Chương 4: An ninh trong Thương mại điện tử Khái niệm rủi ro trong TMĐT  Rủi ro trong Thương mại điện tử là những tai nạn, sự cố, tai hoạ xảy ra một cách ngẫu nhiên, khách quan ngoài ý muốn của con người mà gây ra tổn thất cho các bên tham gia trong quá trình tiến hành giao dịch trong Thương mại điện tử Tổng quan  Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện tử năm 2002:  Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó. khoảng 90% cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất.  Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau. Ví dụ, 85% bị virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ chối dịch vụ (DoS) Tổng quan  Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn:  80% các tổ chức đã phải chịu thiệt hại về tài chính do hàng loạt các kiểu tấn công khác nhau qua mạng.  Tổng thiệt hại của những tổ chức này khoảng 455 triệu đôla Mỹ.  Theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT) của đại học Carnegie Mellon (Mỹ):  Số lượng nạn nhân của những vụ tấn công qua mạng tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, con số này cao gấp 20 lần so với con số nạn nhân năm 1998. Tổng quan  Hầu hết các nước đã thành lập những trung tâm an ninh mạng mang tính quốc gia:  Trung tâm bảo vệ Cơ sở hạ tầng quốc gia (NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạt động cấp cứu và các hoạt động khác của chính phủ.  Tại Việt Nam cũng đã thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT) vào tháng 12/2005 Yêu cầu về an ninh  1 - Bí mật (secrecy): • Đảm bảo việc, ngoài những người có quyền, không ai đọc được các dữ liệu, lấy được các thông tin cá nhân hoặc các thông tin bí mật khác  2 - Toàn vẹn (integrity) • Đảm bảo thông tin không bị thay đổi  3 - Sẵn sàng (availability) • Đảm bảo thông điệp hoặc mẩu tin được truyền gửi  4 - Chống phủ định (non-repudiation) • Đảm bảo rằng các bên tham gia không thể phủ định các hành động họ đã thực hiện  5 - Xác thực (authentication) • Có thể nhận biết được các đối tác tham gia giao dịch Những rủi ro thường gặp  Nhóm rủi ro về dữ liệu  Nhóm rủi ro về công nghệ  Nhóm rủi ro về thủ tục quy trình giao dịch của công ty  Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp Luật pháp và tiêu chuẩn công nghiệp C¸c thñ tôc quy tr×nh giao dÞch Công nghệ Dữ liệu Những rủi ro thường gặp Những rủi ro thường gặp Rủi ro về dữ liệu  Dữ liệu lưu trữ (website, thông tin thẻ tín dụng)  Người bán: thay đổi thông tin website, cơ sở dữ liệu, nhận được đơn hàng giả mạo,…  Người mua: thông tin cá nhân, nhận email giả tạo,…  Chính phủ  Dữ liệu trên đường truyền [...]... quy mụ quc t, cỏc nc i tỏc cú tha nhn giao dch in t? V tiờu chun cụng nghip: cha tiờu chun húa trong mt s lnh vc ca TMT nh hng ca ri ro ti hot ng kinh doanh ca DN Hn ch hiu qu kinh doanh Thit hi v vt cht Thit hi v thụng tin, phn mm, phn cng Mt c hi kinh doanh nh hng n uy tớn doanh nghip Qun tr ri ro trong TMT L quỏ trỡnh xỏc nh cỏc kh nng b tn cụng v a ra cỏc gii phỏp thớch hp phũng hoc chng... biờn gii an ninh quỏ hp Cỏc quy trỡnh qun tr ri ro lc hu Thiu trao i v cỏc kh nng xy ra ri ro Qun tr ri ro trong TMT Cỏc bc qun tr ri ro: ỏnh giỏ cỏc ti sn, kh nng b tn cụng ca tng ti sn v mc thit hi nu b tn cụng Lờn k hoch: Xỏc nh phi phũng chng loi tn cụng no v bin phỏp thc hin Thc hin Giỏm sỏt: Theo dừi v ỏnh giỏ hiu qu cỏc gii phỏp thc hin Phũng trỏnh ri ro trong TMT m bo an ton trong giao... Theo dừi v ỏnh giỏ hiu qu cỏc gii phỏp thc hin Phũng trỏnh ri ro trong TMT m bo an ton trong giao dch m bo an ton i vi h thng mng Tham gia bo him Bo mt trong giao dch Mó hoỏ d liu (encryption) Lp cm an ton (SSL Secure Socket Layer) Cỏc giao dch in t an ton (SET Secure Electronic Transaction) Mó húa v Ch ký in t Mó húa d liu L quỏ trỡnh chuyn cỏc vn bn hay cỏc ti liu gc thnh cỏc vn bn di dng... mt thụng ip d liu s dng h thng mt mó khụng i xng theo ú ngi cú c thụng ip d liu ban u v khoỏ cụng khai ca ngi ký cú th xỏc nh c chớnh xỏc: a) Vic bin i nờu trờn c to ra bng ỳng khoỏ bớ mt tng ng vi khoỏ cụng khai trong cựng mt cp khúa; b) S ton vn ni dung ca thụng ip d liu k t khi thc hin vic bin i nờu trờn Ch ký s Trong thut toỏn mó húa khúa cụng khai v h tng PKI, ch ký s l vic s dng chỡa khúa... cụng bng cỏch s dng cụng ngh tin hc Cỏc hỡnh thc tn cụng ch yu: Virus hay cỏc on mó nguy him (malicilous code): Virus l chng trỡnh mỏy tớnh cú kh nng nhõn bn hoc t to cỏc bn sao ca chớnh mỡnh v lõy lan sang cỏc chng trỡnh, cỏc tp d liu khỏc trờn mỏy tớnh Tin tc v cỏc chng trỡnh phỏ hoi Ri ro v cụng ngh Cỏc hỡnh thc tn cụng ch yu Khc t dch v (DoS, DDoS): Tn cụng bng cỏch s dng nhng giao thụng vụ ớch... ip u Ch ký in t Ch ký in t c to lp di dng t, ch, s, ký hiu, õm thanh hoc cỏc hỡnh thc khỏc bng phng tin in t, gn lin hoc kt hp mt cỏch logic vi thụng ip d liu, cú kh nng xỏc nhn ngi ký thụng ip d liu v xỏc nhn s chp thun ca ngi ú i vi ni dung ca thụng ip d liu ( 21 Lut GDDT) Cỏc loi ch ký in t Loi s dng k thut n gin Ch, ký t, õm thanh, bn in quột, Loi s dng k thut trung bỡnh Ch ký dựng mt khu,... (DDoS) K trm trờn mng (sniffer) Tn cụng DDoS Hacker Mỏy tớnh trng hc Mỏy tớnh trng hc Mỏy tớnh gia ỡnh Mỏy tớnh C quan Mỏy tớnh ISP Nn nhõn Ri ro v th tc quy trỡnh giao dch ca cụng ty Do khụng kim tra k i tỏc Do thiu k nng ký kt hp ng/ hp ng in t Ri ro khụng nhn hng hoc khụng thanh toỏn VD: v 1 cụng ty VN b la gn 15 t khi mua hng t alibaba.com Ri ro v lut phỏp v cỏc tiờu chun cụng nghip V hiu... nhau Mt chỡa cung cp cụng khai, mt chỡa bớ mt Mi chỡa u cú th s dng khúa thụng ip Khi thụng ip ó c khúa, ch cú chỡa khúa cp tng ng mi cú th m c Thut toỏn RSA (Ronald Rivest, Adi Shamir, Leonard Adelman) Mó húa khúa cụng khai Khúa bng chỡa khúa cụng khai: Cỏc khúa cụng khai Thụng ip coi nh cha c ký Khúa cụng khai ca B Khúa bớ mt ca B Thụng ip ó mó húa Thụng ip u Thut mó húa (VD: RSA) Thut gii mó Thụng... (7) Gii mó bng khúa cụng khai ca ngi gi (8) S dng hm bm Thụng ip túm tt mi Thụng ip túm tt gc (9) So sỏnh Qun lý khúa PKI: Public Key Infrastructure Gm: Ch ký s Chng thc s (Digital Certificate) C quan chng thc ch ký s (CA Certification Authority) H tng mng . Chương 4: An ninh trong Thương mại điện tử Khái niệm rủi ro trong TMĐT  Rủi ro trong Thương mại điện tử là những tai nạn, sự cố, tai hoạ xảy ra một cách ngẫu nhiên, khách quan ngoài ý. trong quá trình tiến hành giao dịch trong Thương mại điện tử Tổng quan  Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện. tránh rủi ro trong TMĐT  Đảm bảo an toàn trong giao dịch  Đảm bảo an toàn đối với hệ thống mạng  Tham gia bảo hiểm Bảo mật trong giao dịch  Mã hoá dữ liệu (encryption)  Lớp ổ cắm an toàn