ự
ữ
ệ
ế
ạ ?
ậ
Cyberwar: Mutually Assured Destruction 2.0 Class Discussion S khác bi t gi a hack và chi n tranh m ng T i sao hi n nay chi n tranh m ng gây h u ế ơ
ướ
ọ
ệ qu nghiêm tr ng h n tr
ạ ? c đây
ố ượ
ễ
ị
ộ ạ ? ng máy tính b nhi m mã đ c h i
ủ ệ
i phap chính tr đ
ị ể MAD 2.0 đ hi u
ạ ả S l Gi
ả quả?
Slide 52
Copyright © 2011 Pearson Education, Inc.
Môi trường an ninh TMĐT
ữ
ệ ạ
Nhìn chung qui mô và nh ng thi
t h i gây ra
ừ
ộ ấ
t
các cu c t n công không rõ ràng
Báo cáo công bố
ứ
ự
ệ
ệ
ả
Theo nghiên c u CSI 2009: 49% các doanh ạ nghi p kh o sát phát hi n ra các s vi ph m trong năm ngoái
ệ ạ
ả
Thi
t h i trung bình kho ng $288,000
ắ
ừ
Ăn c p thông tin t
các server
Figure 5.1, Page 266
Types of Attacks Against Computer Systems (Cybercrime)
SOURCE: Based on data from Computer Security Institute, 2009
An ninh TMĐT nào là tốt?
ứ
Đ t đ
c ch ng ch cao nh t v an ninh
ữ
ẩ
ỉ ạ ượ ấ ề Các công ngh m i nh t ấ ệ ớ Nh ng chính sách và th t c c a t ủ ụ ủ ổ ứ ch c Các tiêu chu n ngành và pháp lu t ậ
Các y u t
khác ờ
ạ ề là ti n b c
ị
ệ ạ t h i ỡ ạ
ế ế
ữ
ế ố Th i gi ờ Chi phí cho an ninh vs thi An ninh th ườ
ng b phá v t
i nh ng liên k t y u
nh tấ
The E-commerce Security Environment
Figure 5.2, Page 269
Copyright © 2011 Pearson Education, Inc.
Copyright © 2011 Pearson Education, Inc.
Sự bất đồng giữa an ninh và các giá trị khác
D s d ng: ễ ử ụ
ề ẩ
Càng nhi u tiêu chu n an ninh thêm vào càng khó ử ụ s d ng site, và vi c truy c p ngày càng ch m
ộ
ạ
An toàn chung và t
i ph m trên Internet
ệ ậ ậ
T i ph m s d ng công ngh lên k ho ch t n
ử ụ ệ ế ạ ạ ấ ộ
ọ ố công, đe d a các qu c gia
Các đe dọa an ninh trong TMĐT
ế
ể
3 đi m y u chính:
ề 1. Kênh truy n thông Internet
ấ
2. C p Server
ấ 3. C p Client
A Typical E-commerce Transaction
SOURCE: Boncella, 2000.
Figure 5.3, Page 273
Copyright © 2011 Pearson Education, Inc.
Vulnerable Points in an E-commerce Environment
SOURCE: Boncella, 2000.
Figure 5.4, Page 274
Copyright © 2011 Pearson Education, Inc.
Các mối đe dọa an ninh phổ biến trong TMĐT
Mã đ c h i ộ ạ Viruses Worms Trojan horses Bots, botnets
Các ch
ợ ng trình không mong đ i
ươ Browser parasites Adware Spyware
Các mối đe dọa an ninh phổ biến
ạ
ạ
Phishing Hacking và phá ho i m ng
Các mối đe dọa an ninh phổ biến
ụ
ẻ
ộ
Gian l n th tín d ng/ tr m c p ắ ậ Spoofing
Pharming
Spam/junk Web sites
T n công t
Slide 517
Copyright © 2011 Pearson Education, Inc.
ấ ừ ố ch i ph c v ụ ụ Denial of service (DoS)
Các mối đe dọa an ninh phổ biến
Sniffing T n công t
Single largest financial threat
ấ ừ bên trong (nhân viên Insider jobs)
Ph n m m server & client thi Các đe d a t
ầ ề ế ế t k kém
Slide 518
Copyright © 2011 Pearson Education, Inc.
ọ ừ Mobile
Các giải pháp công nghệ
ề
ệ
ả
B o v truy n thông Internet (encryption)
ề
Các kênh truy n thông an toàn (SSL, SHTTP, VPNs)
ệ ạ
ả
B o v m ng (firewalls)
ệ
ả
B o v servers và clients
Tools Available to Achieve Site Security
Figure 5.7, Page 287
Slide 520
Copyright © 2011 Pearson Education, Inc.
Mã hóa dữ liệu
ể ọ ượ ỉ c
ạ ậ i nh n i g i và ng
Chuy n d li u thành d ng ch có th đ c đ ườ Đ m b o an toàn cho thông tin khi l u tr và
Nh m đ m b o an ninh TMĐT: ả
Mã hóa d li u ữ ệ ể ữ ệ ườ ử ở b i ng ả ả ề ả truy n t i ả ằ ẹ
ệ
Toàn v n thông đi p
ố ỏ
ưở
1. ố 2. Ch ng ch i b 3. Xác th cự ậ ẩ 4. C n m t, tin t
ng
ữ ư
Hash Coding, Privatekey, và Publickey Encryption
Mã hóa khóa đối xứng
Ng
ườ ố i nh n s d ng cùng khóa s
ả ườ ử i g i và ng ệ cho vi c mã hóa và gi ậ ử ụ ệ i mã thông đi p
Yêu c u ph i có khóa khác nhau cho m i giao
ầ ả ỗ
d chị
S c m nh c a mã hóa ph thu c vào chi u dài
ụ ề ộ ạ
Advanced Encryption Standard (AES)
ượ
ộ
Đ c áp d ng r ng rãi ụ
ử ụ
ề
ủ ứ ữ ệ ủ c a khóa mã hóa d li u
S d ng khóa mã hóa có chi u dài 128, 192, 256bit Các chu n khác có th s d ng khóa 2,048 bits
ể ử ụ ẩ
Mã hóa khóa công khai – khóa bất đối xứng
S d ng 2 khóa s có quan h v m t toán h c v i ọ ớ
ệ ề ặ ử ụ ố
Public key (widely disseminated)
Private key (kept secret by owner)
nhau
C 2 khóa đ u có th dùng cho quá trình mã hóa và
ề ể
ả ả gi ệ i mã thông đi p
Mã hóa b ng khóa này ch có th gi i
ể ả ỉ ằ i mã b ng khóa
ằ ượ ạ c l kia và ng
Figure 5.8, Page 289
Slide 525
Copyright © 2011 Pearson Education, Inc.
Public Key Cryptography – A Simple Case
ố ị
ề
ố
ọ
Thu t toán t o ra dãy s có chi u dài c đ nh g i là message hay hash
Mã hóa khóa công khai, chữ ký số và Hash Digests Hàm Hash: ạ ậ digest
Hash digest c a thông đi p g i đ n ng
ủ
ể ằ nh m ki m tra tính toàn v n c a thông đi p
ậ ườ i nh n ệ ớ c mã hóa v i khóa
ườ ệ ử ế ẹ ủ ệ ượ ậ i nh n công khai c a ng
Toàn văn b n mã hóa sau đó đ ữ
ớ c mã hóa v i khóa
ủ ạ ằ ố ượ i g i – t o ch ký s nh m xác
Hash digest và thông đi p đ ủ ả ườ ử riêng c a ng ố th c và ch ng ch i b
ố ỏ ự
Public Key Cryptography with Digital Signatures
Figure 5.9, Page 291
Slide 527
Copyright © 2011 Pearson Education, Inc.
Văn bản với chữ ký điện tử
ượ
Phong bì số Nh
Mã hóa khóa công khai
ố ộ
ề ả
ậ
ả
ử
ờ
Tính toán ch m, gi m t c đ truy n t
i, tăng th i gian x lý
ố ứ
Mã hóa khóa đ i x ng
ể
Không an toàn trong quá trình chuy n khóa
ể c đi m:
S d ng mã hóa khóa đ i x ng đ mã hóa tài li u ệ
ố ứ ử ụ ể
S d ng mã hóa khóa chung đ mã hóa và g i khóa
ử ể
ử ụ ố ứ đ i x ng
Creating a Digital Envelope
Figure 5.10, Page 292
Slide 530
Copyright © 2011 Pearson Education, Inc.
ứ
ủ
ủ ể
ủ
ố ủ
ỉ ố
ế
ố ủ
ữ
ươ
ổ ế
ng pháp ph bi n
Public Key Infrastructure (PKI): CAs and digital certificate procedures PGP "Pretty Good Privacy"", đây là ph ệ
ấ ể
ấ
ạ
nh t và m nh nh t đ mã hóa file hi n nay
Chứng chỉ số và cơ sở hạ tầng khóa công khai - Public Key Infrastructure (PKI) Ch ng ch s bao g m: ồ ỉ ố Tên c a ch th / công ty ủ ể Khóa công khai c a ch th Dãy s c a ch ng ch s Digital certificate serial number ứ Ngày c p và ngày h t hi u l c ệ ự ấ Ch ký s c a CA
Digital Certificates and Certification Authorities
Figure 5.11, Page 294
Slide 532
Copyright © 2011 Pearson Education, Inc.
ệ ư
ữ
ả
ả
Hạn chế của các giải pháp mã hóa Không đ m b o trong vi c l u tr khóa
riêng PKI không hi u qu trong vi c phòng ch ng
ệ ệ ả ố
trong n i bộ ộ
Cá nhân không có ý th c trong vi c b o v khóa ứ
ệ ả ệ
ượ
ể
c ki m tra cũng không
ả
Các máy tính đã đ ả đ m b o an ninh
ượ
ể
ự ự
ọ
Các CA không đ
c ki m soát, t
l a ch n
t
ổ ứ ch c
ri ngệ
Trung tâm Chứng thực kỹ thuật số - CA
C p và qu n lý ch ng th c s cho t
ả ứ
ươ
ữ ệ ố ố ấ ả t c các đ i ệ ử ị ng giao d ch đi n t , ng m i và trao đôi thông tin, ữ ch c và các h th ng
.
