Đề cương ôn tập An toàn và bảo mật môn Thương mại điện tử | Trường Đại học Kinh Doanh và Công Nghệ Hà Nội

lOMoAR cPSD| 59184203
ĐỀ CƯƠNG ÔN TẬP AN TOÀN VÀ BẢO MẬT TMĐT
Thi viết: 90 phút – ược sử dụng tài liệu
Gồm 3 câu (3-3-4 iểm): 2 phần lý thuyết và vận dụng tình huống A. Phần lý thuyết
1. An toàn thông tin trong TMĐT là gì?
An toàn thông tin trong thương mại iện tử (TMĐT) là việc bảo vệ các thông tin, dữ liệu và giao dịch
trong quá trình thực hiện các hoạt ộng thương mại trên môi trường trực tuyến. Điều này bao gồm việc
ảm bảo tính bí mật, toàn vẹn, và khả dụng của thông tin, cũng như bảo vệ các hệ thống và nền tảng
TMĐT khỏi các mối e dọa từ bên trong và bên ngoài. 2. Các khía cạnh an toàn trong thương mại iện tử - 6 khía cạnh
Trong thương mại iện tử (TMĐT), an toàn thông tin có thể ược chia thành 6 khía cạnh chính nhằm ảm
bảo các giao dịch và hoạt ộng trực tuyến ược thực hiện một cách an toàn. Các khía cạnh này bao gồm:
1. Tính bí mật (Confidentiality)- tính tin cậy
Đảm bảo rằng thông tin chỉ ược truy cập bởi những người hoặc hệ thống ược ủy quyền.
– Tính tin cậy và tính riêng tư là hai khía cạnh hoàn toàn khác nhau.
– Tính tin cậy liên quan ến việc ảm bảo rằng các thông tin, dữ liệu có giá trị và nhạy cảm (như thông
tin cá nhân, thông tin thẻ của khách hàng) ược truy cập bởi những người có ủ quyền hạn Ví dụ: Sử
dụng mã hóa (encryption) ể bảo vệ thông tin nhạy cảm như mật khẩu, số thẻ tín dụng. Biện pháp:
● Sử dụng giao thức HTTPS.
● Triển khai công nghệ mã hóa AES hoặc RSA.
2. Tính toàn vẹn (Integrity)
Bảo vệ thông tin khỏi việc bị sửa ổi, giả mạo hoặc hỏng hóc trong quá trình truyền tải hoặc lưu trữ.
– Đảm bảo rằng thông tin không bị người dùng bất hợp pháp thay ổi, sửa ổi nội dung.
– Để ảm bảo tính toàn vẹn, hệ thống phải xác ịnh rõ quyền hạn của những người ược phép truy cập vào
hệ thống như: website, máy chủ nhằm hạn chế mối nguy hiểm từ cả bên ngoài về bên trong hệ thống
Ví dụ: Nếu một ơn hàng bị chỉnh sửa giá trị mà không có sự chấp thuận, tính toàn vẹn ã bị xâm phạm. Biện pháp:
● Sử dụng chữ ký số (Digital Signature).
● Ứng dụng các thuật toán kiểm tra như Hashing (MD5, SHA-256).
3. Tính xác thực (Authentication)
Xác nhận danh tính của các bên tham gia giao dịch hoặc truy cập hệ thống.
- Xác thực ịnh danh thực thể: ịnh danh một thực thể cụ thể tham gia vào hoạt ộng giao dịch TMĐT –
Xác thực ịnh danh nguồn gốc dữ liệu: nhận dạng nguồn gốc hoặc xuất phát iểm của một thông iệp
Ví dụ: Khách hàng cần ăng nhập bằng tài khoản và mật khẩu khi thực hiện thanh toán. Biện pháp:
● Xác thực hai yếu tố (2FA).
● Sử dụng chứng chỉ số SSL/TLS.
● Sử dụng sinh trắc học (vân tay, nhận diện khuôn mặt).
4. Tính chống chối bỏ (Non-repudiation)
Đảm bảo các bên tham gia không thể phủ nhận việc ã thực hiện giao dịch.
- Liên quan ến trách nhiệm của các bên tham gia TMĐT ối với hành ộng và hành vi mà họ thực hiện.
– Đảm bảo các bên tham gia vào hoạt ộng giao dịch TMĐT không phủ nhận trách nhiệm của mình ối
với những việc họ làm
Ví dụ: Người bán không thể phủ nhận việc ã nhận ơn hàng, hoặc khách hàng không thể phủ nhận việc thanh toán. Biện pháp:
● Sử dụng chữ ký số hoặc chứng thực từ bên thứ ba áng tin cậy. ● Lưu
trữ nhật ký giao dịch an toàn. 1 lOMoAR cPSD| 59184203
5. Tính khả dụng (Availability) - tính ích lợi
Đảm bảo rằng hệ thống, dịch vụ và thông tin luôn sẵn sàng cho người dùng hợp pháp khi cần thiết.
-Việc ảm bảo các chức năng một website TMĐT của doanh nghiệp hoạt ộng theo úng
mục ích là khía cạnh liên quan ến tính ích lợi.
– Phải thiết lập các chính sách quản lý hoạt ộng và các biện pháp phát hiện và phòng chống các tác
nhân bên trong và bên ngoài dẫn ến việc làm ảnh hưởng tới hoạt ộng giao dịch trên mạng công cộng, Internet
Ví dụ: Website TMĐT không bị sập khi lưu lượng truy cập tăng cao vào dịp giảm giá lớn. Biện pháp:
● Sử dụng hệ thống phân tán (CDN, máy chủ dự phòng).
● Chống tấn công từ chối dịch vụ (DDoS Protection). ● Sao lưu và phục hồi
dữ liệu (Backup & Recovery).
6. Tính quyền riêng tư (Privacy)
Đảm bảo rằng thông tin cá nhân của người dùng ược thu thập, lưu trữ và sử dụng một cách hợp pháp và an toàn.
Tính riêng tư lại ảm bảo việc thông tin cá nhân của khách hàng ược kiểm soát Ví dụ:
Không tiết lộ thông tin của khách hàng cho bên thứ ba nếu không có sự ồng ý. Biện pháp:
● Tuân thủ các quy ịnh pháp luật về bảo vệ dữ liệu (GDPR, CCPA).
● Sử dụng chính sách bảo mật rõ ràng và minh bạch.
● Cung cấp quyền kiểm soát thông tin cho khách hàng (cho phép họ xem, sửa, hoặc xóa dữ liệu).
3. Các hình thức tấn công trong TMĐT
A. Tấn công từ chối dịch vụ DOS, DDOS
a. Tấn công từ chối dịch vụ (DoS - Denial of Service) -Định nghĩa:
Tấn công DoS là hình thức tấn công mà hacker gửi một lượng lớn yêu cầu ến máy chủ (server) hoặc hệ
thống mục tiêu, làm cạn kiệt tài nguyên (CPU, RAM, băng thông) khiến dịch vụ không thể áp ứng yêu
cầu hợp pháp từ người dùng. -Cách thức:
Gửi liên tục các yêu cầu truy cập hoặc gói dữ liệu lớn ến một hệ thống duy nhất.
Tấn công vào iểm yếu của giao thức hoặc ứng dụng.
Không cần sự tham gia của nhiều nguồn (chỉ một thiết bị hoặc một mạng máy chủ là ủ). -Ví dụ:
Hacker gửi hàng ngàn yêu cầu ping ến một server mục tiêu trong một khoảng thời gian ngắn, làm quá
tải server và khiến website bị sập. -Hậu quả:
Website hoặc hệ thống không thể truy cập ược.
Mất doanh thu do khách hàng không thể thực hiện giao dịch. Gây
tổn hại uy tín doanh nghiệp.
b. Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) -Định nghĩa:
DDoS là dạng nâng cấp của DoS, trong ó hacker sử dụng một mạng lưới các thiết bị bị xâm nhập
(thường là botnet) ể gửi lượng lớn yêu cầu ồng thời ến máy chủ mục tiêu, gây ra hiện tượng quá tải nghiêm trọng hơn. -Cách thức:
Sử dụng một mạng lưới thiết bị (botnet), bao gồm hàng ngàn thiết bị bị nhiễm mã ộc trên khắp thế giới.
Các bot này ược hacker iều khiển ể tấn công cùng lúc. 2 lOMoAR cPSD| 59184203 + Tấn công nhắm vào:
Lớp mạng (Network Layer): Gửi lượng lớn gói dữ liệu qua giao thức TCP/UDP ể làm cạn băng thông.
Lớp ứng dụng (Application Layer): Gửi yêu cầu truy cập liên tục ến các trang web cụ thể, làm tăng tải cho máy chủ. -Ví dụ:
Một cuộc tấn công DDoS vào một sàn TMĐT lớn như Shopee hoặc Lazada vào ngày khuyến mãi, với
lượng yêu cầu truy cập giả mạo làm sập hệ thống. -Hậu quả:
Website bị sập hoàn toàn, gây mất doanh thu lớn trong thời gian ngắn.
Làm giảm sự tin tưởng của khách hàng vào nền tảng.
Phí tổn lớn cho việc khôi phục hệ thống và nâng cấp bảo mật.
B. Mã ộc: Virus, sâu, trojan horse, ransomeware,…
Mã ộc (Malicious Software - Malware) là phần mềm ược thiết kế nhằm mục ích xâm nhập, phá hoại,
ánh cắp dữ liệu hoặc làm gián oạn hoạt ộng của hệ thống. Đây là một trong những mối e dọa nghiêm
trọng nhất ối với thương mại iện tử (TMĐT). a. Virus -Định nghĩa:
Virus là loại mã ộc có khả năng tự gắn vào các file hoặc chương trình hợp pháp và lây lan khi file hoặc
chương trình ó ược thực thi. -Cách thức hoạt ộng:
Virus chèn mã ộc vào file hoặc ứng dụng.
