bảo mật trong thương mại điện tử là gì

Thảo luận Đề tài: Thực trạng & giải pháp cho vấn đề an toàn & bảo mật trong thương mại điện tử. Thảo luận trong 'Khoa Tin Học Ứng Dụng' bắt đầu bởi yeuonline1506, 30 Tháng năm 2012. Lừa Đảo Vay Tiền Online. Ngày nay, cùng với sự phát triển nhanh chóng của khoa học công nghệ, các hoạt động thương mại điện tử TMĐT được đẩy mạnh và nhanh chóng được ứng dụng rộng rãi trong mọi ngành nghề. Và tất nhiên, đi kèm theo đó luôn là các vấn đề an toàn bảo mật thông tin được đặt ra. Một trong giải pháp bảo mật thông tin ứng dụng trong TMĐT là sử dụng kỹ thuật mã hóa. 1. Mã hóa là gì? Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹ thuật mã hoá cho các giao dịch TMĐT. Mã hoá là quá trình trộn văn bản với khoá mã tạo thành văn bản không thể đọc được truyền trên mạng. 2. Các kỹ thuật mã hóa Mã hóa đối xứng Ceasar Mã hóa đối xứng Ceasar sử dụng cùng một khoá cho cả hai quá trình mã hoá và giải mã. Ví dụ Thay thế mỗi chữ trong bản tin bằng chữ đứng sau nó k vị trí trong bảng chữ cái. Giả sử chọn k = 3, ta có bảng chuyển đổi như sau Chữ ban đầu a b c d e f g h i j k l m n o p q r s t u v w x y z Chữ thay thế D E F G H I J K L M N O P Q R S T U V W X Y Z A B C Giả sử có bản tin gốc là meet me after the toga party Như vậy bản tin mã hóa sẽ là PHHW PH DIWHU WKH WRJD SDUWB Phương pháp mã hóa Ceasar như sau Gán cho mỗi chữ cái một con số nguyên từ 0 đến 25 Với mỗi chữ cái p thay bằng chữ mã hóa C, trong đó C = p + k mod 26 , k được gọi là khóa. Quá trình giải mã đơn giản là p = C – k mod 26 Tuy nhiên, phương pháp mã hóa của Ceasar không được xem là an toàn. Giả sử đối thủ của Ceasar có được bản mã PHHW PH DIWHU WKH WRJD SDUWB và biết được phương pháp mã hóa và giải mã là phép cộng trừ module 26. Đối thủ có thể thử tất cả 25 trường hợp của k như sau Trong 25 trường hợp trên, chỉ có trường hợp k=3 thì bản giải mã tương ứng là có ý nghĩa. Do đó đối thủ có thể chắc chắn rằng, meet me after the toga party là bản tin ban đầu. Mã hóa công khai - Thuật toán RSA Các thuật toán mật mã với khóa công khai sử dụng 2 khóa 1 khóa để mã hóa 1 khóa để giải mã RSA là một thuật toán mã hóa khóa công khai đang được sử dụng phổ biến trong thương mại điện tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ lớn. Giả sử A và B cần trao đổi thông tin bí mật thông qua một kênh không an toàn ví dụ như Internet. Với thuật toán RSA, A đầu tiên cần tạo ra cho mình cặp khóa gồm khóa công khai và khóa bí mật, sau đó A gửi khóa công khai cho B và giữ bí mật khóa cá nhân của mình. B sẽ tìm được khóa bí mật dựa vào các quy tắc của thuật toán. Phương pháp mã hóa và giải mã của thuật toán RSA tương đối phức tạp, vui lòng tham khảo tại link sau Mã hóa 1 chiều - Thuật toán MD5 Khác với 2 phương pháp ở trên, việc mã hóa và giải mã đều thực hiện được, thì mã hóa một chiều là phương pháp mà chúng ta chỉ có thể mã hóa mà không thể giải mã. Thuật toán MD5 biến đổi một thông điệp có chiều dài bất kì thành một khối có kích thước cố định 128 bits. Thông điệp đưa vào sẽ được cắt thành các khối 512 bits. Thông điệp được đưa vào bộ đệm để chiều dài của nó sẻ chia hết cho 512. Bộ đệm hoạt động như sau Trước tiên, chèn bit 1 vào cuối thông điệp Tiếp đó là hàng loạt bit Zero cho tới khi chiều dài của nó nhỏ hơn bội số của 512 một khoảng 64 bit Phần còn lại sẽ được lấp đầy bởi một số nguyên 64 bit biểu diển chiều dài ban đầu của thông điệp. MD5 hoạt động trên một bộ 128 bit. Chia nhỏ nó ra thành 4 từ 32 bit, kí hiệu là A, B, C và D. Các giá trị này là các hằng số cố định. Sau đó thuật toán chính sẽ luân phiên hoạt động trên các khối 512 bit. Mỗi khối sẽ phối hợp với một bộ. Quá trình xử lý một khối thông điệp bao gồm 4 bước tương tự nhau, gọi là vòng “round”. Mỗi vòng lại gồm 16 quá trình tương tự nhau dựa trên hàm một chiều F, phép cộng module và phép xoay trái. Hình bên dưới mô tả một quá trình trong một vòng. Có 4 hàm một chiều F có thể sử dụng. Mỗi vòng sử dụng một hàm khác nhau. Kết quả trả về là một chuỗi số thập lục phân gồm 32 số liên tiếp. Dưới đây là các ví dụ mô tả các kết quả thu được sau khi băm MD5"The quick brown fox jumps over the lazy dog" = 9e107d9d372bb6826bd81d3542a419d6 Thậm chỉ chỉ cần một thay đổi nhỏ cũng làm thay đổi hoàn toàn kết quả trả về MD5"The quick brown fox jumps over the lazy cog" = 1055d3e698d289f2af8663725127bd4b Ngay cả một chuỗi rỗng cũng cho ra một kết quả phức tạp MD5" " = d41d8cd98f00b204e9800998ecf8427e Trong giao dịch điện tử, chìa khóa chính là mật khẩu mà người dùng đã chọn lựa sẽ được dùng để mã hóa thông tin của khách hàng, còn mật khẩu sẽ được mã hóa theo hàm băm một chiều, các hacker hay thậm chí là admin của trang giao dịch dù có lấy được dữ liệu lưu trên máy chủ cũng không thể nào dịch ngược nếu không biết được mật khẩu key của user. Trên đây là một số thuật toán mã hóa để đảm bảo an toàn trong thương mại điện tử mà mình đã tìm hiểu và thực hành mã khóa/giải mã. Phạm vi bài viết còn hạn hẹp và chắc chắn sẽ tồn tại nhiều thiếu sót, mong các bạn góp ý. Xin cảm ơn! Tạo và thực thi chính sách bảo mật thông tin khách hàng không phải là nhiệm vụ dễ dàng, nhưng các mẹo dưới đây sẽ giúp bạn hiểu chính xác chính sách bảo mật thương mại điện tử là gì, tại sao bạn cần tạo chính sách, chính sách bảo mật của bạn nên bao gồm những gì, thu thập dữ liệu nào và cách tuân thủ với các hướng dẫn quốc tế. Mục lụcChính sách bảo mật là gì?Tại sao bạn cần tạo chính sách bảo mật thông tin khách hàng?Đó là yêu cầu của pháp luậtTạo dựng niềm tin với khách hàngBạn cần một chính sách bảo mật trang web để sử dụng các ứng dụng hoặc dịch vụ nhất địnhChính sách bảo mật trang web mang lại cho bạn sự bảo vệ hợp phápChính sách bảo mật website của bạn nên bao gồm những gì?Những loại thông tin được thu thậpChính sách cookieCác trường hợp dữ liệu có thể được phát hànhLàm thế nào mà các thông tin được thu thập, chia sẻ hoặc thậm chí được đem bánNgười dùng có quyền xem và sửa đổi thông tin của họĐiều khoản chuyển nhượng kinh doanhYêu cầu về độ tuổiLiên hệ với ai khi lo ngại về quyền riêng tưNgày chính sách có hiệu lực và cập nhật mới nhấtCách xây dựng chính sách bảo mật cho doanh nghiệpThuê luật sưSử dụng trình tạo chính sách bảo mật trực tuyếnMẫu DIYChính sách bảo mật thương mại điện tử bổ sungLàm cho chính sách bảo mật thông tin cá nhân của bạn dễ dàng tìm thấyĐơn giản hóaCập nhật chính sách bảo mật thường xuyên Chính sách bảo mật là gì? Chính sách bảo mật là một tuyên bố giải thích cách thức công ty thu thập, xử lý, lưu trữ, chia sẻ, bảo vệ thông tin cá nhân của khách hàng và các thông tin nhạy cảm được thu thập thông qua các tương tác của khách hàng với trang web. Mỗi trang web tương tác và thu thập dữ liệu về khách hàng của họ bằng cách này hay cách khác, nhưng điều này thậm chí còn được áp dụng nhiều hơn khi nói đến một cửa hàng thương mại điện tử. Các trang web thương mại điện tử thường thu thập dữ liệu cá nhân như tên, địa chỉ email, địa chỉ IP, phiên hoạt động và chi tiết thanh toán. Do đó, chính sách quyền riêng tư rất quan trọng vì nó không chỉ được coi là dấu hiệu của sự tín nhiệm và tin cậy mà còn đảm bảo rằng chủ sở hữu trang web được bảo vệ cùng với