- Trang Chủ
- Thương mại điện tử
- Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp
Xem mẫu
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Chương 3
Quản trị an toàn thương mại điện tử
trong doanh nghiệp
BỘ MÔN THƯƠNG MẠI ĐIỆN TỬ
TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
Nội dung chương 3
3.1. Tổng quan quản trị an toàn TMĐT
◦ 3.1.1 Khái niệm an toàn thương mại điện tử
◦ 3.1.2. Các nguy cơ đe dọa an toàn thương mại điện tử
3.2. Mô hình đảm bảo an toàn và chiến lược an toàn
◦ 3.2.1. Mô hình đảm bảo an toàn TMĐT của doanh nghiệp
◦ 3.2.2. Chiến lược an toàn thương mại điện tử
3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
◦ 3.3.1. Chữ kí số
◦ 3.3.2. Mạng thương mại điện tử an toàn
◦ 3.3.3. Kiểm soát tổng thể
BG UD TMĐT TRONG DN@BMTMĐT_TMU 38
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
3.1. Tổng quan quản trị an toàn TMĐT
3.1.1 Khái niệm an toàn thương mại điện tử
◦ An toàn có nghĩa là được bảo vệ, không bị xâm hại. An toàn là chống lại, hoặc
bảo vệ khỏi tấn công, gây tổn hại. An toàn không chỉ gắn với bảo vệ con người,
mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin.
◦ An toàn thông tin: an toàn máy tính (computer security), an toàn mạng (internet
security), an toàn trình duyệt (browser security), an toàn dữ liệu (data security).
◦ An toàn TMĐT là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch,
an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối,
đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại
những tai hoạ, lỗi và sự tấn công từ bên ngoài.
An toàn TMĐT
• An toàn TMĐT là một lĩnh vực của ATTT, bao gồm: xác thực, cấp phép, kiểm tra
(giám sát), tin cậy, toàn vẹn, sẵn sàng và chống phủ định
• Tính xác thực (authentication): Khả năng nhận biết các đối tác tham gia giao dịch.
BG UD TMĐT TRONG DN@BMTMĐT_TMU 39
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
• Cấp phép/quyền (authorization): Xác định quyền truy cập các tài nguyên
của tổ chức: đọc, xem, nghe, sửa chữa, xóa…
• Kiểm tra (giám sát_auditing): Tập hợp thông tin về quá trình truy cập của
người sử dụng
Tam giác CIA về an toàn thông tin
Tam giác CIA (Confidenttiality, integrity,
availability) là tâm điểm của ATTT, và các
bộ phận này: Confidentiality, Integrity và
Availability được xem như là các thuộc
tính, đặc tính, mục tiêu, các khía cạnh cơ
bản, tiêu chi … của ATTT.
BG UD TMĐT TRONG DN@BMTMĐT_TMU 40
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Tam giác CIA mở rộng
Ngoài 3 yếu tố trên, những yếu tố
khác đã được đề xuất như: tính trách
nhiệm/xác thực (Accountability), tính
không thể chối cãi (Non –
Repudiation), và tính với sự phát
triển của hệ thống máy tính như hiện
nay, tính riêng tư (privacy) ngày càng
trở thành một nhân tố rất quan trọng.
Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho
các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm
(Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ
(Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi
(security design and implementation), quản lý an toàn (security management), và
đánh giá lại (Reassessment).
Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó
đề xuất 33 nguyên tắc
Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá kép):
confidentiality, possession, integrity, authenticity, availability, và utility.
BG UD TMĐT TRONG DN@BMTMĐT_TMU 41
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Theo ITU-T X.800, ANTT bao gồm ba khía cạnh: tấn công an toàn (security attack);
dịch vụ bảo mật (security service), và cơ chế an toàn (security mechanism).
Tấn công an toàn: hành động làm ảnh hưởng hoặc tổn thất ATTT, có thể được phân
loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks
Dịch vụ bảo mật: bảo vệ dữ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại:
xâm nhập trái phép, bảo đảm tính toàn vẹn, chống chối bỏ, Control/kiểm soát truy cập,
Tính sẵn sàng/Availability
Các cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa
đối xứng, Mã hóa khóa công khai, Quản lý chia; Hàm băm; Các mã xác thực thông điệp;
Chữ ký số; Các giao thức xác thực thực thể
Khái niệm Quản trị an toàn TMĐT
Xây dựng kế hoạch
Nhận biết các đe dọa
Thực thi và đánh giá các biện pháp đảm bảo an toàn TMĐT
BG UD TMĐT TRONG DN@BMTMĐT_TMU 42
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
3.1. Tổng quan quản trị an toàn TMĐT
3.1.2. Các nguy cơ đe dọa an toàn thương mại
điện tử
Tấn công vào tính bí mật C: nghe trộm, đọc trộm thông tin
BG UD TMĐT TRONG DN@BMTMĐT_TMU 43
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Tấn công vào tính sẵn sàng (A)
Tấn công vào tính toàn vẹn
BG UD TMĐT TRONG DN@BMTMĐT_TMU 44
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Tấn công vào tính xác thực chủ thể
Các đe dọa an toàn TMĐT của DN
Tấn công phi kỹ thuật
Không dựa vào công nghệ; Chủ yếu dựa vào sự nhẹ dạ, cả tin, sự kém hiểu biết, sự chủ
quan, sơ hở hoặc gây sức ép về tâm lý để tấn công, gây hại
Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vô
thưởng vô phạt, kẻ tấn công có thể làm tổn hại đến hệ thống mạng máy tính.
Tấn công kỹ thuật
Tận dụng những ưu việt lợi thế của công nghệ, trình độ chuyên môn để tấn công vào các hệ
thống
Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khi thực hiện các
giao dịch thương mại điện tử, đó là: Hệ thống của khách hàng, Máy chủ của doanh nghiệp và
Hệ thống truyền dẫn thông tin
BG UD TMĐT TRONG DN@BMTMĐT_TMU 45
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Một số dạng tấn công nguy hiểm nhất đối với an toàn thương mại điện tử của doanh
nghiệp bao gồm:
Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối
đe doạ khác nhau như các loại virus, worm, những “con ngựa thành Tơ-roa”, “bad
applets”.
Tin tặc (hacker) là người xâm nhập bất hợp pháp vào một website hay hệ thống công
nghệ thông tin mà họ có thể xác định rõ
Sự khước từ phục vụ (DoS – Denial of Service) Loại tấn công bằng cách gửi một số
lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị
quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể (hoặc
khó có thể) truy cập từ bên ngoài
Kẻ trộm trên mạng: Sử dụng các chương trình nghe trộm, theo dõi và đánh cắp các
thông tin trên mạng
Gian lận thẻ tín dụng
Sự tấn công từ bên trong doanh nghiệp: Những mối đe doạ bắt nguồn từ chính những
thành viên làm việc trong doanh nghiệp
3.2. Mô hình đảm bảo an toàn và chiến lược an toàn
3.2.1. Mô hình đảm bảo an toàn TMĐT của doanh nghiệp
Tiếp
cận
nhà
cung
cấp
giải
pháp
BG UD TMĐT TRONG DN@BMTMĐT_TMU 46
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
3.2. Mô hình đảm bảo an toàn và chiến lược an toàn
3.2.2. Chiến lược an toàn thương mại điện tử
Quản trị an toàn An toàn trong Các công nghệ
thương mại điện tử truyền thông TMĐT đảm bảo an toàn mạng
Tiếp
Nhận thức vấn đề Áp dụng các biện pháp Áp dụng các biện pháp
cận
Xây dựng kế hoạch đảm bảo an toàn trong đảm bảo an toàn mạng
nhà truyền thông TMĐT và các hệ thống TMĐT
Thực thi kế hoạch
quản
trị
BG UD TMĐT TRONG DN@BMTMĐT_TMU 47
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
3.2. Mô hình đảm bảo an toàn và chiến lược an toàn
3.2.2. Chiến lược an toàn thương mại điện tử
Các lỗi thường mắc phải trong quản trị an toàn TMĐT:
◦ Đánh giá thấp giá trị của tài sản thông tin. Rất ít tổ chức có được sự hiểu biết rõ ràng về
giá trị của tài sản thông tin mà mình có.
◦ Xác định các giới hạn an toàn ở phạm vi hẹp. Phần lớn tổ chức tập trung đến việc đảm
bảo an toàn thông tin các mạng nội bộ của mình, không quan tâm đầy đủ đến an toàn
trong các đối tác thuộc chuỗi cung ứng
◦ Quản trị an toàn mạng tính chất đối phó. Nhiều tổ chức thực hành quản trị an toàn theo
kiểu đối phó, chứ không theo cách thức chủ động phòng ngừa, tập trung vào giải quyết
các sự cố an toàn sau khi đã xẩy ra.
3.2. Mô hình đảm bảo an toàn và chiến lược an toàn
3.2.2. Chiến lược an toàn thương mại điện tử
Các lỗi thường mắc phải trong quản trị an toàn TMĐT:
◦ Áp dụng các quy trình quản trị đã lỗi thời. Nhiều tổ chức ít khi cập nhật
các quy trình đảm bảo an toàn thông tin cho phù hợp với yêu cầu thay
đổi, cũng như không thường xuyên bồi dưỡng tri thức và kỹ năng an toàn
thông tin của đội ngũ cán bộ nhân viên.
◦ Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông tin, coi an toàn
thông tin như là một vấn đề CNTT, không phải là vấn đề tổ chức.
BG UD TMĐT TRONG DN@BMTMĐT_TMU 48
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Một quá trình mang tính hệ thống để xác định các loại rủi ro có thể xảy ra
và xác định các biện pháp cần thực hiện sẽ giúp ngăn ngừa hay giảm nhẹ
các rủi ro
4 pha của quá trình quản trị an toàn TMĐT
Theo dõi/
Đánh giá Lên kế hoạch Thực hiện Kết luận
• Áp dụng các giải pháp an • Theo dõi, đánh giá tính hiệu
Đánh giá các rủi ro • Xác định các đe dọa nào
ninh phù hợp, đặc biệt chú quả của các giải pháp an
bằng các xác định có thể xảy ra, đe dọa nào là
ý các điểm đễ bị tổn ninh
các tài sản, các điểm dễ bị không
thương • Phát hiện các mối đe doạ
tổn thương của hệ thống • Xác định mức độ của các
• Tiếp cận Lợi ích-Chi phí mới
và những đe dọa đối với các biện pháp đối phó cho phù
trong lựa chọn giải pháp an • Cập nhật công nghệ bảo
điểm này hợp
ninh đảm an ninh hiện đại
• Bổ sung thêm danh mục
các hệ thống cần bảo vệ
3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
3.3.1. Chữ kí số
Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình
thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông
điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp
thuận của người đó đối với nội dung thông điệp dữ liệu được ký.
(Luật Giao dịch điện tử)
Chức năng của chữ ký điện tử
Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể;
Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;
Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký
Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong quá trình lưu
chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký
BG UD TMĐT TRONG DN@BMTMĐT_TMU 49
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
1. Tạo một thông điệp gốc để gửi đi
2. Sử dụng hàm băm (thuật toán máy tính)
để chuyển từ thông điệp gốc thành thông
điệp rút gọn.
