an ninh trong thương mại điện tử chủ đề bảo mật

Phân loại Rủi ro trong TMĐT được phân chia thành 4 nhóm cơ bản sau: - Nhóm rủi ro về dữ liệu: Các thông tin của khách hàng, đối tác hay đơn đặt hàng,…bị mất do sự bất cẩn của người quản

AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ:

BẢO MẬT

I Quản lý rủi ro trong thương mại điện tử:

Việt Nam là nước đi sau trong ứng dụng Thương mại điện tử (TMĐT)

và mức độ phát triển của lĩnh vực này còn hạn chế Tuy nhiên, Việt Nam cũng không tránh khỏi được các rủi ro mà các nước phát triển về TMĐT đã gặp phải Số vụ tấn công các trang web với mục đích xấu hay cảnh báo cũng như

số vụ ăn trộm thông tin tài khoản thanh toán của cá nhân trên mạng ngày càng gia tăng Chính vì thế, vấn đề an toàn và bảo mật thông tin là rất quan trọng bởi vì phần lớn các giao dịch thương mại hiện nay đều thông qua Internet

1 Định nghĩa:

Rủi ro trong TMĐT là những tại nạn, sự cố, tai hoạ xảy ra một cách ngẫu nhiên, khách quan ngoài ý muốn của con người, gây ra tổn thất cho các bên tham gia quá trình giao dịch trong TMĐT

2 Phân loại

Rủi ro trong TMĐT được phân chia thành 4 nhóm cơ bản sau:

- Nhóm rủi ro về dữ liệu: Các thông tin của khách hàng, đối tác hay đơn

đặt hàng,…bị mất do sự bất cẩn của người quản lý; các thông tin cần bảo mật bị rò rỉ ra bên ngoài; ổ cứng bị đánh cắp,…

- Nhóm rủi ro về công nghệ: virus, hacker, trộm cắp trên mạng, tấn công

từ chối dịch vụ,…

- Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức: sơ xuất trong

việc chứng thực các thông tin về người mua và đối tác hoặc quy trình thiếu chặt chẽ của doanh nghiệp,…

- Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp: sự thiếu chặt

chẽ của luật pháp trong TMĐT hay chưa có những luật chính thức và

cụ thể để bảo vệ thông tin cũng như quyền lợi của người tham gia Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi chúng đồng thời cùng xảy đến và không thể xác định tách bạch rõ ràng được Nếu các rủi ro này đồng thời xảy ra thì thiệt hại đối với tổ chức có thể rất lớn

cả về uy tín, thời gian và chi phí đầu tư để khôi phục hoạt động trở lại bình thường

3 Ảnh hưởng của rủi ro trong TMĐT

Những sơ suất trong kỹ thuật của nhân viên như sự nhầm lẫn khi truyền

dữ liệu, hay một động tác nhấp "chuột" vô tình đều có thể làm cho toàn bộ

dữ liệu của một thương vụ đang giao dịch bị xoá bỏ, hoặc những chương trình

và những tệp dữ liệu đang lưu trữ mà doanh nghiệp dầy công thiết kế và xây dựng bị mất, gây thiệt hại nặng nề cho các doanh nghiệp về mặt tài chính

Những yếu tố khách quan như máy hỏng hay thời tiết xấu, nghẽn máy

có thể làm tê liệt hoạt động của doanh nghiệp, hoặc tệ hại hơn là virus xâm nhập phá huỷ, đảo lộn toàn bộ cơ sở dữ liệu về khách hàng, đối tác, thị trường được lưu giữ hay ăn cắp những thông tin tuyệt mật có thể làm mất đi

cơ hội kinh doanh hoặc làm suy giảm nghiêm trọng uy tín của doanh nghiệp

II Bảo vệ thông tin trong TMĐT

1 Xây dựng kế hoạch an ninh cho TMĐT

Gồm 4 giai đoạn:

- Giai đoạn 1: Đánh giá Xác định tài sản mà doanh nghiệp có, kể cả tài

sản hữu hình và vô hình Giá trị tài sản phải được định rõ về mặt tài chính và phi tài chính và định rõ tầm quan trọng của từng tài sản đối với doanh nghiệp và từ đó đánh giá khả năng bị tấn công của từng tài sản Việc đánh giá bao gồm các bước:

+ Xác định các mối đe dọa + Xác định các hình thức thiệt hại

- Giai đoạn 2: Lên kế hoạch Xác định rõ ràng đe dọa nào cần phải

chống đỡ và giải pháp tương ứng cần được tiến hành, thời gian cụ thể

và người tương ứng để triển khai Đánh giá và lựa chọn giải pháp phù hợp

- Giai đoạn 3: Thực hiện Lựa chọn công nghệ đặc thù để chống đỡ các

mối nguy hại đã định hướng ở phần lập kế hoạch Ngoài ra, các phần mềm an ninh cũng là lựa chọn để ngăn chặn các nguy cơ

- Giai đoạn 4: Giám sát Đánh giá xem biện pháp nào thành công cần

phải phát huy tối đa, biện pháp nào không phù hợp cần phải thay đổi hoặc những tài sản nào của công ty cần phải tiếp tục bảo đảm an ninh

2 Một số biện pháp cơ bản đảm bảo an toàn cho giao dịch TMĐT.

Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là

sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có

sử dụng các thiết bị kĩ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kí số và chứng chỉ số

- Kĩ thuật mã hóa thông tin

- Chữ kí số

- Chứng thư số hóa

3 Một số biện pháp cơ bản nhằm đảm bảo an toàn cho hệ thống TMĐT

 Tường lửa

- Định nghĩa: Bức tường lửa là một phần mền hoặc phần cứng có mục

tiêu là bảo vệ mạng LAN khỏi những người xâm nhập từ bên ngoài Nó cho phép những người sử dụng mạng máy tính trong một tổ chức có thể truy cập tài nguyên của mạng khác nhưng đồng thời ngăn cấm người sử dụng trái phép từ bên ngoài truy cập vào mạng máy tính của tổ chức

- Đặc điểm:

+ Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức ra ngoài và ngược lại đều phải đi qua tường lửa

+ Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an toàn mạng máy tính của tổ chức mới được phép đi qua

+ Không được phép thâm nhập vào chính hệ thống này

- Phân loại:

+ Tường lửa lọc gói

+ Cổng ứng dụng

+ Cổng mức mạch

- Nguyên lý hoạt động: Tường lửa cho phép những người sử dụng mạng

máy tính bên trong tường lửa được bảo vệ nhưng vẫn có khả năng truy cập toàn bộ các dịch vụ bên ngoài mạng, đồng thời ngăn chặn và chỉ cho phép một số các truy cập từ bên ngoài vào mạng trên cơ sở đã kiểm tra tên, mật khẩu của người sử dụng… Như vậy, tường lửa đóng vai trò thiết lập một vách ngăn giữa trong và ngoài mạng máy tính của tổ chức

Tường lửa bảo vệ mạng máy tính tránh những tổn thương do những tin tặc, những người tò mò từ bên ngoài tấn công

- Các loại tường lửa phổ biến hiện nay gồm: Windows XP Personal

firewall, Microsoft ISA server, Checkpoint

 Phần mềm diệt virus

Đối với virus (hay chính là các đoạn foreign code có hại), theo Cohen

trong các môi trường không bảo mật chúng ta không thể ngăn ngừa được việc lây nhiễm Vì vậy, chúng ta chỉ có thể hy vọng phát hiện được chúng và giới hạn sự lây nhiễm xa hơn Giải pháp hiệu quả nhất mà Cohen đưa ra hiện nay

là Integrity Shell Giải pháp này sử dụng công nghệ mã hoá để phát hiện ra sự thay đổi của thông tin Nhờ đó phát hiện ra virus và ngăn ngừa các lây lan tiếp theo

Một số phần mềm diệt virus phổ biến:

- VIPRE Antivirus

- Trend Micro Titanium Antivirus +

- Avast! Pro Antivirus

- AVG Anti-Virus

- BullGuard Antivirus

Theo bảng thống kê trên ta thấy, phần mềm diệt virus tốt nhất năm 2013 là Antivirus Plus

 Chữ kí số, chứng thực số

- Chữ kí số là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video,

mã nhận thực, hàm băm và các thiết bị bút điện tử ) nhằm mục đích xác định người chủ của dữ liệu đó

- Chữ kí số là một thông điệp xác thực được trao đổi giữa 2 bên và được bảo vệ bởi một bên thứ 3 Tuy nhiên, nó không bảo vệ 2 bên với nhau Toàn bộ quá trình gồm 3 thuật toán:

- Thuật toán tạo khóa

- Thuật toán tạo chữ kí số

- Thuật toán kiểm tra chữ kí số

Kết quả điều tra năm 2012 cho thấy, 83% doanh nghiệp sử dụng phần mềm diệt virus, 57% doanh nghiệp sử dụng tường lửa và 23% sử dụng các biện pháp phần cứng để đảm bảo an toàn thông tin Tỷ lệ doanh nghiệp ứng

dụng chữ ký số tương đối ổn định so với năm 2011 (23% năm 2012 so với 22% năm 2011)

Ngoài ra còn có một số biện pháp cơ bản khác nhằm đảm bảo an toàn cho TMĐT như tạo mạng riêng ảo (VPN), sử dụng password đủ mạnh, giải pháp an ninh nguồn nhân lực, giải pháp về trang thiết bị an ninh mạng…

4 Tình huống thực tế: Khách hàng của eBay bị lừa đảo qua mạng

Vấn đề:

Ngày 17/11/2003, một số khách hàng của eBay được thông báo bằng Email rằng tài khoản của họ trên eBay đang được cập nhật và tăng cường mức

độ an toàn Thông báo kèm theo một đường dẫn (link) đến một trang web của eBay tại đó khách hàng có thể đăng kí để chấp nhận dịch vụ này Tất cả thông tin khách hàng cần cung cấp chính là số thẻ tín dụng, số bảo hiểm xã hội, ngày sinh, tên bí mật, mã pin ATM Nhưng thực tế, eBay chưa bao giờ gởi cho khách hàng thông điệp như thế và thậm chí đường link đó cũng không phải do eBay quản lý Kẻ lừa đảo trên mạng đã khai thác được các thông tin nhạy cảm của các khách hàng về thẻ tín dụng, tài khoản ngân hàng và mật khẩu,…

Giải pháp:

Tuy đây không phải là hình thức lửa đảo mới mẻ nhưng vẫn có rất nhiều người bị dính bẫy Chính vì thế mà Ủy ban Thương mại Liên bang (FTC – Federal Trade Commisson) khuyến cáo:

- Tránh trả lời các thư điện tử hay thông điệp yêu cầu cung cấp thông tin

cá nhân

- Tránh gởi các thông tin cá nhân hay tài chính dưới bất kì hình thức nào

- Kiểm tra kĩ các thông tin tài khoản và chi tiết mua sắm bằng thẻ tín dụng hàng tháng

- Sử dụng và cập nhật các phần mềm diệt virus thường xuyên

- Cẩn trọng khi mở bất kì thông điệp dữ liệu gắn kèm theo thư điện tử

- Gởi các thông báo đến FTC về các thông điệp bị nghi ngờ

III Mã hóa thông tin.

1 Tổng quan về mã hóa thông tin.

1.1 Định nghĩa: Mã hóa thông tin là quá trình chuyển văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã để bất cứ ai ngoài người gửi

và người nhận đều không thể đọc được

Mã hóa được chia thành 2 giai đoạn chính:

- Mã hóa: chuyển thông tin nguyên gốc ban đầu thành các dạng thông tin

được mã hóa (gọi là bản mã)

- Giải mã: Thực hiện các biến đổi mã để thu lại thông tin nguyên gốc

như trước khi mã hóa

Để mã hóa và giải mã cần một giá trị đặc biệt gọi là khóa

Giải mã văn bản khi không biết khóa gọi là phá mã

1.2 Mục đích và lợi ích của mã hóa

- Mục đích: đảm bảo an ninh thông tin khi truyền phát

- Lợi ích:

+ Mã hóa có lợi cho việc bảo vệ và xác nhận

+ Mã hóa cung cấp các công cụ để nhận dạng người gởi, xác nhận nội dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thư tín và đảm bảo bí mật

1.3 Tính chất của mã hóa

- Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một cách

an toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn có được nội dung của dữ liệu gốc ban đầu Chỉ những người được phép mới có khả năng đọc được nội dung thông tin ban đầu

- Authentication (Tính xác thực): Giúp cho người nhận dữ liệu xác định

được chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu Kẻ giả mạo không thể có khả năng để giả dạng một người khác hay nói cách khác không thể mạo danh để gửi dữ liệu Người nhận có khả năng kiểm tra nguồn gốc thông tin mà họ nhận được

- Integrity (Tính toàn vẹn): Giúp cho người nhận dữ liệu kiểm tra được

rằng dữ liệu không bị thay đổi trong quá trình truyền đi Kẻ giả mạo không thể có khả năng thay thế dữ liệu ban đầu bằng dữ liệu giả mạo

- Non-repudation (Tính không thể chối bỏ): Người gửi hay người nhận

không thể chối bỏ sau khi đã gửi hoặc nhận thông tin

2 Phân loại mã hóa thông tin.

- Mã hóa cổ điển

- Mã hóa đối xứng

- Mã hóa bất đối xứng

2.1 Mã hóa cổ điển Xuất hiện từ rất lâu trong lịch sử, thuật toán không dùng khóa, đơn giản

và dễ hiểu

Mã hóa cổ điển là phương pháp mà từng kí tự (hay từng nhóm kí tự) trong Plaintext được thay thế bằng một kí tự (hay một nhóm kí tự) khác tạo ra Ciphertext Bên nhận chỉ việc đảo ngược lại trình tự thay thế trên Ciphertext

để có được Plaintext ban đầu

Trong mã hoá cổ điển có 2 phương pháp nổi bật đó là:

- Mã hoá thay thế (Substitution Cipher): Là phương pháp mà từng kí tự

(hay từng nhóm kí tự) được thay thế một cách có quy luật trong toàn bộ

thông điệp bản tin bằng một kí tự (hay một nhóm kí tự) khác

VD: I’m student  He’s handsome

- Mã hoá hoán vị (Transposition Cipher) hay còn gọi là mã hóa dịch

chuyển: các kí tự vẫn được giữ nguyên không đổi nhưng trật tự của

chúng trong bản tin thì lại được thay đổi theo một quy luật nào đó

VD: I’m student  tneduts m’i

2.2 Mã hóa đối xứng (mã khóa bí mật)

Mã hóa đối xứng (còn gọi là mã hóa khóa bí mật) là phương pháp mã

hóa chỉ sử dụng 1 chìa khóa cho cả quá trình mã hóa và giải mã

Người gửi mã khóa 1 thông điệp sau đó gởi thông điệp đã mã hóa và

khóa bí mật đối xứng cho người nhận

Mã hóa khóa đối xứng là phương pháp mã hóa duy nhất trước những

năm 70

 Quá trình truyền tin sử dụng mã khóa đối xứng.

Mật mã gửi (= Mật mã nhận) (Mật mã nhận)

nhận

Thông

điệp ban

đầu

Thông điệp đã đổi mã

điệp đã đổi mã

Thông điệp ban đầu

Diễn giải cho sơ đồ bên trên: Trong hệ thống mã hoá đối xứng, trước

khi truyền dữ liệu, 2 bên gửi và nhận phải thoả thuận về khoá dùng chung cho quá trình mã hoá và giải mã Sau đó, bên gửi sẽ mã hoá bản rõ (Plaintext) bằng cách sử dụng khoá bí mật này và gửi thông điệp đã mã hoá cho bên nhận Bên nhận sau khi nhận được thông điệp đã mã hoá sẽ sử dụng chính khoá bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext)

Trong quá trình này, thì thành phần quan trọng nhất cần phải được giữ

bí mật chính là khoá

Mã hoá đối xứng có thể được phân thành 02 loại:

- Loại thứ nhất tác động trên bản rõ theo từng nhóm bits (mật mã khối – Block Cipher) Theo đó, từng khối dữ liệu trong văn bản ban đầu

được thay thế bằng một khối dữ liệu khác có cùng độ dài Đối với các thuật toán ngày nay thì kích thước chung của một Block là 64 bits

- Loại thứ hai tác động lên bản rõ theo từng bit một (mật mã dòng – Stream Cipher) Theo đó, dữ liệu của văn bản được mã hoá từng bit

một Các thuật toán mã hoá dòng này có tốc độ nhanh hơn các thuật toán mã hoá khối và nó thường được áp dụng khi lượng dữ liệu cần mã hoá chưa biết trước

Một trong những thuật toán được sử dụng phổ biến trong mã hóa đối xứng là DES do Cơ quan an ninh liên bang Mỹ (NSA) và IBM phát triển vào thập niên 1950 Chiều dài của DES là 56 bit

 Ưu điểm:

- Đáp ứng yêu cầu về tính xác thực: xác định bên đối tác vì đã trao đổi chìa khóa với họ, chỉ có bên đối tác có thể gửi thông điệp vì chỉ có họ biết chìa khóa

- Đáp ứng yêu cầu về tính toàn vẹn: không ai có thể thay đổi nội dung thông điệp nếu không biết chìa khóa

- Đáp ứng yêu cầu về tính không thể chối bỏ: bằng chứng đồng ý với nội dung thông điệp đã kí

- Đáp ứng tính riêng tư: không ai có thể đọc nội dung thông điệp nếu không biết chìa khóa

 Nhược điểm:

- Khó trao đổi khóa giữa người gởi và người nhận

- Không kiểm tra được gian lận ở một trong hai bên

- Chỉ phù hợp với việc trao đổi thông tin diễn ra ở 2 người, không phù hợp với hệ thống lớn

- Tính toàn vẹn và bí mật của thông điệp có thể bị vi phạm nếu mật mã bị

lộ trong quá trình chuyển giữa người gửi và người nhận

- Số lượng khóa lớn do phải tạo ra các mật mã riêng cho từng người nhận

 Công thức tính mã hóa khóa bí mật:

K = n(n – 1)/2 Với K: số khóa trong mã hóa khóa bí mật

n: số người liên lạc

2.4 Mã hóa bất đối xứng (mã hóa công cộng)

Là phương pháp sử dụng 2 mã khóa trong quá trình mã hóa Một khóa dùng để mã hóa và một khóa dùng để giải mã 2 khóa này có quan hệ về mặt thuật toán sao cho dữ liệu được mã hóa bằng khóa này sẽ được giải mã bằng khóa kia

 Quá trình truyền tin sử dụng mã khóa công khai:

Mỗi người sử dụng có một cặp gồm 2 khóa, một khóa công khai và một khóa bí mật

- Khóa công khai: được thông báo rộng rãi cho những người sử dụng khác trong hệ thống và dùng để mã hóa thông điệp hoặc kiểm tra chữ kí

- Khóa bí mật: chỉ nơi giữ được biết và dùng để giải mã thông điệp hoặc tạo chữ kí

Diễn giải sơ đồ trên (quy trình):

Để gởi 1 thông điệp an ninh, người gởi sử dụng mã khóa công cộng của người nhận để mã hóa thông điệp Người nhận khi nhận được thông điệp đã

mã hóa sẽ sử dụng mã khóa cá nhân của mình để giải mã thông điệp

Thuật toán sử dụng phổ biến trong mã hóa bất đối xứng là RSA, được

đề xuất bởi Ron Rivest, Adi Shamir và Len Adlenman (MIT) vào năm 1977

Ngày nay, công nghệ bảo mật và mã hóa của họ được sử dụng hầu hết

ở các công ty lớn trên TG và đặc biệt là ở các hãng sử dụng TMĐT

 Ưu điểm:

Internet Thông

điệp ban

đầu

Thông điệp ban đầu

Thông điệp đã đổi mã

Thông điệp đã đổi mã