1.Các vấn đề về an toàn trong TMĐTNỘI DUNG 2.Các loại tội phạm và các dạng tấn công trên mạng 3.Một số giải pháp an toàn trong TMĐT... 1.1: Các vấn đề về an toàn trong thương mại điện tử
Trang 1WELL COME!!!
Trang 2AN NINH TRONG THƯƠNG MẠI
Trang 31.Các vấn đề về an toàn trong TMĐT
NỘI DUNG
2.Các loại tội phạm và các dạng tấn công trên mạng
3.Một số giải pháp an toàn trong TMĐT
Trang 41.1: Các vấn đề về an toàn trong thương mại điện tử
• Thu thập thông tin(Auditing): Quá trình thu thập thông tin về các ý đồ muốn truy cập vào tài
nguyên nào đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động khác
• Sự riêng tư(confidentiality/pryvacy): Là bảo vệ thông tin mua bán của người tiêu dùng.
• Tính toàn vẹn(Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi.
• Không thoái thác(Nonrepudiation): Khả năng không thể từ chối các giao dịch đã thực hiện.
Trang 51.1: Các vấn đề về an toàn trong thương mại điện tử
Trang 61.1: Các vấn đề về an toàn trong thương mại điện tử
Từ hai phía:
Bằng cách nào họ có thể biết đường truyền sẽ không bị theo dõi?
Bằng cách nào họ có thể chắc chắn rằng các thông tin được lưu chuyển giữa hai bên sẽ không
bị thay đổi?
Trang 71.2: Các khía cạnh của an ninh thương mại điện tử
Trang 81.2: Các khía cạnh của an ninh thương mại điện tử
Chống phủ định:
Liên quan đến khả năng đảm bảo các bên tham gia trong thương mại điện tử không phủ động các hành động trực tuyến mà họ đã thực hiện
Tính xác thực:
Liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên internet
+ Làm thế nào để nhận biết được người bán hàng trực tuyến là người có thể khiếu nại được hay những gì khách hàng nói là đúng sự thật
Trang 91.2: Các khía cạnh của an ninh thương mại điện tử
Trang 101.2: Các khía cạnh của an ninh thương mại điện tử
Trang 112 Các loại tội phạm và các dạng tấn công trên mạng.
2.1 Một số loại tội phạm trên mạng internet:
Gian lận trên mạng
Tấn công Cyber
Hackers(tin tặc)
Crackers
Trang 122.1 Một số dạng tội phạm trên mạng internet:
Gian lận trên mạng: Là hành vi gian lận, làm giả để thu nhập bất chính
Tấn công Cyber: Là một cuộc tấn công điện tử để xâm nhập trái phép trên internet vào mạng
mục tiêu, để làm hỏng dữ liệu, chương trình và phần cứng của các website hoặc máy trạm
Trang 132.1 Một số dạng tội phạm trên mạng internet:
Hackers(tin tặc): Là thuật ngữ dùng để chỉ người lập trình tìm cách xâm nhập trái phép vào
các máy tính và mạng máy tính
Crackers: Là người tìm cách bẻ khóa để xâm nhập trái phép vào các máy tính và mạng máy
tính
Trang 142.2.Những nguy cơ đe dọa an ninh TMĐT
Các đoạn mã nguy hiểm
Tin tặc và các chương trình phá hoại
Trang 15Các đoạn mã nguy hiểm
Các đoạn mã nguy hiểm bao gồm nhiều mối đe dọa khác nhau:
- Virus
- Worm
- Những con ngựa thành tơ roa
- Bad applet
Trang 16Các đoạn mã nguy hiểm
Virus: Là một chương trình máy tính, nó có khả năng nhân bản hoặc tự tạo các bản sao của
chính mình và lây lan sang các chương trình, các tệp dữ liệu khác trên máy tính nhằm thực hiện “một mưu” đồ nào đó
Trang 17Các đoạn mã nguy hiểm
Macro virus: chiếm 75%-80% các loại virus được phát hiện Nó chỉ nhiễm vào các tệp ứng
dụng được thảo như: MS word, MS exel, MS powerpoint
Virus tệp: Là những virus lây nhiễm vào các tệp tin có thể thực thi như: *.exe, *.com, *.dll
Nó hoạt động khi chúng ta thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chính mình ở trong các tệp tin khác đang được thực thi tại thời điểm đó trên hệ thống
Trang 18Các đoạn mã nguy hiểm
Virus script: Là một tập các chỉ lệnh trong các ngôn ngữ lập trình như VBScript hay
JavaScript Nó sẽ hoạt động khi ta chạy những tệp chương trình dạng *.vbs hay *.js Ví dụ: virus I LOVE YOU
Trên thực tế các loại virus này thường kết nối với các worm
Worm: là một loại virus chuyên tìm kiếm mọi dữ liệu trong bộ nhớ hoặc trong đĩa và làm
thay đổi nội dung bất kỳ dữ liệu nào mà nó gặp Ví dụ chuyển từ dạng số -> ký tự hoặc tráo đổi các byte được lưu trữ
Trang 19Các đoạn mã nguy hiểm
Con ngựa thành tơ roa (Trojan horse): Bản thân nó không có khả năng nhân bản nhưng nó
tạo cơ hội cho các virus khác xâm nhập vào máy tính
