ỉ Cụng ty Cổ phần Cụng nghệ thẻ Nacencomm
ỉ Tập đoàn Bưu chớnh Viễn thụng (VNPT)
ỉ Cụng ty An ninh mạng Bkav
ỉ Tập đoàn Viễn thụng Quõn đội Viettel
ỉ Cụng ty cổ phần Hệ thống Thụng tin FPT
ỉ C.ty cổ phần cụng nghệ và Truyền thụng CK
Tính đến thời điểm cuối năm 2012
Microsoft Internet Explorer
ỉ Cung cấp khả năng bảo vệ mỏy khỏch (ngay trong trình duyệt)
ỉ Cú khả năng kiểm tra cỏc nội dung dạng ActiveX, Java applet
ỉ Kiểm tra tớnh xỏc thực của cỏc nội dung được tải về
ỉ NSD xỏc nhận lần cuối độ tin cậy vào nội dung được tải về (quyết định tải về hay không)
Security Warning và Certificate Validation
Internet Explorer Zones và Security Levels
Internet Explorer Security Zone Default Settings
Phối hợp với Cookies
ỉ Cú thể thiết lập hạn ngạch thời gian trong vòng 10, 20, hay 30 ngày
ỉ Chỉ cú thể truy cập đến những site tạo ra chính nó
ỉ Lưu trữ thụng tin mà người dựng khụng muốn nhập vào thường xuyên khi thăm 1 website (tên tài khỏan, mật khẩu)
Phối hợp với Cookies
ỉ Cỏc trỡnh duyệt trước đõy thường tự động lưu lại các cookie (không cảnh báo NSD)
ỉ Cỏc trỡnh duyệt hiện nay đều cho phộp
• Lưu trữ tự do các cookie
• Xuất hiện cảnh báo khi có tình huống ghi
• Không cho phép ghi lại cookie trên máy
Bảo Vệ Khi Truyền Thông
ỉ Bảo vệ thụng tin, tài sản trong quỏ trỡnh chuyển tải giữa các máy khách và máy phục vụ
ỉ Bao gồm cỏc yờu cầu
• Bảo mật kênh truyền
• Bảo đảm toàn vẹn dữ liệu
• Bảo đảm hợp lệ, phù hợp
• Xác nhận - Authentication
Phương pháp bảo vệ
ỉ Mó húa - Encryption
• Chuyển đổi thông tin bằng phương pháp toán học - dựa trên 1 chương trình
+ khóa bí mật để tạo ra các ký tự khó hiểu
• Ẩn giấu thông tin-Steganography + Thông tin vô hình trước NSD
• Mã hóa thông tin-Cryptography
Mã hóa-Encryption
ỉ Tối thiểu : sử dụng khúa 40-bit, mó húa với khóa có độ dài 128 bit an toàn hơn
ỉ Cú thể phõn thành 3 nhúm
• Hash Coding
Xây dựng 1 chuỗi số duy nhất ứng với 1 nội dung cần mã hóa
• Mã hóa bất đối xứng-Asymmetric (Public-key) Encryption
Mã hóa và giải mã bằng 2 khóa khác nhau
Secure Sockets Layer (SSL) Protocol
ỉ Thực hiện bảo mật nối kết giữa 2 mỏy tớnh
ỉ Mỏy khỏch và mỏy chủ qui ước cấp độ bảo mật, các qui ước xác nhận và các cơ chế bảo vệ thông tin liên lạc khác
ỉ Nhiều cơ chế, kiểu loại bảo mật cho việc thông tin liên lạc giữa các máy tính
Q & A
ỉ Hoạt động của giao thức SSL?
Secure Sockets Layer (SSL) Protocol
ỉ Cung cấp mó húa 40 bit hay 128 bit
ỉ Sử dụng Session key để mó húa dữ liệu trong phiên làm việc
ỉ Độ dài khúa càng lớn thỡ khả năng bảo mật càng cao
Secure HTTP (S-HTTP) Protocol
ỉ Mở rộng từ HTTP nhằm cung cấp nhiều tớnh năng bảo mật
• Xác nhận cả phía máy khách và máy phục vụ
• Cơ chế mã hóa tự động
• Thực hiện tốt cơ chế Request/response
Company Logo
Q & A
ỉ Cỏc vấn đề nảy sinh khi gửi 1 tài liệu quan trọng, 1 đơn hàng, 1 hợp đồng,...
ỉ Chữ ký điện tử được thực hiện với 1 văn bản, tài liệu như thế nào?
Văn bản với chữ ký điện tử
Bảo đảm hoàn thành các giao dịch
ỉ Cỏc gúi thụng tin được bảo vệ bởi mó húa hay chữ ký số không bị đánh cắp
ỉ Tốc độ truyền gửi đảm bảo
ỉ Giao thức thức TCP (Transmission Control Protocol) chịu trách nhiệm theo dõi và kiểm soát các gói tin
ỉ Giao thức TCP yờu cầu mỏy khỏch gửi lại gúi dữ liệu khi chúng thất lạc
Bảo vệ máy chủ Commerce Server
ỉ Quyền truy cập và sự xỏc nhận
• Những ai có thể đăng nhập và quyền sử dụng trên máy phục vụ
• Yêu cầu máy khách gửi 1 “xác nhận”
(certificate) để định danh
• Có thể sử dụng 1 hệ thống callback nhằm kiểm tra địa chỉ và tên máy khách với 1 danh sách
Bảo vệ máy chủ Commerce Server
ỉ Tờn tài khoản sử dụng cựng với mật khẩu và phương pháp thông dụng
ỉ Tờn tài khoản sử dụng: dạng văn bản, Mật khẩu: được mã hóa
ỉ Mật khẩu khi nhập vào được mó húa và so khớp với thông tin cá nhân của NSD được lưu trữ
Bảo vệ với chức năng của HĐH
ỉ Phần lớn cỏc hệ điều hành sử dụng cơ chế chứng thực: tài khoản/mật khẩu
ỉ Phương ỏn thường sử dụng: firewall
• Mọi thông tin vào/ra khỏi mạng đều phải đi qua tường lửa
• Chỉ cho phép các gói thông tin xác định
• Firewall phải cấu hình tốt nhằm chống lại các cuộc xâm nhập
Tường Lửa-Firewalls
ỉ Chức năng chớnh của Firewall là kiểm soỏt luồng thông tin từ giữa Intranet và Internet.
• Cho phép hoặc cấm những dịch vụ truy cập.
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
• Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
• Kiểm soát nội dung thông tin thông tin
Tường Lửa-Firewalls
ỉ Firewall chuẩn bao gồm một hay nhiều cỏc thành phần sau đây:
• Bộ lọc packet (packet-filtering router)
• Cổng ứng dụng (application-level gateway hay proxy server)
• Cổng mạch (circuit - level gateway)
Tường Lửa-Firewalls
ỉ Cỏc chức năng của phần mềm firewall
• Lọc các gói tin (Packet filters)
• Hoạt động như 1 Gateway
• Proxy servers
• Liên lạc với mạng bên ngoài thay cho mạng cục bộ
• Vùng đệm (cache) cho các trang web
Nguyên Lý Bộ Lọc Packet
ỉ Bộ lọc packet cho phộp hay từ chối mỗi packet mà nó nhận được.
ỉ Cỏc luật lệ lọc packet này là dựa trờn các thông tin ở đầu gói tin (packet header), dùng để cho phép truyền các packet đó ở trên mạng.
Nguyên Lý Bộ Lọc Packet(tt)
ỉ Nếu luật lệ lọc packet được thoả món thỡ packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi.
ỉ Nhờ vậy mà Firewall cú thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép.
Packet Filter
Ưu/Khuyết điểm
ỉ Ưu điểm
• Đa số các hệ thống firewall đều sử dụng bộ lọc packet.
• Chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router.
• Bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
Ưu/Khuyết điểm
ỉ Hạn chế
• Việc định nghĩa các chế độ lọc package là một việc khá phức tạp
• Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
• Bộ lọc packet không kiểm soát được
Cổng ứng dụng (Application-Level Gateway)
Nguyên lý
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy
cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service.
Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng.
Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung 48
C ng ng d ng ổ ứ ụ
C ng ng d ng ổ ứ ụ
ỉ Ưu điểm
• Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.
• Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
• Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet.
C ng ng d ng ổ ứ ụ
ỉ Hạn chế
• Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy.
C ng ng d ng ổ ứ ụ
Nh ng h n ch c a firewall ữ ạ ế ủ
ỉ Khụng thể phõn loại thụng tin và phõn tớch nội dung tốt hay xấu.
ỉ Chỉ cú thể ngăn chặn sự xõm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
ỉ Khụng thể ngăn chặn một cuộc tấn cụng nếu cuộc tấn công này không "đi qua" nó.
Nh ng h n ch c a firewall ữ ạ ế ủ
• Không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack).
• Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.
• Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Q & A
Bài cho kỳ tới:
Các Hình Thức Thanh Toán Trong Thương Mại Điện Tử