BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC QUY NHƠN BÁO CÁO TIỂU LUẬN MÔN AN NINH MẠNG Chủ đề ECOMMERCE SECURITY (ĐẢM BẢO AN NINH THƯƠNG MẠI ĐIỆN TỬ) Giảng viên hướng dẫn: TS Nguyễn Hồng Quang Nhóm báo cáo: Lớp: Khoa học máy tính – K19 (2016 – 2018) Bình Định, 01-2018 Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử MỤC LỤC DANH SÁCH PHÂN CƠNG CÁC THÀNH VIÊN TÌM HIỂU NỘI DUNG BÀI BÁO CÁO Stt 01 02 03 04 Họ tên thành viên Nguyễn Tấn Long Nguyễn Phạm Thanh Bình Ngơ Bảo Châu Nguyễn Thị Khốn Nội dung phân cơng tìm hiểu Phần I, II, III Phần IV, V Phần VI, VII, VIII Phần IX, X Ghi Các thành viên nhóm ln có trao đổi, thảo luận thống q trình phân cơng tìm hiểu nội dung báo cáo Trong trình làm việc cộng tác nhóm, nhóm thường xuyên liên lạc, trao đổi vấn đề liên quan phân công Cuối cùng, sau hồn thành phần phân, cơng việc tổng hợp biên tập lại để hoàn chỉnh nội dung hình thức trình bày nhóm thực Với tìm hiểu mang tính chủ quan thành viên nhóm dù có cộng tác bàn bạc thống nhất, nhiên sau hồn thành nội dung, báo cáo khơng tránh khỏi thiếu sót, nội dung chưa thật sâu rộng bật nội dung chủ đề phân cơng Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Các thành viên nhóm mong hướng dẫn, bảo thầy để nội dung báo cáo hoàn thiện để thành viên nhóm tiếp nhận sâu nội dung kiến thức liên quan phân công Một lần thành viên nhóm nói riêng lớp Tin học Khóa 19 (niên khóa 2016-2018) Quy Nhơn, xin chân thành cảm ơn hướng dẫn giảng dạy tậm tâm thầy TM NHĨM Các thành viên nhóm Lời nói đầu Cùng với phát triển vũ bão khoa học công nghệ ngày nay, lĩnh vực thương mại điện tử - bước tiến dài quy trình kinh doanh - mang lại lợi ích vô to lớn cho tổ chức, doanh nghiệp, người tiêu dùng cho toàn xã hội Thương mại điện tử ngày liên quan đến tất thứ từ đặt hàng nội dung "kỹ thuật số" tiêu dùng trực tuyến tức thời, để đặt hàng dịch vụ thông thường, dịch vụ "meta" tạo điều kiện thuận lợi cho dạng khác thương mại điện tử Trong bối cảnh người tiêu dùng dần hứng thú với việc mua sắm cửa hàng truyền thống, thị trường thương mại điện tử chớp lấy thời để bước vào thời điểm phát triển mạnh Theo thống kê, năm 2016, có 1,61 tỷ người tồn cầu mua hàng trực tuyến Dự kiến, doanh thu bán lẻ trực tuyến toàn giới tăng từ 1.900 tỷ USD năm 2016, lên 4.060 tỷ USD năm 2020 Ra đời vào năm cuối thập niên 70 dựa phương thức giao dịch điện tử với công nghệ EDI (Electronic Data Interchange – trao đổi liệu điện tử) EFT (Electronic Funds Transfer - chuyển tiền điện tử) Tuy nhiên đến năm cuối thập niên 90, nhiều công ty kinh doanh Mỹ Châu Âu hình thành thiết lập dịch vụ với đời World Wide Web thuật ngữ Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử “Ecommerce” bắt đầu với quyền trao đổi loại hàng hóa khác thông qua Internet dùng giao thức bảo mật dịch vụ toán điện tử Bên cạnh lợi ích, đóng góp to lớn ngành thương mại điện tử mang lại cho kinh tế, thương mại điện tử đối mặt với khơng khó khăn, là: vấn đề hệ thống thơng tin, bảo mật an ninh, quy định tảng hệ thống pháp lý,… Trong vấn đề hệ thống an ninh toán trực tuyến mang lại nhiều nguy rủi ro Cùng với việc phát triển vượt bậc ngành khoa học công nghệ, lợi ích to lớn mà ngành thương mại điện tử mang lại, mảnh đất “màu mỡ” cho tội phạm sử dụng công nghệ cao ngày trở nên phổ biến tinh vi Hàng ngày, hàng khắp nơi giới rủi ro bảo mật hệ thống an ninh mạng ln rình rập khơng riêng người sử dụng hình thức tốn trực tuyến mà tổ chức, doanh nghiệp phủ quốc gia có nguy an tồn thơng tin thương mại điện tử nói chung việc toán trực tuyến Tại Việt Nam, tội phạm mạng đánh cắp thơng tin tài khoản số khách hàng thông qua việc mua thơng tin thẻ tín dụng bán thị trường chợ đen quốc tế, sau tiến hành in thông tin lên phôi thẻ trắng tiến hành rút tiền Bên cạnh đó, Việt Nam bắt đầu xuất hình thức tội phạm tiến hành cài đặt thiết bị đọc thông tin (Skimmer) vào máy ATM để đánh cắp thông tin Khi khách hàng đưa thẻ vào máy ATM để tiến hành giao dịch, thiết bị ghi nhớ thông tin cá nhân khách hàng Đồng thời, tội phạm cài đặt camera theo dõi để đánh cắp mã số bảo mật (PIN) khách hàng bấm bàn phím Với thơng tin đánh cắp này, tội phạm làm thẻ ATM giả để rút tiền thật khách hàng Gần nhất, ngày 28/1/2018, ngân hàng hàng đầu Hà Lan gồm ING, Rabobank ABN Amro thông báo hứng chịu nhiều vụ công mạng tin tặc phong tỏa việc truy cập website dịch vụ ngân hàng trực tuyến ngân hàng ING, ngân hàng hàng đầu Hà Lan có khoảng triệu khách hàng cá nhân cho biết bị cơng theo hình thức "tấn cơng từ chối dịch vụ" (DDoS) vào chiều 28/1 tin tặc gây nghẽn thông tin, khiến máy chủ ngân hàng bị tải gây áp lực máy hoạt động dịch vụ ngân hàng trực tuyến Hiện dịch vụ khôi phục lại hoạt động Trong đó, Rabobank, ngân hàng lớn thứ hai Hà Lan cho biết dịch vụ ngân hàng trực tuyến bị cơng theo hình thức DDoS vào sáng 29/1 khách hàng khơng Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử thể truy cập truy cập khó khăn Người phát ngơn Rabobank cho biết ngân hàng nỗ lực sớm giải vấn đề Tương tự, ABN Amro - ngân hàng lớn thứ ba Hà Lan - hứng chịu đợt công mạng vào cuối tuần, nâng tổng số vụ công nhằm vào ngân hàng tuần qua lên tới số Các ngân hàng cho biết thông tin khách hàng họ khơng bị rò rỉ vụ việc Theo thông báo người đứng đầu Ngân hàng Trung ương Hà Lan Klaas Knot, lần đầu tiên, ngân hàng nước hứng chịu vụ công DDoS Ngân hàng trung ương Hà Lan bị cơng mạng hàng nghìn lần ngày Các quốc