tìm hiểu hệ thống an toàn dữ liệu trong hệ thống máy chủ sàn giao dịch thương mại điện tử

đại điện hoặc đại lự thương mại, tỹ thác hoa hồng, cho thuê đài hạn, xây đựng các công trình, r vẫn, kỹ thuật công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc

Chu San Giao Dich Thuong Mai Dién Tir

Giảng viên hướng dẫn: Thầy Mạc Văn Quang

Nhóm sinh viên thực hiện: Nhóm 9

- Bạch ĐăngBảo - MSV: 1351020008

- Nguyễn Viết Hiệp - MSV: 1351020044 -_ Nguyễn Tiến Dũng - MSV: 1351020012 -_ Nguyễn Hữu Tùng - MSV: 1351020126

Hà Nội, tháng 10 năm 2021

LOI MO DAU Thương mại điện tử là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu Thương mại điện tử đang trở thành phương thức kinh doanh mang lại nhiều lợi ích cho nhân loại trên cơ sở phát triển nhanh chóng của các ngành công nghệ, trước hết là công nghệ thông tin Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro kìm hãm sự bứt phá của các doanh nghiệp TMĐT như: vấn đề lòng tin của

người tiêu dùng, vấn đề bảo mật đối với hệ thông công nghệ thông tin, khó khăn trong

việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp

Bảo mật dữ liệu trong doanh nghiệp là mối quan tâm nhiều mặt bao gồm cả bí mật kinh doanh nội bộ hoặc độc quyền của một công ty cũng như dữ liệu của nhân viên

và khách hàng liên quan đến luật bảo mật Bảo mật doanh nghiệp ngày cảng được chú trọng khi các công ty quốc tế lớn như Facebook, Yahoo!, Target, Home Depot và Equifax đều phải đối mặt với khoản tiền phạt lớn và sự can thiệp của chính phủ do làm mất dữ liệu khách hàng nhạy cảm vào fay tin tặc Nơi mà các tập đoàn doanh nghiệp trước đây quan tâm nhất đến việc bảo vệ mã độc quyền hoặc bí mật thương mại của họ khỏi các đối thủ cạnh tranh và những kẻ làm giả Giờ đây, họ phải đối mặt với luật bảo mật dữ liệu mới ở Hoa Kỳ và EU có thể áp dụng các hình phạt tài chính lớn đối với các tổ chức sử dụng sai hoặc làm mất dữ liệu của người tiêu dùng Sự chuyển đổi sang sự phụ thuộc vào cơ sở hạ tầng đám mây đề hỗ trợ quy trình kinh doanh đưa ra những thách thức mới

đôi với bảo mật doanh nghiệp trong CNTT

Để tiếp cận và góp phần đây mạnh sự phô biến của thương mại điện tử ở Việt Nam, nhóm

em đã tìm hiểu “/#ệ Thống An Toàn Dữ Liệu Trong Hệ Thống Máy Chủ Sàn Giao Dịch Thương Mại Điện Tứ”, cùng với sự chi bao tận tình của Thầy Mạc Văn Quang nhóm em

đã hoàn thành bài báo cáo này

Bài báo cáo gồm các phần được phân chương như sau:

Chương I: Các Khái Niệm Về TMĐT Và Các Đặc Trưng Của TMĐT

Chương II: An Toàn Dữ Liệu Trong Tmđt Của Doanh Nghiệp

Chương III: Bao Mat Va An Toàn Thông Tim Trong TMDT

LỜI CẢM ON

Trong thời gian thực hiện báo cáo với sự giúp đỡ tạo điều kiện của trường Đại Học Đại Nam, sự góp ý của các bạn và đặc biệt là sự hướng dẫn trực tiếp, chỉ bảo tận tình của giảng viên bộ môn Thầy Mạc Văn Quang nhóm em đã hoàn thành đề tài cùng với bản báo cáo đúng thời gian quy định

Với khả năng và thời gian có hạn nên không tránh khỏi những thiếu sót, chúng em rất mong nhận được sự quan tâm, giúp đỡ, tạo điều kiện của thầy cô giáo để nhóm em hoàn thiện hơn đề tài nghiên cứu trong thời gian tới

Một lần nữa chúng em xin chân thành cảm ơn tất cả các thầy, cô giáo trong trường Đại Học Đại Nam dạy dỗ, chỉ bảo chúng em trong suốt thời gian học

Đặc biệt chúng em xin gửi lời cảm ơn sâu sắc tới thầy giáo Thầy Mạc Văn Quang đã hướng dẫn nhóm em suốt quá trình làm đồ án

Chúng em xin chân thành cam on!