Khi file ược mở, virus kích hoạt và tiếp tục lây lan sang các file khác hoặc hệ thống. -Hậu quả: Phá hủy dữ liệu.
Làm chậm hoặc tê liệt hệ thống.
Đánh cắp thông tin cá nhân hoặc tài chính. -Ví dụ:
Virus Melissa (1999) lây qua email và làm tắc nghẽn hệ thống thư iện tử. b. Sâu (Worm) -Định nghĩa:
Sâu là loại mã ộc có khả năng tự nhân bản và lây lan qua mạng mà không cần sự tương tác của người dùng. -Cách thức hoạt ộng:
Sâu xâm nhập qua các lỗ hổng bảo mật trong hệ thống hoặc phần mềm. Tự
nhân bản và gửi bản sao ến các thiết bị khác qua mạng. -Hậu quả:
Làm cạn kiệt tài nguyên mạng (băng thông).
Lây lan rộng rãi, phá hủy dữ liệu hoặc mở ường cho các mã ộc khác. -Ví dụ:
Sâu Blaster (2003) lây lan qua lỗ hổng Windows và làm hệ thống tự khởi ộng lại. c. Trojan Horse -Định nghĩa:
Trojan Horse (Ngựa thành Troy) là mã ộc ược ngụy trang dưới dạng một phần mềm hoặc tệp tin hợp
pháp, nhưng khi mở, nó cho phép hacker truy cập trái phép vào hệ thống. -Cách thức hoạt ộng:
Trojan thường ược gửi qua email, tải xuống từ trang web giả mạo, hoặc ính kèm trong phần mềm bẻ khóa.
Khi người dùng mở file hoặc chạy phần mềm, Trojan cài ặt mã ộc trên máy. -Hậu quả:
Mở cửa hậu (backdoor) cho hacker iều khiển máy tính từ xa.
Đánh cắp thông tin cá nhân hoặc dữ liệu tài chính.
Cài ặt thêm các loại mã ộc khác. 3 lOMoAR cPSD| 59184203 -Ví dụ:
Trojan Zeus: Một loại mã ộc ánh cắp thông tin ngân hàng. d. Ransomware -Định nghĩa:
Ransomware là mã ộc mã hóa dữ liệu của người dùng hoặc doanh nghiệp và yêu cầu tiền chuộc (thường
bằng tiền iện tử) ể giải mã. -Cách thức hoạt ộng:
Ransomware xâm nhập qua email, file ính kèm ộc hại, hoặc lỗ hổng trong phần mềm. Sau khi
ược kích hoạt, nó mã hóa dữ liệu và hiển thị thông báo yêu cầu tiền chuộc. -Hậu quả:
Mất quyền truy cập vào dữ liệu quan trọng.
Mất tiền chuộc mà không ảm bảo dữ liệu ược khôi phục.
Tốn kém trong việc khôi phục hệ thống. -Ví dụ:
WannaCry (2017): Ransomware tấn công hơn 230.000 hệ thống trên toàn thế giới. e. Spyware -Định nghĩa:
Spyware là mã ộc ược thiết kế ể theo dõi và thu thập thông tin của người dùng mà không ược phép. -Cách thức hoạt ộng:
Cài ặt bí mật trên máy tính của người dùng qua phần mềm tải xuống, trang web, hoặc email. -Hậu quả:
Đánh cắp thông tin cá nhân hoặc tài chính.
Theo dõi hoạt ộng của người dùng mà không bị phát hiện. -Ví dụ:
CoolWebSearch: Spyware theo dõi lịch sử trình duyệt và hiển thị quảng cáo không mong muốn. f. Adware -Định nghĩa:
Adware là mã ộc tự ộng hiển thị quảng cáo không mong muốn, làm gián oạn trải nghiệm người dùng. -Cách thức hoạt ộng:
Adware cài ặt trên thiết bị khi người dùng tải xuống phần mềm miễn phí từ nguồn không rõ ràng. Hiển
thị quảng cáo trên trình duyệt hoặc màn hình máy tính.hi lại thao tác bàn phím, lịch sử trình duyệt, và dữ liệu nhạy cảm. -Hậu quả:
Làm chậm hiệu suất hệ thống.
Dẫn ến các trang web ộc hại khi nhấp vào quảng cáo. -Ví dụ:
Fireball: Một loại Adware làm thay ổi cài ặt trình duyệt ể hiển thị quảng cáo. Hậu quả:
Mất dữ liệu quan trọng, lộ thông tin cá nhân.
Phá hủy hệ thống hoặc làm gián oạn hoạt ộng.
Cách phòng chống mã ộc:
-Cài ặt phần mềm chống mã ộc:
Sử dụng phần mềm chống virus uy tín (Kaspersky, Bitdefender, Norton).
-Cập nhật phần mềm thường xuyên:
Cập nhật hệ iều hành và phần mềm ể vá các lỗ hổng bảo mật.
-Không tải xuống từ nguồn không tin cậy:
Chỉ tải phần mềm từ trang web chính thức hoặc nhà cung cấp áng tin cậy.
-Đào tạo nhận thức bảo mật:
Hướng dẫn người dùng nhận diện email, file ính kèm, hoặc liên kết ộc hại.
-Sử dụng tường lửa và IDS/IPS:
Tường lửa ngăn chặn mã ộc xâm nhập vào hệ thống. 4 lOMoAR cPSD| 59184203
Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) giúp phát hiện các hoạt ộng bất thường.
-Sao lưu dữ liệu ịnh kỳ:
Lưu trữ bản sao dữ liệu quan trọng trên thiết bị ngoại tuyến hoặc dịch vụ ám mây an toàn. C. Lừa ảo phishing
Phishing (tấn công lừa ảo) là một hình thức tấn công phổ biến nhằm ánh cắp thông tin nhạy cảm của
người dùng, như tên ăng nhập, mật khẩu, hoặc thông tin tài chính, bằng cách giả mạo một tổ chức hoặc
cá nhân áng tin cậy. Trong môi trường thương mại iện tử (TMĐT), phishing là mối e dọa nghiêm trọng
ối với cả khách hàng và doanh nghiệp
- Đặc iểm của Phishing + Mục tiêu:
Đánh cắp thông tin cá nhân (số thẻ tín dụng, mã OTP, tài khoản TMĐT).
Chiếm quyền kiểm soát tài khoản hoặc tài sản trực tuyến.
Lừa ảo tài chính, tống tiền hoặc khai thác dữ liệu doanh nghiệp. + Cách thực hiện:
Gửi email, tin nhắn giả mạo (SMS, mạng xã hội) từ tổ chức áng tin cậy.
Dẫn người dùng ến các trang web giả mạo, có giao diện giống trang web thật.
Lừa người dùng cung cấp thông tin hoặc tải về mã ộc.
- Các hình thức lừa ảo Phishing phổ biến: a. Email Phishing ● Cách thức:
Gửi email giả mạo, thường có nội dung yêu cầu người dùng xác nhận tài khoản, thanh toán hóa ơn,
hoặc thay ổi mật khẩu.
Đính kèm liên kết dẫn ến website giả mạo hoặc tệp ộc hại.
● Ví dụ: Email giả mạo từ ngân hàng yêu cầu nhập thông tin tài khoản ể xác nhận giao dịch. b.
Spear Phishing (Lừa ảo cá nhân hóa)
● Cách thức: Hacker nghiên cứu kỹ mục tiêu (tên, ịa chỉ, công việc) ể tạo email hoặc tin nhắn
ược cá nhân hóa, tăng ộ tin cậy.
● Ví dụ: Gửi email cho nhân viên của một doanh nghiệp với nội dung "Thay ổi chính sách tiền
lương," kèm liên kết yêu cầu ăng nhập vào hệ thống.
c. Smishing (Lừa ảo qua tin nhắn SMS)
● Cách thức: Gửi tin nhắn SMS với nội dung khẩn cấp, như "Tài khoản của bạn sẽ bị khóa," kèm theo liên kết giả mạo.
● Ví dụ: Tin nhắn từ "ngân hàng" yêu cầu xác nhận tài khoản bằng cách nhấp vào một liên kết ộc hại.
d. Vishing (Lừa ảo qua cuộc gọi)
● Cách thức: Hacker giả danh nhân viên ngân hàng, hỗ trợ kỹ thuật, hoặc tổ chức chính phủ, gọi
iện yêu cầu cung cấp thông tin cá nhân hoặc tài chính.
● Ví dụ: Giả danh nhân viên ngân hàng gọi yêu cầu khách hàng cung cấp mã OTP ể xác nhận giao dịch.
e. Clone Phishing (Sao chép giao diện)
● Cách thức: Hacker sao chép giao diện email, trang web hoặc ứng dụng của các tổ chức uy tín,
sau ó gửi ến người dùng.
● Ví dụ: Trang web giả mạo có giao diện giống hệt trang ăng nhập của Shopee hoặc Lazada.
f. Pharming (Lừa ảo chuyển hướng DNS)
● Cách thức: Hacker thay ổi ịa chỉ DNS của trang web, khiến người dùng bị chuyển hướng ến
trang giả mạo dù ã nhập úng URL.
● Ví dụ: Người dùng gõ úng ịa chỉ ngân hàng nhưng bị chuyển hướng ến trang web giả mạo. -Hậu quả của Phishing 5 lOMoAR cPSD| 59184203 + Đối với khách hàng:
Mất tiền trong tài khoản ngân hàng hoặc ví iện tử.
Đánh cắp thông tin cá nhân, dẫn ến các hình thức gian lận khác.
+ Đối với doanh nghiệp TMĐT:
Mất uy tín và lòng tin của khách hàng.
Tổn thất tài chính do phải ền bù thiệt hại hoặc khắc phục sự cố.
Dữ liệu khách hàng bị ánh cắp, gây tổn hại lâu dài.
- Cách phòng chống lừa ảo Phishing + Đối với khách hàng:
Không nhấp vào liên kết không rõ nguồn gốc: Kiểm tra kỹ URL trước khi truy cập, ặc biệt từ email và tin nhắn.
Không cung cấp thông tin nhạy cảm: Không chia sẻ mật khẩu, mã OTP, hoặc thông tin tài chính qua email hoặc iện thoại.
Sử dụng phần mềm bảo mật: Cài ặt phần mềm chống virus và tường lửa ể bảo vệ thiết bị.
Kích hoạt xác thực hai yếu tố (2FA): Tăng cường bảo mật cho tài khoản TMĐT, ngân hàng.
Kiểm tra nguồn gốc email/tin nhắn: Xác minh trực tiếp với tổ chức qua hotline chính thức. + Đối với doanh nghiệp:
Xác thực giao dịch: Sử dụng các phương pháp bảo mật như mã OTP, chữ ký số ể xác minh giao dịch.
Tăng cường bảo mật website: Cài ặt chứng chỉ SSL (HTTPS) ể bảo mật thông tin khách hàng.
Thường xuyên kiểm tra và vá lỗ hổng bảo mật.
Đào tạo nhân viên và khách hàng: Nâng cao nhận thức về các hình thức lừa ảo phishing.
Sử dụng hệ thống giám sát: Theo dõi hoạt ộng bất thường ể phát hiện sớm các hành vi tấn công.
Bảo mật DNS: Sử dụng hệ thống bảo vệ DNS ể ngăn chặn tấn công pharming. D. Thư rác, bom thư
Thư rác và bom thư là hai hình thức tấn công qua email nhằm gây phiền toái hoặc làm gián oạn hoạt
ộng liên lạc cá nhân và doanh nghiệp. Chúng ược coi là mối e dọa phổ biến trong môi trường kỹ thuật
số, ặc biệt trong lĩnh vực thương mại iện tử (TMĐT). 1. Thư rác (Spam)
-Định nghĩa: Thư rác là các email không mong muốn, thường ược gửi với số lượng lớn mà không có sự
ồng ý của người nhận. Nội dung của thư rác có thể bao gồm:
● Quảng cáo không mong muốn. ● Lừa ảo (phishing).
● Đường dẫn chứa mã ộc. ● Mục ích
● Quảng bá sản phẩm/dịch vụ không mong muốn.
● Phát tán mã ộc, ánh cắp dữ liệu.
● Lừa ảo tài chính hoặc thông tin cá nhân.
-Đặc iểm: Gửi từ ịa chỉ email giả mạo hoặc ịa chỉ không thể trả lời.
Nội dung thường chứa các liên kết ộc hại hoặc yêu cầu người nhận cung cấp thông tin cá nhân. - Hậu quả
+ Đối với cá nhân: Nguy cơ mất thông tin cá nhân hoặc bị lừa ảo.
Làm mất thời gian khi phải xử lý email không cần thiết.
+ Đối với doanh nghiệp: Tăng tải cho hệ thống email, làm giảm hiệu suất.
Mất uy tín khi khách hàng nhận ược thư rác từ hệ thống của doanh nghiệp (nếu bị hacker lợi dụng). -Ví dụ:
Email thông báo "Bạn ã trúng thưởng!" yêu cầu người dùng cung cấp thông tin tài khoản ngân hàng.
Quảng cáo thuốc hoặc dịch vụ không rõ nguồn gốc. 6 lOMoAR cPSD| 59184203 2. Bom thư (Email Bombing)
-Định nghĩa: Bom thư là hành vi cố tình gửi một lượng lớn email trong thời gian ngắn ến một hoặc
nhiều ịa chỉ, nhằm làm tê liệt hộp thư của nạn nhân hoặc gây gián oạn hệ thống email.
-Mục ích: Làm gián oạn liên lạc của cá nhân hoặc doanh nghiệp.
Tấn công gây hại hệ thống email, dẫn ến mất dữ liệu hoặc phải tốn chi phí khắc phục.
-Phương thức thực hiện:
● Gửi thủ công: Hacker gửi liên tục các email có nội dung rỗng hoặc không quan trọng.
● Sử dụng phần mềm tự ộng: Botnet ược lập trình ể gửi email từ nhiều ịa chỉ khác nhau, tránh bị hệ thống phát hiện.
● Đăng ký spam: Sử dụng ịa chỉ email của nạn nhân ể ăng ký nhận thư từ nhiều nguồn không áng tin cậy. -Hậu quả
+ Đối với cá nhân: Không thể nhận các email quan trọng do hộp thư bị quá tải.
+ Đối với doanh nghiệp: Làm gián oạn hoạt ộng kinh doanh, gây ảnh hưởng ến uy tín. Tăng chi
phí khắc phục và bảo trì hệ thống. -Ví dụ:
Gửi hàng nghìn email ến ịa chỉ của một tổ chức ể gây nghẽn hệ thống email server.
Dùng botnet ể gửi email ồng loạt với nội dung giống nhau.
Cách phòng chống Thư rác và Bom thư -Đối với cá nhân:
+ Sử dụng bộ lọc thư rác: Kích hoạt tính năng lọc spam trên các ứng dụng email như Gmail, Outlook.
+ Không cung cấp email công khai: Hạn chế chia sẻ email trên các diễn àn hoặc mạng xã hội công khai.
+ Kiểm tra email trước khi mở: Không mở email hoặc tệp ính kèm từ ịa chỉ lạ.
+ Sử dụng email tạm thời: Dùng ịa chỉ email tạm thời khi ăng ký vào các trang web không tin cậy.
+ Cập nhật bảo mật: Cài ặt phần mềm chống virus và cập nhật hệ iều hành thường xuyên. -Đối với doanh nghiệp
+ Triển khai hệ thống bảo mật email: Cài ặt bộ lọc email nâng cao ể phát hiện và ngăn chặn spam.
+ Theo dõi hệ thống: Giám sát hoạt ộng email ể phát hiện hành vi bất thường.
+ Hạn chế ăng ký công khai: Không sử dụng email doanh nghiệp ể ăng ký các dịch vụ không tin cậy. +
Thêm CAPTCHA vào form liên hệ: Ngăn chặn bot tự ộng gửi email spam ến doanh nghiệp.
+ Sao lưu dữ liệu thường xuyên: Đảm bảo dữ liệu không bị mất nếu hệ thống email bị tấn công.
E. Tấn công người ứng giữa (Man-in-the-Middle) – các loại hình tấn công
Tấn công người ứng giữa (Man-in-the-Middle Attack - MITM) là một dạng tấn công mạng, trong ó kẻ
tấn công bí mật chặn và có khả năng thay ổi các giao tiếp giữa hai bên mà họ không hề hay biết. Điều
này cho phép kẻ tấn công nghe lén, thu thập thông tin nhạy cảm hoặc chèn dữ liệu giả mạo. MITM
thường xảy ra khi các giao thức bảo mật yếu hoặc khi các biện pháp bảo vệ không ược triển khai úng cách.
Các loại hình tấn công Man-in-the-Middle phổ biến:
-Tấn công nghe lén mạng (Network Sniffing):
● Kẻ tấn công sử dụng các công cụ như Wireshark ể chặn dữ liệu truyền qua mạng, ặc biệt trên
các mạng Wi-Fi công cộng không mã hóa.
● Mục tiêu thường là lấy cắp thông tin nhạy cảm như tài khoản ăng nhập, mật khẩu hoặc dữ liệu cá nhân.
-Tấn công giả mạo ARP (ARP Spoofing): 7 lOMoAR cPSD| 59184203
● Kẻ tấn công gửi các gói ARP giả mạo ể lừa thiết bị của nạn nhân và máy chủ mạng tin rằng kẻ
tấn công chính là bên hợp pháp.
● Từ ó, kẻ tấn công có thể chặn hoặc thay ổi lưu lượng mạng giữa các thiết bị.
-DNS Spoofing (DNS Cache Poisoning):
● Kẻ tấn công can thiệp và thay ổi bản ghi DNS, dẫn người dùng ến các trang web giả mạo thay vì trang web thật.
● Ví dụ: Người dùng nhập ịa chỉ ngân hàng nhưng bị chuyển hướng ến trang web lừa ảo.
-Tấn công HTTPS giả mạo (SSL Stripping):
● Kẻ tấn công hạ cấp kết nối HTTPS xuống HTTP, sau ó theo dõi và chỉnh sửa dữ liệu truyền tải.
● Nạn nhân không nhận ra rằng họ ang giao tiếp qua một kết nối không an toàn. -Tấn công Wi-Fi Evil Twin:
● Kẻ tấn công thiết lập một iểm truy cập Wi-Fi giả với tên giống hoặc tương tự Wi-Fi hợp pháp.
● Khi người dùng kết nối, kẻ tấn công có thể chặn dữ liệu và theo dõi hoạt ộng của họ.
-Session Hijacking (Chiếm oạt phiên):
● Kẻ tấn công chặn cookie phiên (session cookie) của nạn nhân ể ăng nhập vào tài khoản của họ
mà không cần mật khẩu.
● Điều này thường xảy ra trên các website không sử dụng HTTPS.
-Tấn công vào ứng dụng di ộng (Mobile App MITM):
● Kẻ tấn công can thiệp vào dữ liệu giữa ứng dụng di ộng và máy chủ, ánh cắp thông tin nhạy
cảm hoặc chèn mã ộc vào dữ liệu. -Email Hijacking:
● Kẻ tấn công xâm nhập vào giao tiếp email, giả mạo danh tính của một bên ể gửi email chứa
thông tin sai lệch hoặc yêu cầu tài chính.
Biện pháp phòng chống MITM:
● Sử dụng HTTPS và xác minh chứng chỉ SSL/TLS của các trang web.
● Không sử dụng Wi-Fi công cộng không mã hóa hoặc dùng VPN khi cần truy cập mạng công cộng.
● Triển khai các giao thức bảo mật như WPA3 cho Wi-Fi.
● Sử dụng phần mềm chống virus và cập nhật thường xuyên.
● Kích hoạt xác thực hai yếu tố (2FA) ể tăng cường bảo mật tài khoản.
● Theo dõi và phát hiện các hoạt ộng bất thường trong mạng.
F. Tấn công Social Engineering (kỹ thuật xã hội)
Tấn công kỹ thuật xã hội (Social Engineering Attack) là hình thức tấn công dựa trên việc lợi dụng tâm
lý, niềm tin và sự thiếu cẩn trọng của con người ể lấy cắp thông tin, truy cập trái phép hoặc thực hiện
các hành vi lừa ảo. Thay vì khai thác lỗ hổng kỹ thuật, kẻ tấn công tập trung vào khai thác yếu tố "con
người" trong hệ thống bảo mật.
Các loại hình tấn công kỹ thuật xã hội phổ biến:
-Phishing (Lừa ảo trực tuyến)
● Kẻ tấn công gửi email, tin nhắn hoặc trang web giả mạo trông giống như của các tổ chức hợp
pháp (ngân hàng, công ty, cơ quan chính phủ) ể lừa người dùng cung cấp thông tin cá nhân như
mật khẩu, số tài khoản ngân hàng.
● Ví dụ: Email thông báo "tài khoản của bạn ã bị khóa, hãy nhấp vào liên kết ể mở lại".
-Spear Phishing (Lừa ảo có mục tiêu)
● Hình thức nâng cao của phishing, nhắm ến các cá nhân hoặc tổ chức cụ thể.
● Kẻ tấn công thường nghiên cứu kỹ về mục tiêu ể tạo ra thông iệp cá nhân hóa, khiến nạn nhân dễ bị lừa.
-Baiting (Đánh vào sự tò mò hoặc tham lam) 8 lOMoAR cPSD| 59184203
● Kẻ tấn công sử dụng "mồi nhử" như USB, phần mềm miễn phí, hoặc nội dung hấp dẫn ể lừa
nạn nhân tải về mã ộc hoặc truy cập vào hệ thống.
● Ví dụ: Một USB có nhãn "Tài liệu bí mật" ược cố tình ể tại nơi làm việc.
-Pretexting (Đánh lừa dựa trên vỏ bọc)
Kẻ tấn công giả danh là một người hoặc tổ chức áng tin cậy ể lấy thông tin từ nạn nhân.
Ví dụ: Giả làm nhân viên IT ể yêu cầu mật khẩu của người dùng với lý do hỗ trợ kỹ thuật.
-Quid Pro Quo (Đổi chác thông tin)
● Tailgating (Đi theo sau người khác ể vào khu vực hạn chế)
● Kẻ tấn công lợi dụng sự cả tin của nạn nhân ể lẻn vào khu vực cần thẻ ra vào hoặc mật mã. ●
Ví dụ: Kẻ tấn công giả làm người giao hàng, yêu cầu nạn nhân mở cửa hộ.
-Vishing (Lừa ảo qua iện thoại)
● Kẻ tấn công gọi iện giả danh nhân viên ngân hàng, cơ quan nhà nước hoặc công ty dịch vụ ể
lừa nạn nhân cung cấp thông tin cá nhân hoặc mã OTP.
-Smishing (Lừa ảo qua tin nhắn)
● Kẻ tấn công gửi tin nhắn giả mạo chứa ường link ộc hại hoặc yêu cầu cung cấp thông tin nhạy cảm.
● Ví dụ: Tin nhắn "Bạn trúng thưởng một chiếc iPhone. Nhấp vào ây ể nhận quà."
-Shoulder Surfing (Quan sát trộm)
● Kẻ tấn công nhìn trộm màn hình hoặc bàn phím khi nạn nhân nhập mật khẩu hoặc thông tin
quan trọng ở nơi công cộng.
-Impersonation (Giả mạo danh tính)
● Kẻ tấn công giả mạo ồng nghiệp, lãnh ạo, hoặc nhân viên hỗ trợ ể ánh lừa nạn nhân cung cấp
thông tin hoặc thực hiện yêu cầu. Biện pháp phòng chống tấn công kỹ thuật xã hội -Nhận thức và ào tạo:
● Đào tạo nhân viên về các kỹ thuật tấn công phổ biến và cách nhận diện chúng. ● Luôn thận
trọng với các yêu cầu thông tin cá nhân hoặc tài khoản. -Kiểm tra nguồn tin:
● Xác minh danh tính của người liên hệ qua iện thoại, email hoặc tin nhắn.
● Tránh nhấp vào liên kết không rõ nguồn gốc.
-Áp dụng chính sách bảo mật:
● Sử dụng xác thực hai yếu tố (2FA) cho tất cả các tài khoản quan trọng.
● Không chia sẻ mật khẩu hoặc thông tin nhạy cảm qua email hoặc iện thoại.
-Hạn chế truy cập vật lý:
● Cẩn thận với những người không quen biết muốn truy cập vào khu vực hạn chế. ● Sử dụng thẻ
từ hoặc mã PIN ể bảo vệ lối ra vào.
-Giám sát hoạt ộng bất thường:
● Cảnh giác với các yêu cầu khẩn cấp hoặc lời ề nghị quá hấp dẫn.
● Báo cáo ngay nếu phát hiện hành vi áng ngờ.
-Cập nhật hệ thống và phần mềm:
● Đảm bảo các thiết bị và ứng dụng luôn ược cập nhật phiên bản mới nhất ể giảm thiểu nguy cơ bị tấn công.
G. Mối e dọa từ nội bộ (insider threats)
Mối e dọa từ nội bộ là các rủi ro hoặc nguy cơ an ninh xuất phát từ chính những người bên trong tổ
chức, như nhân viên, ối tác, nhà thầu hoặc cộng tác viên. Những cá nhân này có quyền truy cập vào hệ
thống, dữ liệu hoặc tài sản của tổ chức, và họ có thể lợi dụng quyền truy cập ó, dù cố ý hay vô ý, ể gây thiệt hại.
-Phân loại mối e dọa nội bộ: 9 lOMoAR cPSD| 59184203
+ Nhân viên cố ý phá hoại (Malicious Insider)
Những người này có ộng cơ xấu, chẳng hạn như trả thù, lợi ích tài chính, hoặc mâu thuẫn cá nhân.
Ví dụ: Một nhân viên cố tình xóa dữ liệu quan trọng hoặc bán thông tin nhạy cảm của công ty. +
Nhân viên bất cẩn (Negligent Insider)
Những cá nhân này không có ý ịnh xấu nhưng gây ra rủi ro do bất cẩn, thiếu hiểu biết hoặc không tuân thủ quy ịnh.
Ví dụ: Một nhân viên vô tình mở email lừa ảo, làm lộ thông tin nhạy cảm.
+ Người bị lợi dụng (Compromised Insider)
Nhân viên hoặc ối tác bị tấn công từ bên ngoài (qua kỹ thuật xã hội, phần mềm ộc hại) và vô tình trở
thành cầu nối ể kẻ tấn công tiếp cận hệ thống.
Ví dụ: Một nhân viên bị lừa cung cấp thông tin ăng nhập qua một trang web giả mạo. +
Nhân viên rời i (Departing Insider)
Những cá nhân ang chuẩn bị rời tổ chức và cố tình lấy cắp hoặc phá hoại tài sản của công ty trước khi ra i.
Ví dụ: Sao chép dữ liệu khách hàng ể sử dụng tại công ty mới.
-Hậu quả của mối e dọa nội bộ
+ Mất mát dữ liệu nhạy cảm: Các tài liệu bí mật, dữ liệu khách hàng hoặc tài sản trí tuệ có thể bị lộ ra bên ngoài.
+ Thiệt hại tài chính: Gồm chi phí pháp lý, phạt vi phạm quy ịnh bảo mật, hoặc mất doanh thu do khách hàng mất lòng tin.
+ Ảnh hưởng ến uy tín: Danh tiếng của tổ chức có thể bị ảnh hưởng nghiêm trọng, ặc biệt nếu sự
cố bảo mật ược công khai.
+ Gián oạn hoạt ộng: Mất dữ liệu, phá hoại hệ thống hoặc truy cập trái phép có thể làm gián oạn hoạt ộng kinh doanh.
-Biện pháp phòng chống mối e dọa nội bộ
+ Xây dựng chính sách bảo mật rõ ràng:
Thiết lập quy ịnh về truy cập, sử dụng và bảo vệ dữ liệu.
Thực hiện các quy ịnh nghiêm ngặt về lưu trữ và truy cập dữ liệu nhạy cảm. +
Hạn chế quyền truy cập:
Áp dụng nguyên tắc "quyền truy cập tối thiểu" (Least Privilege), ảm bảo mỗi cá nhân chỉ ược truy cập
dữ liệu cần thiết ể thực hiện công việc.
+ Giám sát hành vi người dùng:
Sử dụng công cụ phân tích hành vi người dùng (UBA – User Behavior Analytics) ể phát hiện các hành
vi bất thường như tải xuống dữ liệu với khối lượng lớn hoặc truy cập trái phép vào tài nguyên. +Đào tạo nhân viên:
Tổ chức các buổi ào tạo ịnh kỳ về nhận thức an ninh mạng và cách phát hiện các rủi ro tiềm tàng.
Hướng dẫn nhân viên cách ối phó với các mối e dọa như email lừa ảo, kỹ thuật xã hội. + Sử dụng công nghệ bảo mật:
Triển khai các công cụ như Hệ thống Phát hiện Xâm nhập (IDS), Ngăn chặn Mất Dữ liệu (DLP), và
phần mềm mã hóa dữ liệu.
+ Quản lý khi nhân viên nghỉ việc:
Tắt quyền truy cập ngay lập tức khi nhân viên nghỉ việc.
Kiểm tra và thu hồi các thiết bị công nghệ, ảm bảo dữ liệu không bị sao chép trái phép. + Kiểm tra ịnh kỳ:
Thực hiện các cuộc kiểm toán an ninh thường xuyên ể ánh giá và cải thiện các biện pháp bảo mật.
(gây hậu quả ra sao, phòng chống và xử lý hậu quả) 10 lOMoAR cPSD| 59184203
4. Giải pháp bảo vệ
A. Mã hóa dữ liệu: mã hóa băm, mã hóa ối xứng, mã hóa bất ối xứng
Mã hóa dữ liệu là quá trình chuyển ổi thông tin từ dạng dễ hiểu sang dạng khó hiểu ể bảo vệ tính bảo
mật, toàn vẹn và xác thực của dữ liệu. Có ba loại mã hóa chính: mã hóa băm, mã hóa ối xứng, và mã
hóa bất ối xứng. 1. Mã hóa băm (Hashing)
Mã hóa băm là quá trình chuyển ổi dữ liệu thành một chuỗi ký tự cố ịnh, ược gọi là hash value hoặc
digest, bằng cách sử dụng một hàm băm. Mã hóa băm không thể ảo ngược, nghĩa là bạn không thể lấy
lại dữ liệu gốc từ giá trị băm. -Đặc iểm:
Không thể giải mã (một chiều).
Giá trị băm có ộ dài cố ịnh, bất kể kích thước dữ liệu gốc.
Dữ liệu gốc khác nhau tạo ra giá trị băm khác nhau. -Ứng dụng:
Bảo vệ mật khẩu: Mật khẩu ược băm trước khi lưu trữ.
Xác minh dữ liệu: Đảm bảo dữ liệu không bị thay ổi thông qua so sánh giá trị băm.
Chữ ký số và chứng thực.
-Các thuật toán phổ biến:
MD5: Nhanh nhưng không còn an toàn do lỗ hổng bảo mật.
SHA-1: An toàn hơn MD5, nhưng cũng bị coi là lỗi thời.
SHA-256, SHA-3: Được khuyến nghị sử dụng nhờ ộ an toàn cao.
2. Mã hóa ối xứng (Symmetric Encryption)
Mã hóa ối xứng sử dụng cùng một khóa cho cả quá trình mã hóa và giải mã. Người gửi và người nhận
phải chia sẻ khóa bí mật này ể trao ổi dữ liệu. -Đặc iểm:
Khóa mã hóa và giải mã giống nhau.
Tốc ộ nhanh, phù hợp ể mã hóa dữ liệu lớn.
Bảo mật phụ thuộc vào việc giữ bí mật khóa. -Ứng dụng:
Mã hóa tập tin hoặc cơ sở dữ liệu.
Bảo vệ dữ liệu trong mạng nội bộ.
Truyền thông trong các hệ thống an toàn.
-Các thuật toán phổ biến:
DES: Không còn an toàn do ộ dài khóa ngắn (56-bit).
3DES: Nâng cấp từ DES nhưng chậm.
AES (Advanced Encryption Standard): Thuật toán hiện ại, an toàn và nhanh chóng, với các ộ dài khóa
128-bit, 192-bit, và 256-bit.
3. Mã hóa bất ối xứng (Asymmetric Encryption)
Mã hóa bất ối xứng sử dụng hai khóa khác nhau: một khóa công khai (public key) ể mã hóa và một
khóa riêng tư (private key) ể giải mã. Người nhận dữ liệu giữ khóa riêng tư ể giải mã, trong khi khóa
công khai có thể ược chia sẻ rộng rãi. -Đặc iểm:
Khóa mã hóa và giải mã khác nhau.
An toàn hơn mã hóa ối xứng nhưng chậm hơn.
Giải quyết vấn ề phân phối khóa trong mã hóa ối xứng. -Ứng dụng:
Gửi email an toàn (PGP, S/MIME).
Giao dịch trực tuyến (HTTPS, SSL/TLS).
Chữ ký số: Đảm bảo tính toàn vẹn và xác thực dữ liệu. 11 lOMoAR cPSD| 59184203
-Các thuật toán phổ biến:
RSA: Một trong những thuật toán bất ối xứng ầu tiên và phổ biến nhất.
ECC (Elliptic Curve Cryptography): An toàn hơn RSA với khóa ngắn hơn.
DSA (Digital Signature Algorithm): Sử dụng cho chữ ký số. B. Giao thức SSL/TLS, SET
Cả SSL/TLS và SET ều là các giao thức bảo mật ược thiết kế ể ảm bảo an toàn cho các giao dịch trực
tuyến. Tuy nhiên, chúng phục vụ các mục ích khác nhau và có những cơ chế hoạt ộng riêng biệt. 1. Giao thức SSL/TLS
SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là các giao thức mã hóa ược sử dụng ể
bảo vệ dữ liệu truyền qua mạng, ặc biệt là trên internet. -Mục ích:
Bảo mật kết nối giữa các máy khách và máy chủ (ví dụ: trình duyệt và website).
Bảo vệ dữ liệu khỏi bị nghe lén, sửa ổi hoặc giả mạo trong quá trình truyền tải.
-Cách hoạt ộng của SSL/TLS:
+ Bắt tay SSL/TLS (Handshake):
Máy khách và máy chủ trao ổi thông tin ể thiết lập một kết nối an toàn.
Xác thực danh tính máy chủ (thông qua chứng chỉ số SSL/TLS).
Thỏa thuận thuật toán mã hóa và khóa phiên (session key). + Mã hóa dữ liệu:
Sử dụng mã hóa ối xứng ể bảo mật dữ liệu sau khi khóa phiên ược thiết lập.
Mã hóa bất ối xứng chỉ ược sử dụng trong quá trình bắt tay ể trao ổi khóa. +
Xác thực và toàn vẹn dữ liệu:
Dữ liệu ược gắn thêm mã xác thực (MAC) ể ảm bảo không bị sửa ổi trong quá trình truyền. -Ứng dụng SSL/TLS:
● Giao thức HTTPS (HTTP Secure): Bảo mật website.
● Gửi email an toàn (SMTP, IMAP, POP3 qua SSL/TLS).
● Bảo mật giao dịch ngân hàng trực tuyến và mua sắm qua mạng.
-Phiên bản SSL/TLS phổ biến:
● SSL 3.0: Không còn an toàn, ã ngừng sử dụng.
● TLS 1.0, 1.1: Lỗi thời và không ược khuyến nghị.
● TLS 1.2, 1.3: Được sử dụng rộng rãi, cung cấp mức bảo mật cao.
2. Giao thức SET (Secure Electronic Transaction)
SET là một giao thức ược phát triển bởi Visa và MasterCard vào cuối những năm 1990 ể bảo vệ các
giao dịch thẻ tín dụng trực tuyến. -Mục ích:
Bảo mật thông tin thẻ tín dụng trong các giao dịch thương mại iện tử.
Đảm bảo rằng thông tin nhạy cảm của khách hàng (như số thẻ tín dụng) không bị lộ cho các bên không
liên quan, kể cả người bán.
-Cách hoạt ộng của SET: + Xác thực danh tính:
Cả người mua (khách hàng) và người bán (thương nhân) ều ược xác thực bằng chứng chỉ số.
Chứng chỉ số do một cơ quan chứng thực (CA) áng tin cậy cấp. + Mã hóa thông tin:
Dữ liệu nhạy cảm (như số thẻ tín dụng) ược mã hóa ể ảm bảo không thể bị ánh cắp trong quá trình truyền. + Quá trình thanh toán:
Thông tin thẻ tín dụng của khách hàng ược gửi trực tiếp ến ngân hàng, thay vì người bán.
Người bán chỉ nhận ược xác nhận thanh toán từ ngân hàng mà không biết thông tin chi tiết về thẻ tín dụng của khách hàng. 12 lOMoAR cPSD| 59184203 -Ứng dụng SET:
● Được thiết kế ể sử dụng trong thương mại iện tử.
● Đảm bảo tính bảo mật cao cho giao dịch thẻ tín dụng. -Nhược iểm của SET:
● Quá phức tạp trong triển khai.
● Yêu cầu tất cả các bên (khách hàng, người bán, ngân hàng) phải có chứng chỉ số, gây khó khăn
trong việc áp dụng rộng rãi.
● Vì lý do này, SET dần bị thay thế bởi các giải pháp bảo mật khác, chẳng hạn như SSL/TLS kết
hợp với mã hóa thẻ tín dụng.
C. Phương pháp xác thực 2 yếu tố, sinh trắc học, ặt mật khẩu
Xác thực là quá trình xác minh danh tính người dùng khi họ muốn truy cập vào một hệ thống hoặc dịch
vụ. Có ba phương pháp chính ể thực hiện xác thực, bao gồm: Xác thực hai yếu tố (2FA), Xác thực sinh
trắc học, và Đặt mật khẩu. Dưới ây là chi tiết từng phương pháp:
1. Xác thực hai yếu tố (2FA - Two-Factor Authentication)
-Khái niệm: Xác thực hai yếu tố yêu cầu người dùng cung cấp hai loại bằng chứng khác nhau ể xác
minh danh tính. Hai yếu tố này thường thuộc các loại:
● Những gì bạn biết (mật khẩu, mã PIN).
● Những gì bạn có ( iện thoại, token bảo mật).
● Những gì bạn là (dấu vân tay, nhận diện khuôn mặt).
-Cách hoạt ộng: Người dùng nhập mật khẩu hoặc mã PIN (yếu tố ầu tiên).
Sau ó, người dùng phải cung cấp một yếu tố thứ hai như:
● Mã xác thực gửi qua SMS/email.
● Ứng dụng tạo mã OTP (One-Time Password) như Google Authenticator.
● Token vật lý hoặc USB bảo mật (như YubiKey). -Ưu iểm:
Tăng cường bảo mật bằng cách yêu cầu hai bằng chứng khác nhau.
Ngăn chặn hầu hết các cuộc tấn công dò mật khẩu hoặc sử dụng mật khẩu bị ánh cắp. -Nhược iểm:
Nếu yếu tố thứ hai bị mất ( iện thoại, token), người dùng có thể bị khóa tài khoản. Phụ
thuộc vào thiết bị hoặc mạng, có thể gây bất tiện. -Ứng dụng:
Bảo mật tài khoản trực tuyến (email, ngân hàng, mạng xã hội).
Truy cập vào hệ thống nội bộ của tổ chức.
2. Xác thực sinh trắc học (Biometric Authentication)
-Khái niệm: Xác thực sinh trắc học sử dụng các ặc iểm vật lý hoặc hành vi ộc nhất của người dùng ể xác minh danh tính.
-Các loại sinh trắc học phổ biến:
● Dấu vân tay: Quét và so sánh vân tay với dữ liệu lưu trữ.
● Nhận diện khuôn mặt: Sử dụng hình ảnh 3D khuôn mặt ể xác thực.
● Nhận diện mống mắt: Dựa trên mẫu ộc nhất trong mống mắt.
● Nhận diện giọng nói: Phân tích giọng nói của người dùng.
● Nhận diện hành vi: Xác minh dựa trên hành vi ánh máy, di chuột hoặc cách sử dụng thiết bị. -Ưu iểm:
Đặc iểm sinh trắc học rất khó giả mạo hoặc sao chép.
Nhanh chóng và thuận tiện, không cần ghi nhớ mật khẩu. -Nhược iểm:
Nếu dữ liệu sinh trắc học bị ánh cắp, không thể thay thế như mật khẩu. 13 lOMoAR cPSD| 59184203
Một số hệ thống có thể gặp khó khăn với sai số hoặc môi trường (ánh sáng kém, vân tay ướt). Đòi
hỏi thiết bị phần cứng hỗ trợ (máy quét, camera). -Ứng dụng:
Điện thoại thông minh (Face ID, Touch ID).
Hệ thống kiểm soát truy cập (cửa ra vào, máy chấm công).
Giao dịch ngân hàng và thanh toán.
3. Đặt mật khẩu (Password Authentication)
-Khái niệm: Đây là phương pháp xác thực truyền thống, trong ó người dùng phải nhập một chuỗi ký tự
(mật khẩu) ể truy cập vào hệ thống.
-Đặc iểm của mật khẩu mạnh:
● Dài ít nhất 12 ký tự.
● Bao gồm chữ hoa, chữ thường, số và ký tự ặc biệt.
● Không sử dụng các từ phổ biến hoặc thông tin cá nhân (tên, ngày sinh). -Ưu iểm:
Dễ triển khai và không yêu cầu thiết bị bổ sung.
Người dùng có thể thay ổi mật khẩu nếu cần. -Nhược iểm:
Dễ bị tấn công như dò mật khẩu (brute force), tấn công lừa ảo (phishing).
Người dùng thường tạo mật khẩu yếu hoặc sử dụng lại mật khẩu ở nhiều nơi, gây rủi ro bảo mật. -Ứng dụng:
Truy cập vào hầu hết các tài khoản trực tuyến hoặc hệ thống phần mềm.
D. Tường lửa – các loại tường lửa, VPN
Tường lửa (Firewall) và VPN (Virtual Private Network) là hai công cụ quan trọng trong việc bảo vệ
mạng máy tính, ảm bảo an toàn thông tin và quyền riêng tư. Dưới ây là thông tin cơ bản về tường lửa và
các loại tường lửa, cũng như VPN: -Tường lửa (Firewall)
Tường lửa là hệ thống bảo mật mạng, ược thiết kế ể giám sát và kiểm soát lưu lượng truy cập mạng dựa
trên các quy tắc bảo mật ã ược thiết lập. Tường lửa óng vai trò như một “lá chắn” giữa mạng nội bộ và
các mạng bên ngoài (như Internet). -Các loại tường lửa:
+ Tường lửa phần cứng (Hardware Firewall):
Là thiết bị vật lý, thường ược tích hợp vào các router hoặc thiết bị mạng chuyên dụng.
Phù hợp cho các doanh nghiệp hoặc tổ chức lớn cần bảo vệ toàn bộ hệ thống mạng.
Ưu iểm: Độc lập với hệ thống máy tính, hiệu suất cao.
Nhược iểm: Chi phí cao, cần cấu hình và bảo trì chuyên nghiệp.
+ Tường lửa phần mềm (Software Firewall):
Là phần mềm ược cài ặt trên thiết bị (PC, laptop, server).
Phù hợp cho người dùng cá nhân hoặc doanh nghiệp nhỏ.
Ưu iểm: Dễ cài ặt, chi phí thấp.
Nhược iểm: Tiêu tốn tài nguyên hệ thống, phụ thuộc vào thiết bị.
+ Tường lửa dựa trên mạng (Network-based Firewall):
Thường ược triển khai tại iểm kết nối chính của mạng, bảo vệ toàn bộ lưu lượng vào/ra.
Áp dụng cho các doanh nghiệp lớn.
+ Tường lửa dựa trên máy chủ proxy (Proxy Firewall):
Làm trung gian giữa người dùng và mạng bên ngoài.
Ưu iểm: Bảo mật cao vì không cho phép kết nối trực tiếp giữa người dùng và Internet. 14 lOMoAR cPSD| 59184203
Nhược iểm: Hiệu suất thấp hơn do cần xử lý thông qua proxy.
+ Tường lửa thế hệ mới (Next-Generation Firewall - NGFW):
Kết hợp tường lửa truyền thống với các công nghệ bảo mật tiên tiến như kiểm tra gói tin sâu (Deep
Packet Inspection), phát hiện xâm nhập (IDS/IPS).
Được sử dụng rộng rãi trong môi trường doanh nghiệp hiện ại.
VPN (Virtual Private Network)
VPN là công nghệ tạo một mạng riêng ảo, giúp mã hóa kết nối Internet của người dùng và bảo vệ dữ
liệu khỏi sự giám sát hoặc tấn công. Khi sử dụng VPN, dữ liệu của bạn ược truyền qua một “ ường hầm
an toàn” giữa thiết bị và máy chủ VPN. -Các loại VPN:
+ VPN cá nhân (Personal VPN):
Dành cho cá nhân sử dụng ể bảo mật kết nối Internet, ẩn danh và truy cập nội dung bị hạn chế.
Ví dụ: NordVPN, ExpressVPN, Surfshark.
+ VPN doanh nghiệp (Business VPN):
Dành cho doanh nghiệp ể kết nối an toàn giữa nhân viên và mạng nội bộ công ty, ặc biệt quan trọng khi làm việc từ xa. + VPN site-to-site:
Kết nối hai mạng nội bộ của hai văn phòng hoặc chi nhánh của một tổ chức.
Phù hợp với các tổ chức lớn.
+ VPN dựa trên giao thức:
OpenVPN: Mã nguồn mở, an toàn, và linh hoạt.
IPSec/L2TP: Thường sử dụng ể mã hóa lưu lượng.
PPTP: Cũ hơn, tốc ộ nhanh nhưng không an toàn bằng các giao thức khác.
IKEv2: Hiện ại, bảo mật cao, ặc biệt hiệu quả trên các thiết bị di ộng. -Ưu iểm của VPN:
● Bảo mật dữ liệu và quyền riêng tư.
● Ẩn ịa chỉ IP và vị trí thực.
● Truy cập nội dung bị chặn theo khu vực (như Netflix, YouTube).
● Kết nối an toàn khi sử dụng Wi-Fi công cộng. -Nhược iểm của VPN:
● Tốc ộ Internet có thể bị giảm do mã hóa dữ liệu.
● Một số VPN miễn phí không áng tin cậy và có thể thu thập dữ liệu người dùng.
E. Chữ ký số, chứng chỉ số
Chữ ký số và chứng chỉ số là hai khái niệm quan trọng trong lĩnh vực bảo mật thông tin, ặc biệt là
trong các giao dịch iện tử, hệ thống thương mại iện tử và chính phủ iện tử. Dưới ây là giải thích chi
tiết về hai khái niệm này: 1. Chữ ký số (Digital Signature)
Chữ ký số là một dạng chữ ký iện tử, sử dụng thuật toán mã hóa ể xác minh tính xác thực và tính toàn
vẹn của dữ liệu trong giao dịch iện tử.
-Cách hoạt ộng của chữ ký số: + Tạo chữ ký:
Người dùng sử dụng khóa riêng (Private Key) ể tạo ra chữ ký số cho một tài liệu hoặc dữ liệu. Hệ
thống sẽ dùng thuật toán băm (Hash) ể tạo ra một giá trị băm duy nhất từ nội dung tài liệu. Sau ó, giá
trị băm này sẽ ược mã hóa bằng khóa riêng của người ký ể tạo ra chữ ký số. + Xác thực chữ ký:
Người nhận sử dụng khóa công khai (Public Key) ể giải mã chữ ký số và kiểm tra giá trị băm. Sau ó,
hệ thống so sánh giá trị băm này với giá trị băm ược tạo lại từ tài liệu gốc. Nếu hai giá trị trùng khớp, chữ ký số hợp lệ.
+ Chức năng chính của chữ ký số:
Xác thực danh tính: Đảm bảo người gửi thông iệp hoặc tài liệu chính là người sở hữu chữ ký số. 15 lOMoAR cPSD| 59184203
Bảo ảm tính toàn vẹn: Phát hiện mọi thay ổi, chỉnh sửa trên tài liệu sau khi ký.
Chống chối bỏ: Người ký không thể phủ nhận trách nhiệm ối với tài liệu ã ký. +
Ứng dụng của chữ ký số: Gửi email an toàn.
Ký hợp ồng, hóa ơn iện tử.
Kê khai thuế, bảo hiểm xã hội qua mạng.
Thực hiện giao dịch ngân hàng trực tuyến.
2. Chứng chỉ số (Digital Certificate)
Chứng chỉ số là một dạng "giấy chứng nhận" iện tử do Tổ chức chứng thực (CA - Certificate Authority)
cấp. Chứng chỉ số chứa các thông tin về danh tính của người hoặc tổ chức sở hữu, cũng như khóa công khai liên quan.
-Thành phần của chứng chỉ số:
● Thông tin về chủ sở hữu: Tên, email, ịa chỉ, tổ chức, quốc gia.
● Khóa công khai (Public Key): Dùng ể xác thực chữ ký số.
● Thông tin tổ chức chứng thực (CA): Tên, ịa chỉ, chữ ký số của CA.
● Thời gian hiệu lực: Ngày bắt ầu và ngày hết hạn của chứng chỉ số.
● Số seri: Số ịnh danh duy nhất của chứng chỉ.
● Thuật toán mã hóa: Thuật toán ược sử dụng ể tạo chữ ký số.
-Quy trình cấp chứng chỉ số:
Người dùng gửi yêu cầu cấp chứng chỉ số kèm theo khóa công khai và thông tin cá nhân ến CA.
CA xác thực danh tính của người yêu cầu.
Sau khi xác thực, CA sẽ cấp chứng chỉ số, bao gồm khóa công khai và thông tin của người dùng.
-Chức năng của chứng chỉ số:
● Xác thực danh tính: Đảm bảo rằng người sở hữu khóa công khai là áng tin cậy.
● Bảo mật: Được sử dụng trong các giao thức bảo mật như SSL/TLS ể mã hóa dữ liệu truyền qua Internet.
● Hỗ trợ chữ ký số: Chứng chỉ số ược sử dụng ể xác minh chữ ký số.
-Mối liên hệ giữa chữ ký số và chứng chỉ số:
● Chữ ký số: Là một sản phẩm ược tạo ra bằng cách sử dụng khóa riêng và ược xác minh thông qua khóa công khai.
● Chứng chỉ số: Đóng vai trò như một "giấy chứng nhận" ể ảm bảo rằng khóa công khai ược sử
dụng trong quá trình xác minh là thuộc về người sở hữu hợp pháp.
● -Ứng dụng thực tế của chữ ký số và chứng chỉ số:
● Thương mại iện tử: Ký và xác nhận hợp ồng trực tuyến.
● Chính phủ iện tử: Kê khai thuế, ký văn bản pháp lý.
● Ngân hàng và tài chính: Ký lệnh chuyển tiền, chứng thực giao dịch.
● Bảo mật website: Chứng chỉ SSL giúp mã hóa thông tin truyền tải giữa trình duyệt và máy chủ. F. Phần mềm diệt virus
Phần mềm diệt virus (antivirus software) là một chương trình ược thiết kế ể phát hiện, ngăn chặn và loại
bỏ các loại mã ộc (malware), bao gồm virus máy tính, ransomware, spyware, adware, trojan, worm, và
các mối e dọa an ninh khác. Đây là công cụ quan trọng ể bảo vệ máy tính, iện thoại và hệ thống mạng
trước các nguy cơ từ môi trường trực tuyến.
1. Chức năng của phần mềm diệt virus
● Phát hiện và loại bỏ mã ộc: Phần mềm quét hệ thống ể tìm các tệp tin hoặc chương trình ộc hại.
● Cập nhật cơ sở dữ liệu virus: Đảm bảo phát hiện ược các loại virus và mã ộc mới nhất.
● Bảo vệ theo thời gian thực: Giám sát hoạt ộng của hệ thống ể phát hiện các hành vi bất thường
hoặc mối e dọa ngay khi chúng xảy ra.
● Tường lửa tích hợp: Ngăn chặn các kết nối mạng trái phép hoặc nguy hiểm. 16 lOMoAR cPSD| 59184203
● Quét email và tệp tải xuống: Bảo vệ người dùng khỏi các email chứa mã ộc hoặc tệp ính kèm nguy hiểm.
● Chống lừa ảo (Anti-Phishing): Bảo vệ người dùng khỏi các trang web giả mạo nhằm ánh cắp thông tin cá nhân.
2. Các loại phần mềm diệt virus
Phần mềm diệt virus có thể ược chia thành các loại chính như sau:
2.1. Phần mềm diệt virus miễn phí -Ưu iểm:
Dễ sử dụng và không tốn phí.
Cung cấp các tính năng cơ bản như quét virus, bảo vệ thời gian thực. -Nhược iểm:
Ít tính năng nâng cao (như tường lửa, chống ransomware).
Đôi khi chứa quảng cáo hoặc hạn chế khả năng bảo vệ.
Microsoft Defender (Windows Security - tích hợp sẵn trên Windows 10/11).
2.2. Phần mềm diệt virus trả phí -Ưu iểm:
Tích hợp nhiều tính năng bảo mật nâng cao.
Bảo vệ toàn diện trước ransomware, mã ộc zero-day và các cuộc tấn công tinh vi.
Dịch vụ hỗ trợ khách hàng tốt hơn.
-Nhược iểm: Cần trả phí ịnh kỳ (theo năm hoặc tháng).
2.3. Phần mềm diệt virus doanh nghiệp
Dành cho các tổ chức, doanh nghiệp lớn ể bảo vệ mạng và hệ thống.
Tính năng mở rộng như quản lý từ xa, bảo vệ server, và kiểm soát quyền truy cập.
3. Một số phần mềm diệt virus phổ biến ● Avast Antivirus:
● Có phiên bản miễn phí và trả phí.
● Bảo vệ thời gian thực, quản lý mật khẩu, quét phần mềm lỗi thời. ● Kaspersky:
● Hiệu suất cao, bảo vệ toàn diện trước ransomware, bảo mật ngân hàng trực tuyến. ● Norton Antivirus:
● Tích hợp VPN, bảo vệ web, chống lừa ảo. ● Bitdefender:
● Nhẹ, hiệu quả, bảo vệ a lớp với các tính năng như chống ransomware, quét nhanh. ● McAfee:
● Tốt cho gia ình và doanh nghiệp nhỏ, quản lý nhiều thiết bị.
4. Những lưu ý khi sử dụng phần mềm diệt virus
Không cài ặt nhiều phần mềm diệt virus cùng lúc, vì chúng có thể xung ột và làm giảm hiệu suất hệ thống.
Đảm bảo phần mềm ược cập nhật thường xuyên ể nhận diện các loại mã ộc mới.
Kết hợp với các biện pháp bảo mật khác như: tường lửa, không nhấp vào liên kết áng ngờ, sử dụng mật khẩu mạnh.
Tránh tải các phần mềm diệt virus không rõ nguồn gốc, vì chúng có thể chứa mã ộc
(phần tình huống -> nguyên nhân xảy ra, giải pháp)
B. Phần tình huống
1. Lỗ hổng bảo mật trong website, trong hệ thống thanh toán – Nguyên nhân, hậu quả, giải pháp 17 lOMoAR cPSD| 59184203
a. Tình huống trong website
Một website thương mại iện tử (e-commerce) bị tấn công bởi lỗ hổng SQL Injection. Kẻ tấn công khai
thác lỗi này trong trang ăng nhập khách hàng, cho phép chúng truy cập vào cơ sở dữ liệu chứa thông tin
cá nhân và tài khoản thanh toán của khách hàng. -Nguyên nhân:
Không kiểm tra và lọc dữ liệu ầu vào từ người dùng trước khi gửi vào truy vấn SQL. Lập trình
viên không áp dụng các biện pháp mã hóa hoặc sử dụng các thư viện ORM (Object Relational
Mapping) an toàn ể xử lý cơ sở dữ liệu.
Cơ sở dữ liệu không ược phân quyền hợp lý, cho phép truy cập quá mức. -Hậu quả:
Rò rỉ thông tin cá nhân như tên, ịa chỉ, email, số thẻ tín dụng của hàng nghìn khách hàng.
Danh tiếng của website bị tổn hại nghiêm trọng, dẫn ến mất niềm tin từ khách hàng.
Doanh nghiệp phải chịu chi phí khắc phục lỗ hổng và ối mặt với các án phạt từ pháp luật (ví dụ: vi
phạm GDPR hoặc luật bảo mật dữ liệu khác). -Giải pháp: + Ngắn hạn:
Vá lỗ hổng bằng cách áp dụng các biện pháp kiểm tra và lọc ầu vào (Input Validation).
Áp dụng các công cụ phát hiện lỗ hổng bảo mật như OWASP ZAP hoặc Burp Suite. Tạm
thời ngắt kết nối cơ sở dữ liệu ể ngăn chặn kẻ tấn công khai thác thêm. + Dài hạn:
Sử dụng các thư viện ORM (ví dụ: Hibernate, Entity Framework) thay vì tạo truy vấn SQL trực tiếp.
Áp dụng chuẩn Prepared Statements ể tránh SQL Injection.
Phân quyền truy cập cơ sở dữ liệu theo nguyên tắc "least privilege" (quyền tối thiểu). Đào
tạo ội ngũ lập trình viên về bảo mật ứng dụng.
