Xem mẫu
- AN TOÀN THƯƠNG MẠI ĐIỆN TỬ
AN
(Electronic Commerce Security)
Copyright@Bộ môn QTTN TMĐT
1
- NỘI DUNG CHÍNH
1. Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT
2. Các nguy cơ và các hình thức tấn công đe dọa an toàn
thương mại điện tử
3. Quản trị an toàn thương mại điện tử
4. Một số giải pháp đảm bảo an toàn TMĐT
5. Câu hỏi thảo luận và tài liệu tham khảo
copyright@Bộ môn QTTN TMĐT
2
- Đ/n an toàn TMĐT:
An toàn có nghĩa là được bảo vệ, không bị xâm h ại. An
toàn trong thương mại điện tử được hiểu là an toàn thông
tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho
các hệ thống (hệ thống máy chủ thương mại và các thiết bị
đầu cuối, đường truyền…) không bị xâm hại từ bên ngoài
hoặc có khả năng chống lại những tai hoạ, lỗi và sự tấn
công từ bên ngoài.
copyright@Bộ môn QTTN TMĐT
3
- Môi trường an toàn TMĐT
Copyright@Bộ môn QTTN TMĐT
4
- Những vấn đề căn bản an toàn TMĐT:
Về phía người dùng:
Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và
vận hành hay không?
Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các
đoạn mã nguy hiểm hay không?
Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website
tiết lộ cho bên thứ ba hay không?
Yêu cầu từ phía doanh nghiệp:
Người sử dụng có định xâm nhập vào máy chủ hay những trang web và
thay đổi các trang Web và nội dung trong website của công ty hay không:
Người sử dụng có làm làm gián đoạn hoạt động của máy chủ, làm những
người khác không truy cập được vào site của doanh nghiệp hay không?
Copyright@Bộ môn QTTN TMĐT
5
- Những vấn đề căn bản an toàn TMĐT:
Yêu cầu từ cả người dùng và doanh nghiệp:
Liệu thông tin giữa người dùng và doanh nghiệp truyền trên m ạng có
bị bên thứ ba “nghe trộm” hay không?
Liệu thông tin đi đến và phản hồi giữa máy chủ và trình duy ệt c ủa
người sử dụng không bị biến đổi hay không?.
Bản chất của an toàn TMĐT là một vấn đề ph ức t ạp. Đối
với an toàn thương mại điện tử, có sáu vấn đề cơ bản cần
phải giải quyết, bao gồm: sự xác thực, quyền cấp phép,
kiểm tra (giám sát), tính bí mật, tính toàn vẹn, tính s ẵn sàng
và chống từ chối.
Copyright@Bộ môn QTTN TMĐT
6
- Những vấn đề căn bản an toàn TMĐT:
Sự xác thực (Authentication)
Quyền cấp phép (Authoziration)
Kiểm tra (giám sát) (Auditing)
Tính tin cậy (confidentiality) và tính riêng t ư (Privacy)
Tính toàn vẹn
Tính sẵn sàng (tính ích lợi)
Chống phủ định (Nonrepudation)
Copyright@Bộ môn QTTN TMĐT
7
- Những vấn đề căn bản an toàn TMĐT:
Trì nh duyệt Web Các chươ ng Cơ sở dữ liệu
server trình CGI,…
Web
Internet
Tính riêng
tư/Tính
toàn vẹn Xác thực
Xác thực Tính riêng
Cấp phép tư/Tính
Kiểm soát Toàn vẹn
Không phủ định
Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York
Scambray
Copyright@Bộ môn QTTN TMĐT
8
- Tấn công phi kỹ thuật: Bằng cách lừa gạt người dùng tiết lộ
thông tin hoặc thực hiện các hành động mang tính vô th ưởng vô ph ạt, k ẻ
tấn công có thể làm tổn hại đến hệ thống mạng máy tính.
Ví dụ, kẻ tấn công gửi một bức thư điện tử như sau đến người dùng:
Người dùng của xyz.com kính mến
Chúng tôi đã phát hiện ra rằng tài khoản thư điện tử của Ông (Bà) đã
được sử dụng để gửi một lượng rất lớn thư rác (spam) trong tuần l ễ qua.
Hiển nhiên là máy tính của Ông (Bà) đã bị tổn hại và hiện gi ờ đang ch ạy
trên một máy chủ ủy quyền bị nhiễm virus con ngựa thành Troia.
Chúng tôi khuyên Ông (Bà) hãy tuân thủ các ch ỉ d ẫn đ ược đính kèm
bức thư này (xyz.com.zip) để bảo vệ máy tính của Ông (Bà) được an toàn.
Chúc Ông (Bà) may mắn.
Đội hỗ trợ kỹ thuật của xyz.com.
Copyright@Bộ môn QTTN TMĐT
9
- Tấn công kỹ thuật:
Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị t ấn công và t ổn
thương khi thực hiện các giao dịch thương mại điện tử, đó là h ệ th ống
của khách hàng, máy chủ của doanh nghiệp và đường dẫn thông tin
(communications pipeline) (hình 7.3).
Copyright@Bộ môn QTTN TMĐT
10
- Tấn công kỹ thuật:
Có bảy dạng tấn công nguy hiểm nhất đối với an toàn của các website
và các giao dịch thương mại điện tử, bao gồm: các đoạn mã nguy
hiểm, tin tặc và các chương trình phá hoại, trộm cắp/ gian lận th ẻ tín
dụng, lừa đảo, khước từ phục vụ, nghe trộm và sự tấn công t ừ bên
trong doanh nghiệp.
Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao
gồm nhiều mối đe doạ khác nhau như các loại virus, worm, nh ững “con
ngựa thành Tơ-roa”, “bad applets”.
Copyright@Bộ môn QTTN TMĐT
11
- Tấn công kỹ thuật:
Các đoạn mã nguy hiểm (malicious code):
Kiểu Mô tả
Tên
Bị phát hiện lần đầu tiên vào năm 1999. Tại th ời đi ểm
Melissa Virus
đó, Melisa đã lây nhiễm vào các ch ương trình trong
macro/
phạm vi rộng lớn trước khi bị phát hiện. Loại mã này t ấn
worm
công vào tệp khuôn mẫu chung (normal.dot) của
Microsoft Word và nhiễm vào tất cả các tài liệu mới được
tạo ra. Một thư điện tử dạng tệp tài liệu Word nếu nhiễm
loại mã này sẽ lây sang 50 người khác trong sổ địa ch ỉ
Microsoft Outlook của người sử dụng.
Copyright@Bộ môn QTTN TMĐT
12
- Tấn công kỹ thuật:
Các đoạn mã nguy hiểm (malicious code):
Kiểu Mô tả
Tên
ILOVEYOU tấn công vào tháng 5-2000. Nó vượt qua
ILOVEY Virus
Melisa và trở thành một loại virus lây nhiễm nhanh nh ất.
OU script/
Nó sử dụng Microsoft Outlook để gửi đi các thông điệp
worm
có đính kèm tệp “Love-Letter-For-You.TXT.vbs”. Khi m ở
tệp này, virus sẽ xoá toàn bộ các tệp .mp3 và .jpg. Lo ại
virus này sử dụng Microsoft Outlook và chương trình
mIRC để tự nhân bản và thâm nhập vào các h ệ th ống
khác.
Copyright@Bộ môn QTTN TMĐT
13
- Tấn công kỹ thuật:
Các đoạn mã nguy hiểm (malicious code):
Kiểu Mô tả
Tên
ExploreZi Con ngựa ExploreZip bị phát hiện lần đầu tiên vào tháng 6-1999 và sử dụng
thành Tơ- Microsoft Outlook để tự nhân bản. Khi mở ra, loại virus này tự tìm
p
roa/ worm kiếm một số tệp và làm giảm dung lượng của các tệp này xuống 0
(zero), làm cho các tệp này không thể sử dụng và không thể khôi
phục được.
Virus tệp Loại virus này bị phát hiện lần đầu năm 1998 và vô cùng nguy
hiểm. Vào ngày 26-4 hàng năm, ngày kỷ niệm vụ nổ nhà máy điện
nguyên tử Chernobyl, nó sẽ xoá sạch 1Mb dữ liệu đầu tiên trên đĩa
cứng khiến cho các phần còn lại không thể hoạt động được.
Copyright@Bộ môn QTTN TMĐT
14
- Tấn công kỹ thuật:
Tin tặc (hacker) và các chương trình hoại
phá
(cybervandalism)
Gian lận thẻ tín dụng
Sự khước từ phục vụ (DoS - Denial of Service)
Kẻ trộm trên mạng
Sự tấn công từ bên trong doanh nghiệp
Copyright@Bộ môn QTTN TMĐT
15
- Các lỗi thường mắc phải trong quản trị an toàn
TMĐT:
Đánh giá thấp giá trị của tài sản thông tin. Rất ít t ổ ch ức có
được sự hiểu biết rõi ràng về giá trị của tài sản thông tin
mà mình có.
