Đang tải... (xem toàn văn)
bài giản các mối đe dọa an ninh trong Ecommerce Một số hiểm họa Các email gửi đến Truy xuất trái phép các thông tin số Thông tin thẻ tín dụng rơi vào tay kẻ xấu ........ Hai hình thức thực hiện bảo vệ Vật Lý bảo vệ các thành phần hữu hình Logic bảo vệ các thành phần vô hình
Bài 5 Mối đe dọa an ninh TMĐT Thương Mại Điện Tử Khái niệm việc bảo vệ ◆ Một số hiểm họa ● Các e-mail gửi đến ● Truy xuất trái phép thông tin số ● Thông tin thẻ tín dụng rơi vào tay kẻ xấu ● ◆ Hai hình thức thực bảo vệ ● Vật Lý - bảo vệ thành phần hữu hình ● Logic - bảo vệ thành phần vô hình Khái niệm việc bảo vệ ◆ Các biện pháp phòng vệ trả đũa (bằng hình thức vật lý hay logic) thực nhằm nhận diện, giảm thiểu hay loại bỏ mối đe doạ Các đặc điểm ◆ Bí mật - Secrecy ● Bảo đảm tính xác liệu ngăn ngừa thông tin riêng tư bị tiết lộ ◆ Toàn ● Cập ◆ Đáp vẹn - Integrity nhật trái phép thông tin ?? ứng - Necessity ● Từ chối hay đáp ứng thông tin không kịp thời ?? Bản quyền sở hữu trí tuệ ◆ Bản ● Một quyền-quyền tác giả số lĩnh vực Văn chương, âm nhạc ◆ Kịch, múa ◆ Tranh, hình ảnh, tượng, ◆ Sản phẩm điện ảnh, nghe nhìn, ◆ Công nghiệp âm ◆ Kiến trúc ◆ ◆ Bản quyền sở hữu trí tuệ ◆ Sở hữu trí tuệ-Intellectual property ● Bảo vệ tác quyền cho ý tưởng thể (vô hình hay hữu hình) từ ý tưởng ◆ U.S Copyright Act 1976 ● Bảo vệ quyền tác giả thời gian hạn định ● Copyright Clearance Center ◆ Cấp giấy phép sử dụng SPAM dụng Internet phải đối mặt với nhiều rủi ro : ◆ Sử ● virus ● lừa đảo ● theo dõi (gián điệp – spyware) ● bị đánh cắp liệu, bị đánh phá website (nếu chủ sở hữu website) v.v ◆ Spam (thư rác): người nhận nhiều thư rác, gây thời gian, tài nguyên (dung lượng chứa, thời gian tải ) VIRUS ◆ Xuất lần vào năm 1983 ◆ Virus chương trình máy tính có khả tự nhân lan tỏa ◆ Mức độ nghiêm trọng virus dao động khác tùy vào chủ ý người viết virus : ● chiếm tài nguyên máy tính ● xóa file, format lại ổ cứng ● gây hư hỏng khác VIRUS ◆ ◆ ◆ ◆ Trước virus chủ yếu lan tỏa qua việc sử dụng chung file, đĩa mềm Ngày môi trường Internet, virus có hội lan tỏa rộng hơn, nhanh Virus đa phần gửi qua email, ẩn file gửi kèm (attachment) lây nhiễm mạng nội doanh nghiệp, làm doanh nghiệp phải tốn thời gian, chi phí, hiệu quả, liệu Cho đến hàng chục nghìn loại virus nhận dạng ước tính tháng có khoảng 400 loại virus tạo WORM ◆ Sâu máy tính (worms): sâu máy tính khác với virus chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống ◆ Ví dụ: sâu mạng (network worm) tự nhân toàn hệ thống mạng ◆ Sâu Internet tự nhân tự gửi chúng qua hệ thống Internet thông qua máy tính bảo mật ◆ Sâu email tự gửi nhân chúng qua hệ thống email 10 Bảo vệ phía doanh nghiệp ◆ Tự bảo vệ password : doanh nghiệp có tài khoản quan trọng mạng (tài khoản với nhà cung cấp dịch vụ xử lý toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host ) người biết password tài khoản tốt Khi nhân viên nắm tài khoản nghỉ việc nên thay đổi password tài khoản 40 Bảo vệ phía doanh nghiệp ◆ ◆ An toàn mạng nội : doanh nghiệp có mạng nội an toàn mạng nội phải lưu ý Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v An toàn liệu, thông tin : thông tin quan trọng không cần chia sẻ cho nhiều người không nên lưu mạng nội bộ, lưu thư mục có password bảo vệ, nên