gia giới có hệ thống quy định pháp luật riêng thương mại điện tử quốc gia Sau ba năm kể từ năm 2003, thương mại điện tử Việt Nam pháp luật thừa nhận thức Luật Giao dịch điện tử, Luật Thương mại (sửa đổi), Bộ luật Dân (sửa đổi) Nghị định Thương mại điện tử có hiệu lực Năm 2006 năm triển khai Kế hoạch tổng thể phát triển thương mại điện tử giai đoạn 2006-2010 theo Quyết định số 222/2005/QĐ-TTg ngày 15 tháng năm 2005 Thủ tướng Chính phủ Ngày 16 tháng 05 năm 2013, Chính phủ ký Nghị định số: 52/2013/NĐ-CP Về Thương mại điện tử, có hiệu lực từ 01/07/2013 Trong khuôn khổ báo cáo, theo phân cơng hướng dẫn, nhóm xin trình bày số nội dung Hệ thống an ninh tốn trực tuyến sở tìm hiểu mơn An ninh mạng Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử PHẦN I CYBERWAR BECOMES A REALITY (CHIẾN TRANH MẠNG ĐÃ TRỞ THÀNH HIỆN THỰC) I Cyberwar gì? Chiến tranh thơng tin hay chiến tranh mạng (Cyberwarfare) việc áp dụng công nghệ thông tin mức độ cao mặt hoạt động huy - quản lý, tình báo, điều khiển, chiến tranh điện tử, kinh tế, tâm lý, xã hội, ; loại hình tác chiến phổ biến chiến tranh đại; tổng hợp hoạt động biện pháp nhằm tung tin gây rối loạn, tác động vào cấu định; nhằm làm cho đối phương có hành động sai lầm hay có định vơ hại có lợi cho ta, đồng thời ngăn cản hoạt động thu thập, xử lý thông tin đối phương Mục đích chiến tranh thơng tin kiểm soát, điều khiển, tác động lên định làm suy giảm phá huỷ hệ thống thông tin đối phương bảo vệ hệ thống đồng minh chống lại hành động Mục tiêu công chiến tranh thông tin sở hạ tầng thơng tin (qn sự, tài chính, ngân hàng, mạng máy tính quốc gia, ) Phần mềm Virus làm cho hệ thống vũ khí đối phương bị điều khiển, phá hoại sở hạ tầng kinh tế quốc gia, làm cho kinh tế rối loạn, hay làm tắc nghẽn mạng thông tin Hacker thành phần nguy hiểm công nghệ thông tin Hacker tập trung vào việc đánh cắp bí mật quân sự; sử dụng virus cơng hệ thống máy tính làm cho hệ thống bị tê liệt đưa định II Các hình thức chiến tranh thơng tin Chiến tranh huy điều khiển (command and control warfare C2W); Chiến tranh tình báo (information-based warfare - IBW); Chiến tranh điện tử (electronic warfare - EW); Chiến tranh tâm lý (psychological warfare - PSYW); Chiến tranh tin tặc hacker (hacker warfare); Chiến tranh thông tin kinh tế (economic information warfare - EIW); Chiến tranh điều khiển học (cyberwarfare) Các cường quốc Mỹ, Nga, Trung Quốc… tư chiến không gian mạng, chiến ví chiến tranh giới thứ diễn mặt trận Internet Đầu tư cho lĩnh vực tăng mạnh năm qua Nếu năm 2013, Mỹ đổ 3,9 tỉ USD vào chiến tranh mạng năm 2014 tăng lên 4,7 tỉ USD năm 2015 5,1 tỉ USD Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Trong đó, dù khơng cơng bố ngân sách theo dự đốn Nga chi hàng tỉ USD Còn Trung Quốc, tất nhiên theo truyền thống không công bố thông tin Nhiều quốc gia thiết lập đơn vị lực lượng riêng biệt để chuẩn bị đối phó với cơng mạng quy mơ quốc gia Trong số có: Mỹ: Mỹ có Bộ huy mạng (Cybercom) trực thuộc Cơ quan An ninh Quốc gia (NSA) quyền Obama cân nhắc tách Cybercom thành đơn vị độc lập với quyền hạn lớn Động thái khơng nằm ngồi mục đích tăng cường khả đương đầu Mỹ với chiến tranh mạng tương lai Và vậy, NSA chủ yếu quan thu thập thông tin tình báo chiến lược Cybercom huy chiến tranh mạng Ở mức sâu hơn, Cybercom phát triển theo hướng Bộ huy tác chiến thống (UCC), nơi huy kiểm soát lực lượng quân dựa địa lý chức cụ thể Ngồi Cybercom, Mỹ nhiều lực lượng khác phụ trách an ninh mạng, có Bộ Tư lệnh Không gian mạng Quân đội Mỹ, Cục An ninh mạng thuộc Nhà Trắng, Lữ đồn Tình báo Qn 780, Lực lượng dự bị chiến tranh mạng (Bộ An ninh Nội địa) Ngồi ra, Mỹ có "Sở huy chiến tranh mạng", "Nhóm kiểm sốt liệu đặc biệt", "Đơn vị công nghệ can thiệp liệu", "Văn phòng chiến dịch đặc biệt", "Nha tình báo tín hiệu"… Nga: Do có chuẩn bị kỹ lưỡng, nước sở hữu đội quân tác chiến mạng vơ hùng hậu Ngồi đơng đảo đội ngũ tin tặc phủ hậu thuẫn, Nga thành lập đội quân chiến binh mạng thiện chiến Điển hình số Đội quân mạng Chiều thứ (Russia 5th-Dimension Cyber Army), thành lập năm 2007 với ngân sách hoạt động hàng năm ước tính lên đến 40 tỷ USD Tiếp đến Trung tâm An ninh Thơng tin, hay gọi Đơn vị Qn 64829, có nhiệm vụ giám sát bảo vệ mạng lưới Internet Nga Tiếp đến Trung tâm giám sát truyền thông điện tử Trung tâm quản trị An ninh Thông tin chịu trách nhiệm đánh chặn, giải mã xử lý thông tin liên lạc điện tử Ngồi ra, năm 2013, Tổng thống Putin ký Sắc lệnh số 31 việc thiết lập hệ thống phát hiện, cảnh báo khắc phục hậu công mạng nhằm vào sở hạ tầng thông tin nước Nga Trung Quốc: Ngay từ năm 2010, sách trắng Trung Quốc đề cập tới chiến tranh mạng đánh giá cao vai trò hình thức chiến tranh Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Cũng Nga, Trung Quốc sử dụng lực lượng đông đảo tin tặc phủ hậu thuẫn, chưa kể đến hàng loạt đơn vị chuyên biệt khác Điển hình "Cục Đảm bảo Thông tin" thuộc Bộ Tổng Tham mưu PLA, đóng vai trò quan huy tập trung cho chiến tranh thơng tin có trách nhiệm điều phối hoạt động mạng cho Quân giải phóng Nhân dân Trung Quốc (PLA) Tiếp theo đơn vị chuyên trách Căn An ninh Thông tin, Đội quân xanh PLA, Lực lượng đặc biệt Cyber Blue Team, Tổng cục 3; Đơn vị Tình báo mạng Axiom, Đội quân mạng "Hội Honker Trung Quốc", Ban Chỉ đạo Trung ương Thông tin An ninh Internet Đơn vị 61398 Đơn vị 61486, vốn tiếng với vụ công đột nhập vào hệ thống mạng an ninh Mỹ trực thuộc Tổng cục - phận chuyên phụ trách vấn đề gián điệp khơng gian mạng tình báo tín hiệu III Một số chiến tranh thơng tin tiêu biểu "Chiến tranh thông tin Mỹ - từ Kosovo đến Nam Estonia": chiến Nam Estonia xảy năm 2008, đọ súng chiến trường, giới chứng kiến chiến tranh khác có phần liệt hơn, gay cấn bên - "chiến tranh thông tin" Mỹ nước phương Tây với Nga Cho tới nay, người ta chưa biết chiến tranh mạng đơn giản chúng chưa xảy Kể cường quốc Mỹ Nga có mơ lý thuyết Giữa lý thuyết thực tiễn lúc khớp với Nếu nguyên tắc tiến hành chiến tranh sử dụng vũ khí cơng nghệ cao, kể vũ khí hạt nhân, người ta hiểu tính tốn tương đối với chiến tranh mạng, thứ mù tịt Trong đó, hậu chiến không gian mạng hữu rõ Trong báo cáo phân tích mang tên Ghost Fleet (Binh chủng Ma), hai tác giả Singer August Cole mô tả viễn cảnh xung đột chiến tranh Mỹ, Nga Trung Quốc, chiến tranh mạng chiến tranh điện tử đóng vai trò Ghost Fleet sách gối đầu giường nhiều quan chức quân đội lớn Trong đó, tác giả nhấn mạnh tới việc thua không gian mạng, đối phương dễ dàng thất bại mặt trận đường bộ, đường biển đường không Chỉ có khả mà quốc gia thực khơng gian mạng, là: thu thập, đánh cắp, cô lập thay đổi thông tin Thực tế, việc diễn chưa lớn quy mơ coi chiến tranh mạng Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Các xung đột không gian mạng tương lai dạng thức kết hợp Chẳng hạn, Trung Quốc tìm cách thu thập đánh cắp thông tin dự án quân tuyệt mật Mỹ, có chiến đấu F-35, để phát triển phiên cạnh tranh tương tự Trong đó, khái niệm lập giống việc ngăn chặn thơng tin – hay nói cụ thể cơng từ chối dịch vụ đánh sập website phá hủy dịch vụ web Còn thay đổi thơng tin giống việc phát động công mạng gây thiệt hại nghiêm trọng thực tế Ví dụ sống động sâu Stuxnet, Mỹ Israel sử dụng để công hệ thống hạt nhân Iran Stuxnet xóa sổ lượng lớn máy ly tâm Iran theo lời Hillary Clinton, làm chậm chương trình phát triển hạt nhân Iran tới vài năm Cho tới nay, hành động chiến tranh mạng thực xác nhận việc tung “virus quân sự” Stuxnet có khả phá hủy hạ tầng vào mạng Iran Điều thú vị thân việc phát triển sử dụng virus bà Hillary Clinton, ngoại trưởng Mỹ, tiết lộ vào năm 2011 Thế năm sau, Hillary Clinton lại trở thành nạn nhân vụ công đột nhập vào hệ thống máy tính Đảng Dân chủ Thủ phạm khơng khác tin tặc Nga, đốn nhóm Fancy Bears thuộc Tổng cục Tình báo - Bộ Tổng tham mưu quân đội Nga (GRU), nhóm Cozy Bears thuộc Cơ quan An ninh liên bang Nga (FSB) Stuxnet có lẽ khứ chiến tranh mạng tương lai sử dụng dạng thức "vũ khí" khác, phần mềm độc hại (malware) số để phá hoại ngăn chặn tất hệ thống mạng đối phương Viễn cảnh trở thành thực tế với Ukraine Nhiều website phủ, dịch vụ ngân hàng, tài từ nhà nước tới quân đội bị cô lập Thông tin chuyển đi, huy lệnh cho đơn vị hoạt động bên ngồi Đơn giản họ bị chặn đứng thơng tin, hay nói cách khác họ bị bao vây Một câu chuyện khác đáng ý vụ Israel đánh bom sở hạt nhân Iran Israel gọi chiến dịch ném bom bí mật "Operation Orchard" diễn năm 2007 Khi Israel hack vào hệ thống radar Iran, chèn vào thơng tin sai lệnh khiến radar trơng hoạt động bình thường thực tế bị đối phương kiểm soát Trước đây, muốn ném bom mục tiêu khó sâu lãnh thổ đối phương, cần tới tiêm kích đặc biệt để "dọn đường" cho máy bay ném bom Nhưng Israel lại khơng làm Thay vào đó, nước sử dụng dạng "cổng hậu" (backdoor) có tên "kill switch" để công hệ thống radar đối phương, cho phép máy bay tiến vào lãnh thổ Iran chỗ không người IV Tấn công DDoS (Distributed Denial of Service) (Phần trình bày cụ thể phần sau) Nhóm (Long-Bình-Khốn-Châu) Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử V Mạng Botnet Botnet gì? Botnet mạng máy tính tạo lập từ máy tính mà hacker điều khiển từ xa Các máy tính mạng botnet máy bị nhiễm malware bị hacker điều khiển Một mạng botnet có tới hàng trăm ngàn, chí hàng triệu máy tính Nếu máy tính thành phần mạng botnet, có nghĩa bị nhiễm số loại malware (như virus, sâu máy tính ) Hacker tạo mạng sử dụng, điều khiển hàng trăm ngàn máy tính nạn nhân để phục vụ cho mục đích riêng chúng Người dùng máy tính có nguy bị trở thành nạn nhân mạng botnet tương tự cách họ bị lây nhiễm malware Ví dụ người dùng sử dụng phần mềm khơng cập nhật vá lỗi bảo mật, sử dụng plugin có nguy bị cơng cao Java, download phần mềm lậu Mục đích Botnet Botnet dùng cho nhiều mục đích khác Do mạng botnet mạng tập hợp rất nhiều máy tính, nên hacker dùng bonet để thực công từ chối dịch vụ (DDoS) vào máy chủ web Theo đó, hàng trăm ngàn máy tính "dội bom", truy cập vào website mục tiêu thời điểm, khiến cho lưu lượng truy cập vào site bị tải Hậu nhiều người dùng truy cập vào website bị nghẽn mạng dẫn tới khơng truy cập Hình 1: Mơ hình điều khiển mạng máy tính harker thơng qua botnet Botnet dùng để gửi mail spam Lợi dụng vào mạng máy tính "ma" này, spammer tiết kiệm nhiều chi phí cho hoạt động spam kiếm tiền Ngồi ra, botnet dùng để tạo "click gian lận" - hành vi tải ngầm website mà kẻ công chuẩn bị sẵn, click link quảng cáo từ đem lại lợi nhuận quảng cáo cho hacker Botnet dùng để đào Bitcoin nhằm đem lại tiền bán bitcoin cho kẻ cơng Thơng thường máy tính cá nhân khó dùng để đào Bitcoin, lợi nhuận mang lại không đủ để người dùng trả tiền điện mà trình đào tiền ảo tiêu tốn Tuy nhiên, cách lợi dụng mạng máy tính quy mơ lớn, hacker khai thác bắt máy tính Nhóm (Long-Bình-Khốn-Châu) 10 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Các dịch vụ toán trực tuyến mà Mondex cung cấp chủ yếu toán cho dịch vụ mua hàng nhà thông qua TV kỹ thuật số hay điện thoại di động Hoặc dùng thẻ để toán cho trò chơi mạng, mua xổ số, Chuyển khoản điện tử (EFT) Internet Thanh tốn điện tử phát triển dựa sở phương thức chuyển tiền điện tử (Electronic Funds Transfer – EFT) EFT việc chuyển tiền trực tiếp tài khoản ngân hàng, tài khoản thẻ tín dụng hay tài khoản séc, ngày vài ngày, thông qua thiết bị điện tử viễn thơng máy tính EFT có từ lâu trước thương mại điện tử đời Lúc đầu EFT thực mạng giá trị gia tăng VAN (Value Added Network) nội dùng riêng cho toán liên ngân hàng với khoản giá trị lớn thông qua mạng SWIFT (hệ thống toán bù trừ hiệp hội viễn thơng tài liên ngân hàng tồn cầu), hay mạng CHIPS (trung tâm bù trừ cho hệ thống toán liên ngân hàng) Sau xuất thêm trung tâm toán bù trừ tự động ACH (Auto Clearing House) dành cho khoản tiền chuyển có giá trị nhỏ Trong thương mại điện tử, EFT thực trực tiếp tức khắc thông qua mạng Internet, kết nối an toàn với mạng riêng ngân hàng qua cổng toán, hình thành phương thức tốn trực tuyến (hay tốn qua Internet) 2.4 Trên giới có số công ty VeriSign (www.verisign.com) hay Thawte (www.thawte.com) đưa giải pháp tổng hợp cho hoạt động thương mại điện tử, từ việc cung cấp khố cơng cộng, xác thực điện tử, dịch vụ toán trực tuyến dịch vụ giá trị gia tăng khác Tuy nhiên, ngân hàng, đặc biệt ngân hàng lớn với uy tín truyền thống “bên thứ ba đáng tin cậy” có ưu việc cung cấp dịch vụ Liên minh ngân hàng hàng đầu giới ABN AMRO, The Bank of America, Banker Trust, Barclay, Chase Manhattan, Citibank, Deutsche Bank Hypo Vereinsbank thông báo áp dụng cơng nghệ mã khố cơng cộng Certco Tiền điện tử, tiền số hóa (e-cash, digital cash) Digicash, có trụ sở Amsterdam, cơng ty cung cấp phương thức toán điện tử bảo mật, nhà tiên phong e-cash sử dụng qua Internet Dựa cơng nghệ mở khóa cơng bố vốn cho người sử dụng ngân hàng trao đổi chữ ký điện tử với để kiểm tra danh tính lẫn nhau, e-cash cho phép khách hàng tải máy tính khoản tiền số hố từ tài khoản ngân hàng để thực việc mua sắm điện tử 2.5 Digicash coi e-cash máy tính rút tiền tự động ảo Người sử dụng mở tài khoản e-cash PC để mua số lượng e-cash định lưu thông đĩa cứng từ ngân hàng ecash, thông thường khơng 100 USD, dùng tốn với thương gia chấp nhận e-cash cho chi phí hàng hố mua Những thương gia kết toán với ngân hàng phát hành e-cash Ngân hàng phát hành e-cash chuyển số tiền mà người tiêu dùng mua sản phẩm trả cho thương gia Nhóm (Long-Bình-Khốn-Châu) 85 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Phần mềm chạy cho máy khách (client) gọi Purse, có giao diện đồ hoạ chạy windows 3.1 trở lên Doanh nghiệp tham gia vào chương trình e-cash cần phần mềm cung cấp Digicash để xử lý từ giao dịch từ đơn giản hệ thống kế toán phức tạp, kể chức kiểm soát lượng tồn kho Phương thức tốn có đặc điểm sau: - Ngân hàng thương gia có cam kết quan hệ uỷ quyền với nhau, người tiêu dùng, thương gia ngân hàng e-cash phải sử dụng phần mền e-cash, thích hợp với mua bán nhỏ - Kiểm chứng tư cách e-cash thực tức ngân hàng sử dụng chữ ký số hoá cho vay e-cash, giao dịch thương gia chuyển e-cash cho ngân hàng để ngân hàng kiểm tra tính hiệu lực người sử dụng (thông tin phải không giả mạo tiền chưa sử dụng) - Ngân hàng chịu trách nhiệm chuyển tiền người sử dụng thương gia E-cash có đặc điểm tiền mặt lưu gửi, lấy chuyển nhượng Hiện nay, có số cơng ty lớn ngân hàng mua quyền e-cash ví dụ: Deutsche bank, Đức; Den Norske bank, Nauy; Advance bank, Úc; Nomura Rerearch Institude, Nhật; Mark Twain bank, Mỹ Eunet, Phần Lan Ví điện tử Một ví tiền số hố thiết kế cố gắng mô lại chức ví tiền truyền thống Như nói nơi tập trung tất tiền điện tử phục vụ cho việc giao dịch khách hàng mạng Các chức quan trọng ví tiền số hố là: 2.6 a, Chứng minh tính xác thực khách hàng thông qua việc sử dụng chứng nhận số hoá phương pháp mã hóa thơng tin khác; b, Lưu trữ chuyển giá trị; c, Đảm bảo an tồn cho q trình toán người mua người bán giao dịch thương mại điện tử Khi cài đặt chương trình này, khách hàng thiết lập Wallet ID (nhằm gúp người bán hàng nhận họ) giống số PIN thẻ ghi nợ Cũng vậy, người bán phải có ID để người mua nhận họ Để thiết lập ví số, khách hàng tải miễn phí từ website Cybercash hay từ website công ty thương mại có sử dụng phương thức tốn Cybercash chương trình Cybercash Cybercoin, sau rút tiền từ tài khoản nhà băng Internet (giống rút tiền từ máy ATM thơng thường) Một ví số sẵn sàng người sử dụng mua sắm cửa hàng chấp nhận phương thức toán Cybercash Cybercoin sử dụng cho khoản toán nhỏ lặt vặt, mà sử dụng thẻ tín dụng phải tính phí Việc thiết lập ví số có khóa gỡ so với người dùng thẻ tín dụng để tốn khác, là: Người dùng ví số có ID nên họ xác minh trước người bán có tài khoản xác lập Cybercash nên có thêm nhiều tiện ích Nhóm (Long-Bình-Khốn-Châu) 86 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Ích lợi chủ yếu ví tiền số hóa tiện lợi trình mua sắm Internet chi phí cho giao dịch thấp việc thực hóa đơn đặt hàng tự động giải Với ví tiền số hố, khách hàng khơng phải điền thông tin vào đơn đặt hàng trực tuyến hành thức toán khác Thay vào đó, khách hàng cần nhấn chuột vào biểu tượng ví số hình phần mềm tự động điền thơng tin có liên quan đến đặt hàng, vận chuyển Điều không giúp đẩy nhanh trình giải đơn đặt hàng mà giúp giảm rủi ro đánh cắp thơng tin hay gian lận mà hình thức tốn thẻ tín dụng thường gặp Ví số khơng đem lại lợi ích cho người mua mà cho người bán hàng Sử dụng ví tiền số hố giúp người bán hàng hạ thấp chi phí giao dịch, tạo hội cho hoạt động tiếp thị, quảng cáo, trì khách hàng giảm trường hợp gian lận PHẦN X: BẢO VỆ THÔNG TIN CỦA BẠN (Securing Your Information: Cleversafe Hippie Storage) Cách bảo vệ thông tin bạn 1.1 Phần mềm độc hại xuất với hình thức khác nhau: PUPs Báo cáo Panda Security lưu ý rằng, 160.000 mẫu xuất hàng ngày, có nửa (58,2%) Trojan Trong số giảm so với quý trước, ActionFraud lưu ý có gia tăng loại phần mềm độc hại, bao gồm PUPs chương trình có khả khơng mong muốn PUPs phần phần mềm bundlers, phần mềm độc hại mà cài đặt chương trình khơng mong muốn vào hệ thống bị nhiễm Kiểu công đánh lừa người sử dụng cài đặt chương trình triển khai máy tính họ, không thông báo cho cá nhân khiến họ không hiểu chất độc hại ứng dụng cài đặt 1.2 Backoff: phần mềm độc hại POS Khi báo cáo nêu lên gia tăng lây nhiễm PUP, tổ chức nhận thấy loạt phần mềm độc hại khác thời gian gần đây, bao gồm mẫu trực tiếp công hệ thống bán lẻ POS Nhà nghiên cứu Sean Gallagher Ars Technica cho biết đội ứng cứu khẩn cấp máy tính Mỹ vừa phát mẫu phần mềm độc hại POS nguy hiểm đặt tên Backoff Gallagher lưu ý Backoff có đặc điểm tương tự phần mềm độc hại sử dụng vụ vi phạm liệu lớn mùa đơng năm ngối Cùng với Backoff, trường hợp thực cơng POS để lấy liệu thẻ tín dụng từ nhớ hệ thống Thậm chí đáng lo ngại Nhóm (Long-Bình-Khốn-Châu) 87 Lớp KHMT khóa 19 (2016-2018) Môn An ninh mạng Đảm bảo an ninh thương mại điện tử thực tế thử nghiệm, phần mềm độc hại cho thấy tỷ lệ bị phát 0%, giúp gần vơ hình với phần mềm bảo vệ chống virus 1.3 Bảo vệ thông qua mật cách tốt Thông thường, lây nhiễm loại công mật brute-force khai thác thông tin xác thực yếu Vì lý này, doanh nghiệp nên kiểm tra kỹ thuật xác thực sử dụng công ty họ để đảm bảo thông tin mật kiểm sốt tốt Ví dụ, nhân viên truy cập vào hệ thống POS hệ thống nhạy cảm khác sở hạ tầng nhà cung cấp cần phải có tên người dùng mật Hơn nữa, mật nên bao gồm kết hợp số, chữ ký tự đặc biệt Người dùng nên tránh sử dụng thông tin dễ đoán ngày sinh, tên vợ chồng tên vật nuôi, quê hương họ Thực điều giúp tổ chức tăng cường bảo vệ chống lại mẫu Backoff kẻ tìm cách khai thác thơng tin xác thực họ 1.4 SandroRAT: phần mềm độc hại di động Ngoài cách lây nhiễm truyền thống, tác giả phần mềm độc hại tìm kiếm mục tiêu công khác Các thiết bị di động ngày trở nên hấp dẫn tin tặc, đặc biệt người sử dụng thường xuyên tận dụng chúng cho mục đích kinh doanh Điều khơng cho phép ứng dụng truy cập vào liệu cá nhân chủ sở hữu thiết bị mà gồm thơng tin nhạy cảm họ Kể từ xuất xu hướng phần mềm độc hại di động, hệ điều hành Android trở thành mục tiêu công lớn Một phần mềm độc hại phổ biến SandroRAT SandroRAT mẫu phần mềm độc hại Android nhắm mục tiêu nạn nhân cách sử dụng thiết bị di động họ để kết nối với ngân hàng Ba Lan Tội phạm mạng lừa người dùng cách hiển thị thơng báo nói phát phần mềm độc hại thiết bị ngân hàng cung cấp ứng dụng bảo mật di động miễn phí Tuy nhiên, ứng dụng bảo vệ xuất với tên file Kaspersky_Mobile_Security_.apk thực công cụ điểu khiển truy cập từ xa (RAT) thực loạt lệnh từ xa Các chương trình có khả ăn cắp thông tin cá nhân nhạy cảm, gọi điện đánh chặn tin nhắn SMS, ghi âm xung quanh số khả nguy hiểm khác 1.5 Kiểm tra kĩ ứng dụng tải trước cài đặt Phần mềm độc hại di động SandroRAT cho thấy tầm quan trọng hiểu biết ứng dụng tải thiết bị trước cho phép cài đặt Trước tải chương trình điện thoại di động nào, người sử dụng nên đọc chi tiết liên quan đến chương trình đánh giá kết nối để đảm bảo ứng dụng hợp pháp Hơn nữa, người dùng nên tải ứng dụng từ cửa hàng ứng dụng có uy tín Nhóm (Long-Bình-Khốn-Châu) 88 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử 1.6 Một số phương pháp hiệu khác Ngồi có số phương án chiến lược bảo mật khác mà người sử dụng doanh nghiệp tận dụng để bảo vệ thơng tin nhạy cảm Một số mã hóa liệu nhằm cung cấp lớp an tồn cho thơng tin Với cơng nghệ mã hóa chỗ, hacker xâm nhập vào hệ thống sở liệu, chúng đọc liệu mà người sử dụng ủy quyền tiếp cận với khóa giải mã đọc liệu Sophos cho cách hoạt động tốt cài đặt phần nội dung trình sử dụng truyền tải Ngoài ra, tổ chức, cá nhân nên sử dụng công nghệ giám sát để giám sát thiết bị cá nhân hệ thống mạng Các chương trình cảnh báo tới người quản trị mạng chủ sở hữu thiết bị có hoạt động đáng ngờ Với loại hình bảo mật này, doanh nghiệp người sử dụng nhanh chóng phản ứng với xâm nhập độc hại giúp giảm thiểu thiệt hại Những giải pháp kỹ thuật bảo vệ kênh truyền thông thương mại điện tử 2.1 Bảo vệ việc truyền thơng Internet: mã hóa thơng tin Mã hóa (Encryption) q trình chuyển đổi liệu dạng văn (plain-text) thành liệu mã hóa (cipher text) Mục đích mã hóa bảo đảm an tồn thơng tin lưu trữ truyền tải Mã hóa cung cấp yếu tố bảo mật thương mại điện tử: toàn vẹn (Message integrity) khả đảm bảo an tồn thơng tin q trình truyền-nhận, chống thối thác (Nonrepudiation) khả đảm bảo thỏa thuận hay hành động internet không bị bên tham gia từ chối, xác thực (Authentication) nhằm chứng thực người hay hành động đáng tin cậy, tính bí mật (Confidentiality) đảm bảo liệu hiển thị với người phép xem Mã hóa khóa đối xứng: Cả người gửi người nhận dùng chung khóa để mã hóa giải mã thơng điệp Đòi hỏi phải có khóa riêng cho giao dịch, ví dụ: nhóm người cần khóa Mã hóa khóa đối xứng có hạn chế sau khóa phải bảo mật phân phối dùng Data Encryption Standard (DES): thuật tốn mã hóa đối xứng sử dụng phổ biến nay, sử dụng khóa có chiều dài 56 bits, thuật tốn khác (3-DES, AES, ) sử dụng khóa dài 128 đến 2048 bits Mã hóa khóa cơng khai: Giải vấn đề phân phối khóa bí mật mã hóa đối xứng Sử dụng hai khóa có liên quan tới nhau: khóa cơng khai (public key): phân phối rộng rãi, khóa riêng (private key): giữ bí mật Một khóa giải mã thơng điệp mã hóa khóa Trong thực tế, thường dùng public key để mã hóa, private key để giải mã Mã hóa khóa công khai gồm chữ ký số chuỗi băm (Hash digests): Áp dụng thuật tốn băm mã hóa tạo thành chuỗi băm mà người nhận dùng để kiểm tra tính tồn vẹn liệu Mã hóa lần hai với khóa riêng người gửi tạo thành chữ ký bảo đảm tính xác thực Nhóm (Long-Bình-Khốn-Châu) 89 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử tính chống thối thác H.3 Mơ hình mã khóa cơng khai Bảo mật kênh truyền liệu: SSL, S-HTTP, VNP 2.2.1 Secure Socket Layer (SSL): giao thức nhằm thiết lập phiên làm việc an toàn cho việc trao đổi liệu mạng Internet 2.2 SSL giao thức đa mục đích thiết kế để tạo giao tiếp hai chương trình ứng dụng cổng định trước (socket 443) nhằm mã hố tồn thông tin đi/đến, mà ngày sử dụng rộng rãi cho giao dịch điện tử truyền số hiệu thẻ tín dụng, mật khẩu,số bí mật cá nhân (PIN) Internet Giao thức SSL hình thành phát triển năm 1994 nhóm nghiên cứu Netscape dẫn dắt Elgammal ngày trở thành chuẩn bảo mật thực hành mạng Internet Phiên SSL 3.0 tiếp tục bổ sung hoàn thiện Tương tự SSL, giao thức khác có tên PCT - Private Communication Technology đề xướng Microsoft sử dụng rộng rãi mạng máy tính chạy hệ điều hành Windows NT Ngồi ra, chuẩn IETF (Internet Engineering Task Force) có tên TLS (Transport Layer Security) dựa SSL hình thành xuất khn khổ Nhóm (Long-Bình-Khốn-Châu) 90 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử nghiên cứu IETF Internet Draft tích hợp hỗ trợ sản phẩm Netscape H Bảo mật phiên làm việc với SSL Giao thức SSL làm việc sau: Điểm SSL thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an tồn chống giả mạo luồng thông tin qua Internet hai ứng dụng bất kỳ, thí dụ webserver trình duyệt khách (browsers), sử dụng rộng rãi nhiều ứng dụng khác mơi trường Internet Tồn chế hoạt động hệ thống thuật toán mã hoá sử dụng SSL phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) sinh thời điểm trao đổi hai ứng dụng tạo ngẫu nhiên bí mật người quan sát mạng máy tính Ngồi ra, giao thức SSL đỏi hỏi ứng dụng chủ phải chứng thực đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa mật mã cơng khai (thí dụ RSA) Sau ta xem xét cách khái quát chế hoạt động SSL để phân tích cấp độ an tồn khả áp dụng ứng dụng nhạy cảm, đặc biệt ứng dụng thương mại toán điện tử Giao thức SSL dựa hai nhóm giao thức giao thức “bắt tay” (handshake protocol) giao thức “bản ghi” (record protocol) Giao thức bắt tay xác định tham số giao dịch hai đối tượng có nhu cầu trao đổi thơng tin liệu, giao thức ghi xác định khn dạng cho tiến hành mã hố truyền tin hai chiều hai đối tượng Khi hai ứng dụng máy tính, thí dụ trình duyệt web máy chủ web, làm việc với nhau, máy chủ máy khách trao đổi “lời chào” (hellos) dạng thông điệp cho với xuất phát chủ động từ máy chủ, đồng thời xác định chuẩn thuật toán mã hoá nén số liệu áp dụng hai ứng dụng Ngồi ra, ứng dụng trao đổi “số nhận dạng/khố theo Nhóm (Long-Bình-Khốn-Châu) 91 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử phiên” (session ID, session key) cho lần làm việc Sau ứng dụng khách (trình duyệt) u cầu có chứng thực điện tử (digital certificate) xác thực ứng dụng chủ (web server) Chứng thực điện tử thường xác nhận rộng rãi quan trung gian (là CA -Certificate Authority) RSA Data Sercurity hay VeriSign Inc., dạng tổ chức độc lập, trung lập có uy tín Các tổ chức cung cấp dịch vụ “xác nhận” số nhận dạng công ty phát hành chứng cho cơng ty chứng nhận dạng (identity) cho giao dịch mạng, máy chủ webserver Sau kiểm tra chứng điện tử máy chủ (sử dụng thuật tốn mật mã cơng khai, RSA trình máy trạm), ứng dụng máy trạm sử dụng thông tin chứng điện tử để mã hố thơng điệp gửi lại máy chủ mà có máy chủ giải mã Trên sở đó, hai ứng dụng trao đổi khố (master key) - khố bí mật hay khố đối xứng - để làm sở cho việc mã hố luồng thơng tin/dữ liệu qua lại hai ứng dụng chủ khách Toàn cấp độ bảo mật an tồn thơng tin/dữ liệu phụ thuộc vào số tham số: (i) số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật thuật toán bảo mật áp dụng cho SSL; (iii) độ dài khoá (key length) sử dụng cho lược đồ mã hố thơng tin Các thuật tốn mã hố xác thực SSL sử dụng bao gồm (phiên 3.0): 3.1 DES - chuẩn mã hoá liệu (ra đời năm 1977), phát minh sử dụng phủ Mỹ 3.2 DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh sử dụng phủ Mỹ 3.3 KEA - thuật tốn trao đổi khố), phát minh sử dụng phủ Mỹ 3.4 MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh Rivest; 3.5 RC2, RC4 - mã hố Rivest, phát triển cơng ty RSA Data Security; 3.6 RSA - thuật tốn khố cơng khai, cho mã hoá va xác thực, phát triển Rivest, Shamir Adleman; 3.7 RSA key exchange - thuật toán trao đổi khoá cho SSL dựa thuật toán RSA; 3.8 SHA-1 - thuật tốn hàm băm an tồn, phát triển sử dụng phủ Mỹ 3.9 SKIPJACK - thuật toán khoá đối xứng phân loại thực phần cứng Fortezza, sử dụng phủ Mỹ 3.10 Triple-DES - mã hoá DES ba lần Cơ sở lý thuyết chế hoạt động thuật toán sử dụng bảo mật bên phổ biến rộng rãi công khai, trừ giải pháp thực ứng dụng thực hành vào sản phẩm bảo mật (phần cứng, phần dẻo, phần mềm) Nhóm (Long-Bình-Khốn-Châu) 92 Lớp KHMT khóa 19 (2016-2018) Môn An ninh mạng Đảm bảo an ninh thương mại điện tử 2.2.2 S-HTTP: cung cấp giao thức truyền nhận an toàn cho tài liệu mạng Internet (thiết kế dùng chung với HTTP) 2.2.2.1 Điểm chung giao thức HTTP S-HTTP HTTP S-HTTP giao thức để truyền liệu từ Web server đến trình duyệt web người truy cập ngược lại Tùy vào mục đích sử dụng trang web mà chủ website định sử dụng HTTP hay S-HTTP 2.2.2.2 Khác HTTP S-HTTP a Giao thức HTTP HTTP chữ viết tắt HyperText Transfer Protocol (giao thức truyền tải siêu văn bản) Đây giao thức ứng dụng giao thức TCP/IP (gồm nhóm giao thức tảng cho internet) Khi bạn gõ vào địa vào trình duyệt Web, lúc trình duyệt Web gửi yêu cầu qua giao thức HTTP đến Web server Web server nhận yêu cầu trả lại kết cho trình duyệt Web Hiện giao thức HTTP sử dụng rộng rãi tốc độ truyền tải giao thức nhanh có nhược điểm lớn độ an tồn khơng cao Trong q trình kết nối trao đổi thơng tin, trình duyệt bạn thừa nhận địa IP đến từ Server Website mà bạn muốn truy nhập mà khơng có biện pháp xác thực Các thông tin chuyển qua giao thức HTTP (bao gồm địa IP bạn, thông tin mà bạn nhập liệu Website…) không mã hóa bảo mật Điều dẫn đến nguy việc phiên kết nối bạn tới máy chủ Website bị “nghe lén”, việc truy nhập bạn bị chuyển hướng đến trang Web giả danh với thiết kế giống hệt Website gốc mà người sử dụng không hay biết b Giao thức S-HTTP S-HTTP tên viết tắt “Hypertext Transfer Protocol Secure” Đây kết hợp giao thức HTTP giao thức bảo mật SSL hay TLS S-HTTP giúp cho việc trao đổi thông tin cách bảo mật Internet Nhóm (Long-Bình-Khốn-Châu) 93 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử H.5 Ví dụ S-HTTP Nếu bạn thường xuyên sử dụng dịch vụ ngân hàng trực tuyến, bạn thấy truy nhập vào địa tên miền ngân hàng, giao thức mà sử dụng S-HTTP có màu xanh thay HTTP trang web thơng thường Điều bởi, phiên nâng cấp SHTTP HTTP sử dụng nhằm tăng cường khả bảo mật thông tin sau lần truy nhập Khác với HTTP, S-HTTP hỗ trợ việc xác thực tính danh Website mà người dùng truy nhập thông qua việc kiểm tra xác thực bảo mật (security certificate) Các xác thực bảo mật cung cấp xác minh CA (Certificate Authority) có uy tín Với xác thực từ CA, người sử dụng biết truy nhập vào Website cần truy nhập Website giả danh khác Bên cạnh đó, phiên kết nối trình duyệt bạn đến Server mã hóa Điều giúp che giấu địa IP bạn thông tin nhập liệu tài khoản bạn Website khỏi nhòm ngó hacker Tuy nhiên giao thức có nhược điểm khiến website chậm khơng nhiều, bạn sử dụng hosting tốt khơng phải điều đáng lo Dù bảo mật quan trọng tốc độ phải không nào? Để kiểm tra Website có sử dụng giao thức S-HTTP hay không vô đơn giản Các bạn cần để ý đến phần link đường dẫn truy nhập vào Website mở đầu http:// hay S-HTTP:// Bên cạnh đó, link đường dẫn Website có sử dụng giao thức S-HTTP thường kèm với biểu tượng nhỏ hình ổ khóa Khi đưa trỏ chuột hướng vào biểu tượng này, tên đơn vị xác thực (CA) nói Đây dấu hiệu cho thấy Website mà bạn truy nhập giả mạo Chính Google phát động chương trình S-HTTP everywhere, đánh giá web sử dụng giao thức S-HTTP tín hiệu để Google xếp hạng website cơng cụ tìm kiếm Việc khiến nhiều trang Web thi chuyển qua dùng giao thức S-HTTP SEO website cho tốt Và từ năm 2017 Website bị Google cảnh bảo không sử dụng giao thức S-HTTP Để sử dụng giao thức S-HTTP phải mua chứng SSL sử dụng Còn khơng gặp tình trạng hiển thị kết nối Nhóm (Long-Bình-Khốn-Châu) 94 Lớp KHMT khóa 19 (2016-2018) Môn An ninh mạng Đảm bảo an ninh thương mại điện tử khơng riêng tư trình duyệt Chrome Ngồi bạn không muốn bỏ chi mua SSL dùng chứng SSL miễn phí Let’s Encrypt cung cấp 2.2.3 Mạng riêng ảo (Virtural Private Networks-VPNs): cho phép máy tính Internet truy cập vào mạng nội cách an toàn Mục đích Cơng nghệ VPN rõ u cầu bản: Cung cấp truy nhập từ xa tới tài nguyên tổ chức lúc, nơi Kết nối chi nhánh văn phòng với Kiểm soát truy nhập khách hàng, nhà cung cấp thực thể bên tới tài nguyên tổ chức Các Mơ hình VPN bao gồm: 2.2.3.1 Truy Cập từ xa (remote-Access) Hay gọi Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, dạng kết nối User-to-Lan áp dụng cho cơng ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa thiết bị khác Khi VPN triển khai, nhân viên việc kết nối Internet thông qua ISPs sử dụng phần mềm VPN phía khách để truy cập mạng công ty họ Các công ty sử dụng loại kết nối hãng lớn với hàng trăm nhân viên thương mại Các Truy Cập từ xa VPN đảm bảo kết nối bảo mật, mã hố mạng riêng rẽ cơng ty với nhân viên từ xa qua nhà cung cấp dịch vụ thứ ba (third-party) Có hai kiểu Truy cập từ xa VPN: VPN dùng riêng VPN dùng Khởi tạo phía khách (Client-Initiated) – Người dùng từ xa sử dụng phần mềm VPN client để thiết lập đường hầm an toàn tới mạng riêng thông qua ISP trung gian Khởi tạo NAS (Network Access Server-initiated) – Người dùng từ xa quay số tới ISP NAS thiết lập đường hầm an toàn tới mạng riêng cần kết nối Với Truy cập từ xa VPN, nhân viên di động nhân viên làm việc nhà phải trả chi phí cho gọi nội để kết nối tới ISP kết nối tới mạng riêng công ty, tổ chức Các thiết bị phía máy chủ VPN Cisco Routers, PIX Firewalls VPN Concentrators, phía client phần