Bài giảng Thương mại điện tử - Chương 5: Bảo mật và an ninh thương mại điện tử

Bài giảng Thương mại điện tử - Chương 5: Bảo mật và an ninh thương mại điện tử

THƯƠNG MẠI ĐIỆN TỬ

BẢO MẬT VÀ AN NINH TMĐT

1

2

3

Những nguy cơ đe doạ an ninh TMĐT

Vấn đề bảo mật trong Thương mại điện tử

Giải pháp bảo vệ an ninh TMĐT

Những nguy cơ đe doạ an ninh TMĐT

 Hackers và Crackers:

 Hackers thuật ngữ để chỉ người lập trình tìm cách xâm

nhập trái phép vào các máy tính và mạng máy tính

 Crackers là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các chương trình

 Trong TMĐT các hành vi gian lận phức tạp hơn như bị

đánh cắp thông tin liên quan đến thẻ hoặc thông tin giao dịch

Những nguy cơ đe doạ an ninh TMĐT

 Lừa đảo trong TMĐT là việc hackers sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện hành động phi pháp.

 Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc làm chệch hướng các liên kết web đến một địa chỉ web giả mạo.

Những nguy cơ đe doạ an ninh TMĐT

 Các loại tấn công trên mạng:

 Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ thống giỏi thực hiện.

 Tấn công không kỹ thuật là việc tìm cách lừa để lấy

được thông tin nhạy cảm.

 Tấn công làm từ chối phục vụ (Denial-of-service -DoS attack) là sử dụng phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được.

Những nguy cơ đe doạ an ninh TMĐT

 Phân tán cuộc tấn công làm từ chối phục vụ (Distributed denial of service (DDoS) attack) là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu

 Spam (thư rác): mỗi ngày có thể nhận vài chục, đến vài

trăm thư rác

 Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa: chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…

 Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu không thâm nhập vào file mà thâm nhập vào hệ thống

Những nguy cơ đe doạ an ninh TMĐT

Tấn công DDoS

 Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ 3

Vấn đề bảo mật đặt ra trong TMĐT

 Từ góc độ doanh nghiệp:

 Làm sao biết được người sử dụng không có ý

định phá hoại hoặc làm thay đổi nội dung của trang web?

 Làm sao biết được làm gián đoạn hoạt động của server

Một số khái niệm về an toàn bảo mật

 Quyền được phép (Authorization): Quá trình đảm bảo

cho người có quyền này được truy cập vào một số tài

nguyên của mạng

 Xác thực (Authentication): Quá trình xác thực một thực thể xem họ khai báo với cơ quan xác thực họ là ai.

 Sự riêng tư (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng

 Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không

bị thay đổi

 Không thoái thác (Nonrepudiation): Khả năng không thể

từ chối các giao dịch đã thực hiện.

Giải pháp bảo vệ an ninh TMĐT

Cơ chế mã hóa thông tin

 Mã hóa là quá trình trộn văn bản với khóa (key) tạo thành văn bản không thể đọc được trên mạng

 Khi nhận được, người ta dùng khóa giải mã thành bản gốc

 Mã hóa và giải mã gồm 4 phần cơ bản:

1 Văn bản nhập vào – Plaintext

2 Thuật toán mã hóa – Encryption

3 Văn bản đã mã – Ciphertext

4 Giải mã – Decryption

Hai phương pháp mã hóa phổ biến

1 Phương pháp mã đối xứng (khoá riêng)

TĐ đã được

mã hoá

Người gửi

A

Đơn đặt hàng

TĐ đã được

mã hoá

Người nhận

B

Đơn đặt hàng

Mã khoá bí mật (private key)

Thông

điệp

INTERNET

Hai phương pháp mã hóa phổ biến

2 Phương pháp mã không đối xứng (khoá công khai)

TĐ đã được

TĐ đã được

mã hoá

Người nhận

B

Đơn đặt hàng

Mã khoá bí mật (người nhận)

Thông

điệp

INTERNET

Chữ ký điện tử

 Dữ liệu dưới dạng điện tử (từ, chữ, số, ký hiệu, âm

thanh,…)

 Gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu

 Cókhả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký

Chữ ký điện tử

đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc

 Áp dụng thuật toán băm một chiều trên văn bản gốc để tạo

ra bản tóm lược

 Sau đó mã hóa bằng khoá bí mật (private key) tạo ra chữ

ký số đính kèm với văn bản gốc để gửi đi

Chữ ký điện tử

1 Dùng giải thuật băm để thay đổi thông điệp cần truyền đi Kết

quả là bản tóm lược

2 Sử dụng khóa bí mật của người gửi để mã hóa bản tóm lược

ở bước 1; kết quả thu được gọi là chữ ký số của thông điệp ban đầu

3 Gộp chữ ký số vào thông điệp ban đầu, công việc này gọi là

“ký nhận” vào thông điệp Mọi sự thay đổi sẽ bị phát hiện

trong giai đoạn kiểm tra

Chữ ký điện tử

Bản tóm lược

Hàm băm

Gắn với thông điệp dữ liệu

Mã hóa Thông điệp dữ liệu

Chữ ký điện tử

1 Dùng khoá công khai (public key) của người gửi để giải mã

chữ ký số của thông điệp

2 Dùng giải thuật băm thông điệp đính kèm

3 So sánh kết quả thu được ở bước 1 và 2,nếu trùng nhau kết

luận thông điệp này không bị thay đổi trong quá trình truyền

và thông điệp này là của người gửi

Chữ ký điện tử

Bản tóm lược Hàm băm Tách

Giải mã Thông điệp dữ liệu

Khóa công khai

Giống nhau?

Nội dung thông điệp bị thay đổi

Nội dung thông điệp tòan vẹn

Chứng thực điện tử

 Chứng thực điện tử xác nhận người sở hữu khoá công cộng

 Do một tổ chức có uy tín cấp (Certificate Authority-CA)

 Cấu trúc của một chứng nhận điện tử:

 Issuer: tên của CA tạo ra chứng thực.

 Period of validity: ngày hết hạn của chứng thực.

 Subject: những thông tin về thực thể được chứng thực.

 Public key: khóa công khai được chứng thực.

 Signature: do private key của CA tạo ra và đảm bảo giá trị của chứng thực.

Bức tường lửa

Mạng công cộng/

người sử dụng Internet

Mạng nội bộ

Máy làm việc

Máy chủ

Cơ sở dữ liệu (ERP)

Hệ thống

dữ liệu nội bộ

Máy chủ dành cho E-mail

Máy chủ dành cho web

Cơ sở dữ liệu

Tường lửa

Bức tường lửa

cứng cho phép những người sử dụng mạng máy tính trong nội bộ tổ chức có thể truy cập tài nguyên các

mạng khác (như Internet) nhưng ngăn cấm những

người sử dụng từ bên ngoài truy cập vào mạng của

tổ chức.

chức đều phải đi qua bức tường lửa và được lọc theo quy định về an ninh mạng máy tính của tổ chức.

Một số giải pháp khác

 Các tài khoản (quản lý tên miền, quản lý website): ít người biết password của tài khoản càng tốt

 Khi nhân viên quản lý tài khoản nghỉ thì nên thay đổi

password của tài khoản đó

nội bộ, quy định về phòng chống virus,…

 Không lưu trong mạng nội bộ những thông tin không cần chia sẻ nhiều người

 Sao lưu dữ liệu ra đĩa CD thường xuyên, nên lưu ở nhiều nơi

Một số giải pháp khác

chức năng “nhớ mật khẩu”