Đang tải... (xem toàn văn)
Lịch sử 20 năm phát triển của virus 10 vụ tấn công nổi tiếng của tin tặc Tình hình an ninh mạng và an toàn TMĐT ở Việt Nam gần đây
Khoa Thương mại điện tử Khoa Thương mại điện tử Trường Đại học Thương mại Trường Đại học Thương mại Lịch sử 20 năm phát triển của virus Lịch sử 20 năm phát triển của virus 10 vụ tấn công nổi tiếng của tin tặc 10 vụ tấn công nổi tiếng của tin tặc Tình hình an ninh mạng và an toàn TMĐT Tình hình an ninh mạng và an toàn TMĐT ở Việt Nam gần đây ở Việt Nam gần đây An toàn là vấn đề quan trọng An toàn là vấn đề quan trọng của thương mại điện tử của thương mại điện tử Chuyện về các vụ tấn công hệ thống Chuyện về các vụ tấn công hệ thống thông tin và thương mại điện tử thông tin và thương mại điện tử Tổn thất do các vụ tấn công gây ra Tổn thất do các vụ tấn công gây ra là rất lớn là rất lớn 400 tỉ USD là tổng thiệt hại do tội phạm trên 400 tỉ USD là tổng thiệt hại do tội phạm trên mạng gây ra năm 2004 mạng gây ra năm 2004 ( ( Nguồn: McAfee Criminology Report 2005 Nguồn: McAfee Criminology Report 2005 ) ) Riêng 2/2006, thiệt hại của các vụ tấn công Riêng 2/2006, thiệt hại của các vụ tấn công qua mạng internet (TG) khoảng 80 tỉ USD qua mạng internet (TG) khoảng 80 tỉ USD Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu USD tương đương 45 tỉ VNĐ USD tương đương 45 tỉ VNĐ ( ( Nguồn: VNCERT 2006 Nguồn: VNCERT 2006 ) ) An toàn là vấn đề quan trọng An toàn là vấn đề quan trọng của thương mại điện tử của thương mại điện tử Các tổ chức liên tục bị tấn công bởi những Các tổ chức liên tục bị tấn công bởi những kẻ có kinh nghiệm từ bên trong và bên ngoài kẻ có kinh nghiệm từ bên trong và bên ngoài Các loại tấn công tới các tổ chức rất đa dạng Các loại tấn công tới các tổ chức rất đa dạng Sự mất mát tài chính từ các vụ tấn công có Sự mất mát tài chính từ các vụ tấn công có thể là rất lớn thể là rất lớn Có thể sử dụng kết hợp nhiều công nghệ để Có thể sử dụng kết hợp nhiều công nghệ để chống lại các vụ tấn công này chống lại các vụ tấn công này (Nghiên cứu của Computer Security Institute và FBI) (Nghiên cứu của Computer Security Institute và FBI) Từ phía Từ phía người sử dụng người sử dụng Web server được một công ty hợp pháp là chủ và vận Web server được một công ty hợp pháp là chủ và vận hành hành Các trang web và các mẫu khai thông tin không chứa Các trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm đựng các đoạn mã nguy hiểm Thông tin cá nhân được đảm bảo bí mật Thông tin cá nhân được đảm bảo bí mật Người dùng không xâm nhập vào server hoặc thay các Người dùng không xâm nhập vào server hoặc thay các trang Web và nội dung của site trang Web và nội dung của site Hoạt động kinh doanh diễn ra đều đặn, không bị làm Hoạt động kinh doanh diễn ra đều đặn, không bị làm gián đoạn gián đoạn Từ phía Từ phía tổ chức tổ chức Thông tin trao đôi giữa người sử dụng và tổ chức, Thông tin trao đôi giữa người sử dụng và tổ chức, không bị bên thứ ba “nghe trộm” không bị bên thứ ba “nghe trộm” Thông tin trao đổi giữa hai bên không bị biến đổi Thông tin trao đổi giữa hai bên không bị biến đổi Từ hai phía Từ hai phía Tính toàn vẹn (Integrity) Tính toàn vẹn (Integrity) Khả năng đảm bảo rằng dữ liệu/thông tin khi trình bày trên trang Khả năng đảm bảo rằng dữ liệu/thông tin khi trình bày trên trang Web, sau khi truyền hoặc nhận được không bị thay đổi . Web, sau khi truyền hoặc nhận được không bị thay đổi . Không phủ định (Nonrepudiation) Không phủ định (Nonrepudiation) Khả năng đảm bảo rằng các bên tham gia giao dịch không phủ Khả năng đảm bảo rằng các bên tham gia giao dịch không phủ nhận các hành động trực tuyến mà họ đã thực hiện nhận các hành động trực tuyến mà họ đã thực hiện Tính xác thực Authenticity Tính xác thực Authenticity Khả năng xác định được đối tác tham gia giao dịch trực tuyến là Khả năng xác định được đối tác tham gia giao dịch trực tuyến là ai hoặc tổ chức náo ai hoặc tổ chức náo Cấp phép Cấp phép Xác định quyền truy cập các tài nguyên của tổ chức Xác định quyền truy cập các tài nguyên của tổ chức Kiểm soát Kiểm soát (Auditing) (Auditing) Khả năng tập hợp thông tin về quá trình truy cập của người sử Khả năng tập hợp thông tin về quá trình truy cập của người sử dụng vào những nguồn thông tin nhất định, hoặc thực những dụng vào những nguồn thông tin nhất định, hoặc thực những hành động nhất định hành động nhất định Tính tin cậy (Confidentiality) Tính tin cậy (Confidentiality) Khả năng đảm bảo rằng chỉ có những người được phép mới có Khả năng đảm bảo rằng chỉ có những người được phép mới có thể truy cập được vào thông điệp hoặc dữ liệu thể truy cập được vào thông điệp hoặc dữ liệu Tính riêng tư (Privacy) Tính riêng tư (Privacy) Khả năng kiểm soát việc sử dụng các thông tin cá nhân của Khả năng kiểm soát việc sử dụng các thông tin cá nhân của khách hàng khách hàng Tính ích lợi, tính hiệu lực (Availability) Tính ích lợi, tính hiệu lực (Availability) Khả năng đảm bảo một website thương mại điện tử vận hành Khả năng đảm bảo một website thương mại điện tử vận hành được liên tục các chức năng đúng như dự định được liên tục các chức năng đúng như dự định Internet Web Web server server Chương trình Chương trình CGI,… CGI,… Lưu trữ Lưu trữ (CSDL) (CSDL) Trình duyệt Trình duyệt Web Web Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York Xác thực Xác thực Tính riêng tư Tính riêng tư Toàn vẹn Toàn vẹn Không phủ định Không phủ định Xác thực Xác thực Cấp phép Cấp phép Kiểm soát Kiểm soát Tính riêng tư Tính riêng tư Toàn vẹn Toàn vẹn Tấn công phi kỹ thuật Tấn công phi kỹ thuật Tấn công kỹ thuật Tấn công kỹ thuật Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy cảm hay thực hiện các hành động tổn hại đến an ninh mạng cảm hay thực hiện các hành động tổn hại đến an ninh mạng Tấn công sử dụng các áp lực xã hội: loại tấn công không sử dụng Tấn công sử dụng các áp lực xã hội: loại tấn công không sử dụng công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng thực công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng thực hiện các việc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá hiện các việc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá nhân nhân Chủ yếu lợi dụng sự nhẹ dạ cả tin, kém hiểu biết hoặc gây Chủ yếu lợi dụng sự nhẹ dạ cả tin, kém hiểu biết hoặc gây sức ép tâm lý đối với người sử dụng sức ép tâm lý đối với người sử dụng Các biện pháp đối phó với Các biện pháp đối phó với tấn công phi kỹ thuật tấn công phi kỹ thuật Giáo dục, đào tạo, Giáo dục, đào tạo, nâng cao nhận thức về nâng cao nhận thức về các rủi ro liên quan đến các rủi ro liên quan đến các dạng tấn công này các dạng tấn công này Hoàn thiện các thủ tục, Hoàn thiện các thủ tục, chính sách đảm bảo an chính sách đảm bảo an toàn thông tin, hướng toàn thông tin, hướng dẫn hành vi của cán bộ dẫn hành vi của cán bộ nhân viên nhân viên Thử nghiệm, kiểm tra, khắc Thử nghiệm, kiểm tra, khắc phục các điểm yếu của hệ phục các điểm yếu của hệ thống thống . Tình hình an ninh mạng và an toàn TMĐT Tình hình an ninh mạng và an toàn TMĐT ở Việt Nam gần đây ở Việt Nam gần đây An toàn là vấn đề quan trọng An toàn. động lan Virus có khả năng tự nhân bản, nhưng nó không tự động lan truyền từ máy này sang máy khác qua mạng, mà cần có sự can truyền từ máy này sang máy
