Bài giảng Thương mại điện tử: Chương 5 - Nguyễn Đình Thuân

Chương 5: An toàn trong TMĐT

Nguyễn Đình Thuân

Faculty of Information Systems

UIT – VNU HCM

04/04/2020

1

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Nội dung

• Khái niệm an toàn trong TMĐT

• 6 khía cạnh của an toàn TMĐT

• Các điểm có thể bị tấn công trong giao

dịch TMĐT

• Các hình thức tấn công thường gặp

• Các kỹ thuật bảo vệ an toàn: mã hóa, bảo vệ kênh truyền thông tin, an toàn mạng, an toàn máy tính

2

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các rủi ro trong TMĐT

3

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Khái niệm an toàn TMĐT

• Tất cả các loại tội phạm diễn ra trong môi trường thương

mại truyền thống đều diễn ra trong môi trường TMĐT

• Việc giảm các rủi ro trong TMĐT là một quá trình phức tạp liên quan đến công nghệ, thủ tục và chính sách của tổ chức, luật pháp và các tiêu chuẩn công nghiệp

• An toàn luôn chỉ mang tính tương đối, bất cứ hệ thống an toàn nào cũng có thể bị phá vỡ. An toàn là một chuỗi liên kết và thường bị đứt ở những điểm yếu nhất

• Một sự an toàn vĩnh viễn là không cần thiết • Cần cân nhắc giữa an toàn và chi phí, an toàn và tiện

dụng

4

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Môi trường an toàn TMĐT

5

CuuDuongThanCong.com https://fb.com/tailieudientucntt

6 khía cạnh của an toàn TMĐT

1. Tính toàn vẹn: khả năng đảm bảo an toàn cho các thông tin được hiển thị trên Web site hoặc các thông tin được chuyển đi trên Internet

2. Chống phủ định: khả năng đảm bảo các bên tham gia giao dịch TMĐT không phủ định các hành động giao dịch trực tuyến mà họ đã thực hiện

3. Tính xác thực: khả năng đảm bảo nhận biết các tác tham gia giao dịch trực tuyến trên

đối Internet

6

CuuDuongThanCong.com https://fb.com/tailieudientucntt

6 khía cạnh của an toàn TMĐT (tt)

4. Tính tin cậy: khả năng đảm bảo không ai có thể truy cập các thông điệp và dữ liệu có giá trị

5. Tính riêng tư: khả năng đảm bảo kiểm soát việc sử dụng các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ 6. Tính sẵn dùng: khả năng đảm bảo các chức năng của một web site thương mại điện tử được thực hiện đúng như mong đợi

7

CuuDuongThanCong.com https://fb.com/tailieudientucntt

6 khía cạnh của an toàn TMĐT

8

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các điểm cần bảo mật

• Ba điểm cần bảo mật quan trọng nhất

 Client  Server  Kênh truyền dữ liệu

• Các hình thức tấn công thường gặp

 Các đoạn mã nguy hiểm (malicious code)  Tin tặc và các chương trình phá hoại (hacking and

cybervandalism)

 Gian lận thẻ tín dụng (credit card fraud/theft)  Sự lừa đảo (spoofing)  Sự khước từ dịch vụ (DoS – Denial of service)  Kẻ trộm trên mạng (sniffing)  Sự tấn công từ bên trong tổ chức (insider jobs)

9

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các bước giao dịch TMĐT

10

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các điểm dễ bị tấn công

11

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Bản quyền và sở hữu trí tuệ

Bản quyền-quyền tác giả

– Một số lĩnh vực

• Văn chương, âm nhạc • Kịch, múa • Tranh, hình ảnh, tượng,.. • Sản phẩm điện ảnh, nghe nhìn,... • Công nghiệp âm thanh • Kiến trúc • ...........

