Bảo mật dịch vụ thương mại điện tử Bảo mật dịch vụ thương mại điện tử Bởi: Khoa CNTT ĐHSP KT Hưng Yên Đặt vấn đề An toàn thông tin hệ thống thương mại điện tử Mối đe dọa hậu tiềm ẩn thông tin hệ thống mạng phục vụ hoạt động TMĐT lớn, đánh giá nhiều khía cạnh khác, như: kiến trúc hệ thống công nghệ thông tin, từ sách bảo mật thông tin, công cụ quản lý kiểm tra, quy trình phản ứng, v.v Nguy rủi ro tiềm ẩn kiến trúc hệ thống công nghệ thông tin, là: tổ chức hệ thống kỹ thuật cấu trúc bảo vệ an toàn thông tin; tổ chức khai thác CSDL, quản lý, lưu trữ đặt thông tin phân loại; cấu tiếp cận từ xa; sử dụng phần mềm ứng dụng; chương trình kiểm tra, kiểm soát người sử dụng, phát xử lý cố, v.v; Nguy an toàn thông tin tiềm ẩn sách bảo-mật/an-toàn thông tin, là: chấp hành chuẩn an toàn, tức xác định rõ ràng phép không phép vận hành hệ thống thông tin; thiết lập trách nhiệm bảo vệ thông tin không rõ ràng; việc chấp hành sử dụng chuẩn bảo mật thông tin phân cấp, chuẩn an toàn mạng, truy cập từ bên ngoài, chuẩn an toàn tường lửa; sách an toàn Internet,v.v; Thông tin hệ thống TMĐT dễ bị tổn thất công cụ quản lý kiểm tra tổ chức quản lý điều khiển hệ thống không thiết lập như: quy định mang tính hành trì kiểm tra tiêu chuẩn bảo mật thường xuyên; công cụ phát âm mưu xâm nhập nhằm báo trước ý đồ tiếp cận trái phép giúp đỡ phục hồi cố vốn không tránh khỏi; công cụ kiểm tra tính toàn vẹn liệu thông tin tránh bị cá nhân bất hợp pháp phương tiện khác thay đổi; công cụ chống virus,v.v; 1/7 Bảo mật dịch vụ thương mại điện tử Nguy thông tin hệ thống TMĐT tiềm ẩn cấu trúc phần cứng thiết bị tin học (tất nhiên tất cả) phần mềm hệ thống ứng dụng (kể phần mềm mật mã thương mại) hãng sản xuất cài sẵn loại “rệp” điện tử theo ý đồ định trước-thường gọi “bom điện tử” Khi cần thiết, thông qua kênh viễn thông, người ta điều khiển cho “nổ” tung thiết bị lưu trữ thông tin, tự động rẽ nhánh thông tin vào địa định trước có truyền xử lý thông tin thiết bị (hay sử dụng phần mềm chương trình đó) mạng, chí điều khiển làm tê liệt làm tắc nghẽn hoạt động trao đổi thông tin hệ thống mạng cần, v.v Ngày nay, chuyên gia đánh giá nguy tiềm tàng nguy hiểm mạng máy tính mở đạo tặc tin học, xuất từ phía bọn tội phạm giới tình báo Nguy hiểm bởi: xuất phát từ phía kẻ có chuyên môn cao sử dụng kỹ thuật tinh vi (như đoán mật khẩu, khai thác điểm yếu hệ thống chương trình hệ thống, giả mạo địa IP, khai thác nguồn gói IP, đón lõng trạm đầu cuối truy cập hoạt động, cài rệp điện tử, bơm virus máy tính phá hoại CSDL, sửa nội dung thông tin theo ý đồ đen tối chúng, chí cần làm tắc nghẽn kênh truyền, v.v); hoạt động chúng có chủ đích phạm vi rộng (như quan, doanh nghiệp mà Chính phủ) Những tác hại mà chúng gây ảnh hưởng tới không riêng lĩnh vực kinh tế mà lĩnh vực trị, an ninh-quốc phòng Bởi vậy, vấn đề bảo mật/an toàn thông tin hệ thống TMĐT phải kế hoạch tổng thể Chính phủ, không đơn có lĩnh vực sử dụng mật mã Yêu cầu bảo mật thông tin cho chủ thể tham gia TMĐT Việc phân tích nguy tiềm ẩn cho thấy vấn đề bảo mật thông tin chủ thể tham gia TMĐT quan trọng việc hoạch định phương án bảo mật thông tin hệ thống TMĐT Các chủ thể tham gia TMĐT người tiêu dùng, doanh nghiệp (nhà nước tư nhân) Chính phủ, mối quan tâm bảo mật thông tin chủ thể có mục đích giống song yêu cầu hoàn toàn khác khác yêu cầu bảo mật thông tin có chủ thể thông tin giao dịch với chủ thể khác có nguy đe doạ an toàn thông tin khác Ví dụ như: Người tiêu dùng cần quan tâm đến bảo mật riêng tư trình toán ngân hàng; doanh nghiệp quan tâm chủ yếu đến việc bảo mật thông tin mang tính cạnh tranh; Chính phủ mối quan tâm bảo mật thông tin cao hơn, để mặt chống xâm hại bọn đạo tặc kinh tế, mặt khác chống việc ăn cắp thông tin giới tình báo nước bọn chống đối chế độ Do đó, việc bảo mật thông tin cho chủ thể tham gia TMĐT cần tính đến tính chất yêu cầu chủ thể để xây dựng phương án bảo mật thông tin tiết kiệm hiệu Không thể có phương án chung cho đối tượng 2/7 Bảo mật dịch vụ thương mại điện tử Một khía cạnh khác quan trọng cần phải tiên liệu trình xây dựng phương án bảo mật thông tin hệ thống TMĐT, luồng thông tin dạng thức thông tin giao tiếp hệ thống TMĐT để xác định phương thức tổ chức hệ thống kỹ thuật mật mã (KTMM) phù hợp nhằm bảo mật thông tin có hiệu Có loại giao tiếp thông tin hệ thống TMĐT: (1) người với người, (2) người với máy tính, (3) máy tính điện tử với người, (4) máy tính điện tử với máy tính điện tử Với dạng thức chủ yếu: (1) thư điện tử, (2) toán điện tử, (3) trao đổi EDI, (4) giao gửi số hoá dung liệu-tức việc trao đổi, mua bán hàng hoá thực trực tuyến mạng nội dung hàng hóa (còn gọi hàng hóa mềm), (5) bán lẻ hàng hóa hữu hình Trong dạng thức trên, EDI dạng có cấu trúc phải đặc biệt ý Uỷ ban Liên hợp quốc luật thương mại quốc tế (UNCITRAL) định nghĩa pháp lý sử dụng bình diện toàn cầu Với luồng thông tin dạng thức thông tin trao đổi phức tạp hệ thống TMĐT, hình dung khó khăn việc bố trí KTMM quản lý phân phối sử dụng khóa mật mã Các mâu thuẫn nảy sinh từ vấn đề sử dụng mật mã để bảo mật thông tin hệ thống TMĐT Như ta phân tích cho thấy lợi ích tầm quan trọng việc bảo mật thông tin hệ thống thông tin máy tính (và TMĐT) cần thiết Song vấn đề sử dụng mật mã để bảo mật thông tin hệ thống TMĐT lại nảy sinh vấn đề tranh cãi (không vấn đề kỹ thuật, mà vấn đề pháp lý, chí vấn đề văn hóa đạo đức), khuôn khổ quốc gia, mà diễn đàn tổ chức quốc tế Các mâu thuẫn gây tranh cãi nảy sinh từ yếu tố khách quan liên quan đến việc bảo vệ lợi ích đáng chủ thể tham gia TMĐT bảo mật thông tin cho TMĐT Trước hết, việc vừa bảo đảm khả tiếp cận rộng rãi chủ thể, vừa cung cấp mức độ hợp lý sản phẩm bảo mật thông tin đặc thù tài sản tính toán Đây toán khó quan quản lý, cung cấp dịch vụ mật mã cho chủ thể tham gia TMĐT Sao cho làm hài hòa lợi ích lực lượng: Người sử dụng, Người nghiên cứu, Người sản xuất, Nhà nước vì: Người sử dụng (cá nhân, tổ chức) mong muốn thông tin bảo mật mức cao nhất, đồng thời lại không muốn kiểm soát Chính phủ (nhất quan an ninh) tài sản thông tin riêng mình; Người nghiên cứu (nhà nước, tư nhân) mong muốn kiểm soát hạn chế nghiên cứu sử dụng mật mã để họ có diễn đàn rộng rãi nhằm triển khai, chia sẻ công bố kết nghiên cứu; Người sản xuất sản phẩm mật mã muốn bị kiểm soát tốt họ có thị trường rộng loại sản phẩm họ sản xuất ra; 3/7 Bảo mật dịch vụ thương mại điện tử Nhà nước: lợi ích cộng đồng an ninh quốc gia, Nhà nước muốn việc triển khai mật mã hệ thống TMĐT không làm ảnh hưởng đến khả phát truy bắt tội phạm làm phương hại đến lợi ích quốc gia Một nguyên nhân khác tác động từ bên làm tăng mức độ mâu thuẫn lực lượng nói trên, việc tuyên truyền quảng cáo chí cung cấp miễn phí số sản phẩm mật mã cho TMĐT số “cường quốc” CNTT mục đích riêng họ, nên làm cho nhiều người lầm tưởng hội cần phải tận dụng, bỏ qua lời khuyên Oliver Lau: “Đừng dựa vào sản phẩm Hoa Kỳ từ đầu có nhiều mong muốn không an toàn mặt trị, “cửa sau” hệ thống bảo mật/an toàn bị bỏ ngỏ, v.v Hãy thận trọng, gọi công khai đâu” Để làm cân yêu cầu bảo mật thông tin chủ thể tham gia TMĐT bảo vệ quyền lợi quốc gia trước “xâm lược” thông tin cường quốc công nghệ cao, nên sách mật mã chế kiểm soát mật mã cho TMĐT Chính phủ nước không giống Hiện nay, nội dung chủ đề gây tranh luận sôi nổi, nội quốc gia, mà diễn đàn quốc tế Mặc dù vậy, Chính phủ nước vào trình độ phát triển đặc thù tổ chức xã hội nước để đề sách chế kiểm soát việc sử dụng mật mã hữu hiệu để bảo vệ quyền lợi quốc gia Các giải pháp an toàn thông tin thương mại điện tử Vấn đề bảo mật thông tin hệ thống TMĐT nhìn nhận cách toàn diện thực vấn đề phức tạp bao hàm nhiều khía cạnh, không đơn giản lời khuyên số chuyên gia nghiệp dư CNTT “muốn tiếp cận với Internet trang bị tường lửa, cần bảo vệ mã hóa mật đủ để xác thực” Thực tế quy trình bảo mật thông tin hệ thống TMĐT muốn đạt hiệu thiết thực tiết kiệm cần phải hiểu theo khái niệm ‘biết cách bảo vệ để chống lại công tiềm ẩn’ ” Bởi vậy, phải tổng hòa giải pháp hạ tầng sở bảo mật Đó là: Pháp lý tổ chức: trước hết phải xây dựng sách mật mã cho TMĐT rõ ràng tiên liệu được, phản ánh cân quyền lợi chủ thể tham gia TMĐT, quan tâm tính riêng tư an toàn xã hội, bảo đảm thi hành pháp luật lợi ích an ninh quốc gia; ban hành luật chứng “hồ sơ điện tử”, tiêu chuẩn mật mã chữ ký điện tử sử dụng TMĐT, giải khiếu nại tố cáo có tranh chấp liên quan đến sử dụng mật mã; tổ chức quan chứng nhận, cấp phép, quản lý phân phối sản phẩm mật mã, phản ứng giải cố, tra kiểm tra, vấn đề lưu trữ phục hồi khoá, v.v; 4/7 Bảo mật dịch vụ thương mại điện tử Về kỹ thuật: Kết hợp chặt chẽ với hạ tầng công nghệ, quy định thống tiêu chuẩn cấu trúc thiết lập hệ thống mạng sử dụng công nghệ, ngôn ngữ giao tiếp phần mềm ứng dụng, tổ chức hệ thống chứng thực phân phối khóa mã, công cụ nghiệp vụ kỹ thuật kiểm tra phát xâm nhập, dự phòng, khắc phục cố xẩy KTMM sử dụng hệ thống TMĐT, v.v; Về phía người sử dụng (tổ chức, cá nhân): trước hết phải “giác ngộ” bảo mật thông tin hệ thống TMĐT, họ cần biết phải bảo vệ hệ thống họ, ước định mức rủi ro nguy tiềm tàng kết nối mạng với đối tượng khác, việc mở rộng mạng tương lai, v.v để họ có ý thức đầu tư bảo mật cho hệ thống họ từ bắt đầu xây dựng; chấp nhận chấp hành sách, quy định pháp luật sử dụng mật mã, phải chịu trách nhiệm trước pháp luật bảo vệ bí mật quốc gia trình xử lý truyền tải thông tin hệ thống TMĐT, v.v Với hệ thống thông tin mở, sử dụng công nghệ đa phương tiện mặt lý thuyết có vấn đề bảo mật thông tin 100%, điều cốt yếu phải biết tiên liệu nguy công tiềm ẩn cần phải bảo vệ cần bảo vệ cho hiệu hệ thống Cuối cùng, yếu tố người định Con người không đào tạo kỹ ý thức bảo mật kẽ hở cho kẻ bất lương khai thác, người hệ thống phản bội lại lợi ích quan, xí nghiệp rộng quốc gia giải pháp kỹ thuật bảo mật có hiệu Nói cách khác, bảo mật thông tin hệ thống TMĐT cần phải bổ sung giải pháp an toàn nội đặc biệt chống lại đe doạ từ bên Ứng dụng kỹ thuật bảo mật giao dịch điện tử Có hình thức toán điện tử sử dụng rộng rãi giao dịch thương mại điện tử bao gồm [14]: • Thanh toán qua chuyển khoản điểm bán bao gồm giao dịch thẻ tín dụng • Thanh toán qua dẫn ngân hàng bao gồm việc trao đổi liệu điện tử tài chính, điện thoại hệ thống trả lời tự động • Thanh toán séc điện tử • Thanh toán thẻ thông minh • Thanh toán tiền mặt điện tử Trong phần xem xét việc ứng dụng kỹ thuật bảo mật học để bảo vệ thông tin séc điện tử trình giao dịch sử dụng séc Hình 8.1 quy trình mua hàng toán Internet sử dụng séc điện tử 5/7 Bảo mật dịch vụ thương mại điện tử Quy trình mua bán sử dụng séc điện tử mô tả cấu trúc séc điện tử sử dụng kỹ thuật mã hóa, kỹ thuật băm xác thực điện tử mô tả quy trình xử lý séc điện tử phía người bán hàng 6/7 Bảo mật dịch vụ thương mại điện tử Quy trình xử lý séc điện tử 7/7 ... để bảo vệ thông tin séc điện tử trình giao dịch sử dụng séc Hình 8.1 quy trình mua hàng toán Internet sử dụng séc điện tử 5/7 Bảo mật dịch vụ thương mại điện tử Quy trình mua bán sử dụng séc điện. .. séc điện tử mô tả cấu trúc séc điện tử sử dụng kỹ thuật mã hóa, kỹ thuật băm xác thực điện tử mô tả quy trình xử lý séc điện tử phía người bán hàng 6/7 Bảo mật dịch vụ thương mại điện tử Quy trình.. .Bảo mật dịch vụ thương mại điện tử Nguy thông tin hệ thống TMĐT tiềm ẩn cấu trúc phần cứng thiết bị tin học (tất nhiên tất cả) phần mềm hệ thống ứng dụng (kể phần mềm mật mã thương mại)