Đang tải... (xem toàn văn)
SLIDE GIẢNG DẠY - THƯƠNG MẠI ĐIỆN TỬ - CHƯƠNG 5 - AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ
Các vấn đề an toàn thương mại điện tử Các loại tội phạm dạng công mạng Một số giải pháp an toàn thương mại điện tử www.viethanit.edu.vn 27/06/17 Một số khái niệm an toàn bảo mật - Quyền phép (Authorization): Quá trình đảm bảo cho người có quyền truy cập vào số tài nguyên mạng - Xác thực (Authentication): Quá trình xác thực thực thể xem họ khai báo với quan xác thực họ www.viethanit.edu.vn 27/06/17 - Thu thập thông tin (Auditing): Quá trình thu thập thông tin ý đồ muốn truy cập vào tài nguyên mạng cách sử dụng quyền ưu tiên hành động khác - Sự riêng tư (Confidentiality/Privacy): bảo vệ thông tin mua bán người tiêu dùng - Tính toàn vẹn (Integrity): Khả bảo vệ liệu không bị thay đổi - Không thoái thác (Nonrepudiation): Khả từ chối giao dịch thực www.viethanit.edu.vn 27/06/17 Ví dụ: ◦Bob chờ Alice “xác nhận” đến thời điểm thực công việc ◦Cần đảm bảo Eve không can thiệp để tạo “xác nhận” giả Xác thực (Authentication), Định danh (identification) Alice Bob Eve Ví dụ: ◦Bob cần đảm bảo nhận xác nội dung mà Alice gửi ◦Cần đảm bảo Eve không can thiệp để sửa nội dung thông điệp mà Alice gửi cho Bob Tính toàn vẹn thông tin (Integrity) Alice Eve Bob Ví dụ: ◦Bob nhận thông điệp mà Alice gửi ◦Alice “chối” không gửi thông điệp cho Bob Chống lại thoái thác trách nhiệm (Non-repudiation) Alice Bob Các vấn đề an toàn bảo mật đặt TMĐT Từ góc độ người sử dụng: - Làm biết Web server sở hữu doanh nghiệp hợp pháp? - Làm biết trang Web không chứa đựng nội dung hay mã chương trình nguy hiểm? - Làm biết Web server không lấy thông tin cung cấp cho bên thứ ba? www.viethanit.edu.vn 27/06/17 Từ góc độ doanh nghiệp: -Làm biết người dùng ý định phá hoại làm thay đổi nội dung trang Web website? -Làm biết họ có làm gián đoạn hoạt động server hay không? www.viethanit.edu.vn 27/06/17 Từ hai phía -Bằng cách họ biết đường truyền không bị theo dõi? -Bằng cách họ chắn thông tin lưu chuyển bên không bị thay đổi? www.viethanit.edu.vn 27/06/17 10 Demo3 Dữ liệu bị công đường truyền MIM (Man in Middle) ? …… Rút Chuyển $5,000,000 khoản $5,000,000 Mã qua tài tài khoản: khoản NHB-8888888 NHB-212551245 Mã tài khoản: NHB-212551245 … … - Các bên giao dịch TMĐT muốn chắn đối tác xác thực, khóa công khai chữ ký điện tử đối tác, không giả danh đối tác để thực giao dịch - Các quan chứng nhận (Certificate Authority – CA) đứng xác thực chữ ký điện tử (hay khóa công khai) cá nhân hay tổ chức cụ thể - Để xác thực, cá nhân hay tổ chức phải cung cấp cho quan chứng nhận chứng cớ định danh www.viethanit.edu.vn 27/06/17 65 Cơ quan chứng nhận vào tạo thông điệp gọi chứng thực điện tử (digital certificate) bao gồm thông tin: • • • • • • • Tên cá nhân tổ chức Khóa công khai Số định danh chứng thực điện tử Thời hạn hiệu lực Ngày cấp Chữ ký quan chứng nhận Các thông tin nhận dạng khác www.viethanit.edu.vn 27/06/17 66 Các chứng thực điện tử sở giao thức an toàn giao dịch điện tử Tập hợp hệ thống quan chứng nhận thủ tục chứng thực điện tử tất đối tượng tham gia TMĐT chấp nhận hình thành sở hạ tầng khóa công khai (Public Key Infrastructure – PKI) www.viethanit.edu.vn 27/06/17 67 