Chương An ninh thương mại điện tử Chương 3: An ninh TMĐT 3.1 Vấn đề an ninh cho hệ thống TMĐT 3.2 Các khía cạnh an ninh TMĐT 3.3 Hệ thống bảo mật TMĐT 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT Câu hỏi ôn tập chương Khái niệm an ninh TMĐT Các khía cạnh an ninh TMĐT phía người mua người bán? Những nguy đe dọa an ninh TMĐT Kỹ thuật mã hóa thơng tin, phân biệt mã hóa cơng cơng mã hóa bí mật Chữ ký điện tử vai trò chữ ký điện tử Các rủi ro máy chủ, mạng máy khách? Khái niệm Mục tiêu hệ thống bảo mật cho hoạt động TMĐT Chức chủ yếu hệ thống bảo mật thông tin Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.1 Vấn đề an ninh cho hệ thống TMĐT  Làm để cân an ninh tiện dụng Một hệ thống an tồn khả xử lý, thực thi thao tác phức tạp  Các loại tội phạm TMĐT tinh vi việc giảm rủi ro TMĐT trình phức tạp liên quan đến đạo luật mới, công nghệ mới, nhiều thủ tục sách tổ chức  TMĐT hấp dẫn tin tặc khách hàng sử dụng thẻ để mua hàng dịch vụ trực tuyến, dùng email để thực giao dịch kinh tế 3.1 Vấn đề an ninh cho hệ thống TMĐT Các yếu tố làm số lượng + Các hệ thống an ninh tồn điểm yếu công mạng phát triển: + Vấn đề an ninh dễ dàng sử dụng + Vấn đề an ninh thường xuất sau có sức ép thị trường + Vấn đề an ninh trang e.commerce phụ thuộc vào an ninh internet, số lượng trang web trường, thư viện, cá nhân… 3.2 Các khía cạnh an ninh TMĐT 3.2.1 Những quan tâm * Phía người mua: Bằng cách ? + Biết Website công ty hợp pháp quản lý sở hữu + Biết trang web không chứa đoạn mã nguy hiểm nội dung không lành mạnh + Biết web server không cung cấp thông tin người sử dụng cho người khác 3.2 Các khía cạnh an ninh TMĐT 3.2.1 Những quan tâm * Phía cơng ty: Bằng cách biết + Người sử dụng không xâm nhập vào trang web để thay đổi trang nội dung + Người sử dụng không phá hoại website để người khác khơng thể sử dụng * Từ phía cơng ty người sử dụng: cách họ biết rằng: + Đường truyền không bị người thứ ba theo dõi + Các thông tin lưu chuyển hai bên không bị thay đổi 3.2 Các khía cạnh an ninh TMĐT 3.2.2 u cầu an ninh TMĐT  Tính tồn vẹn  Chống phủ định  Tính xác thực  Tính đáng tin cậy  Tính riêng tư  Tính ích lợi 3.2 Các khía cạnh an ninh TMĐT 3.2.3 Những nguy đe doạ an ninh TMĐT  Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác loại virus, worm  Tin tặc (hacker) chương trình phá hoại (cybervandalism)  Gian lận thẻ tín dụng  Sự lừa đảo: Tin tặc sử dụng địa thư điện tử giả mạo danh người nhằm thực hành động phi pháp 3.3 Hệ thống bảo mật TMĐT 3.3.4 Mục tiêu hệ thống bảo mật cho hoạt động TMĐT (1) Chống xâm nhập bất hợp pháp (2) Chống công Hacker (3) Bảo đảm thông tin không bị lộ, (4) Đảm bảo không bị sửa đổi, liệu thông tin (5) Đảm bảo tính sẵn sàng thơng tin (6) Đảm bảo tính tồn vẹn giao dịch 3.3 Hệ thống bảo mật TMĐT 3.3.5 Chức chủ yếu hệ thống bảo mật thông tin  Ngăn ngừa thiệt hại  Thông báo trước  Thu thập có giới hạn  Việc sử dụng thơng tin  Quyền lựa chọn chủ thể liệu  Tính tồn vẹn thơng tin  An ninh, an toàn liệu  Tiếp cận điều chỉnh liệu  Trách nhiệm 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.1 Kỹ thuật mã hố thơng tin  q trình chuyển văn hay tài liệu gốc thành văn dạng mật mã (số hóa) để ai, ngồi người gửi người nhận khơng thể đọc  Hệ thống mã hóa đại thường số hóa – thuật tốn dựa bit đơn thông điệp không dựa ký hiệu chữ Máy tính lưu trữ liệu dạng chuỗi nhị phân, trình tự số Mỗi ký tự gọi bit Các mã khóa mã mở chuỗi nhị phân với độ dài khóa xác định sẵn 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.1 Kỹ thuật mã hố thơng tin  Kỹ thuật mã hố: • Mã hố khố bí mật • Mã hố cơng cộng  Giao thức thoả thuận mã khố: Phong bì số hố 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.2 Chữ ký điện tử (chữ ký số)  Là biện pháp mã khóa cơng cộng sử dụng phổ biến TMĐT, âm điện tử, ký hiệu hay trình điện tử gắn với liên quan cách logic với văn điện tử khác theo nguyên tắc định người ký (hay có ý định ký) văn thực thi áp dụng  Tính chất chữ ký số - Có khả xác thực tác giả thời gian ký - Có khả xác thực thời điểm ký - Các thành viên thứ ba kiểm tra chữ ký để giải tranh chấp 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.2 Chữ ký điện tử (chữ ký số) Yêu cầu chữ ký số • • Chữ ký phải mẫu bit phụ thuộc vào thơng báo ký • • • • Tạo chữ ký số dễ dàng Chữ ký phải dụng thông tin từ người gửi, nhằm ngăn chặn làm giả chối bỏ Dễ dạng nhận kiểm tra chữ ký số Khó làm giả chữ ký số Trong thực tế cần phải lưu giữ chữ ký số 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.2 Chữ ký điện tử (chữ ký số) Quy trình thực chữ ký điện tử: • Bước Mã hóa tài liệu (gốc) (TL1) Bên ký tài liệu (bên A) dùng Mã khóa bí mật mã hóa tài liệu gốc => Bản tài liệu mã hóa (TL2) • Bước Chuyển tài liệu mã hóa TL2 đến bên xác nhận (bên B) • Bước Giải mã TL2 Bên B dùng mã khóa cơng cộng để giải mã TL2 => TL3 • Bước So sánh TL1 với TL3 Bên B dừng phần mềm để so sánh TL1 với TL3 - Nếu trùng lặp: xác nhận bên A ký - Nếu không trùng lặp, bên A ký 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.3 Chứng thực điện tử  Là hệ thống bảo mật an ninh mạng thực giao dịch internet  Là trung tâm an ninh TMĐT, thông qua bên thứ 3, công cụ dễ dàng thuận tiện để bên tham gia giao dịch TMĐT tin tưởng lẫn 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.4 Chứng điện tử  Chứng điện tử “tài liệu có chứa tuyên bố chứng thực tính đắn thông tin”  Trong thương mại điện tử, chứng tài liệu chứa tập hợp thơng tin có chữ ký số người có thẩm quyền người cộng đồng người sử dụng chứng chấp nhận tin cậy 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.4 Chứng điện tử Quy trình xác nhận danh tính đối tượng giao dịch thơng qua Chứng điện tử (CA: Certificate Authority) • Bước Cấp chứng CA Tổ chức trung gian (Có uy tín) cấp CA cho bên giao dịch (DN) có nhu cầu Các DN khai vào form quy định bao gồm nội dung: Tên, Địa chỉ, Điện thoại, E.mail, thông tin khác Tổ chức trung gian cấp CA cho bên liên quan • Bước Xác nhận danh tính đối tượng giao dịch Khi tiến hành giao dịch, bên xuất trình CA, bên tự xác định CA để xác nhận danh tính nhờ giúp đỡ kiểm tra Tổ chức trung gian để tránh giả mạo 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.5 Bức tường lửa  Bức tường lửa (firewall) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn truy cập thơng tin khơng mong muốn từ ngồi vào hệ thống mạng nội bộ cũng ngăn chặn thông tin bảo mật nằm trong mạng nội xuất internet mà không cho phép  Mục tiêu an ninh mạng cho phép người sử dụng cấp phép truy cập thông tin dịch vụ  Bức tường lửa: bảo vệ mạng LAN khỏi người xâm nhập từ bên ngồi Mỗi mạng LAN kết nói với internet qua cổng thơng thường phải có tường lửa 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh TMĐT 3.4.5 Bức tường lửa b Chức vai trò tường lửa máy tính thiết bị mạng – Cho phép vơ hiệu hóa dịch vụ truy cập bên ngồi, đảm bảo thơng tin có mạng nội – Cho phép vơ hiệu hóa dịch vụ bên truy cập vào – Phát ngăn chặn công từ bên ngồi – Hỗ trợ kiểm sốt địa truy cập (bạn đặt lệnh cấm cho phép) – Kiểm soát truy cập người dùng – Quản lý kiểm soát luồng liệu trên mạng – Xác thực quyền truy cập – Hỗ trợ kiểm soát nội dung thơng tin và gói tin lưu chuyển hệ thống mạng – Lọc gói tin dựa vào địa nguồn, địa đích số Port ( hay cịn cổng), giao thức mạng – Người quản trị biết kẻ cố gắng để truy cập vào hệ thống mạng – Bảo vệ tài nguyên hệ thống mối đe dọa bảo mật – Cân tải: Bạn sử dụng nhiều đường truyền internet lúc, việc chia tải giúp đường truyền internet ổn định nhiều – Tính lọc ứng dụng cho phép ngăn chặn số ứng dụng mà bạn không muốn 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.5 Bức tường lửa 3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.5 Bức tường lửa c Tường lửa điện toán đám mây Đối với người dùng điều quan trọng tính sẵn sàng, hệ thống CNTT hay website phải ln hoạt động cơng việc kinh doanh sản xuất hoạt động được. Dịch vụ tường lửa điện tốn đám mây cấu hình cho phép giữ thông lượng mạng tốt loại bỏ thông lượng mạng không tốt đảm bảo cho hệ thống uptime 99.99% Ưu điểm tường lửa điện toán đám mây - Cloud Firewall - Tính sẵn sàng cao:  - Trang bị VPN ( mạng riêng ảo):  - Hiệu suất cao:  3.4 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.5 Bức tường lửa ... số giải pháp công nghệ đảm bảo an ninh TMĐT 3.4.4 Chứng điện tử  Chứng điện tử “tài liệu có chứa tun bố chứng thực tính đắn thông tin”  Trong thương mại điện tử, chứng tài liệu chứa tập hợp... TMĐT 3.4.2 Chữ ký điện tử (chữ ký số)  Là biện pháp mã khóa cơng cộng sử dụng phổ biến TMĐT, âm điện tử, ký hiệu hay trình điện tử gắn với liên quan cách logic với văn điện tử khác theo nguyên... ép thị trường + Vấn đề an ninh trang e.commerce phụ thuộc vào an ninh internet, số lượng trang web trường, thư viện, cá nhân… 3.2 Các khía cạnh an ninh TMĐT 3.2.1 Những quan tâm * Phía người mua: