Cyberwar là gì?
Chiến tranh thông tin hay chiến tranh mạng (Cyberwarfare) là việc áp dụng công nghệ thông tin ở mức độ cao trong các mặt hoạt động chỉ huy - quản lý, tình báo, điều khiển, chiến tranh điện tử, kinh tế, tâm lý, xã hội, ; là một loại hình tác chiến phổ biến trong chiến tranh hiện đại; đó là tổng hợp những hoạt động và biện pháp nhằm tung tin gây rối loạn, tác động vào các cơ cấu ra quyết định; nhằm làm cho đối phương có các hành động sai lầm hay có các quyết định vô hại có lợi cho ta, đồng thời ngăn cản hoạt động thu thập, xử lý thông tin của đối phương.
Mục đích của chiến tranh thông tin là kiểm soát, điều khiển, tác động lên các quyết định và làm suy giảm hoặc phá huỷ các hệ thống thông tin của đối phương trong khi bảo vệ các hệ thống của mình và đồng minh chống lại những hành động như vậy.
Mục tiêu tấn công của chiến tranh thông tin là các cơ sở hạ tầng thông tin (quân sự, tài chính, ngân hàng, mạng máy tính quốc gia, ) Phần mềm Virus có thể làm cho hệ thống vũ khí của đối phương bị mất điều khiển, và cũng có thể phá hoại cơ sở hạ tầng kinh tế của quốc gia, làm cho nền kinh tế rối loạn, hay làm tắc nghẽn mạng thông tin Hacker là thành phần nguy hiểm nhất trong công nghệ thông tin Hacker tập trung vào việc đánh cắp các bí mật quân sự; sử dụng virus tấn công các hệ thống máy tính làm cho hệ thống này bị tê liệt không thể đưa ra các quyết định đúng.
Các hình thức của chiến tranh thông tin
1 Chiến tranh trong chỉ huy và điều khiển (command and control warfare C2W);
2 Chiến tranh tình báo (information-based warfare - IBW);
3 Chiến tranh điện tử (electronic warfare - EW);
4 Chiến tranh tâm lý (psychological warfare - PSYW);
5 Chiến tranh tin tặc hacker (hacker warfare);
6 Chiến tranh thông tin kinh tế (economic information warfare - EIW);
7 Chiến tranh điều khiển học (cyberwarfare).
Các cường quốc như Mỹ, Nga, Trung Quốc… hiện nay luôn trong tư thế về chiến không gian mạng, cuộc chiến được ví như chiến tranh thế giới thứ 3 diễn ra trên mặt trậnInternet. Đầu tư cho lĩnh vực này đã tăng rất mạnh trong những năm qua Nếu như năm 2013,
Mỹ đổ 3,9 tỉ USD vào chiến tranh mạng thì năm 2014 tăng lên 4,7 tỉ USD và năm 2015 là 5,1 tỉ USD Trong khi đó, dù không công bố ngân sách nhưng theo dự đoán Nga cũng chi ra hàng tỉ USD Còn Trung Quốc, tất nhiên là theo truyền thống không công bố thông tin.
Nhiều quốc gia đã và đang thiết lập các đơn vị và lực lượng riêng biệt để chuẩn bị đối phó với tấn công mạng ở quy mô quốc gia Trong số đó có:
Mỹ: Mỹ có Bộ chỉ huy mạng (Cybercom) trực thuộc Cơ quan An ninh Quốc gia (NSA) nhưng hiện chính quyền Obama đang cân nhắc tách Cybercom thành đơn vị độc lập với quyền hạn lớn hơn Động thái này không nằm ngoài mục đích tăng cường khả năng đương đầu của Mỹ với chiến tranh mạng trong tương lai.
Và như vậy, NSA sẽ chủ yếu là cơ quan thu thập thông tin tình báo chiến lược còn Cybercom là bộ chỉ huy chiến tranh mạng Ở mức sâu hơn, Cybercom sẽ phát triển theo hướng một Bộ chỉ huy tác chiến thống nhất (UCC), nơi chỉ huy và kiểm soát các lực lượng quân sự chỉ dựa trên địa lý và chức năng cụ thể.
Ngoài Cybercom, Mỹ còn nhiều lực lượng khác phụ trách an ninh mạng, trong đó có
Bộ Tư lệnh Không gian mạng Quân đội Mỹ, Cục An ninh mạng thuộc Nhà Trắng, Lữ đoàn Tình báo Quân sự 780, và Lực lượng dự bị chiến tranh mạng (Bộ An ninh Nội địa).
Ngoài ra, Mỹ còn có "Sở chỉ huy chiến tranh mạng", "Nhóm kiểm soát dữ liệu đặc biệt", "Đơn vị công nghệ can thiệp dữ liệu", "Văn phòng các chiến dịch đặc biệt", "Nha tình báo tín hiệu"…
Nga: Do có sự chuẩn bị kỹ lưỡng, nước này đang sở hữu đội quân tác chiến mạng vô cùng hùng hậu Ngoài đông đảo đội ngũ tin tặc do chính phủ hậu thuẫn, Nga đã thành lập những đội quân chiến binh mạng rất thiện chiến. Điển hình trong số này là Đội quân mạng Chiều thứ 5 (Russia 5th-Dimension Cyber Army), thành lập năm 2007 với ngân sách hoạt động hàng năm ước tính lên đến 40 tỷ USD. Tiếp đến là Trung tâm An ninh Thông tin, hay còn gọi là Đơn vị Quân sự 64829, có nhiệm vụ giám sát và bảo vệ mạng lưới Internet của Nga.
Tiếp đến là Trung tâm giám sát truyền thông điện tử và Trung tâm quản trị An ninhThông tin chịu trách nhiệm đánh chặn, giải mã và xử lý các thông tin liên lạc điện tử Ngoài ra,năm 2013, Tổng thống Putin còn ký Sắc lệnh số 31 về việc thiết lập hệ thống phát hiện, cảnh báo và khắc phục hậu quả của các cuộc tấn công mạng nhằm vào cơ sở hạ tầng thông tin nướcNga.
Trung Quốc: Ngay từ năm 2010, sách trắng của Trung Quốc đã đề cập tới chiến tranh mạng và đánh giá cao vai trò của hình thức chiến tranh này.
Cũng như Nga, Trung Quốc sử dụng lực lượng đông đảo các tin tặc do chính phủ hậu thuẫn, chưa kể đến hàng loạt các đơn vị chuyên biệt khác. Điển hình là "Cục Đảm bảo Thông tin" thuộc Bộ Tổng Tham mưu PLA, đóng vai trò như một cơ quan chỉ huy tập trung cho chiến tranh thông tin và có trách nhiệm điều phối các hoạt động mạng cho Quân giải phóng Nhân dân Trung Quốc (PLA).
Tiếp theo là các đơn vị chuyên trách như Căn cứ An ninh Thông tin, Đội quân xanh PLA, Lực lượng đặc biệt Cyber Blue Team, Tổng cục 3; Đơn vị Tình báo mạng Axiom, Đội quân mạng "Hội Honker Trung Quốc", và Ban Chỉ đạo Trung ương về Thông tin và An ninh Internet. Đơn vị 61398 và Đơn vị 61486, vốn nổi tiếng với các vụ tấn công và đột nhập vào hệ thống mạng an ninh của Mỹ trực thuộc Tổng cục 3 - bộ phận chuyên phụ trách các vấn đề về gián điệp không gian mạng và tình báo các tín hiệu.
Một số cuộc chiến tranh thông tin tiêu biểu
"Chiến tranh thông tin của Mỹ - từ Kosovo đến Nam Estonia": trong cuộc chiến ở Nam Estonia xảy ra năm 2008, ngoài cuộc đọ súng trên chiến trường, thế giới được chứng kiến một cuộc chiến tranh khác có phần còn quyết liệt hơn, gay cấn hơn giữa các bên - đó là cuộc "chiến tranh thông tin" giữa Mỹ và các nước phương Tây với Nga.
Cho tới nay, người ta vẫn chưa biết chiến tranh mạng là như thế nào vì đơn giản chúng chưa từng xảy ra Kể cả những cường quốc như Mỹ và Nga có mô phỏng thế nào đi chăng nữa thì đó cũng chỉ là lý thuyết Giữa lý thuyết và thực tiễn không phải lúc nào cũng khớp với nhau.
Nếu như các nguyên tắc tiến hành chiến tranh sử dụng vũ khí công nghệ cao, kể cả vũ khí hạt nhân, người ta có thể hiểu và tính toán được tương đối thì với chiến tranh mạng, mọi thứ vẫn còn mù tịt Trong khi đó, những hậu quả chiến sự trên không gian mạng đang hiện hữu rất rõ.
Trong báo cáo phân tích mang tên Ghost Fleet (Binh chủng Ma), hai tác giả Singer và August Cole đã mô tả viễn cảnh xung đột chiến tranh giữa Mỹ, Nga và Trung Quốc, trong đó chiến tranh mạng và chiến tranh điện tử đóng vai trò chính.
Ghost Fleet đang là sách gối đầu giường của nhiều quan chức quân đội lớn hiện nay Trong đó, tác giả nhấn mạnh tới việc nếu thua trên không gian mạng, đối phương sẽ dễ dàng thất bại trên các mặt trận đường bộ, đường biển và đường không.
Chỉ có 4 khả năng mà một quốc gia có thể thực hiện trên không gian mạng, đó là: thu thập, đánh cắp, cô lập và thay đổi thông tin Thực tế, việc này đang diễn ra nhưng chưa lớn ở quy mô có thể coi là chiến tranh mạng.
Các cuộc xung đột không gian mạng trong tương lai sẽ là dạng thức kết hợp như vậy. Chẳng hạn, Trung Quốc đã tìm cách thu thập và đánh cắp thông tin về các dự án quân sự tuyệt mật của Mỹ, trong đó có chiến đấu cơ F-35, để có thể phát triển phiên bản cạnh tranh tương tự.
Trong khi đó, khái niệm cô lập giống như việc ngăn chặn thông tin – hay nói cụ thể hơn chính là tấn công từ chối dịch vụ đánh sập website hoặc phá hủy các dịch vụ trên web.
Còn thay đổi thông tin giống như việc phát động tấn công mạng gây ra thiệt hại nghiêm trọng trên thực tế Ví dụ sống động nhất chính là sâu Stuxnet, được Mỹ và Israel sử dụng để tấn công hệ thống hạt nhân của Iran Stuxnet đã xóa sổ một lượng lớn máy ly tâm của Iran và theo như lời Hillary Clinton, nó đã làm chậm chương trình phát triển hạt nhân của Iran tới vài năm.
Cho tới nay, hành động chiến tranh mạng thực sự duy nhất được xác nhận là việc tung
“virus quân sự” Stuxnet có khả năng phá hủy hạ tầng vào mạng của Iran Điều thú vị là bản thân việc phát triển và sử dụng virus này được bà Hillary Clinton, khi đó là ngoại trưởng Mỹ, tiết lộ vào năm 2011.
Thế rồi 5 năm sau, chính Hillary Clinton lại trở thành nạn nhân trong vụ tấn công đột nhập vào hệ thống máy tính Đảng Dân chủ Thủ phạm không ai khác là tin tặc Nga, được phỏng đoán là nhóm Fancy Bears thuộc Tổng cục Tình báo - Bộ Tổng tham mưu quân đội Nga (GRU), và nhóm Cozy Bears thuộc Cơ quan An ninh liên bang Nga (FSB).
Stuxnet có lẽ chỉ là quá khứ bởi chiến tranh mạng tương lai sẽ sử dụng những dạng thức
"vũ khí" khác, và phần mềm độc hại (malware) chính là một trong số đó để phá hoại và ngăn chặn tất cả hệ thống mạng của đối phương.
Viễn cảnh này đang trở thành thực tế với Ukraine Nhiều website chính phủ, các dịch vụ ngân hàng, tài chính từ nhà nước tới quân đội đang bị cô lập Thông tin không thể chuyển đi, chỉ huy không thể ra lệnh cho các đơn vị đang hoạt động bên ngoài Đơn giản là họ đã bị chặn đứng thông tin, hay nói cách khác họ đã bị bao vây.
Một câu chuyện khác rất đáng chú ý đó là vụ Israel đánh bom các cơ sở hạt nhân của Iran Israel gọi chiến dịch ném bom bí mật này là "Operation Orchard" diễn ra năm 2007 Khi đó Israel đã hack vào hệ thống radar của Iran, chèn vào đó các thông tin sai lệnh khiến radar trông có vẻ hoạt động bình thường nhưng thực tế nó đã bị đối phương kiểm soát.
Trước đây, nếu muốn ném bom các mục tiêu khó ở sâu trong lãnh thổ đối phương, sẽ cần tới các tiêm kích đặc biệt để "dọn đường" cho máy bay ném bom Nhưng Israel lại không làm như vậy Thay vào đó, nước này sử dụng một dạng "cổng hậu" (backdoor) có tên "kill switch" để tấn công hệ thống radar đối phương, cho phép máy bay tiến vào lãnh thổ Iran như chỗ không người.
Tấn công DDoS (Distributed Denial of Service)
(Phần này được trình bày cụ thể trong phần sau)
Mạng Botnet
Botnet là gì?
Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
Nếu máy tính nào đó là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1 trong số các loại malware (như virus, sâu máy tính ) Hacker tạo ra mạng này sẽ sử dụng, điều khiển hàng trăm ngàn máy tính của nạn nhân để phục vụ cho mục đích riêng của chúng
Người dùng máy tính có nguy cơ bị trở thành nạn nhân của mạng botnet tương tự như cách họ bị lây nhiễm malware Ví dụ như khi người dùng sử dụng 1 phần mềm đã không còn được cập nhật các bản vá lỗi bảo mật, sử dụng các plugin có nguy cơ bị tấn công cao như Java,khi download các phần mềm lậu.
THE E-COMMERCE SECURITY ENVIRONMENT: THE SCOPE
Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT
Từ góc độ người sử dụng: làm sao biết được Web Server được sở hữu bởi một doanh nghiệp hợp pháp? Làm sao biết được trang web này không chứa đựng những nội dung hay mã chương trình nguy hiểm? Làm sao biết được Web Server không lấy thông tin của mình cung cấp cho bên thứ 3.
Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web hoặc website? Làm sao biết được làm gián doạn hoạt động của server Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi?
Hình 4: Các loại tấn công đối với hệ thống máy tính
1 Một số khái niệm về an toàn bảo mật hay dùng trong TMĐT:
- Quyền được phép (Authorization) là quá trình đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng;
- Xác thực(Authentication) là quá trình xác thưc một thực thể xem họ khai báo với cơ quan xác thực họ là ai;
- Auditing: Qua trình thu thập thông tin về các ý đồ muốn truy cập vào một tài nguyên nào đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động ATBM khác;
- Sự riêng tư: (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng;
- Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi Không thoái thác
- Khả năng không thể từ chối các giao dịch đã thực hiện (Nonrepudiation).
Các vấn đề an toàn bảo mật của một website TMĐT Có rất nhiều giải pháp công nghệ và không công nghệ để đảm bảo an toàn bảo mật trên mạng Một trong giải pháp quan trong ứng dụng trong TMĐT là sử dụng kỹ thuật mật mã và các giao thức bảo mật.
2 Cơ chế mã hoá Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹ thuật mã hoá cho các giao dịch TMĐT Mã hoá là quá trình trộn văn bản với khoá mã tạo thành văn bản không thể đọc được truyền trên mạng Khi nhận được bản mã, phải dùng khoá mã để giải thành bản rõ Mã hoá và giải mã gồm 4 thành phần cơ bản: Văn bản rõ – plaintext Văn bản đã mã – Ciphertext Thuật toán mã hoá - Encryption algorithm Khoá mã – Key - là khoá bí mật dùng nó để giải mã thông thường Mã hoá là tiền đề cho sự thiết lập các vấn đề liên quan đến bảo mật và an ninh trên mạng.
Có hai phương pháp mã hoá phổ biến nhất: phương pháp mã đối xứng (khoá riêng): dùng để mã và giải mã điện rõ, cả người gửi và người nhận đều sử dụng văn bản.
Mã hoá dùng khoá riêng Mã ko đối xứng (mã công cộng): sử dụng một cặp khoá: công cộng và riêng, khoá công cộng để mã hoá và khoá riêng để giải mã Khi mã hoá người ta dùng hai khoá mã hoá riêng rẽ được sử dụng Khoá đầu tiên được sử dụng để trộn các thông điệp sao cho nó không thể đọc được gọi là khoá công cộng Khi giải mã các thông điệp cần một mã khoá thứ hai, mã này chỉ có người có quyền giải mã giữ hoặc nó được sử dụng chỉ bởi người nhận bức thông điệp này, khoá này gọi là khoá riêng. Ðể thực hiện các công việc mã hoá và giải mã, cần một cơ quan trung gian giữ các khoá riêng, đề phòng trường hợp khoá này bị mất hoặc trong trường hợp cần xác định người gửi hoặc người nhận Các công ty đưa ra các khoá mã riêng sẽ quản lý và bảo vệ các khoá này và đóng vai trò như một cơ quản xác định thẩm quyền cho các mã khoá bảo mật.
Chứng thực số để xác nhận rằng người giữ các Name : “Richard” khoá công cộng và khoá riêng là ai đã đăng key-Exchange Key Cần có cơ quan trung gian để xác thực Signature Key Chứng thực có các cấp độ khác nhau.
Không phải tất cả các mã khoá riêng hay các chứng chỉ số hoá đều được xây dựng như nhau Loại đơn giản nhất của giấy chứng chỉ hoá được gọi là chứng nhận Class 1, loại này có thể dễ dàng nhận khi bất kỳ người mua nào truy nhập vào WEB site của VeriSign(www.verisign.com) Tất cả những cái mà doanh nghiệp phải làm là cung cấp tên, địa chỉ và địa chỉ e-mail, sau khi địa chỉ e-mail được kiểm tra, sẽ nhận được một giấy chứng nhận số hoá.
Các chứng nhận Class 2 yêu cầu một sự kiểm chứng về địa chỉ vật lý của doanh nghiệp. Ðể thực hiện điều này các công ty cung cấp chứng nhận sẽ tham khảo cơ sở dữ liệu của Equifax hoặc Experian trong trường hợp đó là một người dùng cuối và Dun&Bradstreet trong trường hợp đó là một doanh nghiệp Quá trình này giống như là một thẻ tín dụng.
Mức cao nhất của một giấy chứng nhận số hoá được gọi là chứng nhận Class 3 Có thể xem nó như là một giấy phép lái xe Ðể nhận được nó doanh nghiệp phải chứng minh chính xác mình là ai và phải là người chịu trách nhiệm Các giấy phép lái xe thật có ảnh của người sở hữu và được in với các công nghệ đặc biệt để tránh bị làm giả.
Các giấy chứng nhận Class 3 hiện chưa được chào hàng, tuy nhiên các công ty hoạt động trong lĩnh vực an toàn và bảo mật đã mường tượng ra việc sử dụng nó trong tương lai gần cho các vấn đề quan trong như việc đàm phán thuê bất động sản qua WEB hoặc vay vốn trực tuyến Nó cũng có thể được sử dụng như là các chứng nhận định danh hợp pháp hỗ trợ việc phân phát các bản ghi tín dụng hoặc chuyển các tài liệu của toà án.
Hiện tại các biểu mẫu thu nhận thông tin thanh toán trên WEB thường đạt chứng nhận an toàn và bảo mật Class 1, nhưng hiện tại một số cửa hàng trên WEB cũng đã đạt mức an toàn và bảo mật Class 2 và khách hàng cũng đã bắt đầu nhận được chúng thông qua một công nghệ được gọi là SET.
4 Một số giao thức bảo mật thông dụng
4.1 Cơ chế bảo mật SSL (Secure Socket Layer) Về mặt lý thuyết rất nhiều công ty có thể đóng vai trò như một cơ quan chứng thực thẩm quyền VeriSign Inc (www.verisign.com), là công ty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ Công ty này sử dụng bản quyền về công nghệ từ RSA Inc (www.rsa.com) RSA giữ đăng ký sáng chế về công nghệ mã khoá riêng/công cộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nó được chuyển giao cho VeriSign vào năm 1995 cho dù các công ty khác cũng giữ quyền sử sử dụng nó Để bảo mật, doanh nghiệp phải mua một khoá riêng từ VeriSign thu phí 349 USD/năm cho một WEB site thương mại với một khoá bảo mật như vậy và phí để bảo dưỡng hàng năm là 249 USD, doanh nghiệp có thể mua thêm khoá bảo mật với mức giá tương đương. Sau khi máy chủ nhận được một khoá mã bảo mật, việc tiếp nhận một đơn đặt hàng trở nên đơn giản Ðiểm nổi bật của SSL ta có thể ngay lập tức tạo một trang HTML với các biểu mẫu để khách hàng cung cấp thông tin về họ trong lúc giao dịch, và đảm bảo rằng các thông tin này được bảo mật và mã hoá khi được gửi đi trên Internet
Sau khi các thông tin mà khách hàng nhập vào các biểu mẫu trên trang WEB hiển thị trên trình duyệt của họ đước mã hoá với SSL nó được gửi đi trên Internet một cách an toàn.Trong thực tế khi người sử dụng truy nhập vào các trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểu tượng như một chiếc khoá ở thanh công cụ bên dưới chương trình.
4.2 Cơ chế bảo mật SET Tiêu chuẩn bảo mật mới nhất trong thương mại điện tử là
THE TENSION BETWEEN SECURITY AND OTHER VALUES (XUNG ĐỘT GIỮA AN NINH THƯƠNG MẠI ĐIỆN TỬ VÀ CÁC GIÁ TRỊ KHÁC)
Các vấn đề ảnh hưởng đến an toàn thông tin TMĐT
Rất nhiều yếu tố ảnh hưởng đến bảo mật thương mại điện tử, trong đó có nhiều câu hỏi đặt ra từ khách hàng và nhà cung cấp dịch vụ TMĐT:
Như trình bày trong Phần 2, vấn đề bảo mật và an toàn thông tin trong TMĐT là một vấn đề hết sức quan trọng trong giao dịch TMĐT.
Song song với việc làm thế nào để đảm bảo, an toàn an ninh tốt nhất trong TMĐT, các hệ thống TMĐT cũng cần phải đảm bảo các giá trị khác trong TMĐT.
Các vấn xung đột
- An toàn nhưng dễ sử dụng Các biện pháp bảo mật an ninh được thêm vào, trang web khó sử dụng hơn và nó trở nên chậm hơn.
Việc thắt chặt an ninh càng cao dẫn đến sự đối lập với các đặc tính dễ sử dụng và tính tiện lợi của TMĐT.
- Sử dụng công nghệ của tội phạm để lên kế hoạch phạm tội hoặc đe dọa an toàn an ninh tầm quốc gia.
Các điểm yếu về kỹ thuật trong vấn đề an ninh
Ba điểm yếu cơ bản trong vấn đề bảo mật an toàn thông tin:
Từ máy tính của người dùng;
Từ môi trường truyền thông;
MOST COMMON SECURITY THREATS IN THE E-COMMERCE
Hiện trạng an toàn thông tin trong thương mại điện tử
Tháng 01 năm 2017, Thủ tướng chính phủ đã phê duyệt Đề án thanh toán không dùng tiền mặt giai đoạn 2016 đến 2020, tiền đề quan trọng cho phát triển giao dịch trực tuyến Vì vậy, vấn đề an toàn an ninh thông tin khi giao dịch rất quan trọng Tỉ lệ giao dịch trực tuyến ngày càng tăng, ngành thương mại điện tử thể hiện rõ nhất điều đó khi doanh số trong lĩnh vực này đạt hơn 4 tỉ USD và tăng trưởng 37% trong năm 2015 (theo báo cáo TMDT của Bộ Công Thương) Giá trị thanh toán ngày càng tăng thì nhu cầu bảo vệ dữ liệu người dùng, đảm bảo giao dịch an toàn càng cấp thiết.
Tại Trung Quốc, theo con số của Cục thống kê quốc gia, giá trị giao dịch thương mại điện tử hơn 589 tỉ USD (năm 2015), gấp đôi Hoa Kỳ Trong đó, sàn giao dịch thương mại điện tử Taobao và TMall của công ty Alibaba dẫn đầu thị trường Trung Quốc với hơn 80% thị phần Đầu năm 2016, thị trường đã chứng kiến một cuộc tấn công mạng cực lớn vào nền tảng Taobao nhằm cung cấp sai lệch thông tin của các cửa hàng sử dụng nền tảng C2C này Dựa trên các chứng cứ có được thì từ tháng 10 năm 2015 đến tháng 2 năm 2016, nhóm tấn công đã sử dụng hơn 100 triệu tài khoản (gồm địa chỉ email và mật khẩu) lấy cắp từ nhiều nguồn khác nhau để thử đăng nhập vào Taobao và đã có hơn 20 triệu tài khoản đăng nhập thành công (~1/5 dân số Việt Nam) Các tài khoản này, sau đó, được chúng sử dụng tạo thành lượng dữ liệu khổng lồ giả mạo giá thầu (bidding), cung cấp sai nội dung nhận xét (review),…
Trong trường hợp này, tấn công mạng lấy trộm tài khoản và sự thiếu chặt chẽ trong cấu hình nền tảng Taobao đã gây ra hàng loạt thông tin sai lệch, dẫn đến người mua hàng đánh giá sai lầm, nhận được nhiều sản phẩm chất lượng không như mong đợi.
Hoa Kỳ là quốc gia có nền thương mại điện tử phát triển từ lâu so với mặt bằng chung của thế giới Thương mại điện tử tại Hoa Kỳ là mục tiêu tấn công mạng béo bở từ nhiều năm nay Năm 2014 và 2015, liên tục trong 2 năm, hai hãng bán lẻ và trực tuyến hàng đầu của Hoa
Kỳ là Target và HomeDepot đã bị tin tặc tấn công Với trường hợp Target, tin tặc đã lợi dụng nhà cung cấp dịch vụ của Target (third-party) để lây nhiễm mã độc và tiến hành lây lan vào các hệ thống quan trọng phía sau, trong đó có hệ thống máy quẹt thẻ POS Sự việc được phát hiện khi một lượng lớn dữ liệu thẻ của người dùng bị rao bán trên chợ đen Theo thống kê thiệt hại, hơn 40 triệu dữ liệu thẻ của người dùng (mã thẻ, ngày hết hạn, CVV,…) đã bị đánh cắp.
Sự việc dẫn đến khủng hoảng nghiêm trọng tại Target và là nguyên nhân mà CEO của chuỗi bán lẻ này buộc phải từ chức
Gần đây nhất, tháng 12 năm 2016, Yahoo, một trong những hãng công nghệ Internet lâu đời và nổi tiếng thế giới đã đưa ra thông báo gây sốc, hơn một tỉ chủ tài khoản thư điện tử của hãng này đã bị mất dữ liệu: tên, địa chỉ email, mật khẩu (đã mã hóa),… Sự kiện này tác động dây chuyền nghiêm trọng vì rất nhiều người sử dụng cùng tài khoản để đăng nhập các trang thương mại điện tử
Tại Việt Nam, thị trường thương mại điện tử còn non trẻ nhưng có tốc độ phát triển nhanh chóng, theo báo cáo mới nhất thì tốc độ tăng trưởng của Việt Nam gấp đôi Nhật bản (37% so với 15%) Đến thời điểm hiện tại, Việt Nam chưa có con số thống kê chính thức về tình hình an toàn thông tin trong lĩnh vực thương mại điện tử Các đơn vị kinh doanh dựa trên thương mại điện tử cũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có
Tuy vậy, điều đó không có nghĩa kinh doanh thương mại điện tử ở Việt Nam an toàn. Hoạt động nhiều năm trong lĩnh vực an toàn thông tin, Công ty cổ phần An ninh mạng Việt Nam đã nhận được nhiều yêu cầu hỗ trợ từ các tổ chức kinh doanh thương mại điện tử Yêu cầu hỗ trợ phổ biến nhất là hạn chế tấn công DoS/DDoS, loại hình tấn công này không làm mất dữ liệu người dùng nhưng khiến cho công việc kinh doanh bị thiệt hại do ngưng trệ hệ thống và không thể phục vụ khách hàng
Các công ty cung cấp dịch vụ trực tuyến 24/7 thường gặp tấn công này như: bán vé trực tuyến, đặt chỗ khách sạn,… Các tìm hiểu chuyên sâu hơn cho thấy nhiều rủi ro nghiêm trọng về thương mại điện tử tồn tại từ lâu và rất có thể đã bị kẻ xấu lợi dụng
Ngay trong năm 2016, ví dụ nổi bật về sự nguy hiểm của tấn công mạng đó là vụ việc mạng lưới của Cảng Hàng Không và Vietnam Airlines bị tấn công Kẻ tấn công đã thực hiện nhiều cách thức khai thác lỗ hổng, cài mã độc vào trong hệ thống thông tin từ rất lâu trước khi bùng nổ (theo số liệu chính thức là từ năm 2014) thay đổi giao diện, lấy cắp dữ liệu khách hàng Mặc dù sự cố này không liên hệ trực tiếp tới lĩnh vực thương mại điện tử nhưng cũng cho thấy sự nguy hiểm của tấn công mạng khi kẻ xấu đã âm thầm lợi dụng các lỗ hổng bảo mật để trục lợi mà doanh nghiệp không hề hay biết Sự cố khác gần gũi hơn là đầu tháng 11 năm
2016, một hệ thống con của VietnamWorks.com đã bị tấn công dẫn tới thông tin hàng nghìn tài khoản bị lộ Nhiều tài khoản ở đây được người dùng sử dụng chung với các dịch vụ khác,dẫn đến một số ngân hàng đã phải gửi cảnh báo đến toàn bộ khách hàng về việc đổi mật khẩu tài khoản.
Những nguy cơ đe dọa môi trường thương mại điện tử hiện nay
1 Những mối nguy cơ đe dọa
- Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác nhau như các loại virus, worm.
- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism).
- Gian lận thẻ tín dụng.
- Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện những hành động phi pháp.
- Sự khước từ dịch vụ: là việc các hacker sử dụng những giao thông vô ích làm tràn ngập hoặc tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn máy tính tấn công vào một mạng.
- Nghe trộm, giám sát sự di chuyển của thông tin trên mạng Xem lén thư điện tử là sử dụng các đoạn mã ẩn bí mật gắn vào một thông điệp thư điện tử, cho phép người xem lén có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi với thông điệp ban đầu.
1.1 Malicious Code (Malware, Viruses, Worms, Trojans, …)
Theo Science ABC, Malware là một loại phần mềm (một đoạn mã) được viết để lây nhiễm hoặc gây tổn hại cho hệ thống mà nó xâm nhập vào (ví dụ: hệ thống máy chủ) Đó chỉ đơn giản là một thuật ngữ chung được sử dụng để đề cập đến một loạt các loại phần mềm thâm nhập hoặc phá hoại, có ảnh hưởng xấu đến hiệu suất hệ thống của người dùng.
Malware có thể có nhiều mục đích Nó có thể được dùng để do thám hoặc đánh cắp thông tin từ hệ thống của bạn, làm tổn hại đến máy tính, hoặc để tống tiền Malware sẽ trở nên nguy hiểm hơn khi nó thường xuyên được giấu trong các tập tin vô hại thông thường Malware có thể bao gồm Viruses, Adware, Nagware, Spyware, Worms, Trojan horses, và rất nhiều loại phần mềm độc hại khác Điều này có nghĩa Virus và Trojan horse là hai loại hình trực thuộc Malware Do vậy, nếu bạn muốn phân biệt malware và virus, nó giống như việc chúng ta phân biệt giữa "vũ khí" và "khẩu súng".
Theo wikipedia định nghĩa thì phần mềm độc hại là một thuật ngữ dùng để chỉ các hình thức phần mềm độc hại hoặc xâm nhập, bao gồm virus máy tính, sâu, Trojan, Ransomware, Spyware, Adware, Scareware và các chương trình độc hại khác Nó có thể dưới dạng mã thực thi, các kịch bản, nội dung hoạt động và các phần mềm khác.
Phần mềm độc hại được xác định bởi ý định độc hại của nó, hành động chống lại các yêu cầu của người dùng máy tính - và do đó không bao gồm phần mềm gây ra thiệt hại không chủ ý do thiếu một số Các chương trình cung cấp chính thức bởi các công ty có thể được coi là phần mềm độc hại nếu họ bí mật hành động chống lại lợi ích của người dùng máy tính
Một ví dụ là Sony rootkit, một con ngựa Trojan được nhúng vào đĩa CD do Sony cung cấp, âm thầm cài đặt và che giấu bản thân trên máy tính của người mua với ý định ngăn chặn việc sao chép bất hợp pháp; nó cũng báo cáo thói quen lắng nghe của người dùng và vô tình tạo ra các lỗ hổng đã bị khai thác bởi các phần mềm độc hại không liên quan.
Phần mềm chống virus và tường lửa được sử dụng để bảo vệ chống lại các hoạt động độc hại, và để phục hồi từ các cuộc tấn công.
Nhiều chương trình truyền nhiễm sớm, bao gồm cả Internet Worm đầu tiên, đã được viết như các thí nghiệm hoặc pranks Ngày nay, phần mềm độc hại được sử dụng bởi cả tin tặc mũ đen lẫn chính phủ, nhằm ăn cắp thông tin cá nhân, tài chính hoặc kinh doanh.
Phần mềm độc hại đôi khi được sử dụng rộng rãi chống lại các trang web của chính phủ hoặc các trang web của công ty để thu thập thông tin được bảo vệ hoặc để làm gián đoạn hoạt động của họ nói chung Tuy nhiên, phần mềm độc hại có thể được sử dụng chống lại cá nhân để thu thập thông tin như số nhận dạng cá nhân hoặc chi tiết, số thẻ ngân hàng hoặc thẻ tín dụng và mật khẩu.
Kể từ khi tăng truy cập Internet băng thông rộng, phần mềm độc hại thường được thiết kế cho lợi nhuận Kể từ năm 2003, phần lớn các loại virus và sâu đã được thiết kế để kiểm soát máy tính của người dùng cho các mục đích bất hợp pháp Các máy tính zombie bị lây nhiễm có thể được sử dụng để gửi spam email, để lưu trữ dữ liệu lậu như là khiêu dâm trẻ em, hoặc tham gia vào các cuộc tấn công từ chối dịch vụ phân tán như một hình thức tống tiền.
Các chương trình được thiết kế để giám sát duyệt web của người dùng, hiển thị quảng cáo không mong muốn, hoặc chuyển hướng doanh thu tiếp thị liên kết được gọi là phần mềm gián điệp Các chương trình phần mềm gián điệp không lây lan như virus; thay vào đó chúng thường được cài đặt bằng cách khai thác các lỗ hổng bảo mật Chúng cũng có thể được ẩn và đóng gói cùng với phần mềm do người dùng cài đặt không liên quan.
Ransomware ảnh hưởng đến một hệ thống máy tính bị nhiễm một cách nào đó, và yêu cầu thanh toán để đưa nó trở lại trạng thái bình thường Ví dụ, các chương trình như CryptoLocker mã hóa các tập tin an toàn, và chỉ giải mã chúng khi thanh toán một khoản tiền đáng kể.
Một số phần mềm độc hại được sử dụng để tạo ra tiền bằng gian lận nhấp chuột, khiến cho người dùng máy tính đã nhấp vào liên kết quảng cáo trên một trang web, tạo ra khoản thanh toán từ nhà quảng cáo Theo ước tính vào năm 2012, khoảng 60 đến 70% tất cả các phần mềm độc hại đang hoạt động đã sử dụng một số loại gian lận nhấp chuột và 22% tất cả các nhấp chuột quảng cáo là giả mạo.
Ngoài việc gây ra tiền phạm tội, phần mềm độc hại có thể được sử dụng để phá hoại, thường là vì động cơ chính trị Stuxnet, ví dụ, được thiết kế để phá vỡ các thiết bị công nghiệp rất cụ thể Đã có các cuộc tấn công chính trị đã lan rộng và đóng các mạng máy tính lớn, bao gồm việc xóa tập tin dữ liệu và tham nhũng của các bản ghi khởi động chủ, được miêu tả là
Các cuộc tấn công như vậy được thực hiện trên Sony Pictures Entertainment (25 tháng
11 năm 2014, sử dụng phần mềm độc hại có tên Shamoon hoặc W32.Disttrack) và SaudiAramco (tháng 8 năm 2012) Ransomware là một loại phần mềm độc hại từ cryptovirology đe doạ xuất bản dữ liệu của nạn nhân hoặc cấm truy cập vào nó vĩnh viễn trừ khi được trả tiền chuộc Mặc dù một số công cụ ransomware đơn giản có thể khóa hệ thống theo cách mà người có kiến thức không thể đảo ngược, phần mềm độc hại tiên tiến sử dụng một kỹ thuật gọi là tống số cryptoviral, trong đó mã hóa các tập tin của nạn nhân, làm cho chúng không thể tiếp cận được và yêu cầu một khoản thanh toán tiền chuộc giải mã chúng Trong cuộc tấn công tống tiền của cryptoviral, việc phục hồi các tệp không có khóa giải mã là một vấn đề khó giải quyết - và rất khó để theo dõi các tiền tệ kỹ thuật số như Ukash và Bitcoin được sử dụng để đòi tiền chuộc, truy tìm và truy tố thủ phạm rất khó khăn.
BẢO VỆ TRUYỀN THÔNG INTERNET: MÃ HÓA
Khái niệm mã hóa và giải mã
- Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa Có 2 loại mã hóa: đối xứng và bất đối xứng.
- Giải mã là quá trình văn bản dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa.
- Mục đích của kỹ thuật mã hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin khi truyền phát.
- Công thức mã hóa và giải mã: Tạm thời bỏ qua bước public key và private được tạo ra như thế nào Chúng ta có công thức để mã hoá và giải mã dữ liệu như sau:
Encryption: memodn=cmemodn=c Decryption: cdmodn=mcdmodn=m Trong đó: m là message ban đầu e, n là public key c là dữ liệu đã được mã hoá d là private key thường là một số rất lớn, tích của 2 số nguyên tố, và được giữ an toàn tuyệt đối
Ví dụ cho e = 17, n = 3233, d = 2753 và cho thông điệp cần đc mã hoá là m = 42
Số 2557 này khi được giải mã thì nó trở về 42 như cũ:
Giải mã: 25572753mod3233B25572753mod3233B private key d được tạo ra dựa vào 2 prime factor của n Trong thực tế n được tạo ra bằng cách nhân hai số nguyên tố 2048 bits cho nên tính ra d thì dễ, còn từ n tính ngược lại 2 số đó để tìm private key là gần như bất khả thi với máy tính hiện giờ.
Sơ lược về mã hóa đối xứng và mã hóa bất đối xứng
2.1.1 Mã hoá đối xứng (hay còn gọi là mã hoá bí mật): Phương pháp mã hóa khóa bí mật (secret key cryptography) còn được gọi là mã hóa đối xứng (symmetric cryptography) Với phương pháp này, người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã dữ liệu Trước khi mã hóa dữ liệu để truyền đi trên mạng, hai bên gửi và nhận phải có khóa và phải thống nhất thuật toán dùng để mã hóa và giải mã Có nhiều thuật toán ứng dụng cho mã hóa khóa bí mật như: DES - Data Encrytion Standard, 3DES - triplestrength DES, RC2 - Rons Cipher 2 và RC4, v.v Chuẩn mã hóa AES sử dụng các khoá mã hoá 128-, 192-, và 256-bit Các tiêu chuẩn khác sử dụng các khóa với tối đa 2.048 bit.
+ Thủ tục mã hóa đơn giản
+ Khối lượng tính toán nhỏ
+ Tốc độ mã hóa cũng như giải mã nhanh.
Nhược điểm của mã hóa đối xứng:
+ Vấn đề trao đổi khóa giữa người gửi và người nhận: Phải truyền khóa trên kênh an toàn để giữ bí mật Ngay nay điều này tỏ ra không hợp lý vì khối lượng thông tin luân chuyển trên khắp thế giới là rất lớn.
+ Tính bí mật của khóa (Tính không từ chối):
Vì khóa 2 người dùng chung nên khi khóa bị lộ không có cơ sở quy trách nhiệm cho ai hay không dùng cho mục đích xác thực (authentication), chống phủ nhận được (non repudiation) được.
Dễ bị tấn công ( phá ) do dùng chung 1 khóa.
2.2 Mã hóa bất đối xứng:
Với các nhược điểm trên vào năm 1976 Whitfield Diffie và Martin Hellman đã tìm ra một phương pháp mã hóa khác mà có thể giải quyết được hai vấn đề trên, đó là mã hóa khóa công khai (publickey cryptography) hay còn gọi là mã hóa bất đối xứng.
Phương pháp mã hóa khóa công khai (public key cryptography) đã giải quyết được vấn đề của phương pháp mã hóa khóa bí mật là sử dụng hai khóa public key và private key Public key được gửi công khai trên mạng, trong khi đó private key được giữ kín Public key và private key có vai trò trái ngược nhau, một khóa dùng để mã hóa và khóa kia sẽ dùng để giải mã Phương pháp này còn được gọi là mã hóa bất đối xứng (asymmetric cryptography) vì nó sử dụng hai khóa khác nhau để mã hóa và giải mã dữ liệu Phương pháp này sử dụng thuật toán mã hóa RSA (tên của ba nhà phát minh ra nó: Ron Rivest, Adi Shamir và Leonard Adleman) và thuật toán DH (Diffie-Hellman)
Hình minh họa một trường hợp đơn giản của mã hóa khóa công khai
2.3 Ưu điểm và nhược điểm của mã hóa khóa công khai Ưu điểm :
- Độ an toàn và tin cậy cao
- Không cần phải phân phối khóa giải mã (khóa cá nhân) của mình như trong mã hóa đối xứng
- Gửi thông tin mật trên đường truyền không an toàn mà không cần thỏa thuận khóa từ trước
- Tạo và cho phép nhận dạng chữ ký số và do đó được dùng để xác thực
(authentication) hay chống phủ nhận (non repudiation)
Nhược điểm : Khối lượng tính toán lớn, tốc độ mã hóa cũng như giải mã chậm.
2.4 So sánh mã hóa khóa bí mật và mã hóa khóa công khai
2.5 Mã hóa khóa công khai sử dụng chữ ký kỹ thuật số và hàm băm
Xác thực thông báo qua các hàm băm :
Hàm băm có đầu vào là thông báo M có kích thước thay đổi, đầu ra là một mã băm H(M) có kích thước cố định Mã hàm băm là một hàm của tất cả các bit có trong thông báo, đồng thời nó cung cấp khả năng phát hiện lỗi: Nếu A thay đổi một bit bất kỳ hoặc nhiều bit trong thông báo dẫn đến kết quả là mã băm cũng thay đổi theo Mục đích của mã băm là tạo ra fingerprint (dấu vân tay) cho một tệp, thông báo hay khối dữ liệu. Để đáp ứng được việc xác thực thông báo, một hàm băm H phải bao gồm các tính chất
+ H được áp dụng cho một khối dữ liệu có kích cỡ bất kỳ
+ Đầu ra H có độ dài cố định + Dễ tính toán được H(x) với mọi x cho trước + Với mọi mã h cho trước, không thể tìm được x thoả mãn H(x)=h + Với mọi khối x cho trước, không thể tìm ra được y ≠ x sao cho H(y) = H(x) tức là khả năng trùng lặp ít
Không tìm thấy bất cứ cặp (x,y) nào sao cho H(x) = H(y), điều này nhấn mạnh khả năng không bị va chạm.
Chữ ký số (digital signature), là một dạng của chữ ký điện tử, là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc Chữ ký số được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản/văn bản tóm lược (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc được tính lại fingerprint để so sánh với fingerprint cũ cũng được phục hồi từ việc giải mã chữ ký số
Hình minh họa mã hóa khóa công khai với chữ ký số
Quy trình tạo chữ ký điện tử (chữ ký số)
B1: Tạo một thông điệp gốc
B2: Sử dụng hàm băm (thuật toán Hash) để chuyển từ thông điệp gốc sang thông điệp số
B3: Người gửi sử dụng khóa riêng để mã hóa thông điệp số Thông điệp số sau khi được mã hóa gọi là chữ ký điện tử
B4: Người gửi mã hóa cả thông điệp gốc và chữ ký số sử dụng khóa công khai của người nhận Thông điệp gốc và chữ ký số sau khi được mã hóa gọi là phong bì số.
B5: Người gửi send phong bì số hóa cho người nhận.
B6: Khi nhận được phong bì số hóa, người nhận sử dụng khóa riêng của mình để giải mã phong bì số và nhận được thông điệp gốc và chữ ký số của người gửi.
B7: Người nhận sử dụng khóa công khai của người gửi để nhận dạng chữ ký số của người gửi (là thông điệp đã được mã hóa bằng hàm Hash)
B8: Người nhận sử dụng thuật toán băm để chuyển thông điệp gốc thành thông điệp số như ở bước 2 mà người gửi đã làm
B9: Người nhận so sánh thông điệp số vừa tạo ra ở bước 8 với thông điệp số nhận được ở bước 6 (nhận được sau khi giải mã phong bì số).
2.6 Phong bì số (Digital Envelopes)
Thuật toán "phong bì số" kết hợp được ưu điểm của cả khóa đối xứng(Symmetric Key) and khóa bất đối xứng (Asymmetric Key) Nội dung được mã hóa và giải mã bằng khóa đối xứng và khóa đối xứng được mã hóa bằng public key chuyển đến cho người nhận trong một khối gọi nôm na là phong bì số.
Khác với chữ ký số chỉ sử dụng cặp khóa bất đối xứng và chủ yếu đảm bảo tính toàn vẹn, chứng thực nội dung, phong bì số lại sử dụng cả khóa đối xứng và khóa bất đối xứng để bảo vệ nội dung an toàn, ngăn cản xem trộm và đánh cắp nội dung. Đặc điểm của bất kì phương thức bảo mật nào sử dụng cặp khóa bất đối xứng là xác định được đối tượng liên hệ cụ thể để trao đổi Publickey và Private Key Do đó phong bì số là không ngoại lệ.
Sử dụng cặp khóa bất đối xứng để mã hóa an toàn hơn nhưng tốc độ lại chậm hơn Do đó
Phong bì số không dùng cặp khóa bất đối xứng để mã hóa Message mà dùng nó để mã hóa
Khóa đối xứng, giúp độ an toàn vẫn được giữ nguyên nhưng tốc độ nhanh hơn (do khóa đối xứng chỉ 128 Bit).
Cách thức hoạt động của phong bì số:
+ Message sẽ được mã hóa bởi khóa đối xứng (Symmetric key)
+ Sau đó khóa đối xứng được mã hóa bởi Public key của người nhận để tạo thành CK.
+ Message đã mã hóa kết hợp với CK tạo thành Digital Envelope và được gửi đi.
Muốn xem được Message, người nhận phải có được Khóa đối xứng, muốn có đượcKhóa đối xứng người nhận phải sở hữu Private key tương ứng Do đó Message khá an toàn, do các cặp khóa này được phát sinh ngẫu nhiên, duy nhất
Hình minh họa tạo một phong bì số
2.7 Cơ sở hạ tầng khóa công khai (PKI)
PKI (Public Key Infrastructure) hoạt động dựa trên sự hỗ trợ của các thẻ chứng thực số (digital certificates), nó bao gồm các thành phần: Hardware, software, tập chính sách, các thủ tục phát hành/thu hồi thẻ chứng thực và các chuẩn Các thành phần này kết hợp với nhau để thiết lập một phương thức trao đổi thông tin trong môi trường mạng đảm bảo tính xác thực định danh đối tác ở mức an toàn cao nhất.
Nhiệm vụ chính của PKI là sử dụng chiến lược mã hóa khóa công cộng (public key encryption) để tạo, quản lý và thu hồi các thẻ chứng thực Cụ thể:
Tạo và xác định tính hợp lệ của chữ ký số (digital signatures)
Đáp ứng sự đăng ký thẻ của người sử dụng mới
Xác thực người sử dụng và phân phối thẻ chứng thực đến họ
Thu hồi các thẻ chứng thực hết hạn
Tạo các private key và public key cho các PKI client.
THEO DÕI THÔNG TIN CÁ NHÂN QUA EMAIL
Xem lén thư điện tử
1.1Những rủi ro có thể gặp phải khi sử dụng email tên miền riêng của Google
1.1.1 Trường hợp bạn đã đăng ký dịch vụ Google mail miễn phí từ trước tháng
Bạn vẫn không cần phải trả bất kỳ chi phí nào cho dù sau đó Google đã ngừng cho phép người dùng đăng ký tài khoản mới cho phiên bản miễn phí Tuy nhiên, có một số rủi ro mà bạn có thể gặp phải như:
Hạn chế về dung lượng và lượng user có thể tạo Và tất nhiên bạn sẽ phải trả phí cho Google để nâng cấp lên phiên bản mới có dung lượng và user lớn hơn Mức phí cho phiên bản này là 5 USD/ người/ tháng hoặc 50 USD/ người/ năm.
Trong trường hợp, User admin – User dùng để khởi tạo email tên miền riêng bị thất thoát thông tin thì rất có thể tất cả các thiết lập của bạn trong hệ thống sẽ bị thay đổi chẳng hạn như sự thay đổi của password khiến bạn không thể đăng nhập vào hệ thống hay các thông kinh doanh sẽ bị rò rỉ ra ngoài, gây nên những rủi ro lớn cho doanh nghiệp.
1.1.2 Trường hợp bạn mua phải những địa chỉ Google mail miễn phí
Sau thời điểm 06/12/2012, Google ngừng cung cấp các tài khoản mới cho phép người dùng tạo email tên miền riêngmiễn phí tuy nhiên những tài khoản đã tạo lập trước đó vẫn được sử dụng bình thường Nhiều đơn vị đã thu thập được các tài khoản miễn phí này và tiếp tục sử dụng nó để cung cấp cho người dùng với mức giá rẻ hơn rất nhiều so với phiên bản tính phí của Google là 5 USD/ người dùng/ tháng hoặc 50 USD/ người dùng/ năm, tuy nhiên loại tài khoản này có rất nhiều điểm hạn chế đồng thời tiềm ẩn nhiều nguy cơ, điển hình như:
Dung lượng và số user được tạo lập rất hạn chế chẳng hạn như phiên bản dùng miễn phí sau cùng mà Googe cung cấp chỉ giới hạn cho 10 user cho một tên miền Do đó, khi sử dụng hết dung lượng và lượng user cho phép, bạn phải trả phí để mua thêm Chính vì vậy mà phiên bản này chỉ phù hợp với những doanh nghiệp có quy mô nhỏ, dưới 10 nhân viên Và thực sự khi tình hình kinh doanh phát triển, bạn muốn mở rộng hệ thống thì bạn phải chi thêm chi phí khá đắt đỏ để mua thêm user và dung lượng.
Bạn sẽ không có quyền cao nhất cho dịch vụ mà mình đang sử dụng bởi tất cả các tính năng này đều nằm dưới sự quản lý của tên miền mà bên cung cấp đã đăng ký trước đó.
Các thông tin của bạn sẽ không được bảo mật vì chúng rất dễ bị can thiệp bởi bên thứ 3– đơn vị được quyền sử dụng chính thức cho tài khoản email miễn phí mà bạn đang sử dụng.
Không những vậy, trong thời gian gần đây,Google đang kiểm soát khắt khe hơn trong vấn đề sử dụng dịch vụ không chính thức, các tài khoản bị phát hiện đều có nguy cơ bị khóa vĩnh viễn hoặc bị mất toàn bộ các dữ liệu quan trọng.
Khi có các tranh chấp giữa người sử dụng và đơn vị cung cấp dịch vụ hay khi xảy ra bất cứ rủi ro nào trong quá trinh sử dụng, Google sẽ không chịu trách nhiệm về điều đó bởi bạn đang vi phạm chính sách của Google.
1.2Một số vấn đề thường gặp khác khi sử dụng email tên miền riêng của Google
Không sử dụng email tên miền riêng đã đăng ký trong một thời gian dài: Thông thường, trong một năm đầu không sử dụng, Google sẽ gửi thông báo định kỳ vào hộp mail khởi tạo để nhắc nhở khách hàng đăng nhập.
Tuy nhiên, nếu sau một năm không sử dụng, tài khoản mail sẽ bị khóa, lúc này, người dùng chỉ có thể theo dõi các dữ liệu đã có mà không thể gửi hay nhận email.
Trường hợp tên miền hết hạn: các hoạt động của đại chỉ email sử dụng tên miền đăng ký thường bị gián đoạn hoạt động Bạn cần phải đăng ký lại tên miền để có thể tiếp tục sử dụng các dịch vụ liên quan như website, email…
Lưu ý rằng, bạn cần phải gia hạn tên miền trong khoảng 30 – 40 ngày bởi lúc này những thông tin đăng ký và các dữ liệu vẫn được giữ nguyên Nếu quá thời gian đó, toàn bộ thông tin quản trị tên miền và mọi hoạt động dựa trên tên miền sẽ hoàn toàn bị xóa bỏ.
1.3Một số lưu ý để sử dụng email tên miền riêng của Google an toàn và hiệu quả
Cần phải xác định được User quản trị hệ thống email tên miền riêng bởi đó là cơ sở để thiết lập lại tất cả các thông tin của hệ thống khi có rủi ro phát sinh.
Cần bảo mật thông tin User quản trị tránh để kẻ xấu lợi dụng làm ảnh hưởng đến hoạt động của doanh nghiệp như thay đổi user và pssword đăng nhập, công khai các thông tin kinh doanh và các chiến lược hoạt động Do đó, tốt nhất không nên sử dụng user quản trị để làm việc và giao dịch.
Cần bảo mật thông tin tên miền bởi đó là cơ sở để tùy chỉnh lại user và password cũng như lấy lại các thông tin trong hệ thống.
Cần chú ý thời hạn sử dụng của tên miền, tránh trường hợp tên miền hết hạn gây gián đoạn các giao dịch.
Cách phòng chống
2.1 Không dùng một email cho nhiều dịch vụ Đối với một người sử dụng internet thông thường đều có thói quen đăng ký các tài khoản khác trên internet đều sử dụng một email Điều này chẳng khác gì bạn đang cố tình đặt trứng vào một giỏ và nếu có sự bất cẩn nào của bạn thì tất cả số trứng đó có thể rơi vào tay kẻ xấu Hay nói cách khác, các tài khoản có liên quan đến email của bạn sẽ trở bị chiếm mất quyền điều khiển và bạn sẽ không còn cách nào khắc phục ngoại trừ bạn phải lấy lại được email Theo ý kiến mình, đó là lý do chính đáng nhất để khuyên bạn nên sử dụng nhiều tài khoản email cho nhiều mục đích khác nhau.
Nếu bạn có nhiều tài khoản email khác nhau, không những chống lại những nguy cơ bị mất cắp mà còn nâng cao hiệu quả của bạn khi sử dụng email trên internet Mình đoán rằng, bạn sẽ không mấy dễ chịu khi bỗng bắt đầu từ một ngày không đẹp trời nào đó, bạn sẽ nhận được vô số các email quảng cáo mà bạn không quan tâm, đơn giản vì bạn dùng email đó để đăng ký một số dịch vụ và có thể họ dùng nó để bán cho các nhà Email Marketing để tiến hành quảng cáo Hãy phân chia các email nào dành cho các hoạt động giải trí, công việc, mua sắm, bạn bè…v v Và đừng quên, các dịch vụ email hiện nay đều có tính năng thêm tài khoản email phụ, tất nhiên mình đang khuyên bạn nên dùng các email đó để làm email phụ lẫn nhau, vì khi có một trong các tài khoản email đó bị đánh cắp thì bạn vẫn có thể dùng email phụ để khôi phục lại tài khoản.
2.2 Sử dụng mật khẩu thật phức tạp Đi cùng với nhiều tài khoản email khác nhau là những mật khẩu phức tạp cũng nên khác nhau, tránh việc dùng chung với các mật khẩu email khác hay các dịch vụ khác Vì nếu bạn luôn sử dụng các mật khẩu giống nhau thì điều đó đồng nghĩa các tài khoản liên quan của bạn sẽ bị mất trắng, bởi nếu hacker đã dùng phương thức mò tìm mật khẩu thủ công thì kiểu gì họ lại không thử gõ lại mật khẩu mà họ đã biết.
Mình biết đây là lời khuyên khá thừa thải bởi bạn đã nghe quá nhiều, nhưng có phải bạn đang lãng quên nó? Nếu bạn không biết cách đặt mật khẩu phức tạp thì có thể sử dụng các công cụ tự tạo mật khẩu trực tuyến tràn lan trên mạng mà bạn chỉ cần gõ “strong password generator” trên Google là sẽ ra hàng đống kết quả Bên cạnh nó, việc ghi nhớ các mật khẩu phức tạp này cũng nhiêu khê không kém vì chắc chắn nếu bạn sử dụng công cụ tạo mật khẩu ngẫu nhiên thì sẽ không thể nhớ nó, lời khuyên của mình lúc này là bạn nên sử dụng các phần mềm quản lý mật khẩu thông minh và an toàn, có một công cụ miễn phí giúp bạn làm việc này khá tốt đó là KeePasss Password Safe.
2.3Đề phòng với các mánh khóe lừa đảo
Có phải bạn đã thường xuyên nhìn thấy một dòng ghi chú nhỏ ở các website yêu cầu nhập mật khẩu kiểu như “Đừng bao giờ cung cấp mật khẩu cho một ai khác kể các nhà cung cấp, vì chúng tôi không bao giờ yêu cầu các bạn cung cấp thông tin tài khoản hay mật khẩu”. Ấy thế mà vẫn có nhiều người “dính chưởng” các kiểu lừa đảo này Tinh vi hơn là giả mạo các website uy tín để gửi các email khuyến mãi hấp dẫn và khi bạn nhấp vào nó sẽ yêu cầu bạn nhập email và mật khẩu, và kể từ đó các mật khẩu của bạn sẽ rơi vào tay các kẻ lừa đảo Mình đã gặp một số mánh khóe lừa đảo dạng này và chỉ cần bất cẩn một xíu thôi thì sẽ không dễ dàng nhận ra đó là email lừa đảo, bởi từ sơ đồ trang web đến cấu trúc email đều giống như thật, chỉ có điều tên miền chỉ sai một chữ cái.
Hãy cảnh giác cao độ với các email yêu cầu cung cấp thông tin cá nhân và nên kiểm tra rõ ràng từ địa chỉ người gửi, đến địa chỉ website mà bạn vừa nhấp vào.
2.4Đừng bao giờ nhấp vào liên kết trong email
Cũng là một kiểu lừa đảo tinh vi khác, họ sẽ mạo danh các nhà dịch vụ uy tín để gửi các thông tin hấp dẫn mà bạn cần phải nhấp vào một liên kết nào đó trong email Mình thật sự khuyên bạn 99% đừng bao giờ click vào nó, 1% ngoại lệ còn lại là trừ khi bạn đang mong chờ một email nào đó ví dụ như kích hoạt tài khoản diễn đàn, xác nhận một trò chơi nào đó hoặc những điều tương tự vậy.
Sở dĩ mình khuyên bạn như thế đó là không ai chắc chắn các liên kết đó sẽ dẫn bạn đi đâu Có thể đối với một số hacker chuyên nghiệp sẽ gửi cho bạn một liên kết dẫn tới những
“thiên đàng” trong những lần đầu tiên, và các lần sau họ sẽ gửi một liên kết dẫn bạn tới cánh cửa của địa ngục, ở đó bạn sẽ gặp gỡ rất nhiều âm binh (virus).
Còn khi bạn nhận email từ các dịch vụ quan trọng như ngân hàng, nhà cung cấp hosting, hóa đơn thanh toán…v v mà bạn sợ bỏ qua nó thì nên nhập lại liên kết đó bằng tay(nghĩa là mở trình duyệt và bắt đầu gõ http://abcxyz.com/xxx/ngvsdvsd… ), không bao giờ nhấp hay copy các liên kết đó và dán vào trình duyệt Có thể một ngày nào đó, một vụ lừa đảo bị phanh phui và lúc đó bạn sẽ cảm ơn Chúa vì đã cho bạn đọc bài này.
2.5Không mở các file đính kèm không cần thiết
File đính kèm luôn là một mục tiêu hàng đầu cho các kẻ gian gửi gắm những “thông điệp” mang tính chất lừa đảo Nếu không phải bạn đang đợi các tập tin quan trọng từ bạn bè, gia đình hay đồng nghiệp thì đừng bao giờ mở nó khi không thật sự cần thiết Thậm chí khi nhìn vào các tập tin đó có vẻ như vô tội thì bạn cũng không nên bất cẩn, rất có thể đằng sau những tập tin hình ảnh JPG là những tập tin EXE được nguy trang khéo léo, và khi bạn tải về và mở nó ra, bạn đã có trên tay một chú virus thật dễ thương.
2.6Quét virus và malware sau khi tải tập tin về từ email
Nếu bạn quyết định tải một tập tin từ email khác về mà cho rằng nó vô tội thì cũng đừng quên hãy quét nó qua một lần bằng các phần mềm diệt virus uy tín Cũng trên các phần mềmInternet Security hiện nay đều có tính năng scan và kiểm tra virus trong email, vì thế đừng bao giờ đưa nó vào quên lãng nếu không muốn phải hối hận sau này.
2.7Tránh xa các mạng Wi-Fi công cộng. Đây có thể là một lời khuyên khó thực hiện nhưng mình thật sự khuyên bạn nên cẩn trọng, thậm chí là đừng bao giờ sử dụng các thiết bị di động hay laptop trên sóng Wi-Fi di động, mặc dù mình biết rằng như thế sẽ làm giảm đi sự thú vị khi bạn có thói quen làm việc ở các quán cà phê hay đang chờ đợi máy bay Tin mình, các mạng Wi-Fi công cộng cực kỳ nguy hiểm và kém an toàn Có một số công cụ có thể đe dọa đến an ninh mạng trên Wi-Fi được gọi là “Network Sniffers” được chạy ngấm ngầm trên các thiết bị của những kẻ gian. Các Sniffers sẽ có thể giám sát mọi dữ liệu được truyền đi thông qua một mạng không dây được định sẵn, và ở đó các thông tin sẽ được phân tích ra các thông tin nhạy cảm mặc dù nó đã được mã hóa Nó cùng nghĩa với việc tên đăng nhập và mật khẩu của bạn có thể bị giám sát và hiển thị đầy đủ trong kho dữ liệu của các hacker.
2.8Sử dụng 2 lớp mật khẩu bảo mật
Nếu bạn đang sử dụng Gmail thì đừng bỏ qua một tính năng vừa mới được Google công bố đó là tạo 2 lớp bảo mật cho tài khoản khi đăng nhập Ở lớp thứ nhất, bạn sẽ nhập mật khẩu của mình như thường lệ, và ở bước thứ hai, họ sẽ yêu cầu bạn nhập một mã số bảo mật được gửi trực tiếp qua điện thoại di động sau khi bạn vượt qua lớp thứ nhất Như vậy có nghĩa là cho dù hacker có trong tay tài khoản và mật khẩu của bạn thì cũng không làm được gì trừ khi họ có luôn cái sim điện thoại của bạn Nếu bạn chưa kích hoạt tính năng này thì có thể xem hướng dẫn kích hoạt 2 lớp bảo mật trên trang hỗ trợ của Google.
Tường lửa là gì?
Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng.
Có khá nhiều cách để phân loại tường lửa, tùy theo cách chọn lựa tiêu chí đánh giá: Tường lửa cá nhân hay tường lửa hệ thống:
Tường lửa cá nhân được cài đặt trên các máy chủ và máy tính cá nhân, chủ yếu ngăn chặn các truy cập trái phép từ máy tính này vào máy tính khác trong cùng một mạng Bạn có thể dùng chức năng tường lửa có sẵn trong Windows, Linux hay cài thêm các phần mềm của các hãng bảo mật như Comodo, Symantec Endpoint Protection, Kaspersky Internet Security Tường lửa hệ thống ngăn chặn việc truy cập trái phép giữa các phân vùng mạng trong hệ thống như LAN, WAN, DMZ.
Tường lửa dựa trên nền phần mềm hay phần cứng:
Tường lửa có thể được xây dựng trên nền một phần mềm cài trên một máy chủ như ISA của Microsoft hay FireWall-1 của CheckPoint Tường lửa cũng có thể được tích hợp vào một phần cứng chuyên dụng như ASA của Cisco , hay NetScreen của Juniper.
Lọc tại tầng mạng hay tầng ứng dụng:
Tường lửa thường được thiết kế để hoạt động ở tại một trong hai tầng 3 (Network) và tầng 7 (Application) Nếu hoạt động ở tầng Network, tường lửa sẽ lọc các gói tin ở tầng này, được gọi là các packet dựa trên các địa chỉ mạng gửi đi hay đích đến mà không quan tâm đến việc nó thuộc ứng dụng gì Tường lửa hoạt động ở lớp 7 thì có thể ngăn các ứng dụng cụ thể gửi thông tin vào hay ra khỏi hệ thống mạng.
Tường lửa dùng công nghệ lọc gói hay dò trạng thái
Tường lửa cũng được đánh giá và phân loại theo cách hoạt động của chúng Những tường lửa hoạt động theo cách lọc gói (Packet filtering) sẽ sẽ phải phân tích từng gói tin một khi chúng đi xuyên qua Tùy theo việc cấu hình chính sách, gói tin nào được phép sẽ được đi qua, còn ngược lại sẽ bị hủy.
Kỹ thuật dò trạng thái (Stateful inspection) là một kỹ thuật cao cấp trong việc xây dựng tường lửa Nó chỉ tiến hành lọc gói dữ liệu lần đầu và tạo dấu hiệu nhận dạng gói tin để đưa vào một cơ sở dữ liệu Các gói tin về sau sẽ được dò tìm dấu hiệu nhận dạng này và cho phép hoặc cấm đi qua tường lửa Những tường lửa hoạt động theo kỹ thuật dò trạng thái sẽ làm việc với một hiệu suất cao hơn nhiều so với tường lửa hoạt động theo dạng lọc gói.
1.2Vị trí lắp đặt của Firewall trong hệ thống
Tường lửa luôn được lắp đặt ở vùng biên giới của hệ thống mạng hay hệ thống máy tính Tường lửa cá nhân sau khi được cài đặt sẽ chiếm giữ việc quản lý các thông tin đi vào hay đi ra cổng giao tiếp mạng của máy tính Tường lửa hệ thống sẽ được lắp đặt ngay sau thiết bị kết nối WAN, như Router sử dụng đường kênh thuê riêng (leased-line), hay Router ADSL.
1.3Các phân vùng mạng kết nối vào Firewall
Tường lửa là thiết bị lọc và bảo vệ các phân vùng mạng, nên hầu hết các phân vùng mạng đều phải kết nối vào một cổng giao tiếp nào đó của tường lửa Các phân vùng chính, có ở hầu hết các hệ thống mạng và tường lửa là:
LAN hay Internal: là vùng mạng chỉ gồm máy tính của người dùng cuối, người quản trị Vùng này thường được xem là vùng an toàn Việc kết nối từ vùng này ra bên ngoài thường được tường lửa chấp nhận.
WAN hay External: là vùng mạng kết nối ra bên ngoài, ví dụ như kết nối đến các điểm mạng khác, hay kết nối ra Internet Vùng này được xem là vùng nguy hiểm Việc kết nối từ vùng này vào mạng LAN hay Internal mặc định bị tường lửa cấm.
DMZ (Demilitarized zone): được xem là một vùng trung gian, và chỉ có trong tường lửa hệ thống Vùng này thường để đặt các máy chủ cung cấp các dịch vụ mạng Người dùng có thể truy cập vào các máy chủ ở vùng này khi đi xuyên qua và chịu sự kiểm soát của tường lửa. Người dùng từ mạng LAN muốn truy cập vào vùng này cũng cần được sự cho phép của tường lửa Cách sử dụng phân vùng mạng này giúp cho phép mạng bên ngoài có thể truy cập vào các máy chủ dịch vụ cần thiết của hệ thống một cách giới hạn, mà vẫn không xâm phạm được vào hệ thống LAN bên trong Nó cũng đảm bảo rằng người dùng xấu trong mạng LAN không thực hiện được các “tấn công ngược” vào khu vực các máy chủ.
1.4Các tính năng mở rộng thường được tích hợp vào tường lửa
Các nhà sản xuất thường kết hợp thêm một vài tính năng mở rộng vào các sản phẩm tường lửa Những tính năng đó bổ trợ và làm tăng khả năng bảo mật của tường lửa cũng như tính tiện dụng của chúng như:
Phát hiện và chống tấn công: tính năng này thường mệnh danh là hệ phát hiện tấn công (IDS-Intrusion Detection Systems), hệ bảo vệ chống tấn công (IPS - Intrusion Protection Systems), hay hệ phát hiện và ngăn ngừa tấn công (IDP - Intrusion Detection and Prevention). Những hệ này quan sát, phân tích toàn bộ các gói tin vào ra hệ thống mạng và phát hiện cũng như tìm cách chống trả lại các tấn công Do cần phải đọc toàn bộ các gói tin, nên vị trí lắp đặt hệ thống này là trùng lắp với vị trí tường lửa Vì thế, tích hợp tính năng này vào thiết bị tường lửa là hoàn toàn hợp lý.
Mạng riêng ảo (VPN): Tường lửa nằm ở vị trí kết nối với mạng WAN, nên nó cũng phù hợp với vị trí của thiết bị máy chủ nhận kết nối mạng riêng ảo từ bên ngoài vào hệ thống Sau khi hoàn tất kết nối, tường lửa cũng sẽ kiểm soát người dùng VPN được phép truy cập vào phân vùng mạng nào, cũng như cấm xâm nhập vào các phân vùng mạng khác.
Bộ đệm web (Proxy):các tường lửa dạng phần mềm, và sử dụng kỹ thuật dò trạng thái (Stateful inspection) như ISA chẳng hạn, thường tích hợp thêm tính năng bộ đệm nội dung web Như vậy, ngoài khả năng lọc dữ liệu theo từng ứng dụng, nó còn hỗ trợ thêm việc làm bộ đệm và lọc nội dung web đối với người dùng trong mạng LAN.
1.5Nguy cơ khi sử dụng tường lửa
CHÍNH SÁCH QUẢN LÝ, QUY TRÌNH KINH DOANH VÀ LUẬT CÔNG(Management Policies, Business Procedures, and Public Laws)
Bản chất của chính sách công
CSC là chính sách của nhà nước đối với khu vực công cộng, phản ánh bản chất, tính chất của nhà nước và chế độ chính trị trong đó nhà nước tồn tại; đồng thời phản ánh ý chí, quan điểm, thái độ, cách xử sự của đảng chính trị phục vụ cho mục đích của đảng, lợi ích và nhu cầu của nhân dân Nhà nước dựa trên nền tảng nhân dân, là chủ thể đại diện cho quyền lực của nhân dân ban hành CSC Ngoài mục đích phục vụ cho lợi ích của giai cấp, của đảng cẩm quyền còn để mưu cầu lợi ích cho người dân và xã hội CSC được hoạch định bởi đảng chính trị nhưng do chính phủ xây dựng, ban hành và tổ chức thực hiện Bản chất của CSC la công cụ để nhà nước thực hiện chức năng, nhiệm vụ của mình, thực hiện các hoạt động liên quan đến công dân và can thiệp vào hành vi xã hội trong quá trình phát triển thiệp vào mọi hành vi xã hội trong quá trình phát triển.
CSC là ý chí chính trị của đảng cầm quyền, được thể hiện cụ thể là các quyết sách,quyết định chính trị của nhà nước Các quyết định này nhằm duy trì tình trạng xã hội hoặc giải quyết các vấn để xã hội, đáp ứng nhu cầu của người dân Ý chí chính trị của đảng cầm quyển được cụ thể hóa thành chính sách, thông qua đó thiết lập mối quan hệ giữa đảng, nhà nước với người dân Thông qua CSC đảng cầm quyền dẫn dắt các quan hệ trong xã hội theo định hướng của đảng Các cá nhân trong xã hội là những đối tượng trực tiếp thụ hưởng và thực hiện chính sách Vì vậy, chính sách chỉ có hiệu lực, hiệu quả thực sự khi được các cá nhân trong xã hội tiếp nhận và thực hiện Để đạt được điều đó thì điều kiện tối thiểu là CSC phải minh bạch, ổn định, dễ hiểu và vai trò chủ thể thực hiện CSC phải là công chúng, mặc dù người khởi xướng chính sách là nhà nước.
Vai trò của chính sách công
Vai trò cơ bản của CSC thể hiện ở chỗ là công cụ hữu hiệu chủ yếu để nhà nước thực hiện chức năng, nhiệm vụ của mình, duy trì sự tồn tại và phát triển của nhà nước, phát triển kinh tế - xã hội và phục vụ người dân Dưới góc độ quản lý, quản trị quốc gia, nhà nước sử dụng CSC như một công cụ quan trọng tác động vào các lĩnh vực đời sống xã hội để đạt được mục tiêu định hướng của nhà nước Ngoài vai trò cơ bản này, CSC còn có vai trò cụ thể sau:
Thứ nhất, định hướng mục tiêu cho các chủ thể tham gia hoạt động kinh tế - xã hội,
Do chính sách phản ánh thái độ, cách xử sự của nhà nước đối với một vấn đề công, nên nó thể hiện rõ những xu thế tác động của nhà nước lên các chủ thể trong xã hội, giúp họ vận động đạt được những giá trị tương lai mà nhà nước mong muốn Giá trị đó chính là mục tiêu phát triển phù hợp với những nhu cầu cơ bản của đời sống xã hội Nếu các chủ thể kinh tế, xã hội hoạt động theo định hướng tác động của chính sách thì không những dễ dàng đạt được mục tiêu phát triển mà còn nhận được những ưu đãi từ phía nhà nước hay xã hội Điểu đó có nghĩa là, cùng với mục tiêu định hướng, cách thức tác động của CSC cũng có vai trò định hướng cho các chủ thể hành động.
Thứ hai, tạo động lực cho các đối tượng tham gia hoạt động kinh tế - xã hội theo mục tiêu chung.
Muốn đạt được các mục tiêu phát triển kinh tế - xã hội chung, nhà nước phải ban hành nhiều chính sách, trong đó mỗi chính sách lại có những cách thức tác động mang tính khuyến khích đối với các chủ thể thuộc mọi thành phần như: miễn giảm thuế, tạo cơ hội tiếp cận với nguồn vốn có lãi suất ưu đãi, ban hành những thủ tục hành chính đơn giản và các chế độ ưu đãi đặc biệt khác, Sự tác động của CSC không mang tính bắt buộc, mà chỉ khuyến khích các chủ thể hành động theo ý chí của nhà nước Chẳng hạn, để tăng cường đầu tư vào nền kinh tế, Nhà nước ta ban hành chính sách khuyến khích các chủ thể trong nước và nước ngoài tích cực đầu tư vào các ngành, lĩnh vực hay những vùng cần được ưu tiên phát triển.
Thứ ba, phát huy mặt tích cực, đồng thời khắc phục những hạn chế của nền kinh tế thị trường.
Trong nền kinh tế thị trường, quy luật cạnh tranh và các quy luật thị trường khác đã thúc đẩy mỗi chủ thể trong xã hội đầu tư vào sảnxuất kinh doanh, không ngừng đổi mới công nghệ nâng cao năng suất lao động, chất ượng sản phẩm, hạ giá thành hàng hóa và dịch vụ cung cấp cho xã hội Nhờ đó mà cả xã hội và từng người dân, tổ chức đều được hưởnq lợi như: hàng hóa và dịch vụ tăng về số lượng, đa dạng, phong phú về chủng loại, thương hiệu, mẫu mã, chất lượng ngày càng tược nâng cao với giá tiêu dùng ngày càng rẻ Nhưng, sự vận hành của thị trường cũng gây ra những tác động tiêu cực mà các nhà kinh tế gọi là mặt không thành công hay mặt trái của thị trường như: độc quyền trong sản xuất cung ứng không đầy đủ hàng hóa công cộng, sự bất công bằng, chênh lệch giàu nghèo và thất nghiệp gia tăng, bất ổn định kinh tế vĩ mô, cá lớn nuốt cá bé gây ảnh hưởng không tốt lên toàn xã hội và mỗi người dân Trong tình hình đó, nhà nước phải sử dụng hệ thống CSC để giải quyết những vấn đề bất cập về kinh tế, khắc phục những thất bại của thị trường thông qua trợ cấp, cung ứng dịch vụ công cho người dân do các doanh nghiệp nhà nước, các đơn vị sự nghiệp công hay hội, tổ chức phi chính phủ thực hiện.
Thứ tư, tạo lập các cân đối trong phát triển. Để kinh tế - xã hội phát triển một cách ổn định bền vững, nhà nước phải dùng chính sách để tạo lập các cân đối vĩ mô cơ bản như cân đối giữa hàng - tiền, cung - cầu, xuất - nhập khẩu, tiết kiệm - tiêu dùng, Đồng thời, nhà nước còn dùng chính sách để điều tiết đảm bảo cho sự phát triển cân đối giữa các vùng miền của đất nước
Thứ năm, kiểm soát và phân bổ các nguồn lực trong xã hội
Nhà nước luôn luôn quan tâm đến quản lý, khai thác và sử dụng các nguồn lực cho phát triển Mục tiêu phát triển bền vững bao gồm cả gia tăng về lượng và cải thiện về chất trong hiện tại và tương lai, vì thế tài nguyên tự nhien và xã hội của một quốc gia là cái hữu hạn luôn trở thành vấn đề quan tâm chính yếu của nhà nước Để sử dụng có hiệu quả tài nguyên theo hướng bền vững, nhà nước thông qua các chính sách thực hiện kiểm soát qué trình khai thác, sử dụng tài nguyên và phân bổ hợp lý các nguồn lực trong xã hội, ví dụ như chính sách xây dựng vùng kinh tế mới, chính sách xây dựng khu công nghiệp, khu chế xuất, chính sách đất đai, chính sách thuế, chính sách bảo vệ tài nguyên, môi trường
Thứ sáu, tạo môi trường thích hợp cho các hoạt động kinh tế - xã hội.
Thông qua các chính sách, nhà nước tạo những điều kiện cần thiết để hình thành môi trường thuận lợi cho các chủ thể xã hội hoạt động như: chính sách phát triển thị trường lao động, thị trường vốn, thị trường khoa học và công nghệ, thị trường bất động sản, phát triển cơ sở hạ tầng
Các chính sách là công cụ đặc thù và không thể thiếu được mà nhà nước sử dụng để quản lý kinh tế vĩ mô, chúng có chức năng chung là tạo ra những kích thích đủ lớn cần thiết để biến đường lối chiến lược của đảng cầm quyền thành hiện thực, góp phần thống nhất tư tưởng và hành động của mọi người trong xã hội, đẩy nhanh và hữu hiệu sự tiến bộ của các hoạt động thuộc mục tiêu bộ phận mà chính sách hướng tới và thực hiện các mục tiêu chung của phát triển kinh tế quốc dân.
Trong hệ thống các công cụ quản lý, các chính sách kinh tế là bộ phận năng động nhất, có độ nhạy bén cao trước những biến động trong đời sống kinh tế - xã hội của đất nưốc nhằm giải quyết những vấn đề bức xúc mà xã hội đặt ra Thực tiễn nước ta và nhiều nước trên thế giới cho thấy phần lớn những thành công trong công cuộc đổi mới và cải cách kinh tế đều bắt nguồn từ việc lựa chọn và áp dụng những chính sách kinh tế thích hợp, có năng suất cao để khai thác tối ưu các lợi thế so sánh của đất nước về tài nguyên thiên nhiên, vị trí địa lý, nguồn nhân lực, vốn, công nghệ, thị trường, kết cấu hạ tầng.
Có một hệ thống chính sách kinh tế đồng bộ, phù hợp với nhu cầu phát triển của đất nước trong từng thời kỳ lịch sử nhất định sẽ là bảo đảm vững chắc cho sự vận hành của cơ chế thị trường năng động, hiệu quả Nhờ đó có thể khơi dậy các nguồn tiềm năng, phát huy tính tích cực, sáng tạo vã ý chí vươn lên làm cho dân giàu, nước mạnh của tầng lớp dân cư Ngược lại, chỉ cần một chính sách kinh tế sai lầm, sẽ gây ra phản ứng tiêu cực dây chuyền đến các chính sách kinh tế khác, cũng như đến các bộ phận khác của cơ chế quảr lý kinh tế, làm giảm hiệu quả của các cơ chế quản lý kinh tế, triệt tiêu động lực của sự phát triển kinh tế - xã hội.
Thứ bảy, thúc đẩy sự phối hợp hoạt động giữa các cấp, các ngành.
Việc thực hiện các giai đoạn trong chu trình chính sách không chỉ và không thể do một cơ quan nhà nước đảm nhiệm, mà cần có sự tham gia của nhiều cơ quan thuộc các cấp, các ngành khác nhau hay của nhiều tổ chức, cá mân Vì vậy, thông qua quá trình chính sách sẽ thúc đẩy sự phối hợp hoạt động giữa các cơ quan nhà nước, các tổ chức chính trị - xã hội, các tầng lớp nhân dân, góp phần tạo nên sự nhịp nhàng, đồng bộ trong hoạt động thực thi CSC.
Ý nghĩa của chính sách công
CSC có ý nghĩa chính trị, xã hội, pháp lý, khoa học và thực tiễn ở chỗ nó là chính sách của nhà nước, phản ánh ý chí, quan điểm, thái độ, cách xử sự của nhà nước để phục vụ cho mục đích và lợi ích của nhà nước Tính chínr trị của CSC biểu hiện rõ nét qua bản chất của nó là công cụ quản trị, quản lý của nhà nước, phản ánh bản chất, tính chất của nhà nước và chế độ chính trị trong đó nhà nước tổn tại Nếu chính trị của nhà nước thay đổi, tất yếu dẫn đến sự thay đổi về chính sách Điều này khẳng định CSC mang tính chính trị hay ý nghĩa chính trị đậm nét.
Tính pháp lý hay ý nghĩa pháp lý của CSC ở chỗ, chính sách của nhà nước được ban hành trên cơ sở pháp luật, nhưng pháp luật là của nhà nước nên CSC đương nhiên có ý nghĩa hay tính pháp lý CSC dựa trên cơ sở của pháp luật cũng chính là dựa trên ý chí của nhà nước, chuyển tải ý chí của nhà nước thành chính sách, công cụ quan trọng để nhà nước thực hiện chức năng, nhiệm vụ của nhà nước Ngược lại, CSC cũng có mối liên hệ và tác động trở lại với pháp luật, là nguồn khơi dậy sức sống của các quy phạm pháp luật Các sáng kiến pháp luật đều xuất phát, bắtnguồn từ thực tiễn triển khai thực hiện CSC Thực tiễn cho thấy CSC chỉ có thể được thực hiện hiệu quả khi được thể chế hóa thành những nội dung, quy định cụ thể, áp dụng cụ thể như áp dụng các quy định của pháp luật Từ CSC có thể thể chế hóa thành các quy định của pháp luật và ngược lại, từ các quy định của pháp luật có thể cụ thể hóa thành các nguyên tắc, yêu cầu trong xây dựng CSC Ví dụ, từ kết quả thực hiện chính sách tiền lương, để đảm bảo công bằng và thực hiện thống nhất, nghiêm túc chính sách này trong hệ thống hành chính nhà nước cần phải được quy định chặt chẽ trong Luật cán bộ, công chức là “trả lương cho cán bộ, công chức ngang bằng với nhiệm vụ, công vụ công chức thực hiện” Cũng trên cơ sở quy định này của Luật cán bộ, công chức, cơ quan quản lý nhà nước xây dựng chính sách tiền lương đối với cán bộ, công chức Quy định này trong Luật cán bộ, công chức trở thành nguyên tắc, yêu cầu cơ bản của chính sách tiền lương nhà nước đối với cán bộ, công chức. CSC và pháp luật đều là các công cụ quan trọng, hữu hiệu trong hoạt động quản lý của nhà nước, có mối liên hệ hữu cơ và tác động qua lại lẫn nhau Hoạch định, xây dựng CSC phải tuân thủ nguyên tắc quản lý bắt buộc hay nguyên tắc pháp lý của chính sách Tôn trọng nguyên tắc này là để bảo đảm việc thực hiện CSC đạt được mục tiêu đề ra, cũng chính là mục tiêu quản lý của nhà nước Mặt khác CSC là chính sách của nhà nước, việc thực hiện chính sách là bắt buộc đối với đối tượng thuộc phạm vi điểu chỉnh cũng như đối với toàn thể nhân dân Do đó, trong nội dung, nội hàm của CSC cần phải xác định các hình thức, mức độ chế tài hợp lý để bảo đảm thực hiện có hiệu lực, hiệu quả chính sách.
Tính chất xã hội hay ý nghĩa xã hội của CSC thể hiện ở chức năng xã hội của CSC CSC là chính sách của nhà nước ban hành để thực hiện chức năng xã hội của nhà nước, ngoài phục vụ lợi ích của nhà nước còn để phục vụ xã hội, phục vụ quảng đại quần chúng nhân dân, tạo điều kiện và định hướng cho xã hội phát triển CSC phản ánh rõ vai trò là chức năng xã hội của nhà nước, phản ánh bản chất, tính ưu việt của nhà nước Do đó, CSC luôn hàm chứa tính xã hội, ý nghĩa xã hội CSC còn ảnh hưởng đến sự phát triển của xã hội, nếu xã hội phản đối, chống lại chính sách của nhà nước, sẽ dẫn đến khủng hoảng, bất ổn định trong xã hội Một khi xã hội bất ổn định thì hệ quả tất yếu, tác động trực tiếp đến sự tồn tại và phát triển của nhà nước Vì vậy, khi nhà nước ban hành CSC phải đặc biệt chú ý đến yếu tố xã hội, tính chất và ý nghĩa xã hội của CSC.
CSC có tính khoa học hay có ý nghĩa lý luận và thực tiễn thiết thực Tính khoa học của CSC thể hiện ở tính khách quan, công bằng tiến bộ và sát với thực tiễn Nếu CSC mang tính chủ quan duy ý chí của nhà nước sẽ trở thành rào cản kìm hãm sự phát triển của xã hội Điều này cũng có nghĩa là việc ban lành CSC của nhà nước bất thành, sẽ ảnh hưởng đến uy tín và vai trò của nhà nước Nếu CSC nhà nước ban hành đảm bảo các yếu tố khách quan, công bằng và tiến bộ, phù hợp với lòng dân và xã hội, phù hợp với ý chí, nguyện vọng, quyền và lợi ích hợp pháp của người dân thì sẽ được người dân và xã hội ủng hộ, chính sách đó sẽ được thực hiện trong cuộc sống một cách nhanh chóng, hiệu quả uy tín và vai trò của nhà nước được đề cao tính khoa học của chính sách còn thể hiện ở ý nghĩa thực tiễn và tính thiết thực của chính sách, yêu cầu khi nhà nước ban hành chính sách phải phù hợp với diều kiện và hoàn cảnh lịch sử cụ thể của đất nước, thực tại khách quan của chính trị, kinh tế, xã hội của đất nước Điều này cũng có nghĩa là khi ban hành CSC cần phải tính đến các điều kiện các nguồn lực để duy trì chính sách, các yếu tố ảnh hưởng đến việc tổ chức thực hiện chính sách vào thực tiễn cuộc sống Để đảm bảo ý nghĩa thực tiễn hay tính sát thực, CSC không thể cao hơn hay thấp hơn trình độ phát triển kinh tế - xã hội của đất nước Trình độ phát triển kinh tế - xã hội của đất nước đến đâu thì đề ra mục tiêu, nhiệm vụ, giải pháp, công cụ của CSC đến đó.
2 Một số chính sách, công tác bảo đảm an ninh mạng của một số nước trên thế giới
Hệ thống bảo mật an ninh của Mỹ được cho là lâu đời, mạnh mẽ và có hiệu quả nhất trên thế giới Các đạo luật về bảo mật an ninh mạng yêu cầu các công ty và tổ chức phải bảo vệ hệ thống và thông tin của họ từ các vụ xâm phạm an ninh mạng như: vi-rút, trojan horse (một loại phần mềm ác tính), tấn công giả mạo, truy cập trái phép (nhằm đánh cắp tài sản trí tuệ hoặc thông tin bí mật) và tấn công vào hệ thống kiểm soát.
Có ba đạo luật chính liên quan đến an ninh mạng do Chính phủ liên bang ban hành: (1) Đạo luật về trách nhiệm giải trình và khả năng chuyển đổi bảo hiểm sức khỏe (HealthInsurance Portability and Accountability Act - HIPAA) năm 1996; (2) Đạo luật Gramm-
Leach-Bliley năm 1999; (3) Đạo luật An ninh nội địa (Homeland Security Act năm 2002) bao gồm luật An ninh thông tin Liên bang (Federal Information Security Management Act - FISMA) và đạo luật tăng cường bảo vệ an ninh mạng quốc gia năm 2015 bổ sung cho Đạo luật
An ninh Nội địa năm 2002
Ba đạo luật trên yêu cầu các tổ chức y tế, định chế tài chính và các cơ quan liên bang phải bảo vệ hệ thống và thông tin của họ Tuy nhiên, các quy định này không khả thi trong việc bảo mật dữ liệu và chỉ yêu cầu một mức độ bảo mật “hợp lý”, không đề cập đến một số lượng lớn các ngành công nghiệp liên quan đến máy tính như các nhà cung cấp dịch vụ Internet, các công ty về phần mềm Ngoài ra, còn có các từ ngữ không rõ ràng về nội dung trong các quy định cụ thể của các đạo luật vẫn cần phải được giải thích.
Chính vì vậy, các đạo luật của liên bang gần đây được ban hành với một số quy định mới về an ninh mạng, đồng thời sửa đổi các quy định cũ đảm bảo cho vấn đề an ninh mạng được an toàn và chặt chẽ hơn, cụ thể: (1) Đạo luật Chia sẻ thông tin an ninh mạng (CISA – Được Thượng viện Mỹ thông qua ngày 27-10-2015) đưa ra các quy định nhằm cải thiện an ninh mạng tại Mỹ thông qua việc chia sẻ thông tin về các mối đe dọa an ninh mạng và cho các mục đích khác Luật cho phép chia sẻ thông tin trên Internet giữa Chính phủ Mỹ và các công ty sản xuất công nghệ (2) Đạo luật Tăng cường an ninh mạng năm 2014 quy định mối quan hệ giữa nhà nước và tư nhân trong việc tăng cường nghiên cứu, phát triển an ninh mạng, giáo dục nâng cao nhận thức cộng đồng đối với vấn đề an ninh mạng (3) Đạo luật Thông báo vi phạm dữ liệu trao đổi liên bang (Federal Exchange Data Breach Notification Act) năm 2015 yêu cầu trao đổi bảo hiểm y tế để thông báo ngay khi có thể cho từng cá nhân biết khi thông tin cá nhân của họ đã bị thu thập hoặc tiếp cận bởi một hành vi xâm phạm an ninh, trong thời hạn chậm nhất là 60 ngày kể từ ngày phát hiện hành vi xâm phạm (4) Đạo luật Tăng cường bảo vệ an ninh mạng quốc gia (National Cybersecurity Protection Advancement Act) năm 2015 sửa đổi Đạo luật An ninh nội địa năm 2002 nhằm cho phép Trung tâm tích hợp truyền thông và An ninh không gian mạng Quốc gia của Bộ An ninh Quốc nội Mỹ (NCCIC) kiểm soát thêm các đại diện không thuộc liên bang như các bộ lạc, trung tâm phân tích, chia sẻ thông tin và tư nhân.
Ngoài ra, chính quyền các tiểu bang tại Mỹ cũng thi hành các biện pháp nhằm cải thiện an ninh mạng như tăng cường chế độ hiển thị công khai của các công ty có bảo mật yếu Năm
2003, California đã thông qua đạo luật Thông báo vi phạm an ninh nhằm quy định các công ty đang giữ thông tin cá nhân của cư dân California khi gặp hành vi xâm phạm an ninh mạng phải tiết lộ chi tiết về vụ việc đó Quy định các công ty sẽ bị phạt khi không bảo vệ được hệ thống an ninh của mình và để xảy ra vi phạm an ninh mạng, đồng thời cho phép công ty tự lựa chọn phương thức bảo vệ cho hệ thống của mình.
Riêng tại New York, đạo luật An ninh mạng của New York (có hiệu lực từ ngày 01-01- 2017) đã xác định ngành dịch vụ tài chính là mục tiêu chủ yếu của các cuộc tấn công an ninh mạng Cơ quan dịch vụ tài chính của New York thực hiện giám sát sát sao các nguy cơ đe dọa hệ thống tài chính, thông tin quốc gia, tổ chức khủng bố và cá nhân có hành vi phạm tội Tội phạm an ninh mạng có thể khai thác các lỗ hổng để truy cập đến dữ liệu thông tin nhạy cảm và gây ra những thiệt hại tài chính nặng nề Các cơ quan, tổ chức hoặc người dân New York có nguy cơ bị tiết lộ hoặc bị đánh cắp thông tin vì mục đích bất hợp pháp Đạo luật này được đưa ra nhằm thúc đẩy sự bảo vệ thông tin của người dùng và hệ thống công nghệ thông tin của các đối tượng được quy định trong luật Luật yêu cầu mỗi công ty phải đánh giá những nguy cơ cụ thể của các hồ sơ thông tin và thiết kế chương trình nhằm giải quyết các nguy cơ rủi ro đó. Luật cũng quy định, hàng năm, các cơ sở dịch vụ y tế phải gửi Chứng nhận tuân thủ các quy định về an ninh mạng của cơ quan dịch vụ tài chính New York cho giám sát viên từ ngày 15- 02-2017.
Australia là quốc gia có khung văn bản pháp lý tương đối hoàn thiện về an ninh mạng, bao gồm: Đạo luật về tội phạm mạng; đạo luật về thư điện tử rác; đạo luật về viễn thông và đạo luật bảo mật
- Đạo luật về tội phạm mạng: Đạo luật cung cấp các quy định toàn diện về các tội liên quan đến Internet và máy tính như truy cập, xâm nhập máy tính trái phép, làm hỏng dữ liệu và cản trở truy cập đến máy tính, ăn cắp dữ liệu, gian lận máy tính, rình rập trên mạng, quấy rối và sở hữu các nội dung khiêu dâm về trẻ em Đạo luật đã đưa ra một số quyền điều tra về tội phạm hình sự nhằm bảo vệ an ninh, độ tin cậy, tính nguyên vẹn của dữ liệu máy tính và truyền thông điện tử Ngoài ra, đạo luật tăng cường khả năng áp dụng những điều khoản về khám xét và thu giữ hiện có liên quan đến dữ liệu điện tử được lưu trữ.
- Đạo luật về thư điện tử rác: Đạo luật này được đưa ra bởi Cơ quan Truyền thông và Thông tin Australia, quy định về thư điện tử mang tính thương mại và các loại tin nhắn điện tử khác Đạo luật giới hạn gửi các loại tin nhắn điện tử mà không được sự cho phép của người nhận trừ một số trường hợp ngoại lệ Các quy tắc về sự đồng ý, xác nhận của người gửi và tính năng không đăng ký được nêu rõ trong Đạo luật.
CÁC LOẠI HỆ THỐNG THANH TOÁN
Tổng quan về thanh toán điện tử
1.1 Định nghĩa về thanh toán điện tử
Theo báo cáo quốc gia về kỹ thuật Thương mại điện tử của Bộ thương mại, “thanh toán điện tử theo nghĩa rộng được định nghĩa là việc thanh toán tiền thông qua các thông điệp điện tử thay cho việc trao tay tiền mặt.”
Theo nghĩa hẹp, thanh toán trong Thương mại điện tử có thể hiểu là việc trả tiền và nhận tiền hàng cho các hàng hoá, dịch vụ được mua bán trên Internet
H 1 Một mô hình thanh toán điện tử
H 2 Một mô hình đảm bảo an ninh trong thanh toán điện tử
1.2 Lợi ích của thanh toán điện tử
- Hoàn thiện và phát triển thương mại điện tử
Xét trên nhiều phương diện, thanh toán trực tuyến là nền tảng của các hệ thống thương mại điện tử Sự khác biệt cơ bản giữa thương mại điện tử với các ứng dụng khác cung cấp trênInternet chính là nhờ khả năng thanh toán trực tuyến này Do vậy, việc phát triển thanh toán trực tuyến sẽ hoàn thiện hóa thương mại điện tử, để thương mại điện tử được theo đúng nghĩa của nó – các giao dịch hoàn toàn qua mạng, người mua chỉ cần thao tác trên máy tính cá nhân của mình để mua hàng, các doanh nghiệp có những hệ thống xử lý tiền số tự động Một khi thanh toán trong thương mại điện tử an toàn, tiện lợi, việc phát triển thương mại điện tử trên toàn cầu là một điều tất yếu với dân số đông đảo và không ngừng tăng của mạng Internet
- Tăng quá trình lưu thông tiền tệ và hàng hóa
Thanh toán trong thương mại điện tử với ưu điểm đẩy mạnh quá trình lưu thông tiền tệ và hàng hóa Người bán hàng có thể nhận tiền thanh toán qua mạng tức thì, do đó có thể yên tâm tiến hành giao hàng một cách sớm nhất, sớm thu hồi vốn để đầu tư tiếp tục sản xuất
Thanh toán điện tử giúp thực hiện thanh toán nhanh, an toàn, đảm bảo quyền lợi cho các bên tham gia thanh toán, hạn chế rủi ro so với thanh toán bằng tiền mặt, mở rộng thanh toán không dùng tiền mặt, tạo lập thói quen mới trong dân chúng về thanh toán hiện đại
- Hiện đại hoá hệ thống thanh toán
Tiến cao hơn một bước, thanh toán điện tử tạo ra một loại tiền mới, tiền số hóa, không chỉ thỏa mãn các tài khoản tại ngân hàng mà hoàn toàn có thể dùng để mua hàng hóa thông thường Quá trình giao dịch được đơn giản và nhanh chóng, chi phí giao dịch giảm bớt đáng kể và giao dịch sẽ trở nên an toàn hơn Tiền số hóa không chiếm một không gian hữu hình nào mà có thể chuyển một nửa vòng trái đất chỉ trong chớp mắt bằng thời gian của ánh sáng Đây sẽ là một cơ cấu tiền tệ mới, một mạng tài chính hiện đại gắn liền với mạng Internet
1.2.2 Lợi ích đối với ngân hàng
- Giảm chi phí tăng hiệu quả kinh doanh
Giảm chi phí văn phòng: Giao dịch qua mạng giúp rút ngắn thời gian tác nghiệp, chuẩn hóa các thủ tục, quy trình, nâng cao hiệu quả tìm kiếm và xử lý chứng từ
Giảm chi phí nhân viên: Một máy rút tiền tự động có thể làm việc 24 trên 24 giờ và tương đương một chi nhánh ngân hàng truyền thống
Cung cấp dịch vụ thuận tiện cho khách hàng: Thông qua Internet/Web Ngân hàng có khả năng cung cấp dịch vụ mới (Internet banking) và thu hút thêm nhiều khách hàng giao dịch thường xuyên hơn, giảm chi phí bán hàng và tiếp thị
Mở rộng thị trường thông qua Internet, ngân hàng thay vì mở nhiều chi nhánh ở các nước khác nhau có thể cung cấp dịch vụ Internet banking để mở rộng phạm vi cung cấp dịch vụ.
- Đa dạng hoá dịch vụ và sản phẩm
Ngày nay, dịch vụ ngân hàng đang vươn tới từng người dân Đó là dịch vụ ngân hàng tiêu dùng và bán lẻ "Ngân hàng điện tử", với sự trợ giúp của công nghệ thông tin cho phép tiến hành các giao dịch bán lẻ với tốc độc cao và liên tục Các ngân hàng có thể cung cấp thêm các dịch vụ mới cho khách hàng như "phone banking", “home banking”, “Internet banking", chuyển, rút tiền, thanh toán tự động
- Nâng cao năng lực cạnh tranh và tạo nét riêng trong kinh doanh
"Ngân hàng điện tử" giúp các ngân hàng tạo và duy trì một hệ thống khách hàng rộng rãi và bền vững Thay vì phải xếp hàng rất lâu chờ rút tiền tại chi nhánh một ngân khách hàng có thể đi tới một máy rút tiền tự động của một ngân hàng khác và thực hiện giao dịch trong vài phút Thế mạnh về dịch vụ ngân hàng điện tử cũng là một đặc điểm để các ngân hàng hiện đại tạo dựng nét riêng của mình
- Thực hiện chiến lược toàn cầu hóa
Một lợi ích quan trọng khác mà ngân hàng điện tử đem lại cho ngân hàng, đó là việc ngân hàng có thể thực hiện chiến lược “toàn cầu hoá”, chiến lược “bành trướng” mà không cần phải mở thêm chi nhánh Ngân hàng có thể vừa tiết kiệm chi phí do không phải thiết lập quá nhiều các trụ sở hoặc văn phòng, nhân sự gọn nhẹ hơn, đồng thời lại có thể phục vụ một khối lượng khách hàng lớn hơn Internet một phương tiện có tính kinh tế cao để các ngân hàng có thể mở rộng hoạt động kinh doanh của mình ra các quốc gia khác mà không cần đầu tư vào trụ sở hoặc cơ sở hạ tầng Theo cách này, các ngân hàng lớn đang vươn cánh tay khổng lồ và dần dần thiết lập cơ sở của mình, thâu tóm dần nền tài chính toàn cầu
- Xúc tiến thương mại, quảng bá thương hiệu toàn cầu
Thông quan Internet, ngân hàng có thể đăng tải tất cả những thông tin tài chính, tổng giá trị tài sản, các dịch vụ của ngân hàng mình, để phục vụ cho mục đích xúc tiến quảng cáo Có thể ngân hàng chưa thể tiến hành các giao dịch tài chính trực tuyến, song bằng cách thiết lập các trang web của riêng mình với chức năng ban đầu là cung cấp thông tin và giải đáp ý kiến thắc mắc của khách hàng qua mạng, ngân hàng cũng được coi là đã bước đầu tham gia áp dụng dịch vụ ngân hàng điện tử và hoà mình vào xu thế chung.
Các hệ thống thanh toán điện tử trong thương điện tử
Thẻ là một công cụ thanh toán do ngân hàng phát hành cho khách hàng, khách hàng dùng thẻ để thanh toán tiền hàng, dịch vụ hoặc rút tiền trong phạm vi tài khoản cho phép theo như hợp đồng kí kết giữa khách hàng và ngân hàng
Những hình thức sơ khai ban đầu của thẻ ra đời vào thập niên 40 của thế kỉ XX tại Mỹ.
Mỹ cũng chính là nơi đã ra đời hai tổ chức thẻ lớn nhất thế giới là VISA và MasterCard có phạm vi toàn cầu Cùng với sự phát triển của 2 tổ chức thẻ trên, chúng ta cũng đã quen thuộc với những tên tuổi lớn như American Express (AMEX), Dinners Club, JCB, Euro Card
- Lợi ích của thẻ thanh toán:
+ Sự tiện lợi: Là một phương tiện thanh toán không dùng tiền mặt, thẻ cung cấp cho khách hàng sự tiện lợi mà không một phương tiện thanh toán nào có thể mang lại được Bằng việc sở hữu một chiếc thẻ khách hàng có thể thanh toán ở bất cứ nơi nào mà không cần phải mang theo tiền mặt hay séc du lịch, và không phụ thuộc vào khối lượng tiền họ cần thanh toán đặc biệt đối với những người hay phải đi ra nước ngoài đi công tác hay là đi du lịch Thẻ được coi là phương tiện thanh toán ưu việt nhất trong số các phương tiện thanh toán phục vụ tiêu dùng
+ Sự linh hoạt: Với nhiều loại đa dạng, phong phú, thẻ thích hợp với mọi đối tượng khách hàng, từ những khách hàng có thu nhập thấp (thẻ thường) cho tới những khách hàng có thu nhập cao (thẻ vàng), khách hàng có nhu cầu rút tiền mặt (thẻ rút tiền mặt), cho tới nhu cầu du lịch giải trí… thẻ cung cấp cho khách hàng độ thỏa dụng tối đa, thoả mãn nhu cầu của mọi đối tượng khách hàng.
+ Sự an toàn và nhanh chóng: Chủ thẻ có thể hoàn toàn yên tâm về số tiền của mình trước nguy cơ bị mất cắp Thậm chí, dù thẻ có thể bị lấy cắp, Ngân hàng cũng bảo vệ tiền cho chủ thẻ bằng số PIN, ảnh và chữ ký trên thẻ… nhằm tránh khả năng rút tiền của kẻ ăn trộm. Hơn thế nữa, hầu hết các giao dịch thẻ đều được thực hiện qua mạng kết nối trực tuyến từ cơ sở chấp nhận thẻ hay điểm rút tiền mặt tới Ngân hàng thanh toán, Ngân hàng phát hành và các
Tổ chức thẻ Quốc tế Việc ghi Nợ - Có cho các chủ thể tham gia quy trình thanh toán được thực hiện một cách tự động do đó quá trình thanh toán dễ dàng, tiện lợi và nhanh chóng
+Visa International (Tổ chức thẻ quốc tế Visa):
Thẻ Visa, tiền thân là Bank Americard do Bank of America phát hành vào năm 1960, hiện nay là loại thẻ có quy mô phát triển lớn nhất trên toàn cầu Đến cuối năm 1990 có khoảng
257 triệu thẻ đang lưu hành với doanh thu khoảng 354 tỷ USD Nhưng chỉ trong khoảng 3 năm, và cuối năm 1993 doanh thu của Visa tăng mạnh mẽ lên đến 542 tỷ USD Visa hiện có khoảng 164.000 máy ATM (Automatic Teller Machine) ở 65 nước trên thế giới.
+MasterCard International (Tổ chức thẻ quốc tế Mastercard):
MasterCard ra đời vào năm 1966 với tên gọi là Master Charge do hiệp hội thẻ liên Ngân hàng ICA( Interbank Card Association) phát hành thông qua các Ngân hàng thành viên trên thế giới Năm 1990, một hệ thống ATM lớn nhất thế giới được sử dụng phục vụ cho những người dùng thẻ MasterCard Cũng năm này, MasterCard đã phát hành được hơn 178 triệu thẻ, có 5.000 thành viên phát hành và 9 triệu điểm tiếp nhận thẻ Đến năm 1993, doanh thu của MasterCard lên đến 320,6 tỷ USD và khoảng 216 triệu thẻ đang lưu hành tại hơn 220 nước trên thế giới Cho tới nay, tham gia vào hiệp hội MasterCard lên đến 29.000 thành viên
+Thẻ tín dụng: (Credit Card):
Là loại thẻ được sử dụng phổ biến nhất, theo đó người chủ thẻ được sử dụng một hạn mức tín dụng tuần hoàn để mua sắm hàng hoá, dịch vụ tại những cơ sở chấp nhận loại thẻ này
Về bản chất đây là một dịch vụ tín dụng thanh toán với hạn mức chi tiêu nhất định do ngân hàng cung cấp cho khách hàng căn cứ vào khả năng tài chính, số tiền ký quỹ hoặc tài sản thế chấp của khách hàng Khoảng thời gian từ khi thẻ được dùng để thanh toán hàng hoá, dịch vụ tới lúc chủ thẻ phải trả tiền cho ngân hàng có độ dài phụ thuộc vào từng loại thẻ tín dụng của các tổ chức khác nhau Nếu chủ thẻ thanh toán toàn bộ số dư nợ vào ngày đến hạn, thời gian này sẽ trở thành thời gian ân hạn và chủ thẻ hoàn toàn được miễn lãi đối với số dư nợ cuối kỳ Tuy vậy, nếu hết thời gian này mà một phần hay toàn bộ số dư nợ cuối kỳ chưa được thanh toán cho ngân hàng thì chủ thẻ sẽ phải chịu một khoản lãi và phí chậm trả Khi toàn bộ số tiền phát sinh được hoàn trả cho ngân hàng, hạn mức tín dụng của chủ thẻ được khôi phục như ban đầu Đây chính là tính chất “ tuần hoàn” revolving của thẻ tín dụng
Quy trình thanh toán thẻ tín dụng:
Bước 1: Chủ thẻ dùng thẻ để thanh toán tiền hàng hoá, dịch vụ hoặc rút tiền mặt
Khi nhận được thẻ từ khách hàng, Ngân hàng đại lý hoặc cơ sở chấp nhận thẻ phải kiểm tra tính hợp lệ của thẻ: Logo, biểu tượng của thẻ tín dụng quốc tế, băng chữ ký, ký hiệu đặc biệt, thời hạn hiệu lực, các yếu tố in nổi trên thẻ…
Sau khi kiểm tra tính hợp lệ của thẻ, cơ sở chấp nhận thẻ hoặc điểm ứng tiền mặt phải hoàn thành hoá đơn, đề ngày giao dịch, số tiền giao dịch, số cấp phép (nếu có), tên và số hiệu cơ sở chấp nhận thẻ, loại hàng hoá, dịch vụ cung ứng
Tiếp đó, cơ sở chấp nhận thẻ sẽ phải yêu cầu khách hàng ký vào hoá đơn (chữ ký trên hoá đơn phải khớp đúng với chữ ký ở băng sau của thẻ)
Hoá đơn thanh toán thẻ gồm ba liên: một liên giao cho khách hàng giữ, hai liên còn lại cơ sở chấp nhận thẻ giữ lại
Trong trường hợp cơ sở chấp nhận thẻ và chủ thẻ thoả thuận huỷ bỏ một phần hay toàn bộ giao dịch đã thực hiện, cơ sở chấp nhận thẻ không được hoàn lại cho chủ thẻ bằng tiền mặt mà phải thực hiện giao dịch hoàn trả Đối với cơ sở chấp nhận thẻ có trang bị máy POS có hệ thống thu nhận tín hiệu điện từ EDC(Electronic Draft Capture - Máy thanh toán tự động) thì có thể điều chỉnh hay huỷ bỏ toàn bộ giao dịch trước khi truyền dữ liệu
Cơ sở chấp nhận thẻ phải liên hệ ngay với Ngân hàng để xin cấp phép khi:
- Số tiền giao dịch bằng hoặc lớn hơn hạn mức thanh toán
- Có nghi ngờ thẻ giả hay chủ thẻ có vấn đề
BẢO VỆ THÔNG TIN CỦA BẠN
Phần mềm độc hại xuất hiện với các hình thức khác nhau: PUPs
Báo cáo của Panda Security lưu ý rằng, trong 160.000 mẫu mới xuất hiện hàng ngày, có hơn một nửa (58,2%) là Trojan Trong khi con số này giảm so với quý trước, ActionFraud lưu ý rằng có sự gia tăng các loại phần mềm độc hại, bao gồm cả PUPs hoặc chương trình có khả năng không mong muốn.
PUPs như một phần của phần mềm bundlers, phần mềm độc hại mà cài đặt các chương trình không mong muốn vào một hệ thống bị nhiễm Kiểu tấn công này đánh lừa người sử dụng cài đặt những chương trình được triển khai trên máy tính của họ, hoặc không thông báo cho cá nhân khiến họ không hiểu đúng được bản chất độc hại trong những ứng dụng được cài đặt.
Backoff: phần mềm độc hại POS
Khi báo cáo nêu lên sự gia tăng lây nhiễm PUP, các tổ chức đã nhận thấy một loạt phần mềm độc hại khác nhau thời gian gần đây, bao gồm cả mẫu trực tiếp tấn công các hệ thống bán lẻ POS Nhà nghiên cứu Sean Gallagher của Ars Technica cho biết các đội ứng cứu khẩn cấp máy tính Mỹ vừa phát hiện ra một mẫu phần mềm độc hại POS nguy hiểm mới được đặt tên là Backoff.
Gallagher lưu ý rằng Backoff có đặc điểm tương tự như các phần mềm độc hại được sử dụng trong các vụ vi phạm dữ liệu lớn mùa đông năm ngoái Cùng với Backoff, trường hợp đó thực hiện tấn công POS để lấy dữ liệu thẻ tín dụng từ bộ nhớ hệ thống Thậm chí đáng lo ngại hơn là thực tế khi thử nghiệm, phần mềm độc hại đã cho thấy tỷ lệ bị phát hiện là 0%, giúp nó gần như vô hình với các phần mềm bảo vệ chống virus.
Bảo vệ thông qua mật khẩu là cách tốt nhất
Thông thường, lây nhiễm loại này là do các cuộc tấn công mật khẩu brute-force hoặc khai thác thông tin xác thực yếu Vì lý do này, các doanh nghiệp nên kiểm tra các kỹ thuật xác thực sử dụng trong công ty của họ để đảm bảo thông tin và mật khẩu được kiểm soát tốt nhất.
Ví dụ, mỗi nhân viên truy cập vào các hệ thống POS hoặc hệ thống nhạy cảm khác trong cơ sở hạ tầng của nhà cung cấp cần phải có một tên người dùng và mật khẩu duy nhất Hơn nữa, mật khẩu nên bao gồm sự kết hợp của các con số, chữ cái và các ký tự đặc biệt nếu có thể Người dùng cũng nên tránh sử dụng thông tin dễ đoán như ngày sinh, tên vợ hoặc chồng hoặc tên vật nuôi, quê hương của họ Thực hiện điều này có thể giúp các tổ chức tăng cường sự bảo vệ chống lại các mẫu như Backoff và những kẻ tìm cách khai thác các thông tin xác thực của họ.
SandroRAT: phần mềm độc hại di động
Ngoài cách lây nhiễm truyền thống, những tác giả các phần mềm độc hại cũng tìm kiếm các mục tiêu tấn công khác Các thiết bị di động ngày càng trở nên hấp dẫn đối với tin tặc, đặc biệt là người sử dụng thường xuyên tận dụng chúng cho mục đích kinh doanh Điều này không chỉ cho phép các ứng dụng truy cập vào dữ liệu cá nhân chủ sở hữu của thiết bị mà còn gồm thông tin nhạy cảm của họ.
Kể từ khi xuất hiện xu hướng phần mềm độc hại trên di động, hệ điều hành Android đã trở thành mục tiêu tấn công lớn nhất Một trong những phần mềm độc hại phổ biến đó là SandroRAT.
SandroRAT là một mẫu phần mềm độc hại trên Android nhắm mục tiêu các nạn nhân bằng cách sử dụng các thiết bị di động của họ để kết nối với các ngân hàng Ba Lan Tội phạm mạng lừa người dùng bằng cách hiển thị một thông báo nói rằng đã phát hiện phần mềm độc hại trên thiết bị và các ngân hàng cung cấp một ứng dụng bảo mật di động miễn phí Tuy nhiên, ứng dụng bảo vệ đó xuất hiện với tên file Kaspersky_Mobile_Security_.apk thực ra là một công cụ điểu khiển và truy cập từ xa (RAT) có thể thực hiện một loạt các lệnh từ xa.
Các chương trình có khả năng ăn cắp thông tin cá nhân nhạy cảm, gọi điện đánh chặn và tin nhắn SMS, ghi âm thanh xung quanh và một số khả năng nguy hiểm khác.
Kiểm tra kĩ ứng dụng tải về trước khi cài đặt
Phần mềm độc hại di động như SandroRAT cho thấy tầm quan trọng của sự hiểu biết về ứng dụng đang được tải về thiết bị trước khi cho phép cài đặt Trước khi tải về bất kỳ chương trình điện thoại di động nào, người sử dụng nên đọc các chi tiết liên quan đến chương trình cũng như đánh giá kết nối để đảm bảo ứng dụng là hợp pháp Hơn nữa, người dùng cũng chỉ nên tải ứng dụng từ các cửa hàng ứng dụng có uy tín.
Một số phương pháp hiệu quả khác
Ngoài ra còn có một số phương án chiến lược bảo mật khác mà người sử dụng và các doanh nghiệp có thể tận dụng để bảo vệ thông tin nhạy cảm Một trong số đó là mã hóa dữ liệu nhằm cung cấp một lớp an toàn nhất cho thông tin Với công nghệ mã hóa tại chỗ, ngay cả khi một hacker xâm nhập vào một hệ thống hoặc cơ sở dữ liệu, chúng đều không thể đọc được dữ liệu mà chỉ người sử dụng được ủy quyền tiếp cận với các khóa giải mã mới có thể đọc được dữ liệu Sophos cho rằng cách này hoạt động tốt nhất khi được cài đặt ở phần nội dung trong quá trình sử dụng và truyền tải.
Ngoài ra, các tổ chức, cá nhân cũng nên sử dụng công nghệ giám sát để giám sát các thiết bị cá nhân và hệ thống mạng Các chương trình này có thể cảnh báo tới người quản trị mạng và chủ sở hữu thiết bị khi có bất kỳ hoạt động đáng ngờ nào Với loại hình bảo mật này, các doanh nghiệp và người sử dụng có thể nhanh chóng phản ứng với bất kỳ sự xâm nhập độc hại nào và cũng giúp giảm thiểu thiệt hại.
2 Những giải pháp kỹ thuật bảo vệ kênh truyền thông trong thương mại điện tử
3 2.1 Bảo vệ việc truyền thông trên Internet: mã hóa thông tin
Mã hóa (Encryption) là quá trình chuyển đổi dữ liệu dạng văn bản (plain-text) thành dữ liệu mã hóa (cipher text) Mục đích của mã hóa này là bảo đảm an toàn thông tin trong lưu trữ và truyền tải Mã hóa cung cấp 4 trong 6 yếu tố bảo mật của thương mại điện tử: toàn vẹn (Message integrity) là khả năng đảm bảo an toàn thông tin trong quá trình truyền-nhận, chống thoái thác (Nonrepudiation) là khả năng đảm bảo một thỏa thuận hay một hành động trên internet không bị các bên tham gia từ chối, xác thực (Authentication) nhằm chứng thực rằng một người hay một hành động là đáng tin cậy, tính bí mật (Confidentiality) đảm bảo dữ liệu chỉ hiển thị với người được phép xem.
Mã hóa khóa đối xứng: Cả người gửi và người nhận dùng chung một khóa để mã hóa và giải mã thông điệp Đòi hỏi phải có một bộ khóa riêng cho mỗi giao dịch, ví dụ: nhóm 4 người cần 6 khóa Mã hóa khóa đối xứng có hạn chế như sau khóa phải được bảo mật trong khi phân phối và trong khi dùng Data Encryption Standard (DES): thuật toán mã hóa đối xứng được sử dụng phổ biến nhất hiện nay, sử dụng khóa có chiều dài 56 bits, các thuật toán khác (3-DES, AES, ) sử dụng khóa dài 128 đến 2048 bits.
Mã hóa khóa công khai: Giải quyết được vấn đề phân phối khóa bí mật của mã hóa đối xứng Sử dụng hai khóa có liên quan tới nhau: khóa công khai (public key): được phân phối rộng rãi, khóa riêng (private key): được giữ bí mật Một khóa có thể giải mã thông điệp được mã hóa bởi khóa kia Trong thực tế, thường dùng public key để mã hóa, private key để giải mã.
Mã hóa khóa công khai gồm chữ ký số và chuỗi băm (Hash digests): Áp dụng thuật toán băm trong mã hóa sẽ tạo thành chuỗi băm mà người nhận có thể dùng để kiểm tra tính toàn vẹn của dữ liệu Mã hóa lần hai với khóa riêng của người gửi tạo thành chữ ký bảo đảm tính xác thực và tính chống thoái thác.
H.3 Mô hình mã khóa công khai
2.2 Bảo mật các kênh truyền dữ liệu: SSL, S-HTTP, VNP
2.2.1 Secure Socket Layer (SSL): giao thức nhằm thiết lập các phiên làm việc an toàn cho việc trao đổi dữ liệu trong mạng Internet.
SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu,số bí mật cá nhân (PIN) trên Internet.Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hành trên mạng Internet Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn thiện Tương tự như SSL, một giao thức khác có tên là PCT - Private Communication Technology được đề xướng bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các mạng máy tính chạy trên hệ điều hành Windows NT Ngoài ra, một chuẩn của IETF (Internet Engineering TaskForce) có tên là TLS (Transport Layer Security) dựa trên SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF Internet Draft được tích hợp và hỗ trợ trong sản phẩm của Netscape.
H 4 Bảo mật một phiên làm việc với SSL Giao thức SSL làm việc như sau: Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA) Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session ID, session key) duy nhất cho lần làm việc đó Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (là CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin.
Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm (phiên bản 3.0):
3.1 DES - chuẩn mã hoá dữ liệu (ra đời năm 1977), phát minh và sử dụng của chính phủ Mỹ
3.2 DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh và sử dụng của chính phủ Mỹ
3.3 KEA - thuật toán trao đổi khoá), phát minh và sử dụng của chính phủ Mỹ
3.4 MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh bởi Rivest; 3.5 RC2, RC4 - mã hoá Rivest, phát triển bởi công ty RSA Data Security;
3.6 RSA - thuật toán khoá công khai, cho mã hoá va xác thực, phát triển bởi Rivest, Shamir và Adleman;
3.7 RSA key exchange - thuật toán trao đổi khoá cho SSL dựa trên thuật toán RSA; 3.8 SHA-1 - thuật toán hàm băm an toàn, phát triển và sử dụng bởi chính phủ Mỹ
3.9 SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện trong phần cứng Fortezza, sử dụng bởi chính phủ Mỹ
3.10 Triple-DES - mã hoá DES ba lần.
Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảo mật bên trên hiện nay là phổ biến rộng rãi và công khai, trừ các giải pháp thực hiện trong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng, phần dẻo, phần mềm).
2.2.2 S-HTTP: cung cấp giao thức truyền nhận an toàn cho các tài liệu trong mạng
Internet (thiết kế dùng chung với HTTP).
2.2.2.1 Điểm chung giữa giao thức HTTP và S-HTTP
HTTP và S-HTTP đều là giao thức để truyền dữ liệu từ Web server đến trình duyệt web của người truy cập và ngược lại Tùy vào mục đích sử dụng trang web mà chủ website quyết định sử dụng HTTP hay S-HTTP.
2.2.2.2 Khác nhau giữa HTTP và S-HTTP a Giao thức HTTP
HTTP là chữ viết tắt của HyperText Transfer Protocol (giao thức truyền tải siêu văn bản) Đây là một giao thức ứng dụng trong bộ các giao thức TCP/IP (gồm một nhóm các giao thức nền tảng cho internet) Khi bạn gõ vào 1 địa chỉ vào trình duyệt Web, lúc này trình duyệt Web sẽ gửi 1 yêu cầu qua giao thức HTTP đến Web server Web server và sẽ nhận yêu cầu này và trả lại kết quả cho trình duyệt Web Hiện tại giao thức HTTP được sử dụng rất rộng rãi vì tốc độ truyền tải của giao thức này nhanh nhưng nó có 1 nhược điểm lớn là độ an toàn không cao Trong quá trình kết nối và trao đổi thông tin, trình duyệt của bạn sẽ mặc nhiên thừa nhận địa chỉ IP đó đến từ Server của chính Website mà bạn muốn truy nhập mà không hề có biện pháp xác thực nào Các thông tin được chuyển đi qua giao thức HTTP (bao gồm địa chỉ
Bảo mật các kênh truyền dữ liệu: SSL, S-HTTP, VNP
2.2.1 Secure Socket Layer (SSL): giao thức nhằm thiết lập các phiên làm việc an toàn cho việc trao đổi dữ liệu trong mạng Internet.
SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu,số bí mật cá nhân (PIN) trên Internet.Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hành trên mạng Internet Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn thiện Tương tự như SSL, một giao thức khác có tên là PCT - Private Communication Technology được đề xướng bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các mạng máy tính chạy trên hệ điều hành Windows NT Ngoài ra, một chuẩn của IETF (Internet Engineering TaskForce) có tên là TLS (Transport Layer Security) dựa trên SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF Internet Draft được tích hợp và hỗ trợ trong sản phẩm của Netscape.
H 4 Bảo mật một phiên làm việc với SSL Giao thức SSL làm việc như sau: Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA) Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session ID, session key) duy nhất cho lần làm việc đó Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (là CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín Các tổ chức này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin.
Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm (phiên bản 3.0):
3.1 DES - chuẩn mã hoá dữ liệu (ra đời năm 1977), phát minh và sử dụng của chính phủ Mỹ
3.2 DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh và sử dụng của chính phủ Mỹ
3.3 KEA - thuật toán trao đổi khoá), phát minh và sử dụng của chính phủ Mỹ
3.4 MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh bởi Rivest; 3.5 RC2, RC4 - mã hoá Rivest, phát triển bởi công ty RSA Data Security;
3.6 RSA - thuật toán khoá công khai, cho mã hoá va xác thực, phát triển bởi Rivest, Shamir và Adleman;
3.7 RSA key exchange - thuật toán trao đổi khoá cho SSL dựa trên thuật toán RSA; 3.8 SHA-1 - thuật toán hàm băm an toàn, phát triển và sử dụng bởi chính phủ Mỹ
3.9 SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện trong phần cứng Fortezza, sử dụng bởi chính phủ Mỹ
3.10 Triple-DES - mã hoá DES ba lần.
Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảo mật bên trên hiện nay là phổ biến rộng rãi và công khai, trừ các giải pháp thực hiện trong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng, phần dẻo, phần mềm).
2.2.2 S-HTTP: cung cấp giao thức truyền nhận an toàn cho các tài liệu trong mạng
Internet (thiết kế dùng chung với HTTP).
2.2.2.1 Điểm chung giữa giao thức HTTP và S-HTTP
HTTP và S-HTTP đều là giao thức để truyền dữ liệu từ Web server đến trình duyệt web của người truy cập và ngược lại Tùy vào mục đích sử dụng trang web mà chủ website quyết định sử dụng HTTP hay S-HTTP.
2.2.2.2 Khác nhau giữa HTTP và S-HTTP a Giao thức HTTP
HTTP là chữ viết tắt của HyperText Transfer Protocol (giao thức truyền tải siêu văn bản) Đây là một giao thức ứng dụng trong bộ các giao thức TCP/IP (gồm một nhóm các giao thức nền tảng cho internet) Khi bạn gõ vào 1 địa chỉ vào trình duyệt Web, lúc này trình duyệt Web sẽ gửi 1 yêu cầu qua giao thức HTTP đến Web server Web server và sẽ nhận yêu cầu này và trả lại kết quả cho trình duyệt Web Hiện tại giao thức HTTP được sử dụng rất rộng rãi vì tốc độ truyền tải của giao thức này nhanh nhưng nó có 1 nhược điểm lớn là độ an toàn không cao Trong quá trình kết nối và trao đổi thông tin, trình duyệt của bạn sẽ mặc nhiên thừa nhận địa chỉ IP đó đến từ Server của chính Website mà bạn muốn truy nhập mà không hề có biện pháp xác thực nào Các thông tin được chuyển đi qua giao thức HTTP (bao gồm địa chỉ
IP của bạn, các thông tin mà bạn nhập liệu trên Website…) cũng không hề được mã hóa và bảo mật Điều này dẫn đến những nguy cơ về việc phiên kết nối của bạn tới máy chủ của Website có thể bị “nghe lén”, hoặc việc truy nhập của bạn bị chuyển hướng đến một trang Web giả danh với thiết kế giống hệt Website gốc mà người sử dụng không hề hay biết. b Giao thức S-HTTP
S-HTTP là tên viết tắt của “Hypertext Transfer Protocol Secure” Đây là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS S-HTTP giúp cho việc trao đổi thông tin một cách bảo mật trên nền Internet.
Nếu bạn thường xuyên sử dụng các dịch vụ ngân hàng trực tuyến, bạn sẽ thấy khi truy nhập vào địa chỉ tên miền của ngân hàng, giao thức mà nó sử dụng sẽ là S-HTTP có màu xanh thay vì HTTP như ở những trang web thông thường Điều này là bởi, phiên bản nâng cấp S- HTTP của HTTP được sử dụng nhằm tăng cường khả năng bảo mật thông tin sau mỗi lần truy nhập.
Khác với HTTP, S-HTTP sẽ hỗ trợ việc xác thực tính chính danh của các Website mà người dùng truy nhập thông qua việc kiểm tra xác thực bảo mật (security certificate) Các xác thực bảo mật này được cung cấp và xác minh bởi các CA (Certificate Authority) có uy tín Với các xác thực từ CA, người sử dụng có thể biết rằng mình đã truy nhập đúng vào Website cần truy nhập chứ không phải một Website giả danh bất kỳ nào khác.
Bên cạnh đó, các phiên kết nối giữa trình duyệt của bạn đến Server đều sẽ được mã hóa. Điều này sẽ giúp che giấu địa chỉ IP của bạn và những thông tin nhập liệu về tài khoản của bạn trên Website khỏi sự nhòm ngó của các hacker Tuy nhiên giao thức này có 1 nhược điểm là nó khiến website chậm hơn nhưng không nhiều, nếu bạn sử dụng hosting tốt thì đây không phải là điều đáng lo Dù sao thì bảo mật vẫn quan trọng hơn tốc độ phải không nào? Để kiểm tra một Website có sử dụng giao thức S-HTTP hay không cũng vô cùng đơn giản Các bạn chỉ cần để ý đến phần link đường dẫn khi truy nhập vào Website mở đầu bằng http:// hay S-HTTP:// Bên cạnh đó, link đường dẫn của các Website có sử dụng giao thức S-HTTP thường đi kèm với một biểu tượng nhỏ hình ổ khóa Khi đưa con trỏ chuột hướng vào biểu tượng này, trên đó sẽ hiện ra tên của đơn vị xác thực (CA) như đã nói ở trên.Đây là dấu hiệu cho thấy Website mà bạn đang truy nhập không phải là giả mạo ChínhGoogle cũng đã phát động chương trình S-HTTP everywhere, và đánh giá web sử dụng giao thức S-HTTP là 1 tín hiệu để Google xếp hạng website trên công cụ tìm kiếm Việc này cũng khiến rất nhiều trang Web thi nhau chuyển qua dùng giao thức S-HTTP SEO website cho tốt hơn Và từ năm 2017 Website sẽ bị Google cảnh bảo nếu không sử dụng giao thức S-HTTP Để có thể sử dụng giao thức S-HTTP thì phải mua chứng chỉ SSL mới sử dụng được.Còn không thì sẽ gặp tình trạng hiển thị là kết nối không riêng tư trên trình duyệt Chrome.
Ngoài ra nếu bạn không muốn bỏ chi ra mua SSL thì có thể dùng chứng chỉ SSL miễn phí do Let’s Encrypt cung cấp.
2.2.3 Mạng riêng ảo (Virtural Private Networks-VPNs): cho phép một máy tính trong Internet có thể truy cập vào mạng nội bộ một cách an toàn.
Công nghệ VPN chỉ rõ 3 yêu cầu cơ bản:
1 Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi.
2 Kết nối các chi nhánh văn phòng với nhau.
3 Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức.
Các Mô hình VPN bao gồm:
2.2.3.1 Truy Cập từ xa (remote-Access)
Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau.
Bảo vệ mạng nội bộ: Firewall và Proxy
Tường lửa (Firewall): Phần cứng hay phần mềm, lọc những thông tin ra vào mạng dựa theo chính sách bảo mật (Security policy) Bao gồm: Packet filters và Application gateways Proxy server: là một ứng dụng ở server quản lý việc truyền thông giữa các máy trong mạng với Internet.
H.6 Firewall và Proxy Servers Nguyên lý Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu ngời quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tơng ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngòai quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác
Một cổng ứng dụng thờng được coi nh là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall Chỉ những dịch vụ mà ngời quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối.Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để.
Bảo vệ server và client: IDS, Anti-virues
Kiểm soát hoạt động của hệ thống: cơ chế xác thực và kiểm soát truy cập Phần mềm diệt virus: phương pháp đơn giản và tiết kiệm nhất để bảo vệ an toàn cho các máy tính trong mạng.