HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 38
Chương 3
Quản tr an toàn thương mại điện tử
trong doanh nghiệp
B M Ô N T H Ư Ơ N G M I Đ I N T
T R Ư N G Đ I H C T H Ư Ơ N G M I
Nội dung chương 3
3.1. Tổng quan quản trị an toàn TMĐT
3.1.1 Khái niệm an toàn thương mại điện tử
3.1.2. Các nguy đe dọa an toàn thương mại điện tử
3.2. Mô hình đảm bảo an toàn chiến lược an toàn
3.2.1. Mô hình đảm bảo an toàn TMĐT của doanh nghiệp
3.2.2. Chiến lược an toàn thương mại điện tử
3.3. Giải pháp an toàn thương mại đin tử doanh nghiệp
3.3.1. Chữ số
3.3.2. Mạng thương mại điện tử an toàn
3.3.3. Kiểm soát tổng thể
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 39
3.1. Tổng quan quản tr an tn TMĐT
3.1.1 Ki niệm an toàn thương mại điện tử
An toàn nghĩa được bảo vệ, không b xâm hại. An toàn chống lại, hoặc
bảo vệ khỏi tấn công, gây tổn hại. An toàn không chỉ gắn với bảo vệ con người,
gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin.
An toàn thông tin: an toàn máy nh (computer security), an toàn mạng (internet
security), an toàn trình duyệt (browser security), an toàn dữ liệu (data security).
An toàn TMĐT an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch,
an toàn cho c hệ thống (hệ thống máy chủ thương mại các thiết bị đầu cuối,
đường truyền…) không bị xâm hại từ bên ngoài hoặc khả năng chống lại
những tai hoạ, lỗi sự tấn công từ bên ngoài.
An toàn TMĐT
An toàn TMĐT là một lĩnh vực của ATTT, bao gồm: xác thực, cấp phép, kiểm tra
(giám sát), tin cậy, toàn vẹn, sẵn sàng chống phủ định
Tính xác thực (authentication): Khả năng nhận biết các đối tác tham gia giao dịch.
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 40
Cấp phép/quyền (authorization): Xác định quyền truy cập các tài nguyên
của tổ chức: đọc, xem, nghe, sửa chữa, xóa…
Kiểm tra (giám sát_auditing): Tập hợp thông tin về quá trình truy cập của
người sử dụng
Tam gc CIA về an tn thông tin
Tam giác CIA (Confidenttiality, integrity,
availability) là tâm điểm của ATTT, các
bộ phận này: Confidentiality, Integrity
Availability được xem như các thuộc
tính, đặc tính, mục tiêu, c khía cạnh
bản, tiêu chi … của ATTT.
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 41
Tam gc CIA mở rộng
Ngoài 3yếu tố trên, những yếu tố
khác đã được đề xuất như: tính trách
nhiệm/xác thực (Accountability), tính
không thể chối cãi (Non –
Repudiation), và tính với sự phát
triển của hệ thống máy tính như hiện
nay, tính riêng tư (privacy) ngày ng
trở thành một nhân tố rất quan trọng.
Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho
các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm
(Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ
(Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi
(security design and implementation), quản lý an toàn (security management), và
đánh giá lại (Reassessment).
Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó
đề xuất 33 nguyên tắc
Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá kép):
confidentiality, possession, integrity, authenticity, availability, utility.
HỌ VÀ TÊN CHV: ............................. 7/29/2021
BG UD TMĐT TRONG DN@BMTMĐT_TMU 42
Theo ITU-T X.800, ANTT bao gồm ba khía cạnh: tấn công an toàn (security attack);
dịch vụ bảo mật (security service), và cơ chế an toàn (security mechanism).
Tấn công an toàn: hành động làm ảnh hưởng hoặc tổn thất ATTT, có thể được phân
loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks
Dịch vụ bảo mật: bảo vệ dữ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại:
xâm nhập trái phép, bảo đảm tính toàn vẹn, chống chối bỏ, Control/kiểm soát truy cập,
Tính sẵn sàng/Availability
Các chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa
đối xứng, Mã hóa khóa công khai, Quản lý chia; Hàm băm; Các mã c thực thông điệp;
Chữ ký số; Các giao thức xác thực thực thể
Khái nim Quản tr an tn TMĐT
Xây dựng kế hoạch
Nhận biết các đe dọa
Thực thi đánh giá các biện pháp đảm bảo an toàn TMĐT