ự ố ấ ườ ượ ng tham gia trong môi tr t ạ ị ư nh các giao d ch th ổ ứ ồ g m nh ng cá nhân, nh ng t ươ th ứ ạ ng m i đi n t ự ố
ổ ứ ng đi n t
ậ
ề ể ầ ệ ử Ch ng th c s cho các cá nhân và t ệ ự ch c th c hi n ư ệ ử ườ ị , nh an toàn các giao d ch trong môi tr ổ ử g i nh n email, mua bán hàng hoá, trao đ i thông tin, phát tri n ph n m m...
Trung tâm Chứng thực kỹ thuật số
ự ố
ứ
ứ
Các ch c năng chính c a Trung tâm ch ng th c s ủ
ứ ứ
ự ố ự ố
ề ứ
ế
ự ố
ự ụ ầ
ổ
ứ
ả
(cid:0) Đăng ký xin c p ch ng th c s ấ (cid:0) Xác th c và c p ch ng th c s ấ (cid:0) Truy l c và tìm ki m thông tin v ch ng th c s (cid:0) Yêu c u thay đ i, gia h n … ạ (cid:0) Qu n lý ch ng th c s ự ố
Trung tâm Chứng thực kỹ thuật số
ươ ệ ử ả ạ ộ ụ ệ ố ự ợ ạ ng m i đi n t
ự ự ố ố ử ụ ứ ả
Công c an toàn, b o m t và xác th c h p pháp cho ậ : các các h th ng ho t đ ng th ệ ị web site giao d ch B2B, các web site bán hàng, h ế th ng thanh toán tr c tuy n... S d ng ch ng th c s giúp cho b o đ m an toàn ả . Tránh đ
ượ
ệ ử ộ ơ ạ ạ ả c các nguy c , gi ậ ả các thông tin nh y c m, m o danh,
ổ ộ ị các giao d ch đi n t m o thông tin, l ạ xuyên t c và thay đ i n i dung thông tin.
đâu ???
ơ
ự ố ạ
Câu Hỏi Xin c p ch ng th c s ự ố ở ứ ấ Đã có c quan c p ch ng th c s t ứ ấ
i VN???
ự
ự
ố
ố
ộ
ộ
ụ Ứ ề
Tại Việt Nam ???? Trung tâm ch ng th c ch ký s qu c gia tr c thu c ữ ứ ệ ụ C c ng d ng công ngh thông tin – B Thông tin và truy n thông
ứ
ự ỹ
ậ ố
ọ
ơ ở
ự
ệ ệ
ụ
ả
ạ
t b chuyên d ng, an toàn và b o m t
ế ị ẩ
ứ
ệ
Trung tâm ch ng th c k thu t s Trung tâm tin h c & ộ Nacencomm / B KH & CN. Xây d ng trên c s công ậ ngh hi n đ i, thi m c cao theo tiêu chu n hi n hành.
www.diap.gov.vn
VeriSign
ổ ế
ơ
C quan CA Certification Authority n i ti ng và
thành l p t
ậ ừ ấ ấ
r t lâu Cung c p nhi u c p đ xác nh n ề ấ ậ ấ
ế ợ
ộ
ộ Class 1 (L p th p nh t) ấ ớ ư ệ ử ớ K t h p th đi n t v i mã khóa công c ng Class 4 (L p cao nh t) ấ ớ
Apply to servers and their organizations Offers assurance of an individual’s identity and relationship to
a specified organization
An ninh kênh truyền thông
Secure Sockets Layer (SSL):
Establishes a secure, negotiated clientserver session in which URL of requested document, along with contents, is encrypted SHTTP:
Provides a secure messageoriented communications protocol designed for use in conjunction with HTTP
Virtual Private Network (VPN):
Allows remote users to securely access internal network via the Internet, using PointtoPoint Tunneling Protocol (PPTP)
Slide 542
Copyright © 2011 Pearson Education, Inc.
Secure Negotiated Sessions Using SSL
Figure 5.12, Page 298
Slide 543
Copyright © 2011 Pearson Education, Inc.
Bảo vệ mạng
Firewall
Hardware or software Uses security policy to filter packets 3 ph
ụ
ộ ọ ổ ứ ổ
B l c packet (packetfiltering router) C ng ng d ng (applicationlevel gateway hay proxy server) C ng m ch (circuit level gateway)
ạ Proxy servers (proxies)
Software servers that handle all communications
ươ ứ ng th c:
originating from or being sent to the Internet
Firewalls and Proxy Servers
Figure 5.13, Page 301
Slide 545
Copyright © 2011 Pearson Education, Inc.
ồ
Tường Lửa-Firewalls Ch c năng chính c a Firewall là ki m soát lu ng thông
ủ gi a Intranet và Internet. Thi ể ế ậ ơ ế ề t l p c ch đi u
ặ ấ
ữ
ụ
ừ
ậ
ị
ữ ạ
Intranet ra Internet).
ặ ấ
ụ
ậ
Cho phép ho c c m nh ng d ch v phép truy nh p vào trong ị
ừ
ữ Internet vào Intranet).
(t
ữ
ấ
ậ
ỉ
ị
ườ ử ụ
ậ ủ
ệ
Theo dõi lu ng d li u m ng gi a Internet và Intranet. ữ ệ ồ ạ Ki m soát đ a ch truy nh p, c m đ a ch truy nh p. ậ ỉ ị Ki m soát ng i s d ng và vi c truy nh p c a ng
ườ ử i s
ư
ể
ạ
ộ
ể ể d ng.ụ ể
Ki m soát n i dung thông tin thông tin l u chuy n trên m ng
ứ ừ ữ tin t ể khi n dòng thông tin gi a m ng bên trong (Intranet) và ạ m ng Internet Cho phép ho c c m nh ng d ch v truy nh p ra ngoài (t
Tường Lửa-Firewalls
ứ
ề
ầ
Các ch c năng c a ph n m m firewall ủ
ườ
t c các gói tin đi ngang qua t
ử ng l a
ể Ki m tra t ạ ộ ọ
ầ
ứ
ụ
L c gói tin d a trên yêu c u các ng d ng
L c các gói tin(Packet filters) ấ ả Ho t đ ng nh 1 Gateway ư ự Proxy servers
ụ ộ
ạ
ạ
ạ ớ ệ
Liên l c v i m ng bên ngoài thay cho m ng c c b Vùng đ m cho các trang web
ọ
ộ ọ
ỗ
Nguyên Lý Bộ Lọc Packet B l c packet cho phép hay t
ừ ố ch i m i ể
ộ c.Nó ki m tra toàn b
ậ ượ ể
ế ị ộ
ậ ệ
ả
ố
packet mà nó nh n đ ạ ữ ệ ạ ữ đo n d li u đ quy t đ nh xem đo n d ệ li u đó có tho mãn m t trong s các lu t l ủ ọ c a l c packet hay không.
ự
ậ ệ ọ ở ầ
l c packet này là d a trên các đ u m i packet (packet header),
ề
ở
trên
Các lu t l ỗ thông tin ể dùng đ cho phép truy n các packet đó m ng:ạ
Nguyên Lý Bộ Lọc Packet(tt)
ị ị ỉ ỉ ấ ậ
ữ ơ ơ ủ ụ
ấ ậ ơ ơ
Đ a ch IP n i xu t phát ( IP Source address) Đ a ch IP n i nh n (IP Destination address) Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) ề C ng TCP/UDP n i xu t phát (TCP/UDP source port) C ng TCP/UDP n i nh n (TCP/UDP destination port) D ng thông báo ICMP ( ICMP message type)
ổ ổ ạ
ế
ệ ệ Giao di n packet đ n ( incomming interface of packet) Giao di n packet đi ( outcomming interface of packet)
ượ ả
Nguyên Lý Bộ Lọc Packet(tt) N u lu t l ậ ệ ọ l c packet đ ể
c tho mãn thì packet ẽ ị ỏ ế c chuy n qua firewall. N u không packet s b b
ế ượ đ đi.
Nh v y mà Firewall có th ngăn c n đ
ờ ậ ả ượ ể
ạ ượ
ế c các k t c xác ạ ộ
Vi c ki m soát các c ng làm cho Firewall có kh ả
ị ủ ặ ệ ỉ
ố n i vào các máy ch ho c m ng nào đó đ ệ ố ậ ặ ị đ nh, ho c khoá vi c truy c p vào h th ng m ng n i ộ ừ ữ b t ể ệ ỉ
nh ng đ a ch không cho phép. ổ ộ ố ạ ế ố ặ ấ ị ị ữ ạ
ạ
ỉ ượ ụ ộ ệ ố ạ năng ch cho phép m t s lo i k t n i nh t đ nh vào ụ ủ các lo i máy ch nào đó, ho c ch có nh ng d ch v ớ nào đó (Telnet, SMTP, FTP...) đ c phép m i ch y ượ c trên h th ng m ng c c b đ
Packet Filter
Đa s các h th ng firewall đ u s d ng b ộ
ề ử ụ ệ ố
Ưu/Khuyết điểm Ưu đi mể ố ọ l c packet. ấ
ượ c bao
Chi phí th p vì c ch l c packet đã đ ơ ế ọ ề ầ B l c packet là trong su t đ i v i ng ụ
ỗ
H n chạ
ệ ệ ậ ả t nào c .
Vi c đ nh nghĩa các ch đ l c package là
ế ộ ọ
ồ g m trong m i ph n m m router. ộ ọ ườ ử ố ố ớ i s ứ ụ d ng và các ng d ng, vì v y nó không yêu ầ ự ấ ặ c u s hu n luy n đ c bi ế ệ ị ệ ộ ứ ạ m t vi c khá ph c t p
Ưu/Khuyết điểm
Khi đòi h i v s l c càng l n, các lu t l
ậ ệ ấ
ớ ứ ạ
ỏ ể ự ọ ở
ể ọ v l c càng tr nên dài và ph c t p, r t khó ể ả ể đ qu n lý và đi u khi n. ể ộ ọ
ượ
c nôi
ề B l c packet không ki m soát đ ủ
ể
ể
ắ
ẫ ồ ớ ộ ạ ủ ẻ ấ
dung thông tin c a packet. Các packet ữ chuy n qua v n có th mang theo nh ng hành đ ng v i ý đ ăn c p thông tin hay phá ho i c a k x u.
Cổng ứng dụng
Nguyên lý ộ
ườ
ượ
ế ế ể
ng ch c
t k đ tăng c
ể
ậ
ứ c cho phép ự
ứ ượ ạ ộ
ủ
ứ ọ
ạ c thi Đây là m t lo i Firewall đ ụ ạ ị năng ki m soát các lo i d ch v , giao th c đ ơ ế ạ ệ ố truy c p vào h th ng m ng. C ch ho t đ ng c a nó d a trên cách th c g i là Proxy service. Proxy service là các b code đ c bi ệ ả ụ
ừ ứ
ộ ế ộ ứ
ụ ươ ể
ượ
ẽ
ấ
ặ ặ t cài đ t trên gateway ị ạ ườ i qu n tr m ng không cài ị ụ ng ể c cung c p và do đó không th chuy n
cho t ng ng d ng. N u ng ặ đ t proxy code cho m t ng d ng nào đó, d ch v t ứ ng s không đ thông tin qua firewall.
ể ượ ị
ấ
ể
ấ
ỉ ộ ố ặ ạ ể
Ngoài ra, proxy code có th đ ể ỗ ợ c đ nh c u hình đ h tr ả ứ ị ư ụ ch m t s đ c đi m trong ng d ng mà ng òi qu n tr ặ ữ ừ ố ậ ượ ch i nh ng đ c c trong khi t m ng cho là ch p nh n đ đi m khác.
ộ
Cổng ứng dụng M t c ng ng d ng th ộ ổ ứ
ng đ ượ
i
ượ c thi ữ
ụ ư c coi nh là m t pháo đài ở ạ ệ ể ố ế ế ặ t đ ch ng l t k đ t bi ả ả ệ bên ngoài. Nh ng bi n pháp đ m b o an
ủ
ầ
ế ế
ượ
ụ
ố
t k chuyên cho m c đích ch ng l
ệ ố c thi
ư
ả
ườ (bastion host), b i vì nó đ ừ ự ấ s t n công t ộ ủ ninh c a m t bastion host là: ạ Luôn ch y các version an toàn (secure version) c a các ề ph n m m h th ng (Operating system). Các version an ạ ự i s toàn này đ ả ự ấ t n công vào Operating System, cũng nh là đ m b o s tích h p firewall
ả
ụ
ườ
ị ạ
ặ
ả
ợ ỉ ữ ế
ị Ch nh ng d ch v mà ng ớ ượ t m i đ ộ ị
ỉ ộ ố ớ ạ
ượ ng, ch m t s gi
ị
ượ
ầ i qu n tr m ng cho là c n ỉ ơ thi c cài đ t trên bastion host, đ n gi n ch vì ể ị ấ ế ụ ặ n u m t d ch v không đ c cài đ t, nó không th b t n ụ ứ ườ i h n các ng d ng công. Thông th ụ ự cho các d ch v Telnet, DNS, FTP, SMTP và xác th c user ặ là đ
c cài đ t trên bastion host.
Cổng ứng dụng
Cổng ứng dụng ể
ứ ộ
ự
ề
ầ
Bastion host có th yêu c u nhi u m c đ xác th c khác
ụ ư
ể
ượ ặ ấ
ỉ c đ t c u hình đ cho phép truy nh p ch
ậ ằ
ủ ấ ị ế ậ
ớ
ỉ
t l p cho m i proxy ch đúng v i
ể ủ
ạ
ộ
M i proxy duy trì m t quy n nh t ký ghi chép l
ộ i toàn b ờ
ả
ậ
ệ ố ậ ể ỗ ự ế ố ế ủ t c a giao thông qua nó, m i s k t n i, kho ng th i ệ ế ố ế
ạ
nhau, ví d nh user password hay smart card. ỗ M i proxy đ ề ộ ộ ồ m t s các máy ch nh t đ nh. Đi u này có nghĩa r ng b ệ ỗ ặ l nh và đ c đi m thi ộ ố m t s máy ch trên toàn h th ng. ỗ chi ti ấ gian k t n i. Nh t ký này r t có ích trong vi c tìm theo ấ d u v t hay ngăn ch n k phá ho i. ỗ
ặ ộ ậ
ề
ặ
ộ
ề ớ
ấ
ỡ
ẻ M i proxy đ u đ c l p v i các proxies khác trên bastion ớ ễ host. Đi u này cho phép d dàng quá trình cài đ t m t ể proxy m i, hay tháo g môt proxy đang có v n đ .
Cổng ứng dụng
ề
i qu n tr m ng hoàn toàn đi u khi n đ
c
u đi m Ư ể ườ Cho phép ng ụ
ị
ứ
ả ạ
ế ị
ụ ủ
ể
ị
ề
i qu n tr m ng hoàn toàn đi u khi n đ
Cho phép ng
c
ị ạ ể ượ ế ạ ở ừ t ng d ch v trên m ng, b i vì ng d ng proxy h n ch ữ ộ ệ b l nh và quy t đ nh nh ng máy ch nào có th truy ậ ượ ở ụ c b i các d ch v . nh p đ ị ạ ả ườ ụ
ự ắ
ữ
ở
ị
ặ ủ ị
ụ ươ ứ
ị
ể ượ nh ng d ch v nào cho phép, b i vì s v ng m t c a các ụ ng ng có nghĩa là các d ch v proxy cho các d ch v t ấ
ự ấ ố
ể
ị y b khoá. ổ ứ
C ng ng d ng cho phép ki m tra đ xác th c r t t ạ
ậ
ụ nó có nh t ký ghi chép l
ộ ề ụ
ễ
Lu t l
ệ ố ậ ậ ệ ọ ấ l c filltering cho c ng ng d ng là d dàng c u ể
t, và i thông tin v truy nh p h th ng. ổ ứ ớ ộ ọ
ơ
hình và ki m tra h n so v i b l c packet.
Cổng ứng dụng
H n chạ
ế
Yêu c u các users thay đ i thao tác, ho c thay
ặ
ề ầ ầ
ậ ẳ ạ
ụ ậ ỏ
ả c
ổ ặ ổ đ i ph n m m đã cài đ t trên máy client cho truy ụ ị nh p vào các d ch v proxy. Ch ng h n, Telnet ướ ổ ứ c truy nh p qua c ng ng d ng đòi h i hai b ộ ướ ủ ứ ể ố ớ đ n i v i máy ch ch không ph i là m t b thôi.
ề ầ
ộ ố ổ ứ ụ ứ ụ
ằ ỉ
Tuy nhiên, cũng đã có m t s ph n m m client cho phép ng d ng trên c ng ng d ng là trong su t, b ng cách cho phép user ch ra máy đích ch không ph i c ng ng d ng trên l nh Telnet.
ả ổ ứ ố ứ ụ ệ
Cổng ứng dụng
ệ ể ự
ặ ụ c b i m t c ng ng d ng. C ng vòng đ n
ự
Cổng vòng (Circuit-Level Gateway) ứ ộ C ng vòng là m t ch c năng đ c bi ộ ổ ứ ế ấ ỳ ộ
t có th th c ơ ổ ế ố ộ ử
ổ ệ ượ ở hi n đ ể ỉ ả gi n ch chuy n ti p (relay) các k t n i TCP mà ệ không th c hi n b t k m t hành đ ng x lý hay ọ l c packet nào. ơ ổ ả
ế ố ế ộ ự ể ọ
ổ
ể ư ộ ợ
ể C ng vòng đ n gi n chuy n ti p k t n i telnet qua ệ ự firewall mà không th c hi n m t s ki m tra, l c ề ủ ụ hay đi u khi n các th t c Telnet nào.C ng vòng ệ ữ làm vi c nh m t s i dây,sao chép các byte gi a ế ố ế ố k t n i bên trong (inside connection) và các k t n i ự ế bên ngoài (outside connection). Tuy nhiên, vì s k t ấ ấ ệ ừ ệ ố ố h th ng firewall, nó che d u n i này xu t hi n t ộ ộ ề ạ thông tin v m ng n i b .
Circuit-Level Gateway
Cổng vòng (Circuit-Level Gateway)
C ng vòng th
ế ng đ
ả ữ ậ ự
ớ ườ
ườ ơ ữ ng nh ng ng ộ ộ ỗ
ữ ợ ế ố ế
ứ ườ
ề ử ụ ữ
ố ị
ấ
ộ ộ ừ ữ
ượ ử ụ ổ c s d ng cho nh ng k t ị ạ ố n i ra ngoài, n i mà các qu n tr m ng th t s tin Ư ể ưở i dùng bên trong. u đi m l n t ư ể ượ ấ ấ c c u hình nh nh t là m t bastion host có th đ ụ ổ ứ ấ là m t h n h p cung c p C ng ng d ng cho ế ố ổ nh ng k t n i đ n, và c ng vòng cho các k t n i ử ễ ệ ố ng l a d đi. Đi u này làm cho h th ng b c t ườ ộ ộ ạ i trong m ng n i b dàng s d ng cho nh ng ng ụ ậ ớ ự ế i các d ch v Internet, mu n tr c ti p truy nh p t ứ ử ứ ườ ẫ trong khi v n cung c p ch c năng b c t ng l a ự ấ ệ ạ ể ả đ b o v m ng n i b t nh ng s t n công bên ngoài.
Những hạn chế của firewall
Không đ thông minh nh con ng
ườ ể
ủ ể ừ ể i đ có th ộ
ư ọ ạ đ c hi u t ng lo i thông tin và phân tích n i dung ấ ủ ố t hay x u c a nó. t ể ỉ ữ
ồ ậ ủ ố ư
ị
Không th ngăn ch n m t cu c t n công n u
ế ể ặ
ể ố
ộ ộ ấ i m t cu c t n ỉ ộ ạ ặ ự ng dialup, ho c s dò r thông tin
ừ ộ ườ m t đ ị ấ ợ ữ ệ ề ặ ự Ch có th ngăn ch n s xâm nh p c a nh ng ả ngu n thông tin không mong mu n nh ng ph i ỉ ố ị xác đ nh rõ các thông s đ a ch . ộ ấ ộ ụ ộ ấ cu c t n công này không "đi qua" nó. M t cách c ể th , firewall không th ch ng l công t do d li u b sao chép b t h p pháp lên đĩa m m
Những hạn chế của firewall
Không th ch ng l
ạ ộ ấ ể ố
ữ i các cu c t n công b ng d ng
ượ ể
ộ ố ươ t qua , v ệ ắ ầ c b o v và b t đ u
đây.
ằ ệ li u (datadrivent attack). Khi có m t s ch ư ệ ử ượ c chuy n theo th đi n t trình đ ượ ả ạ firewall vào trong m ng đ ở ạ ộ ho t đ ng ụ ộ ể M t ví d là các virus máy tính. Firewall không th
ệ ụ
ệ
ể ụ ủ
ữ ệ ượ ệ ự ấ ề ấ ể ữ ệ ả ỏ
làm nhi m v rà quét virus trên các d li u đ c ố ộ chuy n qua nó, do t c đ làm vi c, s xu t hi n ớ liên t c c a các virus m i và do có r t nhi u cách ể đ mã hóa d li u, thoát kh i kh năng ki m soát ủ c a firewall.
ẫ ả ệ ữ i pháp h u hi u
Tuy nhiên, Firewall v n là gi c áp d ng r ng rãi.
ượ ụ ộ đ
Chọn cấu hình cho FireWall
(cid:0) Có nhi u cách thi ề
(cid:0) D ng Bastion host
ế ậ ấ t l p c u hình
ế ộ ả
ạ (cid:0) T p trung tri n khai các ch đ b o v ậ (cid:0) Th
(cid:0) D ng Dual homed gateway
ộ ườ ng ệ c p đ applicationlevel hay
ạ ạ
n i b và 1 cho m ng ngoài
ử ụ ộ ộ ả ọ ể ở ấ circuit level gateway ạ (cid:0) S d ng 2 giao ti p m ng, 1 cho m ng ế ạ (cid:0) Kh năng l c packet
Dualhomed gateway
Chọn cấu hình cho FireWall (tt)
D ng Screened host firewall system ộ ề ướ
S d ng 1 b đi u h
ể ng m ng (network router) đ
ề ả
ộ ộ
ạ
i thông tin đi vào m ng n i b và ra m ng bên
ạ ử ụ ạ truy n t ngoài qua trung gian 1 gateway
ạ
Screened-host gateway
Screened Host Firewall
Chọn cấu hình cho FireWall (tt)
Screenedsubnet firewall system
Screened Subnet Firewall
Screened subnet gateway
Bảo vệ Servers và Clients
ệ ề
Tăng an ninh cho h đi u hành
Upgrades, patches
ề
ầ
Ph n m m Antivirus:
Cách d dàng và ít t n kém nh t đ ngăn ng a
ấ ể ừ ễ
ố ọ ố ớ ệ ố ể các hi m h a đ i v i h th ng
Yêu c u c p nh t hàng ngày
ầ ậ ậ
ử ụ U.S d d ng 12%
ầ ứ
ầ
ụ
ề
ị
Chính sách quản lý, qui trình kinh doanh, và pháp luật Các công ty và t ổ ứ ở ch c ngân sách IT cho an ninh ph n c ng, ph n m m và d ch v ($120 billion in 2009)
ả
ồ
Qu n lý r i ro bao g m ủ
Công nghệ
Hi u qu c a các chính sách qu n lý
Pháp lu tậ
ả ủ ệ ả
Kế hoạch an ninh: các chính sách quản lý
ế
ổ ứ
Đánh giá r i roủ Chính sách an ninh K ho ch th c hi n ệ ự ạ T ch c an ninh
ể
Ki m soát truy c p ậ
Qui trình xác th cự
ệ ố
ề
ề
ả
ạ
Các chính sách quy n h n, các h th ng qu n lý quy n
h nạ
ể
Ki m đ nh an ninh ị
Developing an E-commerce Security Plan
Figure 5.14, Page 303
ị
ị
ố
ạ
ử ạ
ự
ị
ế
ậ
ị
t thi hành Lu t
ạ ộ
trong ho t đ ng tài chính
ị
ị
ố ệ ử ố ệ ử ề
t thi hành Lu t ự
ế ụ ứ
ậ ữ
ữ
ố
ị
v Ch ký s và D ch v ch ng th c ch ký
ề ươ
ệ ử
ị
ạ ng m i đi n t
ệ
ệ ử
ị
