Nội dung bài giảng Thương mại điện tử - Chương 10: An ninh thương mại điện tử cung cấp cho người học các kiến thức: Môi trường an ninh TMĐT, tầm quan trọng của vấn đề, thế nào là thương mại điện tử có an ninh tốt,... Mời các bạn cùng tham khảo.
n ninh ương mại điện tử Chương 10 Dẫn nhập yberwar: MAD 2.0 Môi trường an ninh TMĐT công dân, Internet mang lại nhiều hội tội phạm, Internet tạo cách thức chiếm đoạt tài sả n tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đ h vụ, tiền mặt, thông tin ủi ro phạm tội trực tuyến (remotely anonymously) ernet tạo ban đầu tỷ người giao dịc au, khơng có đặc điểm an ninh ernet mạng lưới mở, dễ tổn thương phạm mạng mang lại gánh nặng cho doanh nghiệp ngườ ng (làm tăng chi phí đầu vào) Tầm quan trọng vấn đề phạm mạng trở thành vấn đề lớn doanh nghiệp/tổ chức ười tiêu dùng networks, DDoS attacks, Trojans, phishing, data theft, identity f dit card fraud, spyware: mối đe doạ thường thấy t cial networks có xâm phạm an ninh y nhiên khó đánh giá thiệt hại xác tội phạm mạng gây b ông ty ngại báo cáo lỗ hổng an ninh sợ khách hàng gay báo cáo tội phạm mạng xảy ra, khó định lượng thiệt ầm quan trọng vấn đề (tt ông tin thống kê thiệt hại tội phạm mạng: Pone stitute (Mỹ), năm 2012: thiệt hại trung bình hàng năm tổ chức khoảng triệu (tăng 6% so năm 2011) loại tội phạm gây thiệt hại nhiều denial of serv malcious insiders, Web-based attacks tác nhân phạm tội phổ biến viruses, worms, Trojans (100% tổ chức), malware (95%), botnets (71%), Web-based attacks (64%) ầm quan trọng vấn đề (tt ng tin từ Symantec (nhà cung cấp dịch vụ an ninh): ến cơng nghệ làm giảm đáng kể chi phí kỹ trở thàn hạm mạng ác chương trình/hướng dẫn rẻ tiền có sẵn Web giúp hackers t alware dễ dàng mà khơng cần lập trình trước ơn nữa, malware có tính polymorphic, tức là, malware nh máy tính khác khác nhau, làm khó tiêu diệt phầ ềm bảo vệ an ninh ấn cơng có chủ đích (nhắm vào đối tượng cụ thể) ngày gia tăng; ã hội trợ giúp cho việc obile applications trở nên dễ bị tổn thương hết ầm quan trọng vấn đề (tt ine credit card fraud phishing attacks loại tội phạm ổ biến TMĐT ệ online credit card fraud / online card transaction 0.8% với doanh thu TMĐT, online credit card fraud có xu ớng giảm dần cơng ty TMĐT cơng ty thẻ tín dụng tăn ờng hệ thống an ninh để ngăn ngừa tội phạm mạng y nhiên, online credit card fraud thay đổi từ việc lấy cắp tín dụng sử dụng để mua hàng hoá vài Website c lấy cắp đồng thời hàng triệu thẻ tín dụng mạng lưới p ối thẻ tín dụng lấy cắp ầm quan trọng vấn đề (tt trường mạng chợ đen (cyber black market/underground economy serv ội phạm lấy cắp thông tin từ Internet luôn sử dụng trự bán lại thông tin cho thị trường mạng chợ đen (khoảng vài ngàn ường này) ìm thị trường khó, cần phải đóng giả làm tội phạm để xâm tội phạm mạng giỏi an ninh mạng ng phải tội phạm mạng tiền mục đích Đơi mu h sập Website thay lấy cắp thứ ->thiệt hại cho kiểu tộ m thời gian nổ lực để phục hồi site, mà ơng danh tiếng hình ảnh cơng ty, lợi nhuận ngưng trệ d ầm quan trọng vấn đề (tt m lại: Tội phạm mạng TMĐT thay đổi theo thời gian, nhiều rủi ro uất Thiệt hại doanh nghiệp lớn, nhiên có xu hướng ổ định ý thức doanh nghiệp bảo vệ an ninh n Cá nhân đối mặt với nhiều rủi ro lừa đảo (fraud), cá hoản thiệt hại không bảo hiểm liên quan đến debit card bank account Cần phải chuẩn bị đối diện với loại tội phạm biến đổi này, uôn cập nhật công nghệ bảo vệ an ninh hế TMĐT có an ninh tố hế giao dịch thương mại an toàn? Hạn chế giải pháp mã hố hơng chắn người sử dụng máy tính bạn nhân - thật bạn (mất máy tính martphone) hơng chắn máy tính người bán an to Bảo vệ kênh truyền thông nh thức phổ biến cho bảo vệ kênh truyền thôn giao thức SSL (Secure Sockets Layer) TLS ransport Layer Security) hi nhận thông điệp từ Web server mà bạn đa n hành giao dịch qua kênh an toàn, nghĩa bạn đ dụng SSL/TLS để thiết lập secure negotiated ssion (phiên đàm phán an toàn) (biểu we owser URL chuyển từ HTTP sang HTTPS) SSL/TLS ure negotiated session (phiên đàm phán an toàn): phiên làm a client server URL tài liệu yêu cầu, dung, hình thức, cookies trao đổi, mã hố ụ: số thẻ tín dụng người dùng gõ vào mã hoá u loạt giao tiếp, browser người dùng server người cu dịch vụ thiết lập nhận dạng lẫn cách trao đổi chứng (digital certificate), sau trao đổi với qua mã phiên (sess ) sion key: mã hoá đồng nhất chọn cho phi việc an toàn Một sử dụng, session key không sử dụng lại SSL/TLS ng thực tế, cá nhân thường khơng có chứng nhận số (digital certificate) ng trường hợp này, server công ty cung cấp dịch vụ không yêu cầ ficate, nhiên web browser người dùng yêu cầu server công ty certificate phiên làm việc an toàn gọi /TLS cung cấp liệu mã hoá, xác thực server (qua digital certifica hể xác thực client, tính tồn vẹn thơng điệp (integrity) cho kết nối TCP/IP /TLS giải vấn đề xác thực cách cho phép người dùng xác thự ời dùng khác hay công ty khác Nó bảo vệ tính tồn vẹn thơng điệp SSL/TLS nhiên, công ty nhận thông tin thẻ tín dụng hay đơn đặt hàng, th ó thường lưu trữ khơng mã hố server cơng ty ngườ hậu từ vấn đề an ninh nội /TLS đảm bảo xác thực phía server, khơng đảm bảo phía client ch hàng đặt hàng tải thông tin sản phẩm, sau chối bỏ g đây, mạng xã hội Facebook, Twitter bắt đầu sử dụng SSL/TLS để ngăn cắp tài khoản qua mạng Internet wifi sheep, add-on Firefox, sử dụng hacker để lấy c kies khơng mã hố (được sử dụng để “nhớ” usernames/passwords cập tài khoản /TLS ngăn chặn mã hố ln cookies Mạng riêng ảo (Virtual Private Networks VPNs) PN cho phép người dùng xa truy cập mạn ội cách an tồn thơng qua Internet, sử dụng ao thức Point-to-Point Tunneling Protocol (PPTP) Mạng Wi-Fi ước đây, chuẩn an ninh cho mạng Wifi Wired quivalent Privacy (WEP)—>rất dễ bị cơng au đến Wi-Fi Protected Access (WPA) tốt hưng khơng an tồn gày nay, sử dụng chuẩn WPA2, sử dụng thuật toán ES cho mã hoá CCMP, giao thức xác thực âng cao để bảo vệ an ninh cho người dùng Wifi Bảo vệ mạng ột bảo vệ kênh truyền thông, bước ảo vệ mạng công cụ Firewalls Pro ervers Firewalls (Tường lửa) Proxy Servers rewall: phần cứng phần mềm lọc packe ngăn ngừa packets xâm nhập vào mạng dựa c sách an ninh oxy servers (Proxy): phần mềm server giải quyế giao tiếp xuất phát từ hay gửi đến Intern m chức giống người bảo vệ tổ chức Bảo vệ Servers Clients ác đặc điểm hệ điều hành phần mềm diệt vi thể bảo vệ server client vài trường h cơng ăng cường tính bảo vệ từ Hệ điề hành hường xuyên upgrade tự động Hệ điều hành để kh hục lỗ hổng an ninh Phần mềm diệt Virus ách dễ dàng chi phí dùng phầ ềm diệt virus cAfee, Symantec (Norton AntiVirus) pháp sách quản trị, nội quy kinh doanh luật pháp ... nhật công nghệ bảo vệ an ninh hế TMĐT có an ninh tố hế giao dịch thương mại an tồn? hế TMĐT có an ninh tốt (tt.) ế giao dịch thương mại an toàn? Bất thị trường đối diện rủi ro, bao gồm q êng tư... Unwanted Program (PUP) (chương trình khơng mon ốn): chương trình tự cài đặt vào máy tính mà không s ng ý người dùng ware: PUP làm xuất pop-up quảng cáo máy owser parasite: chương trình theo dõi... nhiều denial of serv malcious insiders, Web-based attacks tác nhân phạm tội phổ biến viruses, worms, Trojans (100 % tổ chức), malware (95%), botnets (71%), Web-based attacks (64%) ầm quan trọng vấn