14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
Khoa Khách sạn – Du lịch -----🙞🙜 🙞 🕮 🙜 🙞 🕮 🙜 🙞 -----
BÀI THẢO LUẬN THƯƠNG MẠI ĐIỆN TỬ CĂN BẢN ĐỀ TÀI
CÁC BIỆN PHÁP BẢO VỆ AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ HIỆN NAY
Nhóm thực hiện: Nhóm 12
Giáo viên hướng dẫn: ThS. Lê Thị Hoài
Lớp học phần: 241_PCOM0111-03 Hà Nội - 2024 about:blank 1/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
BIÊN BẢN HỌP NHÓM 12 HỌC P Ầ
H N THƯƠNG MẠI ĐIỆN TỬ CĂN BẢN
I. Thời gian: 19h00 ngày 26/09/2024 II. Địa điểm: Zalo
III. Thành viên tham gia: 10/10 IV. Nội dung cuộc họp 1. Phân chia công việc 2. Thống nhất Power Point
3. Bảng phân chia công việc STT Họ và tên MSV Nhiệm vụ Đánh giá Điểm Lời mở đầu Hoàn thành tốt 111 Trần Thị Thu Trang 23D110050 Kết l ậ u n nhiệm vụ được 9.1 Word giao Hoàn thành Làm nội dung Chương II 112 Vũ Thị Thùy Trang 23D110105 nhiệm vụ được 9 giao
Làm nội dung Chương I Hoàn thành tốt 113 Hà Ngọc Trâm 23D110051 nhiệm vụ được 9.1 giao Hoàn thành Làm nội dung Chương II 114 Phạm Thị Hồng Tươi 23D110163 nhiệm vụ được 8.9 giao Làm nội dung Chương II Hoàn thành 115 Trần Thị Tú Uyên 23D110109 nhiệm vụ được 9 giao Hoàn thành tốt Powperpoint 116 Đỗ Thị Phương Uyển 23D110164 nhiệm vụ được 9.1 giao 1 about:blank 2/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb Hoàn thành tốt Nhóm trưởng 117 Lê Thị Thảo Vân 23D110053 nhiệm vụ được 9.5 Làm nội dung Chương III giao Hoàn thành 118 Trần Thị Hải Vân
23D110110 Làm nội dung Chương II nhiệm vụ được 9 giao Hoàn thành tốt Thuyết trình 119 Trần Thị Minh Vân 23D110165 nhiệm vụ được 9.2 giao Hoàn thành tốt 120 Hồ Thị Hà Vy 23D250050 Thuyết trình nhiệm vụ được 9.2 giao Hoàn thành 121 Đàm Hồng Vân
22D130227 Làm nội dung Chương II nhiệm vụ được 8.8 giao Nhóm trưởng
(Ký và ghi rõ họ tên) Vân Lê Thị Thảo Vân 2 about:blank 3/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb MỤC LỤC
LỜI MỞ ĐẦU………………………………...………….……………………………….4 I.
CƠ SỞ LÝ THUYẾT…………………………………………………..………….5
1. Định nghĩa ................................................................................................................ 5
2. Những vấn đề căn bản của an toàn thương mại điện ử
t : .................................... 6
3. Thực trạng hiện nay: ............................................................................................... 7 II.
CÁC BIỆN PHÁP BẢO VỆ AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ....9
1. Điều khiển và kiểm soát truy cập ........................................................................... 9
2. Các kỹ thuật mã hóa ............................................................................................. 11
3. Chứng thực điện tử................................................................................................ 15
4. Các giao thức an toàn ............................................................................................ 16
4.1. Lớp ổ cắm an toàn ......................................................................................... 16
4.2. Giao dịch điện ử
t an toàn .............................................................................. 20
5. Bảo vệ hệ thống mạng của tổ chức ....................................................................... 23
6. Các biện pháp bảo vệ hệ thống khách/chủ .......................................................... 27
7. Biện pháp bảo vệ dữ liệu cá nhân ........................................................................ 31
III. ĐỀ XUẤT BIỆN PHÁP PHÙ HỢP CHO CÁC DOANH NGHIỆP TMĐT VIỆT
NAM…………..……………………………………………….………..………………..34
1. Tính đặc thù của thị trường TMĐT Việt Nam ................................................... 34
2. Biện pháp đề xuất .................................................................................................. 35
IV. KẾT LUẬN………………………………………..…………….………………..38 V.
CÁC TÀI LIỆU THAM KHẢO…………………………………………………39 3 about:blank 4/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb LỜI MỞ ĐẦU
Lời đầu tiên, nhóm 12 chúng em xin gửi lời cảm ơn sâu sắc và chân thành nhất tới
giảng viên Th.S Lê Thị Hoài. Thông qua các bài giảng của cô trong bộ môn Thương mại
điện tử căn bản, chúng em có được góc nhìn tổng quan hơn về nền kinh tế thương mại điện
tử hiện nay cũng như những xu hướng phát triển kinh tế trong tương lai. Từ những vali
hành trang ấy chúng em có thể học tập và góp phần tạo nên nền thương mại điện tử càng
ngày càng phát triển tại Việt Nam.
Bài thảo luận của nhóm em tập trung nghiên cứu Tìm hiểu các biện pháp bảo vệ an
toàn trong TMĐT hiện nay. Đánh giá ưu nhược điểm của chúng? Để rồi từ đó đưa ra biện
pháp phù hợp nhất đối với các doanh nghiệp TMĐT Việt Nam. Nói đến trong bối cảnh nền
kinh tế toàn cầu ngày càng hội nhập và phát triển, ngành thương mại điện tử cũng đang trải
qua những sự thay đổi mạnh mẽ. Thương mại điện tử không chỉ giúp các doanh nghiệp phát
triển kinh tế mà còn đáp ứng kịp thời những nhu cầu ngày càng phức tạp và đa dạng của
khách hàng. Đồng thời, nó cũng mở ra cơ hội tạo nên sự khác biệt và tăng cường tính cạnh tranh trên thị trường.
Bài tiểu luận này sẽ phân tích tầm quan trọng của thương mại điện tử trong xã hội
hiện nay, đánh giá ưu nhược điểm của chúng trong nền kinh tế đồng thời đưa ra những biện
pháp bảo vệ trong thương mại điện tử. Từ đó đánh giá những lợi ích cũng như thách thức
mà các doanh nghiệp trong lĩnh vực này phải đối mặt trong thực tiễn. 4 about:blank 5/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb I. CƠ SỞ LÝ THUYẾT
1. Định nghĩa
Thương mại điện tử là việc tiến hành các giao dịch thương mại thông qua mạng
internet, các mạng truyền thông và các phương tiện điện tử khác.
An toàn trong thương mại điện tử được hiểu là an toàn thông tin trao đổi giữa các
chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các
thiết bị đầu cuối, đường truyền,...) không bị xâm hại từ bên ngoài hoặc có khả năng chống
lại những tai họa, lỗi và sự tấn công từ bên ngoài.
Tầm quan trọng trong nền kinh tế số:
Thứ nhất ,xây dựng lòng tin của khách hàng cần bảo vệ thông tin cá nhân. Khi
khách hàng cảm thấy thông tin cá nhân của họ được bảo mật, họ sẽ tin tưởng và sẵn sàng
giao dịch với doanh nghiệp. Hay ngăn chặn gian lận bởi một hệ thống an toàn sẽ giúp giảm
thiểu các hoạt động gian lận, bảo vệ quyền lợi của cả doanh nghiệp và khách hàng. Khi
khách hàng cảm thấy yên tâm về việc mua sắm trực tuyến, họ sẽ có trải nghiệm mua sắm
tốt hơn và trở thành khách hàng trung thành. Đưa ra vấn đề như vụ rò rỉ dữ liệu của Equifax
năm 2017, một trong những công ty cung cấp thông tin tín dụng lớn nhất thế giới là Equifax
đã bị tấn công mạng, dẫn đến việc hàng triệu thông tin cá nhân của khách hàng bị rò rỉ. Sự
kiện này đã gây ra làn sóng phẫn nộ và mất niềm tin ủ
c a người tiêu dùng đối với Equifax.
Thứ hai, giảm thiểu rủi ro tài chính bởi việc mất dữ liệu có thể gây ra tổn thất lớn
về tài chính cho doanh nghiệp, bao gồm chi phí phục hồi dữ liệu, giảm doanh thu và chi phí
pháp lý. Các vụ tấn công mạng cũng có thể gây ra nhiều chi phí cho doanh nghiệp, bao gồm
chi phí thuê chuyên gia, chi phí sửa chữa hệ thống và chi phí bồi thường. Lấy ví dụ như vụ
tấn công mạng WannaCry: Vụ tấn công này đã làm tê liệt hoạt động của hàng nghìn tổ chức
trên toàn thế giới, gây ra thiệt hại kinh tế lớn. Các doanh nghiệp bị ảnh hưởng phải mất
nhiều thời gian và tiền bạc để phục hồi ệ h thống.
Cuối cùng, bảo vệ danh tiếng và uy tín của doanh nghiệp để tránh mất khách hàng.
Các vụ việc vi phạm an ninh mạng có thể khiến doanh nghiệp mất khách hàng và gây tổn
hại đến uy tín. Một vụ rò rỉ thông tin còn có thể làm tổn hại nghiêm trọng đến hình ảnh của
doanh nghiệp và mất nhiều thời gian để khôi phục. Các vụ tấn công vào các cửa hàng trực
tuyến lớn: Nhiều cửa hàng trực tuyến lớn như Target, Home Depot đã từng bị tấn công, dẫn 5 about:blank 6/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
đến việc hàng triệu thông tin thẻ tín dụng của khách hàng bị đánh cắp. Những vụ việc này
đã khiến khách hàng lo ngại về việc mua sắm trực tuyến và mất niềm tin vào các doanh nghiệp.
2. Những vấn đề căn bản của an toàn thương mại điện tử
Bản chất của an toàn thương mại điện tử là một vấn đề phức tạp. Đối với an toàn
thương mại điện tử, có 7 vấn đề cơ bản cần phải giải quyết, bao gồm:
Vấn đề 1: Tính xác thực (Authentication): Là quá trình mà thông qua đó một thực
thể này kiểm tra rằng một thực thể khác chính là đối tượng mà mình yêu cầu được gọi là sự
xác thực. Xác thực yêu cầu bằng chứng ở các dạng khác nhau, đó có thể là mật khẩu, thẻ
tín dụng, hoặc chữ kí điện tử. Ví dụ: Khi đăng nhập vào tài khoản ngân hàng trực tuyến,
bạn phải đăng nhập tên đăng nhâp, mật khẩu hoặc xác thực bằng khuôn mặt, vân tay để xác minh.
Vấn đề 2: Quyền cấp phép (Authorization): Phải đảm ả
b o rằng một cá nhân hoặc
một chương trình có quyền truy cập tới các nguồn lực nhất ị
đ nh. Sự cấp phép thường được
xác định bởi thông tin so sánh về cá nhân hay chương trình với các kiểm soát truy cập liên
kết với các nguồn lực được truy cập. Ví dụ: Một nhân viên bán hàng chỉ được phép truy
cập vào hệ thống quản lý đơn hàng, không được truy cập và hệ thống tài chính.
Vấn đề 3: Kiểm soát, giám sát (Auditing): Việc kiểm tra sẽ cung cấp các phương
tiện nhằm tái cấu trúc các hành động đặc biệt đã được tiến hành hoặc mang đến cho đội ngũ
IT khả phân định cá nhân hoặc chương trình đã thực hiện các hành động. Ví dụ: Khi một
người hoặc một chương trình yêu cầu cơ sở dữ liệu, hành động đó cũng được ghi lại trên các file nhật kí.
Vấn đề 4: Tính bí mật (Confidentiality) và tính riêng tư (Privacy): Tính tin cậy
liên quan đến khả năng đảm bảo rằng đối với các thông tin riêng tư, thông tin nhạy cảm,
ngoài những người có quyền truy cập, không có ai, không có các quá trình phần phần mềm
máy tính nào có thể truy cập. Tính tin cậy liên quan chặt chẽ với tính riêng tư (bảo vệ bí mật riêng tư). C ẳ
h ng hạn như thông tin thẻ tín dụng của khách hàng phải được mã hóa để
đảm bảo tính bảo mật. 6 about:blank 7/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
Vấn đề 5: Tính toàn vẹn (Integrity): Tính toàn vẹn đề cập đến khả năng đảm bảo
an toàn cho các thông tin được hiển thị trên một website hoặc chuyển hay nhận các thông
tin trên internet. Các thông tin này không bị thay đổi nội dung hoặc bị phá hủy bằng bất cứ
cách thức không được phép nào. Thực tế ví dụ một email xác n ậ
h n đơn hàng được gửi ế đ n
khách hàng nhưng nội dung bị kẻ tấn công thay đổi, hướng khách hàng đến một trang web
giả mạo để nhập thông tin thẻ tín dụng.
Vấn đề 6: Tính sẵn sàng ( Availability): Đề cập đến khả năng truy cập và sưr dụng
các dịch vụ trực tuyến một cách liên tục và không bị gián đoạn. Khi tính sẵn sàng bị ảnh
hưởng, người dùng không thể truy cập vào website, ứng dụng hoặc các dịch vụ khác, gây
ra sự bất tiện và ảnh hưởng đến trải nghiệm mua sắm. Ví dụ như ứng dụng di động bị lỗi
do lỗi trong quá trình phát triển ứng dung, khung bảo mật không ổn định, tương thích kém
với các hệ điều hành khác nhau => Ứng dụng bị đóng đột ngột, không phản hồi, hoặc hiển thị thông báo lỗi.
Vấn đề 7: Chống phủ định (Nonrepudiation): Chống phủ định liên quan đến khả
năng đảm bảo rằng các bên tham gia thương mại điện tử không phủ định các hành động
trực tuyến mà họ đã thực hiện. Ví dụ: Khi đặt hàng trực tuyến, khách hàng sẽ nhận được
một email xác nhận đơn hàng, sản phẩm, giá cả, và địa chỉ giao hàng. Email này có thể
được sử dụng làm bằng chứng về việc đặt hàng trong trường hợp có tranh chấp.
3. Thực trạng hiện nay
Thương mại điện tử là đối mặt với nhiều mối đe dọa an ninh mạng, bao gồm cả
những ảnh hưởng đến các thông tin riêng tư, sở hữu và quản lý dữ liệu, vị trí của các trung
tâm dữ liệu, an ninh dữ liệu và luật pháp. Cách đây 30 năm, chỉ có 32% giá trị thị trường
dựa trên các tài sản vô hình, chủ yếu là sở hữu trí tuệ. Đến nay, con số này đã là 80%, yêu
cầu doanh nghiệp phải bảo vệ cẩn thận các tài sản digital trước nguy cơ bị tội phạm đánh cắp.
Tại Việt Nam, cùng với sự phát triển mạnh mẽ về số l ợng ư
người dùng Internet, đặc
biệt là mua sắm online, các vụ tấn công mạng gia gia tăng, kể cả về số lượng, quy mô; các
hình thức tấn công tinh vi hơn. Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã ghi nhận 7 about:blank 8/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
và xử lý gần 10.000 vụ tấn công website. Trong đó, gần 50% các sự cố đến từ phát tán mã
độc thông qua những lỗ hổng bảo mật. 8 about:blank 9/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb II.
CÁC BIỆN PHÁP BẢO VỆ AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ
1. Điều khiển và kiểm soát truy cập
a. Hệ thống xác thực ( sinh trắc học)
Sinh trắc học là một lĩnh vực nghiên cứu và ứng dụng công nghệ liên quan đến việc
xác minh danh tính và nhận dạng con người dựa trên các đặc điểm sinh học duy nhất của
họ. Các đặc điểm sinh học này có thể bao gồm vân tay, giọng nói, khuôn mặt, chữ viết tay,
mống mắt, v.v. Sinh trắc học là quá trình thường được sử dụng trong xác thực hai yếu tố. b. Sinh trắc học
Thứ nhất, sinh trắc học sinh lý là dựa trực tiếp trên các đo đạc các bộ phận khác nhau
của cơ thể như vân tay, mắt, bàn tay, khuôn mặt,.. .Có thể ví dụ như quét dấu vân tay dựa
trên sự đo đạc các đường không liên tục trong vân tay của một người. Xác suất trùng dấu
vân tay là khoảng 1/1 tỷ. Hay mống mắt là phần có màu của mắt bao quanh đồng tử. Mống
mắt có một số vết đặc biệt có thể được camera ghi nhận ở khoảng cách 3 - 10 inches so với
mắt. Các vết đặc biệt đó có thể tạo nên một mẫu dạng sinh trắc học dùng để so sánh khi
nhận dạng. Hiện tại công ty Apple phát hành tính năng nhận diện khuôn mặt Face ID trên
iPhone giúp xác thực người dùng một cách an toàn và nhanh chóng khi mở khóa điện thoại
hoặc thực hiện giao dịch qua Apple Pay. Không chỉ vậy Singapore Changi Airport cũng đã
áp dụng công nghệ nhận diện khuôn mặt trong quá trình làm thủ tục check- in, kiểm tra an
ninh và lên máy bay. Điều này cho phép hành khách không cần phải xuất trình vé máy bay
hoặc giấy tùy thân giúp quy trình trở nên nhanh chóng và thuận tiện hơn.
Thứ hai, sinh trắc học hành vi là dựa trên các hành động khác nhau và không trực
tiếp từ các bộ phận khác nhau của cơ thể như dáng đi, chữ viết, thao tác gõ bàn
phím,...Chẳng hạn cách bạn di chuyển và nhấn chuột trên máy tính có thể là duy nhất và
được sử dụng để xác thực danh tính. Hệ thống này ghi lại mẫu di chuyển, tốc độ và cách
nhấn chuột để nhận dạng.
Quá trình hoạt động của sinh trắc học gồm 3 bước chính:
Bước 1: Thu thập dữ liệu bằng cách sử dụng các thiết bị và công nghệ khác nhau, tùy thuộc
vào loại sinh trắc học được sử dụng. Có thể ví dụ như để thu thập vân tay, người dùng sẽ
đặt ngón tay lên thiết bị quét. Các cơ quan bảo mật và an ninh thường thu thập dấu vân tay
để nhận dạng cá nhân trong các hệ thống kiểm soát truy ậ
c p hoặc điều tra tội phạm. 9 about:blank 10/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
Bước 2: Phân tích dữ liệu là dữ liệu thu thập được xử lí để trích xuất các thông tin đặc trưng quan trọng. Gỉ
ả dụ trong trường hợp sinh trắc học vân tay, hệ thống sẽ xác định các điểm
gốc và các đầu ngón tay cũng như khoảng cách giữa chúng. Các đặc điểm này sau đó được
biểu đồ hoa hoặc chuyển thành mã số đại diện rồi đem lưu t ữ
r trong một cơ sở dữ liệu.
Bước 3: Xác thực danh tính khi người dùng cần xác thực danh tính của mình, dữ liệu sinh
trắc học của họ sẽ được so sánh với thông tin trong một cơ sở dữ liệu. Nếu dữ hiệu khớp,
danh tính của người dùng sẽ được xác thực. c. Ưu điểm
Sinh trắc học có nhiều ưu điểm như tính linh hoạt, t ệ i n lợi , ễ d đăng ký. Người dùng
không cần phải nhớ mật khẩu hay mang theo thẻ, họ chỉ cần sử dụng chính cơ thể hoặc
hành vi của mình. Cách sử dụng dễ dàng, thuận tiện và nhanh chóng. Quá trình sinh trắc
học thường diễn ra rất nhanh, giúp tiết kiệm thời gian. Hay khả năng bảo mật cao, độ chính
xác gần như tuyệt đối trong quá trình xác thực. Sinh trắc học dựa trên các đặc điểm độc nhất ủ
c a mỗi người, khó sao chép hoặc giả mạo, giúp tăng cường bảo mật so với mật khẩu
truyền thống. Khó làm giả, tránh bị lộ thông tin. Cũng giảm hiện tượng quá tải thông tin
đăng nhập trên các ứng dụng, thiết bị. Ứng dụng đa dạng có thể sử dụng trong nhiều lĩnh
vực như an ninh, tài chính, y tế và các ứng dụng công cộng. d. Nhược điểm
Bên cạnh những lợi ích của sinh trắc học cũng không thể nào tránh một số rủi ro như phụ th ộ
u c vào hệ thống: một số tr ờng ư
hợp nhận dạng sinh trắc học không đúng, ví dụ như
khi người dùng bị cảm dẫn đến giọng nói bị thay đổi hoặc khi bị đứt tay thì máy quét sẽ
không thể nhận dạng được và từ chối truy cập.Chi phí cho các thiết bị xác thực sinh trắc
học tốn kém nhiều hơn so với các thiết bị thông thường. Ảnh hưởng đến quyền riêng tư bởi
sinh trắc học cần người dùng cung cấp các đặc điểm nhận dạng như khuôn mặt, vân tay,...
và chịu sự quản lí của một số bộ phận liên quan nên đôi khi người dùng cảm thấy không
thoải mái về thông tin của mình bị người khác thấy. Thông tin về sinh trắc học đôi khi cũng
có khả năng bị lạm dụng như để theo dõi và kiểm soát người khác. Mặc dù có độ bảo mật
cao nhưng các dữ liệu sinh trắc học vẫn có khả năng bị giả mạo hoặc bị tấn công từ các hacker tinh vi. 10 about:blank 11/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
2. Các kỹ thuật mã hóa
2.1. Mã hóa dữ liệu
Mã hóa dữ liệu là việc chuyển đổi dữ liệu từ định dạng có thể đọc được sang định
dạng được mã hóa. Dữ liệu được mã hóa chỉ có thể được đọc hoặc xử lý sau khi được giải
mã. Mã hóa dữ liệu được sử dụng rộng rãi bởi người dùng cá nhân và các doanh nghiệp để
bảo vệ thông tin người dùng được gửi từ client đến máy chủ. Cụ thể Google là một trong
những doanh nghiệp lớn áp dụng mã hóa dữ liệu trên hầu hết các sản phẩm và dịch vụ của
mình, bao gồm Gmail, Google Drive, và Google Cloud. Dữ liệu của người dùng Google
được mã hóa trong cả quá trình truyền tải và lưu trữ. HTTPS được sử dụng để mã hóa dữ
liệu khi truyền tải giữa máy tính người dùng và máy chủ của Google. Mã hóa trong khi lưu
trữ (Encryption at rest): Tất ả
c dữ liệu được lưu trữ trên máy c ủ
h của Google đều được mã
hóa để bảo vệ khỏi việc truy cập trái phép. a. Nguồn gốc
Mã hóa dữ liệu đã xuất hiện từ thời cổ đại, ví dụ như mã hóa Caesar được Julius
Caesar sử dụng để tru ề
y n tin mật. Tuy nhiên, mã hóa hiện đại đã phát triển từ thế kỷ 20,
với các hệ thống mã hóa phức tạp hơn như RSA (1977), AES (2001), và những hệ thống
mã hóa khóa đối xứng và bất đối xứng. b. Cách hoạt ộ đ ng
Mã hóa đối xứng: Phương pháp mã hóa này chỉ cần dùng một key giống nhau để mã
hóa và giải mã. Theo một số tài liệu thì mã hóa đối xứng là giải pháp được sử dụng nhất phổ biến hiện nay.
Quy trình mã hóa đối xứng được miêu tả như sau:
+ Dùng giải thuật ngẫu nhiên mã hóa + key để mã hóa dữ liệu gửi đi.
+ Bằng cách nào đó, key của người gửi sẽ được gửi đến cho người nhận, có thể là giao
trước hoặc sau khi mã hóa file đều được.
+ Khi người nhận nhận được dữ kiện, họ sẽ dùng key này để giải mã dữ liệu để có được dữ liệu chuẩn.
+ Chúng ta sẽ thường thấy hai thuật toán thường thấy là DES và AES.
Mã hóa bất đối xứng: Kiểu mã hóa này còn có tên gọi khác là mã hóa khóa công
khai. Nó sử dụng đến hai khóa (key) khác nhau. Một khóa gọi là khóa công khai (public 11 about:blank 12/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
key) và một khóa khác là khóa bí mật (private key). Dữ liệu được mã hóa bằng public key.
Tất cả mọi người đều có thể có được key này. Tuy nhiên để giải mã được dữ liệu, người
nhận cần phải có private key.
Để thực hiện mã hóa bất đối xứng thì:
+ Người nhận sẽ tạo ra một gặp khóa (public key và private key), họ sẽ giữ lại private
key và truyền cho bên gửi public key. Vì public key này là công khai nên có thể truyền
tự do mà không cần bảo mật.
+ Trước khi gửi tin nhắn, người gửi sẽ mã hóa dữ liệu bằng mã hóa bất đối xứng với
những key nhận được từ người nhận
+ Người nhận sẽ giải mã dữ liệu nhận được bằng thuật toán được sử dụng ở bên người
gửi, với key giải mã là private key.
+ Thuật toán mã hóa bất đối xứng thường thấy: RSA. c. Ưu điểm
Mã hóa thông tin có nhiều ưu điểm đáng kể ví dụ bảo mật thông tin mã hóa bảo vệ
dữ liệu khỏi bị truy cập trái phép, đặc biệt là khi dữ liệu di chuyển qua các mạng công cộng.
Bảo vệ quyền riêng tư đảm bảo rằng thông tin cá nhân và nhạy cảm không bị tiết lộ. Bảo
vệ dữ liệu trong trường hợp bị đánh cắp, nếu thiết bị lưu trữ dữ liệu (như laptop hay ổ cứng)
bị mất, dữ liệu mã hóa sẽ không thể bị truy cập mà không có khóa giải mã. Đảm bảo tính
toàn vẹn của dữ liệu bởi mã hóa có thể kết hợp với các kỹ thuật như kiểm tra tính toàn vẹn
dữ liệu (data integrity checks) để ngăn chặn việc dữ liệu bị sửa đổi. d. Nhược điểm
Tuy mang lại nhiều lợi ích cho khách hàng lẫn doanh nghiệp, tuy nhiên cũng có một
số những hạn chế nhất định. Có thể là
m giảm hiệu suất bởi quá trình mã hóa và giải mã tốn
tài nguyên xử lý, đặc biệt khi áp dụng cho lượng lớn dữ liệu hoặc truyền tải dữ liệu qua
mạng. Việc lưu trữ và quản lý các khóa mã hóa là một thách thức lớn. Nếu khóa bị mất, dữ
liệu có thể bị khóa vĩnh viễn. Mặc dù mã hóa giúp bảo vệ dữ liệu, nhưng nó không thể
chống lại tất cả các loại tấn công, đặc biệt là tấn công dựa trên việc truy cập khóa (ví dụ
như phishing, đánh cắp khóa). Các doanh nghiệp cần có đội ngũ chuyên gia an ninh thông
tin để triển khai và quản lý các hệ thống mã hóa một cách hiệu quả
2.2. C ữ
h kí điện tử 12 about:blank 13/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
Chữ ký điện tử là một đoạn thông tin đi kèm dữ liệu điện tử, mục tiêu xác nhận người
ký thông điệp dữ liệu và xác nhận sự chấp thuận của người ấy với nội dung đã được ký.
Chữ ký điện tử được chứng thực bởi ổ
t chức cung cấp dịch vụ chứng thực chữ ký điện tử.
Chữ ký điện tử có thể bao gồm: Hình ảnh chữ ký được scan, một chuỗi ký tự được
mã hóa đặc biệt, hay một p
hương pháp xác thực thông qua mã OTP (One Time Password)
hay xác thực qua email, SMS.
Ví dụ Adobe là một trong những công ty hàng đầu cung cấp giải pháp chữ ký điện
tử thông qua Adobe Sign, một dịch vụ cho phép người dùng tạo, gửi, và ký các tài liệu một
cách điện tử. Adobe Sign tuân thủ các tiêu chuẩn bảo mật cao và được công nhận hợp pháp
tại nhiều quốc gia, đặc biệt phù hợp với doanh nghiệp lớn và các tổ chức chính phủ. Adobe
sử dụng hệ thống chữ ký điện tử có chứng thực để đảm ả b o tính bảo mật và ợ h p pháp. a. Nguồn gốc
Chữ ký điện tử xuất hiện lần đầu vào thập niên 1970, song hành với sự phát triển của
các công nghệ mã hóa và bảo mật thông tin. Đây là giai đoạn mà các hệ thống mã hóa bất
đối xứng, đặc biệt là thuật toán RSA (phát triển vào năm 1977), đóng vai trò quan trọng
trong việc hình thành nền tảng cho chữ ký số. Chữ ký số, một dạng cụ thể của chữ ký điện
tử, sử dụng các cặp khóa công khai và riêng tư để đảm bảo tính xác thực và bảo mật cho các tài liệu số.
Mặc dù có nền tảng kỹ th ậ
u t từ thập niên 1970, chữ ký điện tử thực sự bắt ầ đ u được
công nhận và sử dụng rộng rãi hơn từ cuối thập niên 1990 và đầu những năm 2000 khi các
luật pháp và quy định liên quan đến thương mại điện tử được ban hành. Từ thời điểm này,
chữ ký điện tử đã trở nên phổ biến và được tích hợp trong nhiều ngành công nghiệp và dịch
vụ, đóng vai trò quan trọng trong các giao dịch trực tuyến, hợp đồng số và bảo mật thông
tin. Ngày nay, chữ ký điện tử đã trở thành một phần không thể thiếu trong các giao dịch số
và thương mại điện tử, với các lĩnh vực như tài chính, bất động sản, y tế và chính phủ đều sử dụng rộng rãi. C ữ
h ký điện tử không chỉ giúp tăng hiệu quả trong quá trình xử lý văn bản mà còn đảm ả
b o tính bảo mật và xác thực cho các tài liệu quan trọng.
b. Chữ ký điện tử th ờ ư ng hoạt ộ
đ ng theo một số cách phổ biến sau 13 about:blank 14/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
Loại 1: Chữ ký điện tử đơn giản: Người dùng nhập tên hoặc tải lên hình ảnh chữ ký
của họ vào một tài liệu. Mặc dù dễ thực hiện, nhưng loại chữ ký này thường không đảm
bảo được tính bảo mật cao. Loại 2: C ữ
h ký điện tử nâng cao (Advanced Electronic Signature) sử dụng mã hóa
để đảm bảo rằng chỉ người ký mới có thể tạo ra chữ ký và chữ ký có thể được xác thực. Sử
dụng các công nghệ như PKI (Public Key Infrastructure - Hạ tầng khóa công khai) để tạo
ra một cặp khóa mã hóa: khóa riêng (private key) và khóa công khai (public key). Khóa
riêng của người ký được sử dụng để tạo chữ ký điện tử, và khóa công khai được người nhận
dùng để xác minh tính hợp lệ của chữ ký. Loại 3: C ữ
h ký điện tử có chứng thực: Được cấp bởi một tổ chức chứng thực (CA -
Certificate Authority) và gắn liền với một chứng chỉ số (Digital Certificate) để xác thực
danh tính của người ký. c. Ưu điểm
Chữ kí điện tử đã trở nên đặc biệt quan trọng đối với ngành khách sạn, bởi nó có
nhiều lợi ích như tiết kiệm thời gian và chi phí: Chữ ký điện tử cho phép ký kết tài liệu và
thực hiện các giao dịch mà không cần gặp mặt trực tiếp, giảm thiểu thời gian và chi phí in
ấn, vận chuyển. Tính hợp pháp và bảo mật cao nhiều quốc gia công nhận giá trị pháp lý của
chữ ký điện tử, đặc biệt khi có sự tham gia của các tổ chức chứng thực (CA) hoặc các giải
pháp mã hóa mạnh mẽ. Dễ dàng truy vết á
c c hệ thống chữ ký điện tử hiện đại có khả năng
theo dõi và lưu lại các thông tin về người ký, thời gian ký và các hành động liên quan, giúp
việc kiểm toán và giám sát trở nên dễ dàng hơn. Tính toàn vẹn của tài liệu bởi sau khi tài
liệu đã được ký, bất kỳ sự thay đổi nào sẽ làm mất hiệu lực của chữ ký, đảm bảo tính toàn
vẹn của nội dung tài liệu. d. Nhược điểm
Chữ kí điện tử bên cạnh những lợi ích nổi bật vẫn còn tồn đọng một số hạn chế chẳng
hạn yêu cầu hạ tầng kỹ th ậ
u t bởi chữ ký điện tử, đặc biệt là các loại có chứng thực, yêu cầu
hạ tầng phức tạp để quản lý khóa mã hóa, chứng chỉ số và các hệ thống xác thực. Khả năng
giả mạo, nếu hệ thống bảo mật không mạnh hoặc không được kiểm soát tốt, chữ ký điện tử
có thể bị giả mạo hoặc bị tấn công bởi các hacker. Các doanh nghiệp nhỏ hoặc cá nhân có 14 about:blank 15/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
thể gặp khó khăn trong việc tiếp cận các giải pháp chữ ký điện tử bảo mật cao do chi phí
ban đầu tương đối lớn, bao gồm chi phí cấp chứng chỉ số và duy trì hệ thống. Một số quốc
gia hoặc tổ chức chưa hoàn toàn chấp nhận hoặc công nhận giá trị pháp lý của chữ ký điện
tử trong mọi tình huống, điều này có thể tạo ra rào cản trong giao dịch xuyên biên giới.
3. Chứng thực điện ử t
Chứng thực điện tử là một loại chứng nhận do cơ quan chứng thực (Certification
Authority - CA) (hay bên tin cậy thứ ba) cấp; là căn cứ để xác thực các bên tham gia giao
dịch; là cơ sở đảm ả
b o tin cậy đối với các giao dịch thương mại đ ệ i n tử.
Chứng nhận điện tử kiểm tra xem người giữ khóa riêng hoặc khóa chung có đúng là
người tuyên bố điều đó hay không. Đối với nhiều giao dịch thương mại điện tử, các chứng
thực điện tử chính là cơ sở, là cốt lõi ủ
c a giao thức an toàn giao dịch điện tử.
Lấy ví dụ thực tế Vietcombank đã áp dụng chứng thực điện tử trong các giao dịch
trực tuyến và hợp đồng điện tử với khách hàng. Thông qua việc sử dụng chữ ký số và chứng
chỉ số, Vietcombank có thể đảm bảo tính hợp pháp, toàn vẹn và an toàn cho các giao dịch,
từ việc mở tài khoản ngân hàng trực tuyến đến các dịch vụ thanh toán điện tử và cho vay
trực tuyến. Cụ thể, khi khách hàng thực hiện giao dịch trực tuyến trên nền tảng ngân hàng
số, họ sẽ được yêu cầu xác thực danh tính bằng chứng thực điện tử (chẳng hạn như OTP,
chữ kí số,...). Điều này giúp đảm ả
b o tính an toàn và bảo mật cho giao dịch, hạn chế rủi ro
gian lận và tiết kiệm thời gian, chi phí. a. Nội dung ủ
c a chứng thực điện tử
+ Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
+ Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử.
+ Số hiệu của chứng thực điện tử.
+ Thời hạn có hiệu lực của chứng thực điện tử.
+ Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử.
+ Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
+ Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.
+ Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử. 15 about:blank 16/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
+ Các nội dung khác theo quy định của Chính phủ. b. Ưu điểm
Chứng thực điện tử là loại chứng nhận tiện ích bởi vậy nó mang đến cho người dùng
sự tiện lợi, nhanh chóng, tiết kiệm thời gian giúp người dùng thực hiện các giao dịch và
truy cập dịch vụ trực tuyến nhanh chóng mà không cần đến trực tiếp. Các phương thức
chứng thực như chữ ký số, xác minh sinh trắc học giúp tự động hóa quá trình, tiết kiệm thời
gian. Bằng cách sử dụng các phương thức chứng thực mạnh như xác thực hai yếu tố (2FA),
sinh trắc học ( vân tay, khuôn mặt) và chữ kí số,... chứng thực điện tử giúp bảo vệ thông tin
và dữ liệu cá nhân khỏi bị đánh cắp hoặc giả mạo. Giảm thiểu rủi ro gian lận hạn chế các
trường hợp gian lận nhờ vào việc yêu cầu xác thực an toàn và khó làm giả. Khả năng mở
rộng dễ dàng triển khai trên diện rộng trong các hệ thống kinh doanh hoặc hành chính, hỗ
trợ quản lý thông tin người dùng hiệu quả. c. Nhược điểm Lợi ích là ộ
m t điểm đáng nói nhưng chứng thực điện tử cũng có những mặt hạn chế
như chi phí cao việc xây dựng và triển khai hệ thống chứng thực điện tử có thể tốn kém,
đặc biệt đối với các doanh nghiệp nhỏ và vừa. Yêu cầu kiến thức về kỹ th ậ u t: đối với người
dùng không quen về công nghệ, việc sử dụng các phương thức chứng thực phức tạp có thể
gây khó khăn và mất thời gian. Hệ thống chứng thực điện tử có thể bị tấn công nếu tồn tại
lỗ hổng bảo mật, chẳng hạn như thông tin sinh trắc học bị xâm phạm, hoặc các mã khóa
thực thực bị đánh cắp. P ụ
h thuộc vào thiết bị bởi m
ột số phương thức chứng thực như xác
thực qua điện thoại hoặc token,... nếu thiết bị này bị mất, hỏng hoặc bị hack , quá trình
chứng thực có thể bị gián đoạn. V ệ
i c thu thập dữ liệu sinh trắc học hoặc thông tin cá nhân có thể gây lo ngại ề
v quyền riêng tư nếu không bảo vệ và quản lí đúng cách.
4. Các giao thức an toàn
4.1. Lớp ổ cắm an toàn (SSL)
4.1.1. Lớp ổ cắm an toàn (SSL) là gì?
Trong thương mại điện tử, hầu hết các giao dịch đều được thực hiện thông qua mạng
Internet hoặc một mạng truyền thông mở. Vì vậy, thông tin thương mại giữa các bên rất ễ d 16 about:blank 17/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
bị lấy trộm và sử dụng vào những mục đích bất chính. Giải pháp cơ bản giải quyết vấn đề
này là sử dụng giao thức lớp ổ cắm an toàn (SSL).
Lớp ổ cắm an toàn (SLL)-SSL là viết tắt của Secure Sockets Layer, một công nghệ
tiêu chuẩn cho phép thiết lập kết nối được mã hóa an toàn giữa máy chủ web(host) và trình
duyệt web(client). Lớp ổ cắm an toàn là một chương trình an toàn cho việc truyền thông
trên web, do hãng Netscape Communication phát triển. Chương trình này bảo vệ các kênh
thông tin trong quá trình trao đổi dữ liệu giữa host và client một cách riêng tư, đáng tin cậy
thay vì bảo vệ từng mẩu. SSL hiện đã được sử dụng bởi hàng triệu trang web để bảo vệ các
giao dịch trực tuyến của họ với khách hàng. Nếu bạn đã từng truy cập một trang web sử
dụng https:// trên thanh địa chỉ nghĩa là bạn đã tạo một kết nối an toàn qua SSL.
Giao thức SSL bao gồm 2 giao thức con: Giao thức SSL record và giao thức SSL
handshake. Giao thức SSL record xác định các định dạng dung để truyền dữ liệu. Giao thức
SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để trao đổi một số
thông tin giữa server và client vào lần đầu tiên thiết lập kết nối SSL.
Cách hoạt động của giao thức SSL: để thiết lập được một giao dịch an toàn, SSL
phải thực hiện dựa trên nhiều nguyên tắc nhằm đảm bảo được tính bảo mật, xác thực toàn
vẹn tránh bị xâm nhập bởi đối tượng thứ ba bao gồm: •
Xác thực: điều này đảm bảo tính xác thực 2 đầu của bên kia kết nối và người sử dụng
trang web để truyền thông tin. •
Mã hóa: đảm bảo độ an toàn của các thông tin được truyền đi không bị hacker hoặc có
bên thứ 3 xâm nhập.Thông tin sẽ được mã hóa và chỉ có người nhận và người gửi mới có thể đọc được. •
Toàn vẹn dữ liệu: đảm bảo thông tin được truyền đi đầy đủ, không bị thay đổi hay có
bất kì sai lệch so với thông tin gốc mà người nhận đã gửi trước đó.
4.1.2. Tầm quan trọng của lớp ổ cắm an toàn (SSL)
Giao thức SSL là giao thức bảo mật dữ liệu truyền qua Internet. Giao thức SSL cung
cấp quyền riêng tư và tính toàn vẹn dữ liệu cho dữ liệu đang được truyền qua Internet. Giao
thức SSL cũng được gọi là giao thức bảo mật. SSL giúp bảo vệ những thông tin nhạy cảm
khi chúng được truyền qua các mạng máy tính trên thế giới. Nó cung cấp sự riêng tư, bảo 17 about:blank 18/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
mật nghiêm ngặt và toàn vẹn cho dữ liệu của cả trang web và thông tin cá nhân của người truy cập.
Lớp ổ cắm an toàn (SSL) giữ cho những thông tin nhạy cảm được mã hóa khi gửi
qua Internet và chỉ có những người nhận được chỉ định mới có thể hiểu nó. Khi thông tin
bạn gửi trên Internet được truyền từ máy tính đến máy tính, rồi ế đ n một máy c ủ h đích. Bất
cứ máy tính nào ở giữa bạn và máy chủ đều có thể nhìn thấy số thẻ tín dụng, tên tài khoản
và mật khẩu cùng những thông tin nhạy cảm khác, khi chúng chưa được mã hóa với chứng chỉ SSL.
Khi SSL Certificate được sử dụng, thông tin sẽ trở thành không thể đọc được đối với
tất cả mọi người, ngoại trừ máy chủ mà thông tin đang được gửi đến. Nhờ đó, hacker và
những kẻ lấy cắp không thể đọc hay lấy trộm thông tin.
Ngoài mã hóa, một chứng nhận SSL thích hợp cũng cung cấp sự xác thực. Điều này
có nghĩa là bạn có thể chắc chắn rằng mình đang gửi thông tin đến đúng máy chủ chứ không
phải đến một kẻ mạo danh nào đó đang cố gắng ăn cắp thông tin của bạn. SSL yêu cầu xác
thực máy chủ dịch vụ trong các giao dịch và bảo vệ các thông tin cá nhân gửi từ đối tác này
đến đối tác khác. Nhà cung cấp SSL đáng tin cậy sẽ chỉ cấp một SSL Certification đến cho
một công ty, với điều kiện công ty đó được xác nhận rằng đã vượt qua một số cuộc kiểm
tra danh tính. Một số SSL Certification như EV SSL Certificates, yêu cầu xác nhận nhiều
hơn những chứng nhận khác. Bạn có thể sử dụng SSL Wizard để so sánh giữa các nhà cung
cấp SSL, có sẵn trong hầu hết các trình duyệt web. Trình duyệt web sẽ tạo ra một xác nhận
rằng nhà cung cấp SSL đang có những hành động cụ thể và được kiểm tra ởi b một bên thứ
3 sử dụng tiêu chuẩn như WebTrust.
Các trình duyệt web sẽ cung cấp cho người dùng những tín hiệu để biết rằng kết nối
của mình đang được đảm ả
b o, đó có thể là một biểu tượng khóa hoặc một thanh màu xanh
lá cây. Nhờ đó, khách hàng sẽ tin tưởng trang web hơn và tăng khả năng mua hàng, gắn bó
với website. Nhà cung cấp SSL cũng sẽ cung cấp cho bạn một dấu hiệu tin cậy để làm cho
khách hàng tin tưởng hơn nữa. Ví VNPAY hiện đang áp dụng các quy định về bảo mật
thông tin các nhân của người dùng theo Luật Bảo vệ thông tin cá nhân và các văn bản hướng
dẫn của Nhà nước. Ví VNPAY sử dụng công nghệ mã hóa SSL để bảo vệ các thông tin nhạy
cảm như số tài khoản, số thẻ, số điện thoại, email, mật khẩu… của người dùng. 18 about:blank 19/40 14:12 31/1/25
Nhóm 12-Bài thảo luận Tmdtcb
4.1.3. Ưu điểm và hạn chế của giao thức SSL a. Ưu điểm
Mục tiêu chính của chứng chỉ SSL là mã hóa thông tin để chỉ những người nhận dự
kiến mới có thể đọc được. Thông tin được truyền qua internet có khả năng cao lọt vào tay
của các bên thứ ba. Vì chứng chỉ SSL mã hóa dữ liệu, các ký tự ngẫu nhiên được chèn vào
chúng. Ngay cả khi những kẻ xâm nhập có thể có được những thông tin này, họ sẽ không
thể hiểu được chúng. Với độ tin cậy cao bất cứ khi nào chứng chỉ SSL được sử dụng trên
một trang web, nó sẽ cung cấp xác minh. Do đó, khi khách truy cập vào một trang web, nó
mang lại cảm giác tin tưởng rằng trang web này là hợp pháp và không giả mạo. Một trang
web xác thực SSL sẽ hiển thị một ổ khóa màu xanh lục trên thanh địa chỉ. Khóa này đề cập
rằng trang web đã thực hiện các biện pháp bảo mật và đủ tin cậy để thực hiện các giao dịch.
Ngăn chặn lừa đảo khi người dùng có thể nhận được email lừa đảo (thường dưới dạng
quảng cáo và xác nhận gửi hàng) đưa các liên kết đến một trang web khác. Mục đích là thu
thập thông tin nhạy cảm như chi tiết thẻ tín dụng. Tuy nhiên, các trang web này gần như
không thể có được chứng chỉ SSL xác thực. Khách truy cập không nhận thấy chứng chỉ
SSL, họ có thể sẽ không nhập bất ỳ
k thông tin bí mật nào. SSL không yêu cầu cài đặt phần
mềm máy khách. Điều duy nhất cần thiết là kết nối Internet thông qua trình duyệt web tiêu
chuẩn. Do đó, chi phí mua, bảo trì và quản lý phần mềm có thể được tiết kiệm đáng kể.
Điều này có thể có lợi cho cả các tổ chức quy mô nhỏ và lớn. b. Nhược điểm
Nhược điểm của kỹ thuật này là mặc dù SSL có thể bảo vệ các thông tin khi chúng
được truyền trên Internet, nhưng không thể bảo vệ được các thông tin cá nhân (như số thẻ
tín dụng, các thông tin về cá nhân khách hàng…) khi các thông tin này được lưu giữ trên
máy chủ của người bán hàng. Khi người bán hàng nhận được các thông tin như số thẻ tín
dụng của khách hàng, các thông tin này sẽ được giải mã và lưu giữ trên máy chủ của người
bán hàng cho tới khi đơn đặt hàng được thực hiện xong. Nếu máy chủ của người bán hàng
không được đảm bảo an toàn, và các thông tin nói trên không được mã hóa, những kẻ không
được phép có thể sẽ truy cập và lấy đi các thông tin quan trọng đó. Điều này có thể gây nên
những hậu quả nghiêm trọng đối với người mua và người bán hàng. Các biến chứng của 19 about:blank 20/40