MUC LUC

CHUONG I CAC KHAI NIEM VE TMDT VA CAC DAC TRUNG CUA TMDT 6

L, Khai ni€m v6 TMDT ooo ceccccccccccccsssssesesesssssseessessitesessississssseseseessesstsssetentseseetentenesess 6

3 Các đặc trưng cơ bản của TMĐÏT 1211222122211 115 11551112 11112111111 key 8

4 Các loại thị trường điện tỬ 2 0012121212112 1111511111511 11112812511 1k Hàn rở 10

5 Các hệ thông thanh toán trong TMĐT, - s11 151121121211 112111 1E 12

6 Công nghệ thanh toán điện tỬ 02221112111 1211 121 1011115111812 8111111 krhườy 14

7 Quy trình thanh toán điện tử - 2: s2St2EEE12E1271211221112112121212 1 1erre 15 CHƯƠNG II AN TOÀN DỮ LIỆU TRONG TMDT CỦA DOANH NGHIỆP 17

I.An toàn đữ liệu trong doanh nghiệp là gì: ccc 2 2212222212112 112112 x tre 17 ILNguy cơ rò rỉ thông tin của doanh nghiỆp 5 5 - 2 22 2222222112121 EEssrkrses 17

CHUONG III BAO MAT VA AN TOAN THONG TIN TRONG TMĐI 26

IL VÂN ĐỀ AN TOÀN THÔNG TIN 5-5252 E1 2121152152111 Ea 26

Il CHỨNG CHỈ SỐ VÀ CƠ CHẾ MÃ HOÁ ©5225 22 2212212711121 xe 29

1 Giới thiệu về chứng chỉ sỐ - 5-1 9 E1 1EE1E112112111111111.11 2E EErrrre 29

2 Xác thực định danh Ỏ cceeecccccecccccesseeecsecenseccccevsececsetsttseeeeeececesesseeeentaea 30

3 Chứng chỉ mã hoá công khai c2 2221121112211 121 1251111111151 11 5 1111 key 33

4 Mô hinh CA -s++5+2sx‡212E1221521117112121121211 2112212122121 2111 rrag 36

5 Một số giao thức bảo mật ứng dụng trong TMIIDT 522cc cseeEsrxersrrre 36

DANH MUC HINH ANH, SO DO:

Hình 1 I Gian lận thanh toán - - 5 220 2111211211151 111 11111111211 11 111111110111 11 111111 1k 18 Hinh 1 2 Špam - c2 3211222111211 121 1115111511511 1118111811101 1 19111811 H1 k 1H ke 19 Hình I 3 Lừ đảo Phishing 2 2221221112111 1211 1511121111511 51515181111 1115111 20

Hình 1 4 Tấn công tiêm SQL - 22 22s E212122112112112112112112111121111 21101211211 ro 22

Hình 1 5 Tấn công chéo trang XSS - 22-52 21 E211 E21211221211212222.211 1n yeg 23 Hình l 6 Trojan HOTSG c0 2011211211111 111 11111111011 111 11111111111 111111 1111 01k KH kh 24 Hình I 7 Sử dụng mật khâu xác thực máy khách ke nối tới máy dịch vụ 31 Hình 1 8 Chứng chí số chứng thực cho máy khách kết nối tới máy dịch vụ 32 Hình I 9 Chứng chí khóa công khai dựa trên CA 2 2 122112221122 11211212 Eekxes 35 Hình I I0 VỊ trì của các phương tiện bảo mật trong câu trúc của giao thức 37

ki HIEU CAC CUM TU VIET TAT

Thương mại điện tử là hình thức mua bán hàng hoá và dịch vụ thông qua mạng máy rính toàn cầu TMĐT theo nghĩa rộng được định nghĩa trong luật mẫu

về thương mại điện tử của Uỷ ban LHQ về luật thương mại quốc tế:

“Thuật ngữ thương mại cần được điền giải theo nghĩa rộng để bao quát

các vấn đề phát sinh từ mọi quan hộ mang tính chất thương mại dù có hay không có hạp đồng Cúc quan hệ mang tính chất thương mại bao gồm cúc giao dich sau day: Bat ctr giao dịch nào về thương mại nào về cung cấp hoặc trao đối hàng hoá hoặc dịch vụ, thoả thuận phân phối đại điện hoặc đại lự thương mại, tỹ thác hoa hồng, cho thuê đài hạn, xây đựng các công trình, r vẫn, kỹ thuật công trình, đầu tư, cấp vốn, ngân hàng, bảo hiểm, thoả thuận khai thác hoặc tô nhượng, liên doanh các hình thức khác vẻ hợp tác công nghiệp hoặc kinh doanh, chuyên chở hàng hoá hay hành khách bằng đường biển, đường không, đường sắt hoặc

Thương mại điện tử gồm các hoạt động mua bán hàng hoá và

phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyên tiền tiêu dùng và các địch vụ sau bản hãng, Thương mại điện tử được thực hiện đối với

cả thương mại hàng hoá (ví dụ như hàng tiêu dùng, các thiết bị y tế chuyên dụng)

và thương mại dịch vụ (ví dụ như địch vụ cung cấp thông tin, địch vụ pháp lý, tải chính) Các hoạt động truyền thông như chăm sóc sức khoẻ, giáo dục và các hoạt động mới (như siêu thị ảo) Thương mại điện tử đang trở thành một cuộc cách mạng làm thay đối cách thức mua săm của con người

2 Lợi ích của TMDT

Xuất phát từ những kinh nghiệm thực tế trong quá trình hoạt động của

thương mại điện tử thì TMĐT đã mang lại cho con người và xã hội các lợi ích sau: 2.1 Thu thập được nhiều thông tin

TMĐT giúp cho mỗi cá nhân khi tham gia thu được nhiều thông tỉn về thị trường, đối tác, giảm chỉ phí tiếp thị và giao dịch, rút ngắn thời gian sản xuất, tạo dựng và củng có quan hệ bạn hàng Các doanh nghiệp nắm được các thông tin phong phú về kinh

tế thị trường, nhờ đó có thẻ xây dựng được chiến lược sản xuất và kinh doanh thích hợp

với xu thê phát triển của thị trường trong nước trong khu vực và quốc tế Điều này đặc biệt có ý nghĩa đối với các doanh nghiệp vừa và nhỏ, hiện nay đang được nhiều nước quan tâm coi là một trong những động lực phát triển kinh tế

2.2 Giảm chỉ phí sản xuất

TMĐT giúp giam chỉ phí sản xuất, trước hết là chỉ phí văn phòng Các văn phòng không

giấy tờ chiếm diện tích nhỏ hơn rất nhiều, chỉ phí tìm kiêm chuyên giao tải liệu giảm

nhiều lần trong do khau in ấn gần như bỏ hắn Theo số l¡ của hãng General Electricity của

Mỹ tiết kiệm trên lĩnh vực này đạt tới 30 % Điều quan trọng hơn, so với góc độ chiến lược là nhân viên có năng lực được giải phóng khỏi nhiều công đoạn sự vụ và có thé tập chung vào nghiên cứu phát triên, sẽ đưa đến những lợi ích to lớn lâu dài

2.3 Giảm chỉ phí bán hàng, tiếp thị và giao dịch

TMĐT giúp giám thấp chỉ phí bán hàng và chỉ phí tiếp thi Bằng phương, tiện Internet / Web một nhân viên bán hàng có thể giao dịch với rất nhiều khách hàng, catalogue điện tử trên web phong phú hơn nhiều so với catalogue in ấn chỉ có khuôn khô giới hạn và luôn luôn lỗi thời, trong khi đó catalogue điện tử trên web được cập nhật thường xuyên

TMDT qua Internet / Web giúp người tiêu thụ và các doanh nghiệp giảm đáng kê thời gian và chỉ phí giao dịch Thời gian giao dich qua Internet chi 7% thoi gian giao địch qua FAX, và bằng khoảng 0.5 phần nghìn thời gian giao dịch qua bưu điện chuyển phát nhanh, chỉ phí thanh toán điện tử qua Internet chỉ bằng 10% đến 20% chỉ phí thanh toán theo lỗi thông thường

2.4 Xây dựng quan hệ đối tác

Thương mại điện tử tạo điều kiện cho việc thiết lập và củng cô mỗi quan hệ giữa các thành viên tham gia quá trình thương mại thông qua mạng Intemet các thành viên tham gia có thể giao tiếp trực tiếp (liên lạc trực tuyến) và liên tục với nhau, có cảm giác như không có khoảng cách về địa lý và thời gian nữa, nhờ đó sự hợp tác vả quản lý đều được tiễn hành nhanh chóng một cách liên tục, các bạn hàng mới, các cơ hội kinh doanh mới được phát hiện nhanh chóng trên phạm vi toàn thế giới và có nhiều cơ hội lựa chọn hơn

2.5 Tạo điều kiện sớm tiếp cận kinh tế tri thức

Trước hết TMĐT sẽ kích thích sự phát triển của nghành CNTT tạo cơ sở

cho phát triển kinh tế trí thức Lợi ích này có một ý nghĩa lớn đối với các nước

đang phát triển, nếu không nhanh chóng tiếp cận nền kính tế trì thức thi sau

khoảng một thập kỷ nữa nước đang phát triển có thé bi bỏ rơi hoàn toàn Khía

canh lợi ích nảy mang tính chiến lược công nghệ và tính chính sách phát triển

cân cho các nước công nghiệp hoá

3 Các đặc trưng cơ bản của TMDT

So với các hoạt động thương mại truyền thống, TMĐT có I số được trưng cơ bản sau: 3.1 Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúc

trực tiếp với nhau và không đòi hỏi phải biết nhau từ trước.

