Đang tải... (xem toàn văn)
Cùng nắm kiến thức trong chương này thông qua việc tìm hiểu các nội dung sau: Vấn đề an ninh cho các hệ thống Thương mại điện tử, Các khía cạnh của an ninh Thương mại điện tử, Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT, Chức năng chủ yếu của hệ thống bảo mật thông tin,...
Chương AN NINH THƯƠNG MẠI ĐIỆN TỬ 121 3.1 Vấn đề an ninh cho hệ thống Thương mại điện tử - Làm để cân an ninh tiện dụng Một hệ thống an tồn khả xử lý, thực thi thao tác phức tạp - Các loại tội phạm TMĐT tinh vi việc giảm rủi ro TMĐT trình phức tạp liên quan đến đạo luật mới, công nghệ mới, nhiều thủ tục sách tổ chức 122 TMĐT hấp dẫn tin tặc khách hàng sử dụng thẻ để mua hàng dịch vụ trực tuyến, dùng email để thực giao dịch kinh tế Các yếu tố làm số lượng công mạng phát triển: + Các hệ thống an ninh tồn điểm yếu + Vấn đề an ninh dễ dàng sử dụng + Vấn đề an ninh thường xuất sau có sức ép thị trường + Vấn đề an ninh trang e.commerce phụ thuộc vào an ninh nternet, số lượng trang web trường, thư viện, cá nhân… 123 3.2 Các khía cạnh an ninh TMĐT 3.2.1 Những quan tâm vấn đề an ninh TMĐT * Phía người mua: Bằng cách ? + Biết Website công ty hợp pháp quản lý sở hữu + Biết trang web không chứa đoạn mã nguy hiểm nội dung không lành mạnh + Biết web server không cung cấp thông tin người sử dụng cho người khác 124 3.2.1 Những quan tâm vấn đề an ninh TMĐT (tiếp) * Phía cơng ty: Bằng cách biết + Người sử dụng không xâm nhập vào trang web để thay đổi trang nội dung + Người sử dụng khơng phá hoại website để người khác sử dụng * Từ phía cơng ty người sử dụng: cách họ biết rằng: + Đường truyền không bị người thứ ba theo dõi + Các thông tin lưu chuyển hai bên không bị thay đổi 125 3.2.2 Yêu cầu an ninh TMĐT - Tính tồn vẹn - Chống phủ định - Tính xác thực - Tính đáng tin cậy - Tính riêng tư 126 3.2.3 Những nguy đe dọa an ninh TMĐT - Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác loại virus, worm - Tin tặc (hacker) chương trình phá hoại (cybervandalism) - Gian lận thẻ tín dụng - Sự lừa đảo: Tin tặc sử dụng địa thư điện tử giả mạo danh người nhằm thực hành động phi pháp 127 3.2.3 Những nguy đe dọa an ninh TMĐT (tiếp) - Sự khước từ dịch vụ: việc hacker sử dụng giao thơng vơ ích làm tràn ngập tắc nghẽn mạng truyền thông, sử dụng số lượng lớn máy tính cơng vào mạng - Nghe trộm, giám sát di chuyển thông tin mạng Xem thư điện tử sử dụng đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người xem giám sát tồn thơng điệp chuyển tiếp gửi với thông điệp ban đầu 128 3.2.4 Hệ thống bảo mật TMĐT 3.2.4.1 Khái niệm bảo mật hệ thống bảo mật thông tin TMĐT Bảo mật thông tin bảo vệ thông tin liệu cá nhân, tổ chức nhằm tránh khỏi xâm nhập không phép kẻ xấu tin tặc người Hệ thống bảo mật thông tin TMĐT tập hợp giải pháp đồng pháp lý, kinh tế, nhân kỹ thuật nhằm chống lại xâm nhập bất hợp pháp kẻ xấu tin tặc người vào sở liệu thông tin cá nhân tổ chức 129 3.2.4.2 Lý cần phải bảo mật an tồn thơng tin Thơng tin, liệu ví tài sản nhà bạn Nếu bạn để quên làm thơng tin bạn bị mất, bị chiếm đoạt Còn chun ngành CNTT bảo mật thơng tin ví hệ thống máy tính, liệu… Đó tài sản vô quan trọng, giá trị Hiện tình hình hacker ngày nguy hiểm, khó lường Việc đảm bảo tính bảo mật thơng tin vơ quan trọng thơng tin liên quan tới bạn, tới công ty doanh nghiệp bạn Nếu bạn để lộ bảo mật chuyện tin tặc xâm nhập cao 130 3.2.4.3 Mục tiêu hệ thống bảo mật cho hoạt động TMĐT: (1) Chống xâm nhập bất hợp pháp (2) Chống công Hacker (3) Bảo đảm thông tin không bị lộ, (4) Đảm bảo không bị sửa đổi, liệu thông tin (5) Đảm bảo tính sẵn sàng thơng tin (6) Đảm bảo tính tồn vẹn giao dịch 134 3.2.4.4 Chức chủ yếu hệ thống bảo mật thơng tin • • • • • • • • • Ngăn ngừa thiệt hại Thơng báo trước Thu thập có giới hạn Việc sử dụng thông tin Quyền lựa chọn chủ thể liệu Tính tồn vẹn thơng tin An ninh, an toàn liệu Tiếp cận điều chỉnh liệu Trách nhiệm 135 3.2.5 Một số giải pháp công nghệ đảm bảo an ninh TMĐT 3.2.5.1 Kỹ thuật mã hóa thơng tin: q trình chuyển văn hay tài liệu gốc thành văn dạng mật mã (số hóa) để ai, ngồi người gửi người nhận khơng thể đọc Hệ thống mã hóa đại thường số hóa – thuật tốn dựa bit đơn thông điệp không dựa ký hiệu chữ Máy tính lưu trữ liệu dạng chuỗi nhị phân, trình tự số Mỗi ký tự gọi bit Các mã khóa mã mở chuỗi nhị phân với độ dài khóa xác định sẵn 136 Ngày nay, hai kỹ thuật thường sử dụng để mã hóa thơng tin internet mã hóa “khóa riêng” hay mã hóa “khóa bí mật” mã hóa “khóa cơng cộng” + Mã hóa “khóa bí mật” gọi mã hóa đối xứng, người gửi mã khóa thơng điệp sử dụng khóa bí mật đối xứng, sau gửi thơng điệp mã hóa bí mật đối xứng cho người nhận cách mà họ cảm thấy an tồn 137 + Mã hóa cơng cộng: phương pháp sử dụng hai mã khóa cho q trình mã hóa, mã dùng để mã hóa thơng điệp, mã để giải mã thơng điệp Mỗi người sử dụng có hai loại mã khóa: mã khóa bí mật riêng người biết, mã khóa cơng cộng thơng báo rộng rãi cho người sử dụng khác hệ thống Người gửi sử dụng mã khóa cơng cộng người nhận để mã hóa thơng điệp Người nhận nhận thơng điệp sử dụng mã khóa cá nhân để giải mã thơng điệp 138 Giao thức thỏa thuận mã khóa: Một giao thức thỏa thuận mã khóa phong bì số hóa Thơng điệp mã hóa mã khóa bí mật sau mã khóa bí mật mã hóa mã khóa cơng cộng Người gửi gửi kèm thơng điệp mã hóa (bằng khóa bí mật) khóa bí mật mã hóa (bằng khóa cơng cộng) gửi toàn cho người nhận 139 3.2.5.2 Chữ ký điện tử (chữ ký số): Là biện pháp mã khóa cơng cộng sử dụng phổ biến TMĐT, âm điện tử, ký hiệu hay trình điện tử gắn với liên quan cách logic với văn điện tử khác theo nguyên tắc định người ký (hay có ý định ký) văn thực thi áp dụng Tính chất chữ ký số - Có khả xác thực tác giả thời gian ký - Có khả xác thực thời điểm ký - Các thành viên thứ ba kiểm tra chữ ký để giải tranh chấp 140 Yêu cầu chữ ký số - Chữ ký phải mẫu bit phụ thuộc vào thông báo ký - Chữ ký phải dụng thơng tin từ người gửi, nhằm ngăn chặn làm giả chối bỏ - Tạo chữ ký số dễ dàng - Dễ dạng nhận kiểm tra chữ ký số - Khó làm giả chữ ký số - Trong thực tế cần phải lưu giữ chữ ký số 141 3.2.5.3 Chứng thực điện tử: Là trung tâm an ninh TMĐT, thông qua bên thứ 3, công cụ dễ dàng thuận tiện để bên tham gia giao dịch TMĐT tin tưởng lẫn 3.2.5.4 Chứng điện tử Chứng điện tử “tài liệu có chứa tun bố chứng thực tính đắn thông tin” Trong thương mại điện tử, chứng tài liệu chứa tập hượp thơng tin có chữ ký số người có thẩm quyền người cộng đồng sử dụng chứng chấp nhận tin cậy 142 3.2.4.5 Bức tường lửa: a Khái niệm Bức tường lửa (tiếng Anh: firewall) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn truy cập thông tin khơng mong muốn từ ngồi vào hệ thống mạng nội ngăn chặn thông tin bảo mật nằm mạng nội xuất internet mà không cho phép Mục tiêu an ninh mạng cho phép người sử dụng cấp phép truy cập thông tin dịch vụ Bức tường lửa: bảo vệ mạng LAN khỏi người xâm nhập từ bên ngồi Mỗi mạng LAN kết nói với internet qua cổng thơng thường phải có tường lửa 143 b Chức vai trò tường lửa máy tính thiết bị mạng – Cho phép vơ hiệu hóa dịch vụ truy cập bên ngồi, đảm bảo thơng tin có mạng nội – Cho phép vô hiệu hóa dịch vụ bên ngồi truy cập vào – Phát ngăn chặn công từ bên ngồi – Hỗ trợ kiểm sốt địa truy cập (bạn đặt lệnh cấm cho phép) – Kiểm soát truy cập người dùng – Quản lý kiểm soát luồng liệu mạng – Xác thực quyền truy cập – Hỗ trợ kiểm sốt nội dung thơng tin gói tin lưu chuyển hệ thống mạng – Lọc gói tin dựa vào địa nguồn, địa đích số Port ( hay cổng), giao thức mạng – Người quản trị biết kẻ cố gắng để truy cập vào hệ thống mạng – Bảo vệ tài nguyên hệ thống mối đe dọa bảo mật – Cân tải: Bạn sử dụng nhiều đường truyền internet lúc, việc chia tải giúp đường truyền internet ổn định nhiều – Tính lọc ứng dụng cho phép ngăn chặn số ứng dụng mà bạn không muốn 144 145 c Tường lửa điện toán đám mây Đối với người dùng điều quan trọng tính sẵn sàng, hệ thống CNTT hay website phải ln ln hoạt động cơng việc kinh doanh sản xuất hoạt động Dịch vụ tường lửa điện toán đám mây cấu hình cho phép giữ thơng lượng mạng tốt loại bỏ thông lượng mạng không tốt đảm bảo cho hệ thống uptime 99.99% Ưu điểm tường lửa điện toán đám mây - Cloud Firewall - Tính sẵn sàng cao: Cloud Firewall kiến trúc với cách tiếp cận điều khiển hệ thống để đảm bảo mức độ sẵn sàng cao - Trang bị VPN ( mạng riêng ảo): dịch vụ Cloud Firewall cung cấp lực VPN để loại bỏ nhu cầu cho nhiều thiết bị - Hiệu suất cao: Cloud Firewall có khả xử lý lượng tải thông lượng mạng vào cao điểm để đảm bảo hiệu suất lớn môi trường phức tạp 146 TMĐT 147 Câu hỏi ôn tập chương Khái niệm an ninh TMĐT Các khía cạnh an ninh TMĐT phía người mua người bán? Những nguy đe dọa an ninh TMĐT Kỹ thuật mã hóa thơng tin, phân biệt mã hóa cơng cơng mã hóa bí mật Chữ ký điện tử vai trò chữ ký điện tử Các rủi ro máy chủ, mạng máy khách? Khái niệm Mục tiêu hệ thống bảo mật cho hoạt động TMĐT Chức chủ yếu hệ thống bảo mật thông tin Một số giải pháp công nghệ đảm bảo an ninh TMĐT ... người nhận 139 3. 2.5.2 Chữ ký điện tử (chữ ký số): Là biện pháp mã khóa cơng cộng sử dụng phổ biến TMĐT, âm điện tử, ký hiệu hay trình điện tử gắn với liên quan cách logic với văn điện tử khác theo... số 141 3. 2.5 .3 Chứng thực điện tử: Là trung tâm an ninh TMĐT, thông qua bên thứ 3, công cụ dễ dàng thuận tiện để bên tham gia giao dịch TMĐT tin tưởng lẫn 3. 2.5.4 Chứng điện tử Chứng điện tử “tài... không bị thay đổi 125 3. 2.2 Yêu cầu an ninh TMĐT - Tính tồn vẹn - Chống phủ định - Tính xác thực - Tính đáng tin cậy - Tính riêng tư 126 3. 2 .3 Những nguy đe dọa an ninh TMĐT - Các đoạn mã nguy hiểm