An ninh trong Thương mại điện tử pot

Rủi ro về công nghệbằng cách sử dụng những giao thông vô ích làm tràn ngập dẫn đến tắc nghẽn mạng truyền thông DoS, hoặc sử dụng số lượng lớn các máy tính tấn công vào một mạng từ nhiều

Chương 4:

An ninh trong Thương mại điện tử

Khái niệm rủi ro trong TMĐT

những tai nạn, sự cố, tai hoạ xảy ra

một cách ngẫu nhiên, khách quan

ngoài ý muốn của con người mà gây ra tổn thất cho các bên tham gia trong

quá trình tiến hành giao dịch trong

Thương mại điện tử

 Các tổ chức tiếp tục phải chịu những cuộc tấn công

qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó khoảng 90% cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất.

 Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau Ví dụ, 85% bị virus tấn công, 78%

bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ chối dịch vụ (DoS)

cấp máy tính (CERT) của đại học Carnegie

Tổng quan

trung tâm an ninh mạng mang tính

quốc gia:

 Trung tâm bảo vệ Cơ sở hạ tầng quốc gia

(NIPC) trực thuộc FBI (Mỹ), có chức năng

ngăn chặn và bảo vệ hạ tầng quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân

hàng và tài chính, các hoạt động cấp cứu và

các hoạt động khác của chính phủ

 Tại Việt Nam cũng đã thành lập Trung tâm ứng

cứu khẩn cấp máy tính Việt Nam (VnCERT)

vào tháng 12/2005

Yêu cầu về an ninh

 1 - Bí mật (secrecy):

• Đảm bảo việc, ngoài những người có quyền, không ai đọc

được các dữ liệu, lấy được các thông tin cá nhân hoặc các thông tin bí mật khác

chuẩn công nghiệp

Luật pháp và tiêu chuẩn công nghiệp

C¸c thñ tôc quy tr×nh giao dÞch

Công nghệ

Dữ liệu

Những rủi ro thường gặp

Rủi ro về dữ liệu

tín dụng)

 Người bán: thay đổi thông tin website, cơ sở

dữ liệu, nhận được đơn hàng giả mạo,…

 Người mua: thông tin cá nhân, nhận email giả

tạo,…

 Chính phủ

Rủi ro về công nghệ

sử dụng công nghệ tin học

code): Virus là chương trình máy tính có khả năng nhân bản hoặc tự tạo các bản sao của chính mình và lây lan sang các chương trình, các tệp dữ liệu khác trên máy tính

Rủi ro về công nghệ

bằng cách sử dụng những giao thông vô ích

làm tràn ngập dẫn đến tắc nghẽn mạng truyền thông (DoS), hoặc sử dụng số lượng lớn các máy tính tấn công vào một mạng từ nhiều điểm khác nhau gây nên sự quá tải về khả năng

cung cấp dịch vụ (DDoS)

Tấn công DDoS

Máy tính

trường học

Máy tính trường học

Máy tính gia đình

Máy tính

Cơ quan Máy tính

ISP

Hacker

Nạn nhân

Rủi ro về thủ tục quy trình giao

Rủi ro về luật pháp và các tiêu chuẩn công nghiệp

tử: trên quy mô quốc tế, các nước đối tác có thừa nhận giao dịch điện tử?

chuẩn hóa trong một số lĩnh vực của TMĐT

Ảnh hưởng của rủi ro tới hoạt

động kinh doanh của DN

cứng

Quản trị rủi ro trong TMĐT

 Xác định biên giới an ninh quá hẹp

 Các quy trình quản trị rủi ro lạc hậu

 Thiếu trao đổi về các khả năng xảy ra rủi ro

Quản trị rủi ro trong TMĐT

 Đánh giá các tài sản, khả năng bị tấn công của

từng tài sản và mức độ thiệt hại nếu bị tấn

công

 Lên kế hoạch: Xác định phải phòng chống loại

tấn công nào và biện pháp thực hiện

 Thực hiện

 Giám sát: Theo dõi và đánh giá hiệu quả các

giải pháp thực hiện

Phòng tránh rủi ro trong TMĐT

mạng

Bảo mật trong giao dịch

Socket Layer)

Secure Electronic Transaction)

Mã hóa và Chữ ký điện tử

Mã hóa dữ liệu

các tài liệu gốc thành các văn bản dưới dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể đọc được.

 Mã hóa khóa bí mật (mã hóa khóa đối xứng):

sử dụng 01 “chìa khóa”

 Mã hóa khóa công khai (mã hóa khóa không

đối xứng): sử dụng 02 “chìa khóa” khác nhau, một để mã và một để giải

Mã hóa khóa bí mật

 Sử dụng 1 chìa khóa để vừa mã hóa vừa giải mã

 Mã Caesar: thay thế các ký tự của thông điệp bởi ký tự đứng sau nó k vị trí.

• Vd: k=1 thì ab, bc,…, za

 Phương pháp thế (substitution):

• thay thế ký tự theo bảng thay thế.

• mã Caecar là trường hợp đặc biệt.

 Các phần mềm mã hóa khác

• DES, 3-DES

plaintext: bob See you this monday alice

ciphertext: nkn Icc wky uasi hkjvmw mgsbc

Bảng

thế

Thông

điệp

điệp đã mã hóa

Mã hóa khóa bí mật

• Xác định bên đối tác vì đã trao đổi chìa khóa với họ

• Chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa

khóa

• Không ai có thể thay đổi nội dung thông điệp nếu không biết khìa khóa

• Bằng chứng đồng ý với nội dung thông điệp đã ký

Mã hóa khóa bí mật

• Khó trao đổi chìa khóa giữa người gửi và người

nhận

• Mỗi khách hàng phải có một chìa khóa riêng  việc

tạo và quản lý khóa khó khăn

• Dễ “giải mã” hơn: brute-force

Sử dụng 1 cặp với 2 chìa khóa khác

nhau

bí mật

thông điệp Khi thông điệp đã được

“khóa”, chỉ có chìa khóa cặp tương ứng mới có thể “mở” được

Shamir, Leonard Adelman)

Mã hóa khóa công khai

Khóa bằng chìa khóa công khai:

Thông

điệp đầu

Thông điệp đầu

Các khóa công khai

Khóa bí mật của B

Khóa công khai của B

Thông điệp coi như chưa được “ký”

Thuật mã hóa (VD: RSA)

Thuật giải

mã Thông điệp đã

mã hóa

Mã hóa khóa công khai

Khóa bằng chìa khóa bí mật:

Khóa bí mật của A

Thông

điệp đầu

Thông điệp đầu

Khóa công khai của A

Các khóa công khai

Thông điệp đã được “ký” CKĐT

Thuật mã hóa (VD: RSA)

Thuật giải

mã Thông điệp đã

mã hóa

Chữ ký điện tử

 Chữ ký điện tử được tạo lập dưới

dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp

một cách logic với thông điệp dữ liệu,

có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp

thuận của người đó đối với nội dung của thông điệp dữ liệu (Đ 21 Luật

GDDT)

Các loại chữ ký điện tử

• Chữ, ký tự, âm thanh, bản in quét, …

• Chữ ký dùng mật khẩu, PIN, sinh trắc học,…

• Chữ ký số (digital signature): sử dụng thuật mã hóa

khóa công khai

không đối xứng theo đó người có được

thông điệp dữ liệu ban đầu và khoá công khai của người ký có thể xác định được

chính xác:

• a) Việc biến đổi nêu trên được tạo ra bằng đúng

khoá bí mật tương ứng với khoá công khai trong cùng một cặp khóa;

• b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể

từ khi thực hiện việc biến đổi nêu trên

Chữ ký số

khai và hạ tầng PKI, chữ ký số là việc

sử dụng chìa khóa bí mật để mã hóa

“thông điệp tóm tắt” (được tạo ra sau khi sử dụng hàm rút gọn)

tóm tắt thông điệp gốc thành bản

thông điệp tóm tắt (messege digest)

có kích thước cố định

Mở phong bì

INTERNE T

So sánh

Thông điệp gốc

và Chữ

ký số

(1)

Thông điệp gốc

Chữ ký số

Thông điệp tóm tắt gốc

(2) Người gửi sử dụng hàm băm Thông điệp (3) Mã hóa bằng khóa bí mật của người gửi

tóm tắt Chữ ký số

(4) Mã hóa bằng khóa công cộng của người nhận (5) Gửi cho người nhận

Phong bì số

(6) Giải mã bằng khóa bí mật của ng nhận

Phong bì số

(7) Giải mã bằng khóa công khai

của người gửi

Quản lý khóa

 "Tổ chức cung cấp dịch vụ chứng thực chữ ký số" là tổ chức cung cấp dịch vụ chứng thực

chữ ký điện tử thực hiện hoạt động cung cấp dịch vụ chứng thực chữ ký số

 "Chứng thư số" là một dạng chứng thư điện

tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp.

(Nghị định 26)

 “Chứng thư điện tử” là thông điệp dữ liệu do tổ chức

cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được

chứng thực là người ký chữ ký điện tử (Luật GDDT)

Câu hỏi

bí mật?

• Khoá để mã và giải giống nhau

• Người gửi và người nhận cùng biết khoá này

• Chi phí quản lý khoá thấp và quản lý đơn giản

• Doanh nghiệp sẽ phải tạo khoá bí mật cho từng

khách hàng

Lớp ổ cắm an toàn

(SSL)

SSL là một chương trình an toàn cho việc truyền

thông trên web Chương trình này bảo vệ các kênh thông tin trong quá trình trao đổi dữ liệu giữa máy chủ và các trình duyệt Web thay vì phải bảo vệ từng mẫu tin SSL là giao thức Web dùng để thiết lập bảo mật giữa máy chủ và khách

SSL không thể bảo vệ được các thông tin cá nhân (như số thẻ tín dụng, các thông tin về cá nhân khách hàng ) khi các thông tin này lưu giữ trên máy chủ của người bán

thức OSI (Open Systems Interconnection),

và trên giao thức khác như Telnet và

HTTP

(handshake stage), bảo mật cho server (và máy khách nếu cần ), xác định mã hóa, thuật tóan mã hóa, và chuyển đổi khóa mã

SSL

Các giao dịch điện

tử an toàn - SET

Được thiết kế đặc biệt để bảo vệ các giao dịch

thanh toán trong TMĐT SET sử dụng các chứng thực điện tử (VD của VIỆT NAM là

gia trong một giao dịch thư ng mại điện tử bao ơ gồm người mua, người bán, và ngân hàng của

người bán

Trong toàn bộ quá trình giao dịch người bán hàng không trực tiếp xem được các thông tin về thẻ tín dụng của khách hàng và các thông tin cũng không được lưu trữ trên máy chủ của người bán

An toàn đối với hệ thống

mạng

và/hoặc phần cứng ngăn cách một

mạng với bên ngoài

 Tất cả các luồng thông tin từ bên trong mạng

máy tính của tổ chức đi ra ngoài và ngược lại đều phải đi qua thiết bị hay phần mềm này;

 Chỉ các luồng thông tin được phép và tuân thủ

đúng quy định về an toàn mạng máy tính của

tổ chức, mới được phép đi qua

Tường lửa

An toàn đối với hệ thống

mạng

việc ra/vào trụ sở làm việc: thẻ từ,

kiểm tra sinh trắc học, …