Chương 3 trình bày về An ninh Thương mại điện tử. Nội dung cụ thể của chương này gồm có: Vấn đề an ninh cho các hệ thống Thương mại điện tử, Các khía cạnh của an ninh Thương mại điện tử, Hệ thống bảo mật trong Thương mại điện tử, Một số giải pháp công nghệ đảm bảo an ninh trong Thương mại điện tử.
Chương 3 An ninh thương mại điện tử Đàm Thị Thuỷ Bộ mơn Quản trị kinh doanh Email: thuydt@tlu.edu.vn Chương 3: An ninh TMĐT Câu hỏi ơn tập chương 3 1. Khái niệm về an ninh TMĐT. Các khía cạnh về an ninh TMĐT của phía người mua và người bán? 2. Những nguy cơ đe dọa an ninh trong TMĐT 3. Kỹ thuật mã hóa thơng tin, phân biệt mã hóa cơng cơng và mã hóa bí mật 4. Chữ ký điện tử và vai trị của chữ ký điện tử 5. Các rủi ro đối với máy chủ, mạng và máy khách? 6. Khái niệm về 7. Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT 8. Chức năng chủ yếu của hệ thống bảo mật thơng tin 9. Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT 3.1 Vấn đề an ninh cho các hệ thống TMĐT Làm thế nào để cân bằng giữa an ninh và tiện dụng. Một hệ thống càng an tồn thì khả năng xử lý, thực thi thao tác càng phức tạp Các loại tội phạm trong TMĐT rất tinh vi trong khi việc giảm các rủi ro TMĐT là một quá trình phức tạp liên quan đến những đạo luật mới, cơng nghệ mới, nhiều thủ tục và các chính sách tổ chức TMĐT đã hấp dẫn các tin tặc khi khách hàng sử dụng thẻ để mua hàng hoặc dịch vụ trực tuyến, dùng email để thực hiện các giao dịch kinh tế 3.1 Vấn đề an ninh cho các hệ thống TMĐT Các yếu tố làm số lượng các tấn cơng trên mạng phát triển: + Các hệ thống an ninh ln tồn tại các điểm yếu + Vấn đề an ninh và dễ dàng sử dụng + Vấn đề an ninh thường xuất hiện sau khi có sức ép thị trường + Vấn đề an ninh của trang e.commerce còn phụ thuộc vào an ninh của internet, số lượng các trang web của các trường, thư viện, cá nhân… 3.2 Các khía cạnh của an ninh TMĐT 3.2.1 Những quan tâm * Phía người mua: Bằng cách nào ? + Biết chắc Website do một cơng ty hợp pháp quản lý và sở hữu. + Biết chắc trang web khơng chứa các đoạn mã nguy hiểm hoặc các nội dung khơng lành mạnh + Biết chắc rằng web server sẽ khơng cung cấp các thơng tin của người sử dụng cho một người khác 3.2 Các khía cạnh của an ninh TMĐT 3.2.1 Những quan tâm * Phía cơng ty: Bằng cách nào biết chắc rằng + Người sử dụng sẽ khơng xâm nhập vào trang 3.2 Các khía cạnh của an ninh TMĐT 3.2.2 u cầu của an ninh TMĐT ü Tính tồn vẹn ü Chống phủ định ü Tính xác thực ü Tính đáng tin cậy ü Tính riêng tư ü Tính ích lợi 3.2 Các khía cạnh của an ninh TMĐT 3.2.3 Những nguy cơ đe doạ an ninh TMĐT ü Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác nhau như các loại virus, worm ü Tin tặc (hacker) và các chương trình phá hoại (cybervandalism) ü Gian lận thẻ tín dụng ü Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện những hành động phi pháp 3.3 Hệ thống bảo mật trong TMĐT 3.3.4 Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT (1) Chống xâm nhập bất hợp pháp (2) Chống sự tấn cơng của Hacker (3) Bảo đảm thơng tin khơng bị lộ, (4) Đảm bảo khơng bị sửa đổi, mất dữ liệu của thơng tin (5) Đảm bảo tính