AN TOÀN INTERNET và THƯƠNG mại điện tử tìm hiểu các giao thức trong thương mại điện tử

Kiểm soát đuợc chọn lựanhằm phòng tránh, chuyển giao và giảm thiểu rủi ro đến mức độ chấp nhạn đuợc.Đánh giá rủi ro an ninh thuờng bao gồm các buớc sau; Nhận dạng tài sản thông tin trong

HỌC VIỆN KỸ THUẬT MẬT MÃKHOA AN TOÀN THÔNG TIN

MỤC LỤC

2

DANH MỤC BANG

DANH MỤC HÌNH VẼ

LỞI MỞ ĐẦV

Với sự phát triển mang tính toàn cầu của mạng Internet và Thương mại điện tử,con người có thể mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu mộtcách dễ dàng trong mọi lĩnh vực thương mại rộng lớn Tuy nhiên đối với các giao dịchmang itính nhạy cảm này cần £Ó những cơ chế đảm bảo bảo , mật và, an toàn Vi , vạy,vân đê oảo mạt va an toàn thông tin trong thương mại điện tử là một vân đe hết sưcquan trọng Trong bài báo cáo này, chúng em xin phép trình bày vê đê tài Các giaothưc an toàn trong thương mại điện tử

Bài báo cáo gồm có 3 phần chính;

Chương I: Tổng quan vê Thương mại điện tử và vân đê an toàn trong Thương

mại điện tử; Ờ phần này chúng em sẽ trình bày tổng quan vê khái niệm của TMĐT, lợiích và hạn chế của TMĐT, các vân đê an toàn, các nguy cơ cũng như các kỹ thuật cơbản trong đảm bảo an toàn trong TMĐT

Chương II; Các giao thức an toàn trong TMĐT; trong chương này chúng em

sẽ trình bày chi tiết và cụ thể vê từng giao thức an toàn

Chương III; Thực nghiệm một số giao thức an toàn cụ thể.

Vì thời gian làm bài có hạn nên bài báo cáo của chúng em sẽ không tránh khỏinhững sai sót Chúng em rât mong nhận được sự góp ý từ cô và các bạn

Chúng em xin cảm ơn cô!

CHƯƠNG 1: TỔNG QUAN VÀ VẤN ĐÈ AN TOÀN TRONG

THƯƠNG MẠI ĐIỆN TỮ

Thương mại điện tử (Electronic commerce - EC hay E.Commerce) là một kháiniệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm, dịch vụ vàthông tin thông qua mạng máy tính, kể cả Internet TMĐT thường được hiểu theonghĩa hẹp là mua và bán trên mạng hay mua bán thông qua các phương tiện điện tử

Tuy nhiên, trên the giới có rất nhiều khái niệm TMĐT theo nghĩa rộng đượcđịnh nghĩa bời nhiều tổ chức như UNCTAD, EU, OECD, .do vạy tổ chức liên hiệpquốc (UN - United Nations) đã đưa định nghĩa đầy đủ nhất để các quốc gia có thểtham khảo làm chuẩn và tạo cơ sờ xây dựng chiến lược phát triển TMĐT phù hợp;

Phản ánh các bước TMĐT theo chiều ngang; „TMĐT là việc thực hiện toàn bộhoạt động kinh doanh bao gôm Marketing, bán hàng, phân phối và thanh toán (MSDP

- Marketing Sales Distribution Payment) thông qua các phương tiện điện tử”

Phản ánh góc độ quản lý nhà nước, theo chiều dọc thì TMĐT bao gôm;

•

Các quy tắc cơ bản (luật điều chỉnh)

• Mờ rộng thị trường; với chi phí đầu tư nhỏ hơn nhiều so với thương mại

truyền thống, các công ty có thể mờ rộng thị trường, tìm kiem, tiep cạnngười cung cấp, khách hàng và đối tác trên khắp thế giới Việc mớ rộng

mạng lưới nhà cung cấp, khách hàng cũng cho phép các tổ chức có thể mua

với giá thành thấp hơn và bán được nhiều sản phẩm hơn

đăng ký kinh doanh

thay thế hoặc được hỗ trợ bới các showroom trên mạng, giảm tải chi phí lưukho và độ trễ trong phân phối hàng

giúp hoạt động kinh doanh được thực hiện liên tục mà không mất thêmnhiều chi phí biến đổi

độ tiếp cạn sản phẩm với thị trường, củng cố quan hệ với khách hàng

giá trị mới cho khách hàng Ví dụ mô hình của amazon.com, mua hàng theonhóm hay đấu giá sản phẩm qua mạng đến các sàn giao dịch B2B là điểnhình của những thành công này

cải thiện chất lượng dịch vụ khách hàng, đơn giản hóa và chuẩn hóa các quytrình giao dịch, tăng sự linh hoạt trong giao dịch và hoạt động kinh doanh,

Lợi ích đoi với người tiêu dùng

các cửa hàng trên khắp thế giới, khách hàng có thể lựa chọn nhiều sản phẩmdịch vụ hơn vì được tiếp cạn với nhiều nhà cung cấp hơn, với giá thành thấphơn, phù hợp hơn, và mọi nhu cầu của khách hàng đều được đáp ứng

việc giao hàng được thực hiện dễ dàng thông qua Internet

• Thông tin phong phú, thuận tiện và chất lượng cao hơn, khách hàng có thể

dễ dàng tìm kiếm được các thông tin cần thiết thông qua các công cụ tìmkiếm nhưgoogle, yahoo, đồng thời việc quảng bá, giới thiệu sản phẩmcũng rộng rãi, thuận tiện hơn

trên mạng nhằm khuyến khích việc hoạt động thương mại điện tử

mua sắm, giao dịch, từ xa nên giảm việc đi lại, ô nhiễm và tai nạn

giảm giá, do đó tăng khả năng mua sắm của khách hàng, nâng cao mứcsống

triên hơn đồng thời có thê học tập các kinh nghiệm và được đào tạo thôngqua Internet và thương mại điện tử nhằm tiếp cận công nghệ mới một cáchnhanh chóng hơn

giáo dục, các dịch vụ công của chính phủ,

HẠN CHẾ CỦA THƯƠNG MẠI ĐIỆN TỬ

1 Chưa có tiêu chuẩn quốc tế về

chất lượng, an toàn và độ tin cậy

1 An ninh và tính riêng tư là hai cản trờ

về tâm lý đối với người tham gia thươngmại điện tử

2 Tốc độ đường truyền Internet vẫn

chưa đáp ứng được yêu cầu của

người dùng, nhất là trong thương

mại điện tử

2 Thiếu lòng tin vào thương mại điện tử

và người bán hàng trong thương mại điện

tử do các bên không được gặp mặt trựctiếp

3 Các công cụ xây dựng phần mềm

vẫn trong giai đoạn đang phát triên

3 Nhiều vấn đề về luật, chính sách vàthuế chưa được làm rõ

4 Khó khăn khi kết hợp các phần 4 Một số chính sách chưa thực sự hỗ trợ

mềm thương mại điện tử với các

phần mềm ứng dụng và các cơ sờ dữ

liệu truyền thống

5 Cần có các máy chủ thương mại

tạo điều kiện để thương mại điện tử pháttriển

5 Các phương pháp đánh giá hiệu quả

suất, an toàn) đòi hổi thêm chi phi

6 Chi phí truy cập Internet vẫn còn

cao

6 Cần có thời gian để làm quen với việcchuyển đổi thói quen tiêu dùng từ thựcđến ảo

7 Thực hiện các đơn đặt hàng trong

thương mại điện tử B2C đòi hổi hệ

thống kho hàng tự động lớn

7 Sự tin cậy đối với mô trường kinhdoanh không giấy tờ, không tiếp xúc trựctiếp, giao dịch điện tử

8 Số lượng người tham gia chưa đủ lớn

để đạt lợi thế về quy mô

9 Số lượng gian lận ngày càng gia tăng

do đặc thù của thương mại điện tử

10 Thu hút vốn đầu tư mạo hiểm khókhăn hơn sau sự sụp đổ hàng loại của cáccông ty dot.com

Bảng 1: Hạn chế của thương mại điện tử

Trong thương mại truyền thống, khi đi mua hàng, người mua có thể gặp nhữngrủi ro như không nhạn được những hàng hóa mà mình đã mua và thanh toán Nguyhiểm hơn, khách hàng có thể bị những kẻ xấu lấy cắp tiền trong lúc mua sắm Nếu làngười bán hàng, thì có thể không nhạn được tiền thanh toán Thậm chí, kẻ xấu có thểlấy trộm hàng hóa, hoặc có những hành vi lừa đảo như thanh toán bằng thẻ tín dụng ăncắp hoặc trả bằng tiền giả,

