intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bài giảng Thanh toán trong thương mại điện tử: Chương 4 - ThS. Nguyễn Như Phương Anh

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:41

Thêm vào BST
Báo xấu
9
lượt xem 6
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Thanh toán trong thương mại điện tử: Chương 4 - An ninh trong thanh toán điện tử" được biên soạn gồm các nội dung chính sau: Hệ thống an ninh trong thương mại điện tử; Lược đồ bảo mật trong các hệ thống thanh toán điện tử; Giới thiệu một số giao thức giao dịch điện tử bảo mật. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Thanh toán trong thương mại điện tử: Chương 4 - ThS. Nguyễn Như Phương Anh

  1. HỌC PHẦN THANH TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ Giảng viên: ThS. Nguyễn Như Phương Anh Huế, 10/2020
  2. NỘI DUNG Chương 1 TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ VÀ THANH TOÁN ĐIỆN TỬ Chương 2 CÁC PHƯƠNG TIỆN THANH TOÁN TRONG THƯƠNG MẠI ĐIỆN TỬ Chương 3 HỆ THỐNG THANH TOÁN ĐIỆN TỬ Chương 4 AN NINH TRONG THANH TOÁN ĐIỆN TỬ Chương 5 LỰA CHỌN GIẢI PHÁP TRONG THANH TOÁN ĐIỆN TỬ
  3. CHƯƠNG 4 3 AN NINH TRONG THANH TOÁN ĐIỆN TỬ 4.1. Hệ thống an ninh trong thương mại điện tử 4.2. Lược đồ bảo mật trong các hệ thống thanh toán điện tử 4.3. Giới thiệu một số giao thức giao dịch điện tử bảo mật
  4. 4 4.1. Hệ thống an ninh trong thương mại điện tử 4.1.1. Khái quát về an ninh mạng ❖ Tạo lập kế hoạch an ninh mạng Điều quan trọng đầu tiên trong việc kiến tạo hệ thống an ninh mạng là cần liệt kê danh mục các ưu tiên của công ty đối với hệ thống an ninh. Mỗi giải pháp an ninh có những lợi thế rõ ràng và những bất lợi của nó và mỗi mạng của công ty có một danh mục khác nhau về những điều cần thiết phải bảo vệ và một sự khác nhau về trật tự ưu tiên. Do đó, mỗi giải pháp an ninh nhất định phải thích ứng với từng mạng mà nó bảo vệ. ❖ Cân bằng giữa an ninh và khả năng xử lý Sự lựa chọn an ninh sẽ là phù hợp nhất với công ty khi nó cân bằng được những vấn đề chính mà công ty cho là quan trọng. Ba vấn đề quan trọng hàng đầu trong TMĐT là: (1) mức độ an ninh; (2) tính đơn giản; (3) hiệu quả chi phí.
  5. 5 4.1. Hệ thống an ninh trong thương mại điện tử 4.1.1. Khái quát về an ninh mạng ❖ An ninh dựa trên giao thông (Traffic-based security) An ninh dựa trên giao thông quy định dòng giao thông qua mạng. Chức năng chính của mức an ninh này là để ngăn chặn những kẻ tấn công bên ngoài mạng khỏi việc xâm nhập vào trong mạng, ở đó chúng có thể tiếp cận các thông tin mật hoặc sử dụng mạng theo cách mà tính thống nhất của công ty bị xâm phạm. An ninh ở mức này cũng có thể được sử dụng như là một dạng kiểm soát thường xuyên bởi vì nó sẽ lưu ý các nhà quản lý mạng khi có bất kỳ sự không bình thường nào xảy ra tại mức ứng dụng. An ninh dựa trên giao thông là dạng an ninh chạy trên nền tảng của mạng. Chẳng hạn, người sử dụng hàng ngày sẽ không có tương tác nhiều với mức an ninh và thường không có cảm nhận gì về sự tồn tại của nó.
  6. 6 4.1. Hệ thống an ninh trong thương mại điện tử 4.1.1. Khái quát về an ninh mạng ❖ An ninh dựa trên người sử dụng Là mức an ninh mà tất cả người sử dụng đều nhận biết được sự hiện diện của nó. Đây là dạng an ninh đưa ra buộc người sử dụng phải nhập tên người sử dụng và Password mỗi khi sử dụng hệ thống. Mức an ninh này cũng cho phép nhà quản trị mạng kiểm soát các dữ liệu người sử dụng có khả năng xem xét và thay đổi. Sự phòng ngừa này làm giảm đáng kể khả năng một người sử dụng không có đạo đức có thể phá hỏng các dữ liệu hoặc hoạt động của hệ thống.
  7. 7 4.1. Hệ thống an ninh trong thương mại điện tử 4.1.2. Vì sao cần có an ninh? ❖ Các phương tiện thông tin đã đưa ra nhiều câu chuyện khủng khiếp về vấn đề an ninh điện tử làm cho các công ty phải quan tâm tới vấn đề này. ❖ Mục đích của bất kỳ giải pháp an ninh nào cũng là nhằm ngăn chặn việc lấy cắp, phá hủy hoặc can thiệp vào các thông tin nhạy cảm. Sự lo lắng về an ninh của công ty thường liên quan tới hai dạng: (1) Tính bí mật của các thông tin và (2) Tính thống nhất của công ty. Nói cách khác, hệ thống an ninh được sử dụng để ngăn chặn một kẻ tấn công lấy trộm hoặc phá hủy các dữ liệu tìm thấy trên mạng và ngăn chặn các kẻ tấn công khỏi việc sử dụng mạng để làm hại đến uy tín của công ty.
  8. 4.1. Hệ thống an ninh trong thương mại điện tử 8 4.1.2. Vì sao cần có an ninh? ❖ Bảo vệ các thông tin bí mật - Đảm bảo dữ liệu là bí mật Các dữ liệu này phải được đảm bảo khỏi các cuộc tấn công bên ngoài. Chúng ta có thể dễ dàng hình dung vấn đề nảy sinh khi một đối thủ cạnh tranh có thể truy nhập và đọc tất cả các hóa đơn của doanh nghiệp. Các dữ liệu bí mật cần phải được hạn chế (giới hạn) ngay trong phạm vi của công ty. Chẳng hạn, hệ quả cũng tệ hại như trường hợp trên nếu bất kỳ ai trong công ty cũng có thể tiếp cận vào file thanh toán. An ninh mạng phải đảm bảo rằng việc sử dụng mạng hàng ngày không phá hỏng một cách không cố ý các dữ liệu đã được lưu trữ.
  9. 4.1. Hệ thống an ninh trong thương mại điện tử 9 4.1.2. Vì sao cần có an ninh? ❖ Bảo vệ các thông tin bí mật - Đảm bảo sự an toàn của mạng Cũng quan trọng như các dữ liệu vật chất của công ty đã được lưu trên mạng là vấn đề an ninh của chính hệ thống mạng. Lý do lớn nhất của mức an ninh này là ở chỗ, nếu thiếu việc kiểm soát trên toàn mạng có thể dẫn tới độ vênh (lỗ hổng) an ninh lớn hơn. Tính bí mật mạng hoạt động như là một sự kiểm soát các trục trặc. Nếu một kẻ tấn công tiếp cận được tới mạng của bạn, một số biện pháp an ninh phải được thiết lập để đảm bảo rằng kẻ tấn công sẽ không có một bản đồ đường dẫn chỉ ra các hướng chi tiết tới các thông tin bí mật hoặc tới các chi tiết định dạng khác có thể bị tiếp cận hoặc phá hủy.
  10. 4.1. Hệ thống an ninh trong thương mại điện tử 10 4.1.2. Vì sao cần có an ninh? ❖ Các dạng rủi ro liên quan đến tính bí mật của thông tin - Ngửi gói (Packet Sniffers) Một cách để phía bên ngoài có thể giành được lối tiếp cận tới một mạng riêng là bằng cách ngăn chặn và đọc gói tin mạng (network packets), chúng là hàng loạt các dữ liệu được chuyển nhanh nối tiếp nhau, hình thành một chuỗi thông tin có thể được đọc như là một câu dài và cho phép máy tính nối mạng trao đổi với nhau. Nếu là một kẻ xấu ngăn chặn gói này, những điều tồi tệ có thể xảy ra. - Bắt chước IP Đây là một cách khác để một kẻ tấn công có thể tiếp cận được mạng. Một sự bắt chước IP nảy sinh khi một nguồn bên ngoài có thể thâm nhập như là một địa chỉ IP nội bộ. Trong bối cảnh này, mạng trở nên lẫn lộn và gửi các gói tin đến địa chỉ IP sai. Mặt khác, nếu gói tin này không được mã hóa, chúng có thể dễ dàng bị đọc, cung cấp các thông tin bí mật cho phía bên ngoài. Hơn nữa, trong bối cảnh tồi tệ, kẻ tấn công có thể nhận được tên người sử dụng và các thông tin về password.
  11. 4.1. Hệ thống an ninh trong thương mại điện tử 11 4.1.2. Vì sao cần có an ninh? ❖ Các dạng rủi ro liên quan đến tính bí mật của thông tin - Tiếp cận các thông tin bí mật Hầu hết các bên cố gắng xem các thông tin bí mật là những người sử dụng đã có một liên lạc cố định với mạng. Bất kỳ một người sử dụng tò mò hay thiếu giáo dục nào cũng đều có thể trở thành một mối đe dọa. Bởi vì những người sử dụng này có quyền tiếp cận mạng, một cuộc tấn công có thể là không dự báo trước được. Trong khi một người sử dụng tức giận có thể là nguy cơ cho việc phá hủy hoặc lấy trộm các thông tin bí mật, bất kỳ người sử dụng nào, họ đơn giản không biết bất kỳ cách tốt hơn nào, có thể mở cửa cho cuộc tấn công tương lai hoặc đặt các thông tin nhạy cảm của công ty vào một đường dẫn có thể hoặc vào các máy tính.
  12. 4.1. Hệ thống an ninh trong thương mại điện tử 12 4.1.2. Vì sao cần có an ninh? ❖ Bảo vệ tính thống nhất của công ty - Duy trì một ứng xử có uy tín Uy tín của một công ty có thể đứng vững hoặc bị đổ vỡ liên quan tới mạng của nó. Chẳng hạn, Internet có thể đưa tới hàng loạt các hành động gây tổn hại tới uy tín kinh doanh. Mặt khác, lý luận rằng “bất cứ thứ gì một doanh nghiệp có thể tiếp cận trên Internet đều có khả năng tiếp cận với kinh doanh” được ứng dụng ở đây. Như là một ví dụ cực đoan, bất kỳ hợp tác nào, thậm chí một hợp tác ngẫu nhiên, với một trong nhiều hoạt động bất hợp pháp tìm thấy trên Internet sẽ cho hình ảnh xấu về công ty. Nếu không có an ninh, bất kỳ mạng nào cũng có thể được sử dụng để trợ giúp các hoạt động bất hợp pháp.
  13. 4.1. Hệ thống an ninh trong thương mại điện tử 13 4.1.2. Vì sao cần có an ninh? ❖ Bảo vệ tính thống nhất của công ty - Bảo vệ mạng vật chất Khi không có an ninh, một người sử dụng bên ngoài có thể tiếp cận mạng của bạn và xuất hiện như một người hợp pháp. Trong trường hợp xấu nhất, người sử dụng này có thể gửi thư điện tử từ Account của CEO tới khách hàng nói về bất kỳ cái gì người sử dụng thích. Bên trong công ty, bạn cũng muốn mạng của bạn có được một sự tín nhiệm tốt. Bạn muốn người sử dụng của bạn cảm thấy thoải mái và yên tâm. Cuối cùng, một người sử dụng lạ mặt có thể làm hỏng một cách vật chất mạng của bạn. Sự can thiệp vào hoạt động của mạng có thể là phiền hà và tốn kém đối với công ty.
