TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐỒNG NAI DONG NAI UNIVERSITY OF TECHNOLOGY Chương V: Các nguy e-commerce ThS Phạm Đình Sắc dinhsac@dntu.edu.vn Khái niệm việc bảo vệ  Một số hiểm họa • Các e-mail gửi đến • Truy xuất trái phép thông tin số • Thông tin thẻ tín dụng rơi vào tay kẻ xấu •  Hai hình thức thực bảo vệ • Vật Lý - bảo vệ thành phần hữu hình • Logic - bảo vệ thành phần vô hình Các đặc điểm  Bí mật - Secrecy • Bảo đảm tính xác liệu ngăn ngừa thông tin riêng tư bị tiết lộ  Toàn vẹn - Integrity • Cập nhật trái phép thông tin?  Đáp ứng - Necessity • Từ chối hay đáp ứng thông tin không kịp thời? Bản quyền sở hữu trí tuệ  Bản quyền-quyền tác giả • Một số lĩnh vực • Văn chương, âm nhạc • Kịch, múa • Tranh, hình ảnh, tượng, • Sản phẩm điện ảnh, nghe nhìn, • Công nghiệp âm • Kiến trúc • Bản quyền sở hữu trí tuệ  Sở hữu trí tuệ-Intellectual property • Bảo vệ tác quyền cho ý tưởng thể (vô hình hay hữu hình) từ ý tưởng  U.S Copyright Act 1976 • Bảo vệ quyền tác giả thời gian hạn định • Copyright Clearance Center • Cấp giấy phép sử dụng Các từ ngữ thường dùng Copyright Copyleft Shareware Freeware Free software Open source code SPAM  Ngày người sử dụng Internet phải đối mặt với nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp – spyware), bị đánh cắp liệu, bị đánh phá website (nếu chủ sở hữu website) v.v  Spam (thư rác): người nhận ngày nhận vài, vài chục, đến vài trăm thư rác, gây thời gian, tài nguyên (dung lượng chứa, thời gian tải ) Q&A  Khái niệm virud máy tính  Tác hại ? VIRUS  Xuất lần vào năm 1983  Virus chương trình máy tính có khả tự nhân lan tỏa  Mức độ nghiêm trọng virus dao động khác tùy vào chủ ý người viết virus, virus chiếm tài nguyên máy tính làm tốc độ xử lý máy tính chậm đi, nghiêm trọng hơn, virus xóa file, format lại ổ cứng gây hư hỏng khác 10 Bảo vệ phía doanh nghiệp  Hacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động website để kịp thời phát cố: Với ba loại rủi ro thường gặp: • Bị công từ chối phục vụ (DoS: Denial of Service • Bị cướp tên miền • Bị xâm nhập host liệu trái phép 52 Bảo vệ phía doanh nghiệp  Tự bảo vệ password: • doanh nghiệp có tài khoản quan trọng mạng (tài khoản với nhà cung cấp dịch vụ xử lý toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host ) người biết password tài khoản tốt • Khi nhân viên nắm tài khoản nghỉ việc nên thay đổi password tài khoản 53 Bảo vệ phía doanh nghiệp  An toàn mạng nội bộ: Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v  An toàn liệu, thông tin: thông tin quan trọng không cần chia sẻ cho nhiều người không nên lưu mạng nội bộ, lưu thư mục có password bảo vệ, nên có back-up (sao lưu) lưu thiết bị lưu 54 Các mối đe dọa với CSDL (database)  Các thông in riêng tư, có giá trị bị tiết lộ: gây thiệt hại bù đắp cho công ty  Bảo mật thực thông qua quyền hạn sử dụng qui định  Nhiều phần mềm CSDL tính bảo mật cao phó thác vào bảo mật website 55 Các mối đe dọa khác  Các mối đe dọa từ Common Gateway Interface (CGI) • Nếu không sử dụng cách, chương trình CGIs mối đe dọa tiềm ẩn • Các chương trình CGI thường lưu trú nhiều nơi Website khó theo dõi, lần dấu vết để phát sai sót • CGI scripts JavaScript không hoạt động 56 Các mối đe dọa khác  Các đe dọa từ chương trình bao gồm: • Các chương trình hoạt động server • Lỗi tràn đệm (Buffer overruns) • Tấn công từ đoạn mã xâm nhập bất hợp pháp tạo tình trạng ”Buffer overflow”: chúng tìm cách chiếm dụng điều khiển xác thực 57 Computer Emergency Response Team (CERT) http://www.cert.org  Đặt Carnegie Mellon University  Chịu trách nhiệm theo dõi, phát hiện, cảnh báo, vấn đề an toàn, an ninh mạng  Gửi cảnh báo (CERT alerts) đến cộng đồng Internet mối đe dọa bảo mật Vietnam Computer Emergency Response Team (VNCERT) http://www.vncert.gov.vn 58 Một vài đề nghị  Nếu doanh nghiệp • Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ chịu trách nhiệm việc tăng cường an toàn mạng, an toàn thông tin • Login (đăng nhập)  logout (thoát) 59 Một vài đề nghị  Nếu người mua • Không truy cập vào hệ thống sử dụng máy tính công cộng • Không mở email có file gửi kèm (attachment) mà người gửi xa lạ 60 Một vài đề nghị  Về mối lo ngại bị ăn cắp số thẻ tín dụng mua hàng mạng bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp) • Nếu người mua: nên mua hàng website tốt, tin cậy • Làm để đánh giá website tin cậy ? 61 Một vài đề nghị • Tên tuổi người bán • Trình bày gian hàng cách chuyên nghiệp, lỗi tả, câu cú rõ ràng v.v… • Đọc phần About Us họ để tìm địa văn phòng cụ thể • Đừng cung cấp thông tin thẻ tín dụng cho website không lành mạnh 62 Một vài đề nghị  Nếu người bán : • Nên nhờ trung gian để xử lý thẻ tín dụng • Đảm bảo kỹ thuật • Gửi hàng đi, người mua nhận hàng mới nhận tiền vào tài khoản người bán? • Nếu gặp phải thẻ tín dụng bất hợp pháp  trắng hàng khoản chi phí xử lý thẻ 63 Bài Kỳ Sau Thực Hiện Bảo Mật Thương Mại Điện Tử 64 Q&A Thanks 66 [...]... không có ý thức về các qui định bản quyền cũng như không có chủ ý vi phạm 28 Mối đe dọa với sở hữu trí tuệ  Cybersquatting (bất hợp pháp) • Đăng ký 1 tên miền với thương hiệu của 1 cá nhân hay 1 công ty khác • Cybersquatters: hy vọng chủ nhân các công ty hay thương hiệu sẽ trả tiền để mua lại các URL này • Vài Cybersquatters mạo danh chủ thương hiệu nhằm mục đích xuyên tạc, lừa dối 29 Q&A  Máy của NSD... chế này  Signed Java applets • Chữ ký điện tử được nhúng trong applet để xác nhận tính xác thực 33 ActiveX Controls  ActiveX: là 1 “đối tượng”, còn gọi là “điều khiển” chứa các chương trình, các thuộc tính, thực hiện các nhiệm vụ đã được thiết kế  ActiveX: chỉ hoạt động trong môi trường Windows  Một khi được tải về, các điều khiển ActiveX hoạt động như 1 chương trình: có toàn quyền truy xuất các... WORM 14 Q&A  Khái niệm Trojan  Tác hại  Cách lây nhiễm TROJAN  Đặt tên theo truyền thuyết con ngựa Trojan của thành Troy  Trojan là chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết  Trojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger)  auto gửi “báo cáo” về cho một địa chỉ email được quy định trước 16 TROJAN  PC nhiễm... đích xuyên tạc, lừa dối 29 Q&A  Máy của NSD có thể bị tấn công bằng các con đường nào? Các mối đe dọa  Phía máy NSD • Active Content • Java applets, Active X controls, JavaScript, và VBScript • Các chương trình chứa các mã lệnh thi hành, mã thông dịch được nhúng vào các đối tượng tải về • Cookies: lưu lại tên tài khoản, mật khẩu và các thông tin tham khảo khác 31 Java, Java Applets, và JavaScript... truy xuất vào website?  Quyền truy cập - Access Control • Những ai được phép đăng nhập và truy xuất thông tin trong website  Bảo mật - Secrecy • Những ai được phép xem các thông tin nhạy cảm, bí mật 25 Mô tả các thành phần trong chính sách  Toàn vẹn dữ liệu - Data integrity • Ai được quyền cập nhật thông tin, dữ liệu  Kiểm tra-Theo dõi-Thống kê (Audit) • Những ai đã truy cập vào hệ thống? khi nào? ... chủ ý vi phạm 28 Mối đe dọa với sở hữu trí tuệ  Cybersquatting (bất hợp pháp) • Đăng ký tên miền với thương hiệu cá nhân hay công ty khác • Cybersquatters: hy vọng chủ nhân công ty hay thương. .. thuyết ngựa Trojan thành Troy  Trojan chương trình nguy hiểm (malware) dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết  Trojan cài đặt chương trình theo dõi bàn phím (keystroke... sở hữu trí tuệ  Bản quyền-quyền tác giả • Một số lĩnh vực • Văn chương, âm nhạc • Kịch, múa • Tranh, hình ảnh, tượng, • Sản phẩm điện ảnh, nghe nhìn, • Công nghiệp âm • Kiến trúc • Bản quyền