Nhìn chung, tất cả các loại tội phạm diễn ra trong môi trường thưong mạitruyền thống đều xuất hiện trong môi trường thưong mại điện tử dưới hình thức tinh vi

và phức tạp hon Trong khi đó, việc giảm thiểu các rủi ro trong TMĐT là một quátrình phức tạp, liên quan đến nhiều công nghệ mới, nhiều thủ tục và các chính sách tổchức, liên quan đến những bộ luật mới và các tiêu chuẩn công nghệ mới

Hình 1.0.1: Môi trường an toàn trong TMĐT

Để đạt được mức độ an toàn cao trong TMĐT, chúng ta phải sử dụng nhiềucông nghệ mới Song bản thân các công nghệ mới này không thể giải quyết được tất

cả mọi vấn đề Cần có các thủ tục và chính sách, tổ chức, để đảm bảo cho các côngnghệ trên không bị phá hỏng Các tiêu chuẩn công nghệ và các bộ luật mới, phù hợpcủa chính phủ cũng cần được áp dụng để tăng hiệu quả hoạt động của các kỹ thuậtthanh toán và để theo dõi, đưa ra các xét xử những vi phạm luật pháp trong TMĐT

An toàn luôn mang tính tưong đối Lịch sử an toàn giao dịch thưong mại đãchứng minh rằng, bất kỳ hệ thống an toàn nào cũng có thể bị phá vỡ nếu không đủ sức

để chống lại các cuộc tấn công Hon nữa, một sự an toàn vĩnh viễn là không cần thiếttrong thời đại thông tin Thông tin đôi khi chỉ có giá trị trong một vài năm, một vàingày, thậm chí là một vài giờ và chỉ cần đảm bảo an toàn trong khoảng thời gian đó là

đủ An toàn luôn đi liền với chi phí, càng an toàn thì chi phí sẽ càng cao, vì vậy cầnphải cân nhắc vấn đề chi phí để đảm bảo an toàn cho những đối tượng cần được bảo

vệ Và, an toàn là cả một chuỗi liên kết và điểm yếu nhất là noi kém an toàn nhất, nhưta sửdụng khóa, thì ổ khóa cũng chắc chắn và có độ an toàn cao hon việc quản lý cácchìa khóa

Bản chất của an toàn là một vấn đề phức tạp, liên quan đến nhiều khỉa cạnh khác nhau Đối với an toàn TMĐT, có sâu khỉa cạnh cơ bản cần phải giải quyết, bao gồm: tính toàn vẹn, chống chối bỏ, tính xác thực của thông tin, tính tin cạy, tính riêng

tư và tính ích lợi

được có bị thay đổi không?

Dữ liệu trên máy chủ có bịthay

đổi trái phép không? Các dữliệu nhạn được từ khách hàng

có chắc chắn và có giá trịkhông?

là ai? Làm sao có thể đảm bảođối tác đó đúng là người cầngiao dịch?

Làm thế nào để nhạn biết chínhxác một khách hàng của doanhnghiệp là ai?

Tính tin cạy Một người khác (ngoài những

người được phép) có thể đọccác thông điệp của khách hàngkhông?

Một ai đó, ngoài những ngườiđược phép, có thể xem cácthông điệp hoặc tiếp cạn vớicác thông tin bí mạt nhạy cảmcủa doanh nghiệp không?

thông tin cá nhân khi gửi chongười bán hàng trong các giao

Sử dụng các thông tin cá nhân

mà khách hàng cung cấp nhưthế nào? Làm thế nào để ngăn

thông tin đó?

doanh nghiệp ko?

Các Website của doanh nghiệphoạt động tốt không?

