Chương 7: an toàn thương mại điện tử
lượt xem 49
download
Về phía người dùng: Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận hành hay không? Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các đoạn mã nguy hiểm hay không? Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website tiết lộ cho bên thứ ba hay không? Yêu cầu từ phía doanh nghiệp: Người sử dụng có định xâm nhập vào máy chủ hay những trang web và thay đổi các trang Web và nội dung trong website của công ty hay không: Người sử dụng có...
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Chương 7: an toàn thương mại điện tử
- AN TOÀN THƯƠNG MẠI ĐIỆN TỬ AN (Electronic Commerce Security) Copyright@Bộ môn QTTN TMĐT 1
- NỘI DUNG CHÍNH 1. Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT 2. Các nguy cơ và các hình thức tấn công đe dọa an toàn thương mại điện tử 3. Quản trị an toàn thương mại điện tử 4. Một số giải pháp đảm bảo an toàn TMĐT 5. Câu hỏi thảo luận và tài liệu tham khảo copyright@Bộ môn QTTN TMĐT 2
- Đ/n an toàn TMĐT: An toàn có nghĩa là được bảo vệ, không bị xâm h ại. An toàn trong thương mại điện tử được hiểu là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai hoạ, lỗi và sự tấn công từ bên ngoài. copyright@Bộ môn QTTN TMĐT 3
- Môi trường an toàn TMĐT Copyright@Bộ môn QTTN TMĐT 4
- Những vấn đề căn bản an toàn TMĐT: Về phía người dùng: Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận hành hay không? Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các đoạn mã nguy hiểm hay không? Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website tiết lộ cho bên thứ ba hay không? Yêu cầu từ phía doanh nghiệp: Người sử dụng có định xâm nhập vào máy chủ hay những trang web và thay đổi các trang Web và nội dung trong website của công ty hay không: Người sử dụng có làm làm gián đoạn hoạt động của máy chủ, làm những người khác không truy cập được vào site của doanh nghiệp hay không? Copyright@Bộ môn QTTN TMĐT 5
- Những vấn đề căn bản an toàn TMĐT: Yêu cầu từ cả người dùng và doanh nghiệp: Liệu thông tin giữa người dùng và doanh nghiệp truyền trên m ạng có bị bên thứ ba “nghe trộm” hay không? Liệu thông tin đi đến và phản hồi giữa máy chủ và trình duy ệt c ủa người sử dụng không bị biến đổi hay không?. Bản chất của an toàn TMĐT là một vấn đề ph ức t ạp. Đối với an toàn thương mại điện tử, có sáu vấn đề cơ bản cần phải giải quyết, bao gồm: sự xác thực, quyền cấp phép, kiểm tra (giám sát), tính bí mật, tính toàn vẹn, tính s ẵn sàng và chống từ chối. Copyright@Bộ môn QTTN TMĐT 6
- Những vấn đề căn bản an toàn TMĐT: Sự xác thực (Authentication) Quyền cấp phép (Authoziration) Kiểm tra (giám sát) (Auditing) Tính tin cậy (confidentiality) và tính riêng t ư (Privacy) Tính toàn vẹn Tính sẵn sàng (tính ích lợi) Chống phủ định (Nonrepudation) Copyright@Bộ môn QTTN TMĐT 7
- Những vấn đề căn bản an toàn TMĐT: Trì nh duyệt Web Các chươ ng Cơ sở dữ liệu server trình CGI,… Web Internet Tính riêng tư/Tính toàn vẹn Xác thực Xác thực Tính riêng Cấp phép tư/Tính Kiểm soát Toàn vẹn Không phủ định Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York Scambray Copyright@Bộ môn QTTN TMĐT 8
- Tấn công phi kỹ thuật: Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vô th ưởng vô ph ạt, k ẻ tấn công có thể làm tổn hại đến hệ thống mạng máy tính. Ví dụ, kẻ tấn công gửi một bức thư điện tử như sau đến người dùng: Người dùng của xyz.com kính mến Chúng tôi đã phát hiện ra rằng tài khoản thư điện tử của Ông (Bà) đã được sử dụng để gửi một lượng rất lớn thư rác (spam) trong tuần l ễ qua. Hiển nhiên là máy tính của Ông (Bà) đã bị tổn hại và hiện gi ờ đang ch ạy trên một máy chủ ủy quyền bị nhiễm virus con ngựa thành Troia. Chúng tôi khuyên Ông (Bà) hãy tuân thủ các ch ỉ d ẫn đ ược đính kèm bức thư này (xyz.com.zip) để bảo vệ máy tính của Ông (Bà) được an toàn. Chúc Ông (Bà) may mắn. Đội hỗ trợ kỹ thuật của xyz.com. Copyright@Bộ môn QTTN TMĐT 9
- Tấn công kỹ thuật: Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị t ấn công và t ổn thương khi thực hiện các giao dịch thương mại điện tử, đó là h ệ th ống của khách hàng, máy chủ của doanh nghiệp và đường dẫn thông tin (communications pipeline) (hình 7.3). Copyright@Bộ môn QTTN TMĐT 10
- Tấn công kỹ thuật: Có bảy dạng tấn công nguy hiểm nhất đối với an toàn của các website và các giao dịch thương mại điện tử, bao gồm: các đoạn mã nguy hiểm, tin tặc và các chương trình phá hoại, trộm cắp/ gian lận th ẻ tín dụng, lừa đảo, khước từ phục vụ, nghe trộm và sự tấn công t ừ bên trong doanh nghiệp. Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối đe doạ khác nhau như các loại virus, worm, nh ững “con ngựa thành Tơ-roa”, “bad applets”. Copyright@Bộ môn QTTN TMĐT 11
- Tấn công kỹ thuật: Các đoạn mã nguy hiểm (malicious code): Kiểu Mô tả Tên Bị phát hiện lần đầu tiên vào năm 1999. Tại th ời đi ểm Melissa Virus đó, Melisa đã lây nhiễm vào các ch ương trình trong macro/ phạm vi rộng lớn trước khi bị phát hiện. Loại mã này t ấn worm công vào tệp khuôn mẫu chung (normal.dot) của Microsoft Word và nhiễm vào tất cả các tài liệu mới được tạo ra. Một thư điện tử dạng tệp tài liệu Word nếu nhiễm loại mã này sẽ lây sang 50 người khác trong sổ địa ch ỉ Microsoft Outlook của người sử dụng. Copyright@Bộ môn QTTN TMĐT 12
- Tấn công kỹ thuật: Các đoạn mã nguy hiểm (malicious code): Kiểu Mô tả Tên ILOVEYOU tấn công vào tháng 5-2000. Nó vượt qua ILOVEY Virus Melisa và trở thành một loại virus lây nhiễm nhanh nh ất. OU script/ Nó sử dụng Microsoft Outlook để gửi đi các thông điệp worm có đính kèm tệp “Love-Letter-For-You.TXT.vbs”. Khi m ở tệp này, virus sẽ xoá toàn bộ các tệp .mp3 và .jpg. Lo ại virus này sử dụng Microsoft Outlook và chương trình mIRC để tự nhân bản và thâm nhập vào các h ệ th ống khác. Copyright@Bộ môn QTTN TMĐT 13
- Tấn công kỹ thuật: Các đoạn mã nguy hiểm (malicious code): Kiểu Mô tả Tên ExploreZi Con ngựa ExploreZip bị phát hiện lần đầu tiên vào tháng 6-1999 và sử dụng thành Tơ- Microsoft Outlook để tự nhân bản. Khi mở ra, loại virus này tự tìm p roa/ worm kiếm một số tệp và làm giảm dung lượng của các tệp này xuống 0 (zero), làm cho các tệp này không thể sử dụng và không thể khôi phục được. Virus tệp Loại virus này bị phát hiện lần đầu năm 1998 và vô cùng nguy hiểm. Vào ngày 26-4 hàng năm, ngày kỷ niệm vụ nổ nhà máy điện nguyên tử Chernobyl, nó sẽ xoá sạch 1Mb dữ liệu đầu tiên trên đĩa cứng khiến cho các phần còn lại không thể hoạt động được. Copyright@Bộ môn QTTN TMĐT 14
- Tấn công kỹ thuật: Tin tặc (hacker) và các chương trình hoại phá (cybervandalism) Gian lận thẻ tín dụng Sự khước từ phục vụ (DoS - Denial of Service) Kẻ trộm trên mạng Sự tấn công từ bên trong doanh nghiệp Copyright@Bộ môn QTTN TMĐT 15
- Các lỗi thường mắc phải trong quản trị an toàn TMĐT: Đánh giá thấp giá trị của tài sản thông tin. Rất ít t ổ ch ức có được sự hiểu biết rõi ràng về giá trị của tài sản thông tin mà mình có. Xác định các giới hạn an toàn ở phạm vi hẹp. Phần lớn tổ chức tập trung đến việc đảm bảo an toàn thông tin các mạng nội bộ của mình, không quan tâm đầy đủ đến an toàn trong các đối tác thuộc chuỗi cung ứng Quản trị an toàn mạng tính chất đối phó. Nhiều t ổ ch ức thực hành quản trị an toàn theo kiểu đối phó, chứ không theo cách thức chủ động phòng ngừa, tập trung vào giải quyết các sự cố an toàn sau khi đã xẩy ra. Copyright@Bộ môn QTTN TMĐT 16
- Các lỗi thường mắc phải trong quản trị an toàn TMĐT: Áp dụng các quy trình quản trị đã lỗi thời. Nhiều tổ ch ức ít khi cập nhật các quy trình đảm bảo an toàn thông tin cho phù hợp với nhu cầu thay đổi, cũng như không th ường xuyên bồi dưỡng tri thức và kỹ năng an toàn thông tin c ủa đội ngũ cán bộ nhân viên. Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông tin, coi an toàn thông tin như là một vấn đề CNTT, không phải là vấn đề tổ chức. Copyright@Bộ môn QTTN TMĐT 17
- Một quá trình mang tính hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để ngăn ng ừa hay giảm nhẹ các rủi ro này 4 pha của quá trình quản trị an toàn TMĐT Theo dõi/ Đánh giá Lên kế hoạch Thực hiện Đá Kết luận • Áp dụng các giải pháp an • Theo dõi, đánh giá tính Theo • Xác định các đe dọa nào Đánh giá Xác hiệu quả của các giải pháp ninh phù hợp, đặc biệt chú hi có thể xảy ra, đe dọa nào các tài sản tài (hệ thống máy an ninh ý các điểm đễ bị tổn là không tính, mạng, thông tin), xác • Phát hiện các mối đe doạ thương • Sử dụng đội ngũ IT trong định các điểm dễ bị mới • Tiếp cận Lợi ích-Chi phí doanh nghiệp hoặc tư vấn tổn thương của hệ thống trong lựa chọn giải pháp an • Cập nhật công nghệ bảo bên ngoài và những đe dọa đối với các đảm an ninh hiện đại ninh điểm này • Bổ sung thêm danh mục các hệ thống cần bảo vệ 18 Copyright@Bộ môn QTTN TMĐT
- Một số giải pháp công nghệ đảm 4. 4. bảo an toàn trong TMĐT Kiểm soát truy cập (Access Control): cơ chế xác định ai có quyền sử dụng tài nguyên mạng (trang web, file tài liệu, cơ sở dữ liệu, phần mềm ứng dụng, server, máy in….) một cách hợp pháp. Một tổ chức có thể có danh sách người dùng (có thể theo nhóm) được phép truy cập, truy c ập đ ến đâu, được quyền gì (đọc, xem, viết , in, copy, xóa, sửa đổi hoặc tất cả) Xác thực (Authentication): Một khi người dùng đã đ ược phân đ ịnh (Identified), họ cần được xác thực (Authenticate). Xác thực là quá trình kiểm tra xem người dùng có phải chính là người xưng danh hay không . Việc kiểm tra thông thường dựa trên cơ sở một hay nhiều các d ấu hiện phân bi ệt người này với người khác. Các dấu hiệu có thể thuộc loại một ng ười bi ết (như Password), loại một người nào đó có (như chếc th ẻ) hoặc b ản thân dấu hiệu của một người nào đó (vân tay). Để tăng tính tin c ậy c ủa xác th ực, có thể kết hợp 2 yếu tố Copyright@Bộ môn QTTN TMĐT 19
- Một số giải pháp công nghệ đảm 4. 4. bảo an toàn trong TMĐT Passwords: Cấu tạo từ tổ hợp các số, ký hiệu, chữ cái… Passwords thường kém an toàn vì người dùng có thói quen để chúng ở nơi ít bí mật, dễ tìm, hay lựa chọn các giá trị dễ đoán, hay nói cho người khác biết khi đuợc hỏi… Tokens: Token thụ động (Passive Tokens) thường là các th ẻ nh ựa có d ải t ừ (magnetic strips) chứa mã bí mật. Khi sử dụng cần đ ưa vào đ ầu đ ọc (reader) gắn với máy tính nơi làm việc. Token chủ động (Active Tokens): thường là một thiết bị điện t ử nh ỏ (như thẻ thông minh, máy tính bỏ túi…), khi sử dụng, ng ười dùng nh ập số PIN, thiết bị sinh ra Password sử dụng một lần để truy nhập mạng. Copyright@Bộ môn QTTN TMĐT 20
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Bài giảng Thương mại điện tử: Chương 7 - ThS. Nguyễn Thị Bích Trâm
27 p | 213 | 47
-
Bài giảng Thanh toán điện tử: Chương 7 - ĐH Thương Mại
33 p | 245 | 47
-
Bài giảng Thương mại điện tử - Chương 7: Bảo mật và an ninh trên mạng
23 p | 114 | 15
-
Bài giảng Thương mại điện tử - Trường ĐH Võ Trường Toản
88 p | 31 | 14
-
Bài giảng Thương mại điện tử: Chương 7 - TS. Nguyễn Đức Trí
19 p | 79 | 8
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn