BAN CƠ YẾU CHÍNH PHỦ BÁO CÁO ĐỀ TÀI NHÁNH NGHIÊN CỨU, XÂY DỰNG GIẢI PHÁP BẢO MẬT THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ” “ Thuộc đề tài : “Nghiên cứu số vấn đề kỹ thuật, công nghệ chủ yếu thương mại điện tử triển khai thử nghiệm - mã số KC.01.05” Hà nội, tháng nm 2004 nội dung Chơng 1: Các hiểm hoạ an toàn thơng mại điện tử 1.1 Giíi thiƯu .4 1.2 Các hiểm hoạ sở hữu trí tuệ .7 1.3 C¸c hiĨm hoạ thơng mại điện tử Chơng 2: Thực thi an toàn cho thơng mại điện tử 20 2.1 Bảo vệ tài sản thơng mại ®iƯn tư 20 2.2 Bảo vệ sở hữu trí tuệ .21 2.3 B¶o vƯ c¸c m¸y kh¸ch 22 2.4 Bảo vệ kênh thơng mại điện tử .27 2.5 Đảm bảo tính toàn vẹn giao dịch 36 2.6 Bảo vệ máy chủ thơng mại 39 2.7 Tãm t¾t 41 Ch−¬ng 3: Mét sè kü thuËt an toàn áp dụng cho thơng mại điện 43 3.1 MËt m· ®èi xøng 43 3.2 Mật mã khoá công khai 45 3.3 Xác thực thông báo hàm băm 60 3.4 Ch÷ ký sè 71 Ch−¬ng 4: Chøng chØ ®iƯn tư 79 4.1 Giíi thiƯu chứng khoá công khai 79 4.2 Quản lý cặp khoá công khai khoá riêng 85 4.3 Phát hành chứng 89 4.4 Ph©n phèi chøng chØ 92 4.5 Khuôn dạng chứng X.509 .94 4.6 ViÖc thu håi chøng chØ 107 4.7 CRL theo X.509 114 4.8 Cặp khoá thời hạn hợp lệ chøng chØ 121 4.9 Chøng thùc th«ng tin ủ qun .123 4.10 Tãm t¾t 128 Chơng 5: Cơ sở Hạ tầng khoá công khai .131 5.1 Các yêu cầu 131 5.2 C¸c cÊu tróc quan hƯ cđa CA 132 5.3 C¸c chÝnh s¸ch cđa chøng chØ X.509 145 5.4 Các ràng buộc tên X.509 .150 5.5 Tìm đờng dẫn chứng thực phê chuẩn .152 5.6 Các giao thức quản lý chứng chØ 154 5.7 Ban hµnh luËt 155 Chữ ký điện tử hoạt động thơng mại điện tử 156 Phần A: Cơ sở công nghƯ cho ch÷ ký sè .170 Phần B: Cơ sở pháp lý cho ch÷ ký sè .195 Các vấn đề lý thuyết Trong phần trình bầy vần đề lý thuyết phục vụ cho việc xây dựng giải pháp an toàn TMĐT trình bầy phần Chơng 1: Các hiểm hoạ an ton thơng mại điện tử 1.1 Giíi thiƯu Khi Internet míi ®êi, th− tÝn điện tử ứng dụng phổ biến nhÊt cđa Internet Tõ cã th− tÝn ®iƯn tư, ngời ta thờng lo lắng đặt vấn đề nghi ngờ, th điện tử bị đối tợng (chẳng hạn, đối thủ cạnh tranh) chặn đọc công ngợc trở lại hay không? Ngày nay, mối hiểm hoạ lớn Internet ngày phát triển cách mà cã thĨ sư dơng nã còng thay ®ỉi theo Khi đối thủ cạnh tranh truy nhập trái phép vào thông báo thông tin số, hậu nghiêm trọng nhiều so với trớc Trong thơng mại điện tử mối quan tâm an toàn thông tin phải đợc đặt lên hàng đầu Một quan tâm điển hình ngời tham gia mua bán Web số thẻ tín dụng họ có khả bị lộ đợc chuyển mạng hay không Từ 30 năm trớc xảy điều tơng tự mua bán sử dụng thẻ tín dụng thông qua điện thoại: Tôi tin cậy ngời ghi lại số thẻ tín dụng đầu dây bên hay không? Ngày nay, khách hàng thờng đa số thẻ tín dụng thông tin khác họ thông qua điện thoại cho ngời xa lạ, nh−ng nhiỊu ng−êi sè hä l¹i e ng¹i làm nh qua máy tính Trong phần này, xem xét vấn đề an toàn phạm vi thơng mại điện tử đa nhìn tổng quan nh giải pháp thời An toàn máy tính: Chính việc bảo vệ tài sản không bị truy nhập, sử dụng, phá huỷ trái phép có hai kiểu an toµn chung: vËt lý vµ logic An toµn vËt lý bao gồm việc bảo vệ thiết bị (ví dụ nh báo động, ngời canh giữ, cửa chống cháy, hàng rào an toàn, tủ sắt hầm bí mật nhà chống bom) Việc bảo vệ tài sản không sử dụng biện pháp bảo vệ vật lý gọi an toàn logic Bất kỳ hoạt động đối tợng gây nguy hiểm cho tài sản máy tính đợc coi nh hiểm hoạ Biện pháp đối phó: Đây tên gọi chung cho thủ tục (có thể vật lý logic) phát hiện, giảm bớt loại trừ hiểm hoạ Các biện pháp đối phó thờng biến đổi, phụ thuộc vào tầm quan trọng tài sản rủi ro Các hiểm hoạ bị coi rủi ro thấp xảy đợc bỏ qua, chi phí cho việc bảo vệ chống lại hiểm hoạ vợt giá trị tài sản cần đợc bảo vệ Ví dụ, tiến hành bảo vệ mạng máy tính xảy trận bão thành phố Okalahoma, nơi thờng xuyên xảy trận bão, nhng không cần phải bảo vệ mạng máy tính nh Los Angeles, nơi xảy trận bão Mô hình quản lý rủi ro đợc trình bày hình 1.3, có hoạt động chung mà bạn tiến hành, phụ thuộc vào chi phí khả xảy hiểm hoạ vật lý Trong mô hình này, trận bão Kansas Okalahoma nằm góc phần t thø 2, cßn trËn b·o ë nam California n»m ë góc phần t thứ Khả xảy lớn Tác động thấp (chi phí) I Kiểm soát III Bỏ qua II Ngăn chặn IV Tác động cao (chi phí) Kế hoạch bảo hiểm/dự phòng Khả xảy thấp Hình 1.3 Mô hình quản lý rủi ro Kiểu mô hình quản lý rủi ro tơng tự áp dụng cho bảo vệ Internet tài sản thơng mại điện tử khỏi bị hiểm hoạ vật lý điện tử Ví dụ, đối tợng mạo danh, nghe trộm, ăn cắp Đối tợng nghe trộm ngời thiết bị có khả nghe trộm chép truyền Internet Để có lợc đồ an toàn tốt, bạn phải xác định rủi ro, định nên bảo vệ tài sản tính toán chi phí cần sử dụng để bảo vệ tài sản Trong phần sau, tập trung vào việc bảo vệ, quản lý rủi ro không tập trung vào chi phí bảo vệ giá trị tài sản Chúng ta tập trung vào vấn đề nh xác định hiểm hoạ đa cách nhằm bảo vệ tài sản khỏi bị hiểm hoạ Phân loại an toàn máy tính Các chuyên gia lĩnh vực an toàn máy tính trí cần phân loại an toàn máy tính thành loại: loại đảm bảo tính bí mật (secrecy), loại đảm bảo tính toàn vẹn (integrity) loại bảo đảm tính sẵn sàng (necessity) Trong đó: Tính bí mật ngăn chặn việc khám phá trái phép liệu đảm bảo xác thực nguồn gốc liệu Tính toàn vẹn ngăn chặn sửa đổi trái phép liệu Tính sẵn sàng ngăn chặn, không cho phép làm trễ liệu chống chối bỏ Giữ bí mật biện pháp an toàn máy tính đợc biết đến nhiều Hàng tháng, tờ báo đa nhiều viết nói vụ công ngân hàng sử dụng trái phép số thẻ tín dụng bị đánh cắp để lấy hàng hoá dịch vụ Các hiểm hoạ tính toàn vẹn không đợc đa thờng xuyên nh− trªn, nªn nã Ýt quen thc víi mäi ng−êi Ví dụ công toàn vẹn, chẳng hạn nh nội dung thông báo th điện tử bị thay đổi, khác hẳn với nội dung ban đầu có vài ví dụ hiểm hoạ tính sẵn sàng, xảy thờng xuyên Việc làm trễ thông báo phá huỷ hoàn toàn thông báo gây hậu khó lờng Ví dụ, bạn gửi thông báo th tín điện tử lúc 10 sáng tới E*Trade, công ty giao dịch chứng khoán trực tuyến, đề nghị họ mua 1.000 cổ phiếu IBM thị trờng Nhng sau đó, ngời môi giới mua bán cổ phiếu thông báo nhận đợc thông báo bạn sau 30 phút chiều (một đối thủ cạnh tranh làm trễ thông báo) giá cổ phiếu lúc tăng lên 15% thời gian chuyển tiếp Bản quyền sở hữu trí tuệ Quyền quyền bảo vệ sở hữu trí tuệ vấn đề cần đến an toàn, chúng đợc bảo vệ thông qua biện pháp khác Bản quyền việc bảo vệ sở hữu trí tuệ thực thể lĩnh vực Sở hữu trí tuệ chủ sở hữu ý tởng kiểm soát việc biểu diễn ý tởng dới dạng ảo thực Cũng giống với xâm phạm an toàn máy tính, xâm phạm quyền gây thiệt hại Tuy nhiên, không giống với lỗ hổng an toàn máy tính Tại Mỹ, luật quyền đời từ năm 1976 có nhiều trang Web đa thông tin quyền Chính sách an toàn an toàn tích hợp Để bảo vệ tài sản thơng mại điện tử mình, tổ chức cần có sách an toàn phù hợp Một sách an toàn tài liệu công bố tài sản cần đợc bảo vệ phải bảo vệ chúng, ngời phải chịu trách nhiệm cho việc bảo vệ này, hoạt động đợc chấp nhận hoạt động không đợc chấp nhận Phần lớn sách an toàn đòi hỏi an toàn vật lý, an toàn mạng, quyền truy nhập, bảo vệ chống lại virus khôi phục sau thảm hoạ Chính sách phải đợc phát triển thờng xuyên tài liệu sống, công ty văn phòng an toàn phải tra cứu cập nhật thờng xuyên hay định kỳ, thông qua Để tạo sách an toàn, phải việc xác định đối tợng cần phải bảo vệ (ví dụ, bảo vệ thẻ tín dụng khỏi bị đối tợng nghe trộm) Sau đó, xác định ngời có quyền truy nhập vào phần hệ thống Tiếp theo, xác định tài nguyên có khả bảo vệ tài sản xác định trớc Đa thông tin mà nhóm phát triển sách an toàn đòi hỏi Cuối cùng, uỷ thác tài nguyên phần mềm phần cứng tự tạo mua lại, rào cản vật lý nhằm thực sách an toàn.Ví dụ, sách an toàn rằng, không đợc phép truy nhập trái phép vào thông tin khách hàng thông tin nh số thẻ tín dụng, khái lợc tín dụng, phải viết phần mềm đảm bảo bí mật từ đầu tới đầu (end to end) cho khách hàng thơng mại điện tử mua phần mềm (các chơng trình giao thức) tuân theo sách an toàn Để đảm bảo an toàn tuyệt đối khó, chí không thể, tạo rào cản đủ để ngăn chặn xâm phạm An toàn tích hợp việc kết hợp tất biện pháp với nhằm ngăn chặn việc khám phá, phá huỷ sửa đổi trái phép tài sản Các yếu tố đặc trng sách an toàn gồm: Xác thực: Ai ngời cố gắng truy nhập vào site thơng mại điện tử? Kiểm soát truy nhập: Ai ngời đợc phép đăng nhập vào site thơng mại điện tư vµ truy nhËp vµo nã? BÝ mËt: Ai ngời đợc phép xem thông tin có chọn lọc? Toàn vẹn liệu: Ai ngời đợc phép thay đổi liệu ngời không đợc phép thay đổi liệu? Kiểm toán: Ai ngời gây biến cố, chúng biến cố nh xảy nào? Trong phần này, tập trung vào vấn đề áp dụng sách an toàn vào thơng mại ®iƯn tư nh− thÕ nµo TiÕp theo, chóng ta sÏ tìm hiểu hiểm hoạ thông tin số, hiểm hoạ sở hữu trí tuệ 1.2 Các hiểm hoạ sở hữu trí tuệ Các hiểm hoạ sở hữu trí tuệ vấn đề lớn chúng tồn trớc Internet đợc sử dụng rộng rãi Việc sử dụng tài liệu có sẵn Internet mà không cần cho phép chủ nhân dễ dàng Thiệt hại từ việc xâm phạm quyền khó ớc tính so với thiệt hại xâm phạm an toàn lên tính bí mật, toàn vẹn hay sẵn sàng (nh trình bày trên) Tuy nhiên, thiệt hại nhỏ Internet có mục tiªu riªng hÊp dÉn víi hai lý Thø nhÊt, dễ dàng chép có đợc thứ tìm thấy Internet, không cần quan tâm đến ràng buộc quyền Thứ hai, nhiều ngời ý thức ràng buộc quyền, ràng buộc quyền bảo vệ sở hữu trí tuệ Các ví dụ việc ý thức cố tình xâm phạm quyền xảy hàng ngày Internet Hầu hết chuyên gia trí rằng, xâm phạm quyền Web xảy ngời ta không đợc chép Hầu hết ngời không chủ tâm chép sản phẩm đợc bảo vệ gửi Web Mặc dù luật quyền đợc ban bố trớc Internet hình thành, Internet làm rắc rối ràng buộc quyền nhà xuất Nhận việc chép trái phép văn dễ dàng, không cho phép sử dụng trái phép tranh trang Web việc khó khăn Trung tâm Berkman Internet xã hội trờng luật Harvard giới thiệu khoá học có tiêu đề "Sở hữu trí tuệ không gian máy tính" The Copyright Website giải vấn đề quyền, gửi nhóm tin sử dụng không gian lËn Sư dơng kh«ng gian lËn cho phÐp sư dụng giới hạn tài liệu quyền sau thoả mãn số điều kiện Trong vài năm trở lại đây, xảy tranh chấp quyền sở hữu trí tuệ tên miền Internet Các án phải giải nhiều trờng hợp xoay quanh hoạt động Cybersquatting Cybersquatting hoạt động đăng ký tên miền, đăng ký nhãn hiệu cá nhân hay công ty khác ngời chủ sở hữu trả số lợng lớn đôla để có đợc địa URL 1.3 Các hiểm hoạ thơng mại điện tử Có thể nghiên cứu yêu cầu an toàn thơng mại điện tử cách kiểm tra toàn quy trình, bắt đầu với khách hàng kết thúc với máy chủ thơng mại Khi cần xem xét liên kết logic "dây chuyền thơng mại", tài sản phải đợc bảo vệ nhằm đảm bảo thơng mại điện tử an toàn, bao gồm máy khách, thông báo đợc truyền kênh truyền thông, máy chủ Web máy chủ thơng mại, gồm phần cứng gắn với máy chủ Khi viễn thông tài sản cần đợc bảo vệ, liên kết viễn thông không mối quan tâm an toàn máy tính an toàn thơng mại điện tử Ví dụ, liên kết viễn thông đợc thiết lập an toàn nhng biện pháp an toàn cho máy khách máy chủ Web, máy chủ thơng mại, chắn không tồn an toàn truyền thông Một ví dụ khác, máy khách bị nhiễm virus thông tin bị nhiễm virus đợc chuyển cho máy chủ thơng mại máy chủ Web Trong trờng hợp này, giao dịch thơng mại có thĨ an toµn chõng nµo u tè ci cïng an toàn, máy khách Các mục trình bày bảo vệ máy khách, bảo vệ truyền thông Internet bảo vệ máy chủ thơng mại điện tử Trớc hết xem xét hiểm hoạ máy khách Các mối hiểm hoạ máy khách Cho đến biểu diễn đợc nội dung Web, trang Web chủ yếu trạng thái tĩnh Thông qua ngôn ngữ biểu diễn siêu văn HTML (ngôn ngữ mô tả trang Web chuẩn), trang tĩnh dạng động phần không đơn hiển thị nội dung cung cấp liên kết trang Web với thông tin bỉ xung ViƯc sư dơng réng r·i c¸c néi dung ®éng (active content) ®· dÉn ®Õn ®iỊu nµy Khi nãi đến active content, ngời ta muốn nói đến chơng trình đợc nhúng vào trang Web cách suốt tạo hoạt động Active content hiển thị hình ảnh động, tải phát lại âm thanh, thực chơng trình bảng tính dựa vào Web Active content đợc sử dụng thơng mại điện tử để đặt khoản mục mà muốn mua thẻ mua hàng tính toán tổng số hoá đơn, bao gồm thuế bán hàng, chi phí vận chuyển đờng thuỷ chi phí xử lý Các nhà phát triển nắm lấy active content tận dụng tối đa chức HTML bổ xung thêm sống động cho trang Web Nó giảm bớt gánh nặng cho máy chủ phải xử lý nhiều liệu gánh nặng đợc chuyển bớt sang cho máy khách nhàn rỗi ngời sử dụng Active content đợc cung cấp theo số dạng Các dạng active content đợc biết đến nhiều applets, ActiveX controls, JavaScript VBScript JavaScript VBScript cho script (tập lệnh) lệnh thực đợc, chúng đợc gọi ngôn ngữ kịch VBScript tập ngôn ngữ lập trình Visual Basic Microsoft, công cụ biên dịch nhanh gọn mềm dẻo sử dụng trình duyệt Web ứng dụng khác cã sư dơng Java applets hc ActiveX controls cđa Microsoft Applet chơng trình nhỏ chạy chơng trình khác không chạy trực tiếp máy tính Điển hình applet chạy trình duyệt Web Còn có cách khác để cung cấp active content, nhng chúng không phổ biến với nhiều ngời, chẳng hạn nh trình Graphics trình duyệt Web plug-ins C¸c tƯp Graphics cã thĨ chøa c¸c chØ lƯnh ẩn đợc nhúng kèm Các lệnh đợc thực máy khách chúng đợc tải Các chơng trình công cụ biên dịch thực lệnh đợc tìm thấy chơng trình Graphics, số khuôn dạng khác tạo lệnh lợi (ẩn lệnh graphics) chúng đợc thực Plugins chơng trình biên dịch thực lệnh, đợc nhúng vào hình ảnh tải về, âm đối tợng khác Active content cho trang Web khả thực hoạt động Ví dụ, nút nhấn kích hoạt các chơng trình đợc nhúng kèm để tính toán hiển thị thông tin gửi liệu từ máy khách sang máy chủ Web Active content mang lại sống động cho trang Web tĩnh Active content đợc khởi chạy nh nào? Đơn giản, bạn cần sử dụng trình duyệt Web xem mét trang Web cã chøa active content Applet tù ®éng tải về, song song với trang mà bạn xem bắt đầu chạy máy tính bạn Điều làm nảy sinh vấn đề Do mođun active content đợc nhúng vào trang Web, chúng suốt hoàn toàn ngời nµo xem dut trang Web chøa chóng BÊt kú cố tình gây hại cho máy khách nhúng active content gây hại vào trang Web Kỹ thuật lan truyền đợc gọi ngựa thành Tơroa, thực gây hoạt động bất lợi Con ngựa thành Tơroa chơng trình ẩn chơng trình khác trang Web Con ngựa thành Tơroa thâm nhập vào máy tính bạn gửi thông tin bí mật ngợc trở lại cho máy chủ Web cộng tác (một hình thức xâm phạm tính bí mật) Nguy hiểm hơn, chơng trình sửa đổi xoá bỏ thông tin máy khách (một hình thức xâm phạm tính toàn vẹn) Việc đa active content vào trang Web thơng mại điện tử gây số rủi ro Các chơng trình gây hại đợc phát tán thông qua trang Web, phát số thẻ tín dụng, tên ngời dùng mật Những thông tin thờng đợc lu giữ file đặc biệt, file đợc gọi cookie Các cookie đợc sử dụng để nhớ thông tin yêu cầu khách hàng, tên ngời dùng mật Nhiều active content gây hại lan truyền thông qua cookie, chúng phát đợc nội dung file phía máy khách, chí huỷ bỏ file đợc lu giữ máy khách Ví dụ, virus máy tính phát đợc danh sách địa th tín điện tử ngời sử dụng gửi danh sách cho ngời khác Internet Trong trờng hợp này, chơng trình gây hại giành đợc đầu vào (entry) thông qua th tín điện tử đợc truy nhập từ Web trình duyệt Cũng có nhiều ngời không thích lu giữ cookie máy tính họ Trên máy tính cá nhân có lu số lợng lớn cookie giống nh Internet số cookie chứa thông tin nhạy cảm mang tính chất cá nhân Có nhiều chơng trình phần mềm miễn phí giúp nhận dạng, quản lý, hiển thị loại bỏ cookie.Ví dụ, Cookie Crusher (kiểm soát cookie trớc chúng đợc lu giữ ổ cứng máy tính) Cookie Pal Các mối hiểm hoạ kênh truyền thông Internet đóng vai trò kết nối khách hàng với tài nguyên thơng mại điện tử (máy tính dịch vụ thơng mại) Chúng ta xem xét hiểm hoạ máy khách, tài nguyên kênh truyền thông, kênh đợc sử dụng để kết nối máy khách máy chủ Internet an toàn Ban đầu mạng dùng quân Mạng DARPA đợc xây dựng để cung cấp truyền thông không an toàn nhiều đờng truyền thông bị cắt Nói cách khác, mục đích ban đầu cung cấp số đờng dẫn luân phiên để gửi thông tin quân thiết yếu Dự tính, thông tin nhạy cảm đợc gửi theo dạng đợc mã hoá, thông báo chuyển mạng đợc giữ bí mật chống lấy trộm Độ an toàn thông báo chuyển mạng có đợc thông qua phần mềm chuyển đổi thông báo sang dạng chuỗi ký tù khã hiĨu vµ ng−êi ta gäi chóng lµ văn mã Ngày nay, tình trạng không an toàn Internet tồn Các thông báo Internet đợc gửi theo đờng dẫn ngẫu nhiên, từ nút nguồn tới nút đích Các thông báo qua số máy tính trung gian mạng trớc tới đích cuối lần đi, chúng theo tuyến đờng khác Không có đảm bảo tất máy tính mà thông báo qua Internet tin cậy, an toàn không thù địch Bạn biết rằng, thông báo đợc gửi từ Manchester, England tới Cairo, Egypt cho thơng gia qua máy tính đối tợng cạnh tranh, chẳng hạn Beirut, Lebanon Vì kiểm soát đợc đờng dẫn đợc gói thông báo đâu, đối tợng trung gian đọc thông báo bạn, sửa đổi, chí loại bỏ hoàn toàn thông b¸o cđa chóng ta khái Internet Do vËy, c¸c thông báo đợc gửi mạng đối tợng có khả bị xâm phạm đến tính an toàn, tính toàn vẹn tính sẵn sàng Chúng ta xem xét chi tiết mối hiểm hoạ an toàn kênh Internet dựa vào phân loại Các mối hiểm hoạ tính bí mật Đe doạ tính bí mật mối hiểm hoạ hàng đầu phổ biến Kế tính bí mật tính riêng t Tính bí mật tính riêng t hai vấn đề khác Đảm bảo bí mật ngăn chặn khám phá trái phép thông tin Đảm bảo tính riêng t bảo vệ quyền cá nhân việc chống khám phá Đảm bảo bí mật vấn đề mang tính kỹ thuật, đòi hỏi kết hợp chế vật lý logic, luật pháp sẵn sàng bảo vệ tính riêng t Một ví dụ điển hình khác tính bí mật tính riêng t, th tín điện tử Các thông báo th tín điện tử công ty đợc bảo vệ chống lại xâm phạm tính bí mật, cách sử dụng kỹ thuật mã hoá Trong mã hoá, thông báo ban đầu đợc mã thành dạng khó hiểu có ngời nhận hợp lệ giải mã trở dạng thông báo ban đầu Các vấn đề riêng t− th− tÝn ®iƯn tư th−êng xoay quanh viƯc có nên cho ngời giám sát công ty đọc thông báo ngời làm công cách tuỳ tiện hay không Các tranh cãi xoay quanh, ngời chủ sở hữu thông báo th tín điện tử, công ty ngời làm công (ngời gửi thông báo th tín điện tử) Trọng tâm mục tính bí mật, ngăn chặn không cho đối tợng xấu đọc thông tin trái phÐp Chóng ta ®· ®Ị cËp ®Õn viƯc mét ®èi tợng nguy hiểm lấy cắp thông tin nhạy cảm mang tính cá nhân, bao gồm số thẻ tín dụng, tên, địa sở thích cá nhân Điều xảy lúc nào, có ngời đa thông tin thẻ tín dụng lên Internet, đối tợng có chủ tâm xấu ghi lại gói thông tin (xâm phạm tính bí mật) không khó khăn Vấn đề xảy tơng tự truyền th tín điện tử Một phần mềm đặc biệt, đợc gọi chơng trình đánh (sniffer) đa cách móc nối vào Internet ghi lại thông tin qua máy tính đặc biệt (thiết bị định tuyến- router) đờng từ nguồn tới đích Chơng trình sniffer gần giống với việc móc nối vào đờng điện thoại ghi lại hội thoại Các chơng trình sniffer đọc thông báo th tín điện tử nh thông tin thơng mại điện tử Tình trạng lấy cắp số thẻ tín dụng vấn đề rõ ràng, nhng thông tin sản phẩm độc quyền hãng, trang liệu phát hành đợc gửi cho chi nhánh hãng bị chặn xem cách dễ dàng Thông thờng, thông tin bí mật hãng có giá trị nhiều so với số thẻ tín dụng (các thẻ tín dụng thờng có giới hạn số lợng tiền), thông tin bị lấy cắp hãng trị giá tới hàng triệu đôla Để tránh không bị xâm phạm tính bí mật việc khó Sau ví dụ việc bạn làm lộ thông tin bí mật, qua đối tợng nghe trộm máy chủ Web (Web site server) khác lấy đợc thông tin Giả sử bạn đăng nhập vào Web site, vÝ dơ www.anybiz.com vµ Web site nµy cã nhiều hộp hội thoại nh tên, địa địa th tín điện tử bạn Khi bạn điền vào hộp hội thoại nhấn vào nút chấp nhận, thông tin đợc gửi đến máy chủ Web để xử lý Một cách thông dụng để truyền liệu bạn tới máy chủ Web tập hợp đáp ứng hộp hội thoại, đồng thời đặt chúng vào cuối URL máy chủ đích (địa chỉ) Sau đó, liệu đợc gửi với yêu cầu HTTP chuyển liệu tới máy chủ Cho đến lúc xâm phạm xảy Giả sử rằng, bạn thay đổi ý kiến định không chờ đáp ứng từ máy chủ anybiz.com (sau gửi thông tin đến máy chủ này) chuyển sang Web site khác, chẳng hạn www.somecompany.com Máy chủ Somecompany.com chọn để thu thập trang Web đề mô, ghi vào nhật ký URL mà bạn vừa đến Điều giúp cho ngời quản lý site xác định đợc luồng thông tin thơng mại điện tử tới site Bằng cách ghi lại địa URL anybiz.com, Somecompany.com vi phạm tính bí mật, ghi lại thông tin bí mật mà bạn vừa nhập vào Điều không thờng xuyên xảy ra, nhng không đợc chủ quan, "có thể" xảy Bạn tự làm lộ thông tin sử dụng Web Các thông tin có địa IP (địa Internet) trình duyệt mà bạn sử dụng Đây ví dụ việc xâm phạm tính bí mật có Web site đa dịch vụ "trình duyệt ẩn danh", dịch vụ che dấu thông tin cá nhân, không cho site mà bạn đến đợc biết Web site có tên Anonymizer, đóng vai trò nh tờng lửa lới chắn che dấu thông tin cá nhân Nó tránh làm lộ thông tin cách đặt địa Anonymizer vào phần trớc địa URL bất kỳ, nơi mà bạn đến Lới chắn cho phép site khác biết thông tin Web site mang tên Anonymizer, không cho biết thông tin bạn Ví dụ, bạn truy nhập vào Amazon.com, Anonymizer đa URL nh sau: http://www.anonymizer.com:8080/http:// www.amazon.com Các hiểm hoạ tính toàn vẹn Mối hiểm hoạ tính toàn vẹn tồn thành viên trái phép sửa đổi thông tin thông báo Các giao dịch ngân hàng không đợc bảo vệ, ví dụ tổng số tiền gửi đợc chuyển Internet, chủ thể xâm phạm tính toàn vẹn Tất nhiên, xâm phạm tính toàn vẹn bao hàm xâm phạm tính bí mật, đối tợng xâm phạm (sửa đổi thông tin) đọc làm sáng tỏ thông tin Không giống hiểm hoạ tính bí mật (ngời xem đơn giản muốn xem thông tin), hiểm hoạ tính toàn vẹn gây thay đổi hoạt động cá nhân công ty, nội dung truyền thông bị sửa đổi Phá hoại điều khiển (Cyber vandalism) ví dụ việc xâm phạm tính toàn vẹn Cyber vandalism xoá (để khỏi đọc đợc) trang Web tồn Cyber vandalism xảy nào, cá nhân thay đổi định kỳ nội dung trang Web họ Giả mạo (Masquerading) đánh lừa (spoofing) cách phá hoại Web site B»ng c¸ch sư dơng mét kÏ hë hƯ thống tên miền (DNS), thủ phạm thay vào địa Web site giả chúng Ví dụ, tin tặc tạo Web site giả mạo www.widgetsinternational.com, cách lợi dụng kẽ hở DNS để thay địa IP giả tin tặc vào địa IP thực Widgets International Do vËy, mäi truy cËp ®Õn Widgets International bị đổi hớng sang Web site giả Tấn công toàn vẹn việc sửa đổi yêu cầu gửi tới máy chủ thơng mại công ty thực Máy chủ thơng mại đợc công này, kiểm tra lại số thẻ tín dụng khách hàng tiếp tục thực yêu cầu Các hiểm hoạ toàn vẹn sửa đổi thông tin quan trọng lĩnh vực tài chính, y học quân Việc sửa đổi gây hậu nghiêm trọng cho ngời kinh doanh thơng mại Các hiểm hoạ tính sẵn sàng Mục đích hiểm hoạ tính sẵn sàng (đợc biết đến nh hiểm hoạ làm chậm trễ chối bỏ) phá vỡ trình xử lý thông thờng máy tính, chối bỏ toàn trình xử lý Một máy tính vấp phải hiểm hoạ này, trình xử lý thờng bị chậm lại với tốc độ khó chấp nhận Ví dụ, tốc độ xử lý giao dịch máy rút tiền tự động bị chậm lại từ 1giây, giây tới 30 giây, ngời sử dụng không sử dụng máy Tơng tự, việc trì hoãn dịch vụ Internet khiến cho khách hàng chuyển sang Web site site thơng mại đối thủ cạnh tranh khác Nói cách khác, việc làm chậm trình xử lý làm cho dịch vụ trở nên hấp dẫn không hữu ích Rõ ràng tờ báo mang tính thời trở nên vô nghĩa hay chẳng có giá trị với ngời đa tin tức xảy từ ngày trớc Các công chối bỏ xoá bỏ toàn loại bỏ phần thông tin file liên lạc Nh biết, Quicken chơng trình tính toán, đợc cài đặt vào tất máy tính nhằm làm trệch hớng tiền gửi đến tài khoản nhà băng khác Tấn công chối bỏ phủ nhận số tiền gửi ngời chủ hợp pháp số tiền Tấn công Robert Morris Internet Worm ví dụ điển hình công chối bỏ Các mối hiểm hoạ máy chủ Máy chủ liên kết thứ ba máy khách - Internet - máy chủ (Client-InternetServer), bao gồm đờng dẫn thơng mại điện tử ngời sử dụng máy chủ thơng mại Máy chủ có điểm yếu dễ bị công đối tợng lợi dụng điểm yếu để phá huỷ, thu đợc thông tin cách trái phép Một điểm truy nhập máy chủ Web phần mềm Các điểm truy nhập khác chơng trình phụ trợ có chứa liệu, ví dụ nh sở liệu máy chủ Các điểm truy nhập nguy hiểm chơng trình CGI chơng trình tiện ích đợc cài đặt máy chủ Không hệ thống đợc coi an toàn tuyệt đối, vậy, ngời quản trị máy chủ thơng mại cần đảm bảo sách an toàn đợc đa xem xét tất phần hệ thống thơng mại điện tử Các hiểm hoạ máy chủ Web Phần mềm máy chủ Web đợc thiết kế để chuyển trang Web cách đáp ứng yêu cầu HTTP (giao thức truyền siêu văn bản) Với phần mềm máy chủ Web gặp rủi ro, đợc thiết kế với dịch vụ Web đảm bảo mục đích thiết kế Phức tạp hơn, phần mềm (có thể có lỗi chơng trình lỗ hổng an toàn) điểm yếu mà qua đối tợng xấu can thiệp vào Các máy chủ Web đợc thực hầu hết máy, ví dụ nh máy tính chạy hệ điều hành UNIX, đợc thiết lập chạy mức đặc quyền khác Mức thẩm quyền cao có độ mềm dẻo cao nhất, cho phép chơng trình, có máy chủ Web, thực tất lệnh máy không giới hạn truy nhập vào tất phần hệ thống, không ngoại trừ vùng nhạy cảm phải có thẩm quyền Còn mức thẩm quyền thấp tạo rào cản logic xung quanh chơng trình chạy, ngăn chặn không cho chạy tất lớp lệnh máy không cho phép truy nhập vào tất vùng máy tính, chí vùng lu giữ nhạy cảm Quy tắc an toàn đặt cung cấp chơng trình chơng trình cần có thẩm quyền tối thiểu để thực công việc Ngời quản trị hệ thống (ngời thiết lập tài khoản (account) mật cho ngời sử dụng) cần mức thẩm quyền cao, đợc gọi "super user" môi trờng UNIX, để sửa đổi vùng nhạy cảm có giá trị hệ thống Việc thiết lập máy chủ Web chạy mức thẩm quyền cao gây hiểm