Vai trò của pháp luật và các chính sách công Năm 2007 ị Ngh đ nh s 63/2007/NĐCP quy đ nh x ph t vi ph m hành ệ chính trong lĩnh v c công ngh thông tin ị Ngh đ nh s 27/2007/NĐCP quy đ nh chi ti ị Giao d ch đi n t ị Ngh đ nh s 26/2007/NĐCP quy đ nh chi ti ị Giao d ch đi n t số Năm 2006 ố ị Ngh đ nh s 56/2006/NĐCP v th ậ Lu t Công ngh thông tin Năm 2005 ậ Lu t Giao d ch đi n t
Vai trò của pháp luật và các chính sách công
Laws that give authorities tools for identifying,
Private and privatepublic cooperation
CERT Coordination Center USCERT
Government policies and controls on encryption
tracing, prosecuting cybercriminals: National Information Infrastructure Protection Act of 1996 USA Patriot Act Homeland Security Act
OECD guidelines
Copyright © 2011 Pearson Education, Inc.
software
Insight on Technology Think Your Smartphone Is Secure? Class Discussion
What types of threats do smartphones face?
Are there any particular vulnerabilities to this
type of device?
What did Nicolas Seriot’s “Spyphone” prove?
Are apps more or less likely to be subject to threats than traditional PC software programs?
Các hệ thống thanh toán
ổ ế
Ti n m t ặ ề Hình th c thanh toán ph bi n nh t ứ ấ Chuy n kho n ả ể ổ ế ứ
ạ
ứ
i U.S.
Th tín d ng
ẻ ệ
ụ
ộ
Hình th c ph bi n th 2 t ụ Hi p h i th tín d ng ẻ Ngân hàng phát hành thẻ Trung tâm x lýử
Các hệ thống thanh toán (tt)
ị ư
ầ
c rút ra khi c n, vd:
Giá tr l u tr Stored Value ữ c g i trong tài kho n và đ ợ
Ti n đ ề ượ ử ẻ
ả ế
ượ ặ th ghi n (debit cards), phi u quà t ng
ệ ố
H th ng thanh toán ngang hàng
ố ư
Tích lũy s d Accumulating Balance ỳ
ả ườ
ả
Tài kho n chi tiêu mà khách hàng tr th
ng k
e.g. Utility, phone, American Express accounts
Slide 582
Copyright © 2011 Pearson Education, Inc.
Table 5.6, Page 312
Slide 583
Copyright © 2011 Pearson Education, Inc.
Cá hệ thống thanh toán trong TMĐT
Credit cards
55 % of online payments in 2009 (U.S.)
Debit cards
28 % online payments in 2009 (U.S.) Limitations of online credit card payment
Security Cost Social equity
Slide 584
Copyright © 2011 Pearson Education, Inc.
Figure 5.16, Page 315
Slide 585
Copyright © 2011 Pearson Education, Inc.
How an Online Credit Transaction Works
Các hệ thống thanh toán trong TMĐT (tt)
ố
Ví s Digital wallets
Emulates functionality of wallet by authenticating consumer, storing
and transferring value, and securing payment process from consumer to merchant
Early efforts to popularize failed
Newest effort: Google Checkout
ề ố
Ti n s Digital cash
Value storage and exchange using tokens
Most early examples have disappeared; protocols and practices too
complex
Slide 586
Copyright © 2011 Pearson Education, Inc.
E-commerce Payment Systems (cont.)
ệ ố
ị ự
ữ
ư
ế
H th ng l u tr giá tr tr c tuy n Online
stored value systems Based on value stored in a consumer’s bank, checking, or
credit card account PayPal, smart cards
ả ố
ả
Tài kho n s chi tr tích lũy
Users accumulate a debit balance for which they are billed
at the end of the month
ể
ố
Ki m soát s Digital checking:
Extends functionality of existing checking accounts for use
online
Slide 587
Copyright © 2011 Pearson Education, Inc.
Hệ thống thanh toán Mobile
S d ng các thi
ộ ư
ử ụ ế ị ề ở ượ ế ị t b thanh toán, đ t b di đ ng cá nhân nh là các Europe, c dùng nhi u
thi Japan, South Korea
H th ng thanh toán mobile
Emoney (stored value)
Mobile debit cards
ệ ố ở Japan
Mobile credit cards Không phát tri n
Copyright © 2011 Pearson Education, Inc.
ể ở U.S