12

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Bản quyền và sở hữu trí tuệ

• Sở hữu trí tuệ-Intellectual property

– Bảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đó

• U.S. Copyright Act 1976

– Bảo vệ quyền tác giả trong thời gian hạn

định

– Copyright Clearance Center • Cấp giấy phép sử dụng

13

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Copyright Clearance Center Home Page

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các từ ngữ thường dùng

copyright “copyleft” shareware freeware free software open source code

15

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mối đe dọa với sở hữu trí tuệ

Mạng Internet: tác nhân lôi kéo tình trạng

(mối đe dọa) vấn đề bảo vệ sở hữu trí tuệ – Dễ dàng thu thập và “tái tạo”các thông tin, sản

phẩm,.. tìm thấy trên Internet

– NSD không có ý thức về các qui định bản quyền cũng như không có chủ ý vi phạm

16

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mối đe dọa với sở hữu trí tuệ (tt)

Phía máy NSD

– Active Content

• Java applets, Active X controls, JavaScript, và

VBScript

• Các chương trình chứa các mã lệnh thi hành, mã thông dịch được nhúng vào các đối tượng tải về • Một số nội dung active có ý đồ xấu nhúng vào các

trang web có vẻ vô hại

• Cookies : lưu lại tên tài khoản, mật khẩu và các

thông tin tham khảo khác

17

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Hình ảnh,các Plug-ins và thông tin đính kèm theo E-mail

• Khả năng cài đặt các mã lệnh trong các ảnh

đồ họa gây hại máy tính!!

• Plug-ins : thường được sử dụng để thực

hiện các thông tin multimedia (audiovisual clips, animated graphics) – Có khả năng chứa các đoạn mã lệnh bên trong

đối tượng với mục đích xấu

• Các thông tin đính kèm E-mail có khả năng

chứa các macro hủy diệt bên trong

18

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Hiểm họa từ các kênh truyền thông

Secrecy Threats

– Privacy : bảo đảm thông tin riêng tư không bị

tiết lộ

– Đánh cắp các thông tin nhạy cảm, các thông

tin cá nhân

– Địa chỉ IP thường bị lộ khi duyệt Web

19

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Hiểm họa từ các kênh truyền thông (tt)

• Anonymizer

– Cung cấp 1 mức độ bảo mật có giới hạn khi sử

dụng như 1 portal truy cập Internet • http://www.anonymizer.com

• Toàn vẹn thông tin - Integrity Threats – Tương tự hành động nghe trộm điện

thoại(wiretapping)

– Thay đổi dữ liệu trái phép

• Ví dụ thay đổi lượng tiền gửi/tiền rút

20

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Hiểm họa từ các kênh truyền thông (tt)

Đáp ứng yêu cầu - Necessity Threats – Còn gọi là delay/denial threats , DoS – Phá hủy quá trình xử lý của MTĐT

• Từ chối tiến trình xử lý • Xử lý rất chậm!!!! • Xóa bỏ tập tin hay xóa thông tin trong 1 giao dịch/tập

tin

• Chuyển tiền từ tài khoản này sang 1 tài khoản khác

!!!!

21

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng dành cho cá nhân tự bảo vệ mình

• Khi nhận spam  xóa bỏ hết • Không click vào bất kỳ đường link nào trong email

• Không mở lên các file gửi kèm trong email.

• Đừng trả lời những email spam

• Ngay cả chức năng “Từ chối nhận” (Unsubscription) cũng đã bị lợi dụng để người gửi spam kiểm tra tính hiện hữu của tài khoản email,

• Cài những chương trình chống virus mới nhất, cập

nhật chương trình thường xuyên.

22

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng dành cho cá nhân tự bảo vệ (tt)

• Bỏ qua mọi email yêu cầu cung cấp thông tin cá nhân. Hầu hết tất cả đó đều là trò lừa đảo hoặc có âm mưu gián điệp (spyware) hay virus. Ngân hàng hay dịch vụ thanh toán qua mạng không bao giờ yêu cầu thông tin “nhạy cảm” qua mạng Internet. Nếu có yêu cầu thì đó phải là form nhập thông tin từ website của chính tổ chức đó, với giao thức truyền an toàn (https://)

• Nếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn ngân hàng gửi về để kịp thời phát hiện sự cố nếu có.

23

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng dành cho cá nhân tự bảo vệ (tt)

• Khi nhận được những email từ người lạ với những

file gửi kèm thì phải rất cẩn thận.

• Trong khi lướt web nếu thấy xuất hiện những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ dàng chọn “OK” hay “Yes”.

• Sau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web, tránh người khác dùng máy tính đó trong vài phút sau có thể truy cập vào được. • Nếu phải dùng máy tính dùng chung thì không nên

dùng chức năng “Nhớ Password”.

24

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các mối đe dọa với máy phục vụ

• Các phần mềm cài đặt càng mạnh, càng nhiều tính năng thì khả năng phát sinh lỗi càng nhiều

• Máy phục vụ thường hoạt động ở các cấp

đặc quyền khác nhau – Cấp cao nhấp : cung cấp đầy đủ các quyền truy

xuất và tính uyển chuyển,mềm dẻo

– Cấp thấp nhất : cung cấp 1 hàng rào bảo vệ (logic) xung quanh chương trình đang hoạt động

25

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các mối đe dọa với máy phục vụ (tt)

• Danh sách các thư mục của máy phục vụ

xuất hiện trên trình duyệt !!!!

• Quản trị site cần tắt tính năng hiện danh sách các folder nhằm tránh hiểm họa • Truyền/phát các cookies với sự bảo vệ

nghiêm ngặt

26

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Danh mục các folder xuất hiện trên trình duyệt

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các mối đe dọa với máy phục vụ (tt)

• Một trong những thông tin quan trọng được lưu trữ trên máy phục vụ web: thông tin tài khoản NSD và mật khẩu

• Người quản trị web phải chịu trách nhiệm bảo mật những thông tin này và các thông tin quan trọng khác

28

CuuDuongThanCong.com https://fb.com/tailieudientucntt

29

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Doanh nghiệp thực hiện TMĐT cần quan tâm và tự bảo vệ như thế nào?

Bảo vệ phía doanh nghiệp:

– Hacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố (website không hiện lên, gõ tên miền đúng mà không thấy website của mình hiện lên hoặc hiện lên những thông tin lạ...). Với ba loại rủi ro thường gặp:

30

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Bảo vệ phía doanh nghiệp (tt)

– Bị

tấn công từ chối phục vụ (DoS: Denial of Service): trường hợp này nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý.

– Bị cướp tên miền: doanh nghiệp có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý.

– Bị xâm nhập host hoặc dữ liệu trái phép: nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý phải nêu rõ phương thức xử lý, phục hồi khi gặp sự cố này.

– Định kỳ back-up (sao lưu) các file, dữ liệu của website, và nhà cung cấp dịch vụ phải có ít nhất hai host cùng lúc để nếu host này có sự cố thì chuyển sang host kia.

31

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Bảo vệ phía doanh nghiệp (tt)

• Tự bảo vệ password: nếu doanh nghiệp có những tài khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host...) thì nên ít người biết và khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password.

• An toàn mạng nội bộ: nếu doanh nghiệp có mạng nội bộ thì an toàn trong mạng nội bộ cũng phải được lưu ý. Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v...

• An toàn dữ liệu, thông tin: những thông tin quan trọng không cần chia sẻ cho nhiều người thì không nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao lưu).

32

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các mối đe dọa với CSDL

• Các thông in riêng tư, có giá trị nếu bị tiết lộ: gây những thiệt hại không thể bù đắp cho công ty

• Bảo mật thực hiện thông qua quyền hạn sử

dụng qui định

• Nhiều phần mềm CSDL không có tính bảo mật cao và phó thác vào sự bảo mật của website

33

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các mối đe dọa khác

• Các mối đe dọa từ Common Gateway

Interface (CGI) – Nếu không sử dụng đúng cách, các chương trình

CGIs cũng là những mối đe dọa tiềm ẩn

– Các chương trình CGI thường lưu trú nhiều nơi trên Website và rất khó theo dõi , lần dấu vết để phát hiện các sai sót

– CGI scripts không hoạt động như JavaScript (với

cơ chế sandbox)

34

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các mối đe dọa khác (tt)

• Các đe dọa từ các chương trình bao gồm:

– Các chương trình hoạt động trên server – Lỗi tràn bộ đệm(Buffer overruns) – Gây tình trạng “Runaway code segments”