hoạ an toàn máy chủ Web Trong hầu hết thời gian, máy chủ Web cung cấp dịch vụ thông thờng thực nhiệm vụ với mét møc thÈm qun rÊt thÊp NÕu mét m¸y chđ Web chạy mức thẩm quyền cao, đối tợng xấu lợi dụng máy chủ Web để thực lệnh chế độ thẩm quyền Một máy chủ Web dàn xếp tính bí mật, giữ danh sách th mục tự động đợc lựa chọn thiết lập mặc định Xâm phạm tính bí mật xảy trình duyệt Web phát tên danh mục máy chủ Điều xảy thờng xuyên, nguyên nhân bạn nhập vào URL, chẳng hạn nh: http://www.somecompany.com/FAQ/ mong muốn đợc xem trang ngầm định th mục FAQ Trang Web ngầm định (máy chủ hiển thị nó) đợc đặt tên index.html Nếu file th mục, máy chủ Web hiển thị tất tên danh mục có th mục Khi đó, bạn nhấn vào tên danh mục ngẫu nhiên xem xét danh mục mà không bị giới hạn Những ngời quản trị site khác, ví dụ ngời quản trị Microsoft, thận trọng việc hiển thị tên danh mục Việc nhập tên ngời dùng vào phần đặc biệt không gian Web, chất xâm phạm tính bí mật tính riêng t Tuy nhiên, tên ngời dùng mật bí mật bị lộ bạn truy nhập vào nhiều trang vùng nội dung đợc bảo vệ quan trọng máy chủ Web Điều xảy ra, số máy chủ yêu cầu thiết lập lại tên ngời dùng mật khÈu cho tõng trang vïng néi dung quan träng mà bạn truy cập vào Web không lu nhớ xảy giao dịch cuối Cách thích hợp để nhớ tên ngời dùng mật lu giữ thông tin bí mật ngời sử dụng cookie có máy ngời Theo cách này, máy chủ Web yêu cầu xác nhận liệu, cách yêu cầu máy tính gửi cho cookie Vấn đề rắc rối xảy thông tin có cookie đợc truyền không an toàn đối tợng nghe trộm chép Với tình trạng này, máy chủ Web cần yêu cầu truyền cookie an toàn Một SSI chơng trình nhỏ, chơng trình đợc nhúng vào trang Web, chạy máy chủ (đôi đợc gọi servlet) Bất chơng trình chạy máy chủ hay đến từ nguồn vô danh không tin cậy, ví dụ từ trang Web cđa mét ng−êi sư dơng, cã thĨ sÏ xảy khả SSI yêu cầu thực hoạt động bất hợp pháp Mã chơng trình SSI thị hệ điều hành yêu cầu hiển thị file mật khẩu, gửi ngợc trở lại vị trí đặc biệt Chơng trình FTP phát mối hiểm hoạ tính toàn vẹn máy chủ Web Việc lộ thông tin xảy chế bảo vệ danh mục, ®ã ng−êi sư dơng FTP cã thĨ dut qua VÝ dụ, giả thiết có máy khách thơng mại hoàn toàn máy có account máy tính thơng mại khác, tải liệu lên máy tính đối tác cách định kỳ Bằng chơng trình FTP, ngời quản trị hệ thống đăng nhập vào máy tính đối tác thơng mại, tải liệu lên, sau tiến hành mở hiển thị nội dung danh mục khác có máy tính máy chủ Web Việc làm khó thiếu bảo vệ Với chơng trình máy chủ Web, bạn nhấn đúp chuột vào danh mục th mục để thay đổi thứ bậc danh mục này, nhấn đúp chuột vào danh mục khác, nh danh mục đặc quyền công ty khác, để tải thông tin mà bạn nhìn thấy Điều thực cách đơn giản ngời ta quên giới hạn khả xem duyệt đối tác khác danh mục đơn lẻ Một file nhạy cảm máy chủ Web (nếu tồn tại) chứa mật tên ngời dùng máy chủ Web Nếu file bị tổn thơng, thâm nhập vào vùng thẩm quyền, cách giả mạo ngời Do giả danh để lấy đợc mật tên ngời dùng nên thông tin liên quan đến ngời sử dụng không bí mật Hầu hết máy chủ Web lu giữ bí mật thông tin xác thực ngời dùng Ngời quản trị máy chủ Web có nhiệm vụ đảm bảo rằng: máy chủ Web đợc dẫn áp dụng chế bảo vệ liệu Những mật (ngời dùng chọn) hiểm hoạ Đôi khi, ngời sử dụng chọn mật dễ đoán, chúng tên thời gái mẹ, tên số con, số điện thoại, số hiệu nhận dạng Ngời ta gọi việc đoán nhận mật qua chơng trình lặp sử dụng từ điển điện tử công từ điển Một ®· biÕt ®−ỵc mËt khÈu cđa ng−êi dïng, bÊt kú truy nhập vào máy chủ mà không bị phát khoảng thời gian dài Các đe dọa sở liệu Các hệ thống thơng mại điện tử lu giữ liệu ngời dùng lấy lại thông tin sản phẩm từ sở liệu kết nối với máy chủ Web Ngoài thông tin sản phẩm, sở liệu chứa thông tin có giá trị mang tính riêng t Một công ty phải chịu thiệt hại nghiêm trọng thông tin bị lộ bị sửa đổi Hầu hết hệ thống sở liệu có quy mô lớn đại sử dụng đặc tính an toàn sở liệu dựa vào mật tên ngời dùng Sau đợc xác thực, ngời sử dụng xem phần chọn sở liệu Tính bí mật sẵn sàng sở liệu, thông qua đặc quyền đợc thiết lập sở liệu Tuy nhiên, số sở liệu lu giữ mật khẩu/tên ngời dùng cách không an toàn, quên thiết lập an toàn hoàn toàn dựa vào máy chủ Web để có an toàn Nếu ngời thu đợc thông tin xác thực ngời dùng, giả danh thành ngời sử dụng sở liệu hợp pháp, làm lộ tải thông tin mang tính cá nhân quý giá Các chơng trình ngựa thành Tơroa nằm ẩn hệ thống sở liệu làm lộ thông tin việc giáng cấp thông tin (có nghĩa chuyển thông tin nhạy cảm sang vùng đợc bảo vệ sở liệu, xem xét thông tin này) Khi thông tin bị giáng cấp, tất ngời sử dụng, không ngoại trừ đối tợng xâm nhập trái phÐp còng cã thĨ truy nhËp Chóng ta ®· cã số lợng lớn trang Web site nói an toàn sở liệu Ví dụ, liên kết Online Companion trình bày mối quan tâm an toàn sở liệu Liên kết "SQL Server database threats" Online Companion trình bày mối hiểm hoạ SQL Server, nhng mối hiểm hoạ áp dụng cho hệ thống sở liệu nói chung An toàn sở liệu đòi hỏi ngời quản trị hệ thống phải cẩn thận Các hiểm hoạ giao diện gateway thông thờng Nh biết, CGI tiến hành chuyển thông tin từ máy chủ Web sang chơng trình khác, chẳng hạn nh chơng trình sở liệu CGI chơng trình (mà chuyển liệu đến) cung cấp active content cho c¸c trang Web VÝ dơ, mét trang Web cã thể chứa hộp hội thoại để bạn điền tên đội thể thao chuyên nghiệp tiếng Chỉ bạn chấp nhận lựa chọn mình, chơng trình CGI xử lý thông tin tìm kiếm tỷ số cuối đội này, đa tỷ số lên trang Web sau gửi trang Web (vừa đợc tạo ra) ngợc trở lại cho máy khách trình duyệt bạn Do CGI chơng trình, chúng bị lạm dụng xảy hiểm hoạ an toàn Gần giống với máy chủ Web, CGI script đợc thiết lập chạy mức đặc quyền cao, không bị giới hạn Một CGI gây hại truy nhập tự vào nguồn tài nguyên hệ thống, chúng có khả làm cho hệ thống không hoạt động, gọi chơng trình hệ thống dựa vào đặc quyền để xóa file, xem thông tin bí mật khách hàng, có tên ngời dùng mật Khi lập trình viên phát không thích hợp lỗi chơng trình CGI, họ viết lại chơng trình thay chúng Các CGI cũ lỗi thời nhng không bị xoá bỏ, gây số kẽ hở an toàn hệ thống Đồng thời, chơng trình CGI CGI script c trú nơi máy chủ Web (có nghĩa là, th mục danh mục bất kỳ), nên khó theo dõi dấu vết quản lý chúng Tuy nhiên, ngời xác định đợc dấu vết chúng, thay CGI script, kiểm tra, tìm hiểu điểm yếu chúng khai thác điểm yếu để truy nhập vào máy chủ Web nguồn tài nguyền máy chủ Web Không giống với JavaScript, CGI script không chạy vòng bảo vệ an toàn Các hiểm hoạ chơng trình khác Tấn công nghiêm trọng khác (đối với máy chủ Web) xuất phát từ chơng trình máy chủ thực Các chơng trình Java C++ đợc chuyển tới máy chủ Web thông qua máy khách, c trú thờng xuyên máy chủ nhờ sử dụng nhớ đệm Bộ nhớ đệm vùng nhớ lu giữ liệu đợc đọc từ file sở liệu Bộ nhớ đệm đợc sử dụng có hoạt động đầu vào đầu ra, máy tính xử lý thông tin có file nhanh thông tin đợc đọc từ thiết bị đầu vào ghi vào thiết bị đầu Bộ nhớ đệm đóng vai trò nh "vùng tạm trú" cho liệu đến Ví dụ, thông tin sở liệu đợc xử lý tập hợp lại nhớ đệm, vậy, toàn tập hợp phần lớn tập hợp đợc lu giữ nhớ máy tính Sau đó, xử lý sử dụng liệu thao tác phân tích Vấn đề nhớ đệm chơng trình lấp đầy chúng bị hỏng làm đầy nhớ đệm, tràn liệu thừa vùng nhớ đệm Thông thờng, điều xảy chơng trình có lỗi bị hỏng, gây tràn nhớ Đôi khi, lỗi xảy chủ tâm Trong trờng hợp, cần giảm bớt hậu nghiêm trọng xảy Một lập trình viên rút kinh nghiệm nhận đợc hậu việc tràn nhớ chạy đoạn mã chơng trình có lệnh ghi đè liệu lên vùng nhớ khác (không phải vùng nhớ đợc quy định trớc) Kết chơng trình bị treo ngừng xử lý, treo phá huỷ toàn máy tính (PC máy tính lớn) Các phá huỷ chủ tâm (do cố tình mã chơng trình sai) công chối bỏ Tấn công kiểu sâu Internet (Internet Worm) chơng trình nh Nó gây tràn nhớ, phá hỏng tất nguồn tài nguyên máy chủ không hoạt động đợc Một kiểu công tràn nhớ đệm viết lệnh vào vị trí thiết yếu nhớ, nhờ chơng trình đối tợng xâm nhập trái phép ghi đè lên nhớ đệm, máy chủ Web tiếp tục hoạt động, nạp địa mã chơng trình công vào ghi Kiểu công gây thiệt hại nghiêm trọng cho máy chủ Web, chơng trình đối tợng công giành đợc kiểm soát mức đặc quyền cao Việc chiếm dụng chơng trình dẫn đến file bị lộ phá huỷ Dữ liệu đợc chuyển vào nhớ đệm sau đợc chuyển vào vùng lu hệ thống Vùng lu nơi chơng trình lu giữ thông tin thiết yếu, chẳng hạn nh nội dung ghi xử lý trung tâm, kết tính toán phần chơng trình trớc quyền kiểm soát đợc chuyển cho chơng trình khác Khi quyền kiểm soát đợc trả lại cho chơng trình ban đầu, nội dung vùng lu đợc nạp lại vào ghi CPU quyền kiểm soát đợc trả lại cho lệnh chơng trình Tuy nhiên, quyền kiểm soát đợc trả lại cho chơng trình công, không từ bỏ quyền kiểm soát Các liên kết công làm tràn đệm (Buffer overflow attacks) Online Companion trình bày chi tiết điểm yếu dễ bị công nhớ đệm hai máy chủ Web khác Một công tơng tự xảy máy chủ th điện tử Tấn công đợc gọi bom th, xảy có hàng trăm, hàng ngàn ngời muốn gửi thông báo đến địa Mục đích bom th chất đống số lợng lớn th số lợng th vợt giới hạn kích cỡ th cho phép, điều làm cho hệ thống th tín rơi vào tình trạng tắc nghẽn trục trặc Các bom th giống nh spamming, nhng chúng đối ngợc Spamming xảy cá nhân tổ chức gửi thông báo đơn lẻ cho hàng ngàn ngời gây rắc rối hiểm hoạ an toµn 1.4 CERT Tõ mét thËp kû tr−íc, mét nhãm nhà nghiên cứu tập trung tìm hiểu cố gắng loại bỏ công kiểu sâu Internet Trung tâm an toàn máy tính Quốc gia Mỹ (National Computer Security Center) vµ mét bé phËn cđa Cơc An ninh Quốc Gia đơn vị đầu việc tổ chức hội thảo nhằm tìm phơng cách đối phó với xâm phạm an toàn ảnh hởng tới hàng ngàn ngời tơng lai Ngay sau hội thảo với chuyên gia an toàn, DARPA thành lập trung tâm phối hợp CERT (Nhóm phản ứng khẩn cấp cố máy tính) chọn trờng đại học Carnegie Mellon Pittsburgh làm trụ sở Các thành viên CERT có trách nhiệm việc thiết lập sở hạ tầng truyền thông nhanh hiệu quả, nhờ ngăn chặn nhanh chóng loại bỏ hiểm hoạ an toàn tơng lai Trong mời năm kể từ thành lập, CERT đối phó đợc 14.000 cố rắc rối liên quan đến an toàn xảy phủ Mỹ khu vực t nhân Ngày nay, CERT tiếp tục nhiệm vụ mình, cung cấp thông tin phong phú để trợ giúp ngời sử dụng Internet công ty nhận thức đợc rủi ro việc xây dựng site thơng mại Ví dụ, CERT gửi cảnh báo cho cộng đồng Internet biết cố liên quan đến an toàn xảy gần T vấn đa thông tin có giá trị để tránh công dịch vụ tên miền 1.5 Tóm tắt An toàn thơng mại điện tử vô quan trọng Các công khám phá thông tin độc quyền xử lý chúng Một sách an toàn thơng mại phải bao gồm tính bí mật, tính toàn vẹn, tính sẵn sàng quyền sở hữu trí tuệ Các hiểm hoạ thơng mại xảy mắt xích dây chuyền thơng mại, bắt đầu với máy khách, kết thúc với máy chủ thơng mại văn phòng Các thông tin vỊ tÊn c«ng virus gióp cho ng−êi sư dơng nhËn thức đợc rủi ro thờng gặp máy khách Tuy nhiên, có hiểm hoạ khó phát hơn, chúng applet phía máy khách Java, JavaScript ActiveX control ví dụ chơng trình script chạy máy khách có nguy phá vỡ an toàn Nói chung, kênh truyền thông Internet điểm yếu đặc biệt dễ bị công Internet mạng rộng lớn không kiểm soát hết đợc nút mà thông tin qua Các hiểm hoạ có khả xảy nh khám phá thông tin cá nhân trái phép, sửa đổi tài liệu kinh doanh thiết yếu, ăn cắp làm thông báo thơng mại quan trọng Dạng công kiểu sâu Internet đợc tung năm 1998 ví dụ điển hình hiểm hoạ an toàn, sử dụng Internet nh công cụ khắp giới lây nhiễm sang hàng ngàn máy tính vài phút Cũng giống nh máy khách, máy chủ thơng mại đối tợng hiểm hoạ an toàn Trầm trọng hơn, hiểm hoạ an toàn xảy với máy khách kết nối với máy chủ Các chơng trình CGI chạy máy chủ gây thiệt hại cho sở liệu, phần mềm cài đặt máy chủ sửa đổi thông tin độc quyền nhng khó bị phát Các công xuất máy chủ (dới hình thức chơng trình) đến từ bên Một công bên xảy thông báo tràn khỏi vùng lu giữ nội máy chủ ghi đè lên thông tin thiết yếu Thông tin bị thay liệu lệnh, chơng trình khác máy chủ thực lệnh CERT đợc thành lập để nghiên cứu xem xét hiểm hoạ an toàn Khi có số lợng lớn công an toàn xảy ra, thành viên nhóm tập trung lại thảo luận giải pháp nhằm xác định cố gắng loại bỏ đối tợng công điện tử Các mối hiểm hoạ ngày cao, thiếu biện pháp bảo vệ an toàn đầy đủ cho máy khách máy chủ thơng mại điện tử thơng mại điện tử tồn lâu dài Các sách an toàn hiệu quả, với việc phát đa ràng buộc hình thức bảo vệ truyền thông điện tử giao dịch điện tử Chơng Thực thi an ton cho thơng mại điện tử Việc bảo vệ tài sản điện tử tuỳ chọn, mà thực cần thiết thơng mại điện tử ngày phát triển Thế giới điện tử phải thờng xuyên đối mặt với hiểm hoạ nh virus, sâu, ngựa thành Tơroa, đối tợng nghe trộm chơng trình gây hại mà mục đích chúng phá vỡ, làm trễ từ chối truyền thông luồng thông tin khách hàng nhà sản xuất Để tránh nguy hàng tỷ đôla, việc bảo vệ phải đợc phát triển không ngừng để khách hàng tin cậy vào hệ thống trực tuyến, nơi họ giao dịch kiểm soát công việc kinh doanh Phần trình bày biện pháp an toàn, thông qua chúng bảo vệ máy khách, Internet máy chủ thơng mại 2.1 Bảo vệ tài sản thơng mại điện tử Dù công ty có tiến hành kinh doanh thơng mại qua Internet hay không, an toàn vấn đề vô nghiêm trọng Các khách hàng cần có đợc tin cậy, giao dịch họ phải đợc an toàn, không bị xem trộm sửa đổi Ngày nay, việc kinh doanh thơng mại trực tuyến trở nên lớn, chí không ngừng phát triển vài năm tới Một số địa điểm bán lẻ bán buôn truyền thống tồn trớc thơng mại điện tử đời biến thị trờng Trớc đây, an toàn có nghĩa đảm bảo an toàn vật lý, chẳng hạn nh cửa vào cửa sổ có gắn chuông báo động, ngời bảo vệ, phù hiệu cho phép vào khu vực nhạy cảm, camera giám sát, v.v Điểm lại thấy, tơng tác ngời máy tính hạn chế thiết bị đầu cuối cấm kết nối trực tiếp với máy tính lớn Giữa máy tính kết nối khác An toàn máy tính thời điểm có nghĩa đối phó với số ngời truy nhập vào thiết bị đầu cuối Ngời ta chạy chơng trình cách đa bìa đục lỗ vào thiết bị đọc Sau họ lấy lại bìa với kết đầu An toàn vấn đề đơn giản Ngµy nay, hµng triƯu ng−êi cã thĨ truy nhËp vµo máy tính mạng riêng mạng công cộng (số lợng máy tính kết nối với lên đến hàng ngàn máy) Thật không đơn giản xác định ngời sử dụng nguồn tài nguyên máy tính, họ nơi giới, chẳng hạn nh Nam Phi, nhng họ lại sử dụng máy tính California Ngày nay, nhiều công cụ giải pháp an toàn đợc đa sử dụng nhằm bảo vệ tài sản thơng mại Việc truyền thông tin có giá trị (chẳng hạn nh hóa đơn điện tử, yêu cầu đặt hàng, số thẻ tín dụng xác nhận đặt hàng) làm thay đổi cách thức nhìn nhận an toàn, cần đa giải pháp điện tử tự động để đối phó lại mối đe doạ đến tính an toàn  ... bảo vệ truyền thông điện tử giao dịch điện tử Chơng Thực thi an ton cho thơng mại điện tử Việc bảo vệ tài sản điện tử tuỳ chọn, mà thực cần thiết thơng mại điện tử ngày phát triển Thế giới điện. .. luận giải pháp nhằm xác định cố gắng loại bỏ đối tợng công điện tử Các mối hiểm hoạ ngày cao, thiếu biện pháp bảo vệ an toàn đầy đủ cho máy khách máy chủ thơng mại điện tử thơng mại điện tử tồn... vào đờng điện thoại ghi lại hội thoại Các chơng trình sniffer đọc thông báo th tín điện tử nh thông tin thơng mại điện tử Tình trạng lấy cắp số thẻ tín dụng vấn đề rõ ràng, nhng thông tin sản