Tại Việt Nam, thị trường thương mại điện tử còn non trẻ nhưng có tốc độ phát triển nhanh chóng, theo báo cáo mới nhất thì tốc độ tăng trưởng của Việt Nam gấp đôi Nhật bản (37% so với 15%). Đến thời điểm hiện tại, Việt Nam chưa có con số thống kê chính thức về tình hình an toàn thông tin trong lĩnh vực thương mại điện tử. Các đơn vị kinh doanh dựa trên thương mại điện tử cũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có.
CHƯƠNG RỦI RO VÀ PHÒNG TRÁNH RỦI RO TRONG THƯƠNG MẠI ĐIỆN TỬ MỤC ĐÍCH CỦA CHƯƠNG Sau học xong chương này, sinh viên cần nắm được: - Vai trị việc đảm bảo an tồn phịng tránh rủi ro thương mại điện tử - Các dạng rủi ro thương mại điện tử - Xây dựng kế hoạch đảm bảo an ninh thương mại điện tử - Nắm mốt số biện pháp để đảm bảo an ninh thương mại điện tử NỘI DUNG CỦA CHƯƠNG 4.1 TỔNG QUAN VỀ AN TOÀN VÀ PHỊNG TRÁNH RỦI RO TRONG TMĐT 4.1.1 Vai trị an tồn phịng tránh rủi ro thương mại điện tử Ngày nay, vấn đề an ninh cho thương mại điện tử khơng cịn vấn đề mẻ Các chứng thu thập từ hàng loạt điều tra cho thấy vụ công qua mạng tội phạm mạng giới thương mại điện tử gia tăng nhanh ngày Theo báo cáo Viện An ninh Máy tính (CSI) FBI (Mỹ) thực trạng vụ công vào hoạt động thương mại điện tử năm 2002 cho biết: - Các tổ chức tiếp tục phải chịu công qua mạng từ bên lẫn bên tổ chức Trong tổ chức điều tra, khoảng 90% cho họ thấy có xâm phạm an ninh vòng 12 tháng gần - Các hình thức cơng qua mạng mà tổ chức phải chịu khác nhau: 85% bị virus công, 78% bị sử dụng trái phép mạng internet, 40% nạn nhân công từ chối dịch vụ (DoS) - Thiệt hại tài qua vụ công qua mạng lớn: 80% tổ chức điều tra trả lời họ phải chịu thiệt hại tài hàng loạt kiểu công khác qua mạng Tổng thiệt hại tổ chức khoảng 455 triệu đôla Mỹ - Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả phòng chống vụ công qua mạng Hầu hết tổ chức điều tra trả lời họ sử dụng thiết bị bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống Tuy nhiên, khơng có tổ chức tin hệ thống thương mại điện tử tuyệt đối an tồn Tại Việt Nam thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT- Vietnam Computer Emergency Response Teams) vào tháng 12/2005 theo định số 13/2006/QĐ-BBCVT Trung tâm VNCERT đầu mối trao đổi thông tin với trung tâm an toàn mạng quốc tế Việt Nam hợp tác với tổ chức CERT giới Theo ông Đỗ Duy Trác, phụ trách CERT, năm gần đây, tội 162 phạm tin học gia tăng phạm vi mức độ chuyên nghiệp Ban đầu lấy cắp mật thể tín dụng để mua sách phần mềm qua mạng, tiếp đến làm thẻ tín dụng giả để lấy cắp tiền từ máy ATM, thiết lập mạng máy tính giả để gửi thư rác, thư quảng cáo, hay cơng từ chối dịch vụ, chí ngang nhiên đe dọa công, tống tiền hay bảo kê website thương mại điện tử 4.1.2 Rủi ro thương mại điện tử Việt Nam Tại Việt Nam, thị trường thương mại điện tử non trẻ có tốc độ phát triển nhanh chóng, theo báo cáo tốc độ tăng trưởng Việt Nam gấp đôi Nhật (37% so với 15%) Đến thời điểm tại, Việt Nam chưa có số thống kê thức tình hình an tồn thông tin lĩnh vực thương mại điện tử Các đơn vị kinh doanh dựa thương mại điện tử khơng cung cấp thơng tin thức mát liệu có Tuy vậy, điều khơng có nghĩa kinh doanh thương mại điện