Tổ chức Cá nhân Yêu cầu cấp chứng nhận Cơ quan chứng nhận Nhận chứng nhận Tham gia giao dịch mua bán trực tuyến www.viethanit.edu.vn 27/06/17 68 Phân loại Loại 1, đơn giản bao gồm thông tin kiểm tra tối thiểu tên, địa địa email Sau kiểm tra, nhận giấy chứng nhận số hoá Loại 2, bao gồm thông tin lái xe, sổ bảo hiểm xã hội ngày sinh Loại 3, bao gồm thông tin loại séc tín dụng Loại bao gồm thông tin chức vụ cá nhân tổ chức, đồng thời việc xác nhận không thiết chấm dứt với thông tin www.viethanit.edu.vn 27/06/17 69 Demo4 Giải mã & liệu Xác Tài nhận chữ ký Tổ chức chứng nhận (CA) Chứng nhận hợp lệ trị Thông tin & giáPublic Ok! Tin tưởng chấp Đáng tin & cậy ? nhận đề nghị Tạo chứng nhận Xác thực chứng nhận Chứng nhận Yêu cầu cấp Ký X.509 chứng nhận theo & Chuẩn X.509 MãPrivate hóa Tài Public liệu Thông tin key key key Demo5 Xin Giaocấp dịch chứng với nhận Ngân hàng Yêu cầu chứng thực Chứng Chấp nhậnnhận giao dịch xác thực thực ?OK! Chứng nhận xác thực Chứng nhận không tồn Demo6 Khóa bí mật bị CA BẺ ! ? Xác thực Hủy chứng chứng nhận nhận Private key ChYứng nh cầuậH nđ ỦãYbịcH hứỦ ngYnnhgậàny 1/8/2003 3:10:2 Hủy Chứng nhận bị HỦY vào 1/8/2003 3:10:22 Cần chứng thực giao dịch giấy chứng nhận An ninh mạng - Mục tiêu an ninh mạng cho phép người sử dụng phép truy cập thông tin dịch vụ đồng thời ngăn cản người sử dụng không phép truy cập vào hệ thống www.viethanit.edu.vn 27/06/17 73 Bức tường lửa - Là phương pháp áp dụng an ninh hệ thống - Bảo vệ mạng lan khỏi người xâm nhập từ bên - Là phần mềm phần cứng cho phép người sử dụng mạng máy tính tổ chức truy cập tài nguyên mạng khác đồng thời ngăn cản người sử dụng khác truy cập vào mạng máy tính www.viethanit.edu.vn 27/06/17 74 Đặc điểm tường lửa - Tất giao thông bên mạng máy tính ngược lại phải qua - Chỉ giao thông phép, theo qui định an ninh mạng máy tính qua - Không phép thâm nhập vào hệ thống www.viethanit.edu.vn 27/06/17 75 Phân loại - Tường lửa lọc gói - Cổng ứng dụng - Cổng mức mạch www.viethanit.edu.vn 27/06/17 76 Chức tự bảo vệ hệ điều hành •Authentication: kiểm tra username, password user đăng nhập •Authorization: cấp phép sử dụng tài nguyên cho user •Accounting: ghi lại nhật ký truy cập user Phần mềm diệt virus •Nhận biết tiêu diệt hầu hết loại virus thông thường chúng xâm nhập vào máy tính ẩn nấp đĩa cứng •Phải cập nhật thường xuyên có khả phát tiêu diệt loại virus liên tục xuất Phần mềm hệ thống phát xâm nhập •Dò tìm nhận biết công cụ mà tin tặc thường dùng hành động khả nghi www.viethanit.edu.vn 27/06/17 77 3.2 Chính sách bảo mật Sự cần thiết Một số sách Triển khai www.viethanit.edu.vn 27/06/17 78 ...1 Các vấn đề an toàn thương mại điện tử Các loại tội phạm dạng công mạng Một số giải pháp an toàn thương mại điện tử www.viethanit.edu.vn 27/06/17 Một số khái niệm an toàn bảo mật - Quyền phép... không bị thay đổi? www.viethanit.edu.vn 27/06/17 10 www.viethanit.edu.vn 27/06/17 11 - Gian lận mạng: hành vi gian lận, làm giả để thu nhập bất - Tấn công Cyber: công điện tử để xâm nhập trái phép... (Non-repudiation) Alice Bob Các vấn đề an toàn bảo mật đặt TMĐT Từ góc độ người sử dụng: - Làm biết Web server sở hữu doanh nghiệp hợp pháp? - Làm biết trang Web không chứa đựng nội dung hay mã chương