Đang tải... (xem toàn văn)
Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp. Chương này cung cấp cho học viên những kiến thức về: tổng quan quản trị an toàn thương mại điện tử; mô hình đảm bảo an toàn và chiến lược an toàn; giải pháp an toàn thương mại điện tử doanh nghiệp;... Mời các bạn cùng tham khảo!
HỌ VÀ TÊN CHV: 7/29/2021 Chương Quản trị an toàn thương mại điện tử doanh nghiệp BỘ MÔN THƯƠNG MẠI ĐIỆN TỬ TRƯỜNG ĐẠI HỌC THƯƠNG MẠI Nội dung chương 3.1 Tổng quan quản trị an toàn TMĐT ◦ 3.1.1 Khái niệm an toàn thương mại điện tử ◦ 3.1.2 Các nguy đe dọa an tồn thương mại điện tử 3.2 Mơ hình đảm bảo an tồn chiến lược an tồn ◦ 3.2.1 Mơ hình đảm bảo an tồn TMĐT doanh nghiệp ◦ 3.2.2 Chiến lược an toàn thương mại điện tử 3.3 Giải pháp an toàn thương mại điện tử doanh nghiệp ◦ 3.3.1 Chữ kí số ◦ 3.3.2 Mạng thương mại điện tử an toàn ◦ 3.3.3 Kiểm soát tổng thể BG UD TMĐT TRONG DN@BMTMĐT_TMU 38 HỌ VÀ TÊN CHV: 7/29/2021 3.1 Tổng quan quản trị an toàn TMĐT 3.1.1 Khái niệm an tồn thương mại điện tử ◦ An tồn có nghĩa bảo vệ, khơng bị xâm hại An tồn chống lại, bảo vệ khỏi công, gây tổn hại An tồn khơng gắn với bảo vệ người, mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thơng tin ◦ An tồn thơng tin: an tồn máy tính (computer security), an tồn mạng (internet security), an tồn trình duyệt (browser security), an toàn liệu (data security) ◦ An toàn TMĐT an tồn thơng tin trao đổi chủ thể tham gia giao dịch, an toàn cho hệ thống (hệ thống máy chủ thương mại thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngồi có khả chống lại tai hoạ, lỗi cơng từ bên ngồi An tồn TMĐT • • An tồn TMĐT lĩnh vực ATTT, bao gồm: xác thực, cấp phép, kiểm tra (giám sát), tin cậy, toàn vẹn, sẵn sàng chống phủ định Tính xác thực (authentication): Khả nhận biết đối tác tham gia giao dịch BG UD TMĐT TRONG DN@BMTMĐT_TMU 39 HỌ VÀ TÊN CHV: • Cấp phép/quyền (authorization): Xác định quyền truy cập tài nguyên tổ chức: đọc, xem, nghe, sửa chữa, xóa… • Kiểm tra (giám sát_auditing): Tập hợp thơng tin trình truy cập người sử dụng 7/29/2021 Tam giác CIA an tồn thơng tin Tam giác CIA (Confidenttiality, integrity, availability) tâm điểm ATTT, phận này: Confidentiality, Integrity Availability xem thuộc tính, đặc tính, mục tiêu, khía cạnh bản, tiêu chi … ATTT BG UD TMĐT TRONG DN@BMTMĐT_TMU 40 HỌ VÀ TÊN CHV: 7/29/2021 Tam giác CIA mở rộng Ngoài yếu tố trên, yếu tố khác đề xuất như: tính trách nhiệm/xác thực (Accountability), tính khơng thể chối cãi (Non – Repudiation), tính với phát triển hệ thống máy tính nay, tính riêng tư (privacy) ngày trở thành nhân tố quan trọng Trong năm 1992 sửa đổi năm 2002, OECD đưa hướng dẫn an toàn cho HTTT mạng với yêu cầu: tính nhận thức (Awareness), tính trách nhiệm (Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ (Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật thực thi (security design and implementation), quản lý an toàn (security management), đánh giá lại (Reassessment) Tiếp theo, năm 2004, tổ chức NIST đưa luật bảo mật thơng tin, đề xuất 33 nguyên tắc Năm 2002, Donn Parker đề xuất mơ hình cánh (tam giá kép): confidentiality, possession, integrity, authenticity, availability, utility BG UD TMĐT TRONG DN@BMTMĐT_TMU 41 HỌ VÀ TÊN CHV: Theo 7/29/2021 ITU-T X.800, ANTT bao gồm ba khía cạnh: cơng an tồn (security attack); dịch vụ bảo mật (security service), chế an toàn (security mechanism) Tấn cơng an tồn: hành động làm ảnh hưởng tổn thất ATTT, phân loại: cơng thụ động Passive attacks chủ động Active attacks Dịch vụ bảo mật: bảo vệ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại: xâm nhập trái phép, bảo đảm tính tồn vẹn, chống chối bỏ, Control/kiểm sốt truy cập, Tính sẵn sàng/Availability Các chế bảo mật: Phương tiện để thực dịch vụ bảo mật: Mã hóa: Mã hóa đối xứng, Mã hóa khóa cơng khai, Quản lý chia; Hàm băm; Các mã xác thực thông điệp; Chữ ký số; Các giao thức xác thực thực thể Khái niệm Quản trị an toàn TMĐT Xây dựng kế hoạch Nhận biết đe dọa Thực thi đánh giá biện pháp đảm bảo an toàn TMĐT BG UD TMĐT TRONG DN@BMTMĐT_TMU 42 HỌ VÀ TÊN CHV: 7/29/2021 3.1 Tổng quan quản trị an toàn TMĐT 3.1.2 Các nguy đe dọa an tồn thương mại điện tử Tấn cơng vào tính bí mật C: nghe trộm, đọc trộm thơng tin BG UD TMĐT TRONG DN@BMTMĐT_TMU 43 HỌ VÀ TÊN CHV: 7/29/2021 Tấn cơng vào tính sẵn sàng (A) Tấn cơng vào tính tồn vẹn BG UD TMĐT TRONG DN@BMTMĐT_TMU 44 HỌ VÀ TÊN CHV: 7/29/2021 Tấn cơng vào tính xác thực chủ thể Các đe dọa an toàn TMĐT DN Tấn công phi kỹ thuật Không dựa vào công nghệ; Chủ yếu dựa vào nhẹ dạ, tin, hiểu biết, chủ quan, sơ hở gây sức ép tâm lý để công, gây hại Bằng cách lừa gạt người dùng tiết lộ thông tin thực hành động mang tính vơ thưởng vơ phạt, kẻ cơng làm tổn hại đến hệ thống mạng máy tính Tấn công kỹ thuật Tận dụng ưu việt lợi cơng nghệ, trình độ chun mơn để cơng vào hệ thống Xét góc độ cơng nghệ, có ba phận dễ bị công tổn thương thực giao dịch thương mại điện tử, là: Hệ thống khách hàng, Máy chủ doanh nghiệp Hệ thống truyền dẫn thông tin BG UD TMĐT TRONG DN@BMTMĐT_TMU 45 HỌ VÀ TÊN CHV: 7/29/2021 Một số dạng công nguy hiểm an toàn thương mại điện tử doanh nghiệp bao gồm: Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối đe doạ khác loại virus, worm, “con ngựa thành Tơ-roa”, “bad applets” Tin tặc (hacker) người xâm nhập bất hợp pháp vào website hay hệ thống công nghệ thông tin mà họ xác định rõ Sự khước từ phục vụ (DoS – Denial of Service) Loại công cách gửi số lượng lớn truy vấn thông tin tới máy chủ khiến hệ thống máy tính mạng bị tải, dẫn tới cung cấp dịch vụ phải dừng hoạt động (hoặc khó có thể) truy cập từ bên ngồi Kẻ trộm mạng: Sử dụng chương trình nghe trộm, theo dõi đánh cắp thông tin mạng Gian lận thẻ tín dụng Sự cơng từ bên doanh nghiệp: Những mối đe doạ bắt nguồn từ thành viên làm việc doanh nghiệp 3.2 Mô hình đảm bảo an tồn chiến lược an tồn 3.2.1 Mơ hình đảm bảo an tồn TMĐT doanh nghiệp Tiếp cận nhà cung cấp giải pháp BG UD TMĐT TRONG DN@BMTMĐT_TMU 46 HỌ VÀ TÊN CHV: 7/29/2021 3.2 Mơ hình đảm bảo an tồn chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử Quản trị an toàn thương mại điện tử Tiếp cận nhà quản trị Nhận thức vấn đề Xây dựng kế hoạch Thực thi kế hoạch BG UD TMĐT TRONG DN@BMTMĐT_TMU An tồn truyền thơng TMĐT Các cơng nghệ đảm bảo an tồn mạng Áp dụng biện pháp đảm bảo an tồn truyền thơng TMĐT Áp dụng biện pháp đảm bảo an toàn mạng hệ thống TMĐT 47 HỌ VÀ TÊN CHV: 7/29/2021 3.2 Mơ hình đảm bảo an toàn chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử Các lỗi thường mắc phải quản trị an toàn TMĐT: ◦ Đánh giá thấp giá trị tài sản thông tin Rất tổ chức có hiểu biết rõ ràng giá trị tài sản thơng tin mà có ◦ Xác định giới hạn an tồn phạm vi hẹp Phần lớn tổ chức tập trung đến việc đảm bảo an tồn thơng tin mạng nội mình, khơng quan tâm đầy đủ đến an toàn đối tác thuộc chuỗi cung ứng ◦ Quản trị an tồn mạng tính chất đối phó Nhiều tổ chức thực hành quản trị an toàn theo kiểu đối phó, khơng theo cách thức chủ động phịng ngừa, tập trung vào giải cố an tồn sau xẩy 3.2 Mơ hình đảm bảo an toàn chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử Các lỗi thường mắc phải quản trị an toàn TMĐT: ◦ Áp dụng quy trình quản trị lỗi thời Nhiều tổ chức cập nhật quy trình đảm bảo an tồn thơng tin cho phù hợp với u cầu thay đổi, không thường xuyên bồi dưỡng tri thức kỹ an tồn thơng tin đội ngũ cán nhân viên ◦ Thiếu truyền thông trách nhiệm đảm bảo an tồn thơng tin, coi an tồn thơng tin vấn đề CNTT, vấn đề tổ chức BG UD TMĐT TRONG DN@BMTMĐT_TMU 48 HỌ VÀ TÊN CHV: 7/29/2021 Một q trình mang tính hệ thống để xác định loại rủi ro xảy xác định biện pháp cần thực giúp ngăn ngừa hay giảm nhẹ rủi ro pha q trình quản trị an tồn TMĐT Đánh giá Lên kế hoạch Đánh giá rủi ro xác định tài sản, điểm dễ bị tổn thương hệ thống đe dọa điểm • Xác định đe dọa xảy ra, đe dọa khơng • Xác định mức độ biện pháp đối phó cho phù hợp Thực Theo dõi/ Kết luận • Theo dõi, đánh giá tính hiệu • Áp dụng giải pháp an giải pháp an ninh phù hợp, đặc biệt ninh ý điểm đễ bị tổn • Phát mối đe doạ thương • Tiếp cận Lợi ích-Chi phí lựa chọn giải pháp an • Cập nhật cơng nghệ bảo đảm an ninh đại ninh • Bổ sung thêm danh mục hệ thống cần bảo vệ 3.3 Giải pháp an toàn thương mại điện tử doanh nghiệp 3.3.1 Chữ kí số Chữ ký điện tử tạo lập dạng từ, chữ, số, ký hiệu, âm hình thức khác phương tiện điện tử, gắn liền kết hợp cách lơ gíc với thơng điệp liệu, có khả xác nhận người ký thông điệp liệu xác nhận chấp thuận người nội dung thơng điệp liệu ký (Luật Giao dịch điện tử) Chức chữ ký điện tử Là điều kiện cần đủ để quy định tính văn điện tử cụ thể; Xác định rõ người chịu trách nhiệm việc tạo văn đó; Thể tán thành nội dung văn trách nhiệm người ký Bất kỳ thay đổi (về nội dung, hình thức ) văn trình lưu chuyển làm thay đổi tương quan phần bị thay đổi với chữ ký BG UD TMĐT TRONG DN@BMTMĐT_TMU 49 HỌ VÀ TÊN CHV: 7/29/2021 Tạo thông điệp gốc để gửi Sử dụng hàm băm (thuật tốn máy tính) để chuyển từ thơng điệp gốc thành thông điệp rút gọn Người gửi sử dụng khóa riêng để mã hóa thơng điệp số Thơng điệp rút gọn sau mã hóa gọi chữ ký số hay chữ ký