  14. 4.1. Hệ thống an ninh trong thương mại điện tử 14 4.1.2. Vì sao cần có an ninh? ❖ Các dạng rủi ro liên quan tới tính thống nhất của công ty - Bắt chước gói mạng Đây là dạng chính được sử dụng để cung cấp các thông tin mà một kẻ tấn công có thể nhận thấy hữu ích bởi qua đây chúng có thể cung cấp tên người sử dụng và password của họ. Nó cũng có thể cung cấp cho kẻ tấn công các thông tin quan trọng về mạng của bạn như quy mô mạng và các quyền hợp pháp. Nếu một kẻ tấn công có thể đọc được gói mạng, nó cũng tạo cho kẻ tấn công cơ hội làm thay đổi gói mạng. Nếu một kẻ tấn công có thể làm thay đổi gói mạng, điều đó có nghĩa là kẻ tấn công có thể tạo ra một account của chính hắn để sử dụng vào bất cứ lúc nào. Khi một tên người sử dụng và password được tạo ra, kẻ tấn công sẽ có một sự cải trang hợp pháp khi vào mạng. Một khi đã ở trong mạng, kẻ tấn công có thể thay đổi bất cứ thông tin nào trên cơ sở dữ liệu của công ty nhưng nó lại được thể hiện như những thay đổi của một người lao động nào đó trong công ty.
  15. 4.1. Hệ thống an ninh trong thương mại điện tử 15 4.1.2. Vì sao cần có an ninh? ❖ Các dạng rủi ro liên quan tới tính thống nhất của công ty - Xâm nhập như một địa chỉ IP nội bộ Đôi khi một kẻ tấn công có thể xâm nhập như một địa chỉ IP nội bộ và ngăn chặn các gói mạng. Một khi kẻ tấn công có thể thâm nhập mạng, đọc IP và password của một người sử dụng nào đó, tác hại có thể là rất lớn. Nếu một kẻ tấn công có khả năng đóng vai một người sử dụng hợp pháp, hắn sẽ có sự tự do lớn bên trong mạng và có thể dùng sự tự do này để thay đổi các thông tin hoặc chương trình trên mạng của công ty. - Tấn công từ chối dịch vụ Đôi khi, khi đã tìm được cách tiếp cận mạng của công ty, kẻ tấn công sử dụng các thông tin có được để phá hủy các ứng dụng tìm thấy trên mạng này. Đó có thể là dạng tấn công từ chối dịch vụ. Đây là sự tấn công khóa những người hợp pháp bên ngoài các ứng dụng hoặc các nguồn trên chính mạng của họ. Những cuộc tấn công này được thiết kế và sử dụng để làm gián đoạn dòng kinh doanh thông thường của người sử dụng. Bất kỳ ai làm việc với máy tính đều biết rằng, việc không có lối tiếp cận tới một ứng dụng sẽ gây trở ngại cho người sử dụng và có thể gây chi phí lớn vì mất năng suất.
  16. 4.1. Hệ thống an ninh trong thương mại điện tử 16 4.1.2. Vì sao cần có an ninh? ❖ Các dạng rủi ro liên quan tới tính thống nhất của công ty - Tấn công lớp ứng dụng Một cách khác để kẻ xấu làm gián đoạn mạng là ở mức ứng dụng. Kẻ tấn công thực hiện tấn công vào phần mềm được biết rộng rãi là điểm yếu và khai thác chúng. Khi một cuộc tấn công xảy ra ở mức lớp ứng dụng, nó là rất khó để phát hiện đó là một cuộc tấn công hay một trục trặc ứng dụng. Một ví dụ rất rõ ràng là một virus thư điện tử có thể gây cho ứng dụng thư điện tử làm những việc như gửi thông điệp thư điện tử mà nó không nên gửi. Dạng tấn công này là nhằm vào việc gây phiền toái cho người sử dụng và làm giảm năng suất.
