Chương 4 an toàn trong thương mại điện tử

Trang 1 CHƯƠNG 4 Trang 2 BM Nguyên lý TMĐTThương mại điện tử căn bản2MỘT SỐ THUẬT NGỮ QUAN TRỌNG An ninh, an toàn mạng, hệ thống đường truyền, lưu trữ thông tin Tính xác thực, tính cấ

Trang 1

CHƯƠNG 4

AN TOÀN THƯƠNG MẠI ĐIỆN TỬ

Trang 2

BM Nguyên lý TMĐT Thương mại điện tử căn bản 2

MỘT SỐ THUẬT NGỮ QUAN TRỌNG

 An ninh, an toàn mạng, hệ thống đường truyền, lưu trữ thông tin

 Tính xác thực, tính cấp phép, tính kiểm tra, giám sát, tính tin cậy,

tính riêng tư, tính toàn vẹn, tính sẵn sàng, tính chống phủ định

 Tấn công kỹ thuật (công nghệ), tấn công phi kỹ thuật (phi công nghệ)

 Mật khẩu, hệ thống sinh trắc học

 Mã hóa, chữ ký điện tử (chữ ký số), bức tường lửa v.v

Trang 3

NỘI DUNG CHÍNH

1 Định nghĩa & những vấn đề đặt ra cho an toàn trong TMĐT

2 Các nguy cơ và hình thức tấn công đe dọa an toàn TMĐT

3 Quản trị an toàn TMĐT

4 Một số giải pháp công nghệ đảm bảo an toàn trong TMĐT

Trang 4

Trang 5

1.1 ĐỊNH NGHĨA AN TOÀN TMĐT

An toàn thương mại điện tử là an toàn thông tin trao đổi giữa các chủ thểtham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thươngmại và các thiết bị đầu cuối, đường truyền ) không bị xâm hại từ môitrường hoặc có khả năng chống lại những tai họa, lỗi và sự tấn công từmôi trường đó

Trang 6

1.1 ĐỊNH NGHĨA AN TOÀN TMĐT

• Một số lưu ý đảm bảo an toàn thương mại điện tử:

- Luôn mang tính tương đối

- Một sự an toàn vĩnh viễn là không cần thiết trong thời đại thông tin

- Chi phí đầu tư

- An toàn là một chuỗi liên kết và nó thường đứt ở những đoạn yếu nhất

Trang 7

1.2 NHỮNG VẤN ĐỀ CĂN BẢN CỦA AN

TOÀN THƯƠNG MẠI ĐIỆN TỬ

Click to add Title

1 3 Kiểm tra (giám sát)

2 4 Tính tin cậy, riêng tư

1 5 Tính toàn vẹn

2 6 Tính sẵn sàng

Trang 8

TÍNH XÁC THỰC

Xác nhận đối tượng sử dụng

gmail

Trang 9

TÍNH CẤP PHÉP

Các dịch vụ gmail cung cấp

Trang 10

TÍNH TIN CẬY, TÍNH RIÊNG TƯ

Thông tin cá nhân khách hàng THẺ TÍN DỤNG THÔNG TIN

Trang 11

TÍNH TOÀN VẸN

ĐƠN HÀNG A

ĐƠN HÀNG A’

Trang 12

TÍNH SẴN SÀNG

 Là sự triển khai một giao thức thiết kế hệ thống đảm bảo mức độ liên tục

hoạt động trong một khoảng thời gian định sẵn Chỉ mức độ phục vụ mà các dịch vụ và hệ thống cung cấp

 Mô tả các mục đích kinh doanh và yêu cầu kỹ thuật (phần cứng, giảm rủi

ro, phần mềm)

 Bao gồm: sẵn sàng (ứng dụng, phần cứng, dữ liệu, giao thông)

Trang 13

TÍNH CHỐNG PHỦ ĐỊNH

Trang 14

Trang 15

 Tấn công phi kỹ thuật

• Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy cảm hay thực hiện các hành động ảnh hưởng đến vấn đề an toàn

• Tấn công các áp lực xã hội: loại tấn công không sử dụng công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng thực hiện các việc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá nhân

• Chủ yếu lợi dụng “sự nhẹ dạ cả tin”, kém hiểu biết hoặc gây sức

ép tâm lý đối với người sử dụng

2 CÁC NGUY CƠ VÀ HÌNH THỨC TẤN

CÔNG ĐE DỌA AT TMĐT

Trang 16

TẤN CÔNG PHI KỸ THUẬT

 Bao gồm 2 loại: dựa trên con người và dựa trên máy tính

 Tấn công dựa trên con người

 Tấn công dựa trên máy tính

 Ảnh hưởng: đe dọa đến tính toàn vẹn, tính xác thực của các giao dịch

thương mại điện tử

Trang 17

Giáo dục dục, , đào đào tạo tạo,, nâng

nâng cao cao nhận nhận thức thức

Hoàn thiện thiện các các thủ thủ tục tục, ,

chính chính sách sách

Trang 18

Trang 19

TẤN CÔNG KỸ THUẬT

• Các đoạn mã nguy hiểm

• Tin tặc và các chương trình phá hoại

Trang 20

CÁC ĐOẠN MÃ NGUY HIỂM

Bao gồm nhiều mối đe dọa khác nhau như Virus, Worm, những “con

ngựa thành Tơroa”, “Bad applets”

Virus

- Là một chương trình máy tính, nó có khả năng nhân bản, tự tạo các bản sao của chính mình và lây lan sang các tệp, chương trình trên máy tính

Trang 21

Trang 22

 Con ngựa thành Tơ-roa

- Nó không có khả năng tự nhân bản nhưng chính nó tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vào hệ thống máy tính

- Tác hại?

Trang 23

 Con ngựa thành Tơ-roa

- Nó không có khả năng tự nhân bản nhưng chính nó tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vào hệ thống máy tính

Trang 24

Trang 25

Web site của Ban Quản lý dự án DSM/EE

- Cục Điều tiết điện lực – Bộ Công Thương

hiện vẫn đang bị hacker tấn công

Trang 26

• Xem lén thư điện tử

 SỰ TẤN CÔNG TỪ BÊN TRONG DOANH NGHIỆP

Trang 27

 TẤN CÔNG TỪ CHỐI DỊCH VỤ (DENIAL OF SERVICE-DOS)

- Xuất phát từ nguyên tắc: mỗi hệ thống máy tính có khả năng xử lý bị giới hạn

- Hậu quả là việc tin tặc sử dụng những giao thông vô ích làm tràn ngập và dẫn tới tắc nghẽn mạng truyền thông hoặc sử dụng số lượng lớn máy tính tấn

công vào một mạng

Trang 28

Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông tin tới

máy chủ khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể

(hoặc khó có thể) truy cập từ bên ngoài

Gửi yêu cầu http://www

TẤN CÔNG TỪ CHỐI DỊCH VỤ DOS

Trang 29

Tin tặc

Đồng loạt tấn công

Gửi tài liệu và nhận các thông báo

Cá nhân Doanh nghiệp CQ nhà nước Trường học Viện nghiên cứu Nhà cung cấp DV

TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN

TÁN DDOS

Trang 30

An toàn trong truyền thông TMĐT

Áp dụng các biện pháp đảm bảo an toàn trong truyền thông TMĐT

Các công nghệ đảm bảo an toàn mạng

Áp dụng các biện pháp đảm bảo an toàn mạng

Trang 31

CÁC BƯỚC QUẢN TRỊ AN TOÀN

THƯƠNG MẠI ĐIỆN TỬ

Trang 32

3.1 Các lỗi thường mắc phải trong quản trị an toàn TMĐT

• Đánh giá thấp giá trị của tài sản thông tin

• Xác định các giới hạn an toàn ở phạm vi hẹp

• Quản trị an toàn mạng tính chất đối phó

• Áp dụng các quy trình quản trị đã lỗi thời

• Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông tin, coi

an toàn thông tin như là một vấn đề CNTT, không phải là vấn đề

tổ chức

3 QUẢN TRỊ AN TOÀN TMĐT

Trang 33

Một quá trình xử lý có hệ thống để xác định các loạirủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để

bảo vệ hay giảm bớt các tấn công này

Quá trình quản trị an toàn TMĐT:

Trang 34

Trang 35

• Điều khiển và kiểm soát truy cập

Trang 36

 Cơ chế xác thực

 Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm

 Thiết bị (Passive tokens)

 Các thiết bị lưu trữ như dải từ (magnetic strips) được sử dụng trong hệ thống nhận dạng bao gồm mã mật và các đặc điểm nhận dạng khác (sinh trắc)

 Các yếu tố điều kiện nhận dạng

 Mật khẩu

 Các hệ thống sinh trắc học

Hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện và hạn

chế những hoạt động của họ, chỉ cho những giao dịch cần thiết được

khởi tạo và hoàn thành

Điều khiển & kiểm soát truy cập

HỆ THỐNG XÁC THỰC

Trang 37

Sự không liên tục

của dấu vân tay một

người, được chuyển

Phân tích các điểm khác duy nhất trong tròng mắt (một phần màu của mắt), chuyển đổi thành dạng số và lưu trữ như các mẫu để nhận dạng xác thực

Phân tích các đặc tính âm học trong giọng nói, chuyển đổi thành số và lưu trữ như các mẫu dùng để nhận dạng

xác thực

Nhận dạng giọng nói

Nhận dạng mạch máu mắt

Trang 38

• Các khái niệm

– Bản gốc hay bản rõ (Plaintext)

• Một mẩu tin/văn bản không mã hóa và con người có thể đọc

– Bản mã hoá hay bản mờ (Ciphertext)

• Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc

– Khóa (Key)

• Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin

– Thuật toán mã hóa (Encryption algorithm)

• Là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại

tài liệu thành văn bản, tài liệu dưới dạngmật mã để bất cứ ai, ngoài người gửi và người nhận,

đều không thể hoặc khó có thể đọc

CÁC KĨ THUẬT MÃ HÓA

Trang 39

 Mục đích của kỹ thuật mã hoá

• Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho thông tin khi truyền phát trên mạng

 Kỹ thuật mã hoá giúp đảm bảo

• Tính toàn vẹn của thông điệp;

• Chống phủ định;

• Tính xác thực;

• Tính bí mật của thông tin

 Các kỹ thuật mã hoá cơ bản

• Mã hoá bằng thuật toán băm (hàm Hash)

• Mã hoá khoá bí mật

• Mã hoá khoá công khai

CÁC KĨ THUẬT MÃ HÓA

Trang 40

Kỹ thuật mã hoá bằng thuật toán băm sử dụngthuật toán HASH để mã hoá thông điệp

 Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ

liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định (160

bit) ở đầu ra

– Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả

E783A3AE2ACDD7DBA5E1FA0269CBC58D

– Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả

sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit)

A766F44DDEA5CACC3323CE3E7D73AE82.

MÃ HÓA BẰNG THUẬT TOÁN BĂM (HASH)

Trang 41

 Tính chất cơ bản của hàm HASH

• Tính một chiều

• Tính duy nhất

 Ứng dụng của hàm hash

• Chống và phát hiện xâm nhập

• Bảo vệ tính toàn vẹn của thông điệp

• Tạo chìa khóa từ mật khẩu

• Tạo chữ kí điện tử.

MÃ HÓA BẰNG THUẬT TOÁN BĂM (HASH)

Trang 42

Mã hoá khoá bí mật

• Gọi là mã hoá đối xứng hay mã hoá khoá riêng

• Sử dụng một khoá cho cả quá trình mã hoá: hoạt động mã hóa (thực hiện bởi người gửi) và hoạt động giải mã (thực hiện bởi người nhận)

Mã hoá khoá công cộng

• Gọi là mã hoá không đối xứng hay mã hoá khoá chung

• Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để mã hoá

thông điệp (người gửi) và một khoá khác dùng để giải mã (người

nhận).

MÃ HÓA KHÓA BÍ MẬT VÀ MÃ HÓA

CÔNG KHAI

Trang 43

Mã hoá khoá bí mật

Mã hoá khoá công cộng

MÃ HÓA KHÓA BÍ MẬT VÀ MÃ HÓA

CÔNG KHAI

Trang 44

Số khoá Một kho Một khoá á đơn Một cặp kho Một cặp khoá á

Loại khoá Kho Khoá á b bíí mật Một khoMột khoáá bbíí mật vmật vàà

một kho một khoá á công khai công khai

Quản lý khoá Đơn giản nhưng

kh khó ó quản lý

Yêu cầu c Yêu cầu cá ác chứng thực điện tử v

thực điện tử và à bên bên tin cậy thứ ba

SO SÁNH

Mã hoá khoá bí mật Mã hoá khoá công cộng

Trang 45

dung thôngthông điệpđiệp dữdữ liệuliệu đượcđược kýký

(Luật Giao dịch điện tử)

 Chức năng của chữ ký điện tử

 Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể

 Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó

 Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký

 Bất kỳ thay đổi nào (về nội dung, hình thức ) của văn bản trong quá trình

CHỮ KÝ ĐIỆN TỬ

Trang 46

(2) Người gửi ứng dụng hàm băm

(3) Người gửi mã hóa sử dụng khóa riêng của mình

(8) Người nhận ứng dụng

(9)

So sánh

(4) Người gửi mã hóa sử dụng khóa công

cộng của người nhận

(5) Gửi thư điện tử cho người nhận

(6) Người nhận giải mã sử dụng khóa riêng của người nhận

(7) Người nhận giải mã sử dụng khóa chung của người gửi

Trang 47

Nội dung của chứng thực điện tử

• Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

• Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử.

• Số hiệu của chứng thực điện tử.

• Thời hạn cú hiệu lực của chứng thực điện tử.

• Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử.

• Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.

• Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.

• Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ

ký điện tử.

Một loại chứng nhận do cơ quan chứng nhận

((Certification Authority Certification Authority CA CA) (hay bên tin cậy thứ ba) cấp; là căn cứ để xác thực các bên tham gia giao dịch; là cơ sở đảm bảo tin cậy đối với các giao

dịch thương mại điện tử

CHỨNG THỰC ĐIỆN TỬ

Trang 48

Trang 49

 Tổng quan

 Giao thức bảo mật kết nối giữa client và server

 Cung cấp 1 đường hầm vững chắc để dữ liệu đi qua.

 Trở thành một chuẩn an toàn truy cập dữ liệu được hỗ trợ bởi hầu hết các browser.

 Mô hình

 Là 1 giao thức vận chuyển đặc biệt thêm vào giữa tầng ứng dụng và tầng giao vận

 Bảo đảm tính riêng tư và toàn vẹn của tất cả dữ liệu được truyền giữa 2 hoặc nhiều hơn các máy tính khi nó ở trong mạng

 Sử dụng khóa riêng và khóa công khai để mã hóa và chứng thực dữ liệu

Trang 50

Ưu điểm và nhược điểm của SSL

 Ưu điểm

 Đơn giản, thuận tiện, không yêu cầu thay đổi trong phần mềm phía người mua và người bán.

 Người bán được xác thực đối với người mua.

 Thông tin được đảm bảo tính riêng tư, toàn vẹn.

Trang 51

Sơ đồ thực thi giao thức SET

GIAO THỨC SET (SECURE

ELECTRONIC TRANSACTION)

Trang 52

Bên máy tính người gửi Sender’s

Private Signature Key

Sender’s Certificate

Encrypt Symmetric Key

Encrypted Message



Receiver’s Key-Exchange Key

Encrypt

Digital Envelope

Trang 53

Bên máy tính người nhận

Decrypt Symmetric Key

Encrypted Message



Sender’s Certificate

Receiver’s Private Key-Exchange Key

Trang 54

Ưu điểm và nhược điểm của SET

 Ưu điểm

 Giải pháp bảo mật toàn diện

 Người mua, người bán được xác thực với nhau qua certificate do CA cấp.

 Phân phát khóa public an toàn qua CA làm cơ sở cho xác thực qua DS.

 Người bán không biết thông tin cá nhân, tài khoản của người mua.

 Chữ kí kép giúp loại bỏ những gian lận từ phía người bán.

Giao thức

an toàn

Trang 55

 Nhược điểm

 Yêu cầu thay đổi lớn trong nền tảng thanh toán hiện tại.

 Yêu cầu thay đổi trong phần mềm, phần cứng đắt tiền Yêu cầu này có thể chấp nhận được đối với các công ty, ngân hàng phát hành thẻ tín dụng, song khó chấp nhận đối với khách hàng cũng như các cửa hàng.

 Yêu cầu một hạ tầng PKI dựa trên sự có mặt của CA Các tổ chức tài chính phải trả thêm chi phí cài đặt và duy trì PKI phải được trả cho CA.

 Các giải thuật trên PKI là phức tạp, tốn kém, tốc độ chậm (ngân hàng yêu cầu 750 giao dịch/giây trong khi SET mới chỉ đạt 1 giao dịch/giây Tốc độ có thể được cải thiện với việc sử dụng phần cứng ->giá thành tăng cao.)

 Chỉ đề cập tới các giao dịch dựa trên thanh tóan thẻ (tín dụng hoặc nợ) Các giao dịch dựa trên tài khỏan vd: séc điện tử (e-check) không được hỗ trợ trong SET

 Là một giao thức bảo mật rất toàn diện những cũng rất phức tạp, SET cần được

Giao thức

an toàn

Trang 56

Đặc điểm của bức tường lửa

 Tất cả giao thông từ bên trong mạng máy tính của tổ chức

và ngược lại đều phải đi qua đó;

 Chỉ các giao thông được phép, theo qui định về an toàn mạng máy tính của tổ chức, mới được phép đi qua;

 Không được phép thâm nhập vào chính hệ thống này.

Một phần mềm hoặc phần cứng để tách biệt một mạng riêng với mạng công cộng cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng

Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép, từ bên ngoài truy cập vào mạng máy tính của tổ chức

Bảo vệ hệ thống mạng của tổ chức

BỨC TƯỜNG LỬA FIREWALL

Định dạng
Số trang	64
Dung lượng	14,9 MB