điện tử Không ngồi người gửi tạo chữ ký điện tử tạo sở khóa riêng Người gửi mã hóa thơng điệp gốc chữ ký số sử dụng khóa cơng cộng người nhận Thông sau mã hóa gọi phong bì số hóa Người gửi gửi phong bì số hóa cho người nhận Khi nhận phong bì số hóa người nhận sử dụng khóa riêng để giải mã nội dung phong bì số hóa nhận thông điệp gốc chữ ký số người gửi Người nhận sử dụng khóa chung người gửi để giải mã chữ ký số nhận thông điệp rút gọn gốc (do người gửi tạo ra, sử dụng để đối chứng) Người nhận sử dụng hàm băm để chuyển thông điệp gốc thành thông điệp rút gọn bước người gửi làm tạo thông điệp rút gọn Người nhận so sánh thông điệp rút gọn copy thông điệp rút gọn gốc nhận bước 7; Nếu hai thơng điệp rút gọn trùng nhau, kết luận chữ ký điện tử xác thực nội dung thông điệp gốc không bị thay đổi sau ký BG UD TMĐT TRONG DN@BMTMĐT_TMU 50 HỌ VÀ TÊN CHV: 7/29/2021 Công nghệ chữ ký số Mã hóa Hạ tầng khóa cơng khai Mã băm Mã hóa hàm HASH (thuật tốn băm) Hàm hash (hàm băm) hàm chiều mà đưa lượng liệu qua hàm cho chuỗi có độ dài cố định (160 bit) đầu Ví dụ, từ "Illuminatus" qua hàm SHA-1 cho kết E783A3AE2ACDD7DBA5E1FA0269CBC58D Ta cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết trở nên hồn tồn khác (nhưng có độ dài cố định 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82 Kỹ thuật mã hoá thuật toán băm sử dụng thuật toán HASH để mã hố thơng điệp BG UD TMĐT TRONG DN@BMTMĐT_TMU 51 HỌ VÀ TÊN CHV: 7/29/2021 3.3.2 Mạng thương mại điện tử an toàn Secure Sockets Layer (SSL) and Transport Layer Security (TLS) Hình thức bảo mật kênh phổ biến thông qua Lớp cổng bảo mật (SSL) giao thức Bảo mật tầng vận tải (TLS) Khi người dùng nhận tin nhắn từ máy chủ trang Web mà người dùng giao tiếp thơng qua kênh an tồn, nghĩa người dùng sử dụng SSL / TLS để thiết lập phiên giao dịch an tồn (Thơng báo URL thay đổi từ HTTP thành HTTPS.) Giao dịch an toàn phiên máy chủ-khách hàng, URL tài liệu yêu cầu, với nội dung, nội dung biểu mẫu cookie trao đổi, mã hóa Ví dụ: số thẻ tín dụng người dùng nhập vào biểu mẫu mã hóa, thơng qua loạt lần bắt tay liên lạc, trình duyệt máy chủ thiết lập danh tính cách trao đổi chứng kỹ thuật số, định hình thức mã hóa chia sẻ chung sau tiến hành giao tiếp cách sử dụng khóa phiên thỏa thuận Khóa phiên khóa mã hóa đối xứng chọn cho phiên bảo mật Sau sử dụng, biến vĩnh viễn (xem hình) Các phiên giao dịch an toàn SSL/TLS BG UD TMĐT TRONG DN@BMTMĐT_TMU 52 HỌ VÀ TÊN CHV: 7/29/2021 Secure Sockets Layer (SSL) and Transport Layer Security (TLS) SSL / TLS cung cấp mã hóa liệu, xác thực máy chủ, xác thực máy khách tùy chọn tính tồn vẹn thơng báo cho kết nối TCP / IP SSL / TLS giải vấn đề xác thực cách cho phép người dùng xác minh danh tính người dùng khác danh tính người phục vụ Nó bảo vệ tính tồn vẹn thơng điệp trao đổi Tuy nhiên, người bán nhận thơng tin tín dụng đơn đặt hàng mã hóa, thơng tin lưu trữ xác định dạng khơng mã hóa máy chủ người bán Mặc dù SSL / TLS cung cấp giao dịch an tồn người bán người tiêu dùng, đảm bảo xác thực phía máy chủ Xác thực máy khách tùy chọn Ngoài ra, SSL / TLS khơng thể cung cấp tính khơng thể chối cãi — người tiêu dùng đặt hàng tải xuống sản phẩm thơng tin, sau u cầu giao dịch không xảy Gần đây, trang mạng xã hội Facebook Twitter bắt đầu sử dụng SSL /TLS để ngăn chặn việc chiếm đoạt tài khoản cách sử dụng Firesheep qua mạng khơng dây Firesheep, tiện ích bổ sung cho Firefox, tin tặc sử dụng để lấy cookie khơng mã hóa sử dụng để “ghi nhớ" người dùng cho phép tin tặc đăng nhập vào trang web người sử dụng SSL / TLS ngăn chặn cơng mã hóa cookie BG UD TMĐT TRONG DN@BMTMĐT_TMU 53 HỌ VÀ TÊN CHV: 7/29/2021 Bức tường lửa Mạng riêng ảo Tường lửa rào cản mạng tổ chức đáng tin cậy Internet không đáng tin cậy Firewall thiết kế để ngăn chặn trái phép truy cập vào từ mạng riêng, chẳng hạn mạng nội VPN Mạng riêng ảo (VPN) đề cập đến việc sử dụng Internet để truyền thơng tin, theo cách an tồn VPN hoạt động giống mạng riêng cách sử dụng mã hóa các tính bảo mật để bảo mật thơng tin Ví dụ: VPN xác minh danh tính sử dụng mạng VPN giảm chi phí liên lạc đáng kể Chi phí thấp VPN thiết bị rẻ thông tin liên lạc khác giải pháp; đường dây thuê riêng không cần thiết để hỗ trợ truy cập từ xa; đường truy cập sử dụng để hỗ trợ nhiều mục đích Để đảm bảo tính xác, tính tồn vẹn tính khả dụng liệu truyền, VPN sử dụng giao thức đường hầm Với giao thức đường hầm, liệu gói tin mã hóa lần sau đóng gói thành gói truyền qua Internet Cisco Systems, Inc (cisco.com) cung cấp số loại VPN BG UD TMĐT TRONG DN@BMTMĐT_TMU 54 HỌ VÀ TÊN CHV: 7/29/2021 3.3 Giải pháp an toàn thương mại điện tử doanh nghiệp 3.3.3 Kiểm soát tổng thể Kiểm soát tổng thể Các loại kiểm soát tổng thể kiểm sốt vật lý, kiểm sốt hành kiểm soát khác Kiểm soát vật lý bảo vệ sở máy tính tài nguyên, bao gồm khu vực thực nơi sở máy tính đặt Các kiểm soát cung cấp khả bảo vệ chống lại mối nguy hiểm tự nhiên, công nguy hiểm số lỗi người gây Các biện pháp kiểm soát hành thực cách hướng dẫn bao quát quản lý ban hành quy định thực quy định sử dụng an toàn BG UD TMĐT TRONG DN@BMTMĐT_TMU 55 HỌ VÀ TÊN CHV: 7/29/2021 Câu hỏi 1) Phân tích yêu cầu an tồn thương mại điện tử 2) Phân tích đe dọa an toàn thương mại điện tử 3) Phân tích chế cơng an tồn thơng tin 4) Các nguy đe dọa an toàn thương mại điện tử 5) Các giải pháp đảm bảo an toàn thương mại điện tử 6) Chính sách đảm bảo an tồn thơng tin an tồn thương mại điện tử cho doanh nghiệp BG UD TMĐT TRONG DN@BMTMĐT_TMU 56 ... dọa an toàn thương mại điện tử 3) Phân tích chế cơng an tồn thơng tin 4) Các nguy đe dọa an toàn thương mại điện tử 5) Các giải pháp đảm bảo an toàn thương mại điện tử 6) Chính sách đảm bảo an. .. chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử Quản trị an toàn thương mại điện tử Tiếp cận nhà quản trị Nhận thức vấn đề Xây dựng kế hoạch Thực thi kế hoạch BG UD TMĐT TRONG DN@BMTMĐT_TMU... xẩy 3.2 Mơ hình đảm bảo an toàn chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử Các lỗi thường mắc phải quản trị an toàn TMĐT: ◦ Áp dụng quy trình quản trị lỗi thời Nhiều tổ chức
