HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 38
Chương 3
Quản trị an toàn thương mại điện tử
trong doanh nghiệp
B Ộ M Ô N T H Ư Ơ N G M Ạ I Đ I Ệ N T Ử
T R Ư Ờ N G Đ Ạ I H Ọ C T H Ư Ơ N G M Ạ I
Nội dung chương 3
3.1. Tổng quan quản trị an toàn TMĐT
◦3.1.1 Khái niệm an toàn thương mại điện tử
◦3.1.2. Các nguy cơ đe dọa an toàn thương mại điện tử
3.2. Mô hình đảm bảo an toàn và chiến lược an toàn
◦3.2.1. Mô hình đảm bảo an toàn TMĐT của doanh nghiệp
◦3.2.2. Chiến lược an toàn thương mại điện tử
3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
◦3.3.1. Chữ kí số
◦3.3.2. Mạng thương mại điện tử an toàn
◦3.3.3. Kiểm soát tổng thể
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 39
3.1. Tổng quan quản trị an toàn TMĐT
3.1.1 Khái niệm an toàn thương mại điện tử
◦An toàn có nghĩa là được bảo vệ, không bị xâm hại. An toàn là chống lại, hoặc
bảo vệ khỏi tấn công, gây tổn hại. An toàn không chỉ gắn với bảo vệ con người,
mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin.
◦An toàn thông tin: an toàn máy tính (computer security), an toàn mạng (internet
security), an toàn trình duyệt (browser security), an toàn dữ liệu (data security).
◦An toàn TMĐT là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch,
an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối,
đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại
những tai hoạ, lỗi và sự tấn công từ bên ngoài.
An toàn TMĐT
•An toàn TMĐT là một lĩnh vực của ATTT, bao gồm: xác thực, cấp phép, kiểm tra
(giám sát), tin cậy, toàn vẹn, sẵn sàng và chống phủ định
•Tính xác thực (authentication): Khả năng nhận biết các đối tác tham gia giao dịch.
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 40
•Cấp phép/quyền (authorization): Xác định quyền truy cập các tài nguyên
của tổ chức: đọc, xem, nghe, sửa chữa, xóa…
•Kiểm tra (giám sát_auditing): Tập hợp thông tin về quá trình truy cập của
người sử dụng
Tam giác CIA về an toàn thông tin
Tam giác CIA (Confidenttiality, integrity,
availability) là tâm điểm của ATTT, và các
bộ phận này: Confidentiality, Integrity và
Availability được xem như là các thuộc
tính, đặc tính, mục tiêu, các khía cạnh cơ
bản, tiêu chi … của ATTT.
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 41
Tam giác CIA mở rộng
Ngoài 3yếu tố trên, những yếu tố
khác đã được đề xuất như: tính trách
nhiệm/xác thực (Accountability), tính
không thể chối cãi (Non –
Repudiation), và tính với sự phát
triển của hệ thống máy tính như hiện
nay, tính riêng tư (privacy) ngày càng
trở thành một nhân tố rất quan trọng.
Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho
các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm
(Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ
(Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi
(security design and implementation), quản lý an toàn (security management), và
đánh giá lại (Reassessment).
Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó
đề xuất 33 nguyên tắc
Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá kép):
confidentiality, possession, integrity, authenticity, availability, và utility.
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 42
Theo ITU-T X.800, ANTT bao gồm ba khía cạnh: tấn công an toàn (security attack);
dịch vụ bảo mật (security service), và cơ chế an toàn (security mechanism).
Tấn công an toàn: hành động làm ảnh hưởng hoặc tổn thất ATTT, có thể được phân
loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks
Dịch vụ bảo mật: bảo vệ dữ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại:
xâm nhập trái phép, bảo đảm tính toàn vẹn, chống chối bỏ, Control/kiểm soát truy cập,
Tính sẵn sàng/Availability
Các cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa
đối xứng, Mã hóa khóa công khai, Quản lý chia; Hàm băm; Các mã xác thực thông điệp;
Chữ ký số; Các giao thức xác thực thực thể
Khái niệm Quản trị an toàn TMĐT
Xây dựng kế hoạch
Nhận biết các đe dọa
Thực thi và đánh giá các biện pháp đảm bảo an toàn TMĐT