khách hàng của họ, đồng thời tuân thủ các nghĩa vụ pháp lý của họ. Về cốt lõi, chính sách quyền riêng tư phục vụ bốn chức năng cơ bản sau Thông báo cho người dùng về việc thu thập dữ liệu riêng tư và cách thức mà nó sử cấp cho người dùng lựa chọn từ chối thu thập dữ phép người dùng truy cập dữ liệu được thu thập hoặc tranh luận về tính chính xác của bảo với người dùng rằng dữ liệu của họ an toàn và bảo mật. Đối với khách truy cập và khách hàng của trang web, chính sách quyền riêng tư đảm bảo rằng dữ liệu riêng tư của họ sẽ không được cung cấp cho bên thứ ba hoặc phục vụ cho các mục đích không chính đáng. Thuật ngữ “chính sách quyền riêng tư” có lẽ sẽ gợi lên hình ảnh của các liên kết màu xám ở cuối trang web. Sự thật thì điều này dễ bị bỏ qua bởi hầu hết khách hàng truy cập trang web, nhưng nó là một tài liệu pháp lý cực kỳ quan trọng đối với bất kỳ trang web nào – đặc biệt là đối với một cửa hàng thương mại điện tử. Nó không chỉ trấn an khách hàng rằng dữ liệu riêng tư của họ sẽ được bảo vệ mà còn giúp bạn đáp ứng các yêu cầu quy định. Vì chính sách quyền riêng tư là một tài liệu pháp lý nên điều này có thể gây khó hiểu cho các nhà bán lẻ và gây nên những nhầm lẫn khi phải tự tạo chính sách bảo mật . Bạn phải đánh giá cách bạn xử lý dữ liệu khách hàng, đồng thời đảm bảo rằng bạn đang thực hiện đúng theo quy định của chính phủ. Thêm vào đó, bạn phải truyền đạt chính sách của mình một cách rõ ràng và minh bạch mà khách hàng có thể hiểu. >> Xem thêm Luật Bảo vệ dữ liệu chung GDPR Chúng ta đã học được gì? Hướng đi nào cho luật bảo vệ dữ liệu? Tại sao bạn cần tạo chính sách bảo mật thông tin khách hàng? Trước khi chúng ta đi vào tìm hiểu cách xây dựng chính sách bảo mật, trước tiên hãy tìm hiểu về lý do tại sao phải cần có chính sách bảo mật. Dưới đây là những lý do tại sao chính sách bảo mật là cần thiết cho các doanh nghiệp thương mại điện tử. Đó là yêu cầu của pháp luật Trước hết, chính sách quyền riêng tư được pháp luật tại Hoa Kỳ, Canada, Liên minh Châu Âu, Úc và các khu vực pháp lý khác trên toàn thế giới yêu cầu. Ngoài ra, chủ cửa hàng thương mại điện tử cần phải hạn chế rủi ro cũng như quản lý kỳ vọng của khách hàng để tránh mọi hiểu lầm. Tạo dựng niềm tin với khách hàng Là một cửa hàng thương mại điện tử, chắc chắn bạn sẽ thu thập thông tin cá nhân từ khách hàng và khách truy cập vào trang web như tên, tuổi, địa chỉ, email và chi tiết thẻ tín dụng. Vì những lý do rõ ràng, nhiều người sẽ muốn biết rằng thông tin này nằm trong tay bạn là an toàn nên chính sách bảo mật được cập nhật trên trang web sẽ thể hiện cam kết của bạn đối với bảo mật đồng thời giúp tạo niềm tin cho trang web và doanh nghiệp của bạn. Bạn cần một chính sách bảo mật trang web để sử dụng các ứng dụng hoặc dịch vụ nhất định Chính sách bảo mật không chỉ quan trọng để đảm bảo rằng bạn có được lòng tin của khách hàng và đáp ứng các yêu cầu pháp lý mà nhiều ứng dụng và dịch vụ của bên thứ ba cũng yêu cầu điều đó – như Google. Để truy cập một số dịch vụ và công cụ nhất định như AdSense, Google Analytics, Google yêu cầu bạn phải có chính sách bảo mật toàn diện được cập nhật trên trang web của mình. Ví dụ, theo điều khoản sử dụng Google Analytics Bạn phải đăng chính sách quyền riêng tư và chính sách quyền riêng tư phải cung cấp thông báo về việc bạn sử dụng cookie để thu thập dữ liệu lưu lượng truy cập và bạn không được phá vỡ bất kỳ tính năng bảo mật nào ví dụ từ chối là một phần của dịch vụ. Chính sách bảo mật trang web mang lại cho bạn sự bảo vệ hợp pháp Cuối cùng, một chính sách bảo mật cũng đảm bảo các lợi ích của bạn như bảo vệ bạn khỏi các vụ kiện từ khách hàng cũng như các doanh nghiệp khác. Nếu trang web thương mại điện tử của bạn bị kiện, bạn hoàn toàn có thể chứng minh rằng bạn đã áp dụng chính sách quyền riêng tư một cách công khai, rõ ràng. >> Xem thêm Bảo mật website – 5 Gợi ý giúp webite của bạn An Toàn Tuyệt Đối Chính sách bảo mật website của bạn nên bao gồm những gì? Chính sách bảo mật hiệu quả sẽ xác định rõ ràng các loại dữ liệu được thu thập thông qua cửa hàng của bạn, cách thức ghi lại, lưu trữ và xóa. Nhưng cũng sẽ có những yếu tố nhất định cho cửa hàng thương mại điện tử của riêng bạn để xác định những biện pháp bảo vệ quyền riêng tư cụ thể mà bạn cần có cho chính sách của mình. Chi tiết về chính sách của bạn sẽ phụ thuộc vào những thứ như cách bạn quảng cáo, sản phẩm bạn bán, khách hàng của bạn là ai, cách bạn thu thập thông tin thanh toán và cách bộ xử lý thanh toán và các bên thứ ba khác liên quan đến trang web và dữ liệu của bạn. Ví dụ trang thanh toán yêu cầu người mua hàng không đăng ký khách hàng của Google mà chỉ cần nhập địa chỉ email, nhưng khi khách hàng đến trang thanh toán, họ được yêu cầu tiết lộ rất nhiều thông tin nhận dạng cá nhân. Tất cả dữ liệu đó là dữ liệu cá nhân và cần được tiết lộ trong chính sách bảo mật của cửa hàng thương mại điện tử. Như những gì GAP làm trong chính sách của mình. Khi quyết định tạo một chính sách bảo mật thì bạn hãy bắt đầu bằng cách lập một danh sách. Mặc dù mỗi doanh nghiệp sẽ có những chính sách riêng nhưng sẽ có những hướng dẫn chung mà mọi chính sách nên tuân theo, hầu hết trong số đó là bắt buộc theo luật. Những loại thông tin được thu thập Các loại thông tin mà bạn thu thập từ khách hàng đều phải được chỉ định, đồng thời trong chính sách bạn phải nói về lý do tại sao bạn lại thu thập dữ liệu đó và cách sử dụng thông tin của người dùng. Ví dụ nếu bạn thu thập địa chỉ email của mọi người, chính sách quyền riêng tư của bạn nên nói rõ ràng và đề cập rằng địa chỉ email là bắt buộc cho mục đích liên lạc. Ví dụ đối với chính sách bảo mật của Walmart, nhà bán lẻ thông báo về dữ liệu khách hàng theo cả hai thuật ngữ chung và cụ thể, vì vậy người dùng hiểu rõ về dữ liệu nào đang được sử dụng và cách Walmart xử lý thông tin của họ. Chính sách cookie Bạn cũng nên giải thích nếu dữ liệu có thể còn sót lại trên máy tính người dùng. Một ví dụ là cookie thường được sử dụng để theo dõi thói quen xem của khách truy cập, giúp khách hàng dễ dàng đăng nhập khi quay lại và ghi nhớ những sản phẩm đã được thêm vào giỏ hàng. Nếu bạn cung cấp tùy chọn tránh cookie, hãy thông báo cho họ về các tính năng của trang web sẽ không có sẵn. Đây là một ví dụ từ Shopee Các trường hợp dữ liệu có thể được phát hành Trong một số trường hợp nhất định, bạn có thể phải tuân thủ các yêu cầu hợp pháp ví dụ lệnh của tòa án, ra hầu tòa để bàn giao dữ liệu người dùng. Do đó, chính sách bảo mật của bạn phải thảo luận về các tình huống trong đó dữ liệu khách hàng có thể sẽ được tiết lộ. Như ví dụ về chính sách bảo mật của Shopee, công ty giải thích rằng họ sẽ chia sẻ thông tin cá nhân của người dùng trong các trường hợp đặc biệt và chỉ một số nhân viên mới có quyền truy cập thông tin của người dùng Làm thế nào mà các thông tin được thu thập, chia sẻ hoặc thậm chí được đem bán Nếu dữ liệu người dùng được bán hoặc chia sẻ cho bên thứ ba, chính sách quyền riêng tư của bạn nên bao gồm tùy chọn từ chối cho những khách hàng không muốn tiết lộ thông tin của họ cho người khác. Ngoài ra, nếu bạn cho phép các bên thứ ba giám sát các hoạt động của khách hàng – ví dụ Google Analytics, AdSense, AdRoll, YouTube thì chính sách bảo mật của bạn phải bao gồm một điều khoản xác định các bên thứ ba đó và cách họ thu thập sử dụng dữ liệu của khách hàng của bạn . Ví dụ dưới đây cho thấy GAP đã thực hiện các giải thích về chính sách thu thập dữ liệu và quyền từ chối của khách hàng. Người dùng có quyền xem và sửa đổi thông tin của họ Chính sách bảo mật của bạn cũng nên có một phần chi tiết về cách khách hàng có thể xem lại thông tin mà trang web đã thu thập từ họ cũng như cách họ có thể thay đổi hoặc xóa thông tin đó. Nó sẽ cung cấp cho người tiêu dùng cơ hội để thay đổi, chỉnh sửa hoặc xóa dữ liệu cá nhân cũng như lựa chọn từ chối chia sẻ dữ liệu của họ với bạn. Dưới đây là một ví dụ về điều khoản từ chỉnh sửa thông tin của Shopee Điều khoản chuyển nhượng kinh doanh Đó là một ý tưởng tốt để bao gồm một phần trong chính sách bảo mật của bạn, chi tiết những gì sẽ xảy ra nếu bạn chuyển nhượng hoặc hợp nhất doanh nghiệp của bạn với một công ty khác. Được biết đến như một điều khoản của chuyển nhượng doanh nghiệp, điều khoản này sẽ thảo luận về những gì sẽ xảy ra nếu quyền sở hữu của doanh nghiệp thay đổi và các bước mà công ty bạn sẽ thực hiện để chuyển quyền sở hữu dữ liệu người dùng. Yêu cầu về độ tuổi Nếu bạn bán sản phẩm dành cho người lớn hoặc những sản phẩm nhạy cảm, bạn cần có một điều khoản quy định độ tuổi tối thiểu người dùng xem trang web của bạn. Hãy xem xét chính sách quyền riêng tư của nhà bán lẻ cần sa MedMen, trong đó nêu rõ trang web của họ dành cho đối tượng trưởng thành hoặc những người trên 21 tuổi. Nó cũng có một điều khoản liên quan đến trẻ em, trong đó MedMen sẽ xóa thông tin cá nhân của người dùng nếu họ tìm hiểu hoặc nghi ngờ rằng cá nhân đó 13 tuổi. Liên hệ với ai khi lo ngại về quyền riêng tư Chính sách của bạn cũng nên cung cấp thông tin liên lạc cho những người chịu trách nhiệm duy trì các thủ tục bảo mật của bạn. Hãy xem xét việc tạo một địa chỉ đặc biệt cho mục đích này – ví dụ Quyền riêng tư của bạn Đây chính xác là những gì Shopee làm trong chính sách bảo mật của mình. Ngày chính sách có hiệu lực và cập nhật mới nhất Hãy chắc chắn rằng chính sách bảo mật của bạn được cập nhật. Hãy ghi lại mọi thay đổi mà bạn đã thực hiện và luôn hiển thị khi bản cập nhật cuối cùng diễn ra. Cách xây dựng chính sách bảo mật cho doanh nghiệp Khi bạn đã tạo ra danh sách những điều cần bao gồm trong chính sách quyền riêng tư của mình thì đó là thời gian để đưa chúng vào hoạt động. Bạn có một vài lựa chọn khi nói đến việc tạo ra chính sách thực tế, bao gồm Thuê luật sư Nếu bạn có tài chính thì bạn có thể thuê một chuyên gia hoặc luật sư để giúp bạn soạn thảo chính sách bảo mật của mình. Nhiều người sẽ thường nhìn xung quanh các trang web của đối thủ cạnh tranh và điều chỉnh chính sách cho phù hợp với doanh nghiệp của chính họ. Hãy chắc chắn rằng luật sư có kinh nghiệm về luật bảo vệ dữ liệu quốc tế và kiểm tra xem họ có cập nhật các yêu cầu hay không. Nếu ngân sách của bạn không đủ nhưng vẫn muốn trợ giúp pháp lý, hãy cân nhắc sử dụng một dịch vụ như LegalZoom công cụ cho phép bạn lên lịch tư vấn với luật sư. Đối với một khoản phí cố định, luật sư của LegalZoom Business Legal Plan sẽ soạn thảo các tài liệu của bạn với giá bắt đầu từ $399 nhưng lưu ý rằng giá này áp dụng cho các trang web cơ bản tức là chỉ thông tin. Chính sách bảo mật của trang web thương mại điện tử có thể sẽ có giá cao hơn. Sử dụng trình tạo chính sách bảo mật trực tuyến Có nhiều tùy chọn trực tuyến sẽ tạo ra một chính sách bảo mật cho các nhu cầu cụ thể của bạn. Tuy nhiên, bạn phải chắc chắn rằng dịch vụ cung cấp các tùy chọn tùy chỉnh được hỗ trợ bởi chuyên môn pháp lý có thể kiểm chứng. Một ví dụ tuyệt vời về trình tạo chính sách bảo mật termsFeed. Tất cả những gì bạn cần làm là khởi động công cụ, nhập thông tin về trang web và ứng dụng của bạn, sau đó trả lời một vài câu hỏi về doanh nghiệp của bạn. Trình tạo chính sách bảo mật sau đó sẽ tạo một tài liệu tùy chỉnh mà bạn có thể tải xuống dưới dạng tệp HTML hoặc tệp văn bản. Mẫu DIY Đối với những người hầu như không có thời gian và tài chính thì có rất nhiều trang web cung cấp các mẫu chính sách bảo mật giúp chủ doanh nghiệp tạo ra một chính sách bảo mật khá nhanh chóng. Sử dụng thông tin chi tiết ở đây về các yêu cầu pháp lý và đảm bảo rằng bạn đã đáp ứng các yêu cầu và thông tin được nêu chính xác. TermsFeed có một mẫu chính sách bảo mật tiện dụng mà bạn có thể tải xuống dưới dạng tệp PDF hoặc tài liệu MS Word, Google. Chính sách bảo mật thương mại điện tử bổ sung Ngoài việc có thông tin chính xác và phù hợp trong chính sách bảo mật của bạn, bạn cũng muốn trình bày các chính sách của mình theo cách mà họ có thể dễ dàng tìm thấy và hiểu được. Điều này đặc biệt quan trọng trong thời đại ngày nay, khi mọi người nhạy cảm hơn rất nhiều về quyền riêng tư của họ. Làm cho chính sách bảo mật thông tin cá nhân của bạn dễ dàng tìm thấy Đảm bảo rằng khách truy cập có thể dễ dàng xác định chính sách bảo mật của bạn bất kể họ ở đâu trên trang web của bạn. Thực hiện theo thông lệ chung về việc thêm liên kết chính sách quyền riêng tư ở phần cuối cùng của trang web để chúng có thể được nhìn thấy từ bất kỳ trang nào. Bạn cũng nên xem xét việc liên kết với chính sách của mình trên các trang có liên quan trên trang web của bạn – chẳng hạn như Điều khoản & Điều kiện, Câu hỏi thường gặp, Đơn giản hóa Một chính sách bảo mật nên được viết bằng một ngôn ngữ đơn giản để dễ hiểu và giúp tạo niềm tin. Một chính sách phức tạp và đầy thuật ngữ kỹ thuật có thể khiến khách truy cập vào trang web của bạn cảm thấy khó hiểu và bối rối. Hãy xem xét chính sách quyền riêng tư của Nordstrom Rack khi họ sử dụng ngôn ngữ đơn giản khi giải thích các điều khoản. Trang thậm chí trang web còn chứa các liên kết để người dùng có thể nhanh chóng điều hướng đến phần tài liệu liên quan đến họ. Cập nhật chính sách bảo mật thường xuyên Chính sách bảo mật của bạn không phải là thứ gì đó mà bạn có thể chỉ cần đặt và bỏ quên. Luật riêng tư và bảo vệ người tiêu dùng luôn thay đổi theo thời gian, vì vậy chính sách của bạn cũng sẽ phải phát triển theo. Hãy làm cho nó trở thành một điểm để xem xét thỏa thuận của bạn mỗi năm một lần và bất cứ khi nào luật mới được ban hành. Và như đã đề cập trước đó, hãy để chính sách của bạn nêu rõ khi nào nó được cập nhật lần cuối. Kết luận Chính sách bảo mật là một phần quan trọng trong bất kỳ khung pháp lý nào của trang web và nên được ưu tiên hàng đầu. Chính sách rõ ràng, tuân thủ, dễ truy cập là điều cần thiết để bảo vệ bạn với tư cách là một công ty thương mại điện tử trong việc giải quyết các hiểu lầm và các vụ kiện tiềm ẩn và nó cũng hoạt động như một phương tiện hiệu quả, minh bạch và đáng tin cậy giúp bạn có trách nhiệm với dữ liệu thu thập và xây dựng niềm tin với khách hàng của bạn. Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu và thông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp của niệm bảo mật thông tin Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn toàn diện và tính sẵn sàng cho toàn bộ thông tin. Ba yếu tố không thể tách rời trong việc bảo mật từ A đến Z thông tin là – Tính bảo mật Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận phải được phân quyền truy cập – Tính toàn vẹn. Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin – Tính chính xác. Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung – Tính sẵn sàng. Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào. Tại sao phải bảo mật thông tin - Hãy cùng tìm hiểu. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau - Bảo đảm an toàn thông tin tại máy chủ - Bảo đảm an toàn cho phía máy trạm - Bảo mật thông tin trên đường truyền Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau - Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu. - Nguyên tắc đúng đắn. - Nguyên tắc phù hợp với mục đích. - Nguyên tắc cân xứng. - Nguyên tắc minh bạch. - Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. - Nguyên tắc không phân biệt đối xử. - Nguyên tắc an toàn. - Nguyên tắc có trách niệm trước pháp luật. - Nguyên tắc giám sát độc lập và hình phạt theo pháp luật. - Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới. Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu đó. Nhu cầu an toàn thông tin An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng. Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó. Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin. Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra. Các khái niệm An toàn máy tính tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker. An toàn mạng các phương tiện bảo vệ dữ liệu khi truyền chúng. An toàn Internet các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau. Mục đích của môn học là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin. Nguy cơ và hiểm họa đối với hệ thống thông tin Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động. - Hiểm họa vô tình khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. - Hiểm họa cố ý như cố tình truy nhập hệ thống trái phép. - Hiểm họa thụ động là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền. - Hiểm họa chủ động là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống. Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất phát từ những nguyên nhân như sau - Từ phía người sử dụng xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị - Trong kiến trúc hệ thống thông tin tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin. - Ngay trong chính sách bảo mật an toàn thông tin không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. - Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống. - Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định trước, gọi là 'bom điện tử'. - Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, từ phía bọn tội phạm. Phân loại tấn công phá hoại an toàn Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công - Tấn công giả mạo là một thực thể tấn công giả danh một thực thể khác. Tấn công giả mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo. - Tấn công chuyển tiếp xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực. - Tấn công sửa đổi thông báo xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện. - Tấn công từ chối dịch vụ xảy ra khi một thực thể không thực hiện chức năng của mình, gây cản trở cho các thực thể khác thực hiện chức năng của chúng. - Tấn công từ bên trong hệ thống xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. Còn tấn công từ bên ngoài là nghe trộm, thu chặn, giả mạo người dùng hợp pháp và vượt quyền hoặc lách qua các cơ chế kiểm soát truy nhập. Tấn công bị động. Do thám, theo dõi đường truyền để - nhận được nội dung bản tin hoặc - theo dõi luồng truyền tin Tấn công chủ động. Thay đổi luồng dữ liệu để - giả mạo một người nào đó. - lặp lại bản tin trước - thay đổi ban tin khi truyền - từ chối dịch vụ. Dịch vụ, cơ chế, tấn công Nhu cầu thực tiến dẫn đến sự cần thiết có một phương pháp hệ thống xác định các yêu cầu an ninh của tổ chức. Trong đó cần có tiếp cận tổng thể xét cả ba khía cạnh của an toàn thông tin bảo vệ tấn công, cơ chế an toàn và dịch vụ an toàn. Sau đây chúng ta xét chúng theo trình tự ngược lại Các dịch vụ an toàn. Đây là công cụ đảm bảo an toàn của hệ thống xử lý thông tin và truyền thông tin trong tổ chức. Chúng được thiết lập để chống lại các tấn công phá hoại. Có thể dùng một hay nhiều cơ chế an toàn để cung cấp dịch vụ. Thông thường người ta cần phải tạo ra các liên kết với các tài liệu vật lý như có chữ ký, ngày tháng, bảo vệ cần thiết chống khám phá, sửa bậy, phá hoại, được công chứng, chứng kiến, được ghi nhận hoặc có bản quyền. Các cơ chế an toàn Từ các công việc thực tế để chống lại các phá hoại an ninh, người ta đã hệ thống và sắp xếp lại tạo thành các cơ chế an ninh khác nhau. ây là cơ chế được thiết kế để phát hiện, bảo vệ hoặc khôi phục do tấn công phá hoại. Không có cơ chế đơn lẻ nào đáp ứng được mọi chức năng yêu cầu của công tác an ninh. Tuy nhiên có một thành phần đặc biệt nằm trong mọi cơ chế an toàn đó là kỹ thuật mã hoá. Do đó chúng ta sẽ dành một thời lượng nhất định tập trung vào lý thuyết mã. Tấn công phá hoại an ninh Ta xác định rõ thế nào là các hành động tấn công phá họai an ninh. ó là mọi hành động chống lại sự an toàn thông tin của các tổ chức. An toàn thông tin là bàn về bằng cách nào chống lại tấn công vào hệ thống thông tin hoặc phát hiện ra chúng. Trên thực tế có rất nhiều cách và nhiều kiểu tấn công khác nhau. Thường thuật ngữ đe doạ và tấn công được dùng như nhau. Cần tập trung chống một số kiểu tấn công chính thụ động và chủ động. Mô hình an toàn mạng Kiến trúc an toàn của hệ thống truyền thông mở OSI. ể giúp cho việc hoạch định chính sách và xây dựng hệ thống an ninh tốt. Bộ phận chuẩn hóa tiêu chuẩn của tổ chức truyền thông quốc tế International Telecommunication Union đã nghiên cứu và đề ra Kiến trúc an ninh X800 dành cho hệ thống trao đổi thông tin mở OSI. Trong đó định nghĩa một cách hệ thống phương pháp xác định và cung cấp các yêu cầu an cung cấp cho chúng ta một cách nhìn tổng quát, hữu ích về các khái niệm mà chúng ta nghiên cứu. Trước hết nói về dich vụ an toàn, X800 định nghĩa đây là dịch vụ cung cấp cho tầng giao thức của các hệ thống mở trao đổi thông tin, mà đảm bảo an toàn thông tin cần thiết cho hệ thống và cho việc truyền dữ liệu. Trong tài liệu các thuật ngữ chuẩn trên Internet RFC 2828 đã nêu định nghĩa cụ thể hơn dich vụ an toàn là dịch vụ trao đổi và xử lý cung cấp cho hệ thống việc bảo vệ đặc biệt cho các thông tin liệu X800 đưa ra định nghĩa dịch vụ theo 5 loại chính - Xác thực tin tưởng là thực thể trao đổi đúng là cái đã tuyên bố. Người đang trao đổi xưng tên với mình đúng là anh ta, không cho phép người khác mạo danh. - Quyền truy cập ngăn cấm việc sử dụng nguồn thông tin không đúng vai trò. Mỗi đối tượng trong hệ thống được cung cấp các quyền hạn nhất định và chỉ được hành động trong khuôn khổ các quyền hạn đó. - Bảo mật dữ liệu bảo vệ dữ liệu không bị khám phá bởi người không có quyền. Chẳng hạn như dùng các ký hiệu khác để thay thế các ký hiệu trong bản tin, mà chỉ người có bản quyền mới có thể khôi phục nguyên bản của nó. - Toàn vẹn dữ liệu tin tưởng là dữ liệu được gửi từ người có quyền. Nếu có thay đổi như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách kiểm tra nhận biết là có các hiện tượng đó đã xảy ra. - Không từ chối chống lại việc chối bỏ của một trong các bên tham gia trao đổi. Người gửi cũng không trối bỏ là mình đã gửi thông tin với nội dung như vậy và người nhận không thể nói dối là tôi chưa nhận được thông tin đó. iều này là rất cần thiết trong việc trao đổi, thỏa thuận thông tin hàng ngày. Cơ chế an toàn được định nghĩa trong X800 như sau - Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng vận chuyển nào đó mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi có phép, đệm truyền, kiểm soát định hướng, công chứng. - Cơ chế an toàn phổ dụng không chỉ rõ được dùng cho giao thức trên tầng nào hoặc dịch vụ an ninh cụ thể nào chức năng tin cậy cho một tiêu chuẩn nào đó, nhãn an toàn chứng tỏ đối tượng có tính chất nhất định, phát hiện sự kiện, vết theo dõi an toàn, khôi phục an toàn. Mô hình an toàn mạng tổng quát Sử dụng mô hình trên đòi hỏi chúng ta phải thiết kế thuật toán phù hợp cho việc truyền an toàn. Phát sinh các thông tin mật khoá được sử dụng bởi các thuật toán. Phát triển các phương pháp phân phối và chia sẻ các thông tin mật. đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch vụ an toàn. Mô hình truy cập mạng an toàn Sử dụng mô hình trên đòi hỏi chúng ta phải Lựa chọn hàm canh cổng phù hợp cho người sử dụng có danh tính. Cài đặt kiểm soát quyền truy cập để tin tưởng rằng chỉ có người có quyền mới truy cập được thông tin đích hoặc nguồn. Các hệ thống máy tính tin cậy có thể dùng mô hình này. Bảo mật thông tin trong hệ cơ sở dữ liệu Giới thiệu chung Các hệ cơ sở dữ liệu CSDL ngày nay như Oracle, SQL/Server, DB2/Informix đều có sẵn các công cụ bảo vệ tiêu chuẩn như hệ thống định danh và kiểm soát truy xuất. Tuy nhiên, các biện pháp bảo vệ này hầu như không có tác dụng trước các tấn công từ bên trong. ể bảo vệ thông tin khỏi mối đe dọa này, người ta đưa ra hai giải pháp. Giải pháp đơn giản nhất bảo vệ dữ liệu trong CSDL ở mức độ tập tin, chống lại sự truy cập trái phép vào các tập tin CSDL bằng hình thức mã hóa. Tuy nhiên, giải pháp này không cung cấp mức độ bảo mật truy cập đến CSDL ở mức độ bảng, cột và dòng. Một điểm yếu nữa của giải pháp này là bất cứ ai với quyền truy xuất CSDL đều có thể truy cập vào tất cả dữ liệu trong CSDL cũng có nghĩa là cho phép các đối tượng với quyền quản trị truy cập tất cả các dữ liệu nhạy cảm. Giải pháp thứ hai, giải quyết vấn đề mã hóa ở mức ứng dụng. Giải pháp này xử lý mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL. Những vấn đề về quản lý khóa và quyền truy cập được hỗ trợ bởi ứng dụng. Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi ứng dụng. Giải pháp này giải quyết được vấn đề phân tách quyền an toàn và hỗ trợ các chính sách an toàn dựa trên vai trò. Một số mô hình bảo mật cơ sở dữ liệu Để đáp ứng những yêu cầu về bảo mật cho các hệ thống CSDL hiện tại và sau này người ta đưa ra 2 mô hình bảo mật CSDL thông thường sau đây Xây dựng tầng CSDL trung gian Một CSDL trung gian được xây dựng giữa ứng dụng và CSDL gốc. CSDL trung gian này có vai trò mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, đồng thời giải mã dữ liệu trước khi cung cấp cho ứng dụng. CSDL trung gian đồng thời cung cấp thêm các chức năng quản lý khóa, xác thực người dùng và cấp phép truy cập. Giải pháp này cho phép tạo thêm nhiều chức năng về bảo mật cho CSDL. Tuy nhiên, mô hình CSDL trung gian đòi hỏi xây dựng một ứng dụng CSDL tái tạo tất cả các chức năng của CSDL gốc. Sử dụng cơ chế sẵn có trong CSDL Mô hình này giải quyết các vấn đề mã hóa cột dựa trên các cơ chế sau a. Các hàm Stored Procedure trong CSDL cho chức năng mã hóa và giải mã b. Sử dụng cơ chế View trong CSDL tạo các bảng ảo, thay thế các bảng thật đã được mã hóa. c. Cơ chế “instead of” trigger được sử dụng nhằm tự động hóa quá trình mã hóa từ View đến bảng gốc. Trong mô hình này, dữ liệu trong các bảng gốc sẽ được mã hóa, tên của bảng gốc được thay đổi. Một bảng ảo được tạo ra mang tên của bảng gốc, ứng dụng sẽ truy cập đến bảng ảo này. Truy xuất dữ liệu trong mô hình này có thể được tóm tắt như sau Các truy xuất dữ liệu đến bảng gốc sẽ được thay thế bằng truy xuất đến bảng ảo. Bảng ảo được tạo ra để mô phỏng dữ liệu trong bảng gốc. Khi thực thi lệnh “select”, dữ liệu sẽ được giải mã cho bảng ảo từ bảng gốc đã được mã hóa. Khi thực thi lệnh “Insert, Update”, “instead of” trigger sẽ được thi hành và mã hóa dữ liệu xuống bảng gốc. Quản lý phân quyền truy cập đến các cột sẽ được quản lý ở các bảng ảo. Ngoài các quyền cơ bản do CSDL cung cấp, hai quyền truy cập mới được định nghĩa 1. Người sử dụng chỉ được quyền đọc dữ liệu ở dạng mã hóa. Quyền này phù hợp với những đối tượng cần quản lý CSDL mà không cần đọc nội dung dữ liệu. 2. Người sử dụng được quyền đọc dữ liệu ở dạng giải mã. Sơ lược kiến trúc của 1 hệ bảo mật CSDL Triggers các trigger được sử dụng để lấy dữ liệu đến từ các câu lệnh INSERT, UPDATE để mã hóa. Views các view được sử dụng để lấy dữ liệu đến từ các câu lệnh SELECT để giải mã. Extended Stored Procedures được gọi từ các Trigger hoặc View dùng để kích hoạt các dịch vụ được cung cấp bởi Modulo DBPEM từ trong môi trường của hệ quản tri CSDL. DBPEM Database Policy Enforcing Modulo cung cấp các dịch vụ mã hóa/giải mã dữ liệu gửi đến từ các Extended Stored Procedures và thực hiện việc kiểm tra quyền truy xuất của người dùng dựa trên các chính sách bảo mật được lưu trữ trong CSDL về quyền bảo mật. Security Database lưu trữ các chính sách bảo mật và các khóa giải mã. Xu hướng ngày nay thường là lưu trữ CSDL về bảo mật này trong Active Directory một CSDL dạng thư mục để lưu trữ tất cả thông tin về hệ thống mạng. Security Services chủ yếu thực hiện việc bảo vệ các khóa giải mã được lưu trong CSDL bảo mật. Management Console dùng để cập nhật thông tin lưu trong CSDL bảo mật chủ yếu là soạn thảo các chính sách bảo mật và thực hiện thao tác bảo vệ một trường nào đó trong CSDL để đảm bảo tối đa tính bảo mật, thông tin được trao đổi. Người đăng dathbz Time 2020-08-04 143325 Sự phát triển của các trang thương mại điện tử kéo theo nhiều thách thức về bảo mật, kìm hãm sự phát triển doanh nghiệp. Vì vậy, hãy tìm hiểu bài viết sau để hạn chế các rủi ro không đáng có!3 Phương pháp nâng cao độ bảo mật của Website thương mại điện tửDù là một thương hiệu lớn hay nhỏ, một khi đã gia nhập vào thị trường thương mại điện tử thì đều có nguy cơ bị tấn công bởi tin tặc và phần mềm độc hại,… Website thiếu bảo mật sẽ đánh mất lòng tin của khách hàng và ảnh hưởng nghiêm trọng đến danh tiếng của thương đây, CHILI sẽ mách cho bạn ba cách đơn giản để nâng cao mức độ bảo mật cho Website thương mại điện tử và yên tâm đẩy mạnh doanh số Thực trạng vấn đề bảo mật của Website thương mại tử hiện nayTấn công mạng luôn là cơn ác mộng đối với các Website thương mại điện tử. Vì không trực tiếp, thì cũng gián tiếp ảnh hưởng đến uy tín, doanh thu của doanh nghiệp. Bên dưới đây là một số hình thức đánh cắp dữ liệu phổ lận thanh toán trên Website thương mại điện tửĐây là vấn đề “đau đầu” của các doanh nghiệp khi đã xuất hiện từ khi thương mại điện tử ra đời. Hình thức này là kẻ gian lợi dụng lỗ hổng cổng thanh toán, nhằm thực hiện những giao dịch ảo, gây ra thiệt hại to lớn về doanh thu cho doanh thức PhishingĐây là hình thức rủi ro phổ biến trong việc bảo mật Website thương mại điện tử. Hacker sẽ tạo Website giả, tương tự như Website của bạn. Mục đích là làm cho khách hàng nhầm lẫn và nhập các thông tin quan trọng. Hoặc là chúng gửi Email, tin nhắn nhằm chiếm được lòng tin của khách hàng. Từ đó, Hacker sẽ đánh họ để lấy cắp thông tin nhạy cảm như thẻ tín dụng, mật khẩu,…Chương trình thu thập dữ liệu từ Website BotHacker thu thập dữ liệu thông qua lỗ hổng hệ thống sẽ thu thập dữ liệu, thông tin quan trọng từ Website của bạn, lợi dụng để làm lợi thế cạnh tranh. Một số thông tin bị đánh cắp như Mặt hàng đang bán chạy, số lượng hàng bán, số lượng hàng tồn,… Những thông tin này sẽ ảnh hưởng gián tiếp đến doanh thu Website thương mại điện tử của bạn, nếu kẻ gian biết tận đặt bảo mật Website bằng PluginBạn có biết các lỗ hổng bảo mật liên quan đến Plugin được ghi nhận trên WordPress lên đến 52%? Vì vậy, Plugin là thứ giúp cho Website của bạn nổi bật so với các chủ sở hữu Website thương mại điện tử trên cùng nền tảng dụng Plugin giúp hỗ trợ bảo mật WebsitePlugin là một công cụ hỗ trợ tính năng cho sự phát triển của Website cài đặt với WordPress. Bạn có thể tùy chỉnh trang Web theo chính xác những gì bạn mong muốn với Plugin. Các tùy chỉnh sẽ giúp Website của bạn nổi trội hơn so với các trang thương mại điện tử khác của đối thế nữa, Plugin còn giúp bạn trong việc bảo mật Website khỏi tin tặc và các phần mềm độc hại. Không ai ngoài bạn có thể truy cập vào thông tin, dữ liệu trên Website của bạn nếu bạn đã cài đặt Plugin bảo mật. Khi có những mã hóa bất thường, nghi ngờ do những kẻ xấu xâm nhập nhằm phá hoại Website sẽ được Plugin phát hiện đặc điểm của một Plugin bảo mật tốtPhát tín hiệu cảnh báo ngay sau khi phát hiện có điều bất thườngLoại bỏ Bot trước khi chúng xuất xuyên quét các phần mềm độc hại, nhằm phát hiện ra các mối đe dọa tiềm tàngTheo dõi các hoạt động trên Website của bạn thông qua tường lửaViệc tìm kiếm một Plugin tốt cho ngân sách hạn chế không phải quá khó, vì đa số các Plugin bảo mật đều miễn phí. Hãy tìm hiểu thêm và lựa chọn cho trang thương mại điện tử của bạn một Plugin phù hợp dụng cổng thanh toán an toànSử dụng cổng thanh toán an toàn giúp tạo nên uy tín doanh đặc biệt hấp dẫn với các cổng thanh toán trên Website thương mại điện tử. Vì nơi này chứa các thông tin giao dịch của người dùng, đặc biệt là thông tin thẻ tín cấp cho khách hàng cổng thanh toán an toàn giúp cải thiện doanh số lẫn mức độ tương tác. Hãy làm cho khách hàng cảm thấy an tâm khi mua sắm trên trang thương mại điện tử của bạn. Việc này giúp nâng cao trải nghiệm của họ cũng như uy tín doanh nghiệp. Nếu khách hàng cảm thấy thông tin cá nhân không được bảo mật tốt, rất có thể bạn sẽ mất đi khách hàng trung sử dụng các trang thanh toán được tối ưu hóa, tỷ lệ chuyển đổi sẽ tăng lên. Khách hàng sẽ được mã hóa thông tin thẻ tín dụng trên Website thông qua cổng thanh toán. Bởi vì sự an toàn mà Website bạn mang lại sẽ giúp khách hàng cảm thấy an tâm khi mua sắm. Không một ai muốn bị lộ thông tin, đặc biệt là các thông tin liên quan đến việc thanh chọn một cổng thanh toán thuận tiện cho khách hàng, cũng như các mục tiêu tiếp thị mà doanh nghiệp bạn hướng đến. Cân nhắc cải thiện các phương thức thanh toán được sử dụng nhiều nhất nhằm nâng cao trải nghiệm khách dụng HTTPSHTTPS là tiêu chuẩn phải có của các Website thương mại điện với các trang thương mại điện tử, HTTPS là tiêu chuẩn bắt buộc phải có. Đây là giao thức giúp bảo mật các thông tin, dữ liệu trên Website giữa Client và dụng HTTPS để đảm bảo tính bảo mật và quyền riêng tư của khách hàng. Việc này nhằm bảo vệ khách hàng khi họ nhập các thông tin trên Website của có những lợi ích đối với trang thương mại điện tử như sauTăng sự tin tưởng của khách hàng, thông qua khóa bảo mật trên trang WebWebsite an toàn và thân thiện với người dùng, điều này có lợi cho SEOKhông bị các trình duyệt duyệt Web chặn vì bảo mật kémBạn cần có chứng chỉ SSL trước khi sử dụng HTTPS. URL của Website bạn sẽ hiển thị cho khách hàng thấy đây là kết nối an toàn sau khi cài đặt xong. Kết luậnBảo vệ khách hàng và dữ liệu là ưu tiên hàng đầu để có một trang Web thương mại điện tử thành công. Khi khách hàng cảm thấy an toàn khi sử dụng Website của bạn sẽ giúp nâng cao uy tín doanh nghiệp. Đồng thời, việc này cũng giúp tăng chuyển đổi và doanh số. Tăng cường bảo mật cho Website thương mại điện tử của bạn là điều vô cùng cần thiết. Chính vì vậy, hãy triển khai các phương pháp bảo mật từ hôm nay bạn nhé! Nội dung Text Bài giảng Thương mại điện tử - Chương 5 Bảo mật và an ninh thương mại điện tử THƯƠNG MẠI ĐIỆN TỬ BẢO MẬT VÀ AN NINH TMĐT 1 Những nguy cơ đe doạ an ninh TMĐT 2 Vấn đề bảo mật trong Thương mại điện tử 3 Giải pháp bảo vệ an ninh TMĐT Những nguy cơ đe doạ an ninh TMĐT  Hackers và Crackers  Hackers thuật ngữ để chỉ người lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính.  Crackers là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các chương trình.  Gian lận thẻ tín dụng  Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra như thẻ tín dụng bị mất, bị đánh cắp, các thông tin về số thẻ, mã PIN, các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp.  Trong TMĐT các hành vi gian lận phức tạp hơn như bị đánh cắp thông tin liên quan đến thẻ hoặc thông tin giao dịch. Những nguy cơ đe doạ an ninh TMĐT  Lừa đảo  Lừa đảo trong TMĐT là việc hackers sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện hành động phi pháp.  Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc làm chệch hướng các liên kết web đến một địa chỉ web giả mạo. Những nguy cơ đe doạ an ninh TMĐT  Các loại tấn công trên mạng  Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ thống giỏi thực hiện.  Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy cảm.  Tấn công làm từ chối phục vụ Denial-of-service -DoS attack là sử dụng phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được. Những nguy cơ đe doạ an ninh TMĐT  Các loại tấn công trên mạng  Phân tán cuộc tấn công làm từ chối phục vụ Distributed denial of service DDoS attack là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu.  Spam thư rác mỗi ngày có thể nhận vài chục, đến vài trăm thư rác  Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…  Sâu máy tính worms sâu máy tính khác với virus ở chỗ sâu không thâm nhập vào file mà thâm nhập vào hệ thống. Những nguy cơ đe doạ an ninh TMĐT Tấn công DDoS Vấn đề bảo mật đặt ra trong TMĐT  Từ góc độ người sử dụng  Làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp?  Làm sao biết được trang web này không chứa đựng những nội dung hay mã chương trình nguy hiểm?  Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ 3 Vấn đề bảo mật đặt ra trong TMĐT  Từ góc độ doanh nghiệp  Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web?  Làm sao biết được làm gián đoạn hoạt động của server.  Từ cả hai phía  Làm sao biết được không bị nghe trộm trên mạng?  Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi? Một số khái niệm về an toàn bảo mật  Quyền được phép Authorization Quá trình đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng  Xác thực Authentication Quá trình xác thực một thực thể xem họ khai báo với cơ quan xác thực họ là ai.  Sự riêng tư Confidentiality/privacy là bảo vệ thông tin mua bán của người tiêu dùng  Tính toàn vẹn Integrity Khả năng bảo vệ dữ liệu không bị thay đổi  Không thoái thác Nonrepudiation Khả năng không thể từ chối các giao dịch đã thực hiện. Giải pháp bảo vệ an ninh TMĐT 1. Kỹ thuật mã hóa thông tin 2. Chữ ký điện tử 3. Chứng thực điện tử 4. Bức tường lửa Cơ chế mã hóa thông tin  Mã hóa là quá trình trộn văn bản với khóa key tạo thành văn bản không thể đọc được trên mạng  Khi nhận được, người ta dùng khóa giải mã thành bản gốc  Mã hóa và giải mã gồm 4 phần cơ bản 1. Văn bản nhập vào – Plaintext 2. Thuật toán mã hóa – Encryption 3. Văn bản đã mã – Ciphertext 4. Giải mã – Decryption Hai phương pháp mã hóa phổ biến 1. Phương pháp mã đối xứng khoá riêng Mã khoá bí mật private key Thông Đơn đặt TĐ đã TĐ đã Đơn đặt INTERNET điệp hàng được được hàng mã hoá mã hoá Người gửi Người nhận A B Hai phương pháp mã hóa phổ biến 2. Phương pháp mã không đối xứng khoá công khai Mã khoá công khai người nhận Mã khoá bí mật người nhận Thông Đơn đặt TĐ đã TĐ đã Đơn đặt INTERNET điệp hàng được được hàng mã hoá mã hoá Người gửi Người nhận A B Chữ ký điện tử  Chữ ký điện tử  Dữ liệu dưới dạng điện tử từ, chữ, số, ký hiệu, âm thanh,…  Gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu  Cókhả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký  Các cách tạo chữ ký điện tử  Vân tay  Sơ đồ võng mạc  Sơ đồ tĩnh mạch trong bàn tay  ADN  Các yếu tố sinh học khác  Công nghệ mã hóa,… Chữ ký điện tử  Chữ ký điện tử chữ ký số hoá là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc  Các tạo chữ ký số  Áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản tóm lược  Sau đó mã hóa bằng khoá bí mật private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi Chữ ký điện tử  Các bước mã hóa 1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả là bản tóm lược. 2. Sử dụng khóa bí mật của người gửi để mã hóa bản tóm lược ở bước 1; kết quả thu được gọi là chữ ký số của thông điệp ban đầu. 3. Gộp chữ ký số vào thông điệp ban đầu, công việc này gọi là “ký nhận” vào thông điệp. Mọi sự thay đổi sẽ bị phát hiện trong giai đoạn kiểm tra. Chữ ký điện tử Thông điệp dữ liệu Hàm băm Khóa bí mật Bản tóm lược Mã hóa Chữ ký số Gắn với thông điệp dữ liệu Thông điệp dữ liệu được ký số Tạo chữ ký điện tử Chữ ký điện tử  Các bước kiểm tra 1. Dùng khoá công khai public key của người gửi để giải mã chữ ký số của thông điệp. 2. Dùng giải thuật băm thông điệp đính kèm 3. So sánh kết quả thu được ở bước 1 và 2,nếu trùng nhau kết luận thông điệp này không bị thay đổi trong quá trình truyền và thông điệp này là của người gửi. Chữ ký điện tử Thông điệp dữ liệu được ký số Tách Khóa công khai Giải mã Chữ ký số Thông điệp dữ liệu Hàm băm Bản Bản Giải mã được? tóm lược tóm lược Giống nhau? Nội dung thông điệp tòan vẹn Không đúng người gửi Nội dung thông điệp bị thay đổi Ngày đăng 23/08/2014, 0652 BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ Thiết lập một hệ thống thương mại điện tử sao cho dễ truy cập và an toàn là công việc nghiêm túc, nhưng ngày một đơn giản hơn. Bất kỳ CIO giám đốc phụ trách thông tin nào khi bắt tay triển khai thương mại điện tử TMĐT - electronic commerce thông qua Internet cũng đều phải đối mặt với một nghịch lý vừa phải đảm bảo cho hệ thống thực hiện được các giao dịch, lại vừa phải bảo vệ nó không bị phá hoại bởi chính những người truy cập. Mặc dù không thiếu công cụ làm được việc này - chẳng hạn bức tường lửa firewall - BTL để bảo vệ, hay các kênh truy cập riêng tunnel để đối tác đăng nhập vào một cách an toàn - nhưng thực hiện, cấu hình, quản lý chúng lại là nhiệm vụ nặng nhọc đối với nhiều đơn vị. Từ khi có những loại BTL đặc hiệu, hay tổ hợp bức tường lửa - tunnel được cấu thành từ nhiều công cụ khác nhau thường cũng từ nhiều nhà sản xuất khác nhau, công việc phần nào nhẹ nhàng hơn. Mặc dù hầu hết các sản phẩm hiện nay đều có giao diện người dùng đồ họa GUI cùng nhiều tính năng hữu dụng khác, song các thách thức vẫn còn rất lớn. BTL đóng vai trò rất quan trọng trong các dự án TMĐT - từ việc giám sát Web site cho đến bảo vệ các hệ thống xử lý lệnh. Trong khi đó, tunnel giúp các tổ chức có thể tạo ra mạng riêng ảo virtual private network - MRA để kết nối người mua, nhà cung cấp và đối tác. Tunnel dựa trên cơ sở các gói giao thức Internet được mã hóa, cung cấp mức độ bảo mật cao cho các giao tiếp kinh doanh bí mật. Mặc dù BTL và tunnel có vai trò ngày càng cao trong bảo mật TMĐT, nhiều chuyên gia vẫn còn chưa quen với những khái niệm này. Tự trau dồi kiến thức và thông qua kinh nghiệm hàng ngày sẽ giúp CIO và đội ngũ các nhà quản lý trở nên tự tin hơn khi làm việc với những công cụ bảo mật sống còn đó. "TMĐT là một thế giới bảo mật mới. Các CIO và nhà quản lý, thông qua học tập và đào tạo, phải theo kịp những tiến bộ trong vấn đề này. Nếu không, họ sẽ phải trả giá", quan chức cao cấp thuộc một công ty phần mềm TMĐT phát biểu. Nhiều người cũng đồng ý như vậy. "Tôi cho rằng đa số các CIO đều bị tụt hậu về kiến thức trong vấn đề này. Công nghệ thay đổi nhanh đến chóng mặt suốt một vài năm qua khiến ngay cả các chuyên gia cũng phải trầy trật mới theo kịp." Mặc dù có nhiều tranh luận xung quanh việc học hỏi công nghệ mới, đa số chuyên gia bảo mật cho rằng mục tiêu bảo mật chặt chẽ có thể đạt được chẳng mấy khó khăn. Sau đây là một số đề xuất của họ trong vấn đề bảo mật TMĐT. Vạch rõ mục tiêu bảo mật Nhiều CIO có vốn hiểu biết rất ít về bảo mật nói chung khi họ bắt đầu một dự án TMĐT. Một chuyên gia trong lĩnh vực này đã từng khuyên "trước tiên, bạn phải vạch rõ mục tiêu muốn đạt được. Bảo mật là bộ phận tích hợp của dự án, chứ không phải bạn muốn nghĩ đến nó lúc nào tùy ý". CIO và các nhà quản lý phải phân tích những yêu cầu đặt ra trong bảo mật ở từng bộ phận của dự án TMĐT, tuyệt đối tránh kiểu đánh giá toàn bộ hệ thống sau khi đã triển khai xong. Nếu đợi cho đến khi hệ thống được cài đặt xong, bạn chắc chắn sẽ hối tiếc về một số việc không kịp làm đối với bảo mật. Các chuyên gia cũng lưu ý, bảo mật TMĐT ở đây bao gồm cả hai vấn đề là công nghệ và vận hành. "Bạn có thể có một chiếc khóa rất an toàn ở trước cửa nhà, nhưng nó cũng sẽ không giúp được gì nếu bạn sử dụng nó không hợp lý. Cũng như vậy, ngay cả công nghệ tốt nhất trên thế giới cũng không thể bảo vệ cho hệ thống TMĐT của bạn nếu nó không được thực hiện và quản lý một cách đúng đắn", đó là lời một chuyên gia trong ngành. Họ khuyên bạn nên tìm sự trợ giúp từ bên ngoài công ty, một nhà tích hợp hệ thống bảo mật dày dạn kinh nghiệm chẳng hạn. "Đối với bảo mật, bạn phải quan tâm đến các giao thức, các thiết bị viễn thông và chuyển tải, Có rất nhiều thứ cần được lưu ý, và không thể hoàn toàn chỉ trông chờ vào CIO cùng đội ngũ của ông ta để thực hiện hết những việc này." Vấn đề bảo mật xoay quanh việc xem xét kỹ các mối quan hệ của một việc làm trước khi ra quyết định. Giám đốc một công ty chuyên cung cấp các công cụ đánh giá chất lượng bảo mật của mạng lưu ý rằng quản lý các dự án TMĐT thường cần đến các nhà hệ thống thông tin để cân bằng giữa những yêu cầu trong công việc của một tổ chức với đòi hỏi của nguyên tắc bảo mật. "Mở cửa cho công nghệ âm thanh và hình ảnh cũng có nghĩa là bạn nới rộng đường cho các tay hacker thâm nhập vào hệ thống. Điều quan trọng là bạn phải đảm bảo có đủ sự an toàn cần thiết trước khi mở ra một dịch vụ mới." BTL ngăn chặn kẻ xấu Trong kho chứa vũ khí bảo mật, BTL là một trong những công cụ quan trọng nhất. Nó kết hợp phần cứng và phần mềm, là hàng rào giữa tài nguyên Internet của công ty với thế giới bên ngoài. Công nghệ có hai hình thức cơ bản phần mềm cài đặt vào server Internet, hoặc một "ngăn" độc lập trước server Internet và bảo vệ cho mạng nội bộ trước thế giới bên ngoài. Theo các chuyên gia, một BTL chỉ gồm phần mềm cũng đủ đảm bảo an toàn cho dự án TMĐT cỡ nhỏ, kiểu một Web site hiện đại, còn loại "ngăn" thì có thể bảo toàn dữ liệu cho qui mô xí nghiệp. BTL tiêu biểu gồm hai thành phần chính cổng và van. Cổng cho phép dữ liệu lưu thông giữa hai mạng thông tin, còn van thì ngăn các gói dữ liệu ra vào không đúng cổng. Nói cách khác, bất kỳ gói dữ liệu nào không có địa chỉ nguồn hay địa chỉ đến thì đều bị khóa lại ở BTL. Van cũng có thể được thiết lập để khóa lại trước những gói dữ liệu đặc biệt nào đó, chẳng hạn dữ liệu của một tay hacker đang cố xâm nhập vào hệ thống. Cổng thường do máy tính đảm nhiệm, còn van thì có thể là một router thông minh đặt giữa cổng và mạng bên ngoài. Một BTL đơn lẻ không đủ đáp ứng cho những ứng dụng TMĐT quan trọng. "Bạn thực sự cần thiết lập một vùng có ranh giới rõ ràng với ít nhất là 2 BTL và/hoặc các router đóng vai trò tương tự," một chuyên gia khuyến cáo. Ông này cũng lưu ý là bằng cách nhân đôi khả năng bảo vệ của BTL, có thể thông qua sử dụng sản phẩm của hai nhà sản xuất khác nhau, sẽ tạo ra một khoảng trống an toàn và giảm đáng kể cơ hội cho hacker tìm ra cách truy cập vào hệ thống. Tunnel hỗ trợ người tốt Trong khi các MRA rất hữu dụng trong việc ngăn chặn các tay hacker cũng như những người sử dụng không được phép, giá trị thực của công nghệ lại nằm ở khả năng kết nối mọi người lại với nhau. Ngoài việc là công cụ bảo mật, tunnel còn giúp các nhân viên, bất kể ở xa hay gần, có phương tiện rẻ tiền để kết nối với nhau. Các chuyên gia cũng cho biết thêm là phần lớn chi phí thiết lập tunnel là tính được trước và công ty chỉ phải trả rất ít nếu không muốn nói là hoàn toàn không phải trả chi phí hoạt động hàng tháng. Tìm ra được tỷ lệ pha trộn thích hợp giữa các sản phẩm phần cứng và phần mềm để đảm bảo cho một dự án TMĐT quả là thách thức rất lớn đối với bất kỳ CIO nào. Cho đến nay, lựa chọn duy nhất vẫn là kết hợp các sản phẩm và dịch vụ bảo mật từ nhiều nhà cung cấp khác nhau. Lý do là chưa có nhà cung cấp nào đủ sức đưa ra một giải pháp hoàn chỉnh cho các nhu cầu bảo mật của TMĐT. Thế nhưng các chuyên gia vẫn tin là tình hình sẽ nhanh chóng thay đổi. "Nhiều nhà sản xuất đã bắt đầu thực hiện gói chung các BTL cộng tác lại với nhau. Các công ty như Cisco hay Bay Networks đang gói chung phần cứng và phần mềm nhằm cung cấp các mức độ khác nhau về bảo mật, tùy theo yêu cầu của khách hàng," một chuyên gia cho biết. Phối hợp cả hai công cụ Các công ty dự kiến tổ chức TMĐT nên lập kế hoạch để tạo một MRA nhằm tìm kiếm BTL có sẵn các khả năng tunnel. "Có rất nhiều sản phẩm cho bạn chọn lựa. Một giải pháp cao cấp có thể tương tự như SunScreen của Sun Microsystems. Đây là một hỗn hợp phần cứng lẫn phần mềm cho phép nhiều tunnel đến các vị trí khác nhau trên Internet và cung cấp một đường dẫn an toàn, vững chắc đến đối tác kinh doanh của bạn." Cách tiếp cận khác rẻ tiền hơn, theo ý kiến chuyên gia trên, là chọn giải pháp chỉ sử dụng phần mềm. Eagle của Raptor Systems Inc. là một ví dụ về giải pháp kiểu này. Đây là cách dễ dàng và nhanh chóng thiết lập một tunnel thông qua GUI để kết nối với đối tác sử dụng cùng công nghệ. Các giải pháp bảo mật TMĐT tất-cả-trong-một cũng bắt đầu xuất hiện trên thị trường. Cụ thể, New Oak Communications mới giới thiệu NOC 4000 Extranet Access Switch, hỗn hợp gồm BTL, tunnel, mã hóa, xác nhận authentication, băng thông, bộ dẫn đường và quản lý tập trung - tất cả nằm trong một hộp truy cập Internet đơn lẻ. "Kiểu tích hợp này có thể là khởi đầu cho loại sản phẩm mới sắp xuất hiện trên thị trường bảo mật TMĐT," một chuyên gia cho biết. Mặc dù BTL và tunnel là những công cụ rất an toàn cho TMĐT, nhưng các tổ chức cũng nên cảnh giác với những mối đe dọa tiềm tàng và phải tìm ra khi chúng ẩn náu đâu đó. Có những hạn chế đối với kiểu bảo vệ theo bên ngoài do BTL cung cấp. BTL sẽ không thể ngăn chặn được những truy cập trái phép ngay từ các nhân viên trong công ty. Vì vậy, khi mở MRA cho các đối tác kinh doanh, cũng có nghĩa là bạn đặt tổ chức của mình vào nguy cơ thất thoát thông tin cao hơn. Để đối phó với những mối đe dọa về bảo mật MRA, người ta khuyên các nhà quản lý nên thường xuyên thực hiện thủ tục bảo mật như buộc người dùng phải luôn thay đổi password và quyền truy cập thông tin, thiết lập một hệ thống theo dõi bằng cách dùng những phần mềm chuyên dụng đặt ở cuối tunnel và giám sát những người đang cố truy cập đến MRA và địa chỉ mà người đó hướng tới khi họ đã vượt qua được BTL. "Việc xác định số lần BTL bị đe dọa đang ngày càng trở nên quan trọng. Nhiều công ty đã bị thất bại chỉ vì không biết họ đã nhiều lần bị tấn công. Họ sống trong sự bình an giả tạo cho tới khi những điều tồi tệ nhất xảy ra," một chuyên gia phát biểu. Đừng bao giờ thôi nghĩ đến bảo mật Trong tương lai, những người ủng hộ MRA có thể sẽ tự bảo vệ được mình trước những yếu kém về bảo mật của phía đối tác bằng cách đánh giá chỉ số an toàn. Bạn cần biết là các nhà tư vấn hay sản xuất sản phẩm bảo mật đã bắt đầu nghĩ đến giao công việc cơ bản cho một hệ thống đánh giá. Hệ thống này đòi hỏi các tổ chức phải chứng tỏ là họ đã theo đúng những nguyên tắc cần thiết để bảo vệ cho hệ thống máy tính khỏi những nguy cơ xâm phạm từ bên trong cũng như bên ngoài. Hệ thống chưa thể ra đời trong vài năm tới đây nhưng một cấu trúc như vậy sẽ giúp các CIO đỡ lo lắng hơn và làm cho công nghệ MRA trở nên hấp dẫn hơn. Đồng thời, các CIO phải tiếp tục chú trọng tới bản chất luôn thay đổi của TMĐT. Thật là sai lầm nếu cứ tin là "đã làm một lần, sẽ còn mãi mãi". Điều này chỉ đúng trong môi trường tĩnh. Còn ở thế giới động như TMĐT, đánh giá lại và liên tục nâng cấp là một quá trình không có điểm dừng. . BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ Thiết lập một hệ thống thương mại điện tử sao cho dễ truy cập và an toàn là công việc nghiêm túc,. số chuyên gia bảo mật cho rằng mục tiêu bảo mật chặt chẽ có thể đạt được chẳng mấy khó khăn. Sau đây là một số đề xuất của họ trong vấn đề bảo mật TMĐT. Vạch rõ mục tiêu bảo mật Nhiều CIO. khai thương mại điện tử TMĐT - electronic commerce thông qua Internet cũng đều phải đối mặt với một nghịch lý vừa phải đảm bảo cho hệ thống thực hiện được các giao dịch, lại vừa phải bảo - Xem thêm -Xem thêm bảo mật thương mại điện tử, bảo mật thương mại điện tử,

bảo mật trong thương mại điện tử là gì