intTypePromotion=1
ADSENSE

Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp

Chia sẻ: HidetoshiDekisugi HidetoshiDekisugi | Ngày: | Loại File: PDF | Số trang:19

10
lượt xem
2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp. Chương này cung cấp cho học viên những kiến thức về: tổng quan quản trị an toàn thương mại điện tử; mô hình đảm bảo an toàn và chiến lược an toàn; giải pháp an toàn thương mại điện tử doanh nghiệp;... Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp

  1. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Chương 3 Quản trị an toàn thương mại điện tử trong doanh nghiệp BỘ MÔN THƯƠNG MẠI ĐIỆN TỬ TRƯỜNG ĐẠI HỌC THƯƠNG MẠI Nội dung chương 3 3.1. Tổng quan quản trị an toàn TMĐT ◦ 3.1.1 Khái niệm an toàn thương mại điện tử ◦ 3.1.2. Các nguy cơ đe dọa an toàn thương mại điện tử 3.2. Mô hình đảm bảo an toàn và chiến lược an toàn ◦ 3.2.1. Mô hình đảm bảo an toàn TMĐT của doanh nghiệp ◦ 3.2.2. Chiến lược an toàn thương mại điện tử 3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp ◦ 3.3.1. Chữ kí số ◦ 3.3.2. Mạng thương mại điện tử an toàn ◦ 3.3.3. Kiểm soát tổng thể BG UD TMĐT TRONG DN@BMTMĐT_TMU 38
  2. HỌ VÀ TÊN CHV: ............................. 7/29/2021 3.1. Tổng quan quản trị an toàn TMĐT 3.1.1 Khái niệm an toàn thương mại điện tử ◦ An toàn có nghĩa là được bảo vệ, không bị xâm hại. An toàn là chống lại, hoặc bảo vệ khỏi tấn công, gây tổn hại. An toàn không chỉ gắn với bảo vệ con người, mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin. ◦ An toàn thông tin: an toàn máy tính (computer security), an toàn mạng (internet security), an toàn trình duyệt (browser security), an toàn dữ liệu (data security). ◦ An toàn TMĐT là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai hoạ, lỗi và sự tấn công từ bên ngoài. An toàn TMĐT • An toàn TMĐT là một lĩnh vực của ATTT, bao gồm: xác thực, cấp phép, kiểm tra (giám sát), tin cậy, toàn vẹn, sẵn sàng và chống phủ định • Tính xác thực (authentication): Khả năng nhận biết các đối tác tham gia giao dịch. BG UD TMĐT TRONG DN@BMTMĐT_TMU 39
  3. HỌ VÀ TÊN CHV: ............................. 7/29/2021 • Cấp phép/quyền (authorization): Xác định quyền truy cập các tài nguyên của tổ chức: đọc, xem, nghe, sửa chữa, xóa… • Kiểm tra (giám sát_auditing): Tập hợp thông tin về quá trình truy cập của người sử dụng Tam giác CIA về an toàn thông tin Tam giác CIA (Confidenttiality, integrity, availability) là tâm điểm của ATTT, và các bộ phận này: Confidentiality, Integrity và Availability được xem như là các thuộc tính, đặc tính, mục tiêu, các khía cạnh cơ bản, tiêu chi … của ATTT. BG UD TMĐT TRONG DN@BMTMĐT_TMU 40
  4. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Tam giác CIA mở rộng Ngoài 3 yếu tố trên, những yếu tố khác đã được đề xuất như: tính trách nhiệm/xác thực (Accountability), tính không thể chối cãi (Non – Repudiation), và tính với sự phát triển của hệ thống máy tính như hiện nay, tính riêng tư (privacy) ngày càng trở thành một nhân tố rất quan trọng.  Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm (Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ (Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi (security design and implementation), quản lý an toàn (security management), và đánh giá lại (Reassessment).  Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó đề xuất 33 nguyên tắc  Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá kép): confidentiality, possession, integrity, authenticity, availability, và utility. BG UD TMĐT TRONG DN@BMTMĐT_TMU 41
  5. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Theo ITU-T X.800, ANTT bao gồm ba khía cạnh: tấn công an toàn (security attack); dịch vụ bảo mật (security service), và cơ chế an toàn (security mechanism). Tấn công an toàn: hành động làm ảnh hưởng hoặc tổn thất ATTT, có thể được phân loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks Dịch vụ bảo mật: bảo vệ dữ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại: xâm nhập trái phép, bảo đảm tính toàn vẹn, chống chối bỏ, Control/kiểm soát truy cập, Tính sẵn sàng/Availability Các cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa đối xứng, Mã hóa khóa công khai, Quản lý chia; Hàm băm; Các mã xác thực thông điệp; Chữ ký số; Các giao thức xác thực thực thể Khái niệm Quản trị an toàn TMĐT Xây dựng kế hoạch Nhận biết các đe dọa Thực thi và đánh giá các biện pháp đảm bảo an toàn TMĐT BG UD TMĐT TRONG DN@BMTMĐT_TMU 42
  6. HỌ VÀ TÊN CHV: ............................. 7/29/2021 3.1. Tổng quan quản trị an toàn TMĐT 3.1.2. Các nguy cơ đe dọa an toàn thương mại điện tử Tấn công vào tính bí mật C: nghe trộm, đọc trộm thông tin BG UD TMĐT TRONG DN@BMTMĐT_TMU 43
  7. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Tấn công vào tính sẵn sàng (A) Tấn công vào tính toàn vẹn BG UD TMĐT TRONG DN@BMTMĐT_TMU 44
  8. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Tấn công vào tính xác thực chủ thể Các đe dọa an toàn TMĐT của DN  Tấn công phi kỹ thuật  Không dựa vào công nghệ; Chủ yếu dựa vào sự nhẹ dạ, cả tin, sự kém hiểu biết, sự chủ quan, sơ hở hoặc gây sức ép về tâm lý để tấn công, gây hại  Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vô thưởng vô phạt, kẻ tấn công có thể làm tổn hại đến hệ thống mạng máy tính.  Tấn công kỹ thuật  Tận dụng những ưu việt lợi thế của công nghệ, trình độ chuyên môn để tấn công vào các hệ thống  Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khi thực hiện các giao dịch thương mại điện tử, đó là: Hệ thống của khách hàng, Máy chủ của doanh nghiệp và Hệ thống truyền dẫn thông tin BG UD TMĐT TRONG DN@BMTMĐT_TMU 45
  9. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Một số dạng tấn công nguy hiểm nhất đối với an toàn thương mại điện tử của doanh nghiệp bao gồm:  Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối đe doạ khác nhau như các loại virus, worm, những “con ngựa thành Tơ-roa”, “bad applets”.  Tin tặc (hacker) là người xâm nhập bất hợp pháp vào một website hay hệ thống công nghệ thông tin mà họ có thể xác định rõ  Sự khước từ phục vụ (DoS – Denial of Service) Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài  Kẻ trộm trên mạng: Sử dụng các chương trình nghe trộm, theo dõi và đánh cắp các thông tin trên mạng  Gian lận thẻ tín dụng  Sự tấn công từ bên trong doanh nghiệp: Những mối đe doạ bắt nguồn từ chính những thành viên làm việc trong doanh nghiệp 3.2. Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.1. Mô hình đảm bảo an toàn TMĐT của doanh nghiệp Tiếp cận nhà cung cấp giải pháp BG UD TMĐT TRONG DN@BMTMĐT_TMU 46
  10. HỌ VÀ TÊN CHV: ............................. 7/29/2021 3.2. Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.2. Chiến lược an toàn thương mại điện tử Quản trị an toàn An toàn trong Các công nghệ thương mại điện tử truyền thông TMĐT đảm bảo an toàn mạng Tiếp Nhận thức vấn đề Áp dụng các biện pháp Áp dụng các biện pháp cận Xây dựng kế hoạch đảm bảo an toàn trong đảm bảo an toàn mạng nhà truyền thông TMĐT và các hệ thống TMĐT Thực thi kế hoạch quản trị BG UD TMĐT TRONG DN@BMTMĐT_TMU 47
  11. HỌ VÀ TÊN CHV: ............................. 7/29/2021 3.2. Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.2. Chiến lược an toàn thương mại điện tử Các lỗi thường mắc phải trong quản trị an toàn TMĐT: ◦ Đánh giá thấp giá trị của tài sản thông tin. Rất ít tổ chức có được sự hiểu biết rõ ràng về giá trị của tài sản thông tin mà mình có. ◦ Xác định các giới hạn an toàn ở phạm vi hẹp. Phần lớn tổ chức tập trung đến việc đảm bảo an toàn thông tin các mạng nội bộ của mình, không quan tâm đầy đủ đến an toàn trong các đối tác thuộc chuỗi cung ứng ◦ Quản trị an toàn mạng tính chất đối phó. Nhiều tổ chức thực hành quản trị an toàn theo kiểu đối phó, chứ không theo cách thức chủ động phòng ngừa, tập trung vào giải quyết các sự cố an toàn sau khi đã xẩy ra. 3.2. Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.2. Chiến lược an toàn thương mại điện tử Các lỗi thường mắc phải trong quản trị an toàn TMĐT: ◦ Áp dụng các quy trình quản trị đã lỗi thời. Nhiều tổ chức ít khi cập nhật các quy trình đảm bảo an toàn thông tin cho phù hợp với yêu cầu thay đổi, cũng như không thường xuyên bồi dưỡng tri thức và kỹ năng an toàn thông tin của đội ngũ cán bộ nhân viên. ◦ Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông tin, coi an toàn thông tin như là một vấn đề CNTT, không phải là vấn đề tổ chức. BG UD TMĐT TRONG DN@BMTMĐT_TMU 48
  12. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Một quá trình mang tính hệ thống để xác định các loại rủi ro có thể xảy ra và xác định các biện pháp cần thực hiện sẽ giúp ngăn ngừa hay giảm nhẹ các rủi ro 4 pha của quá trình quản trị an toàn TMĐT Theo dõi/ Đánh giá Lên kế hoạch Thực hiện Kết luận • Áp dụng các giải pháp an • Theo dõi, đánh giá tính hiệu Đánh giá các rủi ro • Xác định các đe dọa nào ninh phù hợp, đặc biệt chú quả của các giải pháp an bằng các xác định có thể xảy ra, đe dọa nào là ý các điểm đễ bị tổn ninh các tài sản, các điểm dễ bị không thương • Phát hiện các mối đe doạ tổn thương của hệ thống • Xác định mức độ của các • Tiếp cận Lợi ích-Chi phí mới và những đe dọa đối với các biện pháp đối phó cho phù trong lựa chọn giải pháp an • Cập nhật công nghệ bảo điểm này hợp ninh đảm an ninh hiện đại • Bổ sung thêm danh mục các hệ thống cần bảo vệ 3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp 3.3.1. Chữ kí số Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. (Luật Giao dịch điện tử)  Chức năng của chữ ký điện tử  Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể;  Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;  Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký  Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký BG UD TMĐT TRONG DN@BMTMĐT_TMU 49
  13. HỌ VÀ TÊN CHV: ............................. 7/29/2021 1. Tạo một thông điệp gốc để gửi đi 2. Sử dụng hàm băm (thuật toán máy tính) để chuyển từ thông điệp gốc thành thông điệp rút gọn. 3. Người gửi sử dụng khóa riêng để mã hóa thông điệp số. Thông điệp rút gọn sau khi được mã hóa gọi là chữ ký số hay chữ ký điện tử. Không một ai ngoài người gửi có thể tạo ra chữ ký điện tử vì nó được tạo ra trên cơ sở khóa riêng 4. Người gửi mã hóa cả thông điệp gốc và chữ ký số sử dụng khóa công cộng của người nhận. Thông được sau khi được mã hóa gọi là phong bì số hóa 5. Người gửi gửi phong bì số hóa cho người nhận 6. Khi nhận được phong bì số hóa người nhận sử dụng khóa riêng của mình để giải mã nội dung của phong bì số hóa và nhận được một bản sao của thông điệp gốc và chữ ký số của người gửi 7. Người nhận sử dụng khóa chung của người gửi để giải mã chữ ký số và nhận được một bản sao của thông điệp rút gọn gốc (do người gửi tạo ra, sẽ được sử dụng để đối chứng) 8. Người nhận sử dụng hàm băm để chuyển thông điệp gốc thành thông điệp rút gọn như ở bước 2 người gửi đã làm và tạo ra thông điệp rút gọn mới 9. Người nhận so sánh thông điệp rút gọn mới và bản copy của thông điệp rút gọn gốc nhận được ở bước 7; Nếu hai thông điệp rút gọn trùng nhau, có thể kết luận chữ ký điện tử là xác thực và nội dung thông điệp gốc không bị thay đổi sau khi ký BG UD TMĐT TRONG DN@BMTMĐT_TMU 50
  14. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Công nghệ chữ ký số Mã hóa Hạ tầng khóa công khai Mã băm Mã hóa hàm HASH (thuật toán băm)  Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra  Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả E783A3AE2ACDD7DBA5E1FA0269CBC58D.  Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82. Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật toán HASH để mã hoá thông điệp BG UD TMĐT TRONG DN@BMTMĐT_TMU 51
  15. HỌ VÀ TÊN CHV: ............................. 7/29/2021 3.3.2. Mạng thương mại điện tử an toàn Secure Sockets Layer (SSL) and Transport Layer Security (TLS) Hình thức bảo mật kênh phổ biến nhất là thông qua Lớp cổng bảo mật (SSL) và giao thức Bảo mật tầng vận tải (TLS). Khi người dùng nhận được tin nhắn từ máy chủ trên trang Web mà người dùng sẽ giao tiếp thông qua một kênh an toàn, nghĩa là người dùng sẽ sử dụng SSL / TLS để thiết lập một phiên giao dịch an toàn. (Thông báo rằng URL thay đổi từ HTTP thành HTTPS.). Giao dịch an toàn là phiên máy chủ-khách hàng, trong đó URL của tài liệu được yêu cầu, cùng với nội dung, nội dung của biểu mẫu và cookie được trao đổi, được mã hóa.  Ví dụ: số thẻ tín dụng của người dùng đã nhập vào biểu mẫu sẽ được mã hóa, thông qua một loạt các lần bắt tay và liên lạc, trình duyệt và máy chủ thiết lập danh tính của nhau bằng cách trao đổi chứng chỉ kỹ thuật số, quyết định hình thức mã hóa được chia sẻ chung và sau đó tiến hành giao tiếp bằng cách sử dụng khóa phiên đã thỏa thuận. Khóa phiên là một khóa mã hóa đối xứng duy nhất được chọn chỉ cho phiên bảo mật duy nhất này. Sau khi sử dụng, nó đã biến mất vĩnh viễn (xem hình) Các phiên giao dịch an toàn bằng SSL/TLS BG UD TMĐT TRONG DN@BMTMĐT_TMU 52
  16. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Secure Sockets Layer (SSL) and Transport Layer Security (TLS)  SSL / TLS cung cấp mã hóa dữ liệu, xác thực máy chủ, xác thực máy khách tùy chọn và tính toàn vẹn của thông báo cho các kết nối TCP / IP. SSL / TLS giải quyết vấn đề xác thực bằng cách cho phép người dùng xác minh danh tính của người dùng khác hoặc danh tính của người phục vụ. Nó cũng bảo vệ tính toàn vẹn của các thông điệp được trao đổi. Tuy nhiên, khi người bán nhận được thông tin tín dụng và đơn đặt hàng được mã hóa, thông tin đó sẽ được lưu trữ chính xác ở định dạng không được mã hóa trên máy chủ của người bán.  Mặc dù SSL / TLS cung cấp giao dịch an toàn giữa người bán và người tiêu dùng, nó chỉ đảm bảo xác thực phía máy chủ. Xác thực máy khách là tùy chọn  Ngoài ra, SSL / TLS không thể cung cấp tính không thể chối cãi — người tiêu dùng có thể đặt hàng hoặc tải xuống các sản phẩm thông tin, và sau đó yêu cầu giao dịch không bao giờ xảy ra.  Gần đây, các trang mạng xã hội như Facebook và Twitter đã bắt đầu sử dụng SSL /TLS để ngăn chặn việc chiếm đoạt tài khoản bằng cách sử dụng Firesheep qua mạng không dây. Firesheep, một tiện ích bổ sung cho Firefox, có thể được tin tặc sử dụng để lấy các cookie không được mã hóa được sử dụng để “ghi nhớ" một người dùng và cho phép tin tặc đăng nhập ngay lập tức vào một trang web người sử dụng. SSL / TLS có thể ngăn chặn một cuộc tấn công như vậy vì nó mã hóa cookie. BG UD TMĐT TRONG DN@BMTMĐT_TMU 53
  17. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Bức tường lửa và Mạng riêng ảo  Tường lửa là rào cản giữa mạng một tổ chức đáng tin cậy và Internet không đáng tin cậy. Firewall được thiết kế để ngăn chặn trái phép truy cập vào và từ các mạng riêng, chẳng hạn như mạng nội bộ. VPN  Mạng riêng ảo (VPN) đề cập đến việc sử dụng Internet để truyền thông tin, nhưng theo cách an toàn hơn. VPN hoạt động giống như một mạng riêng bằng cách sử dụng mã hóa và các các tính năng bảo mật để bảo mật thông tin.  Ví dụ: VPN xác minh danh tính của bất kỳ ai sử dụng mạng. VPN có thể giảm chi phí liên lạc đáng kể. Chi phí thấp hơn vì VPN thiết bị rẻ hơn các thông tin liên lạc khác các giải pháp; đường dây thuê riêng không cần thiết để hỗ trợ truy cập từ xa; và một đường truy cập duy nhất có thể được sử dụng để hỗ trợ nhiều mục đích. Để đảm bảo tính chính xác, tính toàn vẹn và tính khả dụng của dữ liệu được truyền, VPN sử dụng giao thức đường hầm. Với giao thức đường hầm, dữ liệu các gói tin được mã hóa lần đầu tiên và sau đó được đóng gói thành các gói có thể được truyền qua Internet.  Cisco Systems, Inc. (cisco.com) cung cấp một số loại VPN BG UD TMĐT TRONG DN@BMTMĐT_TMU 54
  18. HỌ VÀ TÊN CHV: ............................. 7/29/2021 3.3. Giải pháp an toàn thương mại điện tử doanh nghiệp 3.3.3. Kiểm soát tổng thể Kiểm soát tổng thể  Các loại kiểm soát tổng thể là kiểm soát vật lý, kiểm soát hành chính và các kiểm soát khác.  Kiểm soát vật lý bảo vệ các cơ sở máy tính và tài nguyên, bao gồm cả khu vực thực nơi cơ sở máy tính được đặt. Các kiểm soát cung cấp khả năng bảo vệ chống lại các mối nguy hiểm tự nhiên, các cuộc tấn công nguy hiểm và một số lỗi do con người gây ra.  Các biện pháp kiểm soát hành chính được thực hiện bằng cách hướng dẫn và bao quát quản lý và ban hành các quy định thực hiện quy định sử dụng an toàn BG UD TMĐT TRONG DN@BMTMĐT_TMU 55
  19. HỌ VÀ TÊN CHV: ............................. 7/29/2021 Câu hỏi 1) Phân tích các yêu cầu an toàn thương mại điện tử 2) Phân tích các đe dọa an toàn thương mại điện tử 3) Phân tích cơ chế tấn công an toàn thông tin 4) Các nguy cơ đe dọa an toàn thương mại điện tử. 5) Các giải pháp đảm bảo an toàn thương mại điện tử 6) Chính sách đảm bảo an toàn thông tin và an toàn thương mại điện tử cho doanh nghiệp BG UD TMĐT TRONG DN@BMTMĐT_TMU 56
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2