AN TOÀN THƯƠNG MẠI ĐIỆN TỬ AN TOÀN THƯƠNG MẠI ĐIỆN TỬ (Electronic Commerce Security) (Electronic Commerce Security) Copyright@Bộ môn QTTN TMĐT 1 NỘI DUNG CHÍNH NỘI DUNG CHÍNH 1. 1. Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT 2. Các nguy cơ và các hình thức tấn công đe dọa an toàn thương mại điện tử 3. Quản trị an toàn thương mại điện tử 4. Một số giải pháp đảm bảo an toàn TMĐT 5. Câu hỏi thảo luận và tài liệu tham khảo copyright@Bộ môn QTTN TMĐT 2 Đ/n an toàn TMĐT: An toàn có nghĩa là được bảo vệ, không bị xâm hại. An toàn trong thương mại điện tử được hiểu là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai hoạ, lỗi và sự tấn công từ bên ngoài. copyright@Bộ môn QTTN TMĐT 3 Copyright@Bộ môn QTTN TMĐT Môi trường an toàn TMĐT 4 Những vấn đề căn bản an toàn TMĐT: Về phía người dùng: Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận hành hay không? Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các đoạn mã nguy hiểm hay không? Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website tiết lộ cho bên thứ ba hay không? Yêu cầu từ phía doanh nghiệp: Người sử dụng có định xâm nhập vào máy chủ hay những trang web và thay đổi các trang Web và nội dung trong website của công ty hay không: Người sử dụng có làm làm gián đoạn hoạt động của máy chủ, làm những người khác không truy cập được vào site của doanh nghiệp hay không? Copyright@Bộ môn QTTN TMĐT 5 Những vấn đề căn bản an toàn TMĐT: Yêu cầu từ cả người dùng và doanh nghiệp: Liệu thông tin giữa người dùng và doanh nghiệp truyền trên mạng có bị bên thứ ba “nghe trộm” hay không? Liệu thông tin đi đến và phản hồi giữa máy chủ và trình duyệt của người sử dụng không bị biến đổi hay không?. Bản chất của an toàn TMĐT là một vấn đề phức tạp. Đối với an toàn thương mại điện tử, có sáu vấn đề cơ bản cần phải giải quyết, bao gồm: sự xác thực, quyền cấp phép, kiểm tra (giám sát), tính bí mật, tính toàn vẹn, tính sẵn sàng và chống từ chối. Copyright@Bộ môn QTTN TMĐT 6 Những vấn đề căn bản an toàn TMĐT: Sự xác thực (Authentication) Quyền cấp phép (Authoziration) Kiểm tra (giám sát) (Auditing) Tính tin cậy (confidentiality) và tính riêng tư (Privacy) Tính toàn vẹn Tính sẵn sàng (tính ích lợi) Chống phủ định (Nonrepudation) Copyright@Bộ môn QTTN TMĐT 7 Những vấn đề căn bản an toàn TMĐT: Copyright@Bộ môn QTTN TMĐT 8 Tấn công phi kỹ thuật: Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vô thưởng vô phạt, kẻ tấn công có thể làm tổn hại đến hệ thống mạng máy tính. Ví dụ, kẻ tấn công gửi một bức thư điện tử như sau đến người dùng: Người dùng của xyz.com kính mến Chúng tôi đã phát hiện ra rằng tài khoản thư điện tử của Ông (Bà) đã được sử dụng để gửi một lượng rất lớn thư rác (spam) trong tuần lễ qua. Hiển nhiên là máy tính của Ông (Bà) đã bị tổn hại và hiện giờ đang chạy trên một máy chủ ủy quyền bị nhiễm virus con ngựa thành Troia. Chúng tôi khuyên Ông (Bà) hãy tuân thủ các chỉ dẫn được đính kèm bức thư này (xyz.com.zip) để bảo vệ máy tính của Ông (Bà) được an toàn. Chúc Ông (Bà) may mắn. Đội hỗ trợ kỹ thuật của xyz.com. Copyright@Bộ môn QTTN TMĐT 9 Tấn công kỹ thuật: Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khi thực hiện các giao dịch thương mại điện tử, đó là hệ thống của khách hàng, máy chủ của doanh nghiệp và đường dẫn thông tin (communications pipeline) (hình 7.3). Copyright@Bộ môn QTTN TMĐT 10 [...]... không Nội dung của chứng thực điện tử Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử Số hiệu của chứng thực điện tử Thời hạn cú hiệu lực của chứng thực điện tử Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử Các hạn chế về mục đích,... kí điện tử 27 Copyright@Bộ môn QTTN TMĐT Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký (Luật Giao dịch điện tử) Chức năng của chữ ký điện. .. phải trong quản trị an toàn TMĐT: Đánh giá thấp giá trị của tài sản thông tin Rất ít tổ chức có được sự hiểu biết rõi ràng về giá trị của tài sản thông tin mà mình có Xác định các giới hạn an toàn ở phạm vi hẹp Phần lớn tổ chức tập trung đến việc đảm bảo an toàn thông tin các mạng nội bộ của mình, không quan tâm đầy đủ đến an toàn trong các đối tác thuộc chuỗi cung ứng Quản trị an toàn mạng tính chất... được ở bước 7; Nếu hai thông điệp rút gọn trùng nhau, có thể kết luận chữ ký điện tử là xác thực và nội dung thông điệp gốc không bị thay đổi sau khi ký Một loại chứng nhận do cơ quan chứng thực (Certification Authority - CA) (hay bên tin cậy thứ ba) cấp; là căn cứ để xác thực các bên tham gia giao dịch; là cơ sở đảm bảo tin cậy đối với các giao dịch thương mại điện tử Chứng nhận điện tử kiểm tra xem...Tấn công kỹ thuật: Có bảy dạng tấn công nguy hiểm nhất đối với an toàn của các website và các giao dịch thương mại điện tử, bao gồm: các đoạn mã nguy hiểm, tin tặc và các chương trình phá hoại, trộm cắp/ gian lận thẻ tín dụng, lừa đảo, khước từ phục vụ, nghe trộm và sự tấn công từ bên trong doanh nghiệp Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều... đổi, cũng như không thường xuyên bồi dưỡng tri thức và kỹ năng an toàn thông tin của đội ngũ cán bộ nhân viên Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông tin, coi an toàn thông tin như là một vấn đề CNTT, không phải là vấn đề tổ chức 17 Copyright@Bộ môn QTTN TMĐT Một quá trình mang tính hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để ngăn... khác nhau 21 Copyright@Bộ môn QTTN TMĐT 4 Một số giải pháp công nghệ đảm bảo an toàn trong TMĐT Cơ sở hạ tầng khóa công cộng: (PKI- Public Key Infrastructure) là một hệ thống nhằm đảm bảo an toàn giao dịch qua Internet (trước hết là giao dịch thanh toán) bằng cách sử dụng mã hóa khóa công cộng, chữ ký điện tử, chứng thực điện tử và các yếu tố kỹ thuật khác Mã hoá là quá trình xáo trộn (mã hóa) một thông... chất đối phó Nhiều tổ chức thực hành quản trị an toàn theo kiểu đối phó, chứ không theo cách thức chủ động phòng ngừa, tập trung vào giải quyết các sự cố an toàn sau khi đã xẩy ra 16 Copyright@Bộ môn QTTN TMĐT Các lỗi thường mắc phải trong quản trị an toàn TMĐT: Áp dụng các quy trình quản trị đã lỗi thời Nhiều tổ chức ít khi cập nhật các quy trình đảm bảo an toàn thông tin cho phù hợp với nhu cầu thay... chú an ninh ý các điểm đễ bị tổn thương • Phát hiện các mối đe doạ • Tiếp cận Lợi ích-Chi phí mới trong lựa chọn giải pháp an • Cập nhật công nghệ bảo ninh đảm an ninh hiện đại • Bổ sung thêm danh mục các hệ thống cần bảo vệ Copyright@Bộ môn QTTN TMĐT 4 Một số giải pháp công nghệ đảm bảo an toàn trong TMĐT Kiểm soát truy cập (Access Control): cơ chế xác định ai có quyền sử dụng tài nguyên mạng (trang... gốc (7) (7) Người nhận giải mã sử dụng khóa Người nhận giải mã sử dụng khóa chung của người gửi chung của người gửi (8) (8) Người nhận ứng dụng Người nhận ứng dụng hàm băm hàm băm Thông điệp rút gọn mới Thông điệp rút gọn mới 29 Chữ ký số Chữ ký số Thông điệp rút gọn Thông điệp rút gọn Thông điệp gốc Thông điệp gốc và chữ ký số và chữ ký số (5) (5) Gửi thư điện tử cho người nhận Gửi thư điện tử cho . đặt ra cho an toàn TMĐT Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT 2. Các nguy cơ và các hình thức tấn công đe dọa an toàn thương mại điện tử 3. Quản trị an toàn thương mại điện tử 4. Một. AN TOÀN THƯƠNG MẠI ĐIỆN TỬ AN TOÀN THƯƠNG MẠI ĐIỆN TỬ (Electronic Commerce Security) (Electronic Commerce Security) Copyright@Bộ. bảo an toàn TMĐT 5. Câu hỏi thảo luận và tài liệu tham khảo copyright@Bộ môn QTTN TMĐT 2 Đ/n an toàn TMĐT: An toàn có nghĩa là được bảo vệ, không bị xâm hại. An toàn trong thương mại điện tử