Trang 20Các đoạn mã nguy hiểm
Bad Applet: là một chương trình ứng dụng nhỏ được nhúng trong một phần mềm thực hiện
một nhiệm vụ cụ thể làm tăng khả năng tương tác của website
Các bad applet là đoạn mã di động nguy hiểm Người sử dụng tìm kiếm thông tin hoặc tải các chương trình từ website có chứa bad applet sẽ lây lan sang hệ thống của người sử dụng
Trang 21Tin tặc và chương trình phá hoại
Tin tặc(Hackers): Là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao
gồm lập trình, quản trị và bảo mật Những người này hiểu rõ hoạt động của hệ thống máy tính,
mạng máy tính và dùng kiến thức bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích
tốt xấu khác nhau
Trang 22Tin tặc và chương trình phá hoại
Chương trình phá hoại
1/4/2011 tin tặc sử dụng chương trình phá hoại để tấn công vào các máy chủ có sử dụng phần mềm Internet Information Server nhằm giảm uy tín của phần mềm như hãng hoạt hình Walt Disney, nhật bóa phố Wall
4/2011 vụ tấn công của tin tặc Hàn Quốc vào website của bộ giáo dục Nhật Bản
Trang 23Gian lận thẻ tín dụng
Gian lận thẻ tín dụng xảy ra trong trường hợp thẻ tín dụng bị mất, bị đánh cắp, các thông tin
về số thẻ, mã Pin, các thông tin về khác hàng bị tiết lộ và sử dụng bất hợp pháp
Trong TMĐT các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn
Mối đe dọa lớn nhất trong TMĐT là việc bị mất các thông tin liên quan đến thẻ hoặc các thông tin về sử dụng thẻ trong quá trình diễn ra giao dịch
Trang 25Sự khước từ dịch vụ
Sự khước từ dịch vụ là hậu quả của việc các Hacker sử dụng những giao thông vô ích làm tràn ngập hoặc tắc nghẽn mạng truyền thông hoặc sử dụng một số lượng lớn máy tính tấn công vào một mạng (dưới dạng các yêu cầu phân bố dịch vụ)
Trang 26Kẻ trộm trên mạng
Là một dạng nghe trộm, giám sát sự di chuyển thông tin từ trên mạng
Xem lén thư điện tử: Sử dụng các đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử cho phép người xem lén có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu
Trang 27Sự tấn công từ bên trong doanh nghiệp Là nguy cơ mất an toàn từ thông tin từ chính bên trong nội bộ doanh nghiệp hay tổ chức.
Trang 28Giải pháp về chính sách bảo mậtGiải pháp về công nghệ
3.Một số giải pháp an toàn trên mạng
3.1
3.2
Trang 303.1.1.Kỹ thuật mã hóa thông tin
Khái niệm: là quá trính chuyển văn bản hay các tài liệu gốc thành các văn bản dưới dạng
mật mã để bất cứ ai ngoài người gửi và người nhận đều không đọc được
Mục đích của kỹ thuật mã hóa là đảm bảo an ninh thông tin khi truyền phát
Là kỹ thuật khá phổ biến có khả năng đảm bảo 4 trong 6 khía cạnh của an ninh thương mại điện tử: đảm bảo tính toàn vẹn, chống phủ định, đảm bảo tính xác thực, đảm bảo tính bí mật của thông tin
Trang 313.1.1.Kỹ thuật mã hóa thông tin
Kỹ thuật mã hóa được sử dụng từ thời Ai Cập cổ đại Theo kỹ thuật cổ truyền, thông điệp được
mã hóa bằng tay, sử dụng phương pháp dựa trên các chữ cái của thông điệp
Gồm hai phương án:
+ Kỹ thuật thay thế
+ Kỹ thuật hoán vị
Trang 323.1.1.Kỹ thuật mã hóa thông tin
Trang 333.1.1.Kỹ thuật mã hóa thông tin
Để mã hóa và giải mã cần một giá trị đặc biệt gọi là khóa (key)
Giải mã văn bản khi không biết khóa gọi là phá mã
Các thuật toán mã hóa phải đảm bảo việc phá mã là không thể hoặc cực kỳ khó khăn
Trang 343.1.1.Kỹ thuật mã hóa thông tin
Độ an toàn của giải thuật mã hóa:
An toàn vô điều kiện: bản mã không chứa đủ thông tin để xác định duy nhất nguyên bản tương
ứng Tức là không thể giải mã được cho dù có máy tính có tốc đọ nhan thế nào đi chăng nữa (chỉ duy nhất thuật toán mã hóa độn một lần thỏa mãn an toàn vô điều kiện)
An toàn tính toán: thỏa mãn một trong hai điều kiện
Chi phí phá mã vượt quá giá trị thông tin
Thời gian phá mã vượt quá tuổi thọ thông tin
Trang 353.1.1.Kỹ thuật mã hóa thông tin
Lợi ích của mã hóa thông tin:
Có lợi cho việc bảo vệ và xác nhận
Cung cấp các công cụ để nhận dạng người gửi, xác nhận nội dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thi tín và đả bảo bí mật
Trang 363.1.1.Kỹ thuật mã hóa thông tin
Có hai phương pháp mã hóa:
+ Mã hóa đối xứng (bí mật)
+Mã hóa công khai (bất đối xứng)