Bảng 2: Câc khỉa cạnh an toàn của TMĐT

Vấn đề an toàn Internet nói riêng cũng như an toàn thông tin nói chung được

tóm gọn trong sơ đồ dưới đây:

quyết bằng các biện pháp kỹ thuật công nghệ mà còn phải áp dụng các biện pháp cần

thiết lên các yếu tố con người, thủ tục và chính sách

An toàn Internet nhằm làm giảm nhẹ các rủi ro do Internet sinh ra Chuẩn quốc

tế ISO 17799 (nay là IS027001) nhắm đến quản lý các rủi ro đó, được thi hành bằngviệc phát triển một chiến lược quản lý và giảm thiểu rủi ro, trong đó bao gồm việcđịnh nghĩatài sản, nguy cơ, điểm yếu và đo luờng rủi ro Kiểm soát đuợc chọn lựanhằm phòng tránh, chuyển giao và giảm thiểu rủi ro đến mức độ chấp nhạn đuợc.Đánh giá rủi ro an ninh thuờng bao gồm các buớc sau;

Nhận dạng tài sản thông tin trong khu vực cần bảo mạt; Tài sản có thể là nhữngvạt hữu hình, nhu là phần cứng, hoặc vô hình, nhu là cơ sờ dữ liệu của tổ chức Theođịnh nghĩa, tài sản có giá trị đối với tổ chức, vì vậy đòi hỏi sự bảo vệ Tài sản cầnđuợc xác định, và chủ sờ hữu phải đuợc định nghĩa Một giá trị định luợng tuơng đốicần đuợc xác định cho mỗi tài sản để mức độ quan trọng của tài sản đuợc thiết lập khirủi ro đuợc định luợng

Xác định mối nguy cơ đe dọa đến tài sản - nguy cơ đe dọa đuợc tạo ra do sựlợi dụng những điểm yếu của tài sản và tạo nên rủi ro Những mối nguy cơ đe dọa đếnmỗi tài sản cần đuợc nhận dạng Có thể có rất nhiều mối nguy cơ đe dọa đến tài sản,tuy nhiên chỉ nên xem xét đến những mối nguy cơ có tính hiện thực cao Chỉ có nhữngmối nguy cơ đe dọa có khả năng xảy ra cao, hoặc dẫn đến thiệt hại lớn cần đuợc xemxét Ví dụ, một mối nguy cơ đến cơ sờ dữ liệu của tổ chức chính là việc mất cắp hoặcsửa đổi dữ liệu

Xác định mức độ tổn thuơng của tài sản - Mức độ tổn thuơng là những điểmyếu của tài sản có thể đuợc lợi dụng bời các mối nguy cơ đe dọa và tạo ra rủi ro Mộttài sản có thể có nhiều tổn thuơng Ví dụ, mức độ tổn thuơng đến cơ sờ dữ liệu củamột tổ chức có thể là do sự yếu kém về kiểm soát truy cạp hoặc thiếu sự backup

Xác định xác suất xảy ra - Xác suất xảy ra cho mỗi tổ hợp; mối đe dọa rủirq/sự tổn thuơng cần đuợc xác định, tổ hợp với khả năng xảy ra quá thấp có thể đuợc

bỏ qua

Tính toán thiệt hại - Thiệt hại cần đuợc định luợng với con số giá trị cụ thểnhằm xác định rõ giá trị mất mát do mỗi sự cố tấn công thành công Giá trị này thiếtlạp đuợc sự nghiêm trọng của mỗi rủi ro và không tính đến xác suất khả năng xảy ra

Tính toán rủi ro - Đánh giá và giảm thiểu rủi ro là mục tiêu của hệ thống quản

lý an toàn thông tin IS027001 Nói một cách toán học, rủi ro có thể đuợc tính theocông thức; (xác suất xảy ra) X mức độ thiệt hại = Rủi Ro Công thức này dẫn đến việc

đo luờng và so sánh mức độ nghiêm trọng của các rủi ro, cho phép việc tạp trungnguồn lực vào giải quyết những mối rủi ro lớn nhất.

Sự hiệu quả của quy trình IS027001 dựa trên sự chính xác và trọn vẹn của việcđánh giá rủi ro an ninh Rủi ro không thể đuợc giảm nhẹ khi chua đuợc xác định rõràng! Các kiểm soát đuợc tạo ra để giảm nhẹ rủi ro đuợc xác định trong buớc đánh giárủi ro Sự chọn lựa của các kiểm soát đuợc xem xét dựa trên sự cân bằng giữa khảnăng của ban lãnh đạo chấp nhạn rủi ro và việc áp dụng kiểm soát.

•

Xét trên góc độ công nghệ, có ba bộ phạn rất dễ bị tấn công và tổn thuong khithực hiện các giao dịch TMĐT, đó là;

- Hệ thống của khách hàng

- Máy chủ của doanh nghiệp

- Đuờng dẫn thông tin (communications pipeline)

Hình 1.0.3: Những điểm yếu trong môi trường TMĐT

Có bảy dạng nguy hiểm nhất đối với an toàn của các website và các giao dịchTMĐT, bao gồm; các đoạn mã độc hại, tin tặc và các chuông trình phá hoại, trộm cắp/gian lạn thẻ tín dụng, lừa đảo, từ chối dịch vụ, nghe trộm và sự tấn công từ bên trongdoanh nghiệp

Tấc công trên máy chủ web

Các tấn công này dựa trên lỗ hổng của hệ điều hành máy chủ chứa ứng dụngweb, các ví dụ bao gồm;

V Tấn công Unicode, printer ISAPI trên máy chủ Microsoft IIS

V Tấn công tràn bộ nhớ đệm trên máy chủ Apache

Tấn công các lỗ hổng liên quan đến vấn đề quản trị Web Các tấn công nàykhai thác các điểu yếu do lỗi của người quản trị web, cấu hình trang web thiếu an toàn

Ví dụ bao gồm:

V Kiểm tra tạp tin thông thường (Common File Checks)

V Kiểm tra đuôi tạp tin (Extension checking)

V Kiểm tra dữ liệu (Data Extension Checking)

V Kiểm tra dữ liệu backup (Backup Checking)

V Liệt kê nội dung thư mục (Directory Enumeration)

V Kiểm soát đường dẫn (Path Truncation)

V Đường dẫn web ẩn (Hidden Web Paths)

V Cấu hình sai SSL

V Cấu hình sai HTTP

V Cấu hình sai cơ chế xác thực

Các tấn công dựa trên lỗ hổng tầng ứng dụng web: Các tấn công này dựa trên

các điểm yếu trong mã nguồn và logic của ứng dụng, ví dụ bao gồm:

Lỗi lừa đảo web do cross-site scripting

V Mất căp thông tin chủ thể

V Lỗi do SQL Injection

Tấc công trên trình duyệt web

Những lỗ hổng hàng đầu trong ứng dụng Web

Dữ liệu đầu vào không Thông tin và dữ liệu từ các truy cạp HTTP không được kiểm

tra trước khi được sử dụng bời ứng dụng web Tin tặc có thể

sau thông qua ứng dụng web

Những giới hạn về quyền truy cạp tài nguyên của người sử

Lỗi kiểm soát truy cạp

nguồn tài nguyên

dụng không được thi hành đúng Tin tặc có thể tạn dụngnhững lỗi này nhằm truy cạp vào tài khoản của người khác,xem các tạp tin nhạy cảm, hoặc thi hành những chức năngkhông cho phép

Lỗi liên quan đến quá

trình quản lý xác thực

và phiên truy cạp

Quá trình xác thực và quản lý phiên truy cạp không được bảo

vệ tốt có thể dẫn đến việc thông tin tài khoản bị mất cắp

ứng dụng web có thể được sử dụng như một cơ chế để

dùng, tấn công máy đầu cuối, hoặc giả nội dung nhằm đánhlừa người sử dụng

Một số module của ứng dụng Web khi được phát triển bằngnhững ngôn ngữ không kiểm tra dữ liệu đầu vào có thể bị

chiếm đoạt quyển kiểm soát của một process hoặc toàn bộmáy chủ Những module này có thể bao gồm CGI, thư viện,drivers, và những module của máy chủ

ứng dụng web có thể sử dụng các dữ liệu đầu vào làm tham

nguy hiểm trong dữ liệu đầu vào, hệ thống có thể chạy cácđoạn mã nguy hiểm này

Quy trình quản lý báo

lỗi

Những lỗi thông thường không được xử lý phù hợp Nếu mộttin tặc gây ra một lỗi mà ứng dụng không xử lý, họ có thểxem được thông tin về hệ thống, lợi dụng tấn công từ chốidịch vụ, làm cơ chế bảo mật thất bại, hoặc crash máy chủ

