Đang tải... (xem toàn văn)
Bài giảng Thương mại điện tử - Chương 5: Bảo mật trong thương mại điện tử
Thương mại điện tử Chương 5 Bảo mật trong thương mại điện tử Thương mại điện tử 1 Mục tiêu Mô tả các khía cạnh bảo mật trong TMĐT Các công cụ bảo mật các kênh truyền thông Các công cụ bảo vệ mạng, máy chủ và máy khách Thảo luận về tầm quan trọng của cách chính sách, thủ tục và luật lệ để tăng tính an toàn Thương mại điện tử 2 Nội dung 1. Môi trường bảo mật trong thương mại điện tử 2. Những mối đe dọa về bảo mật trong môi trường thương mại điện tử 3. Những giải pháp kỹ thuật 4. Những chính sách, thủ tục và pháp luật Thương mại điện tử 3 1. Môi trường bảo mật trong TMĐT Thương mại điện tử 4 Figure 5.4, Page 253 Các vấn đề trong bảo mật Toàn vẹn thông tin (Integrity): khả năng đảm bảo an toàn thông tin trong quá trình truyền-nhận. Chống thoái thác (Nonrepudiation): khả năng đảm bảo một thỏa thuận, một hành động trên Internet không bị các bên tham gia từ chối. Xác thực người dùng (Authenticity): chứng thực rằng một người hay một hành động là đáng tin cậy. Thương mại điện tử 5 Các vấn đề trong bảo mật(tt) Tính bí mật (Confidentiality): đảm bảo dữ liệu chỉ hiển thị với người được phép xem Tính riêng tư (Privacy): khả năng kiểm soát thông tin mà khách hàng đã cung cấp (vd: e-mail, address, credit card…) Tính sẵn sàng (Availability): đảm bảo khả năng hoạt động của web site Thương mại điện tử 6 Authentication vs Authorization Authentication: Who goes there? Something you know Something you have Something you are Authorization: Are you allowed to do that? Thương mại điện tử 7 Ảnh hưởng của bảo mật Bảo mật vs Tính tiện dụng. Bảo mật vs Tốc độ. Bảo mật vs Mong muốn hành động nặc danh của khách hàng. Thương mại điện tử 8 Một số vấn đề xác thực khác Xác thực đa yếu tố (Multi-factor authentication) Ví dụ: 2FA, 3FA,… Thương mại điện tử 9 Những mối đe dọa Đối tượng tấn công: Client. Server. Kênh truyền thông (vd: internet, mạng nội bộ…). Thương mại điện tử 10 [...]... Bảo mật các kênh truyền dữ liệu: SSL, S-HTTP, VPN Bảo vệ mạng nội bộ: firewall, proxy… Bảo vệ server & client: IDS, Anti-virues… Thương mại điện tử 21 Các công cụ Thương mại điện tử 22 Một số khái niệm trong Cryptography Plaintext (original data), ciphertext (encrypted data) Cryptosystems = encryption + decryption algorithms Encryption, decryption process needs keys Symmetric (shared-/secret-key)... để giải mã Thương mại điện tử 26 Mã hóa khóa công khai Thương mại điện tử 27 Mã hóa khóa công khai: Chữ ký số và Chuỗi băm (Hash digests) Áp dụng thuật toán băm trong mã hóa sẽ tạo thành chuỗi băm mà người nhận có thể dùng để kiểm tra tính toàn vẹn của dữ liệu Mã hóa lần hai với khóa riêng của người gửi tạo thành chữ ký bảo đảm tính xác thực và tính chống thoái thác Thương mại điện tử 28 Hàm băm... tính trong mạng botnet Thương mại điện tử 19 Những mối đe dọa Sniffing: kiểu phần mềm nghe lén, thu thập thông tin lưu chuyển trong một mạng máy tính; cho phép hacker lấy cắp thông tin ở bất cứ nơi nào trong mạng Insider jobs Phần mềm, chương trình được sử dụng ở client và server: chứa những lỗi tiềm tàng có thể bị hacker khai thác (vd: IIS, IE…) Thương mại điện tử 20 Những giải pháp kỹ thuật Bảo. .. Hàm băm (Hash function) Compression Efficiency One-way Weak collision resistance Strong collision resistance Ví dụ: MD5, SHA-1 cho x=ecommerce md5(x )-> db96ff26706a1a3d595ecb67266c2d94 Sha1(x )-> 444c1efe975e9babde869520762c42efcacf1deb Thương mại điện tử 29 Mã hóa khóa công khai: Chữ ký số và Chuỗi băm (Hash digests) Thương mại điện tử 30 Phong bì số (Digital envelopes) Mã hóa đối xứng:... phần mềm ở server và client Thương mại điện tử 11 Một giao dịch TMĐT điển hình SOURCE: Boncella, 2000 Thương mại điện tử 12 Vulnerable Points in an E-commerce Environment Figure 5.4, Page 274 SOURCE: Boncella, 2000 Copyright © 2011 Pearson Education, Inc Slide 5-1 3 Mã độc hại (Malicious code) Viruses: chương trình máy tính có khả năng nhân bản và lây nhiễm sang các file khác trong cùng máy tính Worms:... Symmetric (shared-/secret-key) cryptosystem: the same key for (en/de)cryption algorithms Asymmetric (public-key) cryptosystem: public & private keys Thương mại điện tử 23 Mã hóa (Encryption) Mã hóa: quá trình chuyển đổi dữ liệu dạng văn bản (plain-text) thành dữ liệu mã hóa (cipher text) Mục đích: bảo đảm an toàn thông tin trong lưu trữ và truyền tải Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT: Toàn... mất nhiều thời gian xử lý Phong bì số: Bước 1: Sử dụng mã hóa khóa công khai để mã hóa và trao đổi khóa bí mật (symmetric key) Bước 2: Dùng mã hóa đối xứng với khóa đã thống nhất để mã hóa tài liệu Thương mại điện tử 31 Phong bì số (Digital envelopes) Thương mại điện tử 32 Chữ ký điện tử (electronic signature) “Electronic signature” means data in electronic form in, affixed to or logically... Guide to Enactment 2001) Thương mại điện tử 33 Chữ ký điện tử (tt) The term „„electronic signature‟‟ means an electronic sound, symbol, or process, attached to or logically associated with a contract or other record and executed or adopted by a person with the intent to sign the record (Electronic Signatures in Global and National Commerce Act - 15 U.S.C 7001) Thương mại điện tử 34 Chữ ký số (Digital... một dạng chữ ký điện tử Thương mại điện tử 35 Chữ ký số "Chữ ký số" là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khoá công khai của người ký có thể xác định được chính xác: a) Việc biến đổi nêu trên được tạo ra bằng đúng khoá bí mật tương ứng với khoá công khai trong cùng một... giữa các máy tính trong cùng một mạng Trojan horse: mã độc hại ngụy trang như một chương trình bình thường Bots: biến máy bị lây nhiễm thành một máy trạm, chịu sự điều khiển của bot-herder Thương mại điện tử 14 Lừa đảo (Phishing) Những hành động mạo danh đánh lừa người dùng cung cấp thông tin cá nhân (số thẻ tín dụng, mật mã…) Hình thức phổ biến: e-mail scam letter Là một trong những hình thức . aIbert@gmail.com (font Calibri) albert@gmail.com vs aIbert@gmail.com (font Tahoma) Social engineering techniques. Nguy cơ: mất thông tin cá nhân (username, password, credit card…). Thương mại