mềm VPN Cisco Routers Site-to-Site: Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, công ty tạo kết nối với nhiều site qua mạng cơng cộng Internet Site-to-site VPN thuộc hai dạng sau: Nhóm (Long-Bình-Khốn-Châu) 95 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng 2.2.3.2 Intranet VPN Đảm bảo an ninh thương mại điện tử Áp dụng trường hợp cơng ty có nhiều địa điểm xa, địa điểm có mạng cục LAN Khi họ xây dựng mạng riêng ảo để kết nối mạng cục vào mạng riêng thống 2.2.3.3 Extranet VPN Khi cơng ty có mối quan hệ mật thiết với công ty khác (ví dụ như, đối tác, nhà hỗ trợ hay khách hàng), họ xây dựng mạng extranet VPN để kết nối kiểu mạng Lan với mạng LAN cho phép cơng ty làm việc mơi trường có chia sẻ tài ngun Bảo vệ mạng nội bộ: Firewall Proxy Tường lửa (Firewall): Phần cứng hay phần mềm, lọc thông tin vào mạng dựa theo sách bảo mật (Security policy) Bao gồm: Packet filters Application gateways Proxy server: ứng dụng server quản lý việc truyền thông máy mạng với Internet H.6 Firewall Proxy Servers Nguyên lý Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu ngời quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tơng ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngòai quản trị mạng cho chấp nhận từ chối đặc điểm khác Nhóm (Long-Bình-Khốn-Châu) 96 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Một cổng ứng dụng thờng coi nh pháo đài (bastion host), thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là: Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chun cho mục đích chống lại cơng vào Operating System, đảm bảo tích hợp firewall Chỉ dịch vụ mà ngời quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị cơng Thơng thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ tồn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ mơt proxy có vấn để Bảo vệ server client: IDS, Anti-virues Kiểm soát hoạt động hệ thống: chế xác thực kiểm soát truy cập Phần mềm diệt virus: phương pháp đơn giản tiết kiệm để bảo vệ an tồn cho máy tính mạng KẾT LUẬN Cùng với phát triển lan rộng không ngừng Internet, mạng 3G, 4G thiết bị số máy tính xách tay, máy tính bảng, điện thoại di động thơng minh, ngày nhiều thay đổi đồng thời xảy với hoạt động thương mại qua phương tiện điện tử, kết nối với mạng toàn cầu Internet, hay nói cách khác thương mại điện tử Ví dụ việc xuất doanh nghiệp “số”, thực tạo điều kiện để người tiêu dùng, doanh nghiệp thực tìm hiểu thơng tin, giao dịch trao đổi, mua, bán sản phẩm “số” hình thức kinh doanh trực tuyến mới, v.v… Thực tế chứng minh, thương mại điện tử phần thiếu kinh tế quốc gia toàn cầu thực mang đến lợi ích to lớn Hoạt động thương mại điện tử diễn người tiêu dùng với người tiêu dùng, người bán với người bán, người bán với người mua, v.v… góp phần thúc đẩy hoạt động thương mại điện tử để từ đóng góp cho kinh tế tồn cầu Trong bối cảnh đó, nhận thức phát triển tiềm lĩnh vực này, nhiều quốc gia, có Việt Nam, nhiều quan, tổ chức quốc tế, nỗ lực hoàn thiện khung pháp lý để điều chỉnh làm sở cho hoạt động Tuy nhiên trình đòi hỏi nhiều thời gian suốt trình phát triển thương mại điện tử, khơng có văn pháp luật Nhóm (Long-Bình-Khốn-Châu) 97 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử bao quát hết nội hàm hoạt động chúng ln ln đổi theo xu hướng phát triển công nghệ nhu cầu người Rất tương lai có tổ chức thành lập để theo dõi, giám sát đồng thời soạn thảo ban hành văn luật liên quan đến hoạt động thương mại điện tử với chế quy định rõ ràng để thúc đẩy hoạt động mạnh giúp đạt tính hiệu cao, mang lại nhiều ích lợi kinh tế cho nước kinh tế chung tồn cầu Do đó, q trình nghiên cứu, tìm hiểu, phân tích, nhóm chúng tơi tìm hiểu thương mại điện tử, vấn đề an ninh thương mại điện tử, môi trường bảo mật thương mại điện tử, mối đe dọa bảo mật môi trường thương mại điện tử Đưa giải pháp kỹ thuật an tồn sở mã hóa thơng tin sách, thủ tục pháp luật thương mại điện tử TÀI LIỆU THAM KHẢO Bài giảng E-commerce (business technology society Fifth Edition Kenneth C Laudon Carol Guercio Traver) Tạp chí Tin học ngân hàng Hỏi đáp thương mại điện tử An tồn thơng tin toán điện tử, Nguyễn Thị Thu Thủy, tạp chí cơng nghệ.vn Nghiên cứu số giải pháp an tồn bảo mật thơng tin giao dịch thương mại điện tử, Nguyễn Minh Quang, Học viện cơng nghệ Bưu Chính viễn thơng Phân loại cơng DDos biện pháp phòng chống, Hồng Xn Dậu, Học viện cơng nghệ bưu Viễn Thơng Nhóm (Long-Bình-Khốn-Châu) 98 Lớp KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử Rủi ro phòng tránh rủi ro thương mại điện tử, Trần Đức Trí, ĐH Kinh tế, ĐH Huế http://ecommerce.gov.vn/thuong-mai-dien-tu/tin-tuc/van-de-bao-mat-an-ninhtren-mang-trong-thuong-mai-dien-tu https://www.techsignin.com/cong-nghe/khai-niem-ve-ma-hoa/ Nhóm (Long-Bình-Khốn-Châu) 99 Lớp KHMT khóa 19 (2016-2018) ... phẩm II Bảo mật an tồn thơng tin thương mại điện tử Sự gia tăng website thương mại điện tử năm gần kéo theo hàng loạt vấn đề bảo mật thương mại điện tử, có vấn đề bảo mật mà ngành thương mại điện. .. pháp vấn đề an ninh thương mại điện tử Hình 5: Một số giải pháp an ninh thương mại điện tử Vấn đề đặt để trả lời câu hỏi làm để đạt mức độ bảo mật cao thương mại điện tử, chuyên gia an ninh khuyến... KHMT khóa 19 (2016-2018) Mơn An ninh mạng Đảm bảo an ninh thương mại điện tử PHẦN III THE TENSION BETWEEN SECURITY AND OTHER VALUES (XUNG ĐỘT GIỮA AN NINH THƯƠNG MẠI ĐIỆN TỬ VÀ CÁC GIÁ TRỊ KHÁC)