An ninh giao dịch điện tử và thực trạng tại một số trang web bán hàng online ở Việt Nam
lượt xem 5
download
Bài viết An ninh giao dịch điện tử và thực trạng tại một số trang web bán hàng online ở Việt Nam tập trung phân tích một số giải pháp an ninh giao dịch điện tử, thực trạng giao dịch điện tử tại một số trang web bán hàng trực tuyến, từ đó tìm ra những hạn chế cần phải khắc phục đối với hệ thống mua bán trực tuyến ở Việt Nam.
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: An ninh giao dịch điện tử và thực trạng tại một số trang web bán hàng online ở Việt Nam
- Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1 AN NINH GIAO DỊCH ĐIỆN TỬ VÀ THỰC TRẠNG TẠI MỘT SỐ TRANG WEB BÁN HÀNG ONLINE Ở VIỆT NAM Phạm Thanh Bình Trường Đại học Thuỷ lợi, email: binhpt@tlu.edu.vn 1. GIỚI THIỆU CHUNG chúng tôi sẽ phân tích để tìm ra những nguy cơ gây rò rỉ thông tin, từ đó đưa ra những khuyến Giao dịch điện tử (GDĐT) ngày càng trở nghị nhằm nâng cao độ an toàn trong GDĐT. nên phổ biến nhờ sự tiện lợi và tiết giảm chi phí. Người dùng bây giờ không phải đi tới 3. KẾT QUẢ NGHIÊN CỨU cửa hàng nữa, chỉ cần ngồi ở nhà cũng có thể mua mọi thứ hàng hoá thông qua Internet. 3.1. Tóm lược về SSL Đi kèm với sự tiện lợi đó là sự gia tăng của Khi người dùng sử dụng dịch vụ Web, một nguy cơ rò rỉ thông tin cá nhân trên mạng, lộ kết nối giữa trình duyệt (client) và máy chủ mã số thẻ tín dụng, thẻ ATM… Hàng loạt các Web (server) được thiết lập. Kẻ tấn công có vụ tấn công vào hệ thống ngân hàng đã diễn thể xem lén các giao vận mạng giữa client và ra trong thời gian vừa qua với quy mô giá trị server, nhằm ăn cắp thông tin và thực hiện ngày càng tăng, từ vài chục, vài trăm triệu và các hành vi bất hợp pháp. Do đó cần có cơ lên tới hàng chục tỉ đồng. chế mã hoá để bảo mật cho dữ liệu truyền Nguyên nhân của tình trạng trên thì có giữa client và server, đồng thời cần có giải nhiều: Do lỗi bảo mật của ngân hàng, do sơ pháp chứng thực để bảo vệ người dùng trước xuất của người dùng, do người bán thiếu sự nguy hiểm của các trang Web không an trách nhiệm... Trong khuôn khổ bài viết này, toàn, và nếu cần có thể bảo vệ server trước chúng tôi sẽ tập trung phân tích một số giải nguy cơ tấn công của những kẻ giả mạo. SSL pháp an ninh GDĐT, thực trạng GDĐT tại chính là phương tiện để thực hiện điều đó. một số trang Web bán hàng trực tuyến, từ đó tìm ra những hạn chế cần phải khắc phục đối với hệ thống mua bán trực tuyến ở Việt Nam. 2. PHƯƠNG PHÁP NGHIÊN CỨU Để tìm hiểu về các giải pháp an ninh GDĐT, chúng tôi tập trung vào việc phân tích các chỉ định kỹ thuật SSL (Secure Sockets Layer) và SET (Secure Electronic Transaction) [2]. SSL là một tập hợp các giao thức nhằm đảm bảo an ninh cho các giao vận Web. Còn SET là một tập hợp các giao thức Hình 1. Cấu trúc bản ghi SSL an ninh cho phép thanh toán bằng thẻ tín SSL cung cấp hai tính năng chính: Chứng dụng một cách an toàn qua Internet. thực và bảo mật. Để khẳng định độ tin cậy Ngoài ra chúng tôi cũng tìm hiểu cách thức của một Website sẽ cần tới một cơ quan uy giao dịch và thanh toán thực tế của một số tín đứng ra kiểm định. Sau khi kiểm tra và Website bán hàng lớn tại Việt Nam. Sau khi xác thực độ tin cậy, cơ quan chứng thực sẽ đối chiếu với các chỉ định kỹ thuật nói trên, cấp cho Website đó một chứng chỉ số SSL. 129
- Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1 Từ đó, khi truy cập vào Website này, khách hash của OI và PI), chúng được mã hoá bởi hàng có thể yên tâm về độ an toàn của khoá riêng của khách hàng, nhằm chứng thực Website, các dữ liệu truyền tải giữa máy chủ thông tin đó đúng là do khách hàng gửi đến. và trình duyệt sẽ được mã hoá, đảm bảo tính riêng tư và toàn vẹn. 3.2. Tóm lược về SET SET được thiết kế để bảo vệ các giao dịch bằng thẻ tín dụng qua Internet. SET ra đời vào tháng 2/1996 do sự đòi hỏi của các chuẩn an ninh cho MasterCard và Visa. Nhiều công ty lớn đã phát triển các chỉ định kỹ thuật ban đầu cho SET, bao gồm IBM, Microsoft, Netscape, RSA, Terisa, và Verisign. Hình 3. Thông điệp người mua gửi người bán Nhiệm vụ của người bán là chuyển tiếp PI (đã mã hoá), chữ kí kép, và phong bì số tới cổng thanh toán. Cổng thanh toán sẽ dùng khoá riêng của nó để giải mã phong bì số, nhằm thu được khoá phiên Ks. Tiếp theo nó sẽ dùng khoá phiên Ks để giải mã cho PI. Có được PI, cổng thanh toán sẽ tiến hành các thủ Hình 2. Các bên tham gia SET tục giao dịch với ngân hàng phát hành thẻ. Việc kiểm tra chữ kí kép phải được tiến Bằng cách sử dụng các chứng chỉ số hành ở cả cổng thanh toán và bên bán hàng X.509v3, SET cho phép các bên tham gia (Hình 4). Người bán sẽ dùng khoá công khai giao dịch xác minh sự hợp pháp và tính tin của khách hàng (PUc) để giải mã chữ kí kép, cậy của đối tác. Các thông tin nhạy cảm về rồi so sánh kết quả thu được (POMD) với cặp người dùng thẻ và mã số thẻ được bảo vệ an mã hash của OI và PI. Nếu hai giá trị này toàn khi lưu thông trên mạng nhờ giải pháp giống nhau thì OI mà người bán nhận được là mã hoá. Ngoài ra, SET còn sử dụng chữ kí hợp lệ. Quá trình tương tự cũng được thực kép để chứng thực nội dung và nguồn gốc hiện ở cổng thanh toán, nhằm kiểm tra tính thông tin, đồng thời tránh nhầm lẫn về thông hợp lệ của PI. tin thanh toán giữa các đơn hàng khác nhau. Để hiểu rõ nguyên tắc hoạt động của SET, ta sẽ phân tích nội dung một thông điệp mua sắm mà người mua gửi tới người bán hàng (Hình 3). OI (Order Information) là thông tin về đơn hàng đã đặt (hàng hoá, số lượng, giá tiền…), PI (Payment Information) là thông tin thanh toán (tên chủ thẻ, số thẻ, mã bảo mật…). Người bán chỉ có thể đọc OI chứ không thể đọc được PI do thông tin này đã được mã hoá bởi khoá phiên Ks. Khoá phiên Ks lại được mã hoá bởi khoá công khai của cổng thanh toán (PUb), tạo thành phong bì số. Chữ kí kép bao gồm OIMD và PIMD (là mã Hình 4. Người bán kiểm tra thông điệp 130
- Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1 Tóm lại, các bên tham gia giao dịch đều sendo.vn). Quy trình thanh toán này đảm bảo phải được chứng thực bởi các chứng chỉ số không có sự khuất tất, gian lận, lén lưu lại PI. đáng tin cậy. Mỗi bên chỉ được biết những Các cổng thanh toán ở Việt Nam đều được thông tin mà họ thực sự cần đến, các thông kiểm định thường xuyên và đạt tiêu chuẩn tin khác đều được mã hoá để tránh bị lộ. bảo mật PCI DSS (Payment Card Industry Data Security Standard) của Hội đồng Bảo 3.3. Thực trạng an ninh GDĐT tại một số mật dữ liệu thẻ thanh toán quốc tế [1], nên sẽ Website bán hàng trực tuyến ở Việt Nam hạn chế được tối đa nguy cơ lộ thông tin. Hầu hết các Website bán hàng trực tuyến lớn ở Việt Nam đều sử dụng SSL và SET với 4. KẾT LUẬN các mức độ khác nhau [3]. Một số Website áp Sự phát triển nhanh chóng của hình thức dụng SSL trên toàn bộ các khu vực của nó để mua bán trực tuyến đem lại nhiều lợi ích cho đảm bảo mọi giao vận đều được mã hoá bảo xã hội, nhưng cũng đặt ra bài toán phức tạp mật (ví dụ adayroi.com, sendo.vn, lotte.vn, về vấn đề bảo mật thông tin. Dù cơ quan tiki.vn…). chức năng đã đưa ra các cơ chế pháp lý, Một số Website khác chỉ áp dụng SSL cho nhưng điểm yếu nhất lại nằm ở khâu kiểm tra các khu vực quan trọng liên quan tới thông và giám sát. Đối với các tổ chức lớn như tin cá nhân, đặt hàng và thanh toán… Các ngân hàng hay các cổng thanh toán, việc khu vực ít quan trọng hơn như danh sách kiểm tra và giám sát mức độ bảo mật được hàng hoá, thông tin khuyến mại… thì không thực hiện thường xuyên, nếu không đạt chuẩn được bảo vệ bởi SSL (ví dụ lazada.vn). Điều PCI DSS họ sẽ bị các tổ chức thanh toán này giúp giảm bớt chi phí cho dịch vụ bảo quốc tế ngắt giao dịch. mật và tăng tốc độ truy cập. Tuy nhiên, do Còn đối với các nhà bán hàng trực tuyến, thông tin không được mã hoá hoàn toàn, nếu việc kiểm tra sự tuân thủ nguyên tắc bảo mật có kẻ nghe lén trên đường truyền thì một chưa được thực hiện tốt, tạo ra nguy cơ chính phần thông tin về thói quen giao dịch, mua gây rò rỉ thông tin. Giả sử một nhà bán hàng bán của khách hàng sẽ bị lộ. lớn đã lưu lại số thẻ tín dụng của khách hàng Ở khâu quan trọng nhất là thanh toán, một trong một thời gian dài, rồi đột nhiên tuyên trong những nguyên tắc cơ bản của SET là bố đóng cửa! (Ví dụ trường hợp của không để người bán biết được thông tin thanh cdiscount.vn). Khi đó cơ sở dữ liệu khách toán (PI), không lưu trữ số thẻ tín dụng hay hàng của họ sẽ do ai quản lý? số tài khoản trên server của người bán để Do đó, việc tăng cường khâu kiểm tra, tránh bị rò rỉ. Trên thực tế, điều này chưa giám sát đối với các trang bán hàng trực được thực hiện nghiêm túc. Khá nhiều trang tuyến là việc cần phải làm ngay nếu muốn thị bán hàng yêu cầu khách phải nhập đầy đủ PI trường mua bán trực tuyến tại Việt Nam phát trên Web của họ, bao gồm cả số thẻ tín dụng triển bền vững. Người tiêu dùng cũng cần và mã bảo mật. Khách hàng không thể biết được trang bị thêm kiến thức về giao dịch an được liệu số thẻ của họ có bị lưu lại trên toàn, để tự bảo vệ mình trước những nguy cơ server đó không (ví dụ tiki.vn, lotte.vn). Cá rò rỉ thông tin trên mạng. biệt có trang còn đặt sẵn tuỳ chọn cho phép lưu số thẻ tín dụng khi đặt hàng, nếu khách 5. TÀI LIỆU THAM KHẢO hàng không chú ý bỏ tuỳ chọn đó đi thì số thẻ [1] PCI Security Standards Council. 2016. PCI của họ sẽ bị lưu lại mà họ không hề hay biết DSS - Requirements and Security (ví dụ lazada.vn). Assessment Procedures, Version 3.2. Một số trang bán hàng khác thì tuân thủ [2] William Stallings. 2006. Cryptography đúng nguyên tắc: Người mua chỉ nhập thông and Network Security 4th Ed. Pearson tin về đơn hàng (OI) trên Web bán hàng, còn Prentice Hall. PI thì người mua sẽ tự nhập trực tiếp trên [3] Website: adayroi.com, lazada.vn, lotte.vn, Web của cổng thanh toán (ví dụ adayroi.com, sendo.vn, tiki.vn… 131
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Giáo trình Thương mại điện tử - Đại học Kinh tế Quốc dân
355 p | 3547 | 1165
-
Giáo trình Thương mại điện tử căn bản - ĐH Thương mại
178 p | 3647 | 393
-
Bài giảng thương mại điện tử : Mối đe dọa an ninh trong TMĐT
72 p | 507 | 149
-
Bài 5: Mối đe dọa an ninh trong TMĐT
72 p | 306 | 127
-
Bài giảng thương mại điện tử - Triển khai an ninh trong E-Commerce
85 p | 265 | 101
-
Chương 2 - Bán lẻ trong Thương mại điện tử
28 p | 266 | 52
-
DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG VNPT-CAVNPT
27 p | 197 | 28
-
Bài giảng Thương mại điện tử - ThS. Bùi Thành Khoa
36 p | 135 | 26
-
Bài giảng học phần Thương mại điện tử -ThS. Mai Thị Linh
120 p | 170 | 25
-
Giáo trình Thương mại điện tử (Nghề: Quản trị kinh doanh) - CĐ Kinh tế Kỹ thuật TP.HCM
107 p | 94 | 19
-
Bài giảng Thương mại điện tử - ThS. Vũ Mạnh Cường
70 p | 67 | 16
-
Giáo trình Pháp luật thương mại điện tử (Ngành: Thương mại điện tử - Trung cấp) - Trường Cao đẳng Thương mại và Du lịch Thái Nguyên
85 p | 28 | 15
-
Thanh toán điện tử vẫn tăng trưởng
3 p | 84 | 14
-
Bài giảng Thương mại điện tử: Bài 5 - ThS. Huỳnh Hạnh Phúc
22 p | 63 | 13
-
Bài thuyết trình về Mối đe dọa an ninh trong thương mại điện tử
72 p | 128 | 9
-
Thuật ngữ giao dịch thương mại điện tử
102 p | 92 | 7
-
Bài giảng Thanh toán trong thương mại điện tử: Chương 4 - ThS. Nguyễn Như Phương Anh
41 p | 8 | 6
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn