CHƯƠNG 4 AN TOÀN THƯƠNG MẠI ĐIỆN TỬ

1

Bộ môn Thương mại điện tử

NỘI DUNG CHÍNH

• ĐỊNH NGHĨA VÀ CÁC VẤN ĐỀ ĐẶT RA CHO AN TOÀN TRONG

TMĐT

1

• CÁC NGUY CƠ VÀ HÌNH THỨC TẤN CÔNG ĐE DỌA AN TOÀN

TMĐT

2

• QUẢN TRỊ AN TOÀN TMĐT

3

• MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN TRONG

TMĐT

4

2

Bộ môn Thương mại điện tử

4.1. ĐỊNH NGHĨA VÀ VẤN ĐỀ ĐẶT RA

ĐỊNH NGHĨA AN TOÀN TMĐT

1.1

1.2

NHỮNG VẤN ĐỀ CĂN BẢN CỦA AN TOÀN THƯƠNG MẠI ĐIỆN TỬ

3

Bộ môn Thương mại điện tử

4.1.1 ĐỊNH NGHĨA AN TOÀN TMĐT

An toàn thương mại điện tử là an toàn thông tin trao đổi giữa

các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ

thống máy chủ thương mại và các thiết bị đầu cuối, đường

truyền..) không bị xâm hại từ môi trường hoặc có khả năng

chống lại những tai họa, lỗi và sự tấn công từ môi trường đó.

4

Bộ môn Thương mại điện tử

4.1.2 NHỮNG VẤN ĐỀ CĂN BẢN CỦA AN TOÀN TMĐT

Sự xác thực (Authentication)

Sự cấp phép (Authorization)

Kiểm soát, giám sát (Auditing)

Tính tin cậy (Confidentiality) và tính riêng tư (Privacy)

Tính toàn vẹn (Integrity)

Tính sẵn sàng (Availability)

Chống phủ định (Non-repudation)

5

Bộ môn Thương mại điện tử

4.2. CÁC NGUY CƠ VÀ HÌNH THỨC TẤN CÔNG ĐE DỌA AT TMĐT

TẤN CÔNG PHI KỸ THUẬT

4.2.1

TẤN CÔNG KỸ THUẬT

4.2.2

6

Bộ môn Thương mại điện tử

TẤN CÔNG KỸ THUẬT

Đặc điểm

Ví dụ

Virut

Là 1 chương trình có khả năng: -Tự nhân bản - Lây nhiễm từ file – file khi được kích hoạt -Tự phá hủy file -Tự di chuyển thư mục khác => Lấy cắp thông tin và phá hỏng dữ liệu, chuyển dữ liệu -> con số và ko thể phục hồi

Worm (sâu máy tính) Là 1 chương trình có khả năng:

Virut ILOVEYOU tự gửi bản sao tới 50 địa chỉ thư điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook

-Tự nhân bản - Lây nhiễm từ máy tính – máy tính mà ko cần kích hoạt -Tự lan truyền qua mạng (thường là qua email) => phá các mạng thông tin, giảm khả năng hoạt động hay hủy hoại

Bộ môn Thương mại điện tử

TẤN CÔNG KỸ THUẬT

Đặc điểm

Ví dụ

Giả dạng các chương trình trò chơi, đĩa nhạc…

Con ngựa thành Tơ-roa

Là 1 chương trình: - Ko có khả năng nhân bản - Tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vào các hệ thống máy tính -Tìm kiếm tệp - Giảm dung lượng tệp xuống 0 byte => Tệp ko thể sd và ko thể khôi phục

Virut tệp

Virut ILOVEYOU đính kèm tệp “Love-Letter-For- You.TXT.vbs”. Khi mở tệp này, virus sẽ xoá toàn bộ các tệp .mp3 và .jpg.

Là 1 chương trình có khả năng: -Lây nhiễm vào các tệp tin có đuôi *.exe, *.com, *.drv và *.dll và - Nhân bản khi chúng ta thực thi các tệp tin bị lây nhiễm

Bộ môn Thương mại điện tử

TẤN CÔNG KỸ THUẬT

Đặc điểm

Ví dụ

Win32.GreenScreen

Là 1 chương trình phần mềm : - Theo dõi moi hoạt động trên máy tính - Thâm nhập trực tiếp vào hệ điều hành

mà không để lại dấu vết.

Spyware (phần mềm gián điệp) – biến thể của Adware - Thu thập mọi thông tin cá nhân, => gửi về cho kẻ tấn công

Một loại virus cải trang thành một file mang tên iTunes.exe

Adware (phần mềm quảng cáo)

Bộ môn Thương mại điện tử

Là một phần mềm quảng cáo được cài đặt lén lút vào máy người sử dụng hoặc do người sủ dụng không biết nên tự nguyện cài đặt thông qua các dịch vụ download, chia sẻ phần mềm

4.3. QUẢN TRỊ AN TOÀN TMĐT

4.3.1

4.3.2

CÁC LỖI THƯỜNG MẮC PHẢI TRONG QUẢN TRỊ AN TOÀN TMĐT

CÁC BƯỚC QUẢN TRỊ AN TOÀN THƯƠNG MẠI ĐIỆN TỬ

10

Bộ môn Thương mại điện tử

4.4. MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN TMĐT

4.4.1

AN TOÀN TRUYỀN THÔNG THƯƠNG MẠI ĐIỆN TỬ

4.4.2

AN TOÀN MẠNG THƯƠNG MẠI ĐIỆN TỬ

4.4.3

BẢO VỆ CÁC HỆ THỐNG CỦA KHÁCH HÀNG VÀ MÁY PHỤC VỤ

11

Bộ môn Thương mại điện tử

4.4 MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO AN TOÀN TMĐT

• Điều khiển và kiểm soát truy cập

• Mã hoá • Chữ ký điện tử • Chứng thực điện tử

• Các giao thức an toàn

• Các hệ thống xác thực • Các kỹ thuật mã hoá

• An toàn mạng TMĐT

• Bức tường lửa

• Các biện pháp bảo vệ hệ thống khách/chủ • Các chương trình tìm & phát hiện xâm nhập • Anti virus