Xác định các giới hạn an toàn ở phạm vi hẹp. Phần lớn tổ
chức tập trung đến việc đảm bảo an toàn thông tin các
mạng nội bộ của mình, không quan tâm đầy đủ đến an
toàn trong các đối tác thuộc chuỗi cung ứng
Quản trị an toàn mạng tính chất đối phó. Nhiều t ổ ch ức
thực hành quản trị an toàn theo kiểu đối phó, chứ không
theo cách thức chủ động phòng ngừa, tập trung vào giải
quyết các sự cố an toàn sau khi đã xẩy ra.
Copyright@Bộ môn QTTN TMĐT
16
- Các lỗi thường mắc phải trong quản trị an toàn
TMĐT:
Áp dụng các quy trình quản trị đã lỗi thời. Nhiều tổ ch ức ít
khi cập nhật các quy trình đảm bảo an toàn thông tin cho
phù hợp với nhu cầu thay đổi, cũng như không th ường
xuyên bồi dưỡng tri thức và kỹ năng an toàn thông tin c ủa
đội ngũ cán bộ nhân viên.
Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông
tin, coi an toàn thông tin như là một vấn đề CNTT, không
phải là vấn đề tổ chức.
Copyright@Bộ môn QTTN TMĐT
17
- Một quá trình mang tính hệ thống để xác định các loại
rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để ngăn ng ừa
hay giảm nhẹ các rủi ro này
4 pha của quá trình quản trị an toàn TMĐT
Theo dõi/
Đánh giá Lên kế hoạch Thực hiện
Đá Kết luận
• Áp dụng các giải pháp an • Theo dõi, đánh giá tính
Theo
• Xác định các đe dọa nào
Đánh giá Xác
hiệu quả của các giải pháp
ninh phù hợp, đặc biệt chú hi
có thể xảy ra, đe dọa nào
các tài sản tài (hệ thống máy
an ninh
ý các điểm đễ bị tổn
là không
tính, mạng, thông tin), xác
• Phát hiện các mối đe doạ
thương
• Sử dụng đội ngũ IT trong
định các điểm dễ bị
mới
• Tiếp cận Lợi ích-Chi phí
doanh nghiệp hoặc tư vấn
tổn thương của hệ thống
trong lựa chọn giải pháp an • Cập nhật công nghệ bảo
bên ngoài
và những đe dọa đối với các đảm an ninh hiện đại
ninh
điểm này • Bổ sung thêm danh mục
các hệ thống cần bảo vệ
18 Copyright@Bộ môn QTTN TMĐT
- Một số giải pháp công nghệ đảm
4.
4.
bảo an toàn trong TMĐT
Kiểm soát truy cập (Access Control): cơ chế xác định ai có quyền sử dụng
tài nguyên mạng (trang web, file tài liệu, cơ sở dữ liệu, phần mềm ứng
dụng, server, máy in….) một cách hợp pháp. Một tổ chức có thể có danh
sách người dùng (có thể theo nhóm) được phép truy cập, truy c ập đ ến đâu,
được quyền gì (đọc, xem, viết , in, copy, xóa, sửa đổi hoặc tất cả)
Xác thực (Authentication): Một khi người dùng đã đ ược phân đ ịnh
(Identified), họ cần được xác thực (Authenticate). Xác thực là quá trình kiểm
tra xem người dùng có phải chính là người xưng danh hay không . Việc kiểm
tra thông thường dựa trên cơ sở một hay nhiều các d ấu hiện phân bi ệt
người này với người khác. Các dấu hiệu có thể thuộc loại một ng ười bi ết
(như Password), loại một người nào đó có (như chếc th ẻ) hoặc b ản thân
dấu hiệu của một người nào đó (vân tay). Để tăng tính tin c ậy c ủa xác th ực,
có thể kết hợp 2 yếu tố
Copyright@Bộ môn QTTN TMĐT
19
- Một số giải pháp công nghệ đảm
4.
4.
bảo an toàn trong TMĐT
Passwords: Cấu tạo từ tổ hợp các số, ký hiệu, chữ cái…
Passwords thường kém an toàn vì người dùng có thói quen để
chúng ở nơi ít bí mật, dễ tìm, hay lựa chọn các giá trị dễ đoán,
hay nói cho người khác biết khi đuợc hỏi…
Tokens:
Token thụ động (Passive Tokens) thường là các th ẻ nh ựa có d ải t ừ
(magnetic strips) chứa mã bí mật. Khi sử dụng cần đ ưa vào đ ầu đ ọc
(reader) gắn với máy tính nơi làm việc.
Token chủ động (Active Tokens): thường là một thiết bị điện t ử nh ỏ
(như thẻ thông minh, máy tính bỏ túi…), khi sử dụng, ng ười dùng nh ập
số PIN, thiết bị sinh ra Password sử dụng một lần để truy nhập mạng.
Copyright@Bộ môn QTTN TMĐT
20
nguon tai.lieu . vn