Các biện pháp nhằm đảm bảo an toàn cho thƣơng mại điện tử

Một phần của tài liệu Giáo trình Thương mại điện tử (Nghề: Quản trị mạng máy tính - Cao đẳng) - Trường Cao đẳng Cộng đồng Đồng Tháp (Trang 27 - 33)

BÀI 03 : AN NINH TRONG THƢƠNG MẠI ĐIỆN TỬ

2. Các biện pháp nhằm đảm bảo an toàn cho thƣơng mại điện tử

Xây dựng chính sách về an ninh an tồn mạng và yêu cầu mọi ngƣời phải chấp hành có nghĩa quan trọng trong việc xây dựng thức và thể chế hóa hoạt động bảo vệ an ninh cho thƣơng mại điện tử. Chính sách này thƣờng bao gồm các nội dung sau:

Quyền truy cập: Xác định ai đƣợc quyền truy cập vào hệ thống, mức độ

truy cập và ai giao quyền truy cập.

Bảo trì hệ thống: Ai có trách nhiệm bảo trì hệ thống nhƣ việc sao lƣu dữ

liệu, kiểm tra an tồn định kỳ, kiểm tra tính hiệu quả các biện pháp an tồn, v.v..

Bảo trì nội dung và nâng cấp dữ liệu: Ai có trách nhiệm với nội dung

đăng tải trên mạng intranet, internet và mức độ thƣờng xuyên phải kiểm tra và cập nhật những nội dung này.

Cập nhật chính sách an ninh thƣơng mại điện tử: Mức độ thƣờng

xuyên và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó.

Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa cơng khai (PKI – Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc m hóa, chữ kỹ số và

chứng chỉ số. Các kỹ thuật sử dụng trong hạ tầng khóa cơng khai có thể hiểu nhƣ sau:

Sử dụng kỹ thuật mã hố thơng tin:

M hố thơng tin là q trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dƣới dạng mật m bằng cách sử dụng một thuật m hóa. Giải m là quá trình văn bản dạng mật m đƣợc chuyển sang văn bản gốc dựa trên m khóa. Mục đích của kỹ thuật m hố nhằm đảm bảo an tồn cho các thông tin đƣợc lƣu giữ và đảm bảo an tồn cho thơng tin khi truyền phát. M hố khố bí mật, cịn gọi là m hố đối xứng hay m hoá khoá riêng, là việc sử dụng một khoá chung, giống nhau cho cả q trình m hố và q trình giải m . Q trình m hố khố bí mật đƣợc thực hiện nhƣ minh họa trong hình bên dƣới.

Nhƣ vậy, kỹ thuật m hóa này đảm bảo tính riêng tƣ và bảo mật, vì chỉ có ngƣời nhận thơng điệp m hóa đƣợc gửi đến mới có thể giải m đƣợc. Ngoài ra kỹ thuật này cũng đảm bảo tính tồn vẹn, vì một khi thơng điệp m hóa bị xâm phạm, q trình giải m sẽ khơng thực hiện đƣợc.

Chữ ký số (Digital signature):

Về mặt công nghệ, chữ k số là một thông điệp dữ liệu đ đƣợc m hóa g n kèm theo một thông điệp dữ liệu khác nhằm xác thực ngƣời gửi thơng điệp đó. Q trình k và xác nhận chữ k số nhƣ sau: Ngƣời gửi muốn gửi thơng điệp cho bên khác thì sẽ dùng một phần mềm rút gọn thông điệp dữ liệu điện tử, xử l chuyển thông điệp dữ liệu điện tử thành một “thơng điệp tóm t t” (Message Digest), thuật tốn này đƣợc gọi là thuật toán rút gọn (hash function). Ngƣời gửi m hố bản tóm t t thơng điệp bằng khóa bí mật của mình (sử dụng phần mềm bí mật đƣợc cơ quan chứng thực cấp) để tạo thành một chữ k điện tử. Sau đó, ngƣời gửi tiếp tục g n kèm chữ k điện tử này với thông điệp dữ liệu ban đầu. Sau đó gửi thơng điệp đ kèm với chữ k điện tử một cách an toàn qua mạng cho ngƣời nhận. Sau khi nhận đƣợc, ngƣời nhận sẽ dùng khố cơng khai của ngƣời gửi để giải m chữ k điện tử thành bản tóm t t thơng điệp. Ngƣời nhận cũng dùng rút gọn thông điệp dữ liệu giống hệt nhƣ ngƣời gửi đ làm đối với thông điệp nhận đƣợc để biến đổi thông điệp nhận đƣợc thành một bản tóm t t thơng điệp. Ngƣời nhận so sánh hai bản tóm t t thơng điệp này. Nếu chúng

giống nhau tức là chữ k điện tử đó là xác thực và thơng điệp đ khơng bị thay đổi trên đƣờng truyền đi.

Tƣờng lửa:

Tƣờng lửa là một thành phần của mạng, gồm phần mềm hoặc phần cứng hoặc kết hợp cả phần mềm và phần cứng, cho phép những ngƣời sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác nhƣng đồng thời ngăn cấm những ngƣời sử dụng khác khơng đƣợc phép từ bên ngồi truy cập vào mạng máy tính của tổ chức. Một bức tƣờng lửa có những đặc điểm sau:

 Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức đi ra ngồi và ngƣợc lại đều phải đi qua thiết bị hay phần mềm này.

 Chỉ các luồng thông tin đƣợc phép và tuân thủ đúng quy định về an tồn mạng máy tính của tổ chức, mới đƣợc phép đi qua.

Về cơ bản, tƣờng lửa cho phép những ngƣời sử dụng mạng máy tính bên trong tƣờng lửa đƣợc bảo vệ nhƣng vẫn có khả năng truy cập tồn bộ các dịch vụ bên ngoài mạng, đồng thời ngăn chặn và chỉ cho phép một số các truy cập từ bên ngoài vào mạng trên cơ sở đ kiểm tra tên và mật khẩu của ngƣời sử dụng, địa chỉ IP hoặc tên miền (domain name). Ví dụ, một nhà sản xuất chỉ cho phép những ngƣời sử dụng có tên miền thuộc các cơng ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua hàng. Nhƣ vậy, công việc của bức tƣờng lửa là thiết lập một rào ch n giữa trong và ngồi mạng máy tính của tổ chức. Tƣờng lửa bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thƣơng do những tin tặc, những ngƣời tò mò từ bên ngồi tấn cơng. Tất cả mọi thông điệp đƣợc gửi đến và gửi đi đều đƣợc tƣờng lửa kiểm tra đối chiếu với những quy định về an toàn do tổ chức xác lập.

Mạng riêng ảo (VPN):

Khi công ty muốn tạo ra một ứng dụng B2B, cung cấp cho các nhà cung cấp, đối tác và những đối tƣợng khác quyền truy cập không chỉ với dữ liệu đặt trên trang web của họ, mà còn cả quyền truy cập đối với dữ liệu chứa trong các tập tin khác (nhƣ tập tin Word, Excel, đồ họa, âm thanh, hình ảnh, v.v.). Theo cách truyền thống, liên lạc với cơng ty có thể thực hiện thơng qua một đƣờng truyền riêng hoặc thông qua một đƣờng quay số tới modem hoặc tới một máy chủ truy cập từ xa (RAS – Remote Access Server) mà máy chủ này cho phép kết nối trực tiếp tới mạng LAN của công ty. Ƣu điểm của việc thuê đƣờng truyền riêng là giảm thiểu khả năng bị hacker nghe trộm các liên lạc, tuy nhiên chi phí

lại cao. Do đó, doanh nghiệp có thể tham khảo một giải pháp kinh tế hơn đó là sử dụng mạng riêng ảo. Mạng riêng ảo sử dụng mạng internet để truyền tải thông tin nhƣng vẫn duy trì sự bí mật bằng cách sử dụng thuật m khóa (để m giao dịch, xác minh tính chân thực để đảm bảo rằng thơng tin không bị truy xuất trái phép và thông tin đến từ những nguồn tin cậy) và quản l quyền truy cập để xác định danh tính của bất kỳ ai sử dụng mạng này. Hơn nữa, một mạng riêng ảo cũng có thể đƣợc sử dụng để hỗ trợ những liên lạc giữa các chi nhánh và trụ sở công ty và những liên lạc giữa các công nhân lƣu động với trụ sở làm vịêc của họ.

 Một số biện pháp khác nhằm đảm bảo an toàn cho hệ thống thƣơng mại điện tử nhƣ sau:

Sử dụng password đủ mạnh:

Để đảm bảo bí mật cho mật khẩu, khi thiết lập nên xem xét các tiêu chí nhƣ: Mật khẩu có số k tự đủ lớn, tối thiểu 8 k tự và có sự kết hợp giữa chữ hoa, chữ thƣờng, chữ số và biểu tƣợng. Nhƣ vậy, sẽ mất rất nhiều thời gian mới có thể tìm ra và phá mật khẩu, mà tới thời gian đó mật khẩu đ có thể đ đƣợc thay đổi. Mật khẩu cũng nên thƣờng xuyên thay đổi (thƣờng từ 30-60 ngày) và không nên sử dụng lại mật khẩu cũ; Kích hoạt tự động việc khóa khơng cho truy cập hệ thống nếu sau từ 3-5 lần nhập mật khẩu vẫn không đúng; Không sử dụng chức năng tự động điền (auto complete) của một số phần mềm ứng dụng nhƣ Microsoft Explorer để lƣu mật khẩu và số tài khoản  Phòng chống virus:

Theo thống kê, trung bình mỗi tháng có hơn 500 virus ra đời, do đó doanh nghiệp nên sử dụng các phần mềm chống virus để kiểm tra tất cả các dữ liệu hoặc đƣợc truyền qua cổng máy chủ ở mạng hoặc truyền giữa các cổng nội bộ. Các phần mềm chống virus cũng nên đƣợc cập nhật thƣờng xuyên (hàng ngày, hàng tuần). Thông thƣờng, các công ty phần mềm virus uy tín thƣờng gửi email tới khách hàng thông báo về việc xuất hiện những virus mới và cung cấp công cụ cập nhật tự động cho khách hàng.

Giải pháp an ninh nguồn nhân lực:

Các doanh nghiệp cần lƣu mọi nhân viên trong doanh nghiệp mình thức về vấn đề an ninh mạng và những nguy cơ tấn cơng doanh nghiệp có thể chịu trong trƣờng hợp thiếu kinh nghiệm hoặc thiếu sự lƣu tâm đúng mức từ phía các nhân viên. Nhân viên cũng cần đƣợc lƣu về các giải pháp an toàn

mạng nên áp dụng nhƣ việc chọn mật khẩu, thay đổi mật khẩu, quét virus thƣờng xuyên hay xóa bỏ những email lạ.

Giải pháp về trang thiết bị an ninh mạng:

Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc nhƣ: các thẻ từ, m điện tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân tr c nhƣ kiểm tra vân tay, võng mạc hoặc giọng nói. Các biện pháp khác có thể là sao lƣu dữ liệu vào những nơi an tồn, đánh dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm nhƣ camera và chuông báo động.

Cơ chế bảo mật SSL (Secure Socket Layer – Lớp socket bảo mật):

Điểm nổi bật của SSL là chúng ta có thể ngay lập tức tạo một trang HTML với các biểu mẫu để khách hàng cung cấp thông tin về họ trong lúc giao dịch và đảm bảo rằng các thơng tin này đƣợc bảo mật và m hố khi đƣợc gửi đi trên Internet. Trong thực tế, khi ngƣời sử dụng truy nhập vào các website đƣợc hỗ trợ bởi SSL, họ sẽ thấy một biểu tƣợng nhƣ một chiếc khố ở thanh cơng cụ bên dƣới chƣơng trình.

Cơ chế bảo mật SET (Secure Electronic Transaction - Giao dịch điện tử

an toàn):

Là tiêu chuẩn bảo mật mới nhất trong thƣơng mại điện tử, đƣợc phát triển bởi một tập đoàn các cơng ty thẻ tín dụng lớn nhƣ: Visa, MasterCard, v.v. Không giống nhƣ SSL, SET đặt các khoá riêng trong tay của cả ngƣời mua và ngƣời bán trong một giao dịch. Ðiều đó có nghĩa là một ngƣời sử dụng thơng thƣờng cần các khố riêng của họ và cần phải đăng k các khoá này cũng giống nhƣ các máy chủ phải làm. Khi một giao dịch SET đƣợc xác nhận quyền sử dụng, m khoá riêng của ngƣời sử dụng sẽ thực hiện chức năng giống nhƣ một chữ k số, để chứng minh cho ngƣời bán về tính xác thực của yêu cầu giao dịch từ phía ngƣời mua và các mạng thanh tốn cơng cộng.

3. CÂU HỎI ƠN TẬP

a. Trình bày các rủi ro trong thƣơng mại điện tử?

Một phần của tài liệu Giáo trình Thương mại điện tử (Nghề: Quản trị mạng máy tính - Cao đẳng) - Trường Cao đẳng Cộng đồng Đồng Tháp (Trang 27 - 33)

Tải bản đầy đủ (PDF)

(83 trang)