Lưu trữ thiếu an toàn

Những ứng dụng web hay sử dụng các hàm giải thuật mã hóanhằm bảo vệ an toàn cho dữ liệu Tuy nhiên những hàm này

và các mã nguồn có thể có nhiều lỗi do lập trình viên bất cẩn,dẫn đến việc lộ thông tin quan trọng

phép người dùng truy cập ứng dụng

Quản lý cấu hình thiếu

Bảng 3: Câc ỉô hỗng trong ứng dụng web

tử

thiết bị khác được chấp nhạn như thiết bị thật, bao gồm cả chìa khóa giải

mã, số dư và các dữ liệu khác trên thẻ

trái phép dữ liệu lưu trữ trên thiết bị của phương tiện thanh toán điện tử

sử dụng trái phép số dư trên đó

giao dịch, không thực hiện nghĩa vụ trả tiền, dẫn tới thất thoát cho ngườibán cũng như nhà phát hành sản phẩm tiền điện tử

• Sự cố hoạt động; các phương tiện thanh toán điện tử có thể bị sự cố ngẫunhiên hoặc bị mất các dữ liệu lưu trên thiết bị, một chức năng nào đó ngừnghoạt động,như chức năng kế toán hoặc chức năng bảo mật, hoặc lỗi trongquá trình truyền tải, xử lý thông tin.

Mã hóa thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành cácvăn bản dưới dạng mật mã để bất kỳ ai, ngoài người gửi và người nhận đều không thểđọc được Mã hóa dữ liệu có khả năng đảm bảo bốn trong sáu khía cạnh an toàn củathưong mại điện tử ;

Đối với nhiều giao dịch thưong mại điện tử, chứng thực điện tử chính là co sỜ,

là cốt lõi của giao thức an toàn giao dịch điện tử, việc sử dụng bên tin cậy thứ ba, cùngvới chứng thực điện tử là cách đon giản và thuận tiện để các bên có thể tin cậy lẫnnhau Tuy nhiên, trong một số trường hợp, bản thân các co quan chứng thực này cũngcần có những co quan chứng thực cấp trên, có uy tín và độ tin cậy cao hon chứng thựccho mình Tập hợp hệ thống các co quan chứng thực các cấp và các thủ tục chứngthực điện tử được tất cả các đối tượng tham gia thưong mại điện tử chấp nhận hìnhthành co sờ hạ tầng khóa công khai (PKI) Đây chính là điều kiện, hỗ trợ các cá nhântham gia vào cộng đồng những người sử dụng khóa mã, tạo và quản lý các cặp khóa,phổ biến/thu hồi các khóa công khai, một trong những điều kiện cần thiết để tham giathưong mại điện tử

1.6.3 Bảo mật hệ thống thanh toán

Cổng thanh toán là một mục tiêu hấp dẫn của tin tặc, vì nó chứa thông tin giaodịch của người dùng và website thưong mại điện tử, đặc biệt alf thông tin thẻ tín dụng

Đe bảo mạt cổng thanh toán, doanh nghiệp cần tuân thủ tối thiểu các tiêu chuẩn sau;

Việc tự tạo một cổng thanh toán rất tốn công sức, tiền bạc, rủi ro pháp lý, vì thếhầu hết doanh nghiệp TMĐT đều liên kết với một đối tác thanh toán bên thứ 3 Khi

đó, cần chọn những cổng thanh toán uy tín, có các kênh thanh toán phù hợp với kháchhàng, quy trình thanh toán đon giản, và cam kết bảo mật cao

Onepay

Một trong những cách hiệu quả để bảo mạt website thưong mại điện tử là sửdụng Tường lửa bảo vệ web (Firewall) Nó sẽ giúp phân luồng traffic và loại bỏnhững traffic độc hại truy cập vào trang web Qua đó hạn chế được nhiều rủi ro bị tấncông DDoS Tường lửa cũng hiệu quả trong việc chống lại SQL injection và XSS.Một trong những tường lửa phổ biến là Cloudílare Firewall, AWS WAF của Amazon

Sao lưu dữ liệu là giải pháp đon giản nhưng hiệu quả chống lại các cuộc tấncông hay các rủi ro bảo mật cho thưong mại điện tử Mỗi khi website gặp vấn đề màkhông thể giải quyết được bằng các biện pháp ứng cứu thông thường, bạn có thể phụchồi lại bản sao lưu để tiếp tục phục vụ người dùng Vấn đề khó khăn khi sao lưu dữliệu là chọn giải pháp phù hợp với quy mô doanh nghiệp và dễ dàng scale up khi cầnthiết.Dịch vụ backup của Amazon Web Service sẽ giải quyết được vấn đề này chophần lớn doanh nghiệp Bên cạnh đó, cũng cần thực hiện offline backup như mộtphương án dự phòng khi trường hợp xấu nhất xảy ra.

