Bài 5 Mối đe dọa an ninh TMĐT Thương Mại Điện Tử Khái niệm việc bảo vệ x Một q q q q Các e-mail gửi đến Truy xuất trái phép thông tin số Thơng tin thẻ tín dụng rơi vào tay kẻ xấu x Hai q q số hiểm họa hình thức thực bảo vệ Vật Lý - bảo vệ thành phần hữu hình Logic - bảo vệ thành phần vơ hình Khái niệm việc bảo vệ x Các biện pháp phòng vệ trả đũa (bằng hình thức vật lý hay logic) thực nhằm nhận diện, giảm thiểu hay loại bỏ mối đe doạ Các đặc điểm x Bí q mật - Secrecy Bảo đảm tính xác liệu ngăn ngừa thông tin riêng tư bị tiết lộ x Toàn q Cập nhật trái phép thông tin ?? x Đáp q vẹn - Integrity ứng - Necessity Từ chối hay đáp ứng thông tin không kịp thời ?? Bản quyền sở hữu trí tuệ x Bản q quyền-quyền tác giả Một số lĩnh vực x Văn chương, âm nhạc x Kịch, múa x Tranh, hình ảnh, tượng, x Sản phẩm điện ảnh, nghe nhìn, x Cơng nghiệp âm x Kiến trúc x Bản quyền sở hữu trí tuệ x Sở hữu trí tuệ-Intellectual property q Bảo vệ tác quyền cho ý tưởng thể (vơ hình hay hữu hình) từ ý tưởng x U.S q q Copyright Act 1976 Bảo vệ quyền tác giả thời gian hạn định Copyright Clearance Center x Cấp giấy phép sử dụng Copyright Clearance Center Home Page Các từ ngữ thường dùng x copyright x “copyleft” x shareware x freeware x free software x open source code SPAM x Ngày người sử dụng Internet phải đối mặt với nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp – spyware), bị đánh cắp liệu, bị đánh phá website (nếu chủ sở hữu website) v.v x Spam (thư rác): người nhận ngày nhận vài, vài chục, đến vài trăm thư rác, gây thời gian, tài nguyên (dung lượng chứa, thời gian tải ) 10 Bảo vệ phía doanh nghiệp x Tự bảo vệ password : doanh nghiệp có tài khoản quan trọng mạng (tài khoản với nhà cung cấp dịch vụ xử lý toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host ) người biết password tài khoản tốt Khi nhân viên nắm tài khoản nghỉ việc nên thay đổi password tài khoản 58 Bảo vệ phía doanh nghiệp x x An tồn mạng nội : doanh nghiệp có mạng nội an tồn mạng nội phải lưu ý Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an tồn, phịng chống virus v.v Vì máy mạng nội bị nhiễm virus tồn mạng bị ảnh hưởng, gây hậu gián đoạn hoạt động, liệu v.v An tồn liệu, thơng tin : thông tin quan trọng không cần chia sẻ cho nhiều người khơng nên lưu mạng nội bộ, lưu thư mục có password bảo vệ, nên có back-up (sao lưu) lưu đĩa CD v.v 59 Các mối đe dọa với CSDL x Các thơng in riêng tư, có giá trị bị tiết lộ : gây thiệt hại bù đắp cho công ty x Bảo mật thực thông qua quyền hạn sử dụng qui định x Nhiều phần mềm CSDL khơng có tính bảo mật cao phó thác vào bảo mật website 60 Oracle Security Features Page 61 Các mối đe dọa khác x Các mối đe dọa từ Common Gateway Interface (CGI) q q q Nếu không sử dụng cách, chương trình CGIs mối đe dọa tiềm ẩn Các chương trình CGI thường lưu trú nhiều nơi Website khó theo dõi , lần dấu vết để phát sai sót CGI scripts không hoạt động JavaScript (với chế sandbox) 62 Các mối đe dọa khác x Các đe dọa từ chương trình bao gồm: q q q q Các chương trình hoạt động server Lỗi tràn đệm(Buffer overruns) Gây tình trạng “Runaway code segments” x Sâu Internet (Internet Worm) hình thái runaway code segment Tấn công từ đoạn mã xâm nhập bất hợp pháp tạo tình trạng”Buffer overflow” : chúng tìm cách chiếm dụng điều khiển xác thực 63 Tấn công dạng Buffer Overflow 64 Computer Emergency Response Team (CERT) x Đặt Carnegie Mellon University x Chịu trách nhiệm theo dõi, phát hiện, cảnh báo, vấn đề an toàn , an ninh mạng x Gửi cảnh báo (CERT alerts) đến cộng đồng Internet mối đe dọa bảo mật 65 CERT Alerts 66 Một vài đề nghị x Nếu doanh nghiệp q Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ chịu trách nhiệm việc tăng cường an toàn mạng, an tồn thơng tin cho họ, có nghĩa cho website ta q Sau login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), phải thực động tác logout (thoát) để đảm bảo cửa ngõ phải khóa lại sau thoát 67 Một vài đề nghị x Nếu q q người mua Không truy cập vào hệ thống sử dụng máy tính cơng cộng Khơng mở email có file gửi kèm (attachment) mà người gửi xa lạ Thậm chí đừng tin email mang tên người gửi Microsoft, Yahoo hay tương thủ thuật giả danh hacker để lừa 68 Một vài đề nghị x Thứ 2, mối lo ngại bị ăn cắp số thẻ tín dụng mua hàng mạng bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp) q q Nếu người mua: nên mua hàng website tốt, tin cậy Làm để đánh giá website tin cậy ? 69 Một vài đề nghị x Tên tuổi người bán x Trình bày gian hàng cách chun nghiệp, khơng có lỗi tả, câu cú rõ ràng v.v… x Đọc phần About Us họ để tìm địa văn phịng cụ thể x Đừng cung cấp thơng tin thẻ tín dụng cho website khiêu dâm mạng 70 Một vài đề nghị x Nếu người bán : q q q q q q q Nên nhờ trung gian để xử lý thẻ tín dụng Phải trả mơt khoản chi phí % dựa doanh thu cho họ Đảm bảo kỹ thuật Thông thường phải gửi hàng đi, người mua nhận hàng mới nhận tiền vào tài khoản bạn Nếu gặp phải thẻ tín dụng bất hợp pháp  trắng hàng khoản chi phí xử lý thẻ Theo thống kê, có khoản 3% giao dịch gặp phải trường hợp dùng thẻ tín dụng giả Khoản lời từ việc bán cho 97% khách hàng trung thực đủ để bù cho khoản mát 3% gian lận 71 Bài Kỳ Sau Thực Hiện Bảo Mật Thương Mại Điện Tử 72 ... q q q q An ninh vật lý - Physical security An ninh mạng - Network security Quyền truy cập - Access authorizations Ngăn chặn vi rút - Virus protection Phục hồi thông tin - Disaster recovery 24... q q q Các e-mail gửi đến Truy xuất trái phép thơng tin số Thơng tin thẻ tín dụng rơi vào tay kẻ xấu x Hai q q số hiểm họa hình thức thực bảo vệ Vật Lý - bảo vệ thành phần hữu hình Logic - bảo... x Toàn q vẹn liệu - Data integrity Ai quyền cập nhật thông tin, liệu x Kiểm tra-Theo dõi-Thống kê (Audit) q q Những truy cập vào hệ thống? nào? ? NSD sử dụng truy nhập tài nguy? ?n ? 26 Câu hỏi