2. Tình huống trong hệ thống thanh toán
Một lỗ hổng trong hệ thống xử lý thanh toán của một công ty cho phép kẻ tấn công thực hiện một cuộc
tấn công Man-in-the-Middle (MITM), ánh cắp thông tin thẻ tín dụng của người dùng trong quá trình thanh toán trực tuyến. -Nguyên nhân:
Hệ thống thanh toán không sử dụng giao thức HTTPS hoặc chứng chỉ SSL không hợp lệ.
Dữ liệu truyền qua mạng không ược mã hóa.
Thiếu xác thực mạnh (ví dụ: mã OTP) trong quá trình thanh toán. -Hậu quả:
Kẻ tấn công có thể lấy cắp thông tin thẻ tín dụng và sử dụng ể thực hiện các giao dịch gian lận.
Người dùng bị mất tiền, dẫn ến khiếu nại và yêu cầu bồi thường.
Công ty bị mất uy tín, doanh thu sụt giảm, và có nguy cơ ối mặt với các vụ kiện. -Giải pháp: + Ngắn hạn:
Kích hoạt và ảm bảo tất cả các kết nối thanh toán sử dụng HTTPS với chứng chỉ SSL hợp lệ.
Ngừng các hoạt ộng thanh toán trực tuyến ể khắc phục lỗ hổng.
Thông báo cho khách hàng về vụ việc và khuyến cáo thay ổi thông tin thanh toán. + Dài hạn:
Áp dụng giao thức bảo mật PCI DSS (Payment Card Industry Data Security Standard) cho hệ thống thanh toán.
Mã hóa tất cả dữ liệu nhạy cảm ược truyền qua mạng và lưu trữ.
Tích hợp các lớp bảo vệ bổ sung như xác thực hai yếu tố (2FA) hoặc OTP cho giao dịch. Thường
xuyên kiểm tra và ánh giá bảo mật hệ thống thanh toán thông qua các bài kiểm tra thâm nhập (penetration testing). 18 lOMoAR cPSD| 59184203
Các biện pháp phòng ngừa chung
-Cập nhật thường xuyên: Luôn cập nhật hệ thống, phần mềm, và các thư viện bên thứ ba ể vá các lỗ hổng ã biết.
-Kiểm tra bảo mật ịnh kỳ: Thực hiện các bài kiểm tra thâm nhập và ánh giá bảo mật thường xuyên. -
Chứng nhận bảo mật: Sử dụng các chứng nhận bảo mật quốc tế (SSL/TLS, PCI DSS) ể ảm bảo an toàn dữ liệu người dùng.
-Đào tạo nhân viên: Nâng cao nhận thức về bảo mật cho nhân viên, ặc biệt là các lập trình viên và quản trị viên hệ thống.
-Giám sát và phát hiện xâm nhập: Sử dụng hệ thống giám sát mạng (IDS/IPS) ể phát hiện và ngăn chặn
các cuộc tấn công trước khi chúng gây thiệt hại.
2. Trang web, ứng dụng bị tấn công bằng mã ộc như virus, ransomeware, bằng
DDOS, bằng phising– nguyên nhân, giải pháp
Một website thương mại iện tử bị nhiễm mã ộc ransomware, dẫn ến việc dữ liệu của toàn bộ hệ thống,
bao gồm thông tin khách hàng, ơn hàng và thanh toán, bị mã hóa. Tin tặc yêu cầu tiền chuộc bằng
Bitcoin ể cung cấp khóa giải mã. -Nguyên nhân:
Sử dụng phần mềm lỗi thời hoặc chưa ược vá (như hệ quản trị nội dung CMS cũ, plugin không an toàn).
Tải lên các tệp tin từ nguồn không áng tin cậy.
Thiếu biện pháp phòng thủ chống ransomware như kiểm tra tệp tin tải lên hoặc bảo vệ cơ sở dữ liệu. - Giải pháp: + Ngắn hạn:
Ngắt kết nối hệ thống khỏi mạng ể ngăn mã ộc lan rộng.
Phân tích mã ộc ể xác ịnh phạm vi thiệt hại.
Không trả tiền chuộc, trừ khi không còn cách nào khác và cần sự hỗ trợ từ cơ quan chức năng. + Dài hạn:
Sử dụng hệ thống sao lưu thường xuyên và lưu trữ offline.
Triển khai các giải pháp bảo mật nâng cao như hệ thống phát hiện xâm nhập (IDS/IPS).
Luôn cập nhật phần mềm và hệ iều hành.
3. Giải pháp bảo vệ mật khẩu bằng hàm băm, giải pháp chữ ký số - lợi ích, cách triển khai
a. Giải pháp bảo vệ mật khẩu bằng hàm băm
Một website cung cấp dịch vụ trực tuyến yêu cầu người dùng tạo tài khoản và ăng nhập. Mật khẩu của
người dùng ược lưu trữ trong cơ sở dữ liệu, nhưng không ược mã hóa. Một khi hệ thống bị tấn công và
cơ sở dữ liệu bị rò rỉ, kẻ tấn công có thể lấy ược mật khẩu của người dùng dưới dạng văn bản thuần túy (plain text). -Nguyên nhân:
Không sử dụng kỹ thuật bảo mật như mã hóa hoặc băm mật khẩu trước khi lưu trữ.
Mật khẩu người dùng bị lưu trữ trực tiếp trong cơ sở dữ liệu mà không ược bảo vệ. -Giải pháp:
Bảo vệ mật khẩu bằng hàm băm (hashing) giúp lưu trữ mật khẩu một cách an toàn mà không cần lưu
trữ mật khẩu thật. Hàm băm là một thuật toán biến dữ liệu ầu vào (mật khẩu) thành một giá trị cố ịnh
với ộ dài nhất ịnh, không thể phục hồi lại dữ liệu ban ầu. -Cách triển khai: + Chọn hàm băm an toàn:
Sử dụng các thuật toán băm mạnh như bcrypt, PBKDF2 hoặc Argon2, thay vì các thuật toán băm cũ
như MD5 hoặc SHA-1, vì các thuật toán này dễ bị tấn công với phương pháp brute force. + Muối (Salt): 19 lOMoAR cPSD| 59184203
Trước khi băm mật khẩu, thêm một giá trị ngẫu nhiên gọi là muối (salt) vào mật khẩu ể tránh các cuộc
tấn công bằng phương pháp bảng tra cứu (rainbow tables).
Mỗi người dùng nên có một muối duy nhất và ược lưu trữ trong cơ sở dữ liệu cùng với mật khẩu ã băm. + Hàm băm mật khẩu:
Khi người dùng ăng nhập, hệ thống sẽ kết hợp mật khẩu nhập vào với muối, sau ó băm và so sánh kết
quả với giá trị băm ã lưu trong cơ sở dữ liệu.
Nếu khớp, người dùng ược phép truy cập vào hệ thống.
-Lợi ích của việc sử dụng hàm băm:
● An toàn: Dữ liệu mật khẩu không bị lưu trữ dưới dạng văn bản thuần túy.
● Khó phục hồi: Không thể phục hồi mật khẩu từ giá trị băm, ngay cả khi dữ liệu bị lộ.
● Chống tấn công dictionary và rainbow tables: Muối giúp ngăn chặn việc sử dụng các bảng tra
cứu ể giải mã mật khẩu.
b. Giải pháp chữ ký số
Một công ty cung cấp dịch vụ ký hợp ồng iện tử. Các hợp ồng cần phải ược ký và xác nhận tính hợp
pháp mà không cần gặp mặt trực tiếp. Công ty muốn sử dụng chữ ký số ể ảm bảo tính toàn vẹn và bảo mật của hợp ồng. -Nguyên nhân:
Chữ ký iện tử không bảo vệ tính toàn vẹn của tài liệu và có thể bị giả mạo.
Môi trường ký hợp ồng iện tử dễ bị tấn công nếu không có cơ chế xác thực mạnh mẽ. -Giải pháp:
Chữ ký số là một giải pháp bảo mật ể ảm bảo tính toàn vẹn của tài liệu và xác thực người ký. Chữ ký số
sử dụng mã hóa công khai (asymmetric encryption) ể xác thực danh tính của người ký và ảm bảo rằng
tài liệu chưa bị thay ổi kể từ khi ký.
-Cách triển khai chữ ký số:
+ Tạo cặp khóa công khai - riêng tư:
Mỗi người dùng hoặc tổ chức cần tạo ra một cặp khóa: khóa riêng tư (private key) và khóa công khai (public key).
Khóa riêng tư dùng ể ký các tài liệu, trong khi khóa công khai ược sử dụng ể xác thực chữ ký số. + Quá trình ký tài liệu:
Người ký tạo một bản băm của tài liệu (hash).
Dùng khóa riêng tư ể mã hóa bản băm, tạo thành chữ ký số.
Chữ ký số này ược ính kèm vào tài liệu. + Xác thực chữ ký:
Người nhận tài liệu sẽ lấy bản băm của tài liệu và giải mã chữ ký số bằng khóa công khai của người ký.
Nếu kết quả giải mã trùng khớp với bản băm của tài liệu, chữ ký số hợp lệ và tài liệu không bị thay ổi.
-Lợi ích của chữ ký số:
● Xác thực danh tính: Chữ ký số xác nhận rằng tài liệu ã ược ký bởi úng người hoặc tổ chức.
● Toàn vẹn: Đảm bảo tài liệu không bị thay ổi sau khi ký, vì bất kỳ thay ổi nào cũng sẽ làm mất hiệu lực chữ ký.
● Pháp lý: Chữ ký số có giá trị pháp lý cao, ặc biệt trong các giao dịch và hợp ồng iện tử.
● Bảo mật: Chữ ký số sử dụng mã hóa mạnh mẽ, giúp ngăn chặn việc giả mạo chữ ký. 20