Dữ liệu là tài sản quý giá đối với mỗi cá nhân và mỗi doanh nghiệp Nếu bạnkhông muốn một hôm đẹp trời nào đó toàn bộ dữ liệu của mình lưu trên máy tính cánhân, máy tính bảng hay thậm chí điện thoại di động bốc hơi mất vì máy bị hỏng haymất trộm thì bạn cần phải back-up dữ liệu

Trong thương mại điện tử, vấn đề bảo mật thông tin khách hàng cũng nhưthông tin thanh toán, tài khoản điện tử, thông tin thẻ của người dùng là một vấn đề vôcùng quan trọng Đe đảm bảo được những thông tin quan trọng đó, người ta sẽ sửdụng các hình thức bảo mật là các giao thức trong quá trình giao dịch, thanh toán dịch

vụ trong thương mại điện tử Và trong phạm vi Chương 2 của tài liệu này, chúng em

sẽ trình bày chi tiết về các giao thức an toàn trong thương mại điện tử Các giao thức

an toàn thường được sử dụng là;

2 CHƯƠNG 2; CÁC GIAO THỨC TRONG THƯƠNG MẠI

ĐIỆN TỬ

•

Ngay khi tham gia vào mạng thì vấn đề đầu tiên của các nhà phát triển bao giờcũng là vấn đề bảo mạt đặc biệt là bảo mạt đường truyền, đặc biệt lại với đặc thù củaThưong Mại Điện Tử khi mọi giao dịch đều được thực hiện trên môi trường mạng noi

có rất nhiều tiềm ẩn về rủi ro mất an toàn thông tin do các cuộc tấn công mạng gây ra

Vì vạy họ đã phát triển rất nhiều các giao thức nhằm đảm bảo và tăng tính bảo mạtcho thông tin như là; SSL/TLS, SET, 3D-Secure, v.v Bây giờ chúng ta sẽ đi vào chitiết từng giao thức để xem cách thức hoạt động của giao thức đó đối với việc đảm bảo

an toàn thông tin giao dịch

Trong thời đại công nghệ, việc mua bán trực tuyến đang mang lại nhiều co hộicho các doanh nghiệp cung ứng sản phẩm, dịch vụ trực tuyến và cả người tiêu dùng.Theo nghiên cứu của tổ chức thẻ quốc tế, rất nhiều chủ thẻ ngần ngại với việc muabán trực tuyến vì lý do bảo mạt thông tin thẻ

Veritĩed by Visa, MasterCard SecureCode là hai giải pháp bảo mạt mang tínhtoàn cầu cho phép khách hàng có thể tự xin cấp phép giao dịch thông qua một mã số

cá nhân duy nhất trong giải pháp xác thực 3D Secure Khách hàng sẽ được bảo vệthông qua một mã số bí mạt nữa do ngân hàng phát hành cấp, dựa theo tiêu chuẩn củacác tổ chức thẻ quốc tế

3D Secure (tên riêng Veritĩed by Visa (VbV) hoặc Mastersecure code (MSC)

hoặc Jsecure) là một chưong trình an ninh của Visa/ MasterCard/ JCB nhằm đảm bảorằng chính chủ thẻ hợp pháp đã sử dụng thẻ tín dụng/ ghi nợ của họ để thực hiện thanh

Ngân hàng phát hành thẻ cấp một mã số bí mạt này đóng vai trò như chữ kýhoặc số PIN trong các giao dịch POS và ATM Khi khách hàng mua hàng và thanhtoán trực tuyến, ngoài việc điền thông tin thẻ thì họ sẽ khai thêm mã số cá nhân Giảiphápnày giúp các doanh nghiệp giảm thiểu rủi ro và giao dịch đòi bồi hoàn từ phíachủ thẻ Từ đó đã khiến cho niềm tin của khách hàng cũng như của doanh nghiệp vegiao dịch trực tuyến tăng lên gấp bội.