Trong thương mại truyền thống các bên thường gặp gỡ nhau trực tiếp dé tiền hành giao địch Các giao địch được thực hiện chủ yêu theo nguyên tắc vật lý

như chuyền tiền, séc, hoá đơn, vận đơn, gửi báo cáo Các phương tiện viễn

thông như: Fax, telex, chỉ được sử dụng đẻ chao đổi số liệu kinh doanh Tuy nhiên việc sử dụng các phương tiện điện tử trong thương mại truyền thông chỉ

đề chuyền tải thông tin một cách trực tiếp giữa 2 đối tác của cùng một giao địch Thương mại điện tử cho phép tắt cả mọi người cùng tham gia từ các vùng

xa xôi hẻo lánh đến các khu vực đô thị rộng lớn, tạo điều kiện cho tất cả mọi

người ở khắp mọi nơi đều có cơ hội ngang nhau tham gia vào thị trường giao

dịch toàn cầu và không đồi hỏi nhất thiết phải có mồi quen biết với nhau

3.2 Các giao dịch thương mại truyền thống được thực hiện với sự tồn tại của khái niệm biên giới quốc gia, còn thương mại điện tử được thực hiện trong

một thị trường không có biên giới (thị trường thông nhất toàn cầu) Thương

mại điện tử trực tiếp tác động tới môi trường cạnh tranh toàn cầu

Thương mại điện tử cảng phát triển thi máy tính cá nhân trở thành cửa số cho doanh nghiệp hướng ra thị trường trên khắp thê giới Với TMĐT một doanh

nhân dủ mới thành lập đã có thể kinh đoang ở Nhật Bản, Đức và Chỉ lê mà

không hề phải bước ra khỏi nhà, một công việc trước kia phải mắt nhiều năm

3.3 Trong hoạt động giao dịch TMĐT đều có sự tham gia của ít nhất ba chủ thé, trong

đó có một bên không thê thiêu được là người cung cấp dịch vụ mạng, các cơ quan chứng thực

Trong TMĐT ngoài các chủ thể tham gia quan hệ giao dịch giống như giao dịch thương mại truyền thông đã xuất hiện một bên thứ 3 đó là nhà cung cắp dịch vụ mạng, các cơ quan chứng thực là những người tao ra môi trường cho các giao dịch thương mại điện

tử Nhà cung cấp dịch vụ mạng và cơ quan chứng thực chuyên đi, lưu giữ các thông tin

9

giữa các bên tham gia giao địch TMĐT, đồng thời họ cũng xác nhận độ tin cậy trong giao dịch TMĐT

3.4 Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phương tiện để trao

đôi dữ liệu, còn đôi với TMĐT thì mạng lưới thông tin chính là thị trường

Thông qua TMĐT nhiều loại hình kinh doanh mới được hình thành Ví dụ: Các địch vụ

g1a tăng giá trị trên mạng máy tính hình thành nên các nhà trung gian ảo lâm các dich vụ

môi giới cho giới kinh doanh và tiêu dùng, các siêu thị áo được hình thành đề cung cấp

hàng hoá và dịch vụ trên mạng máy tính Các chủ cửa hàng thông thường ngày nay cũng đang đua nhau đưa thông tin lên Web, đề tiến tới khai thác mảng thị trường rộng lớn trên Web bằng cách mở cửa hàng ảo

4 Các loại thị trường điện tử

Tuy thuộc vào đối tác kinh doanh mà người ta gợi đó là thị trường B2B,

B2C, C2B hay C2C Thị trường mở là những thị trường mả tắt cả mọi người có thể đăng

ký và tham gia Tại một thị trường đóng chỉ có một số thành viên nhất định được mời hay cho phép tham gia Một thị trường ngang tập trung vào một quy trình kinh doanh riêng lẻ nhất định, ví dụ như lĩnh vực cung cấp: nhiều doanh nghiệp có thê từ các nghành khác nhau tham gia như là người mua và liên hệ với một nhóm nhà cung cấp Ngược lại thị trường đọc mô phỏng nhiều quy trình kinh doanh khác nhau của một nghành duy nhất hay một nhóm người dùng duy nhất

Sau khi làn sóng lạc quan về TMĐT của những năm 1990 qua đi, thời gian mà đã xuất hiện nhiều thị trường điện tử, người ta cho rằng sau một quá trình tập trung chỉ có một số

ít thị trường lớn là sẽ tiếp tục tốn tại Thể nhưng bên cạnh đó là ngày cảng nhiều những thị trường chuyên môn nhỏ

“Ngày nay tỉnh hình đã khác hãn đi, công nghệ đề thực hiện một thị trường

điện tử đã rẻ đi rất nhiều Thêm vào đó là xu hướng kết nối nhiều thông tin chảo

10

hàng khác nhau thông qua các giao diện lập trình ứng dụng để thành lập một th trường chung có mật độ chào hàng cao Ngoài ra các thị trường độc lập trước

đây còn được tích hợp ngày cảng nhiều bằng các giải pháp phần mềm cho một công Web toàn điện

Thương mại điện tử được phân loại theo tư cách của người tham gia giao

dịch như sau:

+ Người tiêu dùng:

C2C (Consumer — To — Consumer): Người tiêu đùng với người tiêu dùng

C2B (Consummer — To — Business): Người tiêu đùng với doanh nghiệp

C2G (Consumer — To — Œovernment): Người tiêu dùng với chính phủ

+ Doanh nghiệp:

B2C (Bussiness — To — Consumer): Doanh nghiệp với ngưt dũng

BB (Bussines — To — Busines): Doanh nghiép với doanh nghiệp

B2G (Bussiness — To — Government): Doanh nghiép với chính phủ

B2E (Bussiness — To — Employee): Doanh nghiép véi nhan viên

+ Chính phủ

G2C (Government — To — Consumer): Chính phủ với người

G2B (Government — To — Business): Chinh phủ với doanh nghiệp

G2G (Government — To — Govermment): Chinh phủ với chính phủ

5 Các hệ thống thanh toán trong TMĐT

Thanh toán điện tử là một khâu quan trọng trong TMĐT Hiểu một cách khái quát thì thanh toán điện tử là một quá trình thanh toán tiền giữa người mua và người bán Điểm cốt lỗi của vấn đề này là việc ứng dụng các công nghệ thanh

toán tải chính (ví dụ như mã hoá số thẻ tin dụng, séc điện tử, hoặc tiền điện tử)

lãi

giữa ngân hàng, nhà trung gian và các bên tham gia hoạt động thương mại Các ngân hãng và tô cÍ dụng hiện nay sử dụng các phương pháp này nhằm mục đích nâng cao hiệu quả hoạt động trong bối cảnh phát triển của nền kinh tế số, với một số lợi ích như giảm chỉ phí xử lý, chỉ phí công nghệ và tăng cường thương mại trực tuyến

Thanh toán điện tử là việc trả tiền thông qua các thông điệp điện tử thay

vì trao tay trực tiếp Việc trả lương bằng cách chuyển tiền và khoản ngân

hàng, trả tiền mua hàng bằng thẻ tín dụng, bằng thẻ mua hàng thực chất cũng,

là những ví dụ đơn giản của thanh toán điện tử

Hình thức thanh toán điện tử có một số hệ thống thanh toán cơ bản sau:

Thanh toán bằng thẻ tín dụng: Thực tế cho thấy, khách hàng trên mạng không

thê trả tiền hoặc séc để thanh toán Điều cần thiết là Website ban hang can pha

tạo ra được các hình thức thanh toán trên mạng Hệ thống thanh toán pho bi

hiện nay trên mạng là thanh toán bằng thẻ tín dụng Một số thẻ tin dụng phố biến hiện nay la Visa, MasterCanl, American Express, IBC Dé tién hanh giao dich

thẻ tín dụng từ Website bán hàng cần thiết phải liên kết tới một dịch vụ tiễn

hành thanh toán thẻ tín dụng trên mạng như CyberCard hay PaymentXet Dịch

vụ thanh toán này cung cắp phần mềm định vị trên máy chủ dịch vụ an toàn tới

dịch vụ thực hiện thanh toán Dịch vụ thực hiện thanh toán xác nhận thông qua

thê tín dụng dé co thé hoàn tất giao dịch với khách hàng Sau đó chuyển đến bộ

phận xác nhận Dịch vụ thanh toán bằng thẻ tín dụng đảm bảo rằng tiền được

thực hiện ở tải khoản ngân hàng Đề tiến hành sử dụng dịch vụ thanh toán bằng

thẻ tín dụng trên Website cần đăng kỹ một tài khoản giao địch Internet với ngân hàng (acquier) Hiện tại không phải ngân hàng nào cũng cung cấp dịch vụ tải

khoản giao dịch trên Intemet Tải khoản giao địch Internet được thiết kế cho

phép nhả kinh doanh thực hiện giao dịch thanh toán qua thẻ tín dụng trên

Internet thông qua dịch vụ thẻ tín đụng trên mạng

12

Thanh toán vi dién tu (Eleetronie Cash MieroPaymen): Được sử dụng cho

những giao dịch quá nhỏ đối với yêu cầu thanh toán qua thẻ tín dụng (dưới 10

USD) Mieropayment vĩ thanh toán được duy trì qua biên nhận điện tử, khách

hàng mở tải khoản với máy cung cắp biên nhận điện tử tự động Máy cung cấp

biên nhận điện tử tự động Máy cung cắp biên nhận điện tử tự động sẽ cấp cho

khách hàng tiền kỹ thuật số (digital money), do đỏ khách hàng có thể mua trực tiếp từ Website Trước khí khách hàng thanh toán tiền kỹ thuật số đến ngư

bán, nó xác nhận cả người mua và máy bán hảng tự động để đầm bảo rằng tiền

đi đến đúng nơi cung cấp tiền điện tử Cyberrcash

Chí phiếu điện tử (Electronic Check): Đây là một dịch vụ cho phép khách hàng, trực tiếp chuyền tiên điện tử từ ngân hàng đến người bán hàng Chí phiếu điện tử được sử dụng thanh toán hoá đơn định kỳ Các công ty như điện, nước, ga, điện thoại đưa ra hình thức thanh toán nảy đẻ cái thiện tí lệ thu, giảm chí phí và dễ đàng hơn cho khách hàng trong việc quản lý hoá đơn Từ triên vọng của khách

hàng khi một khách hàng đăng kí với nhà cung cấp thì khách hàng sẽ nhận đư

thông tin thanh toán (số tải khoản, ngân hảng ) Khách hàng với tên đăng kí sử dụng và mật khâu họ có thể truy nhập vào Website của công ty phát hảnh c

thể nhận những hoá đơn điện tử và gửi thư điện tử thông báo đã nhận được hoá đơn điện

tử từ công ty cung cấp gửi đến Khi khách hàng truy cập hoá đơn của mình trên Internet sau khi xem xét tắt cả các hoá đơn khách hàng có thể chọn đẻ thanh toán từ tiền của mình trong tài khoản tại ngân hàng Quá trình thanh toán được thực hiện thông qua dịch vụ như địch vụ thanh toán chỉ phiều điện tử trên Cybercash's Paynow(thanh toán nhanh) của Cybercash

Thư điện tử (Email): Có thể dùng đề cho phép đối tác kinh doanh nhận

thanh toán từ tài khoản khách hàng hoặc đề lập tải khoản với nhà cung cấp

Với những lợi ích nêu trên, tăng cường khả năng thanh toán điện tử sẽ là

13

một giải pháp cất giảm đáng kê các chỉ phí hoạt động Theo tính toán của các

ngân hàng thì việc giao dịch bằng tiền vả séc rất tốn kém, do đó họ tìm kiếm c

chỉ phí thấp hơn Hiện nay ở Mỹ thì các giao dịch bằng tiền mặt chiếm khoảng 54% và bằng séc la 29% các giao dịch điện tử chiếm khoảng 17% Dy bao con 36 này sẽ tăng lên trong thời gian tới

6 Công nghệ thanh toán điện tử

Các công nghệ thanh toán điện tử bắt đầu phát triển với dịch vụ chuyên

tiền bằng điện từ ví dụ như địch vụ chuyền tiền của Westem Union giúp một cá chuyền tiền của họ từ một quây cung cấp dịch vụ của Western Union Tiền cỉ

có thể chuyển giao cho khách hàng sau khi đáp ứng được các yêu cầu nhận điện Trong trường hợp này, không có sự tham gia của bất kỳ ngân hàng nào của Western chỉ đơn thuần là một công ty điện tín Sự an toàn phụ thuộc vào khả

năng tài chính của hãng, và sự an toàn của địch vụ này được kiểm soát qua các

thông điệp gửi đi trong từng giao địch riêng lẻ Các thông tin này không được công bố rộng rãi mã chỉ khách hằng vả người nhận được chuyên Chữ kỷ được sử dụng như một công cụ xác nhận nhằm mục đích cho biết quá trình chuyền giao đã hoàn thành khi khách hàng nhận được tiền

Các sáng kiến trong thanh toán điện tử hiện nay đều nhằm mục đích tạo ra

một cách thức đơn giản thuận lợi cho khách hàng tong giao dịch thanh toán

mang tính tức thời Trong một giao dịch điện tử, các khâu kiểm tra hồi đoái, tiền hành thủ tục thanh toán sẽ diễn ra ngay lập tức khi khách hàng gửi lệnh yêu cầu chuyển tiền để thanh toán cho một giao dịch mua bán trên mạng

Hệ thống thanh toán điện tử dành cho khách hàng phát triển rất nhanh chóng

7 Quy trình thanh toán điện tử

Một quy trình thanh toán điện tử bao gồm có 6 công đoạn cơ bản sau:

1 Khách hàng, từ một máy tính tại một nơi nào đó, điền những thông tín

thanh toán và địa chỉ liên hệ vào đơn đặt hàng (Order Form) của Website bán

14

hàng Doanh nghiệp nhận được yêu cầu mua hảng hoá hay địch vụ của khách

hàng và phản hôi xác nhận tôm tắt lại những thông tin cần thiết như mặt hằng đã

chọn, địa chỉ giao nhận và số phiếu đặt hàng

2 Khách hàng kiểm tra lại các thông tin và và click chọn “đặt hàng”, đề giới thiệu

thông tin trả về cho Doanh nghiệp

3 Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng thời chuyển tiếp

thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ thẻ ) đã được mã hoá đến máy chủ (Server, thiết bị xử lỹ dữ liệu) của Trung tâm cung cắp dịch vụ xử

ly thẻ trên mạng Internet Với quá trình mã hoá các thông tin thanh toán của

khách hàng được bảo mật an toản nhằm chồng gian lận rong các giao dịch (ngay cả doanh nghiệp sẽ không biết được thông tin về thẻ tín dụng của khách

hàng)

4 Khi Trung tâm xử lý thẻ tín dụng nhận được thông tín thanh toán, sẽ giải

mã thông tin và xử lý giao dich dang sau tung lira (Fire Wall) và tách rồi mạng Internet (off the Internet), nhằm mục đích bảo mật tuyệt đối cho các giao dịch

thương mại, định dạng lại giao dịch và chuyền tiếp thông tin thanh toán đến

Ngân hàng của Doanh nghiệp (Acqurrer) theo một đường dây thuê bao riêng

(một đường truyền số liệu riêng biệt)

5 Ngắn hàng của Doanh nghiệp gởi thông điện điện tử yêu cầu thanh toán (authorization request) đến ngân hàng hoặc Công ty cung cấp thẻ tín dụng của

khách hàng (Issuer) Và tô chức tài chính này sẽ phán hồi là đồng ý hoặc tử chó thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet

6 Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyên tiếp những thông tin phản hồi trên đến doanh nghiệp và tùy theo đó doanh nghiệp thông báo cho khách hàng được

rõ là đơn đặt hàng sẽ được thực hiện hay không

15

CHUONG II AN TOAN DU LIEU TRONG TMDT CUA DOANH NGHIEP

Bảo mật doanh nghiệp tập trung vào trung tâm dữ liệu, mạng và hoạt động của máy chủ web trong thực tế, nhưng về mặt kỹ thuật bắt đầu từ nguồn nhân lực Theo một số nhà nghiên cứu bảo mật, Tấn công phi kỹ thuật là nguyên nhân gốc rễ của 2/3 tổng số cuộc tấn công hack thành công Trong các cuộc Tấn công phi kỹ thuật, những điểm yếu trong bản chất con người, tính chính trực của nhân viên hoặc sự cả tin của cá nhân bị kẻ tấn công lợi dụng đề giành quyền truy cập vào mạng hoặc tài nguyên dữ liệu Các cuộc tấn công lừa đảo qua email khuyến khích nhân viên nhấp vào các liên kết tải xuống và cài đặt phan mềm độc hại Trong các cuộc tấn công Vishing (lừa đảo bằng giọng nói hoặc VoIP), tin tặc khai thác các cuộc trò chuyện thoại qua điện thoại với nhiều nhân viên khác nhau

dé lay thông tm nội bộ dẫn đến xâm phạm an ninh mạng như thông tin mật khẩu Đánh tráo (lừa đảo qua SMS), môi chải, spearBshing, và water holing là tất cả các kỹ thuật hack có liên quan dựa trên các cuộc Tấn công phi kỹ thuật Những cuộc tấn công này có thê xâm phạm ngay cả những hệ thống an ninh mạng mạnh mẽ nhất và chỉ có thê được chéng lại thông qua việc nâng cao nhận thức của nhân viên thông qua đào tạo, kiểm tra

và sàng lọc

Các cuộc tân công hack tự động là các tài nguyên trung tâm dữ liệu được điều khiên theo hướng tập lệnh và nhắm mục tiêu như máy chủ web và ứng dụng trực tuyến trên cơ sở liên tục thông qua các điểm nhập đầu vào như màn hình đăng nhập, biểu mẫu liên hệ, truy vấn tìm kiếm đến cơ sở dữ liệu và quy trình quản trị phụ trợ Các ví dụ phố biến của các cuộc tấn công bot tập lệnh là tấn công MySQL mjection và khai thác tập lệnh trên nhiều trang web Khả năng gửi mã đến máy chủ thông qua các biểu mẫu không an toàn

có thể dẫn đến mắt toàn bộ cơ sở dữ liệu bao gồm tất cả thông tin bảng, mật khẩu và dữ liệu tài chính nhạy cảm của khách hàng Hack chèn mã khác với bẻ khóa mật khẩu có thể dẫn đến việc tin tặc có thê truy cập toàn bộ quyền quản trị hoặc khả năng thiết lập các cửa hậu tới máy chủ thông qua FTP và dòng lệnh

17

IL Nguy cơ rò rỉ thông tin của doanh nghiệp

Gian lận thanh toán

Gian lận thanh toán là vấn đề nan giải, đã xuất hiện ngay từ khi TMĐT ra đời Đây là

hình thức mà kẻ gian hoặc hacker lợi dụng lỗi của hệ thống thanh toán để thực hiện

những giao dịch ảo dẫn tới thất thoát lớn cho doanh nghiệp TMĐT

Ví dụ: Ví điện tử X ra mắt chương trình tặng tiền vào tài khoản cho người dùng mới đăng

ký Nếu ứng dụng X còn tồn tại lỗ hồng trong việc kiểm duyệt và xác minh tài khoản

đăng ký mới, rất có thể kẻ gian sẽ tạo được nhiều tải khoản đề nhận được nhiều tiền

Gian lận thanh toán còn là hành vi dối trá, mánh khóc, lừa lọc trong lĩnh vực thương mại thông qua hoạt động mua, bán, kinh doanh, xuất nhập khẩu hàng hoá, dịch vụ nhằm mục

đích thu lợi bất chính Mục đích của hành vi gian lận thương mại là nhằm thu lợi bất chính do thực hiện trót lọt hành vi lừa đảo, dối trá Chủ thể tham gia hành vi gian lận

thương mại bao gồm: người mua, người bán, hoặc cả người mua và người bán thông qua

đối tượng là hàng hóa

Hinh 1 1 Gian lận thanh toán

18

Với ưu thế thuận tiện và nhanh chóng, thanh toán trực tuyến ngày càng phô biến và trở thành một trong những phương thức được ưa chuộng nhất hiện nay Tuy nhiên, các trường hợp gian lận liên quan tới loại hình thanh toán này được ghi nhận gần đây diễn biến ngày càng phức tạp đã được ghi nhận Gần đây, tội phạm trong giao dịch thanh toán thẻ trực Tuyến hoạt động ngày càng tỉnh vi, có thể kế đến như: Giả danh cán bộ ngân

hàng thông báo với khách hàng về các khoản tiền chuyên đến tài khoản khách hàng và

yêu cầu khách hàng cung cấp thông tin số thẻ, cùng mã mật khâu xác thực một lần (One Time Password — OTP) đề tác nghiệp ghi có vào tài khoản khách hàng Sau đó, đối tượng

sẽ lợi dụng các thông tin được cung cấp, để mua sắm hàng hóa, dịch vụ qua mạng Internet, dễ dàng chuyên đổi thành tiền mặt như thẻ games trực tuyến, thẻ trả trước Internet, thẻ điện thoại (tại Việt Nam) hoặc dịch vụ du lịch, vật phâm cao cấp (tại nước ngoài)

Spam

Khi mà email marketing đang là kênh thúc đây doanh số hiệu quả, thì đó cũng là kênh để

những kẻ phá phách thực hiện hành vi SPAM Không chỉ vậy, chúng có thê spam bình luận, form liên hệ bằng những đường link có gắn mã độc, hoặc spam với tần suất lớn khiến cho tốc độ tải trang giảm đáng kẻ

Hình Ì 2 Spam Những người gửi spam thường ngụy tạo những thông tin giả như là tên, địa chỉ, số điện thoại để đánh lừa các ISP Họ cũng thường dùng số giả hay số ăn cắp của các thẻ tín

19

dung dé chi tra cho các tài khoản Việc này cho phép họ di chuyên thật nhanh từ một tài khoản này sang tài khoản khác mỗi lần bị phát hiện và bị đóng tài khoản bởi các chu ISP Phố biến là việc dùng các địa chỉ được đăng bởi những người chủ để dùng trong các mục tiêu khác nhau Thí dụ như địa chỉ của các nhóm Google thường là mục tiêu của những người làm spam Hoặc người làm spam có tên đăng ký trong các danh sách ban thao qua thư điện tử (discussion mailing lists) Nhiều chương trình tiện ích có thể dùng đề tìm ra các địa chỉ trên các trang web

Phishing

20

Tấn công mạng theo hình thức lừa đảo Phishing luôn nằm top những rủi ro bảo mật phố biến của TMĐT Với hình thức này, Hacker thường giả mạo thành doanh nghiệp hoặc đơn vị có uy tín đề lừa người tiêu dùng cung cấp thông tin nhạy cảm như số thẻ tín dụng, tài khoản — mật khâu trang TMDT Để đạt được mục đích này, chúng tạo ra một website giả trông gần giống như bán gốc khiến người dùng nhằm lẫn và nhập thông tin quan trọng Cũng có khi chúng gửi một email, tin nhắn SMS mạo danh nhân viên công ty hoặc thực hiện một cuộc gọi mạo danh cơ quan chức năng để chiếm được lòng tin của nạn nhân

21