Đang tải... (xem toàn văn)
AN TOÀN THƯƠNG MẠI ĐIỆN TỬ
9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1 CHỬ BÁ QUYẾTCHỬ BÁ QUYẾT KhoaKhoa ThươngThương mạimại điệnđiện tửtử TrườngTrường ĐạiĐại họchọc ThươngThương mạimại Lịch sử 20 năm phát triển của virusLịch sử 20 năm phát triển của virus 10 vụ tấn công nổi tiếng của tin tặc10 vụ tấn công nổi tiếng của tin tặc Tình hình an ninh mạng và an toàn Tình hình an ninh mạng và an toàn TMĐT ở Việt Nam gần đâyTMĐT ở Việt Nam gần đây An toàn là vấn đề quan trọngAn toàn là vấn đề quan trọng của thương mại điện tửcủa thương mại điện tử Chuyn v các v tn công h thng Chuyn v các v tn công h thng thông tin và thng mi đin tthông tin và thng mi đin t 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2 Tổn thất do các vụ tấn công gây raTổn thất do các vụ tấn công gây ra là rất lớnlà rất lớn 400 tỉ USD là tổng thiệt hại do tội phạm trên 400 tỉ USD là tổng thiệt hại do tội phạm trên mạng gây ra năm 2004mạng gây ra năm 2004 ((Nguồn: McAfee Criminology Report 2005Nguồn: McAfee Criminology Report 2005)) Riêng 2/2006, thiệt hại của các vụ tấn công Riêng 2/2006, thiệt hại của các vụ tấn công qua mạng internet (TG) khoảng 80 tỉ USDqua mạng internet (TG) khoảng 80 tỉ USD Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu USD tương đương 45 tỉ VNĐ USD tương đương 45 tỉ VNĐ ((Nguồn: VNCERT 2006Nguồn: VNCERT 2006)) An toàn là vấn đề quan trọngAn toàn là vấn đề quan trọng của thương mại điện tửcủa thương mại điện tử Các tổ chức liên tục bị tấn công bởi những Các tổ chức liên tục bị tấn công bởi những kẻ có kinh nghiệm từ bên trong và bên ngoàikẻ có kinh nghiệm từ bên trong và bên ngoài Các loại tấn công tới các tổ chức rất đa dạngCác loại tấn công tới các tổ chức rất đa dạng Sự mất mát tài chính từ các vụ tấn công có Sự mất mát tài chính từ các vụ tấn công có thể là rất lớnthể là rất lớn Có thể sử dụng kết hợp nhiều công nghệ để Có thể sử dụng kết hợp nhiều công nghệ để chống lại các vụ tấn công nàychống lại các vụ tấn công này (Nghiên cứu của Computer Security Institute và FBI)(Nghiên cứu của Computer Security Institute và FBI) 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3 Từ phíaTừ phía người sử dụngngười sử dụng Website truy cập là xác thực và hợp phápWebsite truy cập là xác thực và hợp pháp Các trang web và các mẫu khai thông tin không chứa Các trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm trongđựng các đoạn mã nguy hiểm trong Thông tin cá nhân được đảm bảo bí mậtThông tin cá nhân được đảm bảo bí mật Máy chủ, nội dung và các dịch vụ cung cấp trên Máy chủ, nội dung và các dịch vụ cung cấp trên website không bị phá vỡwebsite không bị phá vỡ Hoạt động kinh doanh diễn ra đều đặn, không bị làm Hoạt động kinh doanh diễn ra đều đặn, không bị làm gián đoạngián đoạn Từ phíaTừ phía tổ chứctổ chức Thông tin trao đôi giữa người sử dụng và tổ chức, Thông tin trao đôi giữa người sử dụng và tổ chức, không bị bên thứ ba “nghe trộm”không bị bên thứ ba “nghe trộm” Thông tin trao đổi giữa hai bên không bị biến đổiThông tin trao đổi giữa hai bên không bị biến đổi Từ hai phíaTừ hai phía Tính toàn vẹnTính toàn vẹn Dữ liệu/thông tin không bị thay đổi khi lưu trữ hoặc chuyển phát.Dữ liệu/thông tin không bị thay đổi khi lưu trữ hoặc chuyển phát. Không phủ địnhKhông phủ định Các bên tham gia giao dịch không phủ nhận các hành động trực Các bên tham gia giao dịch không phủ nhận các hành động trực tuyến mà họ đã thực hiệntuyến mà họ đã thực hiện Tính xác thựcTính xác thực Khả năng nhận biết các đối tác tham gia giao dịch trực tuyếnKhả năng nhận biết các đối tác tham gia giao dịch trực tuyến Cấp phépCấp phép Xác định quyền truy cập các tài nguyên của tổ chứcXác định quyền truy cập các tài nguyên của tổ chức 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4 Kiểm soátKiểm soát Tập hợp thông tin về quá trình truy cập của người sử dụngTập hợp thông tin về quá trình truy cập của người sử dụng Tính tin cậyTính tin cậy Ngoài những người có quyền, không ai có thể xem các thông Ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị điệp và truy cập những dữ liệu có giá trị Tính riêng tưTính riêng tư Khả năng kiểm soát việc sử dụng các thông tin cá nhân của Khả năng kiểm soát việc sử dụng các thông tin cá nhân của khách hàngkhách hàng Tính ích lợiTính ích lợi Các chức năng của một website thương mại điện tử được thực Các chức năng của một website thương mại điện tử được thực hiện đúng như mong đợihiện đúng như mong đợi Internet WebWeb serverserver Chương trChương trìình nh CGI,CGI,…… Lưu trữ Lưu trữ (CSDL)(CSDL) TrTrìình duyệt nh duyệt WebWeb Nguồn: Scambray, J. et al: Hacking Exposed 2e. New YorkNguồn: Scambray, J. et al: Hacking Exposed 2e. New York Xác thựcXác thực Tính riêng tưTính riêng tư Toàn vẹnToàn vẹn Không phủ địnhKhông phủ định Xác thựcXác thực Cấp phépCấp phép Kiểm soátKiểm soát Tính riêng tưTính riêng tư Toàn vẹnToàn vẹn 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5 Tấn công phi kỹ thuậtTấn công phi kỹ thuật Tấn công kỹ thuậtTấn công kỹ thuật Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy cảm hay thực hiện các hành động ảnh hưởng đến vấn đề an toàncảm hay thực hiện các hành động ảnh hưởng đến vấn đề an toàn Tấn công các áp lực xã hội: loại tấn công không sử dụng công nghệ Tấn công các áp lực xã hội: loại tấn công không sử dụng công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng thực hiện các mà sử dụng các áp lực xã hội để lừa người sử dụng thực hiện các việc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá nhânviệc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá nhân Chủ yếu lợi dụng sự nhẹ dạ cả tin, kém hiểu biết hoặc gây Chủ yếu lợi dụng sự nhẹ dạ cả tin, kém hiểu biết hoặc gây sức ép tâm lý đối với người sử dụngsức ép tâm lý đối với người sử dụng Các biện pháp đối phó vớiCác biện pháp đối phó với tấn công phi kỹ thuậttấn công phi kỹ thuật Giáo dục, đào tạo,Giáo dục, đào tạo, nâng cao nhận thứcnâng cao nhận thức Hoàn thiện các thủ Hoàn thiện các thủ tục, chính sáchtục, chính sách Đề cao cảnh giác,Đề cao cảnh giác, kiểm tra sự xâm nhậpkiểm tra sự xâm nhập 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6 Sự tấn công sử dụng phần mềm vàSự tấn công sử dụng phần mềm và các hệ thống tri thức hay kinh nghiệm các hệ thống tri thức hay kinh nghiệm chuyên môn tấn công vào các hệ thốngchuyên môn tấn công vào các hệ thống Các hình thứcCác hình thức tấn công tấn công Cần dùng các biện pháp, các công cụ phần cứng Cần dùng các biện pháp, các công cụ phần cứng và phần mềm để đối phóvà phần mềm để đối phó VirusVirus Một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao Một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình của máy chủ khi chạy phải kích hoạt nócủa máy chủ khi chạy phải kích hoạt nó Sâu máy tính (worm)Sâu máy tính (worm) Một chương trình phần mềm được chạy một cách độc lập, chi Một chương trình phần mềm được chạy một cách độc lập, chi phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng nhân giống tới các máy khácnhân giống tới các máy khác Macro virus và macro wormMacro virus và macro worm Một loại virus hay sâu máy tính được thực thi khi một đối tượng Một loại virus hay sâu máy tính được thực thi khi một đối tượng ứng dụng khi được mở hay một thủ tục đặc biệt được thực thiứng dụng khi được mở hay một thủ tục đặc biệt được thực thi Con ngựa thành Tơ roa (Trojan horse)Con ngựa thành Tơ roa (Trojan horse) Một chương trình xuất hiện với những chức năng hữu dụng Một chương trình xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninhnhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7 Hacker là người xâm nhập bất hợp pháp vào Hacker là người xâm nhập bất hợp pháp vào một website hay hệ thống công nghệ thông một website hay hệ thống công nghệ thông tin mà họ có thể xác định rõtin mà họ có thể xác định rõ Hacker mũ trắngHacker mũ trắng Hacker mũ đenHacker mũ đen Hacker mũ xanh/samuraiHacker mũ xanh/samurai Hacker mũ xám hay mũ nâuHacker mũ xám hay mũ nâu Tác hại do tin tặc gây ra Tác hại do tin tặc gây ra Mất niềm tin của khách hàng cùng với danh tiếng bao nhiêu Mất niềm tin của khách hàng cùng với danh tiếng bao nhiêu năm gây dựng, và tất nhiên ảnh hướng tới thu nhập, lợi nhuận.năm gây dựng, và tất nhiên ảnh hướng tới thu nhập, lợi nhuận. Mất khả năng chấp nhận một kiểu phương tiện thanh toán nào Mất khả năng chấp nhận một kiểu phương tiện thanh toán nào đó như VISA, Mastercard.đó như VISA, Mastercard. Thu nhập và lợi nhuận giảm từ các giao dịch giả mạo và thời Thu nhập và lợi nhuận giảm từ các giao dịch giả mạo và thời gian chết của nhân viên.gian chết của nhân viên. Thời gian chết của website khi phải đóng cửa một trong các Thời gian chết của website khi phải đóng cửa một trong các kênh bán hàng quan trọng sau vụ tấn công.kênh bán hàng quan trọng sau vụ tấn công. Chi phí để sửa chữa các phần đã bị phá hoại và xây dựng kế Chi phí để sửa chữa các phần đã bị phá hoại và xây dựng kế hoạch đề phòng bất trắc cho website, ứng dụng web .hoạch đề phòng bất trắc cho website, ứng dụng web . Các trận chiến pháp lý và nhiều vấn đề liên quan từ vụ tấn công Các trận chiến pháp lý và nhiều vấn đề liên quan từ vụ tấn công với mức độ bảo mật lỏng lẻo, các khoản tiền phạt và tiền bồi với mức độ bảo mật lỏng lẻo, các khoản tiền phạt và tiền bồi thường phải trả cho nạn nhân.thường phải trả cho nạn nhân. 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8 This site was hacked againThis site was hacked again Đại diện cho cộng đồng IT Việt Nam chúng tôi xin tuyên bố. Đại diện cho cộng đồng IT Việt Nam chúng tôi xin tuyên bố. Đối với Nguyễn Hòa Bình: Nếu một ngày Nguyễn Hòa Bình chưa đứng ra xin lỗi thì ngày đó Đối với Nguyễn Hòa Bình: Nếu một ngày Nguyễn Hòa Bình chưa đứng ra xin lỗi thì ngày đó chodientu sống không được chết cũng không xong.chodientu sống không được chết cũng không xong. Nếu báo chí và các cơ quan chức năng không vào cuộc, thanh tra những hoạt động mờ ám của PS Nếu báo chí và các cơ quan chức năng không vào cuộc, thanh tra những hoạt động mờ ám của PS cũng như Nguyễn Hòa Bình hacker sẽ vào cuộc.cũng như Nguyễn Hòa Bình hacker sẽ vào cuộc. Website chodientu.com Website chodientu.com –– một website TMĐT hợp phápmột website TMĐT hợp pháp liên tục bị tấn công cướp tến miền và đối giao diện (9/2006)liên tục bị tấn công cướp tến miền và đối giao diện (9/2006) Website Bộ Giáo dục đào tạo bị tấn côngWebsite Bộ Giáo dục đào tạo bị tấn công Vụ lừa đảo của Đào Anh Tuấn tiến hành qua mạng chiếm đoạt gần 20 Vụ lừa đảo của Đào Anh Tuấn tiến hành qua mạng chiếm đoạt gần 20 triệu đồng của các thành viên trên diễn đàn trực tuyến TTVNOL.triệu đồng của các thành viên trên diễn đàn trực tuyến TTVNOL. Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được số tiền khoảng 2,6 tỷ đồngsố tiền khoảng 2,6 tỷ đồng 235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công. Trong 235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công. Trong đó có web của Bộ Thương mại đó có web của Bộ Thương mại -- mot.gov.vn, Bộ Tài nguyên Môi trườngmot.gov.vn, Bộ Tài nguyên Môi trường-- ciren.gov.vn, Bộ Khoa học Công nghệ ciren.gov.vn, Bộ Khoa học Công nghệ -- oss.gov.vn … oss.gov.vn … Web site của Ban Quản lý dự án DSM/EE - Cục Điều tiết điện lực – Bộ Công Thương hiện vẫn đang bị hacker tấn công 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9 Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoàihoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài Gửi yêu cầu http://www .Gửi yêu cầu http://www . Hệ thông mục tiêuHệ thông mục tiêu Tin tặcTin tặc Đồng loạt tấn công Gửi tài liệu và nhận các thông báo Cá nhânCá nhân Doanh nghiệpDoanh nghiệp CQ nhà nướcCQ nhà nước Trường họcTrường học Viện nghiên cứuViện nghiên cứu Nhà cung cấp DVNhà cung cấp DV 9/19/2004 10:34 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10 An toàn trongAn toàn trong truyền thông TMĐTtruyền thông TMĐT Áp dụng các biện pháp Áp dụng các biện pháp đảm bảo an toàn trong đảm bảo an toàn trong truyền thông TMĐTtruyền thông TMĐT Các công nghệCác công nghệ đảm bảo an toàn mạngđảm bảo an toàn mạng Áp dụng các biện pháp Áp dụng các biện pháp đảm bảo an toàn mạng đảm bảo an toàn mạng và các hệ thống TMĐTvà các hệ thống TMĐT Quản trị an toàn Quản trị an toàn thương mại điện tửthương mại điện tử Nhận thức vấn đềNhận thức vấn đề Xây dựng kế hoạchXây dựng kế hoạch Thực thi kế hoạchThực thi kế hoạch Một quá trình xử lý có hệ thống để xác định các loạiMột quá trình xử lý có hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và xác định các hoạt động rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để bảo vệ hay giảm bớt các tấn công nàycần thiết để bảo vệ hay giảm bớt các tấn công này Đánh giáĐánh giá Lên kế hoạchLên kế hoạch Thực hiệnThực hiện Theo dõi/Theo dõi/ Kết luậnKết luận Đánh giá các rủi roĐánh giá các rủi ro bằng các xác địnhbằng các xác định các tài sản, các điểm dễ bị các tài sản, các điểm dễ bị tổn thương của hệ thốngtổn thương của hệ thống và những đe dọa đối với và những đe dọa đối với các điểm nàycác điểm này •• Xác định các đe dọa Xác định các đe dọa nào có thể xảy ra, đe nào có thể xảy ra, đe dọa nào là khôngdọa nào là không •• Xác định mức độ của Xác định mức độ của các biện pháp đối phó các biện pháp đối phó cho phù hợpcho phù hợp •• Các công nghệ được Các công nghệ được chọn để đối phó với các chọn để đối phó với các đe doạ có độ ưu tiên đe doạ có độ ưu tiên caocao •• Ưu tiên lựa chọn các Ưu tiên lựa chọn các loại công nghệ có độ ưu loại công nghệ có độ ưu tiên caotiên cao •• Loại nào đảm bảo/không Loại nào đảm bảo/không đảm bảo và cần thay đổiđảm bảo và cần thay đổi •• Các mối đe doạ mớiCác mối đe doạ mới •• Trình độ công nghệ hiện Trình độ công nghệ hiện tạitại •• Bổ sung thêm danh mục Bổ sung thêm danh mục các hệ thống cần bảo vệcác hệ thống cần bảo vệ 4 pha của quá trình quản trị an toàn TMĐT . có độ dài cố định là 160 bit) A766F44DDEA5CACC 332 3CE3E7D73AE82.định là 160 bit) A766F44DDEA5CACC 332 3CE3E7D73AE82. Tính chất cơ bản của hàm HASHTính chất. Tình hình an ninh mạng và an toàn Tình hình an ninh mạng và an toàn TMĐT ở Việt Nam gần đâyTMĐT ở Việt Nam gần đây An toàn là vấn đề quan trọngAn toàn là