Đối với gibo dịch thẻ quốc te

Trong các giao dịch thẻ thông thường, chủ thẻ chỉ cần cung cấp các thông tinnhư số thẻ, ngày hiệu lực, số cvv (card validity value), cvc (card validity code)(CVC và cvv là Mã số kiểm tra giá trị sử dụng của Visa card ( cvv ) hayMastercard ( cvc ) được mã hoá trong các vạch này có thể được người phát hành thẻkiểm tra trong thời gian còn hiệu lực sử dụng) Những thông tin này do không có độbảo mạt cao nên dễ bị lợi dụng

Giải pháp 3D Secure cho phép các ngân hàng phát hành xác thực chủ thẻ tạithời điểm thực hiện giao dịch trực tuyến qua một mã cá nhân riêng có của chủ thẻ Mã

số cá nhân này có vai trò như chữ ký trong các giao dịch vạy lý hoặc số PIN tronggiao dịch ATM

Đối với giao dịch thẻ nội địa qua Internet

Triển khai phưong thức xác thực khách hàng mới nhất cho các giao dịch thẻnội địa; xác thực khách hàng hai lớp bảo mạt

với phưong thức này, ngoài việc khách hàng sử dụng mạt mã cá nhân do ngânhàng cấp như 3D Secure, với mỗi giao dịch hệ thống sẽ tự động tạo ra một mã số giaodịch riêng và gửi cho khách hàng qua SMS hoặc email để thực hiện giao dịch

co chế hoạt động như sau

•

được khỜi tạo ngẫu nhiên qua SMS

Như vạy, với 3D Password, nếu khách hàng bị mất thẻ, mất thông tin tài khoản(username, password ), thì vẫn an tâm nếu sử dụng chức năng 3D password để bảo vệcho tài khoản.

Paystack checkout: Enler Card details

i Co chế 3D.Secure, đuợc tích hợp trọn yẹn yào, hệ thống Payment Gatewạy

nhằm tạo sự an tâm tuyệt đối Với các thanh toán thông qua Công Thanh ToánPayment Gateway, cả Nguời Mua lẫn Nguời Bán đều có mối quan hệ và tin tuờng lẫnnhau

Giải pháp 3D Secure ( 3D password ) cũng đuợc áp dụng thuận tiện cho các

đối tác nào của hệ thống nhằm cung cấp lại dịch vụ, hay triển khai trên các hệ thốngkhác ( cảnh báo, bán hàng, xác thực quản trị hệ thống )

Make order on a vvebsẼte

ís Card 3D Secure?

Coníimn Identity Via Password/OTP

Conlĩnue to complete transacúon

Verí^edôy VISA

MasterCard

, Nhu đã đề cậpvicc truyền thông qua ,mạng tiềm ẩn rất nhiều rủi ro đặc biệt là

sự mất an toàn bảo mạt thông tin mà đó là điều tối quan trọng đối với các trang thuongmạiđiện tử khi cần phải bảo mật tốt thông tin cho khách hàng Chính vì lý ra này cáctrang WEB thưong mại bình thường sẽ phải thỏa mãn tối thiểu các yêu cầu bảo mậtnhư sau;

Để có thể thỏa mãn được các yêu cầu bảo mật như trên thì việc đầu tiên đó làtạo gia một kênh truyền an toàn, tính đến nay giao thức SSL/TLS vẫn luôn được tintường là giao thức đáng tin cậy trong việc thiết lập các kênh truyền an toàn vậy nó là

gì và hoạt động như nào?

SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa haichưong trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộthông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền

số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet Giao thức SSLđược hình thành và phát triển đầu tiên năm 1994 bời nhóm nghiên cứu Netscape dẫndắt bời Elgammal và ngày nay đã trờ thành chuẩn bảo mật thực hành trên mạngInternet Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoànthiện Tưong tự như SSL, một giao thức khác có tên là PCT - Private CommunicationTechnology được đề xướng bời Microsoft hiện nay cũng được sử dụng rộng rãi trongcác mạng máy tính chạy trên hệ điều hành Windows NT Ngoài ra, một chuẩn củaIETF (Internet Engineering Task Force) có tên là TLS (Transport Layer Security) dựatrên SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF