thông và dữ liệu được truyền và lưu trữ trên những hệ thống đó Việc phát triển cơ sở hạ tầng thông tin là một mảnh đất màu mỡ đối với các loại tội phạm máy tính, bao gồm cả lừa đảo và vi phạm bí mật riêng tư Những hoạt động kinh doanh điện tử sẽ không thể tiến triển cho đến khi các phương pháp bảo đảm an ninh dữ liệu được khách hàng và người sử dụng chấp nhận và tin tưởng Bài toán an toàn thông tin trong kỷ nguyên số không chỉ thách thức các nước nghèo, có ngành công nghệ thông tin chậm phát triển mà còn thách thức đối với cả những cường quốc như Mỹ, Nhật Bản, Pháp, Đức
Tuy nhiên, chúng ta khó có thể đảm bảo an toàn thông tin 100%, nhưng
ta có thể giảm bớt các rủi ro không mong muốn dưới tác động từ mọi phía của các lĩnh vực hoạt động kinh tế xã hội Khi các tổ chức, đơn vị tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về an toàn thông tin,
họ luôn luôn đi đến kết luận: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn Những sản phẩm Anti-virus, Firewalls và các công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ
và yếu tố con người Do vậy, các giải pháp an toàn thông tin cần phải dựa trên
2 yếu tố đó và tập trung giải quyết các vấn đề phát sinh từ đó
Trang 3533
Hiện nay, một trong các xu hướng mới và khả thi trong việc cải tiến giải pháp an toàn thông tin là tích hợp các dấu hiệu đặc trưng của con người vào hệ thống Đây là những thông tin mang tính duy nhất của mỗi cá nhân, do vậy không thể bị ăn cắp cũng như giả mạo Đặc trưng sinh trắc này đã được tích hợp vào nhiều thiết bị và phổ biến nhất có lẽ là hệ thống các thẻ
Ngày nay, thẻ được xem là phương tiện công cụ để quản lý xã hội phát triển an toàn và văn minh, vì vậy thẻ được dùng phổ biến trong nhiều lĩnh vực của đời sống và xã hội hiện đại:
Thẻ thu ngân (ATM), thẻ ghi nợ (debit), các loại vé tàu, xe, máy bay
dùng trong thanh toán tài chính tiền tệ và giao thông vận tải
Thẻ truy cập vật thể dùng để ra vào những khu vực cấm hoặc hạn chế
như sân bay, hạm đội, cơ quan Chính phủ, an ninh, quân sự
Chứng minh thư nhân dân, hộ chiếu và nhiều loại thẻ tương ứng
dùng trong bảo hiểm, thuế vụ, y tế và quản lý hành chính nhân sự
Thẻ SIM trong điện thoại di động
Thẻ thông minh & thẻ thông minh sinh trắc học dùng để truy nhập
vào hệ thống mạng máy tính, thực hiện các dịch vụ công nghệ thông tin: thư điện tử, ngân hàng điện tử, kinh doanh và thương mại điện tử, giáo dục và đào tạo điện tử, truy nhập các trang web bí mật, truyền tin và mệnh lệnh của Chính phủ điện tử, nội chính và quốc phòng
Chính vì vậy, ứng dụng thẻ thông minh sinh trắc học & công nghệ bảo mật thông tin ngày nay đã trở thành nhu cầu và là nhiệm vụ bức bách có
tính chất then chốt trong công cuộc xây dựng và phát triển bền vững toàn diện các ngành kinh tế quốc dân, thực hiện công nghiệp hoá & hiện đại hoá đất nước, hội nhập quốc tế và đầu tư nước ngoài
Sử dụng thẻ và bảo mật thông tin có vai trò ngày càng quan trọng hơn khi các hệ thống mạng máy tính và những ứng dụng của công nghệ thông tin, đóng vai trò quản lý và điều tiết hệ thống, được đưa vào sử dụng ngày càng
