1. Trang chủ
  2. » Luận Văn - Báo Cáo

Những khía cạnh chung nhất của vấn đề an ninh trong thương mại điện tử

60 3K 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 60
Dung lượng 735 KB

Nội dung

Thương mại điện tử gồm nhiều hành vi trong đó hoạt động mua bán hàng hóa và dịch vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán cổ

Trang 1

MỞ ĐẦU

Cuộc cách mạng số hóa đã một lần nữa đưa xã hội loài người lên một tầmcao mới, với sự thay đổi về mọi mặt kinh tế - chính trị - văn hóa Cuốn theo tràolưu của thời đại, hoạt động thương mại cũng biến đổi một cách mạnh mẽ Giờđây, bên cạnh hình thức thương mại truyền thống đã xuất hiện thêm một hìnhthức thương mại mới, thương mại điện tử Thuật ngữ thương mại điện tử đangtrở thành từ xuất hiện nhiều nhất trên các diễn đàn kinh tế Giới kinh doanh đangthay đổi một phần quan điểm của mình, từ bỏ kiểu kinh doanh truyền thống đểbước vào một kiểu kinh doanh hoàn toàn mới, thương mại điện tử

Tại Việt Nam, thương mại điện tử đang trên đà phát triển mạnh mẽ.Những tập đoàn lớn và cả nhưng công ty nhỏ đều đã bắt đầu tìm thấy tác dụngcủa mạng Internet đối với khả năng phát triển và tồn tại của công ty mình Đây

cơ hội tốt nhất để các doanh nghiệp Việt Nam có thể vươn ra thị trường thế giới

Thương mại điện tử dường như đang trở thành hướng phát triển tất yếucủa nền thương mại thế giới Tuy nhiên, hãy nhớ rằng mảnh đất càng màu mỡthì càng nguy hiểm Luôn luôn tiềm tàng những nguy cơ trên thị trường ảo này.Nguy cơ càng cao khi Việt Nam mới chỉ bước đầu tiếp xúc với thương mại điện

tử Bỡ ngỡ, sai lầm là khó có thể tránh khỏi, nhưng bạn có thể giảm tối đa thiệthại bằng cách tự trang bị cho mình những kiến thức quý báu về thương mại điện

tử

Với sự giúp đỡ của thầy Bùi Thế Ngũ, em xin được làm đề án về mộttrong những vấn đề sống còn trong thương mại điện tử, đó là an toàn và bảomật Trong thương mại truyền thống mọi việc diễn ra đơn giản, người mua trảtiền, người bán giao hàng Nhưng trong thương mại điện tử để thực hiện đượcthao tác giao nhận đó là cả một vấn đề Nếu không có một cơ chế an toàn và bảomật, người mua sẽ không biết có phải mình đang giao dịch với nhà cung cấp thậtkhông, còn người bán sẽ không biết có phải mình đang bán hàng cho chủ nhânthật sự của thẻ tín dụng không Và khi người mua mất lòng tin và người bánkhông còn uy tín, thương mại điện tử sẽ sụp đổ hoàn toàn Đó là lý do tại sao antoàn và bảo mật trong thương mại điện tử lại quan trọng đến vậy Đề án này gồm

Trang 2

CHƯƠNG I TỔNG QUAN VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT

TRONG THƯƠNG MẠI ĐIỆN TỬ

I Giới thiệu chung về thương mại điện tử

1 Thương mại điện tử - Electronic Commerce (EC)

Ngày nay, thuật ngữ Thương mại điện tử (TMĐT) – ElectronicCommerce (EC) không còn quá xa lạ đối với nhiều người Cuộc cách mạng sốhóa từ những năm giữa của thế kỷ XX đã thúc đẩy nền kinh tế, văn hóa, xã hộiphát triển lên một tầm cao mới – Xã hội thông tin Trong đó, TMĐT là bộ phậnhợp thành của xã hội thông tin, sử dụng tất cả các phương pháp điện tử để hoạtđộng thương mại, buôn bán góp phần thay đổi hình dáng của Xã hội với mộtcách nhanh chóng

Ngay từ những năm 1917 – 1920, các phương pháp liên lạc, hệ thống kýhiệu âm thanh, hình ảnh, chữ viết đã xuất hiện tạo tiền đề cho sự phát triển củaTMĐT

Hiện nay có nhiều quan điểm khác nhau về “thương mại điện tử” nhưngtựu trung lại có hai quan điểm lớn trên thế giới

Thương mại điện tử theo nghĩa rộng được định nghĩa trong Luật mẫu vềThương mại điện tử của Ủy ban Liên Hợp quốc về Luật Thương mại Quốc tế

(UNCITRAL): Thuật ngữ Thương mại cần được diễn giải theo nghĩa rộng để bao quát các vấn đề phát sinh từ mọi quan hệ mang tính chất thương mại dù có hay không có hợp đồng Các quan hệ mang tính thương mại bao gồm các giao dịch sau đây: bất cứ giao dịch nào về thương mại nào về cung cấp hoặc trao đổi hàng hóa hoặc dịch vụ; thỏa thuận phân phối; đại diện hoặc đại lý thương mại, ủy thác hoa hồng; cho thuê dài hạn; xây dựng các công trình; tư vấn; kỹ thuật công trình; đầu tư; cấp vốn; ngân hàng; bảo hiểm; thỏa thuận khai thác hoặc tô nhượng; liên doanh các hình thức khác về hợp tác công nghiệp hoặc kinh doanh; chuyên chở hàng hóa hay hành khách bằng đường biển, đường không, đường sắt hoặc đường bộ Như vậy, có thể thấy rằng phạm vi của

Thương mại điện tử rất rộng, bao quát hầu hết các lĩnh vực hoạt động kinh tế,việc mua bán hàng hóa và dịch vụ chỉ là một trong hàng ngàn lĩnh vực áp dụngcủa Thương mại điện tử

Ủy ban Châu Âu đưa ra định nghĩa về Thương mại điện tử như sau:

Thương mại điện tử được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng text, âm thanh và hình ảnh Thương mại điện tử gồm nhiều hành vi trong đó hoạt động mua bán hàng hóa và dịch vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tiếp tới người tiêu dùng và các dịch vụ sau bán hàng Thương mại điện tử được thực hiện đối với cả thương mại hàng hóa (ví dụ

như hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví dụnhư dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền

Trang 3

thống (như chăm sóc sức khỏe, giáo dục ) và các hoạt động mới (ví dụ như siêuthị ảo).

Tóm lại, theo nghĩa rộng thì thương mại điện tử có thể được hiểu là cácgiao dịch tài chính và thương mại bằng phương tiện điện tử như: trao đổi dữ liệuđiện tử; chuyển tiền điện tử và các hoạt động gửi rút tiền bằng thẻ tín dụng

Thương mại điện tử theo nghĩa hẹp bao gồm các hoạt động thương mạiđược thực hiện thông qua mạng Internet Các tổ chức như: Tổ chức Thương mạithế giới (WTO), Tổ chức Hợp tác phát triển kinh tế đưa ra các khái niệm vềthương mại điện tử theo hướng này Thương mại điện tử được nói đến ở đây làhình thức mua bán hàng hóa được bày tại các trang Web trên Internet vớiphương thức thanh toán bằng thẻ tín dụng Có thể nói rằng Thương mại điện tửđang trở thành một cuộc cách mạng làm thay đổi cách thức mua sắm của conngười

Theo Tổ chức Thương mại Thế giới: Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận cũng như những thông tin số hóa thông qua mạng Internet.

Khái niệm về Thương mại điện tử do Tổ chức hợp tác phát triển kinh tế

của Liên Hợp quốc đưa ra là: Thương mại điện tử được định nghĩa sơ bộ là các giao dịch thương mại dựa trên truyền dữ liệu qua các mạng truyền thông như Internet

Theo các khái niệm trên, chúng ta có thể hiểu được rằng theo nghĩa hẹpThương mại điện tử chỉ bao gồm những hoạt động thương mại được thực hiệnthông qua mạng Internet mà không tính đến các phương tiện điện tử khác nhưđiện thoại, fax, telex

Qua nghiên cứu các khái niệm về Thương mại điện tử như trên, hiểu theonghĩa rộng thì hoạt động thương mại được thực hiện thông qua các phương tiệnthông tin liên lạc đã tồn tại hàng chục năm nay và đạt tới doanh số hàng tỷ USDmỗi ngày Theo nghĩa hẹp thì Thương mại điện tử chỉ mới tồn tại được vài nămnay nhưng đã đạt được những kết quả rất đáng quan tâm, Thương mại điện tửchỉ gồm các hoạt động thương mại được tiến hàng trên mạng máy tính mở nhưInternet Trên thực tế, chính các hoạt động thương mại thông qua mạng Internet

đã làm phát sinh thuật ngữ Thương mại điện tử.

Ngoài ra, từ các giác độ khác nhau, người ta có những khái niệm khácnhau về thương mại điện tử

Từ giác độ viễn thông: Thương mại điện tử là sự cung cấp thông tin sản phẩm, hàng hóa, dịch vụ hay thanh toán các sản phẩm, dịch vụ, hàng hóa thông qua mạng máy tính hay các phương tiện điện tử khác.

Từ giác độ quản trị kinh doanh: Thương mại điện tử là sự ứng dụng công nghệ hướng tới việc tự động hóa trong những giao dịch thương mại và quản lý.

Từ giác độ dịch vụ: Thương mại điện tử là một công cụ mà qua đó có thể gửi đơn hang của các hãng, của các khách hàng, của các nhà quan lý để giảm

Trang 4

chi phí và nâng cao chất lượng sản phẩm hàng hóa và dịch vụ, giảm thời gian vận chuyển hàng hóa, dịch vụ tới tay người tiêu dùng.

Từ viễn cảnh trực tuyến: Thương mại điện tử là khả năng mua bán trao đổi các sản phẩm hàng hóa, dịch vụ trên Internet.

H1 Thương mại điện tử trong lĩnh vực thương mại

Một cách trực quan, Thương mại điện tử là một hình lập phương nhỏ màchỉ cần một trong các cạnh của nó là ảo

Người đại diện

Người đại diện ảo

Người đại diện vật lý

Quá trình giao hàng vật lý

Quá trình giao hàng ảo

Thương mại điện tử thuần khiết

Thương mại

truyền thống

Trang 5

2 Các đặc trưng của Thương mại điện tử

Đế xây dựng khung pháp luật thống nhất cho Thương mại điện tử, chúng

ta cần nghiên cứu và tìm ra các đặc trưng của Thương mại điện tử So với cáchoạt động Thương mại truyền thống, thương mại điện tử có một số điểm khác

biệt cơ bản sau:

- Các bên tiến hành giao dịch trong thương mại điện tử không tiếp xúctrực tiếp với nhau và không đòi hỏi phải biết nhau từ trước

- Các giao dịch thương mại truyền thống được thực hiện với sự tồn tạicủa khái niệm biên giới quốc gia, còn thương mại điện tử được thựchiện trong một thị trường không có biên giới (thị trường thống nhấttoàn cầu) Thương mại điện tử trực tiếp tác động tới môi trường cạnhtranh toàn cầu

- Trong hoạt động giao dịch thương mại điện tử đều có sự tham ra của ítnhất ba chủ thể, trong đó có một bên không thể thiếu được là ngườicung cấp dịch vụ mạng, các cơ quan chứng thực

- Đối với thương mại truyền thống thì mạng lưới thông tin chỉ là phươngtiện để trao đổi dữ liệu, còn đối với thương mại điện tử thì mạng lướithông tin chính là thị trường

3 Các loại thị trường điện tử

Tùy thuộc vào đối tác kinh doanh người ta gọi đó là thị trường B2B, B2C,C2B hay C2C Thị trường mở là những thị trường mà tất cả mọi người có thểđăng ký và tham gia Tại một thị trường đóng chỉ có một số thành viên nhất địnhđược mời hay cho phép tham gia Một thị trường ngang tập trung vào một quytrình kinh doanh riêng lẻ nhất định, thí dụ như cung cấp: nhiều doanh nghiệp cóthể từ các ngành khác nhau tham gia như là người mua và liên hệ với một nhómnhà cung cấp Ngược lại, thị trường dọc mô phỏng nhiều quy trình kinh doanhkhác nhau của một ngành duy nhất hay một nhóm người dùng duy nhất

Sau khi làn sóng lạc quan về thương mại điện tử của những năm 1990 qua

đi, thời gian mà đã xuất hiện nhiều thị trường điện tử, người ta cho rằng sau mộtquá trình tập trung chỉ có một số ít thị trường lớn là sẽ tiếp tục tồn tại Thếnhưng bên cạnh đó là ngày càng nhiều những thị trường chuyên môn nhỏ

Ngày nay tình hình đã khác hẳn đi: công nghệ để thực hiện một thị trườngđiện tử đã rẻ đi rất nhiều Thêm vào đó là xu hướng kết nối nhiều thông tin chàohàng khác nhau thông qua các giao diện lập trình ứng dụng (API) để thành lậpmột thị trường chung có mật độ chào hàng cao (thí dụ như Amazon-Marketplace) Ngoài ra các thị trường độc lập trước đây còn được tích hợp ngàycàng nhiều bằng các giải pháp phần mềm cho một cổng Web toàn diện

Phân loại thương mại điện tử

TMĐT có thể được phân loại theo tính cách của người tham gia:

 Người tiêu dùng

o C2C (Consumer-To-Comsumer) Người tiêu dùng với người tiêu dùng

o C2B (Consumer-ToBusiness) Người tiêu dùng với doanh nghiệp

o C2A (Consumer-To-Administration) Người tiêu dùng với chính phủ

Trang 6

 Doanh nghiệp

o B2C (Business-To-Consumer) Doanh nghiệp với người tiêu dùng

o B2B (Business-To-Business) Doanh nghiệp với doanh nghiệp

o B2A (Business-To-Adminstration) Doanh nghiệp với chính phủ

o B2E (Business-To-Employee) Doanh nghiệp với nhân viên

 Chính phủ

o A2C (Administration-To-Consumer) Chính phủ với người tiêu dùng

o A2B (Administration-To-Business) Chính phủ với doanh nghiệp

o A2A (Administration-To-Administration) Chính phủ với chính phủTrong đó thể loại B2B là hình thái chủ yếu của TMĐT

Các hình thức hoạt động chủ yếu của Thương mại điện tử

- Thư điện tử

- Thanh toán điện tử

- Trao đổi dữ liệu điện tử

- Truyền dung liệu

- Bán lẻ hàng hóa hữu hình

Lợi ích của thương mại điện tử

- Thu thập được nhiều thông tin

- Giảm chi phí sản xuất Giờ đây bạn dễ dàng hơn trong việc phán đoánthị hiếu của khách hàng và có thể tập trung vào sản xuất mặt hàng đó

- Giảm chi phí bán hàng, tiếp thị và giao dịch Không còn chi phí thuêgian hàng, người bán hàng trong khi cửa hàng của bạn có thể bày bánđược hàng chục ngìn sản phẩm và hoạt động 24/7

- Giúp thiết lập củng cố đối tác

- Tạo điều kiện sớm tiếp cận kinh tế trí thức

- Giảm ách tắc và tai nạn giao thông Lượng người phải ra ngoài mua sắmcác đồ dùng thiết yếu hàng ngày sẽ giảm đi đáng kể

Hạn chế của thương mại điện tử

- Vấn để an ninh và mã hóa

- Độ tin cậy thấp và rủi ro lớn trong giao dịch thương mại điện tử

- Thiếu đội ngũ cán bộ có trình độ kinh doanh và tin học cần thiết

- Thiếu mô hình kinh doanh TMĐT phù hợp cho từng quốc gia có mức

độ phát triển mạng Internet

- Trở ngại văn hóa trong phát triển TMĐT

- Đối tượng tham gia TMĐT giới hạn trong nhóm người thuộc tầng lớptri thức, thu nhập cao

- TMĐT đòi hỏi những thay đổi căn bản trong cơ cấu tổ chức và quản lýcủa doanh nghiệp

- Rủi ro xuất phát từ gian lận thương mại, nguy cơ hàng giả cao trongTMĐT

Trang 7

- Tốc độ kết nối mạng Internet ở các nước đang phát triển chậm.

- Các vấn đề luật pháp

II Gian lận trong TMĐT

Thương mại điện tử ngày càng một lớn mạnh và trở thành một kênh giaodịch nội địa và quốc tế chủ yếu của các doanh nghiệp hoạt động trên quy mônhỏ Đồng hành với sự phát triển của TMĐT là sự xuất hiện ngày càng nhiềucủa các hành vi gian lận trên Internet về cả số lượng và cách thức Bởi vì, lợinhuận từ TMĐT luôn là một nguồn thu nhập hấp dẫn đối với các tên tội phạmkhi mà còn có nhiều doanh nghiệp thiếu kiến thức lẫn ý thức về bảo mật trongTMĐT cùng với khung luật pháp cho loại tội phạm này còn chưa đầy đủ

1 Gian lận trong TMĐT là gì?

Tất cả các hành vi gian lận thanh toán trên Internet đều bắt nguồn từ việclấy trộm các thông tin nhận dạng thương nhân và người tiêu dùng Nó còn phụthuộc vào khả năng truy cập vào các hệ thống thanh toán để thực hiện các hành

vi gian lận Kết quả là: hàng hóa bị lấy trộm, thông tin nhận dạng bị lấy trộm, vàtiền bị lấy trộm

a Giả mạo các thông tin nhận dạng của khách hàng:

Thông tin thẻ tín dụng có thể bị lấy trộm bằng nhiều cách khác nhau, khôngphải tất cả đều được thực hiện trực tuyến Trớ trêu thay, một nguồn thông tinphổ biến bị lấy trộm là qua những giấy biên nhận thẻ tín dụng được bỏ đi.Những giấy biên nhận này thường bao gồm số thẻ tín dụng cùng với ngày giáhạn thẻ, thông tin của hầu hết các giao dịch thẻ tín dụng qua điện thoại và trựctuyến Các tên tội phạm còn sử dụng sự trợ giúp của các “skimmer” để quyếtdưới dạng kỹ thuật số các số thẻ tín dụng trong vài giây để tách ra khỏi các thẻtín dụng Cuối cùng, các tên tội phạm có thể có được thông tin thẻ tín dụng ảobằng cách xâm nhập vào trong cơ sở dữ liệu của khách hàng thông qua các webcấu hình sai hay những lỗ hỏng khác của hệ thống, shopping cart hay nhà cungcấp máy chủ Các tên tội phạm máy tính còn biết cách sử dụng các công nghệphụ trợ Nhưng chương trình mã hóa tự động được gọi là “spiders” hay “portscans” cho phép các tên tội phạm nhận ra được những điểm yếu trong hệ thốngcủa bạn

Với thông tin thẻ tín dụng đánh cắp được, tội phạm có thể dùng nó để muahàng hóa, dịch vụ Hành vi đó được gọi là “product thieft – ăn trộm hàng hóa”.Thông tin thẻ tín dụng còn có thể được kết nối với các thông tin về địa chỉ và sốphúc lợi xã hội có giá trị để mở các thẻ tín dụng mới với tên và địa chỉ của tộiphạm Hành vi này được gọi là “consumer identity theft – ăn trộm thông tinnhận dạng người dùng” và có thể phá hỏng nghiêm trọng hồ sơ thẻ tín dụng củangười tiêu dùng

b Giả mạo thông tin nhận dạng người bán

Cũng giống như các tội phạm ngoại tuyến xâm nhập vào một két tiền, cáctên tội phạm trực tuyến cũng xâm nhập vào két tiền ảo của bạn bằng cách ăntrộm thông tin truy cập của bạn để mạo danh bạn Hành vi đó được gọi là

“merchant indentity theft – ăn trộm thông tin nhận dạng người bán” Tương tự

Trang 8

với hành vi ăn trộm thông tin của người tiêu dùng, các tên tội phạm cũng có thể

có được thông tin của người bằng nhiều nguồnl, ngoại tuyến cũng như trựctuyến Kẻ trộm có thể là người trong nội bộ, người làm công hay các khách truycập rất đơn giản chỉ việc sao chép các thông tin truy cập và mật khẩu từ những

tờ giấy nhắn gắn trên các bàn máy tính Các tên tội phạm cũng có thể lẻn vảo trụ

sở hay những nơi để giấy tờ để ăn trộm những thông tin này Ăn trộm thông tinngười bán trực tuyến liên quan đến việc tấn công vào cơ sỏ dữ liệu của bạn haycác hệ thống back – end để lấy trộm thông tin người sử dụng của tài khoảnpayment gateway

Thông tin này được sử dụng trái phép để truy cập vào tài khoàn paymentgateway của bạn, còn được gọi là “merchant account takeover – sự tiếp quảnmerchant account” hay”hijacking – vụ cướp bóc” Việc tiếp quản tài khoản chophép bọn tội phạm lấy trộm tiền trực tuyến từ công ty bạn bằng cách phát hànhcác thẻ tín dụng hay các giấy tờ thanh toán khác cho chúng

c Truy cập vào các hệ thống thanh toán

Các thông tin nhận dạng là mục tiêu nhắm đến đầu tiên của các hành vigian lận thanh toán trên Internet, nhưng các tên tội phạm cần phải truy cập vàođược các hệ thống thanh toán để thực hiện gian lận Các tên tội phạm truy cậpvào hệ thống thanh toán thông qua hai kênh chính:

-Trang checkout trên website của bạn

-Tài khoản payment gateway của bạn

Trang checkout của bạn là một địa chỉ chung cho tất cả mọi người trêntoàn cầu, 24 giờ trong ngày, 7 ngày trong tuần Điểm nổi bật của một trangcheckout là bạn có thể giao dịch với bất kỳ ai trên toàn thế giới và cửa hàng củabạn luôn luôn mở cửa Nhưng những tiện lợi này lại nảy sinh ra các vấn đề về antoàn Trong một mưu đồ gian lận quen thuộc, bọn tội phạm truy cập vào trangcheckout của bạn để thử nghiệm các số thẻ tín dụng lấy trộm được để xemchúng có còn giá trị hay không, hành vi này gọi là “carding” Mưu đồ gian lậnkhác liên quan đến việc sử dụng “generator”, hay các chương trình phần mềm tựđộng tạo ra và đăng ký các số thẻ giả mạo cho đến khi họ truy cập vào được một

số thẻ tín dụng có thật Không có các chương trình kiểm soát sự an toàn riêng,trang checkout của bạn rất có thể trở thành một điểm đến hấp dẫn đối với bọn tộiphạm

Các hành vi gian lận tinh xảo hơn liên quan đến việc tiếp quản quyền kiểmsoát cơ sở hạ tầng thanh toán của bạn Bằng các hành vi merchant accounttakeover hay hijacking, các tên tội phạm sử dụng thông tin nhận dạng người bán

để giả mạo bạn Ngay khi vào được bên trong tài khoản của bạn, chúng hoàntoàn giành quyền kiểm soát và có thể sử dụng khả năng truy cập này để ăn trộmtiền hay thực hiện các hành vi phạm tội khác Việc lấy trộm tiền rất đơn giản,ngay khi truy cập vào payment gateway của bạn, bọn tội phạm chuyển tiền từtài khoản của bạn tới tài khoản của chúng Bọn tội phạm còn có thể sử dụngpayment gateway của bạn để lấy được các thẻ tín dụng có giá trị sử dụng trongnhững hành vi gian lận khác Thực vậy, qua việc sử dụng công ty bạn để phạm

Trang 9

tội, bạn sẽ thiệt hại hàng nghìn đô la cho các khoản chi phí xác minh, phí bổithường và tiền phạt

Những ước tính về thiệt hại do gian lận gây ra bởi Fraud Type”

-Ăn trộm sản phẩm = 1 - 1000 đô la Mỹ 1 lần

-Ăn trộm thông tin nhận dạng = 1000 – 10.000 đô la Mỹ một lần

-Ăn trộm tiền = hơn 10.000 đô la Mỹ mỗi lần

2 Ai có nguy cơ bị gian lận trực tuyến?

Cần nhấn mạnh ở đây là tất cả các doanh nghiệp đều có nguy cơ chịu rủi ro,bất kỳ doanh nghiệp nào, vào bất kỳ lúc nào Bảng dưới đây liệt kê các yếu tố cóthể làm bọn tội phạm để ý, ưu tiên tấn công bạn nhiều hơn

Loại doanh nghiệp

Mùa giao dịch

Các doanh nghiệp Các tên tội phạm sẽ biết bạn bị hạn chế thời gian quan

Trang 10

3 Bảo vệ hoạt động kinh doanh trước các hành vi gian lận

Mặc dù những dấu hiệu gian lận ngày càng xuất hiện nhiều và đe dọa cácthương nhân, tuy nhiên có một số cách có thể giúp bạn giảm đáng kể nguy cơ bịgian lận Có 3 con đường dẫn đến gian lận chính trên Internet: các giao dịch đặcbiệt, truy cập vào tài khoản payment gateway của bạn và truy cập vào hệ thốngmạng của bạn Việc bảo vệ công ty bạn trước các hành vi gian lận đòi hỏi bạnxác định được con đường dẫn bạn đến bị gian lận Dịch vụ VeriSign Payflowcủa bạn đạt tiêu chuẩn với nhiều tính năng bảo vệ chống gian lận quan trọng,nhưng bạn cần làm cho chúng hoạt động và sử dụng chúng để bảo vệ hoạt độngkinh doanh trực tuyến của bạn Các dịch vụ bảo vệ chống gian lận của Verisigncòn cung cấp các tính năng an toàn cùng với một giao diện quản lý gian lậnriêng, cho phép bạn truy cập và kiểm soát tất cả các chức năng bảo vệ chốnggian lận của bạn một cách dễ dàng và thuận tiện

a Gian lận từ các giao dịch

Phải chắc chắn rằng mối giao dịch mà bạn chấp nhận và thực hiện là mộtgiao dịch có giá trị về mặt pháp lý Bạn nên cẩn thận khi phủ nhận hay từ chốinhững giao dịch mà bạn nghi vấn nhưng thực tế chúng lại đảm bảo có giá trị vềmặt pháp lý Sự xác nhận các giao dịch có giá trị bao gồm:

Xác nhận người mua khi có thể Bao gồm cả việc nhận ra ai là các khách

hàng cũ đã từng mua hàng của bạn nhiều lần Việc lưu danh sách các kháchhàng cũ có các giao dịch hợp pháp tại site của bạn là rất quan trọng không chỉ đểkiểm soát gian lận mà còn nắm được các xu hướng mua hàng và cách tạo dựnglòng trung thành của khách hàng Hãy chắc chắn rằng tất cả các thông tin kháchhàng đều đã được mã hóa và được lưu giữ an toàn Hãy tranh thủ tận dụng cácchương trình xác minh người mua của MasterCard và Visa để xác nhận kháchhàng và thu lợi từ việc chuyển giao trách nhiệm pháp lý

Bảo vệ các nội dung đơn hàng trước các hành vi gian lận Có một khối

lượng lớn thông tin được tập hợp từ mỗi giao dịch điều đó có thể giúp bạn hiểuđược mức độ nguy hiểm mà bạn có thể phải đối mặt Hãy đưa vào hoạt độngcác dịch vụ xác minh địa chỉ và các tính năng mã hóa an toàn thẻ là tiêu chuẩncủa dịch vụ Payflow của bạn Các cách bảo vệ khác như kiểm tra địa chỉ IP vàgửi địa chỉ có hiệu lực sẽ làm tăng tính chắc chắn của một giao dịch với các

Trang 11

khách hàng mới Còn nữa, hãy lưu giữ một danh sách thông tin được tập hợp từnhững đơn đặt hàng có gian lận Tương tự với danh sách các khách hàng cũ vàtrung thành của bạn, việc xây dựng danh sách các khách hàng gian lận, giúp bạn

tổ chức hợp lý hơn quy trình thanh toán Để quản lý hiệu quả tất cả các thông tinrủi ro được tập hợp từ một giao dịch, điều quan trọng là sử dụng một bộ các quytắc tự động hóa quá trình bảo vệ các giao dịch để bạn có thể nhanh chóng thựchiện các đơn đặt hàng cho các khách hàng trung thành và ngăn chặn trước cácđơn đặt hàng có rủi ro Các dịch vụ bảo vệ chống gian lận của Verisign tặng chobạn một giải pháp tiết kiệm chi phí và được thừa hưởng từ Verisign các danhsách cập nhật liên tục và thiết thực về những nguy cơ rủi ro cao

Xem xét lại các giao dịch có dấu hiệu nghi ngờ Cuối cùng, xem xét lại

từng giao dịch có nghi ngờ để chắc chắn rằng bạn đang giao dịch với một kháchhàng hợp pháp Và điều quan trọng là phải đảm bảo rằng bạn có đầy đủ cácthông tin cần thiết để đưa ra quyết định thực hiện đơn đặt hàng của khách hàng.Các thương nhân trực tuyến ngày nay hủy bỏ 5% tổng số giao dịch bởi vì họkhông có thời gian hay thông tin để có được một giao dịch hợp pháp từ một giaodịch có dấu hiệu đáng ngờ Các dịch vụ bảo vệ chống gian lận của Verisign chophép bạn xem xét lại một cách tự động và liên tục các đơn đặt hàng có dấu hiệurủi ro, trước khi bạn thực hiện chúng bằng cách cho bạn thời gian để đưa ra mộtquyết định chắc chắn và có hiểu biết

Mặc dù những bước này đòi hỏi bạn đầu tư nhiều thời gian và nhân lực, tuynhiên sự an toàn trong hoạt động kinh doanh của bạn hoàn toàn phụ thuộc vàochúng Các dịch vụ bảo vệ chống lại gian lận của Verisign tự động quá trình thủcông này vì vậy việc bảo vệ hoạt động kinh doanh trực tuyến của bạn chống lạicác hành vi gian lận sẽ nhanh hơn và không gây rắc rối Và giao diện quản lýgian lận “plain English” được tích hợp liền với dịch vụ Verisign Payflow, vì vậy

dễ thiết lập và dễ sử dụng và bạn không cần bất kỳ một chương trình nào hay bất

kỳ kinh nghiệm nào về các hành vi gian lận

b Gian lận từ tài khoản

Hãy chắc chắn rằng chỉ những người sử dụng được phép mới truy cập vàođược tài khoản payment gateway của bạn và được báo động khi có dấu hiệu cóhành vi truy cập tài khoản bất hợp pháp Hãy thực hiện các biện pháp sau đểgiúp bạn chống lại các gian lận xảy ra tại tài khoản

Hạn chế truy cập điều hành Kích hoạt các tính năng “cài đặt giao dịch” là

tiêu chuẩn với dịch vụ Verisign Payflow của bạn Những chương trình cài đặtnày cho phép bạn hạn chế được truy cập đối với các giao dịch điều hành có tínhrủi ro cao, như việc phát hành thẻ tín dụng Bạn cũng nên thay đổi mật khẩu tàikhoản của bạn theo một lịch trình đều đặn Với các dịch vụ bảo vệ chống gianlận của Verisign, bạn có thể thực hiện các chức năng này cùng với những chứcnăng và tính năng ngăn chặn gian lận khác một cách dễ dàng và tiện lợi qua việc

sử dụng giao diện quản lý gian lận riêng được tích hợp với dịch vụ VeriSignPayflow của bạn

Trang 12

Kiểm tra các hoạt động tài khoản có dấu hiệu gian lận Hãy xem xét các

dấu hiệu truy cập trái phép tài khoản của bạn, nó có thể chỉ rõ sự tiếp quảnmerchant account Dịch vụ bảo vệ chống gian lận của Verisign có khả năng tùychình với đội ngũ chuyên gia giàu kinh nghiệm về các hành vi gian lận Dịch vụnày còn lưu giữ hiện trạng của các merchant account để phát hiện ra các dấuhiệu nghi ngờ gian lận Việc kiểm tra tài khoản có thể giúp bạn có được sự tiếpquản tài khoản trước khi nó gây ra bất kỳ một sự thiệt hại nào

c Gian lận từ hệ thống mạng

Chắc chắn rằng hệ thống mạng của bạn được bảo vệ chống lại sự truy cập

không được phép Bảo vệ các gian lận từ hệ thống mạng bao gồm:

Hạn chế truy cập vào hệ thống Kích hoạt tính năng địa chỉ IP “được cho

phép” là tiêu chuẩn trên dịch vụ Verisign Payflow của bạn Nó đảm bảo rằng chỉcác địa chỉ IP mà bạn lựa chọn mới truy cập được vào mạng của bạn Với cácdịch vụ bảo vệ chống gian lận của Verisign, bạn có thể truy cập nó và nhữngtính năng bảo vệ chống gian lận khác từ một giao diện riêng, dễ dàng và tiện lợi

Cập nhật tất cả các thao tác sửa chữa nhanh trên các máy chủ và hệ điều hành Đầu tư vào việc kiểm tra tính an toàn theo một lịch trình đều đặn để nhận

ra các lỗ hỏng dễ bị tấn công của hệ thống mạng Verisign cung cấp một chươngtrình kiểm tra mạng miễn phí từ Qualys, bao gồm những chương trình bảo vệchống gian lận cơ bản và cao cấp của VeriSign

Kiểm soát hoạt động của firewall Các công ty TMĐT lớn nên kiểm soát

tính an toàn của hệ thống 24h liên tục Qua các dịch vụ an toàn quản lý củaVeriSign (VeriSign’s Managed Security Services) bạn có thể hoàn toàn thỏamãn và yên tâm về việc kiểm soát tính an toàn của hệ thống

III Xây dựng chính sách bảo mật

Có thể nói, một hệ thống có chính sách bảo mật hợp lý là biện pháp tốtnhất để đảm bảo an toàn mạng Việc xây dựng một chính sách bảo mật là côngviệc cần thiết nhằm thiết lập các khung chính sách nhằm đảm bảo an toàn cho hệthống, đồng thời đảm bảo hệ thống ổn định và có tính thực thi cao, có khả năngchống lại những cuộc tấn công từ bên ngoài lẫn bên trong

1 Những chuẩn bị cần thiết

Nhiệm vụ đầu tiên trong các bước xây dựng một chính sách bảo mật làxác định được mục tiêu cần bảo mật Điều này giúp cho nhà quản trị biết đượctrách nhiệm trong việc bảo vệ tài nguyên của bản thân hoặc của tổ chức trênmạng Ngoài ra, nó còn giúp cho nhà quản trị thiết lập được các biện pháp đảmbảo hữu hiệu tron quá trình trang bị, cấu hình và kiểm soát hoạt động của hệthống

Những mục tiêu bảo mật mà một nhà quản trị hệ thống cần đạt được baogồm:

-Xác định đối tượng cần bảo vệ

-Xác định được nguy cơ đối với hệ thống

-Xác định được phương án thực thi chính sách bảo mật

a Xác định đối tượng cần bảo vệ

Trang 13

Trong một hệ thống, người quản trị phải biết được đối tượng nào là quantrọng, đối tượng nào là không quan trọng để đưa ra một phương pháp bảo mậttương xứng Nghĩa là, người quản trị phải xác định rõ độ ưu tiên của từng đốitượng cần bảo vệ.

Trước hết, liệt kê tất cả các đối tượng cần được bảo vệ trong hệ thống,thường bao gồm các máy chủ dịch vụ, các router, các điểm truy cập hệ thống, tàinguyên, các chương trình ứng dụng, cơ sở dữ liệu trong hệ thống…

Tiếp theo, xác định rõ phạm vi và ranh giới giữa các thành phần trong hệthống để khi xảy ra sự cố có thể cô lập các thành phần này lại và dễ dàng hơntrong việc dò tìm nguyên nhân và đưa ra cách khắc phục Có thể chia các thànhphần của hệ thống theo các cách sau:

-Phân tách các dịch vụ tùy theo mức độ truy cập và độ tin cậy của chúng.-Phân tách hệ thống theo các thành phần vật lý

-Phân tách hệ thống theo phạm vi cung cấp của các dịch vụ bên trongmạng và các dịch vụ bên ngoài mạng

b Xác định nguy cơ đối với hệ thống cần bảo vệ

Các nguy cơ đối với hệ thống thông thường là các lỗ hổng bảo mật trongcác dịch vụ do hệ thống đó cung cấp Nếu xác định được chính xác lỗ hổng bảomật có thể giúp tránh được các cuộc tấn công hay ít ra tìm được một phươngpháp bảo vệ đúng đắn Thông thường, các lỗ hổng bảo mật này nằm trong một

Do đó, điểm truy cập thường là những thành phần có tính bảo mật lỏng lẻo nhất

và trở thành điểm đầu tiên mà những kẻ tấn công quan tâm đến

Cái khó trong việc bảo vệ các điểm truy cập là người dùng thường ưathích sự tiện lợi và đơn giản Đồng thời, với những kỹ thuật hiện đại như hiệnnay, các điểm truy cập sinh ra khá nhiều lỗ hổng bảo mật

Các nguy cơ trong nội bộ một mạng

Một hệ thống không chỉ chịu sự tấn công từ bên ngoài mạng mà còn cóthể bị tấn công ngay từ bên trong nội bộ mạng

Các phần mềm ứng dụng

Các phần mềm mà người sử dụng chứa khá nhiều lỗi Và những lỗi này sẽtạo nên các lỗ hổng bảo mật của dịch vụ, tạo cơ hội cho các hình thức tấn côngkhác nhau xâm nhập vào hệ thống Các chương trình virus và trojan hay nhữngcuộc tấn công từ chối dịch vụ là những ví dụ điển hình Với những lỗi phầnmềm, người quản trị cần thường xuyên cập nhật các phiên bản vá lỗi mới nhất.Nếu phát hiện phần mềm mình sử dụng đang bị lỗi, cách tốt nhất là ngừng sử

Trang 14

dụng nó rồi tìm các phiên bản vá lỗi mới nhất hay đợi nhà sản xuất vá lỗi vàtung ra phiên bản mới hơn đã vá rồi.

Không kiểm soát được cấu hình hệ thống

Hiện tượng người quản trị không kiểm soát hoặc mất cấu hình hệ thốnghiện đang chiếm một tỷ lệ lớn trong việc tạo ra các lỗ hổng bảo mật Hiện nay,

có rất nhiều phần mềm sử dụng yêu cầu cấu hình phức tạp và đa dạng hơn, điềunày cũng dẫn đến những khó khăn để nhà quản trị hệ thống có thể nắm bắt đượccấu hình của hệ thống Nhiều nhà sản xuất đã cố khắc phục điều này bằng cáchđưa ra các cấu hình mặc định Tuy nhiên, những cấu hình mặc định này khôngđược xem xét kỹ lưỡng về mặt bảo mật Nhiệm vụ vẫn thuộc về người quản trị,

họ phải nắm bắt được các hoạt động của các phần mềm sử dụng, ý nghĩa các filehay các cấu hình quan trọng Nói chung, họ phải biết hệ thống thực hiện côngviệc của mình như thế nào và nguy hiểm của nó đối với hệ thống

c Xác định các phương án thực thi chính sách bảo mật

Sau khi thiết lập được một chính sách bảo mật, người quản trị cần thựchiện bước tiếp theo, đó là lựa chọn cho mình các phương án thực thi một chínhsách bảo mật Một chính sách bảo mật là hoàn hảo khi nó có tính thực thi cao

Để đánh giá tính thực thi người ta đưa ra các tiêu chí sau:

-Tính đúng đắn

-Tính thân thiện

-Tính hiệu quả

Tính đúng đắn là tiêu chí quan trọng nhất để chọn lựa một chính sách bảo

mật Tiêu chí này sẽ đảm bảo cho sự thành công của chính sách bảo mật đó.Chẳng hạn, nếu một hệ thống thường xuyên có các nguy cơ bị tấn công từ bênngoài thì tính đúng đắn thể hiện ở việc chính sách này cần đảm bảo kiểm soátđược các truy cập của khách hàng vào hệ thống bằng việc dựng các thủ tục quản

lý tài khoản người dùng chặt chẽ

Tính thân thiện cũng là một tiêu chí cần thiết Một chính sách bảo mật cần

thiết lập ra các công cụ bảo mật thân thiện với người quản trị và dễ dàng thực thicác chính sách bảo mật Đồng thời, tính thân thiện còn đảm bảo các biện phápbảo mật trên hệ thống không làm khó hoặc bất tiện đối với người dùng Chẳnghạn, những chính sách nhằm kiểm tra tính hợp lệ khi khách hàng truy cập vào hệthống, những chính sách về bảo vệ mật khẩu như yêu cầu khách hàng xác nhậnmật khẩu của mình theo định kỳ đều phải dễ dàng và ai cũng có thể chấp nhận,không gây khó khăn cho họ

Tính hiệu quả thường được người quản trị quan tâm đến Một chính sách

bảo mật có thể đảm bảo hệ thống an toàn, tin cậy nhưng cần có chi phí quá cao

so với lợi nhuận mà hệ thống mang lại thì không có tính khả thi vì vậy nó khônghiệu quả

Đánh giá tính hiệu quả của một chính sách bảo mật cần có thời gian, dựatrên những lợi ích mà nó mang lại trong thời gian hoạt động

2 Thiết lập các quy tắc bảo mật

Trang 15

Người sử dụng đóng vai trò quan trọng trong quá trình thực thi một chínhsách bảo mật Về phía người dùng, họ luôn mong tính đơn giản và dễ dàng đốivới các thủ tục Do đó, khi xây dựng các chính sách bảo mật, một mặt phải đảmbảo chính sách đó không cản trở người sử dụng Mặt khác cần làm cho người sửdụng nhận thức được tầm quan trọng của các chính sách bảo mật và có tráchnhiệm bảo vệ nó.

Người sử dụng cần lưu ý đến một số công việc sau:

-Hãy sử dụng tài khoản hợp lệ Người sử dụng cần nhận thức được lợi íchcủa việc sử dụng tài khoản hợp lệ Về phía nhà quản trị hệ thống cần cócác chính sách khuyến khích, ưu đãi người sử dụng tài khoản hợp lệ.-Quản lý tài khoản Bao gồm các hoạt động bảo vệ mật khẩu, thay đổi mậtkhẩu định kỳ, sử dụng các phần mềm bảo vệ máy trạm người sử dụng,đăng suất sau một thời gian time – out

-Có khả năng phát hiện tài khoản sử dụng trái phép Người sử dụng cầnđược huấn luyện về các cách phát hiện tài khoản của mình bị sử dụngtrái phép

-Có thói quen lập báo cáo khi gặp sự cố Cần có thói quen thông báo các

sự cố đến các nhà quản trị hệ thống Về phía nhà quản trị hệ thống nênxây dựng một báo cáo mẫu cho người sử dụng

a Các thủ tục đối với các hoạt động truy cập không hợp lệ

Để phát hiện các hoạt động truy cập không hợp lệ, người quản trị cần sửdụng một số công cụ Các công cụ này có thể đi kèm theo hệ điều hành hoặc từcác nhà sản xuất phần mềm Sau đây là một số quy tắc sử dụng các công cụ pháthiện truy cập không hợp lệ:

-Các công cụ như công cụ theo dõi các file đăng nhập

-Sử dụng công cụ giám sát khác như sử dụng tiện ích về mạng để theo dõicác lưu lượng tài nguyên trên mạng nhằm phát hiện những điểm nghingờ

-Xây dựng kế hoạch giám sát Do có nhiều công việc phải giám sát nênviệc lên kế hoạch là cần thiết Kế hoạch giám sát có thể được lập thôngqua các công cụ trên hệ thống như cron, schedule Kế hoạch cũng phảiđảm bảo các công cụ giám sát không chiếm nhiều tài nguyên của hệthống

-Tạo báo cáo từ các thông tin giám sát Các báo cáo đăng nhập có thể giúpngười quản trị phát hiện ra những điểm yếu của mạng, đồng thời dự báohướng phát triển của mạng trong tương lai

Sau khi thực hiện các bước trên và nếu xác định hệ thống của bạn đang bịtấn công, bạn hãy thực hiện các công việc cần thiết sau:

-Xác định mức độ nguy hiểm, ảnh hưởng của nó tới hệ thống

-Xác định hành động phá hoại, kiểu tấn công, thiệt hại nếu có

-Nếu cần, nhờ luật pháp can thiệp

-Chú ý rằng, khi phân tích các file đăng nhập, bạn cần chú ý một số quytắc sau:

Trang 16

o So sánh các hoạt động trong file log với các cuộc đăng nhậptrong quá khứ Đối với các hoạt động thông thường, các thông tintrong file log thường có chu kỳ giống nhau.

o Nhiều hệ thống sử dụng các thông tin trong file đăng nhập tạohóa đơn cho khách hàng Người quản trị có thể dựa vào các thôngtin trong hóa đơn thanh toán để xem xét các truy cập không hợp

lệ nếu có những điểm bất thường như thời điểm truy cập hay sốđiện thoại lạ

o Dựa vào các tiện ích như syslog để xem xét Đặc biệt là các thôngbáo lỗi login không hợp lệ trong nhiều lần

o Dựa vào các tiện ích kèm theo hệ điều hành để theo dõi các tiếntrình hoạt động trên hệ thống, nhằm phát hiện các tiến trình lạnhững chương trình khởi tạo không hợp lệ

b Thủ tục quản lý tài khoản người dùng

Thủ tục quản lý tài khoản người dùng là hết sức quan trọng để chống lạicác truy cập hệ thống không hợp lệ Một số thông tin cần thiết khi quản lý tàikhoản người dùng bao gồm:

-Đối tượng nào có thể truy cập vào hệ thống?

-Một tài khoản sẽ tồn tại trong thời gian bao lâu trên hệ thống?

-Những đối tượng nào có quyền truy cập hệ thống?

Những biện pháp bảo vệ tài khoản người dùng:

-Giám sát chặt chẽ hệ thống quản lý truy cập người dùng như hệ thốngquản lý người dùng trên Windows NT là Database Management users,còn trên Unix là file /ect/paswwd

-Đối với một vài dịch vụ cho phép sử dụng các tài khoản mà không cầnmật khẩu hoặc mật khẩu dùng chung, hay người dùng có thể sử dụng tàikhoản guest để truy cập hệ thống thì cần xác định rõ những tác độngcủa nó đối với hệ thống

-Kiểm soát chặt chẽ các quyến sử dụng tài khoản trên hệ thống,không sửdụng quyền root trong các trường hợp không cần thiết Đối với các tàikhoản không còn sử dụng trên hệ thống thì bạn cần thay đổi mật khẩuhoặc hủy bỏ

-Ngoài ra, nên có các biện pháp khác hạn chế tài khoản truy cập theo thờiđiểm, địa chỉ máy trạm, các thông tin tài khoản không rõ ràng, hợp lệ

c Các thủ tục quản lý mật khẩu

Trong hầu hết các hệ thống hiện nay đều xác thực truy cập qua mật khẩungười dùng Vì vậy, các thủ tục quản lý mật khẩu là hết sức quan trọng Các thủtục quản lý mật khẩu bao gồm:

-Lựa chọn mật khẩu mạnh Một số quy tắc lựa chọn mật khẩu:

o Không sử dụng chính username làm mật khẩu

o Không sử dụng thông tin liên quan đến cá nhân người dùng làmmật khẩu như tên chính mình, tên người thân, ngày sinh, số điệnthoại, biển số xe…

Trang 17

-Cần giám sát, theo dõi chặt chẽ các chương trình đổi mật khẩu.

d Thủ tục quản lý cấu hình hệ thống

Các thủ tục quản lý hệ thống cần xác định rõ ai là người có quyền hợp lệthay đổi cấu hình hệ thống, và những thay đổi phải được thông báo đến nhàquản lý Trong các thủ tục quản lý cấu hình hệ thống cần xác định rõ một sốthông tin như:

-Vị trí lưu các file cấu hình chuẩn

-Quy trình quản lý mật khẩu root

-Các thuật toán mã hóa mật khẩu đang sử dụng

e Thủ tục sao lưu và khôi phục dữ liệu

Sao lưu dữ liệu cũng là một công việc quan trọng Nó không chỉ để phòngchống đối với các sự cố về hệ thống phần cứng mà còn có thể giúp nhà quản trịkhôi phục lại dữ liệu nếu hệ thống bị tấn công và thay đổi hệ thống hoặc làmmất dữ liệu Nếu không có dữ liệu sao lưu sẽ không thể khôi phục lại hệ thốngkhi nó bị tấn công

Nhà quản trị cần xây dựng một kế hoạch cụ thể cho công tác sao lưu dữliệu, xác định các phương pháp sao lưu sao cho hiệu quả nhất Nhà quản trị cóthể sao lưu theo định kỳ Tùy vào tầm quan trọng của dữ liệu trên hệ thống màchu kỳ có thể thay đổi, co thể theo tháng, tuần thậm chí ngày

f Thủ tục báo cáo sự cố

Cần xây dựng các mẫu báo cáo chuẩn đến những người sử dụng trong hệ

thống Các mẫu này sẽ được những người sử dụng điền vào và gửi đến nhà quảntrị hệ thống để họ có thể khắc phục kịp thời

Đối với người sử dụng, nếu phát hiện tài khoản của mình bị tấn công, họcần thông báo ngay đến nhà quản trị thông qua các bản báo cáo Họ có thể gửiqua email hoặc điện thoại

3 Hoàn thiện chính sách bảo mật

Sau khi thiết lập và cấu hình được một chính sách bảo mật hệ thống, nhàquản trị cần kiểm tra lại tất cả và đánh giá chính sách bảo mật này một cách toàndiện trên tất cả các mặt cần được xét đến Bởi một hệ thống luôn có những biếnđộng về cấu hình, các dịch vụ sử dụng, và ngay cả hệ điều hành mà hệ thống sửdụng hoặc các thiết bị phần cứng cũng có thể biến động Bởi vậy, nhà quản trịcần phải luôn luôn rà soát, kiểm tra lại chính sách bảo mật trên hệ thống củamình để phù hợp với thực tế hiện hành Ngoài ra, việc kiểm tra và đánh giá

Trang 18

chính sách bảo mật còn giúp cho nhà quản trị có kế hoạch xây dựng mạng lưới

hệ thống hiệu quả hơn

Công việc kiểm tra đánh giá được thực hiện thường xuyên liên tục chứkhông thực hiện một lần rồi thôi Thông thường, kết quả của một chính sách bảomật thể hiện rõ nhất ở chất lượng dịch vụ mà hệ thống đó cung cấp Nhà quản trị

có thể dựa vào đó để kiểm tra và đánh giá chính sách bảo mật có hợp lý haykhông và cần thay đổi những gì

Sau đây là một số tiêu chí để đánh giá một chính sách bảo mật:

-Có tính khả thi và thực thi cao

-Có thể nhanh chóng phát hiện và ngăn ngừa các hoạt động tấn công

-Có các công cụ hữu hiệu và đủ mạnh để hạn chế hoặc chống lại các cuộctấn công vào hệ thống

Từ các hoạt động đánh giál, kiểm tra đã nêu, các nhà quản trị hệ thống cóthể rút ra những kinh nghiệm nhằm cải thiện hoặc hoàn thiện chính sách bảo mật

mà họ đã tạo ra Công việc cải thiện chính sách bảo mật có thể làm giảm sựcồng kềnh của hệ thống, giảm độ phức tạp, tăng tính thân thiện đối với ngườidùng, đơn giản công việc hay kiểm soát chặt chẽ hơn hệ thống đã xây dựng.Tất nhiên, những hoạt động hoàn thiện chính sách bảo mật phải diễn ratrong suốt thời gian tồn tại của hệ thống để phù hợp với yêu cầu thực tế

IV Bảo mật thông tin

1 Mục tiêu của bảo mật thông tin

Mục tiêu của bảo mật thông tin là bảo vệ ba thuộc tính của thông tin:-Tính bí mật

bị biến đổi sẽ gây ra những thiệt hại nghiêm trọng

Tính sẵn sàng yêu cầu thông tin phải có khi người có thẩm quyền yêu cầu.Thiếu đi tính sẵn sàng thông tin sẽ mất đi giá trị của nó

Tấn công vào tính bảo mật của thông tin là làm lộ ra các thông tin khôngđược phép truy cập Tấn công và tính toàn vẹn có thể phá hoại hay thay đổithông tin Tấn công vào tính sẵn sàng gây nên sự từ chối dịch vụ hệ thống Tấtnhiên có những dạng tấn công gây hư hại cho hệ thống mà không ảnh hưởng tớimột trong ba thuộc tính trên

Tương tự với ba thuộc tính của thông tin, bảo mật thông tin bao gồm:

-Bảo vệ tính bí mật

-Bảo vệ tính toàn vẹn

Trang 19

-Duy trì tính sẵn sàng.

Và tất nhiên, quá trình bảo mật nào cũng cần có kế hoạch Một kế hoạchthich hợp có thể làm giảm rủi ro và giảm thời gian tối đa cho việc phòng ngừa,phát hiện và chống đỡ các cuộc tấn công

2 Các giai đoạn của quá trình bảo mật thông tin

Bảo mật thông tin là một quá trình trải qua các giai đoạn xây dựng vàcủng cố trong một thời gian dài Quá trình bảo mật không bao giờ xác định đượcđích đến tuyệt đối Nói cách khác, việc bảo mật cho một hệ thống diễn rathường xuyên, liên tục, không ngừng nghỉ Tuy nhiên, bạn có thể chia chúng ralàm ba giai đoạn khá rõ ràng:

-Phòng ngừa

-Phát hiện tấn công

-Đối phó với những cuộc tấn công

Mỗi giai đoạn yêu cầu kế hoạch và hành động để chuyển qua giai đoạn kếtiếp Sự thay đổi ở một giai đoạn có thể ành hưởng tới toàn bộ quá trình

a Phòng ngừa

Thực hiện những công việc sau có thể giúp cho hệ thống của bạn có sức

đề kháng cao hơn với những cuộc tấn công:

-Đưa ra chính sách an toàn thông tin

-Giáo dục nhận thức về bảo mật

-Điều khiển quá trình truy cập

Xây dựng chính sách an toàn thông tin là xác định những gì cần bảo vệ,

mức độ bảo vệ đối với từng đối tượng Đông thời chính sách cũng xác định tráchnhiệm của tổ chức, kỷ luật cần thi hành, sự kiểm tra xem xét lại đối với quá trìnhbảo mật

Giáo dục nhận thức về bảo mật là quá trình giáo dục nhân viên về tầm

quan trọng của bảo mật, cách sử dụng các công cụ đo lường bảo mật, các thủ tụcbáo cáo về vi phạm chế độ bảo mật và trách nhiệm chung của nhân viên khi thựcthi chính sách an toàn thông tin Đi kèm với việc giáo dục, nên có một chế độkhen thưởng các nhân viên thực hiện tốt việc học tập

Điều khiển quá trình truy cập Một người dùng không thể truy cập vào tất

cả các hệ thống của tổ chức, cũng như không thể truy cập tất cả các thông tintrên hệ thống họ đang truy cập Để thực hiện được điều này cần có sự quản lýtruy cập Quản lý truy cập dựa trên phương pháp định danh và xác thực

Định danh là số nhận dạng duy nhất, đó là những gì một user ( máy

khách, người, phần mềm ứng dụng, phần cứng, mạng) sử dụng để phânbiệt nó với các đối tượng khác Một user dùng định danh để tạo ra dấuhiệu nhận biết anh/ chị là ai Định danh được tạo ra cho user không đượcphép chia sẻ với bất kỳ user hay nhóm user nào khác User sử dụng địnhdanh để truy cập đến các tài nguyên cho phép

Xác thực là quá trình xác nhận tính hợp lệ đối với một định danh Khi

một người trình diện định danh của mình, quyền truy cập và định danh đó

Trang 20

phải được xác thực Xác thực đảm bảo một mức độ tin cậy bằng ba nhân

tố sau:

o Những gì bạn biết Mật khầu là cách được sử dụng thường xuyênnhất Tuy nhiên, một cụm từ bí mật hay số PIN có thể được sửdụng Đây là kiểu xác thực một nhân tố

o Những gì bạn có Nhân tố xác thực này sử dụng những gì bạn có,chẳng hạn như một tấm thẻ nhận dạng, thẻ thông minh Những vậtnày đòi hỏi người sử dụng phải sở hữu một vật gì đó để làm vật xácnhận Đây là một xác thực tin cậy hơn, đòi hỏi hai nhân tố, chẳnghạn như những gì bạn biết với những gì bạn có thể nhận thức Kiểuxác thực này được biết dưới cái tên gọi là xác thực hai nhân tố hayxác thực nhiều mức

o Những gì đại diện cho bạn Đây là nhân tố xác thực tốt nhất Đạidiện cho bạn có thể là dấu tay, võng mạc hay AND Việc đo lườngcác nhân tố này gọi là trắc sinh học Quá trình xác thực tốt nhất nàyđòi hỏi cả ba nhân tố Các máy móc hoặc ứng dụng có độ bảo mậtcao sẽ dùng ba nhân tố để xác thực user

b Phát hiện tấn công

Không có một giải pháp bảo mật nào là hoàn hảo cho mọi tình huống.Việc biết được khi nào hệ thống bị tấn công và bị tấn công như thế nào để cóbiện pháp chống đỡ cụ thể là rất quan trọng Việc phát hiện hiểm họa dựa trên

cơ sở bảo vệ theo lớp Như vậy, khi một lớp bị hỏng thì hệ thống sẽ được biết vàđược báo động Yếu tố quan trọng nhất trong biện pháp này là sự phát hiện đúnglúc và khả năng báo trước nguy hiểm Hệ thống phát hiện xâm nhập IDS sẽ được

sử dụng cho mục đích này

Hệ thống IDS có khả năng kiểm soát các hoạt động của hệ thống và thôngbáo cho người chịu trách nhiệm khi hoạt động đó cần kiểm tra chứng thực Hệthống có thể dò tìm dấu vết tấn công, những thay đổi trên tập tin, cấu hình vàcác hoạt động khác của hệ thống giống như một thiết bị cảnh báo cháy thôngminh có thể báo động được hỏa hoạn, chỉ ra nơi xuất phát đám cháy, đường dẫn

và thông báo cho các trạm cứu hỏa Vấn để ở đây là, IDS phải đủ thông minh đểphân biệt được sự khác nhau giữa một hoạt động bình thường và hoạt động nguyhại cho hệ thống, giống như việc phân biệt được hỏa hoạn thật sự với việc nấunướng bình thường Điều này có thiên hướng là một nghệ thuật hơn là khoa học

Công cụ dò tìm IDS có thể được đặt ở một chỗ hợp lý trên mạng và trêntầng ứng dụng, có thể được điều chỉnh để làm việc với một mạng hay một máychủ cụ thể Quá trình điều chỉnh IDS là ghi nhận cho nó một đe dọa biết trước,kiểu xâm phạm, phương pháp và quá trình thâm nhập

c Đối phó với tấn công

Để quá trình phát hiện tấn công có giá trị thì phải có một đáp ứng đúnglúc Đáp ứng này cần được lên kế hoạch từ trước Việc đưa ra quyết định quantrọng hay xây dựng một chính sách đối phó tấn công trong khi đang bị tấn công

là một phương pháp không tốt lắm

Trang 21

Có hai hướng giải quyết chính cho việc đối phó với tấn công:

Một là cắt bỏ các kết nối trái phép, loại trừ tận gốc nguyên nhân của hiểmhọa và khôi phục lại hệ thống Phương pháp tiếp cận này mang tính khả thinhiều hơn khi thực thi nhiệm vụ với các máy tính mạnh và thời gian khôi phụchợp lý Đây cũng là phương pháp ưa thích của một tổ chức

Hai là theo dõi và bắt giữ kẻ phá hoại Người quản trị phải xem xét mỗigiải pháp trong từng trường hợp cụ thể và giải quyết theo thực tế

3 Thế nào là một hệ thống an toàn thông tin?

Ở trên, chúng ta đã bàn về các giai đoạn bảo mật thông tin Rất nhiều

hiểm họa đang rình rập bên ngoài, nguy cơ bị mất thông tin khi truyền trên mạng

là thường xuyên Chẳng hạn, việc thanh toán bằng thẻ tín dụng thông qua dịch

vụ web sẽ gặp một số rủi ro sau:

- Thông tin từ trình duyệt web của khác hàng ở dạng thuần văn bản nên cóthể bị lọt vào tay kẻ khác

- Trình duyệt web của khách hàng không thể xác định được máy chủ màmình trao đổi thông tin có phải là thật hay chỉ là một website giả mạo

- Không ai có thể đảm bảo được dữ liệu truyền đi có bị thay đổi haykhông

Vì vậy, các hệ thống cần có cơ chế đảm bảo an toàn trong quá trình giaodịch điện tử Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng cácyêu cầu sau:

-Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi là không bị đánhcắp

-Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, giả mạo.-Hệ thống phải có khả năng kiểm tra tính toàn vẹn dữ liệu

V An toàn và bảo mật trong thanh toán điện tử

Thanh toán trực tuyến là một trong những vấn đề cốt yếu của TMĐT.Thiếu hạ tầng thanh toán, chưa thể có TMĐT theo đúng nghĩa của nó Bạn cũngnên biết rằng ở đâu có tiền, ở đó có kẻ trộm, trong thanh toán trực tuyến cũngkhông ngoại lệ Thậm chí nguy cơ để lộ thông tin cá nhân, thẻ tín dụng… cònlớn hơn thanh toán ngoại tuyến Làm thế nào để bảo đảm thông tin bạn truyền đi

sẽ không bị lấy trộm và làm cho sai lệch? Câu trả lời là mã hóa chúng Mã hóathông tin tức là làm cho thông tin chỉ có thể đọc được bởi người có chìa khóagiải mã Dù thông tin có bị đánh cắp trong khi truyền thì kẻ trộm cũng không thểhiểu được hắn lấy được những gì Bốn yêu cầu về bảo mật trong thanh toán điện

Trang 22

-Tính không thoái thác (Nonrepudiation): bảo vệ chống lại sự từ chối củakhách hàng đối với những đơn hàng đã đặt và sự từ chối của người bánhàng đối với những khoản thanh toán đã được trả.

1 Phương pháp mã hóa

a Mã hóa khóa bí mật – mã hóa đối xứng

Có rất nhiều thuật ngữ miêu tả phương pháp mã hóa khóa bí mật (SerectKey Cryptography) bao gồm phương pháp mã hóa một khóa – đơn khóa (onekey – single key), phương pháp mã hóa khóa cá nhân (private key), phươngpháp mã hóa khóa đối xứng (symmetric-key) Để thống nhất, ta gọi phươngpháp này là mã hóa khóa đối xứng vì khái niệm “khóa bí mật” cũng được sửdụng trong phương pháp mã hóa khóa công khai sẽ được giới thiệu ở phần sau.Theo phương pháp này, người gửi và người nhận sẽ dùng chung một khóa để mãhóa và giải mã Trước khi thực hiện mã hóa dữ liệu, hai bên gửi và nhận dữ liệuphải có khóa và phải thống nhất thuật toán dùng để mã hóa cũng như giải mã

Lược đồ mã hóa khóa đối xứng

-Bước 1: Chọn khóa và mã hóa

-Bước 2: Gửi khóa và thông điệp đã được mã hóa (ciphertext) cho người nhận Khóa và thông điệp mã hóa không được gửi cùng nhau

-Bước 3: Người nhận dùng khóa giải mã thông điệp

Hiện nay có khá nhiều thuật toán dùng để mã hóa khóa đối xứng như:DES – Data Encrytion Standard), 3DES – Triple-strength DES, RC2 – RonsCipher 2 RC4,… (DES được sử dụng nhiều nhất trong phương pháp mã hóakhóa đối xứng)

Một số chuyên gia cho rằng, DES có thể bị phá vỡ nhưng rẩt tốn kém.Thực tế bằng phương pháp “tấn công vét cạn” (brute force) – phương pháp thửmọi trường hợp có thể có, mã hóa DES với chìa khóa 56 bits đã bị giải mã.3DES sử dụng 3 chìa khóa mã hóa thay phiên nhau trong mỗi lần mã hóa để làm

Trang 23

DES an toàn hơn Giao thức SET chấp nhận thuật toán DES với chìa khóa 64bits của nó.

Ưu điểm: Quá trình mã hóa, giải mã nhanh.

Nhược điểm: Tính bảo mật không cao Vấn để nảy sinh là làm thể nào

truyền khóa đối xứng tới tay người nhận an toàn Nếu khóa bị đánh cắp trênđường truyền (Man-in-the-milde Attack), thông điệp của bạn có mã hóa cũngnhư không Truyền khóa trên mạng, fax hay gọi điện đều có nguy cơ bị lấy trộm.Cách an toàn nhất là trao tận tay nhưng không phải lúc nào cũng thực hiện được

Hệ thống mã hóa khóa công khai được mô tả tiếp theo đây sẽ giải quyết đượcvấn đề trao đổi khóa đối xứng

b Mã hóa khóa công khai – khóa không đối xứng.

Mã hóa khóa công khai (Public Key Cryptography) sử dụng hai khóa khácnhau:

o Khóa công khai (public key): được gửi công khai trên mạng.Khóa công khai không có khả năng giải mã thông tin do chính nó

mã hóa

o Khóa bí mật (private key): được giữ bí mật

Lược đồ mã hóa khóa công khai

-Bước 1: Trao chìa khóa công khai cho người gửi Vì khóa công khai được

“công khai” nên bạn không cần phải lo lắng nguy cơ mất trộm

-Bước 2: Người gửi sử dụng khóa công khai của bạn mã hóa thông điệpcần gửi

Trang 24

-Bước 3: Thông điệp mã hóa được gửi đến bạn (tất nhiên không phải đưatrực tiếp như hình vẽ).

-Bước 4: Bạn dùng khóa bí mật của mình để giải mã thông điệp

Thuật toán dùng trong phương pháp mã hóa khóa công khai là RSA vàthuật toán DH (Diffie – Hellman)

Ưu điểm: Bảo mật cao.

Nhược điểm: Quá trình mã hóa, giải mã chậm, chỉ nên dùng cho những dữ

liệu không quá lớn Vì vậy, phương pháp mã hóa khóa công khai thường đượcdùng để truyền khóa của phương pháp mã hóa khóa đối xứng để tận dụng khảnăng giải mã nhanh của phương pháp này Trên lược đồ thông điệp (plaintext) sẽthay bằng khóa đối xứng Quá trình mã hóa khóa đối xứng bằng khóa công khai

sẽ tạo ra phong bì số.

Tuy có tính bảo mật cao khó có thể phá vỡ nhưng phương pháp mã hóakhóa công khai vẫn có lỗ hổng Bạn muốn gửi thông điệp cho A, bạn cần phải

có khóa công khai của A Sẽ ra sao nếu kẻ lừa đảo tự tạo cho mình một cặp khóa

bí mật và công khai, sau đó hắn trao cho bạn khóa công khai của hắn vào bảo đó

là khóa công khai của A Chẳng có gì xác thực khóa đó là của A, vì vậy bạn mãhóa thông điệp với khóa công khai này và gửi đi Kẻ trộm sẽ tóm lấy thông tin

và đọc được nó bởi vì hắn có khóa bí mật

Như vậy, làm sao để chứng nhận các khóa công khai của từng cá nhân trênmạng? Do đó, chứng chỉ số được ra đời Chứng chỉ số (chứng chỉ điện tử) đượccác tổ chức chứng thực (CA) có uy tín cung cấp cho các cá nhân, công ty.Chứng chỉ số sẽ được đề cập ở phần sau Mục tiếp theo xin đề cập đến khái niệmchữ ký số (chữ ký điện tử)

2 Chữ ký số

Chữ ký số và chữ ký điện tử thường được dùng thay thế cho nhau, nhưngchúng không hoàn toàn đồng nhất Chữ ký điện tử rộng hơn chữ ký số Chữ kýđiện tử là những thông tin đi kèm thông điệp để xác thực người chủ sở hữuthông điệp như chữ ký số, chữ ký tay được truyền bằng fax, địa chỉ telex…

Chữ ký số khóa công khai (hay hạ tầng khóa công khai) là mô hình sử

dụng các kỹ thuật mật mã để gắn với mỗi người sử dụng một cặp khóa công khai

- bí mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi các thông tinmật Khóa công khai thường được phân phối thông qua chứng thực khóa côngkhai Quá trình sử dụng chữ ký số bao gồm 2 quá trình: tạo chữ ký và kiểm trachữ ký

Tạo chữ ký số:

- Sử dụng giải thuật băm (hash) một chiều để thay đổi thông điệp cầntruyền đi Kết quả thu được một message digest gọi là bản phân tích vănbản hay tóm tắt thông điệp

- Sử dụng giải thuật MD5 (Message Digest 5) nên thu được digest có độdài 128 bits

- Tiếp tục sử dụng giải thuật SHA (Secure Hash Algorithm) nên thu đượcmessage digest có độ dài 160 bits

Trang 25

- Sử dụng khóa bí mật của người gửi để mã hóa bản phân tích văn bảnthu được ở các bước trước Trong bước này, thông thường, người ta sửdụng giải thuật RSA Kết quả thu được trong bước này là chữ ký điện tửcủa thông điệp ban đầu.

- Gộp chữ ký điện tử vào thông điệp ban đầu Công việc này gọi là kýnhận thông điệp

- Sau khi đã ký nhận thông điệp, mọi sự thay đổi trên thông điệp sẽ bịphát hiện trong giai đoạn kiểm tra Ngoài ra, việc ký nhận này đảm bảongười nhận tin tưởng vào thông điệp này xuất phát từ người gửi chứkhông phải ai khác

Sau khi nhận được thông điệp có đính kèm chữ ký điện tử người nhậnkiểm tra lại thông điệp:

-Người nhận sử dụng khóa công khai của người gửi để giải mã chữ ký điện

tử đính kèm trong thông điệp

-Sử dụng giải thuật MD5 hay SHA để băm thông điệp đính kèm

-So sánh kết quả thu được ở hai bước trên Nếu trùng nhau thì ta kết luậnthông điệp này không bị thay đổi trong quá trình gửi, người gửi là chínhxác và ngược lại

Lược đồ tạo và kiểm tra chữ ký số

Bản chất của thuật toán tạo chữ ký sổ là đảm bảo nếu chỉ biết thông điệpthì rất khó (hầu như không thể) tạo ra chữ ký số của người gửi nếu không biết

Trang 26

khóa bí mật của người gửi Nên nếu phép so sánh cho kết quả đúng thì có thểxác nhận người gửi là chính xác.

Tuy nhiên khi tạo chữ ký số, người gửi thường không mã hóa toàn bộ

thông điệp với khóa bí mật mà chỉ thực hiện với bản băm của thông điệp (bản tóm tắt thông điệp 160 bits) nên có thể xảy ra trường hợp hai thông điệp khác

nhau có cùng bản băm nhưng với xác xuất rất thấp

3 Chứng chỉ số

Phương pháp mã hóa khóa công khai đã thực hiện được yêu cầu mã hóa,chữ ký số đã đảm bảo được tính toàn vẹn (thực chất là phát hiện sự thay đổi củathông điệp trên đường truyền chứ không ngăn cản được sự thay đổi) và xác thựcđược người gửi Trở lại vấn đề giả mạo khóa công khai, vấn đề này đòi hỏi xácthực người nhận là ai Điều này chữ ký số chưa thực hiện được Vì vậy, để đápứng nhu cầu đó một hệ thống tổ chức đã ra đời để các cung cấp chứng chỉ số

Chứng chỉ số là một file điện tử dùng để xác thực danh tính một cá nhân,

một máy chủ hay một công ty, tổ chức trên Internet Bạn có thể hình dung chứngchỉ số tương tự như bằng lái xe, chứng minh thư hay những giấy tờ xác minh cánhân khác

a Nhà cung cấp chứng chỉ số (CA)

Cũng như các giấy tờ chứng thực cá nhân khác, chứng chỉ số phải do một

tổ chức đứng ra chứng nhận những thông tin của bạn là chính xác Tổ chức đógọi là nhà cung cấp chứng chỉ số (Certificate Authority – CA) Các CA phảiđảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số màmình cấp cho khách

b Nhà quản lý đăng ký

Một nhà quản lý đăng ký là một cơ quan thẩm tra trên một mạng máytính Nó có chức năng xác minh yêu cầu của người sử dùng muốn xác thực mộtchứng chỉ số và yêu cầu CA đưa ra kết quả

c Cơ sở hạ tầng khóa công khai (PKI)

Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI) là một hệthống cho phép các công ty và người sử dụng trao đổi thông tin và hoạt động tàichính một cách an toàn Nói chung, nó cho phép người dùng sử dụng một mạngcông cộng không bảo mật, Internet chẳng hạn, để trao đổi thông tin kể cả tiềnbạc một cách an toàn thông qua việc sử dụng mã hóa khóa công khai Nhưngkhông phải ai cũng biết cách tạo cho mình một cặp khóa công khai và bí mậtcũng như thực hiện chữ ký số Một CA có uy tín sẽ cung cấp cặp mã hóa khóacông khai đến người dùng, đồng thời cũng cung cấp chứng chỉ số dùng để xácminh người dùng đó

Một cơ sở hạ tầng khóa công khai bao gồm các thành phần cơ bản sau:

- Một nhà cung cấp chứng chỉ số

- Một nhà quản lý đăng ký đóng vai trò thẩm tra trước khi một chứng chỉ

số được cung cấp tới người dùng

Trang 27

- Một hoặc nhiều danh mục, nơi các chứng chỉ số cùng với khóa côngkhai của nó được lưu trữ để phục vụ nhu cầu tra cứu, lấy khóa côngkhai của đối tác.

- Một hệ thống quản lý chứng chỉ số

Các thành phần của một chứng chỉ số:

- Thông tin cá nhân của người được cấp

- Khóa công khai của người được cấp

- Chữ ký số của nhà cung cấp (còn gọi là chứng chỉ gốc) chứng chỉ số cóvai trò như con dấu, đảm bảo tính hợp lệ và chính xác của chứng chỉ số

- Ngày hết hạn

- Các thông tin khác tùy theo cơ sở hạ tầng khóa công khai

d Ứng dụng của chứng chỉ số

Mã hóa thông tin Mã hóa thông tin với khóa công khai đảm bảo chỉ có

người chủ của khóa công khai đó mới đọc được Dù thông tin có bị đánh cắptrên đường truyền thì tính bí mật của thông tin vẫn được đảm bảo

Toàn vẹn thông tin Chữ ký số có thể cho bạn biết thông tin có bị thay đổi

trên đường truyền hay không Nhưng nó không bảo vệ thông tin không bị sửađổi

Xác thực Người gửi có thể biết chắc rằng thông tin đã gửi đến đúng

người hay chưa nhờ vào việc xác thực khóa công khai của người nhận Ngườinhận cũng có thể biết người gửi có phải là đối tác thực sự hay không nhờ vàochữ ký số

Chống chối cãi nguồn gốc Khi sử dụng chứng chỉ số, người gửi phải

chịu trách nhiệm hoàn toàn về những thông tin có chứng chỉ số đi kèm Chứngchỉ số có thể xem như bằng chứng để khẳng định tác giả của gói tin khi anh ta cốtình chối cãi, phủ nhận dữ liệu không phải do mình gửi đi

Bảo mật email Email là một công cụ giao tiếp tiện lợi và dễ sử dụng,

nhưng cũng có rất nhiều lỗ hổng Thông điệp có thể bị lấy đi và thay đổi trướckhi đến tay người nhận Với chứng chỉ số mà cụ thể là chữ ký số, người nhận cóthể biết được thông tin mình nhận là của ai và có được bị biến đổi hay không

Bảo mật web Loại chứng chỉ số này cung cấp cho website một định danh

duy nhất nhằm đảm bảo với khách hàng về tính xác thực và tính hợp pháp củawebsite Phổ biến là chứng chỉ số SSL Server, cho phép người dùng cấu hìnhwebsite theo giao thức bảo mật SSL sẽ giới thiệu ở phần sau Trang web đượcbảo mật bởi giao thức SSL có biểu tượng cái khóa đóng ở thanh URL

Chống sao chép lậu phần mềm Với chứng chỉ số, các nhà sản xuất phần

mềm có thể “ký” vào phần mềm của mình Khách hàng có khả năng phát hiện radấu hiệu crack hay chép lậu phần mềm

Trang 28

CHƯƠNG II THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỂ AN TOÀN

VÀ BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ

I Bảo vệ mạng doanh nghiệp

1 Firewall

Bức tường lửa (firewall) là hàng rào chắn đầu tiên của mạng doanhnghiệp chống lại những sự dòm ngó từ bên ngoài Chưa có định nghĩa rõ ràngcho firewall nhưng những sản phẩm trong lĩnh vực này vẫn đảm bảo một tronghai tiêu chuẩn chính là gateway (thiết bị điều khiển giao dịch giữa các mạng dựatrên địa chỉ mạng) và bộ lọc các gói thông tin (packet filter) Một số sản phẩmphối hợp cả hai tiêu chuẩn trên

Bản thân gateway cũng có nhiều hình thức khác nhau như cổng ứng dụnghạn chế người dùng truy cập vào một ứng dụng nào đó Tuy có độ an toàn caonhưng điểm yếu của gateway khó cấu hình và tốc độ chậm Vì toàn bộ lưu thông

cả trong và ngoài luồng đều phải đi qua một điểm kiểm soát là gateway sẽ gây racác tắc nghẽn dữ liệu nghiêm trọng Vì vậy người ta thường trộn lẫn kỹ thuậtnày với bộ lọc gói thông tin

Bộ lọc gói thông tin kém an toàn hơn Nó gửi đi những gói giao thứcInternet Protocol (IP) theo địa chỉ khởi đầu của gói thông tin Một gói chỉ đượcchấp nhận khi nó gửi đi từ 1 điểm đã đuợc đăng ký Điều đó đảm bảo rằng cácgói thông tin từ những người dùng hợp pháp sẽ có thể đi vào mạng được, còncác nguồn khác thì không

Tuy nhiên, do cấu trúc không phức tạp, ví dụ như loại chuẩn với nhiều loạirouter khác nhau, nên bộ lọc các gói thông tin có thể bị dễ dàng thay đổi để trởthành như một gói thông tin đến từ một hệ thống hợp pháp

Một cách tiếp cận an toàn hơn đòi hỏi phải có bộ lọc gói thông tin kiểm tra tínhhợp pháp của gói thông tin đó và cũng để đọc dữ liệu trong nó Kỹ thuật này chophép firewall thực hiện những động tác đặc biệt trên cơ sở thông tin nó đã đượcđọc (ví dụ như ngắt kết nối FTP khi giao dịch hoàn tất) Nhiều bộ lọc gói thôngcòn phân tích được đến từng packet riêng để đảm bảo rằng nguyên bản về mặtvật lý phù hợp với địa chỉ IP của nó

Trong hai lựa chọn về firewall trên, bộ lọc gói thông tin có vẻ ưu thế hơn, nhất

là những sản phẩm có cài đặt sẵn “trí tuệ” Bộ lọc gói thông tin này hiện nayđang trở thành một tiêu chuẩn trong lĩnh vực an toàn trên Internet

Bên cạnh việc giúp chống lại những tên trộm chương trình và người dùngbất hợp pháp, firewall còn có tác dụng trong việc ngăn chặn virus tin học và các

mã lạ, mặc dù việc sử dụng khía cạnh công nghệ này còn chưa được phổ biến.Các công cụ có thể quét được virus khi dữ liệu đến firewall hiện đang bắt đầu cótrên thị trường Frend Micro Inc chẳng hạn đưa ra InterScan VirusWall Sảnphẩm này chạy trên các hệ thống của Sun Solaris và có thể quét được một sốvirus trên e-mail và FTP, gồm cả unencode, base64, binhex và PKZIP đối vớicác loại virus có thể Người ta có thể làm cho nó có khả năng thông báo đến chonhiều người về một nguy cơ có thể xảy ra, lưu file đe doạ bị hỏng vào vùng an

Trang 29

toàn hay xoá hẳn nó đi Giá khởi điểm là 20USD cho 50 người sử dụng và tấtnhiên cho nhiều người dùng thì giá rẻ hơn nữa.

Ngoài ra, firewall còn giúp chống các loại virus bằng cách hạn chế truycập tới người dùng hợp pháp Tuy nhiên, có người lại phản đối việc sử dụngfirewall như một công cụ phòng chống virus, bởi đối với một tên trộm chươngtrình chuyên nghiệp, việc “trèo qua” firewall bằng những thủ thuật dấu hoặc nén

mã quả là dễ dàng

2 Công nghệ tunnell

Trong khi các loại firewall đang đảm đương nhiệm vụ bảo vệ an ninhmạng cho Internet thì nhiều tổ chức vẫn tiếp tục tìm kiếm một công nghệ kháctốt hơn và hiện nay tunnelling – khái niệm về việc sử dụng gói IP được mã hoá

để tạo nên một mạng riêng biệt ảo (VPN – Vitual Private Network), đang bắtđầu được chấp nhận

Hy vọng chi phí thấp cho mạng là lí do chính yếu của những ai đang quantâm đến tunnell, đặc biệt là những công ty cần kết nối nhiều mạng hoặc nhiềunhân viên làm việc ở xa mạng Hay cụ thể hơn nữa là những công ty cần kết nốihai mạng LAN riêng biệt đặt xa nhau bằng một đường dây riêng tạo thành mộtmạng WAN Với tunnell, các mạng được nối với nhau qua Internet, từ firewallnày đến firewall kia, và dữ liệu được gửi qua những gói IP được mã hoá Về bảnchất đây là sự chuyển từ việc sử dụng đường dây thuê bao (leased-line) đắt tiềnsang một Internet rẻ hơn

Công nghệ Tunnell còn có thể được sử dụng để bảo vệ cho những mạngriêng biệt trong một công ty Ví dụ, firewall có thể ngăn chặn những nhân viênkhông hợp pháp thuộc phòng kế toán của công ty muốn truy cập file trên mạngcủa phòng quản lí nhân sự

Thông tin gửi qua các tunnell Internet được đảm bảo an toàn đến từng bit nhưphương pháp truyền bằng đường thuê bao Việc kết nối từ một PC đến mạng khimột nhân viên ở xa văn phòng muốn thực hiện cũng dễ như kết nối giữa haimạng với nhau

Tuy nhiên tunnell cũng thể hiện một vài điểm yếu, đặc biệt là về khả năngtương thích Thực tế là các công nghệ tunnell hiện nay do nhiều nhà sản xuấtkhác nhau cung cấp, điều đó có nghĩa là tất cả các điểm cuối của một mạng (cả

về phía mạng và người sử dụng từ xa) phải được xem xét và phối hợp với nhauchặt chẽ

Một nhược điểm khác là những người ủng hộ cho tunnell lại bị hạn chế

“tính tuyệt đối”, điều mà họ nghiễm nhiên có được khi sử dụng các đường thuêbao Nhưng theo kinh nghiệm của Digital thì tunnell có tốc độ cao hơn mộtđường thuê bao 56Kbps

3 Những hạn chế về mặt an toàn

Mặc cho firewall và tunnel phô trương sức mạnh của mình, người ta vẫnkhuyên chỉ nên coi chúng những chiếc hòm có khoá chứ không không phải hầmcất tiền kiên cố của nhà băng Và đặc biệt là firewall không thể đảm bảo chotoàn bộ nhu cầu an toàn đối với đường nối vào Internet của một công ty Điều

Trang 30

này giống như bạn phải xây dựng một bức tường bao xung quanh thành phố vìkhông muốn mỗi gia đình trong thành phố phải khoá cửa nhà họ.

Để đạt được hiệu quả tối đa, firewall phải được thiết kế một cách sáng tạo

và thông minh mới đáp ứng được nhu cầu của người sở hữu nó Điều đó có thể

là cất những file không thể sử dụng công khai vào một server riêng được vảo vệ

kĩ càng hay hạn chế bớt một vài tính năng của server

Nhưng firewall hay tunnel gì thì cũng chỉ tốt như kế hoạch an toàn mà nó

hỗ trợ Firewall thương khong được sử dụng một cách đúng đắn Có thể có rấtnhiều lỗ hổng trên firewall nếu đó là công cụ bảo toàn duy nhất Điều đó cũnggiống như việc xây một cổng khổng lồ bằng đã giữa sa mạc

Những nhân viên trung thực nhưng không được hướng dẫn đầy đủ cũng

có thể gây hại cho tính an toàn của Internet bất cứ lúc nào Giá modem bây giờrất rẻ vì thế người ta có thể cài đặt chúng trức tiếp lên máy tính của họ và quay

số vào buổi tối để tránh những bất tiện do firewall gây ra

Ngoài ra, còn một số không nhỏ các nhân viên đã để cho password, địachỉ IP và khoá mã của họ rơi vào tay người lạ Công nghệ là một thứ công cụtuyệt vời nhưng nó không thể thay thế nhưng nguyên tắc bảo mật truyền thốngnhư việc thay đổi thường xuyên password, giải thích cho các nhân viên hiểu rõnhững đe doạ an ninh có thể xảy ra Thậm chí với công nghệ Tunnel, việc quản

lí an ninh luộm thuộm có thể gây ra những rắc rối đau đầu Các công ty cũngcần phải xem xét tính an toàn trên Internet từ bên ngoài Việc giảm bớt những gì

đi ra từ Internet cũng quan trọng như hạn chế những gì đi vào đó

4 Việc quản lí an ninh

Người ta đã nhận thấy việc thực hiện, định cấu hình hay quản lí firewallhoặc tunnel là công việc phức tạp và khó khăn với nhiều công ty Từ khi cácfirewall điển hình hay phối họp firewall-tunnel được cấu thành bởi nhiều công

cụ, thường là từ những nhà sản xuất khác nhau, việc đưa công nghệ vào thựchiện những gì có thể là rất đơn giản Mặc dù hầu hết các sản phẩm đều đưa ragiao diện sử dụng đồ hoạ (GUI), còn những tính năng khác được thiết kế theohướng dễ sử dụng thì thách thức vẫn còn đó Công nghệ tunnel có thể trở nênđặc biệt rối rắm Đây không phải là loại công nghệ mà một ai đó có thể đọc bảnghướng dẫn rồi có thể mua ngay nó

Các công ty và các nhà quản lí cũng nên phải theo sát thị trường để có thểchọn ra các giải pháp an ninh cho Internet Nếu chỉ có một sản phẩm duy nhấtđược tung ra trên thị trường, tất cả mọi người sẽ dùng nó Sự lựa chọn phải đượcdựa trên cơ sở môi trường và giá cả cuối cùng đối với công ty của bạn nếunhững thông tin quan trọng lại đi lạc địa chỉ

5 Cấu hình an ninh cho mạng doanh nghiệp

Trên cơ sở cấu hình mặc định, bạn có thể sử dụng tiện ích Local sercurityPolicy (cho mạng Workgroup) hoặc Domain Sercurity Policy (cho mạngdomain) để chỉnh sửa các tham số nhằm tăng cường bảo mật Nếu như mạngthông suốt, mọi phần mềm đều chạy tốt thì bạn có thể an tâm sử dụng nó trongmột thời gian khá dài

Ngày đăng: 24/03/2015, 22:10

Xem thêm

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

Cơ sở hạ tầng khóa công khai (PKI)

Ứng dụng của chứng chỉ số

Công nghệ tunnell Cấu hình an ninh cho mạng doanh nghiệp Giải pháp an toàn trong thanh toán điện tử Những hình thức gian lận trong TMĐT và cách phòng chống 1 Phishing Ping of Death Smurf attack

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w