Đang tải... (xem toàn văn)
Dưới đây là bài giảng Thương mại điện tử: Chương 5 - An toàn trong thương mại điện tử. Bài giảng trang bị cho các bạn những kiến thức về khái niệm an toàn trong TMĐT, 6 khía cạnh của an toàn TMĐT, các điểm có thể bị tấn công trong giao dịch TMĐT và một số kiến thức khác.
Thương mại điện tử Chương 5: An toàn thương mại điện tử Biên soạn: Trương Vĩnh Trường Duy (duytvt@ptithcm.edu.vn) E-commerce: Business – Technology – Society (Kenneth C Laudon – Carol Guercio Traver) Nội dung Khái niệm an tồn TMĐT khía cạnh an tồn TMĐT Các điểm bị cơng giao dịch TMĐT Các hình thức cơng thường gặp Các kỹ thuật bảo vệ an toàn: mã hóa, bảo vệ kênh truyền thơng tin, an tồn mạng, an tồn máy tính Các rủi ro TMĐT Khái niệm an toàn TMĐT Tất loại tội phạm diễn môi trường thương mại truyền thống diễn môi trường TMĐT Việc giảm rủi ro TMĐT trình phức tạp liên quan đến cơng nghệ, thủ tục sách tổ chức, luật pháp tiêu chuẩn cơng nghiệp An tồn ln mang tính tương đối, hệ thống an tồn bị phá vỡ An tồn chuỗi liên kết thường bị đứt điểm yếu Một an toàn vĩnh viễn khơng cần thiết Cần cân nhắc an tồn chi phí, an tồn tiện dụng Mơi trường an tồn TMĐT khía cạnh an tồn TMĐT Tính tồn vẹn: khả đảm bảo an tồn cho thơng tin hiển thị Web site thông tin chuyển Internet Chống phủ định: khả đảm bảo bên tham gia giao dịch TMĐT không phủ định hành động giao dịch trực tuyến mà họ thực Tính xác thực: khả đảm bảo nhận biết đối tác tham gia giao dịch trực tuyến Internet 6 khía cạnh an tồn TMĐT Tính tin cậy: khả đảm bảo khơng truy cập thơng điệp liệu có giá trị Tính riêng tư: khả đảm bảo kiểm sốt việc sử dụng thơng tin cá nhân mà khách hàng cung cấp thân họ Tính sẵn dùng: khả đảm bảo chức web site thương mại điện tử thực mong đợi khía cạnh an toàn TMĐT Các điểm cần bảo mật Ba điểm cần bảo mật quan trọng Client Server Kênh truyền liệu Các hình thức cơng thường gặp Các đoạn mã nguy hiểm (malicious code) Tin tặc chương trình phá hoại (hacking and cybervandalism) Gian lận thẻ tín dụng (credit card fraud/theft) Sự lừa đảo (spoofing) Sự khước từ dịch vụ (DoS – Denial of service) Kẻ trộm mạng (sniffing) Sự công từ bên tổ chức (insider jobs) Các bước giao dịch TMĐT 10 Chứng thực điện tử Cơ quan chứng nhận vào tạo thông điệp gọi chứng thực điện tử (digital certificate) bao gồm thông tin: Tên cá nhân tổ chức Khóa cơng khai Số định danh chứng thực điện tử Thời hạn hiệu lực Ngày cấp Chữ ký quan chứng nhận Các thông tin nhận dạng khác 30 Chứng thực điện tử Các chứng thực điện tử sở giao thức an toàn giao dịch điện tử Tập hợp hệ thống quan chứng nhận thủ tục chứng thực điện tử tất đối tượng tham gia TMĐT chấp nhận hình thành sở hạ tầng khóa cơng khai (Public Key Infrastructure – PKI) 31 Chứng thực điện tử 32 Khuyết điểm mã hóa CSHT khóa công khai áp dụng chủ yếu cho việc bảo vệ thơng điệp truyền nhận CSHT khóa cơng khai không ngăn chặn công từ bên nội tổ chức Việc tự bảo vệ khóa riêng cá nhân không bảo đảm Khơng có đảm bảo an tồn máy tính sử dụng cho giao dịch Các quan chứng nhận khơng kiểm sốt 33 SSL Lớp ổ cắm an toàn (Secure Sockets Layer – SSL): bảo vệ kênh thơng tin q trình trao đổi liệu máy chủ máy khách thay thơng điệp Với việc sử dụng phương pháp mã hóa khóa cơng khai chứng thực điện tử, SSL yêu cầu xác thực đối tác bảo vệ thông tin gởi từ đối tác đến đối tác khác Khuyết điểm: SSL bảo vệ thông tin chuyển đi, không bảo vệ thông tin giải mã lưu trữ máy tính Nếu máy tính khơng đảm bảo an tồn bị truy cập trái phép liệu 34 SSL 35 An toàn kênh truyền thông Secure HyperText Transfer Protocol – SHTTP: kỹ thuật khác cung cấp an toàn truyền thông dùng với HTTP Virtual Private Network (VPN): cho phép user kết nối vào mạng nội cách an tồn thơng qua Internet, dùng giao thức Point-to-Point Tunneling Protocol (PPTP) 36 An toàn mạng – tường lửa Bức tường lửa (firewall): ứng dụng phần mềm phần cứng thiết lập rào chắn mạng máy tính tổ chức bên ngồi Bảo vệ mạng máy tính tổ chức: Tất thơng điệp từ bên tổ chức ngồi ngược lại phải qua tường lửa Chỉ thông điệp đảm bảo yêu an toàn tổ chức tiếp tục phân phối (qua tường lửa), không bị chặn đứng lại tường lửa Không phép thâm nhập vào hệ thống 37 An tồn mạng – tường lửa LAN Được phép Internet LAN Firewall LAN Không phép 38 An toàn mạng – proxy server Proxy server (máy phục vụ ủy quyền) cung cấp dịch vụ trung gian, đóng vai trò “người thơng ngơn” mạng nội tổ chức với bên Khi người mạng nội muốn “nói chuyện” với người ngồi phải nói chuyện với proxy, sau proxy nói chuyện với người ngồi Tương tự cho chiều giao tiếp ngược lại Ưu điểm: Các thông tin bên bảo vệ có proxy liên lạc trực tiếp với bên ngồi Lọc nguồn thơng tin bên Tăng khả đáp ứng cách lưu trữ trang Web thường yêu cầu Theo dõi giao tiếp bên bên 39 An toàn mạng – proxy server Được phép LAN Internet LAN Proxy Server LAN Không phép 40 Firewall Proxy server 41 Bảo vệ máy tính Chức tự bảo vệ hệ điều hành Phần mềm diệt virus Authentication: kiểm tra username, password user đăng nhập Authorization: cấp phép sử dụng tài nguyên cho user Accounting: ghi lại nhật ký truy cập user Nhận biết tiêu diệt hầu hết loại virus thông thường chúng xâm nhập vào máy tính ẩn nấp đĩa cứng Phải cập nhật thường xuyên có khả phát tiêu diệt loại virus liên tục xuất Phần mềm hệ thống phát xâm nhập Dò tìm nhận biết công cụ mà tin tặc thường dùng hành động khả nghi 42 Lập kế hoạch bảo mật 43 Lập kế hoạch bảo mật Tiger team: công việc chủ yếu phát lỗ hổng cơng vào hệ thống máy tính Bắt đầu từ thập niên 1970 với U.S Air Force Chỉ dùng tin tặc “mũ trắng” Vai trò phủ luật pháp 44 ... tin nhận dạng khác 30 Chứng thực điện tử Các chứng thực điện tử sở giao thức an toàn giao dịch điện tử Tập hợp hệ thống quan chứng nhận thủ tục chứng thực điện tử tất đối tượng tham gia TMĐT... để ăn cắp thông tin quan trọng từ nơi mạng Xem thư điện tử dạng hành vi trộm cắp mạng Kỹ thuật xem thư điện tử đoạn mã ẩn bí mật gắn vào thư điện tử cho phép giám sát toàn thông điệp chuyển... nghiệp An tồn ln mang tính tương đối, hệ thống an tồn bị phá vỡ An toàn chuỗi liên kết thường bị đứt điểm yếu Một an tồn vĩnh viễn khơng cần thiết Cần cân nhắc an tồn chi phí, an tồn tiện