Trang 3634
phổ biến trong nhiều ngành kinh tế quốc dân, quản trị hành chính, an ninh quốc gia và quốc phòng Nếu không có những giải pháp công nghệ bảo mật thông tin hiệu quả thì tác hại sẽ vô cùng lớn và không thể lường hết, đấy chính là đặc điểm của áp dụng CNTT, hiệu quả là rất lớn nhưng hậu quả cũng
vô lường
Theo thống kê trên thế giới, các vụ tấn công vào hệ thống bảo mật máy tính, xâm nhập vào trong hệ thống dữ liệu, đánh cắp, thay đổi hoặc xoá dữ liệu gây ra những thiệt hại to lớn cỡ hàng chục tỷ đô la mỗi năm
Hiện nay, cách thức phổ biến để bảo mật thông tin là dùng hệ thống mật khẩu (password) và nhận dạng người sử dụng (User ID) Phương pháp này khá đơn giản và ít tốn kém nhưng lại không an toàn do mật khẩu:
cũ kém hiệu quả, lúc đó rất nhiều chi phí được đầu tư vào các công nghệ bảo mật tiên tiến và tin cậy hơn, kết quả nhờ đó mà lần lượt các loại thẻ công hiệu hơn đã ra đời: thẻ thông minh và thẻ thông minh sinh trắc học
Các lĩnh vực chính đòi hỏi phải sử dụng hệ thống an toàn truy cập và bảo mật CNTT sử dụng thẻ thông minh sinh trắc học (BSC & IST) bao gồm:
− Ngân hàng, dịch vụ tài chính tiền tệ
− Chứng minh thư số, bằng lái xe, thẻ bảo hiểm y-tế, xã hội
− Thư điện tử
− Chính phủ điện tử
− Thương mại điện tử
Trang 3735
− An ninh và quốc phòng
Sử dụng thẻ thông minh sinh trắc học và công nghệ bảo mật thông tin đóng vai trò then chốt trong quá trình thực hiện các chương trình quốc gia lớn như thương mại điện tử, chính phủ điện tử, cải cách nền hành chính quốc gia
và ứng dụng công nghệ thông tin trong các lĩnh vực kinh tế, an ninh và quốc phòng
Trong các hệ thống thông tin ngân hàng, tài chính tiền tệ, bảo mật giữ vai trò quan trọng nhất trong hệ thống thông tin vì liên quan trực tiếp đến sự tồn tại của hệ thống Bảo mật thông tin là nền tảng để thực hiện hệ thống Chính phủ điện tử, đem đến cho người dân quyền làm chủ với những tiện lợi tối đa như bỏ phiếu qua mạng, đăng ký kinh doanh, quản lý qua mạng Người dân với Chứng minh thư điện tử (CMTĐT) sẽ giúp nhà nước cập nhật thông tin về họ, tại bất cứ địa phương nào, cơ quan quản lý cũng có thể nắm được mọi thông tin chi tiết về tài chính, lai lịch, công việc của người dân, do
đó tăng cường công tác quản lý đến từng người dân Mặt khác người dân với CMTĐT và thẻ y tế số sẽ được phục vụ nhanh chóng bởi các dịch vụ y tế và với nhiều thông tin đầy đủ hơn, ngành y tế có thể phục vụ nhân dân ngày càng tốt hơn
Thương mại điện tử (TMĐT), tuy còn khá mới mẻ tại Việt Nam, nhưng Chính phủ quyết tâm thực hiện chương trình quốc gia TMĐT, vì vai trò quan trọng của nó đối với sự phát triển nền kinh tế quốc dân và hội nhập quốc tế TMĐT không thể thực hiện được nếu thiếu các biện pháp bảo mật hệ thống tin cậy và dễ sử dụng, vì hầu hết các giao dịch đều thực hiện qua mạng Internet, nơi các tin tặc tìm cách thâm nhập hệ thống lấy cắp thông tin, trong khi phần lớn người dùng bình thường chỉ có kỹ năng tối thiểu sử dụng hệ thống
Việc ứng dụng những thành tựu tiên tiến của công nghệ vật liệu và công nghệ sinh trắc học và công nghệ bảo mật thông tin là cấp thiết và khả
Trang 3836
thi, phù hợp với Nghị quyết của Đảng, chủ trương chính sách của Nhà nước
và yêu cầu của thị trường
Sự tiến bộ của công tác bảo mật thông tin gắn liền với lịch sử phát triển các loại thẻ Trước những năm 80 thẻ nhận dạng mới có các loại phổ biến là
thẻ từ, thẻ mã vạch được dùng hầu hết trong các lĩnh vực nhạy cảm: trên thẻ
chỉ có thể ghi các thông số biểu tượng như họ tên, ngày tháng năm sinh, quê quán và cả ảnh của chủ sở hữu thẻ; đó là những thông số không gắn với cơ thể sống hữu cơ của người sở hữu thẻ Vì vậy, khi kiểm tra đối tượng để xác
thực thì chỉ có thể tiến hành theo cơ chế “kiểm tra cái gì đó mà anh biết”
Điều đó không có khả năng loại trừ nạn thẻ giả, chính sách an ninh vì thế trở nên lỏng lẻo và chiến lược bảo mật phá sản gây nên những tổn thất vô cùng lớn Vào đầu những năm 80, nhờ những tiến bộ của công nghệ vi điện tử, thế
hệ thẻ IC với bộ nhớ vài kilobyte ra đời, công nghệ bảo mật thông tin nhờ đó
đã được cải thiện song vẫn chưa loại được nạn thẻ bị làm giả Bước sang những năm 90, bộ nhớ của chip IC đã đạt đến hàng trăm kilobyte, nhờ đó công nghệ mã hoá mạnh đã nạp được những thông tin mã hoá cá thể, tạo được cặp khoá PKI và cài đặt các trình ứng dụng, thẻ IC trở nên có khả năng bảo đảm an toàn cho truy cập vật lý, bảo mật thông tin cho truy nhập mạng máy tính và những dịch vụ của CNTT Tuy đã hạn chế đến mức thấp nhất, nhưng nguy cơ làm thẻ thông minh giả vẫn còn tiềm ẩn do thẻ vẫn chỉ nhớ được những thông số ngoài của chủ sở hữu thẻ Tình thế hiện nay đã hoàn toàn khác nhờ những tiến bộ của công nghệ sinh trắc học Các thiết bị nhận dạng với thế hệ cảm biến Silicon 3D, có khả năng chiết tách và ghi bình đồ các cùng vân và khai vân của vân tay chủ sở hữu thẻ, mã hoá, nén và nạp lưu giữ
trực tiếp vào bộ nhớ của thẻ thông minh Thẻ thông minh trở thành thẻ thông minh sinh trắc học (BSC), cho phép thực hiện cơ chế kiểm tra để xác thực là
“kiểm tra cái gì đó mà anh đang có trong cơ thể sống” (tức là các thông tin
sinh trắc học của người cầm thẻ), loại bỏ hoàn toàn khả năng sử dụng thẻ giả
Trang 3937
Thêm vào đó, bình đồ vân tay, các dữ liệu về chủ sở hữu được mã hóa và lưu trong bộ nhớ của thẻ, không lưu trên PC, do vậy tin tặc và virus không thể lợi dụng để xâm nhập tác động vào hệ thống an toàn truy cập và bảo mật CNTT
sử dụng thẻ thông minh sinh trắc học (BSC & IST)
Ngày nay với các chip IC Silicon dung lượng bộ nhớ hàng trăm Kilobyte và kiến trúc bộ vi xử lý hoàn hảo, hứa hẹn phát triển thế hệ thẻ thông minh mới trên cơ sở kết hợp 4 công nghệ (công nghệ mã hoá tuyến tính và 2 thứ nguyên), công nghệ chip IC, công nghệ vạch từ và công nghệ sinh trắc học) sẽ có khả năng bảo đảm an toàn với độ tin cậy tuyệt đối không những trong lĩnh vực bảo mật vật thể như các dịch vụ giao dịch, vào ra các khu vực tuyệt mật mà còn bảo mật an toàn tuyệt đối trong lĩnh vực truy nhập hệ thống mạng máy tính và các dịch vụ của CNTT
1.2.2 Khảo sát Bio PKI - khả năng triển khai – vân tay, thẻ thông minh
trên thế giới
Thẻ thông minh là một loại hàng hoá đặc biệt, đồng thời là công cụ quản lý hoạt động của con người, đảm bảo cho xã hội phát triển an toàn bền vững Do vậy nhu cầu về loại hàng hoá này không những xuất phát từ nguyện vọng của công dân, mà còn chủ yếu xuất phát từ nhu cầu của các cơ quan công quyền, quản lý nhà nước, ngân hàng, các tổ chức đoàn thể xã hội và truyền tin trên mạng
Theo chuyên gia của các Trung tâm khoa học tiếp thị: “ một tổng quan về thị trường và khuynh hướng phát triển trong tương lai của nó trên phạm vi toàn thế giới đang biến đổi từng ngày“ Do vậy, sau đây là bản “liệt
kê “ những sự kiện và một vài dữ liệu của dòng thời sự về thị trường BSC & IST ở những khu vực chủ yếu của thế giới
Nước Mỹ, nước có nền kinh tế lớn nhất thế giới, là trung tâm của nền
công nghiệp vi điện tử, trung tâm của công nghệ Internet toàn cầu, là ngôi nhà của các tổ chức quốc tế quan trọng như: Visa, Master Card, Microsoft, Sun
Trang 4038
Systems hoạt động Trong vòng 1 năm, các ngân hàng Mỹ đã thay thế 135 triệu thẻ tín dụng bằng thẻ thông minh vi xử lý Năm 2003 Chính phủ Mỹ phát hành 4 triệu thẻ truy nhập hợp pháp (CAC) cho quân nhân và những người phục vụ trong lực lượng quân sự Mỹ Chuyển đổi toàn bộ thẻ tín dụng hiện hành bằng thẻ thông minh đa dụng, loại thẻ có khả năng bảo đảm bí mật
an toàn cho dịch vụ mua hàng trực tuyến, truy cập các trang Web bí mật
Hiện nay, nước Mỹ đã chuyển sang sử dụng loại thẻ thông minh sinh trắc học mống mắt (BSCI) và trang bị cho toàn bộ nhân viên không lực Hoa kỳ
cùng giải pháp phần mềm tương ứng của công ty Time Trade System điều hành thời gian biểu chuyến bay và hoạt động không lưu cũng như truy cập vật
lý vào ra sân bay của Mỹ và Anh trên toàn thế giới
Châu Âu, vốn là “ quê hương cội nguồn “ của thẻ IC và nhiều loại thẻ khác, đồng thời cũng là nhà sản xuất mảnh vi mạch (IC chip) hàng đầu thế
giới Trong những năm vừa qua đã cung cấp cho toàn thế giới hơn 1,5 tỷ chip dành cho thẻ thông minh Châu Âu hiện đã là trung tâm của thẻ thông minh
và đang dẫn dắt con đường tích hợp thẻ IC với điện thoại di động, chuyển thẻ tín dụng thành thẻ thông minh đa dụng có khả năng hoàn thành những chức năng của thẻ thu ngân (ATM), thẻ thanh toán (Debit) và Loyalty Thị trường thẻ thông minh ở Châu Âu vô cùng sôi động và tăng trưởng với tốc độ cao ở hầu hết các nước thành viên EU
Pháp là quốc gia có các nhà sản xuất thẻ IC hàng đầu thế giới như
Gemplus, Schlumberger , cung cấp thẻ thông minh, thiết kế giải pháp công nghệ và lắp đặt hệ thống phương tiện thiết bị IST cho nhiều quốc gia khắp các
châu lục Trong 2003, Pháp sản xuất khoảng 100 triệu thẻ IC loại vé thanh toán tàu xe áp dụng riêng cho khách vãng lai đến thủ đô Paris Năm nay
công ty thẻ thông minh hàng đầu của Australia ERG đã trúng thầu cung cấp
10 triệu thẻ thông minh đồng bộ cùng hệ thống thanh toán tiền tự động cho
600 xe ôtô chở khách vùng Maseille