3. Người gửi sử dụng khóa riêng để mã
hóa thông điệp số. Thông điệp rút gọn
sau khi được mã hóa gọi là chữ ký số
hay chữ ký điện tử. Không một ai ngoài
người gửi có thể tạo ra chữ ký điện tử vì
nó được tạo ra trên cơ sở khóa riêng
4. Người gửi mã hóa cả thông điệp gốc và
chữ ký số sử dụng khóa công cộng của
người nhận. Thông được sau khi được
mã hóa gọi là phong bì số hóa
5. Người gửi gửi phong bì số hóa cho
người nhận
6. Khi nhận được phong bì số hóa người nhận
sử dụng khóa riêng của mình để giải mã nội
dung của phong bì số hóa và nhận được một
bản sao của thông điệp gốc và chữ ký số của
người gửi
7. Người nhận sử dụng khóa chung của người
gửi để giải mã chữ ký số và nhận được một
bản sao của thông điệp rút gọn gốc (do người
gửi tạo ra, sẽ được sử dụng để đối chứng)
8. Người nhận sử dụng hàm băm để chuyển
thông điệp gốc thành thông điệp rút gọn như
ở bước 2 người gửi đã làm và tạo ra thông
điệp rút gọn mới
9. Người nhận so sánh thông điệp rút gọn mới
và bản copy của thông điệp rút gọn gốc nhận
được ở bước 7; Nếu hai thông điệp rút gọn
trùng nhau, có thể kết luận chữ ký điện tử là
xác thực và nội dung thông điệp gốc không bị
thay đổi sau khi ký
BG UD TMĐT TRONG DN@BMTMĐT_TMU 50
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Công nghệ chữ ký số
Mã hóa
Hạ tầng khóa công khai
Mã băm
Mã hóa hàm HASH (thuật toán băm)
Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua
hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra
Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả
E783A3AE2ACDD7DBA5E1FA0269CBC58D.
Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i")
kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là
160 bit) A766F44DDEA5CACC3323CE3E7D73AE82.
Kỹ thuật mã hoá bằng thuật toán băm sử dụng
thuật toán HASH để mã hoá thông điệp
BG UD TMĐT TRONG DN@BMTMĐT_TMU 51
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
3.3.2. Mạng thương mại điện tử an toàn
Secure Sockets Layer (SSL) and Transport Layer Security (TLS)
Hình thức bảo mật kênh phổ biến nhất là thông qua Lớp cổng bảo mật (SSL) và giao
thức Bảo mật tầng vận tải (TLS).
Khi người dùng nhận được tin nhắn từ máy chủ trên trang Web mà người dùng sẽ giao
tiếp thông qua một kênh an toàn, nghĩa là người dùng sẽ sử dụng SSL / TLS để thiết lập
một phiên giao dịch an toàn. (Thông báo rằng URL thay đổi từ HTTP thành HTTPS.).
Giao dịch an toàn là phiên máy chủ-khách hàng, trong đó URL của tài liệu được yêu
cầu, cùng với nội dung, nội dung của biểu mẫu và cookie được trao đổi, được mã hóa.
Ví dụ: số thẻ tín dụng của người dùng đã nhập vào biểu mẫu sẽ được mã hóa, thông
qua một loạt các lần bắt tay và liên lạc, trình duyệt và máy chủ thiết lập danh tính của
nhau bằng cách trao đổi chứng chỉ kỹ thuật số, quyết định hình thức mã hóa được chia
sẻ chung và sau đó tiến hành giao tiếp bằng cách sử dụng khóa phiên đã thỏa thuận.
Khóa phiên là một khóa mã hóa đối xứng duy nhất được chọn chỉ cho phiên bảo mật
duy nhất này. Sau khi sử dụng, nó đã biến mất vĩnh viễn (xem hình)
Các phiên giao dịch an toàn bằng SSL/TLS
BG UD TMĐT TRONG DN@BMTMĐT_TMU 52
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Secure Sockets Layer (SSL) and Transport Layer Security (TLS)
SSL / TLS cung cấp mã hóa dữ liệu, xác thực máy chủ, xác thực máy khách tùy chọn
và tính toàn vẹn của thông báo cho các kết nối TCP / IP. SSL / TLS giải quyết vấn đề
xác thực bằng cách cho phép người dùng xác minh danh tính của người dùng khác
hoặc danh tính của người phục vụ. Nó cũng bảo vệ tính toàn vẹn của các thông điệp
được trao đổi. Tuy nhiên, khi người bán nhận được thông tin tín dụng và đơn đặt hàng
được mã hóa, thông tin đó sẽ được lưu trữ chính xác ở định dạng không được mã hóa
trên máy chủ của người bán.
Mặc dù SSL / TLS cung cấp giao dịch an toàn giữa người bán và người tiêu dùng, nó
chỉ đảm bảo xác thực phía máy chủ. Xác thực máy khách là tùy chọn
Ngoài ra, SSL / TLS không thể cung cấp tính không thể chối cãi — người tiêu dùng có
thể đặt hàng hoặc tải xuống các sản phẩm thông tin, và sau đó yêu cầu giao dịch không
bao giờ xảy ra.
Gần đây, các trang mạng xã hội như Facebook và Twitter đã bắt đầu sử dụng SSL /TLS
để ngăn chặn việc chiếm đoạt tài khoản bằng cách sử dụng Firesheep qua mạng không
dây. Firesheep, một tiện ích bổ sung cho Firefox, có thể được tin tặc sử dụng để lấy các
cookie không được mã hóa được sử dụng để “ghi nhớ" một người dùng và cho phép tin
tặc đăng nhập ngay lập tức vào một trang web người sử dụng. SSL / TLS có thể ngăn
chặn một cuộc tấn công như vậy vì nó mã hóa cookie.
BG UD TMĐT TRONG DN@BMTMĐT_TMU 53
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Bức tường lửa và Mạng riêng ảo
Tường lửa là rào cản giữa mạng một tổ chức đáng tin cậy và Internet không đáng tin
cậy. Firewall được thiết kế để ngăn chặn trái phép truy cập vào và từ các mạng riêng,
chẳng hạn như mạng nội bộ.
VPN
Mạng riêng ảo (VPN) đề cập đến việc sử dụng Internet để truyền thông tin, nhưng theo
cách an toàn hơn. VPN hoạt động giống như một mạng riêng bằng cách sử dụng mã
hóa và các các tính năng bảo mật để bảo mật thông tin.
Ví dụ: VPN xác minh danh tính của bất kỳ ai sử dụng mạng. VPN có thể giảm chi phí
liên lạc đáng kể. Chi phí thấp hơn vì VPN thiết bị rẻ hơn các thông tin liên lạc khác các
giải pháp; đường dây thuê riêng không cần thiết để hỗ trợ truy cập từ xa; và một đường
truy cập duy nhất có thể được sử dụng để hỗ trợ nhiều mục đích. Để đảm bảo tính
chính xác, tính toàn vẹn và tính khả dụng của dữ liệu được truyền, VPN sử dụng giao
thức đường hầm. Với giao thức đường hầm, dữ liệu các gói tin được mã hóa lần đầu
tiên và sau đó được đóng gói thành các gói có thể được truyền qua Internet.
Cisco Systems, Inc. (cisco.com) cung cấp một số loại VPN
BG UD TMĐT TRONG DN@BMTMĐT_TMU 54
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp
3.3.3. Kiểm soát tổng thể
Kiểm soát tổng thể
Các loại kiểm soát tổng thể là kiểm soát vật lý, kiểm soát hành chính và các kiểm soát
khác.
Kiểm soát vật lý bảo vệ các cơ sở máy tính và tài nguyên, bao gồm cả khu vực thực
nơi cơ sở máy tính được đặt. Các kiểm soát cung cấp khả năng bảo vệ chống lại các
mối nguy hiểm tự nhiên, các cuộc tấn công nguy hiểm và một số lỗi do con người gây
ra.
Các biện pháp kiểm soát hành chính được thực hiện bằng cách hướng dẫn và bao
quát quản lý và ban hành các quy định thực hiện quy định sử dụng an toàn
BG UD TMĐT TRONG DN@BMTMĐT_TMU 55
- HỌ VÀ TÊN CHV: ............................. 7/29/2021
Câu hỏi
1) Phân tích các yêu cầu an toàn thương mại điện tử
2) Phân tích các đe dọa an toàn thương mại điện tử
3) Phân tích cơ chế tấn công an toàn thông tin
4) Các nguy cơ đe dọa an toàn thương mại điện tử.
5) Các giải pháp đảm bảo an toàn thương mại điện tử
6) Chính sách đảm bảo an toàn thông tin và an toàn thương mại điện tử cho doanh
nghiệp
BG UD TMĐT TRONG DN@BMTMĐT_TMU 56
nguon tai.lieu . vn