Bài giảng Luật giao dịch điện tử: Chương 3 - ThS. Phạm Mạnh Cường

Chia sẻ: _ _ | Ngày: | Loại File: PPT | Số trang:31

Thêm vào BST

Báo xấu

2
lượt xem 0
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Luật giao dịch điện tử - Chương 3: An toàn thương mại điện tử, cung cấp cho người học những kiến thức như: Tổng quan về an toàn thương mại điện tử; Các khía cạnh của an toàn thương mại điện tử; Những nguy cơ đe dọa an toàn thương mại điện tử; Hạn chế rủi ro trong thương mại điện tử;...Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Luật giao dịch điện tử: Chương 3 - ThS. Phạm Mạnh Cường

THƯƠNG MẠI ĐIỆN TỬ LOGO CHƯƠNG 3: AN TOÀN TMĐT ThS Phạm Mạnh Cường
ĐẶT VẤN ĐỀ Văn phòng B cần thực hiện giao dịchhàngtiền với Ngân hàng A Khách rút phải đến tận ? $ 5,000,000 để giao dịch. OK ! nơi Người gửi: Văn Gửi bằng email phòng B Người nhận: Ngân hàng A Người gửi: Văn phòng B ? Ngày gửi: 15/10/2010 Người nhận: Ngân hàng A Nội dung: Ngày gửi: 15/10/2010 …….. Nội dung: Rút $5,000,000 …….. Mã tài khoản: NHB-212551245 Rút $5,000,000 … .... Mã tài khoản: NHB-212551245 Văn phòng B Ngân hàng A … .... Gửi
Nội Dung 1 Tổng quan về an toàn TMĐT 2 Các khía cạnh của an toàn TMĐT 3 Những nguy cơ đe dọa an toàn TMĐT 4 Hạn chế rủi ro trong TMĐT
1. TỔNG QUAN VỀ AN TOÀN TMĐT - Tập hợp các qui định, qui trình, hoạt động. - Đảm bảo cho các giao dịch TMĐT được An toàn thực hiện đủ, đúng, đảm bảo sự tiện dụng, TMĐT ích lợi cho tất cả các đối tượng đang tham gia vào TMĐT. - An toàn luôn chỉ mang tính tương đối.
1. TỔNG QUAN VỀ AN TOÀN TMĐT Dữ liệu i nguyên Cần bảo vệ những gì ? Tà Thương hiệu
1. TỔNG QUAN AN TOÀN TMĐT  Phân loại rủi ro trong TMĐT Rủi ro là những tai nạn, sự cố xảy ra ngoài ý muốn của con người  gây ra tổn thất cho các bên tham gia trong quá trình tiến hành giao dịch trong TMĐT Rủi ro được chia thành 4 nhóm:  Nhóm rủi ro dữ liệu  Nhóm rủi ro về công nghệ  Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức  Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghệ
2. CÁC KHÍA CẠNH TRONG AN TOÀN TMĐT Tính toàn vẹn Dữ liệu/ Thông tin không bị thay đổi trong khi lưu (Data Integrity) trữ hoặc chuyển phát. Tính xác thực Khả năng nhận biết các đối tác tham gia giao dịch (Authentication) trực tuyến. Không thoái thác Các bên tham gia giao dịch không phủ nhận các (Nonrepudiation) hành động trực tuyến mà họ đã thực hiện. Tính tin cậy và Bảo đảm rằng không ai có thể truy cập những dữ riêng tư liệu có giá trị ngoài những người có quyền và khả (Reliability/ privacy): năng kiểm soát việc sử dụng các thông tin cá nhân của khách hàng. Tính sẵn sàng Các chức năng của một Website thương mại điện tử (Availability): được đáp ứng đúng khi có yêu cầu.
3. NHỮNG NGUY CƠ ĐE DỌA AN TOÀN TMĐT 3.1/ Những kiểu tấn công phổ biến 3.2/ Hacker và các chương trình phá hoại 3.3/ Phân loại kẻ tấn công
3.1/ Những kiểu tấn công a. Tấn công trực tiếp Sử dụng các chương trình phá hoại như: virus, worm, macro, trojan, adware, spyware …lợi dụng lỗi chương trình ứng dụng hay HĐH để đánh cắp số thẻ tín dụng, mật khẩu của KH.
3.1/ Những kiểu tấn công b. Lừa đảo  Không thừa nhận, chối từ những gì đã giao dịch.  Phishing Attacks: một hành vi lừa đảo nhằm lấy cắp thông tin tài khoản giao dịch của KH và DN bằng cách gửi các thông tin giả mạo làm cho người dùng ngộ nhận và cung cấp thông tin tài khoản.
3.1/ Những kiểu tấn công c. Kẻ trộm trên mạng Sniffer là một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng.  Xem lén thư điện tử: sử dụng một đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu.  Keylogger: 1 dạng chương trình theo dõi thao tác bàn phím, chụp ảnh màn hình và ghi lại mọi thao tác trên vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng rồi gửi đến email được chỉ định.
3.1/ Những kiểu tấn công 3.3/ Kẻ trộm trên mạng (tt)  Data packet sniffing: là hình thức tấn công bằng cách bắt lấy gói tin trong đường truyền để phân tích và đánh giá hệ thống hay còn được gọi là Man In Middle  tìm ra thông tin về mật khẩu hay tài khoản giao dịch trong quá trình giao dịch giữa 2 máy tính.
Minh họa MIM ? Dữ liệu bị tấn công trên đường truyền. MIM (Man in Middle) …….. Rút $5,000,000$5,000,000 Chuyển khoản Mã tài khoản: NHB-8888888 qua tài khoản NHB-212551245 … tài khoản: NHB-212551245 Mã .... … ....
3.1/ Những kiểu tấn công d. Tấn công từ chối phục vụ: DoS, DDoS, DRDoS: DoS: Máy tấn công truyền đi những yêu cầu dị dạng, lượng yêu cầu nhiều khiến cho server từ chối phục vụ DDoS: máy tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian từ nhiều nơi để đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền cùa mục tiêu nào đó. DRDoS: DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS chiếm đoạt toàn bộ băng thông của máy chủ, làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào Internet và tiêu hao tài nguyên máy chủ.
Tấn công từ chối phục vụ DRDoS (Distributed Reflection Denial of Service) DDoS (Distributed Denial of Service)
3.1/ Những kiểu tấn công e. Tấn công từ nội bộ Doanh nghiệp Mối đe dọa bắt nguồn từ chính những thành viên đang làm việc tại DN.  Nguyên nhân: chủ quan + khách quan
3.2/ Hacker và những chương trình phá hoại a. Định tuyến nguồn: Hacker thiết lập máy tính của mình thành router. b. Làm ngập ICMP: gửi đi khối lượng lớn gói tin vắt kiệt tốc độ truyền. c. Chuyển hướng ICMP: làm thay đổi bảng định tuyến hệ thống máy tính. d. Phân đoạn IP: gói tin IP được phân đoạn lỗi sao cho tổng > 65536 bytes. e. Giả mạo địa chỉ IP: mượn địa chỉ IP của 1 máy tính khác.
3.3/ Phân loại kẻ tấn công a. Người qua đường: xem việc đột nhập vào các hệ thống mạng là 1 hình thức giải trí. b. Kẻ phá hoại: chủ định phá hoại hệ thống. c. Kẻ ghi điểm: muốn khẳng định mình qua những kiểu tấn công mới, với số lượng hệ thống đã thâm nhập. d. Gián điệp: ăn cắp dữ liệu để phục vụ cho các mục đích mua bán, trao đổi.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.1/ Kỹ thuật mã hóa  Mã hóa: là quá trình chuyển một tài liệu dạng văn bản thành dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể hoặc khó có thể đọc. • Mã hóa đối xứng (mã hóa khóa bí mật): Sử dụng 1 khoá cho cả quá trình mã hoá. • Mã hóa bất đối xứng (mã hóa khóa công cộng): Sử dụng 2 khoá, một khoá mã hoá thông điệp và một khoá khác giải mã.
Quy trình mã hóa dữ liệu Hệ thống quản lý khoá Khoá mã hoá A Khoá giải mã B Dữ liệu Dữ liệu mã hoá Dữ liệu gốc Mã hoá Mã hoá Giải mã Giải mã gốc (bản mã) Mã hóa đối xứng: A = B Mã hóa bất đối xứng: A ≠ B