AN NINH MẠNG

Một phần của tài liệu GIÁO TRÌNH THƯƠNG MẠI ĐIỆN TỬ ̉ potx (Trang 97 - 144)

1.3.1 Các loại tội phạm trên mạng

Trên mạng Internet hiện nay có rất nhiều loại tội phạm tin học. Có thể kể đến một số loại tội phạm chính sau:

- Gian lận trên mạng là hành vi gian lận, làm giả để thu nhập bất chính. Ví dụ sử dụng số thẻ VISA giả để mua bán trên mạng.

- Tấn công Cyber là một cuộc tấn công điện tử để xâm nhập trái phép trên Internet vào mạng mục tiêu để làm hỏng dữ liệu, chương trình và phần cứng của các website hoặc máy trạm.

- Hackers (tin tặc). hackers là thuật ngữ để chỉ người lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính.

- Crackers là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các chương trình.

1.3.2 Các loại tấn công trên mạng

- Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ thống giỏi thực hiện.

- Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy cảm.

- Tấn công làm từ chối phục vụ (Dinial – of – service attack) là sử dụng phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được.

- Phân tán cuộc tấn công làm từ chối phục vụ (Distributed denial of service attack) là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu.

- Virus là đoạn mã chương trình chèn vào máy chủ sau đó lây lan. Nó không chạy độc lập.

- Sâu Worm là một chương trình chạy độc lập, sử dụng tài nguyên của máy chủ để lan truyền thông tin đi các máy khác.

Các cuộc tấn công tin tặc trên mạng ngày càng tăng trên Internet và ngày càng đa dạng do sự phát triển ngày càng mạnh mẽ của TMĐT và nhiều lỗ hổng

công nghệ của các website. Máy tính

Chính phủ Máy tính ISP Hệ thống mục tiêu Máy tính Cá nhân Máy tính chuẩn Máy tính tin tặc Máy tính chuẩn

Hình 6-1: Mô hình tin tặc tấn công làm từ chối phục vụ

1.3.3 Một số khái niệm về an toàn bảo mật hay dùng trong TMĐT

- Quyền được phép (Authorization). Quá trình đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng.

- Xác thực (Authentication). Quá trình xác thực một thực thể xem họ khai báo với cơ quan xác thực họ là ai.

- Thu thập thông tin (Auditing). Quá trình thu thập thông tin về các ý đồ muốn truy cập vào tài nguyên nào đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động khác.

- Sự riêng tư (Confidentiality/Privacy) là bảo vệ thông tin mua bán của người tiêu dùng.

- Tính toàn vẹn (Integrity). Khả năng bảo vệ dữ liệu không bị thay đổi.

- Không thoái thác (Nonrepudiation). Khả năng không thể từ chối các giao dịch đã thực hiện.

1.3.4 Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT

- Từ góc độ người sử dụng: Làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp? Làm sao biết được trang Web này không chứa đựng những nội dung hay mã chương trình nguy hiểm? Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ ba?

- Từ góc độ doanh nghiệp: Làm sao biết được người dùng không có ý định phá hoại hoặc làm thay đổi nội dung của trang Web hoặc website? Làm sao biết được họ có làm gián đoạn hoạt động của server hay không?

- Từ cả hai phía: Làm sao biết không bị nghe trộm trên mạng? Làm sao biết được thông tin từ máy chủ đến người dùng không bị thay đổi?

CSDL Tính toàn vẹn/ Sự riêng tư Tính toàn vẹn/ Sự riêng tư Quyền được phép Xác thực

Thu thập thông tin

Chương trình CGI, một số thành phần khác Máy chủ Web Quyền được phép Xác thực Không thoái thác Trình duyệt Web

Hình 6-2: Các vấn đề an toàn bảo mật của một website TMĐT

Có rất nhiều giải pháp công nghệ và không công nghệ để đảm bảo an toàn bảo mật trên mạng. Một trong những giải pháp quan trọng ứng dụng trong TMĐT là sử dụng kỹ thuật mã hoá và các giao thức bảo mật.

1.4 GIẢI PHÁP AN NINH THÔNG TIN TRONG THƯƠNG MẠI ĐIỆN TỬ1.4.1 Giải pháp về công nghệ 1.4.1 Giải pháp về công nghệ

1.4.1.1 Kỹ thuật mã hóa thông tin

1.4.2 Khái niệm

Để giữ bí mật truyền tải thông tin giữa hai thực thể nào đó, người ta tiến hành mã hoá chúng. Mã hoá thông tin là chuyển thông tin sang một dạng mới khác dạng ban đầu, dạng mới này được gọi chung là văn bản mã hoá.

Việc mã hoá được thực hiện dựa trên một tập các quy tắc mà thực thể gửi và nhận quy ước sử dụng, tập các quy tắc đó gọi là mật mã. Ví dụ: một mật mã đơn giản có thể là một quy tắc chuyển tất cả các ký tự của một bức thư thành một ký tự mới có vị trí cách vị trí cũ một số nguyên tắc nào đó theo thứ tự bảng chữ cái (mật mã cổ điển Caesar).

Và cũng theo các quy tắc đó, thực thể nhận biết được người gửi đã mã hoá dữ liệu như thế nào và chuyển chúng ngược lại thành dữ liệu ban đầu. Trong các trường hợp phức tạp, việc chuyển ngược còn bao gồm cả các tác vụ loại bỏ các thông tin bổ sung được thêm vào bởi quá trình mã hoá của người gửi.

1.4.3 Lợi ích của mã hoá

1.4.3.1 Mã hoá có lợi cho việc bảo vệ và xác nhận

Các thuật toán mã hoá hiện đại cùng với sự hỗ trợ của máy tính cá nhân công nghệ cao cho phép sử dụng rộng rãi, thường xuyên các phương thức bảo mật và xác nhận đầy hiệu quả.

- Bảo mật: Các thuật toán mã hoá thường được sử dụng trong việc chuyển đổi dữ liệu sang dạng khó đọc hơn hoặc không thể đọc được để tránh sự can thiệp bất hợp pháp, bảo vệ sự bí mật của dữ liệu.

- Xác nhận: Trong giao dịch thương mại mạng dựa trên Web, mã hoá được dùng trong việc xác nhận các thực thể tham gia giao dịch, chẳng hạn các khách hàng, người bán hàng cùng các thiết bị đầu cuối của họ. Hơn nữa, mã hoá còn bao hàm các phương thức chuyên dụng (ví dụ ảnh, dấu vân tay...) đối với các đặc điểm nhận dạng về một người khi truyền trên mạng cùng với các thư tín và

các tệp dữ liệu, điều này cho phép xác nhận hiệu quả email, các phần mềm...

- Mã hoá cung cấp các công cụ để nhận dạng người gửi, xác nhận nội dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thư tín và bảo đảm bí mật.

Kỹ thuật mã hoá cung cấp ba kiểu dịch vụ hỗ trợ TMĐT: Xác nhận (bao gồm cả nhận dạng), không khước từ và bí mật.

- Nhận dạng: Nhận dạng - một trong các kiểu xác nhận - chỉ ra rằng chủ thể của bức thư gửi đi là ai.

Xác nhận: Chức năng của dịch vụ xác nhận rộng rãi hơn, nó không chỉ bao gồm nhận dạng người gửi thông điệp mà cả sự toàn vẹn, nhất quán của nội dung thông điệp khi truyền qua mạng. Bản thân một số giáo thức mạng cũng gộp một số kỹ thuật mã hoá, chia nhỏ dữ liệu thành các gói khi truyền và xác nhận sự toàn vẹn khi ghép lại ở đầu nhận.

- Không phủ nhận (non-repudiation): Không phủ nhận là một yêu cầu quan trọng trong TMĐT, một hoạt động thương mại không có giao dịch trực tiếp. Thực thi chức năng không phủ nhận cho phép ngăn chặn một người nào đó chối bỏ rằng mình đã gửi hoặc đã nhận một thông điệp hoặc một tệp dữ liệu nào đó.

- Bảo đảm bí mật: Khả năng bảo đảm bí mật là khả năng che chắn, giữ bí mật thông tin không cho những kẻ thâm nhập bất hợp pháp biết hoặc thay đổi nó trong quá trình lưu thông trên mạng.

1.4.4 Phân loại các phương pháp mã hoá

1.4.4.1 Mật mã đối xứng

Dạng cổ xưa nhất của mã hoá dựa trên khoá được gọi là khoá bí mật hoặc mật mã đối xứng. Để định ý, từ đây gọi chung là khoá đối xứng. Trong cách này, hai người gửi và nhận thông tin quy ước dùng chung một khoá để mã hoá và giải mã dữ liệu.

Hình 6-3: Mô hình mật mã đối xứng Mật mã đối xứng có một số hạn chế:

- Cả hai bên tham gia truyền thông phải đồng ý dùng chung khoá bí mật. Như vậy nếu một người có n đối tác cần liên lạc thì người đó phải lưu giữ n khoá đối xứng, mỗi khoá cho một người tương ứng. Trong trường hợp đó, nếu dùng cùng một khoá để liên lạc với hơn một người thì xác suất lộ bí mật thông

tin sẽ lớn hơn, người này có thể biết được nội dung của người kia.

- Mật mã đối xứng không bảo đảm tính xác thực hoặc tính không phủ nhận. Sơ đồ mật mã đối xứng không đảm bảo tính xác thực, do đặc điểm nhận dạng của người gửi hoặc người nhận không thể xác định phân biết được. Cả hai người đều dùng một khoá, cả hai có thể tạo ra, có thể mã hoá một thông điệp và có thể nói rằng người kia gửi nó. Sự nhập nhằng tiềm ẩn trong việc phân định ai là tác giả của thông điệp như vậy khiến tính không phủ nhận không thể thoả mãn khi dùng khoá bí mật. Giải pháp cho vấn đề phủ nhận là dùng kỹ thuật mã hoá với khoá công khai, được trình bày dưới đây.

1.4.4.2 Mật mã bất đối xứngKhái niệm: Khái niệm:

Mã hoá với khoá không đối xứng (kỹ thuật mã hoá dùng khoá công khai) cơ bản dựa trên khái niệm về một cặp khoá. Một khoá trong cặp có thể được dùng để mã hoá thông tin và khoá kia được dùng để giải mã. Một phần của cặp khoá, khoá bí mật (private), chỉ được biết bởi người chủ thiết kế ra nó; phần còn lại, là khoá công khai, được công bố rộng rãi nhưng vẫn phải liên kết với chủ sở hữu. Cặp khoá có đặc điểm đơn trị - dữ liệu được mã hoá với một khoá có thể doanh nghiệp giải mã chỉ bằng khoá kia trong cặp khoá đó. Nói cách khác là không có sự phân biệt nào trong việc dùng khoá công khai hay khoá bí mật để mã hoá dữ liệu; người nhận có thể dùng khoá còn lại trong hai khoá để giải mã nó.

Hình 6-4: Mô hình mật mã bất đối xứng

Chúng ta sẽ thấy một số khả năng mạnh của mật mã khoá công khai trình bày trong các phần dưới đây.

Đặc điểm

- Khoá công khai của người nhận bảo đảm độ tin cậy và khoá bí mật của người gửi xác minh thông tin nhận dạng người gửi.

Các khoá có thể được dùng theo hai cách khác nhau: cung cấp độ tin cậy thông điệp và chứng minh tính xác thực của người gửi thông điệp. Trong trường hợp thứ nhất, người gửi dùng khoá công khai của người nhận mã hoá một thông điệp để nó sẽ giữ nguyên tính bí mật cho tới khi được giải mã bởi người nhận với khoá riêng. Trong trường hợp thứ hai, người gửi mã hoá một thông điệp với khoá riêng, một khoá mà chỉ người gửi biết.

không gây nguy hại cho khóa bí mật tương ứng.

Mặc dù mã hóa một thông điệp với một khóa công khai không khác xa nhiều với dùng mã hoá với khóa đối xứng, các hệ thống khóa công khai có một số lợi thế khi dùng. Khóa công khai trong cặp khóa có thể dễ dàng được phân phối (ví dụ đặt trên một server) mà không sợ nó làm tổn hại việc dùng khóa riêng. Người ta không nhất thiết phải gửi một bản copy của khóa công khai cho tất cả các đối tác của mình. Họ có thể tự nhận nó từ một server khóa đã được duy trì bởi công ty hoặc một nhà cung cấp dịch vụ.

- Dùng khóa bí mật làm mật mã tương tự việc ký vào một tài liệu.

Một ưu điểm khác của mã hoá công khai là cho phép xác định người gửi thông điệp là ai. Ý tưởng cơ bản là - chỉ có duy nhất một người có thể mã hoá một thông điệp nào đó bằng khóa bí mật của mình, và bất kỳ ai dùng khóa công khai của người đó để giải mã thông điệp đó đều có thể chắc chắn rằng thông điệp đó đều từ chính người duy nhất đó. Như vậy việc dùng khóa riêng trên một tài liệu thông thường. Tuy nhiên đừng quên rằng trong khi người nhận có thể biết chắc chắn người gửi thông điệp là ai, không có gì bảo đảm rằng không có người nào khác có thể đọc nó - vì có thể có nhiều người có khóa công khai.

Dùng thuật toán mã hoá công khai để mã hoá các thông điệp chậm về mặt tính toán nên các nhà viết mật mã thiết lập một cách tạo nhanh một biểu diễn, ngắn gọn, duy nhất một thông điệp, được gọi là một tóm tắt thông điệp, nó có thể được mã hoá và sau đó được dùng như là một chữ ký điện tử. Kỹ thuật này được trình bày dưới đây.

1.4.5 So sánh các phương pháp mã hóa

Không có hệ thống mã hoá nào lý tưởng trong mọi tình huống. Bảng dưới đây trình bày một số ưu và nhược điểm của mỗi loại mã hoá.

Bảng 6-1: Ưu, nhược điểm của các hệ thống mã hoá

Kiểu mã hóa Ưu điểm Nhược điểm

Khóa đối xứng - Nhanh

- Dễ bổ sung vào phần cứng

Hai khóa giống nhau - Khó phân phát khóa

- Không hỗ trợ sử dụng chữ ký số

Khóa công khai - Dùng hai khóa khác nhau - Tương đối dễ phân phát khóa

- Hỗ trợ tính toàn vẹn (nhất quán) và tính không từ chối khi sử dụng chữ ký số.

- Chậm và thiên về tính toán

1.4.6.1 Xác định rõ mức độ cần thiết của dữ liệu và sự cần thiết đó kéo dài trongbao lâu bao lâu

Độ an toàn dữ liệu không chỉ phụ thuộc vào loại khóa, mà với mỗi loại khóa, việc dùng khóa có độ dài bao nhiêu và dùng thuật toán nào có vai trò không kém quan trọng và với cùng một loại khóa, trên thực tế, sự lựa chọn phụ thuộc chủ yếu vào hai yếu tố này, trong đó mức độ ưu tiên đối với độ dài khóa cao hơn.

Quy tắc chung cho việc lựa chọn độ dài khóa là:

- Xác định rõ mức độ cần thiết của dữ liệu;

- Xác định rõ thời gian mà trong đó dữ liệu cần được bảo vệ an toàn, hay nói cách khác là sự cần thiết của dữ liệu đó cần trong bao lâu (sau đó có thể hết giá trị).

Sau khi đã phác họa được hai yêu cầu đó, ta có thể chọn một thuật toán mã hoá và độ dài khóa thích hợp sao cho thời gian phá khóa lâu hơn thời gian tồn tại của dữ liệu có giá trị.

Bảng dưới đây cho một ước lượng sơ bộ về chi phí và thời gian cần thiết để phá các khóa với độ dài khác nhau.

Bảng 6-2: So sánh thời gian và chi phí cần thiết để phá các khóa có độ dài tương ứng

Giá (USD) Độ dài khóa

40 56 64 80 128

100 nghìn 2 giây 35 giờ 1 năm 70000 năm 1019 năm

1 triệu 2 giây 3,5 giờ 37 năm 7000 năm 1018 năm

100 triệu 2 mili giây 2 phút 9 giờ 70 năm 1016 năm

1 tỷ 2 mili giây 13 giây 1 giờ 7 năm 1015 năm

100 tỷ 2 micro

giây 1 giây 32 giây 24 ngày 10

13 năm

Nhận xét:

- Đánh giá này không cố định, có thể thay đổi theo thời gian do công nghệ máy tính ngày càng phát triển và do đó tốc độ máy ngày càng nhanh, đồng thời giá máy tính ngày càng giảm khiến tính xã hội hóa của máy tính ngày càng cao.

Một phần của tài liệu GIÁO TRÌNH THƯƠNG MẠI ĐIỆN TỬ ̉ potx (Trang 97 - 144)

Tải bản đầy đủ (DOC)

(144 trang)
w