Bài giảng Thương mại điện tử - Chương 6: Bảo mật và an ninh trong TMĐT - Nguyễn Bích Trâm

pdf 60 trang huongle 3691
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Thương mại điện tử - Chương 6: Bảo mật và an ninh trong TMĐT - Nguyễn Bích Trâm", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_thuong_mai_dien_tu_chuong_6_bao_mat_va_an_ninh_tro.pdf

Nội dung text: Bài giảng Thương mại điện tử - Chương 6: Bảo mật và an ninh trong TMĐT - Nguyễn Bích Trâm

  1. Th.S.Nguyễn Thị Bích Trâm Bichtrambmt@gmail.com
  2. Các đe doạ Yêu cầu đối Giải pháp bảo Các vấn đề an trong môi với an toàn an trong toàn thương trường thương mại thương mại mại điện tử thương mại điện tử điện tử điện tử
  3. Dữ liệu Giải pháp công nghệ Chính sách và thủ tục tổ chức Luật & các tiêu chuẩn
  4. Các trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm bên trong Website truy cập là Thông tin cá nhân xác thực và hợp được đảm bảo bí pháp mật Từ phía người sử dụng
  5. Từ Máy chủ, nội dung và các phía dịch vụ cung cấp trên tổ website không bị phá vỡ chức Hoạt động kinh doanh diễn ra đều đặn, không bị làm gián đoạn
  6. Từ hai Thông tin trao đổi giữa hai phía bên không bị biến đổi Thông tin trao đôi giữa người sử dụng và tổ chức, không bị bên thứ ba “nghe trộm”
  7. Không phủ định: Các bên Tính toàn vẹn: Dữ liệu/thông tham gia giao dịch không phủ tin không bị thay đổi khi lưu nhận các hành động trực trữ hoặc chuyển phát. tuyến mà họ đã thực hiện Tính xác thực: Khả năng Cấp phép: Xác định quyền nhận biết các đối tác tham gia truy cập các tài nguyên của tổ giao dịch trực tuyến chức
  8. • Tập hợp thông tin về quá trình truy cập của Kiểm soát người sử dụng • Ngoài những người có quyền, không ai có thể Tính tin cậy xem các thông điệp và truy cập những dữ liệu có giá trị • Khả năng kiểm soát việc sử dụng các thông tin Tính riêng tư cá nhân của khách hàng • Các chức năng của một website thương mại Tính ích lợi điện tử được thực hiện đúng như mong đợi
  9. ¡ Mã độc ¡ Tấn công từ chối phục ¡ Chương trình không vụ (Denial of Service – mong muốn DOS) (potentially unwanted ¡ Tấn công từ chối phục programs - PUPS) vụ phân tán ¡ Phishing (Distributed Denial of ¡ Tin tặc (hacker) và các Service – DDOS) chương trình phá hoại ¡
  10. • Một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao gồm cả hệ điều hành, để nhân lên; nó yêu cầu các Virus chương trình của máy chủ khi chạy phải kích hoạt nó • Một chương trình phần mềm được chạy một cách độc Sâu máy lập, chi phối nhiều tài nguyên của máy chủ cho nó và nó tính (worm) có khả năng nhân giống tới các máy khác • Một chương trình xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy Trojan horse cơ về an ninh • 1 loại mã độc có thể cài trên máy tính khi kết nối internet, sau khi kết nối nó sẽ phản hồi với những yêu Bots cầu từ bên ngoài của hacker, máy tính trở thành zombie
  11. Unikey.org bị hacker kiểm soát và chèn mã độc vào link tải phần mềm Vào rạng sáng ngày 1/3, trang web http:// unikey.org/ của tác giả Phạm Kim Long đã bị tin tặc kiểm soát và chèn mã độc chứa Trojan vào link tải phần mềm Unikey. Theo tìm hiểu, tin tặc đã thành công trong việc chuyển hướng link tải Unikey về một địa chỉ giả mạo tại Sourceorge.net. Đồng thời hacker cũng tạo một project trùng tên với Project Unikey Vietnamese Input Method của Phạm Kim Long trên trang web này.
  12. Adware • Một dạng phần mềm quảng cáo lén lút cài đặt vào máy tính người dùng hoặc cài đặt thông qua một phần mềm miễn phí Spyware • Là phần mềm theo dõi những hoạt động của người dùng trên máy tính
  13. ¡ Là một hình thức gian lận để có những thông tin nhạy cảm như username, password, credit card bằng cách giả mạo như là một thực thể đáng tin cậy trong các giao tiếp trên mạng. ¡ Quá trình giao tiếp thường diễn ra tại các trang mạng xã hội nổi tiếng, các trang web đấu giá, mua bán hàng online mà đa số người dùng đều không cảnh giác với nó. ¡ Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến người dùng, yêu cầu họ cung cấp thông tin cần thiết. Người dùng vì sự chủ quan của mình đã cung cấp thông tin cho một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang web giả mạo do các hacker lập nên.
  14. Nghệ thuật Sự thiếu hiểu đánh lừa ảo biết giác Không chú ý đến những chỉ tiêu an toàn
  15. ¡Hacker là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức của bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau. ¡Hack là hành động thâm nhập vào phần cứng máy tính, phần mềm máy tính hay mạng máy tính để thay đổi hệ thống đó.
  16. Phân loại • Hacker mũ trắng • Hacker mũ đen • Hacker mũ xám
  17. ¡ Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được số tiền khoảng 2,6 tỷ đồng ¡ 235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công. Trong đó có web của Bộ Thương mại - mot.gov.vn, Bộ Tài nguyên Môi trường - ciren.gov.vn, Bộ Khoa học Công nghệ - oss.gov.vn ¡ Nhóm hacker Việt và con số 182 tỉ đồng: Vụ việc của nhóm hacker Lê Đăng Khoa, Nguyễn Ngọc Lâm, Nguyễn Ngọc Thành và Nguyễn Đình Nghị, năm 2010 thực sự chấn động cả cộng đồng khi 4 kẻ này đã thực hiện hành vi ăn cắp gần 6 triệu bảng Anh, tương đương với 182 tỉ đồng.
  18. Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài
  19. ¡ Thông tin thẻ tín dụng của 20 triệu người, tương đương gần một nửa dân số Hàn Quốc đã bị đánh cắp và bán cho các công ty quảng cáo. Vụ việc đang làm rúng động dư luận nước này và khiến hàng loạt lãnh đạo ngân hàng bị mất chức. ¡ Theo kênh BBC, thông tin thẻ tín dụng bị đánh cắp bởi một nhân viên máy tính làm việc cho một công ty có tên Cục tín dụng Hàn Quốc, cơ quan chuyên cung cấp điểm tín dụng.
  20. ¡ Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng. ¡ Là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng ¡ Theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông tin trên đoạn mạng này
  21. ¡ An toàn thông tin trên mạng xã hội ¡ An toàn thông tin trên nền tảng di động
  22. • Đánh giá các rủi ro bằng các xác định các tính chất, các điểm dễ bị tổn Đánh thương của hệ thống và những đe dọa đối với các điểm này giá • Xác định các đe dọa Lên kế • Xác định các biện pháp xử lý cho phù hợp hoạch Thực • Lựa chọn công nghệ để đối phó với các đe doạ hiện • Tình trạng hiện thời của hệ thống Theo • Các mối đe doạ mới dõi / • Trình độ công nghệ hiện tại Kết • Bổ sung thêm danh mục các hệ thống cần bảo vệ luận
  23. ¡ Điều khiển và kiểm soát truy cập § Các hệ thống xác thực ¡ Các kỹ thuật mã hoá § Mã hoá § Chữ ký điện tử § Chứng thực điện tử ¡ Các giao thức an toàn § SSL, SET, TLS ¡ Bảo vệ hệ thống mạng của tổ chức § Bức tường lửa ¡ Các biện pháp bảo vệ hệ thống khách/chủ § Các chương trình cảnh báo xâm nhập § Anti virus
  24. Hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện và hạn chế những hoạt động của họ, chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thành ¡ Cơ chế điều khiển truy nhập § Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm ¡ Thiết bị (Passive tokens) § Tokens tạo khoá theo thời gian thực ¡ Các yếu tố điều kiện nhận dạng § Mật khẩu § Các hệ thống sinh trắc học
  25. Hệ thống nhận dạng để xác nhận một người bằng cách đánh giá ,so sánh các đặc tính sinh học như dấu vân tay, mạch máu mắt, đặc điểm mặt, giọng nói hoặc hành vi ¡ Nhận dạng vân tay ¡ Nhận dạng mạch máu mắt ¡ Nhận dạng giọng nói
  26. Mã hoá là quá trình xáo trộn (mã hóa) một tin nhắn, văn bản hay các tài liệu thành văn bản, tài liệu dưới dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể hoặc khó có thể đọc
  27. Bản gốc hay bản rõ (Plaintext) Một mẩu tin/văn bản không mã hóa và con người có thể đọc ¡Bản mã hoá hay bản mờ (Ciphertext) Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc ¡ Khóa (Key) Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin ¡ Thuật toán mã hóa (Encryption algorithm) Là một công thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại
  28. ¡ Mục đích của kỹ thuật mã hoá Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho thông tin khi truyền phát trên mạng. ¡ Kỹ thuật mã hoá đảm bảo § Tính toàn vẹn của thông điệp; § Chống phủ định; § Tính xác thực; § Tính bí mật của thông tin. ¡ Các kỹ thuật mã hoá cơ bản § Mã hoá bằng thuật toán băm (hàm Hash) § Mã hoá khoá bí mật § Mã hoá khoá công khai
  29. Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật toán HASH để mã hoá thông điệp ¡ Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định ở đầu ra § Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả E783A3AE2ACDD7DBA5E1FA0269CBC58D. § Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit) § A766F44DDEA5CACC3323CE3E7D73AE82.
  30. ¡ Tính chất cơ bản của hàm HASH § Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả* § Tính duy nhất: xác suất để có một vụ va chạm (hash collision), tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực kì nhỏ. ¡ Ứng dụng của hàm Hash § Chống và phát hiện xâm nhập: chương trình chống xâm nhập so sánh giá trị hash của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay đổi hay không § Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay đổi cho dù là nhỏ nhất § Tạo chìa khóa từ mật khẩu § Tạo chữ kí điện tử.
  31. ¡ Mã hoá khoá bí mật § Gọi là mã hoá đối xứng hay mã hoá khoá riêng § Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi người gửi) và quá trình giải mã (thực hiện bởi người nhận) ¡ Mã hoá khoá công cộng § Gọi là mã hoá không đối xứng hay mã hoá khoá chung § Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để mã hoá thông điệp và một khoá khác dùng để giải mã.
  32. Mã hóa khóa bí mật Mã hóa khóa công cộng Số khoá Một khoá đơn Một cặp khoá Loại khoá Khoá bí mật Một khoá bí mật và một khoá công khai Quản lý khoá Đơn giản nhưng Yêu cầu các chứng thực khó quản lý điện tử và bên tin cậy thứ ba Tốc độ giao dịch Nhanh Chậm Ứng dụng - Mã hoá hàng loạt - Mã hoá đơn lẻ - Các đối tác thường - Khối lượng nhỏ giao dịch - Chữ ký điện tử
  33. Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. (Luật Giao dịch điện tử)
  34. ¡ Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể; ¡ Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó ¡ Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký ¡ Bất kỳ thay đổi nào (về nội dung, hình thức ) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký
  35. Một loại chứng nhận do cơ quan chứng nhận (Certification Authority - CA) (hay bên tin cậy thứ ba) cấp; là căn cứ để xác thực các bên tham gia giao dịch; là cơ sở đảm bảo tin cậy đối với các giao dịch thương mại điện tử Nội dung của chứng thực điện tử ¡ Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử. ¡ Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử. ¡ Số hiệu của chứng thực điện tử. ¡ Thời hạn cú hiệu lực của chứng thực điện tử. ¡ Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử. ¡ Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử. ¡ Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử. ¡ Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử. ¡ Các nội dung khác theo quy định của Chính phủ.
  36. Tổng quan ¡ Giao thức bảo mật kết nối giữa client và server ¡ Cung cấp 1 đường hầm vững chắc để dữ liệu đi qua. ¡ Trở thành một chuẩn an toàn truy cập dữ liệu được hỗ trợ bởi hầu hết các browser. Mô hình ¡ Là 1 giao thức vận chuyển đặc biệt thêm vào giữa tầng ứng dụng và tầng giao vận ¡ Bảo đảm tính riêng tư và toàn vẹn của tất cả dữ liệu được truyền giữa 2 hoặc nhiều hơn các máy tính khi nó ở trong mạng ¡ Sử dụng khóa riêng
  37. Ưu điểm ¡ Đơn giản, thuận tiện, không yêu cầu thay đổi trong phần mềm phía người mua và người bán. ¡ Người bán được xác thực đối với người mua. ¡ Thông tin được đảm bảo tính riêng tư, toàn vẹn. Nhược điểm ¡ Không đảm bảo người mua được xác thực với người bán, nguy cơ người mua phủ nhận giao dịch.
  38. Tổng quan ¡ SET - giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả khách hàng và doanh nghiệp ¡ Một tập các giao thức và định dạng bảo mật cho phép người dùng sử dụng nền tảng thanh toán bằng thẻ tín dụng trên một mạng mở như Internet
  39. ¡ Giải pháp bảo mật toàn diện ¡ Người mua, người bán được xác thực với nhau qua certificate do CA cấp. ¡ Phân phát khóa public an toàn qua CA làm cơ sở cho xác thực qua DS. ¡ Người bán không biết thông tin cá nhân, tài khoản của người mua. ¡ Chữ kí kép giúp loại bỏ những gian lận từ phía người bán.
  40. ¡ Yêu cầu thay đổi lớn trong nền tảng thanh toán hiện tại. ¡ Yêu cầu thay đổi trong phần mềm, phần cứng đắt tiền. Yêu cầu này có thể chấp nhận được đối với các công ty, ngân hàng phát hành thẻ tín dụng, song khó chấp nhận đối với khách hàng cũng như các cửa hàng. ¡ Yêu cầu một hạ tầng PKI dựa trên sự có mặt của CA. Các tổ chức tài chính phải trả thêm chi phí cài đặt và duy trì PKI phải được trả cho CA. ¡ Các giải thuật trên PKI là phức tạp, tốn kém, tốc độ chậm (ngân hàng yêu cầu 750 giao dịch/giây trong khi SET mới chỉ đạt 1 giao dịch/giây. Tốc độ có thể được cải thiện với việc sử dụng phần cứng ->giá thành tăng cao.) ¡ Chỉ đề cập tới các giao dịch dựa trên thanh tóan thẻ (tín dụng hoặc nợ). Các giao dịch dựa trên tài khỏan vd: séc điện tử (e-check) không được hỗ trợ trong SET ¡ Là một giao thức bảo mật rất toàn diện những cũng rất phức tạp, SET cần được đơn giản hóa để được chấp nhận bởi mọi tổ chức liên quan
  41. Một phần mềm hoặc phần cứng để tách biệt một mạng riêng với mạng công cộng cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép, từ bên ngoài truy cập vào mạng máy tính của tổ chức
  42. • Tất cả kết nối từ bên trong mạng máy tính của tổ chức và ngược lại đều phải đi qua đó; • Chỉ các kết nối được phép, theo qui định về an toàn mạng máy tính của tổ chức, mới được phép đi qua; • Không được phép thâm nhập vào chính tường lửa.
  43. Các kiểm soát của hệ điều hành ¡ Kiểm soát truy cập thông qua việc tự động từ chối khi người sử dụng truy cập vào các khu vực khác (không được phép) của mạng máy tính ¡ Kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp cho việc đảm bảo an toàn cho cơ sở dữ liệu và cho toàn bộ hệ thống. Phần mềm chống virus và phát hiện xâm nhập ¡ Phần mềm chống virus: biện pháp đơn giản nhất và ít tốn kém nhất chống lại các mối đe doạ tính toàn vẹn của các hệ thống ¡ Hệ thống phát hiện xâm nhập: khả năng dò tìm và nhận biết các công cụ mà những kẻ tin tặc thường sử dụng hoặc phát hiện những hành động khả nghi