  17. 4.1. Hệ thống an ninh trong thương mại điện tử 17 4.1.3. Thiết lập hệ thống an ninh dựa trên luồng giao thông Một cách tốt nhất để cân bằng an ninh là lắp đặt có chiến lược hệ thống an ninh tại các vị trí khác nhau trong mạng. Bằng cách tập trung vào những vị trí nhất định, bạn có thể thực thi an ninh ở nơi cần thiết nhất và dễ dàng nhất cho việc kiểm soát và từ đó xác định vị trí bạn có thể đặt lớp an ninh. Có 3 điểm chung cần được lưu ý trong biện pháp an ninh dựa trên giao thông là: (1) Vành đai ngoài cùng; (2) Vành đai nội bộ; (3) Vành đai trong cùng.
  18. 4.1. Hệ thống an ninh trong thương mại điện tử 18 4.1.3. Thiết lập hệ thống an ninh dựa trên luồng giao thông Vành đai ngoài cùng Là đường ranh giới giữa công ty của bạn và thế giới bên ngoài. Thông thường nhất, điểm này ở tại con đường hoặc một số phần cứng khác như tường lửa nối mạng của bạn với Internet. Điều quan trọng nhất cần phải lưu ý với vị trí này là ở chỗ bạn phải kiểm soát được mọi thứ về phía mạng của bạn nhưng lại không kiểm soát được bất kỳ thứ gì ngoài mức này. Vành đai ngoài cùng là một vị trí rõ ràng để cung cấp an ninh bởi vì nó là khu vực dễ bị tấn công nhất. Hàng rào nội bộ Được định nghĩa là những vị trí thực tế, ở đó mạng của bạn có các biện pháp an ninh. Chẳng hạn, bất kỳ bức tường lửa hay vành đai nào bên trong mạng thực tế hoặc hoạt động như là hàng rào giữa bên ngoài và bên trong mạng của bạn đều là hàng rào nội bộ. An ninh ở mức này là để sàng lọc các dữ liệu và chuyển chúng tới nơi cần thiết. Mức an ninh này tập trung nhiều vào các vấn đề nội bộ hơn là những kẻ tấn công bên ngoài mặc dù nó cũng là một cách tốt khác trên mạng để phát hiện các hành vi không bình thường.
  19. 4.1. Hệ thống an ninh trong thương mại điện tử 19 4.1.3. Thiết lập hệ thống an ninh dựa trên luồng giao thông Hàng rào trong cùng Là khu vực trung tâm mạng của bạn, là phần của mạng mà người sử dụng giao tiếp hàng ngày. Hàng rào này là nơi của an ninh dựa trên người sử dụng nhằm đảm bảo rằng người sử dụng là thành viên hợp pháp của công ty và đang xử lý các thông tin mà họ được phép tiếp cận. Một khi bạn đã quyết định vị trí an ninh đặt trên mạng, bạn cũng cần lưu ý tới liên kết giữa mạng. Khi vấn đề an ninh được quan tâm, chỉ có 3 dạng khác nhau của mạng là: (1) Mạng tin cậy; (2) Mạng không đủ tin cậy; (3) Mạng không biết.
  20. 4.1. Hệ thống an ninh trong thương mại điện tử 20 4.1.3. Thiết lập hệ thống an ninh dựa trên luồng giao thông Lựa chọn an ninh bức tường lửa - Có 4 dạng khác nhau của tường lửa nhưng chúng giao nhau một chức năng cơ bản: làm hẹp lối vào mạng tại một điểm đơn và sau đó kiểm soát các thông tin vào và ra khỏi mạng. - Có thể chọn một số giải pháp sau: + Tường lửa lọc gói: Một bức tường lửa lọc gói kiểm tra giao thông mạng ở mức cả gói. Khi một gói tin được gửi thông qua mạng, nó phải được kiểm tra chặt chẽ và sẽ không cho phép đi qua hay từ chối phù hợp với quy tắc chung và các quy định đã được lập chương trình cho bức tường lửa. Tường lửa lọc gói thuộc thế hệ thứ nhất của bức tường lửa.
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

CMO.02: Bộ Tài Liệu Quản Trị Bán Hàng Và Kênh Phân Phối
405 tài liệu
1414 lượt tải
THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2