có back-up (sao lưu) lưu đĩa CD v.v 41 Các mối đe dọa với CSDL ◆ Các thông in riêng tư, có giá trị bị tiết lộ : gây thiệt hại bù đắp cho công ty ◆ Bảo mật thực thông qua quyền hạn sử dụng qui định ◆ Nhiều phần mềm CSDL tính bảo mật cao phó thác vào bảo mật website 42 Oracle Security Features Page 43 Các mối đe dọa khác ◆ Các mối đe dọa từ Common Gateway Interface (CGI) ● Nếu không sử dụng cách, chương trình CGIs mối đe dọa tiềm ẩn ● Các chương trình CGI thường lưu trú nhiều nơi Website kho theo dõi , lần dấu vết để phát sai sót ● CGI scripts không hoạt động JavaScript (với chế sandbox) 44 Các mối đe dọa khác ◆ Các đe dọa từ chương trình bao gồm: ● Các chương trình hoạt động server ● Lỗi tràn đệm(Buffer overruns) ● Gây tình trạng “Runaway code segments” ◆ Sâu Internet (Internet Worm) hình thái runaway code segment ● Tấn công từ đoạn mã xâm nhập bất hợp pháp tạo tình trạng”Buffer overflow” : chúng tìm cách chiếm dụng điều khiển xác thực 45 Tấn công dạng Buffer Overflow 46 Computer Emergency Response Team (CERT) ◆ Đặt Carnegie Mellon University ◆ Chịu trách nhiệm theo dõi, phát hiện, cảnh báo, vấn đề an toàn , an ninh mạng ◆ Gửi cảnh báo (CERT alerts) đến cộng đồng Internet mối đe dọa bảo mật 47 CERT Alerts 48 Một vài đề nghị ◆ ◆ Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ chịu trách nhiệm việc tăng cường an toàn mạng, an toàn thông tin cho họ, có nghĩa cho website ta Sau login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), phải thực động tác logout (thoát) để đảm bảo cửa ngõ phải khóa lại sau thoát 49 Một vài đề nghị ◆ Không truy cập vào hệ thống sử dụng máy tính công cộng ◆ Không mở email có file gửi kèm (attachment) mà người gửi xa lạ ◆ Những email mang tên người gửi Microsoft, Yahoo ,…: thủ thuật giả danh hacker để lừa 50 Một vài đề nghị ◆ Mối lo ngại bị ăn cắp số thẻ tín dụng mua hàng mạng bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp) ● Nếu người mua: nên mua hàng website tốt, tin cậy ● Làm để đánh giá website tin cậy ? 51 Một vài đề nghị ◆ Tên tuổi người bán ◆ Trình bày gian hàng cách chuyên nghiệp, lỗi tả, câu cú rõ ràng v.v… ◆ Đọc phần About Us họ để tìm địa văn phòng cụ thể ◆ Đừng cung cấp thông tin thẻ tín dụng cho website khiêu dâm mạng 52 Một vài đề nghị ◆ Nếu ● Nên người bán : nhờ trung gian để xử lý thẻ tín dụng ● Phải trả môt khoản chi phí % dựa doanh thu cho họ ● Đảm bảo kỹ thuật ● Thông thường phải gửi hàng đi, người mua nhận hàng mới nhận tiền vào tài khoản bạn ● Nếu gặp phải thẻ tín dụng bất hợp pháp trắng hàng khoản chi phí xử lý thẻ ● Trong kinh doanh có rủi ro !!!!! 53 Bài Kỳ Sau Thực Hiện Bảo Mật Thương Mại Điện Tử 54 ... truy nhập tài nguyên ? 18 Mối đe dọa với sở hữu trí tuệ ◆ Mạng Internet : tác nhân lôi kéo tình trạng (mối đe dọa) vấn đề bảo vệ sở hữu trí tuệ ● Dễ dàng thu thập “tái tạo các thông tin, sản phẩm,... Cybersquatters mạo danh chủ thương hiệu nhằm mục đích xuyên tạc, lừa dối ◆ 20 Các mối đe dọa ◆ Phía máy NSD ● Active Content Java applets, Active X controls, JavaScript, VBScript ◆ Các chương trình... nhân Trojan) 11 TROJAN ◆ ◆ ◆ Người sử dụng máy tính bị nhiễm Trojan bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng thông tin quan trọng khác Phương pháp thông dụng dùng để cài Trojan gửi