tử Việt Nam an toàn Hoạt động nhiều năm lĩnh vực an tồn thơng tin, Cơng ty cổ phần An ninh mạng Việt Nam nhận nhiều yêu cầu hỗ trợ từ tổ chức kinh doanh thương mại điện tử Yêu cầu hỗ trợ phổ biến hạn chế cơng DOS/DDOS, loại hình cơng khơng làm liệu người dùng khiến cho công việc kinh doanh bị thiệt hại ngưng trệ hệ thống phục vụ khách hàng Các công ty cung cấp dịch vụ trực tuyến 24/7 thường gặp công như: bán vé trực tuyến, đặt chỗ khách sạn,… Các tìm hiểu chuyên sâu cho thấy nhiều rủi ro nghiêm trọng thương mại điện tử tồn từ lâu bị kẻ xấu lợi dụng Ngay năm 2016, ví dụ bật nguy hiểm công mạng vụ việc mạng lưới Cảng Hàng Khơng Vietnam Airlines bị công Kẻ công thực nhiều cách thức khai thác lỗ hổng, cài mã độc vào hệ thống thông tin từ lâu trước bùng nổ (theo số liệu thức từ năm 2014) thay đổi giao diện, lấy cắp liệu khách hàng Mặc dù cố không liên hệ trực tiếp tới lĩnh vực thương mại điện tử cho thấy nguy hiểm công mạng kẻ xấu âm thầm lợi dụng lỗ hổng bảo mật để trục lợi mà doanh nghiệp không hay biết Sự cố khác gần gũi đầu tháng 11 năm 2016, hệ thống VietnamWorks.com bị công dẫn tới thông tin hàng nghìn tài khoản bị lộ Nhiều tài khoản người dùng sử dụng chung với dịch vụ khác, dẫn đến số ngân hàng phải gửi cảnh báo đến toàn khách hàng việc đổi mật tài khoản 4.1.3 Vai trò sách quy trình bảo đảm an tồn TMĐT Xây dựng sách an ninh an toàn mạng yêu cầu người phải chấp hành có ý nghĩa quan trọng việc xây dựng ý thức thể chế hóa hoạt động bảo vệ an ninh cho thương mại điện tử Chính sách thường bao gồm nội dung sau: - Quyền truy cập: xác định quyền truy cập vào hệ thống, mức độ truy cập giao quyền truy cập - Bảo trì hệ thống: có trách nhiệm bảo trì hệ thống việc lưu liệu, kiểm tra an tồn định kỳ, kiểm tra tính hiệu biện pháp an tồn,… 163 - Bảo trì nội dung nâng cấp liệu: có trách nhiệm với nội dung đăng tải mạng intranet, internet mức độ thường xuyên phải kiểm tra cập nhật nội dung - Cập nhật sách an ninh thương mại điện tử: mức độ thường xuyên chịu trách nhiệm cập nhật sách an ninh mạng biện pháp đảm bảo việc thực thi sách 4.2 RỦI RO CHÍNH TRONG TMĐT 4.2.1 Một số rủi ro doanh nghiệp gặp phải thương mại điện tử Rủi ro thương mại điện tử chia thành bốn nhóm sau: Nhóm rủi ro liệu Nhóm rủi ro cơng nghệ Nhóm rủi ro thủ tục quy trình giao dịch tổ chức Nhóm rủi ro luật pháp tiêu chuẩn cơng nghiệp Các nhóm rủi ro khơng hồn tồn độc lập với mà chúng đồng thời xảy đến không xác định tách bạch rõ ràng Nếu rủi ro đồng thời xảy ra, thiệt hại tổ chức lớn uy tín, thời gian chi phí đầu tư để khơi phục hoạt động trở lại bình thường 4.2.2 Một số dạng cơng vào website thương mại điện tử Trong thương mại điện tử, rủi ro phần cứng bị cắp hay bị phá hủy thiết bị (máy tính, máy chủ, thiết bị mạng ), doanh nghiệp phải chịu rủi ro mặt công nghệ phổ biến sau: - Virus Virus công vào thương mại điện tử thường gồm loại chính: virus ảnh hưởng tới tệp (file) chương trình (gắn liền với file chương trình, thường COM EXE), virus ảnh hưởng tới hệ thống (đĩa cứng đĩa khởi động), virus macro Virus macro loại virus phổ biến nhất, chiếm từ 75% đến 80% tổng số virus phát Đây loại virus đặc biệt nhiễm vào tệp ứng