12

• SSL, SET

Điều khiển & kiểm soát truy cập

HỆ THỐNG XÁC THỰC

Hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện và hạn chế những hoạt động của họ, chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thành

 Cơ chế xác thực

 Giới hạn các hoạt động thực hiện bởi việc nhận dạng một

người hay một nhóm  Thiết bị (Passive tokens)

 Các thiết bị lưu trữ như dải từ (magnetic strips) được sử dụng

trong hệ thống nhận dạng bao gồm mã mật và các đặc điểm nhận dạng khác (sinh trắc)

 Các yếu tố điều kiện nhận dạng

13

 Mật khẩu  Các hệ thống sinh trắc học

CÁC KĨ THUẬT MÃ HÓA

Mã hoá là quá trình xáo trộn (mã hóa) một tin nhắn, văn bản hay các tài liệu thành văn bản, tài liệu dưới dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể hoặc khó có thể đọc

• Các khái niệm

– Bản gốc hay bản rõ (Plaintext)

• Một mẩu tin/văn bản không mã hóa và con người có thể đọc

– Bản mã hoá hay bản mờ (Ciphertext)

• Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc

– Khóa (Key)

• Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin

– Thuật toán mã hóa (Encryption algorithm)

• Là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại

14

Bộ môn Thương mại điện tử

CÁC KĨ THUẬT MÃ HÓA

 Mục đích của kỹ thuật mã hoá

• Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho thông tin

khi truyền phát trên mạng.

 Kỹ thuật mã hoá giúp đảm bảo

• Tính toàn vẹn của thông điệp; • Chống phủ định; • Tính xác thực; • Tính bí mật của thông tin.

 Các kỹ thuật mã hoá cơ bản

• Mã hoá bằng thuật toán băm (hàm Hash) • Mã hoá khoá bí mật • Mã hoá khoá công khai

15

Bộ môn Thương mại điện tử

MÃ HÓA BẰNG THUẬT TOÁN BĂM (HASH)

Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật toán HASH để mã hoá thông điệp

 Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra

– Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả

E783A3AE2ACDD7DBA5E1FA0269CBC58D.

– Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả

sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit)

16

Bộ môn Thương mại điện tử

A766F44DDEA5CACC3323CE3E7D73AE82.

MÃ HÓA BẰNG THUẬT TOÁN BĂM (HASH)

 Tính chất cơ bản của hàm HASH

• Tính một chiều

• Tính duy nhất

 Ứng dụng của hàm hash

• Chống và phát hiện xâm nhập

• Tạo chìa khóa từ mật khẩu

• Tạo chữ kí điện tử.

17

Bộ môn Thương mại điện tử

• Bảo vệ tính toàn vẹn của thông điệp

MÃ HÓA KHÓA BÍ MẬT VÀ MÃ HÓA CÔNG KHAI

Mã hoá khoá bí mật

• Gọi là mã hoá đối xứng hay mã hoá khoá riêng • Sử dụng một khoá cho cả quá trình mã hoá: hoạt động mã hóa (thực hiện bởi người gửi) và hoạt động giải mã (thực hiện bởi người nhận)

Mã hoá khoá công cộng

• Gọi là mã hoá không đối xứng hay mã hoá khoá chung • Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để mã hoá thông điệp (người gửi) và một khoá khác dùng để giải mã (người

nhận).

18

Bộ môn Thương mại điện tử

Mã hoá khoá riêng Mã hoá khoá công cộng

Đặc điểm Số khoá

Loại khoá

Đơn giản, nhưng khó quản lý

Sử dụng để mã hoá những

Sử dụng đối với những ứng

Nhanh Chậm

dữ liệu lớn (hàng loạt)

dụng có nhu cầu mã hoá nhỏ

hơn như mã hoá các tài liệu

nhỏ hoặc để ký các thông

điệp

19

Bộ môn Thương mại điện tử

Quản lý khoá Tốc độ giao dịch Sử dụng

• Mã hóa “khóa bí mật”

1

1

• Mã hoá khoá công cộng

1

1

Bộ môn Thương mại điện tử

CHỮ KÝ ĐIỆN TỬ

Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký.

(Luật Giao dịch điện tử)

 Chức năng của chữ ký điện tử

 Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể

 Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người

 Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong quá trình

lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký 21

 Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó

1

1

1

1

• Cơ chế hoạt động của chữ ký điện tử

Bộ môn Thương mại điện tử

VB mã hóa/ Phong bì số

Hàm băm

Hàm băm

TĐS2

VB1 =

• Quy trình gửi thông điệp sử dụng chữ ký điện tử TĐS

TĐS1

MỘT SỐ LƯU Ý • Thuật toán được sử dụng nhiều nhất trong hàm

băm: MD5 và SHA-1

• Mật khẩu là giải pháp kiểm soát truy cập và xác

thức được sử dụng rộng rãi nhất

• Tại VN, Chữ ký điện tử được sử dụng phổ biến

nhất trong khai báo thuế qua mạng

• Bức tường lửa kiểm soát ra vào, ngăn chặn truy

cập trái phép vào mạng nội bộ

24

Bộ môn Thương mại điện tử