• Sâu Internet (Internet Worm) là 1 hình thái của runaway

code segment

– Tấn công từ các đoạn mã xâm nhập bất hợp pháp tạo tình trạng”Buffer overflow” : chúng tìm cách chiếm dụng các điều khiển đã được xác thực

35

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Computer Emergency Response Team (CERT)

• Đặt tại Carnegie Mellon University • Chịu trách nhiệm theo dõi, phát hiện, cảnh báo,... các vấn đề an toàn , an ninh trên mạng

• Gửi các cảnh báo (CERT alerts) đến cộng đồng Internet về các mối đe dọa bảo mật

36

CuuDuongThanCong.com https://fb.com/tailieudientucntt

CERT Alerts

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Một vài đề nghị

Nếu là doanh nghiệp

– Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ sẽ chịu trách nhiệm về việc tăng cường an toàn mạng, an toàn thông tin cho họ, và có nghĩa là cho cả website của ta.

– Sau khi

login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), luôn phải thực hiện động tác logout (thoát) để đảm bảo các cửa ngõ phải được khóa lại ngay sau khi thoát ra.

38

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Một vài đề nghị (tt)

• Nếu là người mua

– Không truy cập vào hệ thống khi sử dụng máy tính công

cộng.

– Không mở những email có file gửi kèm (attachment) mà người gửi có vẻ như xa lạ. Thậm chí đừng tin những email mang tên người gửi là Microsoft, Yahoo hay tương tự vì đây có thể là thủ thuật giả danh của hacker để lừa.

– Mối lo ngại bị ăn cắp số thẻ tín dụng khi mua hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp).

– Nếu là người mua: chỉ nên mua hàng ở những website

tốt, tin cậy.

39

– Làm sao để đánh giá website tin cậy?

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Một vài đề nghị (tt)

• Nếu là người mua (tt) – Biết rõ Tên tuổi người bán – Trình bày gian hàng một cách chuyên nghiệp, không có

lỗi chính tả, câu cú rõ ràng v.v…

– Đọc phần About Us của họ để tìm một địa chỉ văn phòng

cụ thể

– Đừng bao giờ cung cấp thông tin thẻ tín dụng cho các

website chưa biết chắc chắn.

40

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Một vài đề nghị (tt)

Nếu là người bán :

– Nên nhờ trung gian để xử lý thẻ tín dụng – Phải trả môt khoản chi phí % dựa trên doanh thu cho họ – Đảm bảo kỹ thuật. – Thông thường phải gửi hàng đi, khi người mua nhận được

hàng mới được nhận tiền vào tài khoản của bạn

– Nếu gặp phải thẻ tín dụng bất hợp pháp  sẽ mất trắng

món hàng và mất một khoản chi phí xử lý thẻ

– Theo thống kê, chỉ có khoản 3% giao dịch là gặp phải

trường hợp dùng thẻ tín dụng giả

– Khoản lời từ việc bán cho 97% khách hàng trung thực cũng

đủ để bù cho khoản mất mát trong 3% gian lận này.

41

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các đoạn mã nguy hiểm • Virus: chương trình máy tính có khả năng tự nhân bản và lây lan đến các tập tin khác, hầu hết đều có mưu đồ (hiền từ hoặc hiểm độc); có 3 loại macro virus, file-infecting virus và script virus

• Worm: có khả năng lây nhiễm từ máy tính này sang máy tính khác, tự nhân bản mà không cần kích hoạt, thường tìm kiếm và thay đổi mọi dữ liệu trong bộ nhớ hoặc đĩa cứng mà nó gặp

• Trojan horse: không phải là virus nhưng lại tạo cơ hội cho các virus nguy hiểm khác xâm nhập • Bad applet (đoạn mã di động nguy hiểm): các Java applet hoặc ActiveX control trên Web site được download về client

42

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Các đoạn mã nguy hiểm

43

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Tin tặc và các chương trình phá hoại

• Tin tặc là những người truy cập trái phép vào một hệ thống máy tính, sử dụng các chương trình phá hoại để gây ra sự cố làm mất uy tín của tổ chức

• TD: ngày 01/4/2001 các tin tặc tấn công vào

những web site dùng IIS của Microsoft

• Các loại tin tặc

 Mũ trắng – giúp phát hiện và sửa chữa những kẻ hở

trong một hệ thống an toàn

 Mũ đen – tấn công có chủ đích không tốt  Mũ xám – giữa hai loại trên

44

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Gian lận thẻ tín dụng • Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong trường hợp thẻ bị mất, bị đánh cắp; các thông tin về số thẻ, mã số định danh cá nhân (PIN), các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp

• Trong TMĐT, mối đe dọa lớn nhất là bị “mất” các thông tin liên quan đến thẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ra giao dịch • Các tội phạm có thể đột nhập vào các website TMĐT và lấy cắp thông tin cá nhân khách hàng và mạo danh khách hàng

• Một trong những đe dọa lớn nhất đối với người bán hàng là sự phủ định giao dịch đối với các đơn đặt hàng quốc tế

45

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Sự lừa đảo

• Sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó để thực hiện những mưu đồ bất chính

• Thay đổi hoặc làm chệch hướng các liên kết Web tới một địa chỉ khác với địa chỉ thực hoặc tới một Web site giả mạo Web site cần liên kết • Các hành vi lừa đảo đe dọa tính toàn vẹn và tính xác thực của các giao dịch TMĐT, khiến cho các giao dịch này trở thành “trắng đen lẫn lộn” và cả doanh nghiệp lẫn khách hàng đều khó có thể xác định được đâu là thật và đâu là giả

46

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Sự khước từ dịch vụ

• Tấn công vào một Web site gây nên sự quá tải về khả năng cung cấp dịch vụ của Web site này, khước từ dịch vụ

• Khiến cho Web site phải bị gián đoạn hoạt động

• Ảnh hưởng đến uy tín của doanh nghiệp, đối với những Web site náo nhiệt như eBay.com hay Amazon.com thì điều này đồng nghĩa với những khoản phí vô cùng lớn khi phải ngưng hoạt động một thời gian

47

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Kẻ trộm trên mạng

• Một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng để ăn cắp các thông tin quan trọng từ bất cứ nơi nào trên mạng

• Xem lén thư điện tử là một dạng mới của hành vi trộm cắp trên mạng. Kỹ thuật xem lén thư điện tử một đoạn mã ẩn bí mật gắn vào thư điện tử cho phép giám sát toàn bộ các thông điệp chuyển tiếp được gởi đi cùng với thông điệp ban đầu

48

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Sự tấn công từ bên trong tổ chức

• Những mối đe dọa an toàn không chỉ đến từ bên ngoài mà có thể bắt nguồn từ chính những thành viên trong tổ chức

• Trong nhiều trường hợp, hậu quả của những đe dọa loại này còn nghiêm trọng hơn những vụ tấn công từ bên ngoài

49

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Giải pháp kỹ thuật

50

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa thông tin • Mã hóa thông tin là quá trình chuyển các văn bản hay tài liệu gốc thành các văn bản dưới dạng mật mã không ai, ngoài người gởi và người nhận, có thể đọc được

• Mục đích

 Đảm bảo an toàn các thông tin được lưu trữ  Đảm bảo an toàn các thông tin được truyền nhận • Đáp ứng 4 trong 6 khía cạnh an toàn TMĐT

 Tính toàn vẹn  Chống phủ định  Tính xác thực  Tính tin cậy

• Mã hóa dựa trên cơ sở khóa (mã), là phương pháp

để chuyển văn bản gốc thành văn bản mã hóa

51

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa bí mật

• Còn được gọi là mã hóa đối xứng hay mã hóa

khóa riêng

• Sử dụng cùng một khóa cho cả quá trình mã hóa (được thực hiện bởi người gởi) và quá trình giải mã (được thực hiện bởi người nhận)

• Tiêu chuẩn mã hóa dữ liệu (Data Encryption Standard - DES): dùng 56, 128 hoặc 2048 bit

• Hạn chế:

– Các bên tham gia mã hóa phải tin tưởng nhau và chắc chắn rằng khóa được đối tác bảo vệ cẩn mật – Mỗi giao dịch TMĐT khác nhau cần có khóa khác

nhau → chi phí lớn tạo, chuyển và quản lý khóa cho mỗi khách hàng

52

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa công khai

• Còn được gọi là mã hóa không đối xứng • Sử dụng hai khóa trong quá trình mã hóa: một khóa dùng để mã hóa và một khóa dùng để giải mã thông điệp. Hai khóa này có quan hệ với nhau về thuật toán sao cho dữ liệu được mã hóa bằng khóa này sẽ được giải mã bằng khóa kia

• Mỗi đối tác có một cặp khóa duy nhất: một khóa chung và một khóa riêng. Khóa chung dùng để mã hóa và khóa riêng để giải mã thông điệp. Khóa chung mọi đối tác đều biết còn khóa riêng chỉ một người chủ khóa biết

• Như vậy, A muốn gởi thông điệp cho B thì sẽ lấy khóa chung của B để mã hóa thông điệp, sau đó gởi đi. B sẽ dùng khóa riêng của B để giải mã

53

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa công khai

54

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa công khai với chữ ký số và hàm băm

• Dùng hàm băm để tạo ra giá trị duy nhất cho mỗi thông điệp dùng để kiểm tra tính toàn vẹn của thông điệp

• Kết hợp với chữ ký số (digital signature - thực chất là khóa riêng của người gởi) vào thông điệp để đảm bảo tính xác thực và chống phủ định

• Chữ ký điện tử là ký hiệu điện tử được gắn với văn bản điện tử khác theo một nguyên tắc nhất định và được người ký văn bản đó áp dụng

55

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa công khai với chữ ký số và hàm băm

56

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa công khai với phong bì số

• Khắc phục nhược điểm của mã hóa khóa công khai (thời gian tính toán dài, giảm tốc độ) và ưu điểm của mã hóa khóa bí mật (nhanh hơn, bảo mật hơn)

• Dùng khóa bí mật để mã hóa thông điệp và khóa công khai để mã hóa và gởi khóa bí mật

57

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Mã hóa khóa công khai với phong bì số

58

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Chứng thực điện tử

• Các bên giao dịch TMĐT đều muốn chắc chắn rằng đối tác của mình là xác thực, khóa công khai và chữ ký điện tử đúng là của đối tác, không ai có thể giả danh đối tác để thực hiện giao dịch

• Các cơ quan chứng nhận (Certificate Authority – CA) sẽ đứng ra xác thực chữ ký điện tử (hay khóa công khai) là của cá nhân hay tổ chức cụ thể và duy nhất

• Để được xác thực, cá nhân hay tổ chức phải cung cấp cho cơ quan chứng nhận chứng cớ định danh của mình

59

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Chứng thực điện tử (tt)

Cơ quan chứng nhận căn cứ vào đó tạo một thông điệp gọi là chứng thực điện tử (digital certificate) bao gồm các thông tin:  Tên của cá nhân hoặc tổ chức  Khóa công khai  Số định danh của chứng thực điện tử  Thời hạn hiệu lực  Ngày cấp  Chữ ký của cơ quan chứng nhận  Các thông tin nhận dạng khác

60

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Chứng thực điện tử (tt)

• Các chứng thực điện tử là cơ sở của giao thức an

toàn giao dịch điện tử

• Tập hợp hệ thống các cơ quan chứng nhận và các thủ tục chứng thực điện tử được tất cả các đối tượng tham gia TMĐT chấp nhận hình thành cơ (Public Key sở hạ tầng khóa công khai Infrastructure – PKI)

61

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Chứng thực điện tử (tt)

62

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Khuyết điểm của mã hóa

• CSHT khóa công khai áp dụng chủ yếu cho việc

bảo vệ các thông điệp được truyền nhận

• CSHT khóa công khai không ngăn chặn được

tấn công từ bên trong nội bộ tổ chức

• Việc tự bảo vệ khóa riêng của các cá nhân

không được bảo đảm

• Không có gì đảm bảo an toàn của các máy tính

được sử dụng cho giao dịch

• Các cơ quan chứng nhận không được kiểm

soát

63

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Lớp ổ cắm an toàn (SSL: Secure Sockets Layer)

• Lớp ổ cắm an toàn: bảo vệ các kênh thông tin trong quá trình trao đổi dữ liệu giữa máy chủ và các máy khách thay vì từng thông điệp

• Với việc sử dụng phương pháp mã hóa khóa công khai và các chứng thực điện tử, SSL yêu cầu xác thực các đối tác và bảo vệ các thông tin gởi từ đối tác này đến đối tác khác

• Khuyết điểm: SSL chỉ bảo vệ thông tin được chuyển đi, không bảo vệ thông tin đã được giải mã và lưu trữ trên máy tính. Nếu máy tính không được đảm bảo an toàn thì có thể bị truy cập trái phép và mất đi dữ liệu

64

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Lớp ổ cắm an toàn (SSL: Secure Sockets Layer)

65

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn các kênh truyền thông

• Secure HyperText Transfer Protocol – SHTTP: một kỹ thuật khác cung cấp an toàn truyền thông dùng với HTTP

• Virtual Private Network (VPN): cho phép các user kết nối vào mạng nội bộ một cách an toàn thông qua Internet, dùng giao thức Point-to-Point Tunneling Protocol (PPTP)

66

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng – tường lửa

• Bức tường lửa (firewall): là một ứng dụng phần mềm hoặc phần cứng thiết lập một rào chắn giữa mạng máy tính của tổ chức và bên ngoài

• Bảo vệ mạng máy tính của tổ chức:

– Tất cả thông điệp từ bên trong tổ chức ra ngoài và

ngược lại đều phải qua tường lửa

– Chỉ những thông điệp đảm bảo được các yêu về an toàn của tổ chức mới được tiếp tục phân phối (qua tường lửa), nếu không sẽ bị chặn đứng lại ở tường lửa

– Không được phép thâm nhập vào chính hệ thống

67

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng – tường lửa

LAN

Được phép

Internet

LAN

Firewall

LAN

Không được phép

68

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng – proxy server

• Proxy server (máy phục vụ ủy quyền) cung cấp các dịch vụ trung gian, đóng vai trò là “người thông ngôn” giữa mạng nội bộ của tổ chức với bên ngoài

• Khi một người trong mạng nội bộ muốn “nói chuyện” với một

người ở ngoài thì phải nói chuyện với proxy, sau đó proxy sẽ nói chuyện với người ngoài kia. Tương tự cho chiều giao tiếp ngược lại

• Ưu điểm:

– Các thông tin bên trong được bảo vệ vì chỉ có proxy liên lạc trực

tiếp với bên ngoài

– Lọc được các nguồn thông tin bên ngoài – Tăng khả năng đáp ứng bằng cách lưu trữ các trang Web thường

được yêu cầu

– Theo dõi các giao tiếp giữa bên trong và bên ngoài

69

CuuDuongThanCong.com https://fb.com/tailieudientucntt

An toàn mạng – proxy server

LAN

Được phép

Internet

LAN

Proxy Server

LAN

Không được phép

70

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Firewall và Proxy server

71

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Bảo vệ máy tính

• Chức năng tự bảo vệ của hệ điều hành

– Authentication: kiểm tra username, password của user đăng nhập – Authorization: cấp phép sử dụng các tài nguyên cho user – Accounting: ghi lại nhật ký truy cập của user

• Phần mềm diệt virus

– Nhận biết và tiêu diệt hầu hết các loại virus thông thường ngay khi

chúng xâm nhập vào máy tính hoặc ẩn nấp trên đĩa cứng

– Phải được cập nhật thường xuyên mới có khả năng phát hiện và

tiêu diệt các loại virus mới liên tục xuất hiện

• Phần mềm hệ thống phát hiện xâm nhập

– Dò tìm và nhận biết những công cụ mà tin tặc thường dùng hoặc

các hành động khả nghi

72

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Lập kế hoạch bảo mật

73

CuuDuongThanCong.com https://fb.com/tailieudientucntt

Lập kế hoạch bảo mật

• Tiger team: công việc chủ yếu là phát hiện các lỗ hổng có thể tấn công vào các hệ thống máy tính – Bắt đầu từ thập niên 1970 với U.S. Air Force – Chỉ dùng tin tặc “mũ trắng”

• Vai trò của chính phủ và luật pháp

74

CuuDuongThanCong.com https://fb.com/tailieudientucntt