dụng soạn thảo, chẳng hạn tệp ứng dụng MS Word, Excel Power Point Khi người sử dụng mở tài liệu bị nhiễm virus chương trình ứng dụng, virus tự tạo nhiễm vào tệp chứa đựng khn mẫu ứng dụng, để từ lây sang tài liệu khác Các loại virus gây tác hại nghiêm trọng, đe dọa tính tồn vẹn khả hoạt động liên tục, thay đổi chức năng, thay đổi nội dung liệu đơi làm ngưng trệ tồn hoạt động nhiều hệ thống có website thương mại điện tử Nó đánh giá mối đe dọa lớn an toàn giao dịch thương mại điện tử - Tin tặc (hacker) chương trình phá hoại (cybervandalism) 164 Tin tặc hay tội phạm máy tính thuật ngữ dùng để người truy cập trái phép vào website, sở liệu hay hệ thống thông tin Thực chất mục tiêu hacker đa dạng Có thể hệ thống liệu website thương mại điện tử, với ý đồ nguy hiểm chúng sử dụng chương trình phá hoại (cybervandalism) nhằm gây cố, làm uy tín phá huỷ website phạm vi tồn cầu - Rủi ro gian lận thẻ tín dụng Trong thương mại điện tử, hành vi gian lận thẻ tín dụng xảy đa dạng phức tạp nhiều so với thương mại truyền thống Nếu thương mại truyền thống, việc thẻ thẻ bị đánh cắp mối đe doạ lớn khách hàng thương mại điện tử mối đe doạ lớn bị “mất” (hay bị lộ) thơng tin liên quan đến thẻ tín dụng thơng tin giao dịch sử dụng thẻ tín dụng trình thực giao dịch mua sắm qua mạng thiết bị điện tử Các tệp chứa liệu thẻ tín dụng khách hàng thường mục tiêu hấp dẫn tin tặc công vào website thương mại điện tử Hơn thế, tên tội phạm đột nhập vào sở liệu website thương mại điện tử để lấy cắp thông tin khách hàng tên, địa chỉ, điện thoại… với thông tin chúng mạo danh khách hàng thiết lập khoản tín dụng nhằm phục vụ mục đích phi pháp - Tấn cơng từ chối dịch vụ Tấn công từ chối dịch vụ (DOS - Denial Of Service attack, DDOS – Distributed DOS hay DR DOS) kiểu cơng khiến hệ thống máy tính mạng bị tải, dẫn tới cung cấp dịch vụ phải dừng hoạt động Sơ khai hình thức DoS (Denial of Service), lợi dụng yếu giao thức TCP, tiếp đến DDoS (Distributed Denial of Service) - công từ chối dịch vụ phân tán, gần DRDoS - công theo phương pháp phản xạ phân tán (Distributed Reflection Denial of Service) Những công DoS ngun nhân khiến cho mạng máy tính ngừng hoạt động thời gian đó, người sử dụng truy cập vào website thương mại điện tử Những công đồng nghĩa với khoản chi phí lớn thời gian website ngừng hoạt động, khách hàng thực giao dịch mua bán Đồng thời, gián đoạn hoạt động ảnh hưởng đến uy tín tiếng tăm doanh nghiệp, điều không dễ dàng lấy lại Mặc dù công không phá huỷ thông tin hay truy cập vào vùng cấm máy chủ tạo phiền toái, gây trở ngại cho hoạt động nhiều doanh nghiệp - Kẻ trộm mạng (sniffer) Kẻ trộm mạng (sniffer) dạng chương trình theo dõi, nghe trộm, giám sát di chuyển thông tin mạng Khi sử dụng vào mục đích hợp pháp, giúp phát yếu điểm mạng, ngược lại, sử dụng vào mục đích phi pháp, phần mềm ứng dụng trở thành mối hiểm hoạ lớn khó phát Kẻ trộm sử dụng phần mềm nhằm lấy cắp 165 thơng tin có giá trị thư điện tử, liệu kinh doanh doanh nghiệp, báo cáo mật…từ nơi mạng Xem thư điện tử dạng hành vi trộm cắp mạng Kỹ thuật xem thư điện tử sử dụng đoạn mã (ẩn) bí mật gắn vào thông điệp thư điện tử, cho phép người giám sát tồn