sẵn sàng của thơng tin (6) Đảm bảo tính tồn vẹn của giao dịch 3.3 Hệ thống bảo mật trong TMĐT 3.3.5 Chức năng chủ yếu của hệ thống bảo mật thơng tin ü Ngăn ngừa thiệt hại ü Thơng báo trước ü Thu thập có giới hạn ü Việc sử dụng những thơng tin ü Quyền lựa chọn của chủ thể dữ liệu ü Tính tồn vẹn của thơng tin ü An ninh, an tồn dữ liệu ü Tiếp cận và điều chỉnh dữ liệu ü Trách nhiệm 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT ü là q trình chuy 3.4.1 K ỹ thuật mã hố thơng tin ển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã (số hóa) để bất cứ ai, ngồi người gửi và người nhận đều khơng thể đọc được ü Hệ thống mã hóa hiện đại thường được số hóa – thuật tốn dựa trên các bit đơn của thơng điệp chứ khơng dựa trên ký hiệu chữ cái. Máy tính lưu trữ dữ liệu dưới dạng chuỗi nhị phân, trình tự của các số 1 và 0. Mỗi ký tự gọi là một bit. Các mã khóa và mã mở là các chuỗi nhị phân với độ dài khóa được xác định sẵn. 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT ü Kỹ thu 3.4.1 K ỹ thu ật mã hố thơng tin ật mã hố: • Mã hố khố bí mật • Mã hố cơng cộng ü Giao thức thoả thuận mã khố: Phong bì số hố. 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT ü Là mữộ ký đi 3.4.2 Ch ện t ử (ch ữ ký s ) t biện pháp mã khóa ốcơng cộng được sử dụng phổ biến trong TMĐT, đó là bất cứ âm thanh điện tử, ký hiệu hay q trình điện tử gắn với hoặc liên quan một cách logic với một văn bản điện tử khác theo một ngun tắc nhất định và được người ký (hay có ý định ký) văn bản đó thực thi hoặc áp dụng ü Tính chất của chữ ký số Có khả năng xác thực tác giả và thời gian ký Có khả năng xác thực tại thời điểm ký Các thành viên thứ ba có thể kiểm tra chữ ký để giải 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT 3.4.2 Ch ký đi ử (ch ữ ký s u cầữu đ ối vệớn t i ch ữ ký s ố ố) • Chữ ký phải là một mẫu bit phụ thuộc vào thơng báo được ký • Chữ ký phải được sự dụng một thơng tin duy nhất nào đó từ người gửi, nhằm ngăn chặn làm giả và chối bỏ • Tạo ra chữ ký số dễ dàng • Dễ dạng nhận ra và kiểm tra chữ ký số • Khó có thể làm giả chữ ký số • 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT Quy trình th ực hi ện ch ữ ký đi ện t 3.4.2 Ch ữ ký đi ện t ử (ch ữ ký s ố)ử: • Bước 1. Mã hóa tài liệu (gốc) (TL1) Bên ký tài liệu (bên A) dùng Mã khóa bí mật mã hóa bản tài liệu gốc => Bản tài liệu được mã hóa (TL2) • Bước 2. Chuyển bản tài liệu được mã hóa TL2 được đến bên xác nhận (bên B) • Bước 3. Giải mã TL2 Bên B dùng mã khóa cơng cộng để giải mã TL2 => TL3 • Bước 4. So sánh TL1 với TL3 Bên B dừng phần mềm để so sánh TL1 với TL3 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT ü Là mứ 3.4.3 Ch ực đi ện t ật an ninh mạng khi thực hiện ộng th t hệ th ống b ảo m giao dịch trên internet ü Là trung tâm an ninh trong TMĐT, thông qua bên thứ 3, là công cụ dễ dàng và thuận tiện để các bên tham gia giao dịch TMĐT tin tưởng lẫn nhau 3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT ü Chứng ch 3.4.4 Ch ứng ch ỉ đi ện t ột “tài liệu có chứa một tun ỉ đi ện t ử là m bố được chứng thực tính đúng đắn của thơng tin” ü Trong thương mại