thơng điệp chuyển tiếp gửi với thông điệp ban đầu Chẳng hạn nhân viên phát thấy lỗi kỹ thuật khâu sản xuất, gửi báo cáo thông báo cho cấp phát Người sau tiếp tục gửi thông báo đến tất phận có liên quan doanh nghiệp Một kẻ sử dụng kỹ thuật xem thư điện tử theo dõi biết tồn thơng tin thư điện tử gửi tiếp sau bàn vấn đề - Phishing – “ kẻ giả mạo” Phishing loại tội phạm công nghệ cao sử dụng email, tin nhắn pop-up hay trang web để lừa người dùng cung cấp thông tin cá nhân nhạy cảm thẻ tín dụng, mật khẩu, số tài khoản ngân hàng Thông thường tin tặc thường giả mạo công ty tiếng yêu cầu khách hàng cung cấp thông tin nhạy cảm Các website thường xuyên bị giả mạo Paypal, Ebay, MSN, BestBuy, American Online….Kẻ giả mạo thường hướng tới phishing khách hàng ngân hàng người tiêu dùng thường mua sắm trực tuyến Những thông tin ăn cắp kẻ giả mạo dùng để truy cập với mục đích xấu, thơng tin tài khoản tốn dùng vào mục đích mua hàng rút tiền Bất phishing phần mềm phishing có nhiều mạng với hướng dẫn chi tiết với danh sách địa email Cơng nghệ phishing có từ năm 1987, nhiên thực biết đến rộng rãi vào năm 1996 AOL công ty bị kẻ giả mạo công ăn cắp thơng tin khách hàng - Ngồi ra, tội phạm TMĐT thực nhiều hình thức sau: phát triển mạng máy tính ma (bots network) để công DOS, gửi thư rác, gửi thư rác với quy mô lớn (dịch vu thư rác), thuê hacker phá hoại website đối thủ cạnh tranh, thu thập thông tin người sử dụng spyware 4.3 XÂY DỰNG KẾ HOẠCH AN NINH CHO TMĐT Việc xây dựng kế hoạch an ninh thương mại điện tử cho doanh nghiệp bao gồm giai đoạn sau: - Giai đoạn đánh giá: Giai đoạn xác định tài sản doanh nghiệp có, bao gồm tài sản hữu hình vơ hình Giá trị tài sản phải định rõ, mặt tài phi tài định rõ tầm quan trọng tài sản doanh nghiệp từ đánh giá khả bị công tài sản Việc đánh giá gồm nội dung sau: + Xác định mối đe dọa: đa số vụ xâm phạm an ninh trái phép can thiệp trực tiếp hay gián tíếp người hệ thống người có quyền 166 truy cập tới tài sản phải định rõ giám đốc IT, nhân viên, nhà tư vấn,… Khả mối đe dọa trở thành thực cần đánh giá + Xác định hình thức thiệt hại: ví dụ thơng tin quan trọng bị sửa đổi đánh cắp cá nhân, bị phá hủy bị công - Giai đoạn lên kế hoạch: Xác định rõ ràng đe dọa cần phải chống đỡ giải pháp tương ứng cần tiến hành, thời gian cụ thể người chịu trách nhiệm triển khai Đánh giá lựa chọn giải pháp phù hợp - Giai đoạn thực thi: Các cơng nghệ đặc thù chọn để chống đỡ với nguy dễ xảy Việc lựa chọn công nghệ dựa vào định hướng nêu giai đoạn Lập kế hoạch Ngồi cơng nghệ đặc thù, phần mềm an ninh từ nhà cung cấp khác lựa chọn - Giai đoạn giám sát: Xác định biện pháp mang lại thành công, biện pháp không hiệu cần thay đổi, liệu có mối đe dọa xuất hay có cải tiến thay đổi cơng nghệ, có tài sản khác doanh nghiệp cần bảo đảm an ninh 4.3.1 Những biện pháp đảm bảo an toàn cho giao dịch TMĐT Biện pháp hữu hiệu việc đảm bảo tính xác thực sử dụng hạ tầng khóa cơng khai (PKI – Public Key Infrastructure) có sử dụng thiết bị kỹ thuật, hạ tầng quy trình để ứng dụng việc mã hóa, chữ kỹ số chứng số Các kỹ thuật sử dụng Hạ tầng khóa cơng khai hiểu sau: - Sử dụng kỹ thuật mã hố thơng tin: Mã hố thơng tin q trình chuyển văn hay tài liệu gốc thành văn dạng mật mã cách sử dụng thuật mã hóa Giải mã q trình văn dạng mật mã chuyển sang văn gốc dựa mã khóa Mục đích kỹ thuật mã hố nhằm đảm bảo an tồn cho thơng tin lưu giữ đảm bảo an toàn cho thơng tin truyền phát Mã hố thơng tin kỹ thuật sử dụng sớm kể từ loài người bắt đầu giao tiếp với thuật mã hóa phát triển từ thuật tốn sơ khai trước tới công nghệ mã hóa phức tạp Một phần mềm mã hóa thực hai công đoạn: thứ tạo chìa khóa thứ hai sử dụng chìa khóa thuật mã hóa để mã hóa văn giải mã Có hai kỹ thuật thường sử dụng để mã hố thơng tin mã hố “khố đơn” sử dụng “khố bí mật” mã hố kép sử dụng hai khóa gồm “khố cơng khai” ”khóa bí mật” + Kỹ thuật mã hóa đơn sử dụng khố khố bí mật: Mã hố khố bí mật, cịn gọi mã hố đối xứng hay mã hoá khoá riêng, việc sử dụng khố chung, giống cho q trình mã hố q trình giải mã Q trình mã hố khố bí mật thực minh họa hình 4.1 167 Khóa người nhận Khóa người gửi = (Khóa người nhận ) Thơng điệp gốc Thơng điệp mã hóa INTERNET Thơng điệp mã hóa Người gửi Thơng điệp gốc Người nhận Hình 4.1: Phương pháp mã hố khố riêng Tuy nhiên, tính bảo mật phương pháp mã hóa bí mật phụ thuộc lớn vào chìa khóa bí mật Ngồi ra, sử dụng phương pháp mã hố khố bí mật, doanh nghiệp khó thực việc phân phối an tồn mã khố bí mật với hàng ngàn khách hàng trực tuyến mạng thơng tin rộng lớn Và doanh nghiệp phải bỏ chi phí khơng nhỏ cho việc tạo mã khố riêng chuyển mã khố tới khách hàng mạng Internet họ có nhu cầu giao dịch với doanh nghiệp Ví dụ, hình thức đơn giản khóa bí mật password để khóa mở khóa văn word, excel hay power point + Kỹ thuật mã hóa kép sử dụng khố cơng khai khóa bí mật Kỹ thuật mã hoá sử dụng hai khoá khác trình mã hố giải mã: khố dùng để mã hố thơng điệp khố khác dùng để giải mã Hai mã khố có quan hệ với mặt thuật toán cho liệu mã hoá khoá giải mã khố Khố cơng cộng phần mềm cơng khai cho nhiều người biết, cịn khố riêng giữ bí mật chủ nhân biết có quyền sử dụng Khóa riêng người nhận Khóa cơng cộng người nhận Thơng điệp gốc Thơng điệp mã hóa INTERNET Thơng điệp mã hóa Người gửi Thơng điệp gốc Người nhận Hình 4.2: Phương pháp mã hố khố cơng cộng Như vậy, kỹ thuật mã hóa đảm bảo tính riêng tư bảo mật, có người nhận thơng điệp mã hóa gửi đến giải mã Ngồi kỹ thuật đảm bảo tính tồn vẹn, thơng điệp mã hóa bị xâm phạm, q trình giải mã khơng thực Trong q trình sử dụng, có số đặc điểm cần lưu ý hai kỹ thuật mã hóa 168 Đặc điểm Mã hoá khoá riêng Mã hoá khoá cơng cộng Số khố Một khố đơn Một cặp khố Loại khố Khố bí mật Một khóa bí mật khóa cơng khai Đơn giản, khó quản lý Yêu cầu chứng nhận điện tử bên tin cậy thứ ba Quản lý khoá Tốc độ giao Nhanh dịch Sử dụng Chậm Sử dụng để mã hoá Sử dụng ứng dụng có nhu liệu lớn (hàng loạt) cầu mã hoá nhỏ mã hoá tài liệu nhỏ để ký thơng điệp Bảng 4.1: So sánh phương pháp mã hố khóa riêng mã hố khố cơng cộng - Chữ ký số (Digital signature) Về mặt công nghệ, chữ ký số thông điệp liệu mã hóa gắn kèm theo thơng điệp liệu khác nhằm xác thực người gửi thơng điệp Q trình ký xác nhận chữ ký số sau: Người gửi muốn gửi thơng điệp cho bên khác dùng phần mềm rút gọn thông điệp liệu điện tử, xử lý chuyển thông điệp liệu điện tử thành “thơng điệp tóm tắt” (Message Digest), thuật toán gọi thuật toán rút gọn (hash function) Người gửi mã hố tóm tắt thơng điệp khóa bí mật (sử dụng phần mềm bí mật quan chứng thực cấp) để tạo thành chữ ký điện tử Sau đó, người gửi tiếp tục gắn kèm chữ ký điện tử với thơng điệp liệu ban đầu Sau gửi thơng điệp kèm với chữ ký điện tử cách an toàn qua mạng cho người nhận Sau nhận được, người nhận dùng khố cơng khai người gửi để giải mã chữ ký điện tử thành tóm tắt thơng điệp Người nhận dùng rút gọn thông điệp liệu giống hệt người gửi làm thông điệp nhận để biến đổi thơng điệp nhận thành tóm tắt thơng điệp Người nhận so sánh hai tóm tắt thơng điệp Nếu chúng giống tức chữ ký điện tử xác thực thơng điệp khơng bị thay đổi đường truyền Ngồi ra, chữ ký số gắn thêm “nhãn” thời gian: sau thời gian định quy định nhãn đó, chữ ký số gốc khơng cịn hiệu lực, đồng thời nhãn thời gian công cụ để xác định thời điểm ký - Phong bì số (Digital Envelope) Tạo lập phong bì số q trình mã hố sử dụng khố cơng khai người nhận (phần mềm công khai người nhận, phần mềm quan chứng thực cấp cho người nhận, người nhận thông báo cho đối tác biết để sử dụng họ muốn gửi thơng điệp cho mình) Khóa bí mật dùng để mã hố tồn thơng tin mà người gửi muốn gửi cho người nhận, khóa đảm bảo có người nhận người mở thơng điệp để đọc Vì người nhận người nắm 169 giữ khóa tương ứng để giải mã (phần mềm bí mật hay khóa bí mật, khóa quan chứng thực cấp cho người nhận) - Chứng thư số hóa (Digital Certificate): Nếu bên có mã khóa cơng khai bên thứ để tiến hành mã hóa gửi thơng điệp cho bên đó, mã khóa cơng khai lấy đâu liệu bên đảm bảo định danh xác bên thứ khơng? Chứng thư điện tử xác minh người cầm giữ mã khóa cơng cộng mã khóa bí mật người chủ mã khóa Bên thứ ba, Cơ quan chứng thực, phát hành chứng thư điện tử cho bên tham gia Nội dung Chứng thư điện tử bao gồm: tên, mã khố cơng khai, số thứ tự chứng thực điện tử, thời hạn hiệu lực, chữ ký quan chứng nhận (tên quan chứng nhận mã hố mã khoá riêng quan chứng nhận) thông tin nhận dạng khác Các chứng thư sử dụng để xác minh tính chân thực website (website certificate), cá nhân (personal certificate) công ty phần mềm (software publisher certificate) 3.2 Các biện pháp nhằm đảm bảo an toàn cho hệ thống TMĐT Một số công nghệ phát triển nhằm đảm bảo nội mạng doanh nghiệp, hoạt động đảm bảo an toàn khỏi vụ công xâm phạm từ bên ngồi, đồng thời có chức cảnh báo hoạt động cơng từ bên ngồi vào hệ thống mạng - Tường lửa: Tường lửa thành phần mạng, gồm phần mềm phần cứng kết hợp phần mềm phần cứng, cho phép người sử dụng mạng máy tính tổ chức truy cập tài nguyên mạng khác (ví dụ, mạng Internet), đồng thời ngăn cấm người sử dụng khác, khơng phép từ bên ngồi truy cập vào mạng máy tính tổ chức Một tường lửa có đặc điểm sau: - Tất luồng thơng tin từ bên mạng máy tính tổ chức ngược lại phải qua thiết bị hay phần mềm này; - Chỉ luồng thông tin phép tuân thủ quy định an tồn mạng máy tính tổ chức, phép qua; Về bản, tường lửa cho phép người sử dụng mạng máy tính bên tường lửa bảo vệ có khả truy cập tồn dịch vụ bên mạng ; đồng thời ngăn chặn cho phép số truy cập từ bên vào mạng sở kiểm tra tên mật người sử dụng, địa IP tên miền (domain name) … Ví dụ, nhà sản xuất cho phép người sử dụng có tên miền thuộc công ty đối tác khách hàng lâu năm, truy cập vào website họ để mua hàng Như vậy, công việc tường lửa thiết lập rào chắn mạng máy tính tổ chức Tường lửa bảo vệ mạng máy tính tổ chức tránh khỏi tổn thương tin tặc, người tò mò từ bên ngồi cơng Tất 170 thơng điệp gửi đến gửi tường lửa kiểm tra đối chiếu với quy định an toàn tổ chức xác lập Các tường lửa phổ biến gồm: Windows XP Personal firewall, Microsoft ISA server (đa chức năng), Checkpoint - Mạng riêng ảo (VPN) Khi công ty muốn tạo ứng dụng B2B, cung cấp cho nhà cung cấp, đối tác đối tượng khác quyền truy cập không với liệu đặt trang web họ, mà quyền truy cập liệu chứa tệp khác (như tệp Word, Excel, file đồ họa, file âm thanh, hình ảnh ) Theo cách truyền thống, liên lạc với cơng ty thực thơng qua đường truyền riêng thông qua đường quay số tới modem tới máy chủ truy cập từ xa (RAS – Remote Access Server) mà máy chủ cho phép kết nối trực tiếp tới mạng LAN công ty Ưu điểm việc thuê đường truyền riêng giảm thiểu khả bị hacker nghe trộm liên lạc, nhiên chi phí lại cao Do đó, doanh nghiệp tham khảo giải pháp kinh tế sử dụng mạng riêng ảo Mạng riêng ảo sử dụng mạng internet để truyền tải thơng tin trì bí mật cách sử dụng thuật mã khóa (để mã giao dịch, xác minh tính chân thực để đảm bảo thơng tin không bị truy xuất trái phép thông tin đến từ nguồn tin cậy) quản lý quyền truy cập để xác định danh tính sử dụng mạng Hơn nữa, mạng riêng ảo sử dụng để hỗ trợ liên lạc chi nhánh trụ sở công ty liên lạc công nhân lưu động với trụ sở làm việc họ 4.3.3 Một số biện pháp khác nhằm đảm bảo an toàn cho hệ thống TMĐT - Sử dụng password đủ mạnh Để đảm bảo bí mật cho mật khẩu, thiết lập nên xem xét tiêu chí như: + Mật có số ký tự đủ lớn, tối thiểu ký tự có kết hợp chữ hoa, chữ thường, chữ số biểu tượng Như nhiều thời gian tìm phá mật khẩu, mà tới thời gian mật đã thay đổi Mật nên thường xuyên thay đổi (thường từ 30-60 ngày) không nên sử dụng lại mật cũ + Kích hoạt tự động việc khóa khơng cho truy cập hệ thống sau từ 3-5 lần nhập mật không + Không sử dụng chức tự động điền (auto complete) số phần mềm ứng dụng Microsoft Explorer để lưu mật số tài khoản - Phòng chống virus Theo thống kê, trung bình tháng có 500 virus đời, doanh nghiệp nên sử dụng phần mềm chống virus để kiểm tra tất liệu truyền qua cổng máy chủ mạng truyền cổng nội Các phần mềm chống virus nên cập nhật thường xuyên (hàng ngày, hàng tuần) Thông thường, công 171 ... gặp phải thương mại điện tử Rủi ro thương mại điện tử chia thành bốn nhóm sau: Nhóm rủi ro liệu Nhóm rủi ro cơng nghệ Nhóm rủi ro thủ tục quy trình giao dịch tổ chức Nhóm rủi ro luật pháp... liên quan đến thương mại điện tử như: Luật thương mại điện tử bang Illinois, Luật chữ ký ghi điện tử bang Massachusetts 6.2.2 Khung pháp lý thương mại điện tử Singapore Thương mại điện tử Singapore... NƯỚC TRONG KHU VỰC 6.2.1 Khung pháp lý thương mại điện tử Hoa Kỳ Hoa Kỳ nước đầu lĩnh vực thương mại điện tử Hoa Kỳ ấn định nguyên tắc cho thương mại điện tử riêng mình, đồng thời kiến nghị cho thương