điện tử, một chứng chỉ là một tài liệu chứa một tập hợp thơng tin có chữ ký số của một người có thẩm quyền và người này được cộng đồng những người sử dụng chứng chỉ chấp nhận và tin cậy 3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT 3.4.4 Ch ứng ch ỉ đinh ện t danh tính của đối tượng giao Quy trình xác ận dịch thông qua Chứng chỉ điện tử (CA: Certificate Authority) • Bước 1. Cấp chứng chỉ CA Tổ chức trung gian (Có uy tín) cấp CA cho các bên giao dịch (DN) có nhu cầu Các DN khai vào form quy định bao gồm các nội dung: Tên, Địa chỉ, Điện thoại, E.mail, và các thơng tin khác. Tổ chức trung gian cấp CA cho các bên liên quan • Bước 2. Xác nhận danh tính của các đối tượng giao 3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT ü Bứứ 3.4.5 B ườ ng l a c c t tườ ng lửửa (firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn các truy cập thông tin không mong muốn từ ngồi vào hệ thống mạng nội bộ cũng như ngăn chặn các thơng tin bảo mật nằm trong mạng nội bộ xuất ra ngồi internet mà khơng được cho phép ü Mục tiêu của an ninh mạng là chỉ cho phép người sử dụng được cấp phép truy cập thơng tin và dịch vụ ü Bức tường lửa: bảo vệ mạng LAN khỏi những người xâm nhập từ bên ngồi. Mỗi mạng LAN có thể kết 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT 3.4.5 Bức tường lửa b. Chức năng và vai trị của tường lửa đối với máy tính và thiết bị mạng – Cho phép hoặc vơ hiệu hóa các dịch vụ truy cập ra bên ngồi, đảm bảo thơng tin chỉ có trong mạng nội bộ – Cho phép hoặc vơ hiệu hóa các dịch vụ bên ngồi truy cập vào trong 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT 3.4.5 Bức tường lửa 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT 3.4.5 B ức t ường l ửa c. Tường l ửa trong đi ện tốn đám mây Đối với người dùng hiện nay thì điều quan trọng nhất là tính sẵn sàng, một hệ thống CNTT hay một website phải ln ln hoạt động thì các cơng việc kinh doanh sản xuất mới hoạt động được. Dịch vụ tường lửa trên nền điện tốn đám mây được cấu hình cho phép giữ những thơng lượng mạng tốt và loại bỏ những thơng lượng mạng khơng tốt và đảm bảo cho hệ thống uptime 99.99% Ưu điểm của tường lửa điện tốn đám mây Cloud Firewall Tính sẵn sàng cao: Trang bị VPN ( mạng riêng ảo): Hiệu suất cao: 3.4 Một số giải pháp cơng nghệ đảm bảo an ninh trong TMĐT 3.4.5 Bức tường lửa ... Thu thập thơng tin người sử dụng… 3. 3 Hệ thống bảo mật trong TMĐT 3. 3 .3? ?Một số rủi ro thường gặp trong TMĐT • Rủi ro mạng và đường truyền: o Sự cố o Phá hoại o Quá tải 3. 3 Hệ thống bảo mật trong TMĐT 3. 3 .3? ?Một số rủi ro thường gặp trong TMĐT... nào vào cơ sở dữ liệu thông tin của cá nhân hoặc tổ chức 3. 3 Hệ thống bảo mật trong TMĐT 3. 3.2 Lý do cần bảo mật an tồn thơng tin ü Tại sao cần bảo mật thơng tin? 3. 3 Hệ thống bảo mật trong TMĐT 3. 3 .3? ?Một số rủi ro thường gặp trong TMĐT... khách, thậm chí có thể huỷ bỏ các file trong máy khách 3. 3 Hệ thống bảo mật trong TMĐT 3. 3 .3? ?Một số rủi ro thường gặp trong TMĐT • Rủi ro đối với máy khách: Cụ thể rủi ro tấn cơng vào các website TMĐT: Phát tán virus Tin tặc, các? ?chương? ?trình phá hoại