TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM THÀNH PHỐ HỒ CHÍ MINH Khoa: Công nghệ thông tin AN NINH THƯƠNG MẠI ĐIỆN TỬ GVHD: Thái Huy Bình Nhóm: Mèo máy KURO Ngày: 29/09/2015 BẢNG ĐÁNH GIÁ SEMINAR Môn học: Thương mại Điển tử Ngày 29/09/2015 Thời gian: tiết 11; 12  Đánh giá cho đề tài:…………………………………………………………………  Nhóm tham gia đánh giá (ĐiềnHọ tên, mã số sv, lớp, ký tên): STT Họ tên Mã số SV Lớp Nhóm trưởng đánh giá Thành viên Trần Bảo Anh 2013130070 04DHQT1 100% Hồ Minh Lễ (NHÓM TRƯỞNG) 2023130022 04DHNH1 100% Nguyễn Tấn Phát 2013130044 04DHQT1 100% Lê Thị Thanh Trúc 2013130013 04DHQT1 100% KẾT QUẢ ĐÁNH GIÁ STT Các tiêu chí đánh giá Thang điểm Giới thiệu tổng quan đề tài, danh sách nhóm 0.5 Những sở lý thuyết liên quan đề tài 2.0 Thực trạng vấn đề, trình bày ưu/nhược điểm 1.0 Đề xuất giải pháp cho vấn đề nghiên cứu 1.0 Kết luận mở rộng vấn đề 0.5 Danh sách tài liệu tham khảo liên quan 0.5 Các ví dụ minh họa phong phú, sinh động, dễ hiểu 1.0 Hình thức trình bày báo cáo đẹp, định dạng chuẩn 0.5 Thuyết trình rõ ràng, chuẩn xác, lôi cuốn, dễ hiểu (tác phong, ăn mặc, cách diễn đạt, phong thái) 2.0 10 Trả lời câu hỏi trọng tâm, thuyết phục 1.0 Tổng cộng: 10.0 Điểm Mục lục LỜI MỞ ĐẦU Phần 1: Cơ sở lý luận I Khái niệm thương mại điện tử II Gian lận thương mại điện tử III Đối tượng bị gian lận IV Các khía cạnh an ninh thương mại điện tử Phần 2: Thực trạng an ninh thương mại điện tử I Thực trạng chung an ninh thương mại điện tử Thực trạng chung an ninh thương mại toàn giới Thực trạng an ninh thương mại điện tử Việt Nam 14 II Một vài ví dụ vụ an ninh thương mại điện tử 15 III Giải pháp nâng cao an toàn thương mại điện tử 17 A Xây dựng sách bảo mật 17 B Bảo mật thông tin 23 Mục tiêu bảo mật thông tin 24 Các giai đoạn trình bảo mật thông tin 25 Thế hệ thống an toàn thông tin? 27 IV An toàn bảo mật toán điện tử Thanh toán trực tuyến vấn đề cốt yếu TMĐT 28 Phương pháp mã hóa 28 Chữ ký số 32 V Kết Luận 33 LỜI MỞĐẦU Hiện nay, nhờ có kỹ thuật số, sống người cải thiện nhiều, nhanh thuận tiện Thương mại điện tử giới có xu hướng phát triển mạnh Kỹ thuật số giúp người tiết kiệm đáng kể chi phí như: vận chuyển trung gian, chi phí giao dịch đặc biệt tiết kiệm thời gian để đầu tư vào hoạt động khác Do đó, lợi nhuận người kiếm gia tăng đáng kể đồng thời thúc đẩy hoạt động sản xuất, kinh doanh toàn giới Những lý cho thấy tận dụng lợi thương mại điện tử đem lại mạnh để phát triển kinh tế đất nước cải thiện đời sống người dân Thương mại điện tử hoạt động kinh doanh mang lại hiệu cao, song gặp rủi ro thiệt hại doanh nghiệp kinh doanh mạng, người tiêu gặp phải không nhỏ Vậy rủi ro gì? Làm để khắc phục rủi ro đó? Đó phải đảm bảo an ninh thương mại điện tử Vậy an ninh thương mại điện tử gì, làm để đảm bảo an ninh thương mại điện tử? Trong tiểu luận này, tìm hiểu làm rõ vấn đề Phần 1: Cơ sở lý luận I Khái niệm thương mại điện tử Thương mại điện tử (E-commerce, Electronic commerce) hình thái hoạt động thương mại phương pháp điện tử; việc trao đổi thông tin thương mại thông qua phương tiện công nghệ điện tử mà nói chung không cần phải in giấy công đoạn trình giao dịch (nên gọi "thương mại không giấy tờ") Nói cách dễ hiểu, thương mại điện tử hình thức mua-bán thông qua mạng internet công cụ điện tử II Gian lận thương mại điện tử Những hành vi gian lận thương mại điển tử chủ yếu liên quan đến khách hàng toán không nhận sản phẩm, dịch vụ, sản phẩm, dịch vụ chất lượng, không hình ảnh, thông tin web thương mại điện tử Giao sản phẩm chậm trễ không thời hạn ảnh hưởng đến quyền lợi người tiêu dùng Thông tin tài khoản tín dụng khách hàng bị bị chiếm dụng Tình trạng buôn bán thông tin khách hàng xảy Hệ người tiêu dùng bị quấy nhiễu, bị xâm phạm đời tư III Đối tượng bị gian lận Đối tượng bị gian lận không trừ Là Doanh nghiệp, tổ chức, cá nhân…tham gia vào thương mại điện tử IV Các khía cạnh an ninh thương mại điện tử Khía Lo ngại khách cạnh hang Lo ngại người bán Thông tin truyền Dữ liệu máy tính nhận có bị thay đổi không chủ có bị thay đổi trái Tính phép không? Các toàn vẹn liệu nhận từ khách hàng có chắn có giá trị không Một đối tác thực Một khách hàng từ Chống hành động chối đặt mua sản phủ sau lại từ chối phẩm không? định hành động thực không? Người giao dịch với Làm để nhận Tính ai? Làm biết xác xác thực đảm bảo đối tác khách hàng doanh đích thực nghiệp Một người khác (ngoài Một đó, ngững người cho phép) người cho phép, có Tính tin đọc thông điệp thể xem thông điệp cậy không? tiếp cận thông tin bí mật doanh nghiệp không? Có thể kiểm soát Sử dụng thông tin cá thông tin cá nhân nhâ mà khách hàng cung Tính gửi cho người bán cấp nào? Làm riêng tư hàng giao dịch để ngăn chặn thương mại điện tử hay việc sử dụng trái phép không? thông tin Tôi truy cập Các website doanh Tính ích vào website nghiệp hoạt động tốt lợi doanh nghiệp hay không không Phần 2: Thực trạng an ninh thương mại điện tử I Thực trạng chung an ninh thương mại điện tử Thực trạng chung an ninh thương mại toàn giới Xét giác độ công nghệ, có phận dễ bị công tổn thương thực giao dịch thương mại điện tử: hệ thống khách hàng, máy chủ doanh nghiệp đường dẫn thông tin Có dạng nguy hiểm an ninh website giao dịch thương mại điện tử a) Các đoạn mã nguy hiểm (malicious code) Các đoạn mã nguy hiểm bao gồm nhiều mối đe dọa khác loại virus, worm Đó chương trình máy tính có khả nhân tự tạo lây lan sang chương trình khác, tệp liệu khác máy tính b) Tin tặc (hacker) chương trình phá hoại (cybervandalism) Tin tặc thuật ngữ dùng để người truy cập trái phép vào website hay hệ thống máy tính Lợi dụng điểm yếu hay lỗ hỏng hệ thống mở để công nhằm phá hỏng hệ thống bảo vệ website hay hệ thống máy tính tổ chức Ví dụ: facebook, conment, tin nhắn, chí trang cá nhân bạn có đường link video mang tính chất nhạy cảm….mục đích bạn click vào đường link tự động phát tán virut phá hoại tính bảo mật facebook phát tán sang trang cá nhân bạn bè danh nghĩa bạn Sự chủ quan khiến nhiều người dùng mắc lừa kẻ xấu, tự tải virus máy tính c) Gian lận thẻ tín dụng Trong thương mại truyền thống, gian lận thẻ tín dụng xảy trường hợp thẻ tín dụng bị mất, bị đánh cắp, thông tin số thẻ, mã số định sách bảo vệ mật yêu cầu khách hàng xác nhận mật theo định kỳ phải dễ dàng chấp nhận, không gây khó khăn cho họ Tính hiệu Tính hiệu quảthường người quản trị quan tâm đến Một sách bảo mật đảm bảo hệ thống an toàn, tin cậy cần có chi phí cao so với lợi nhuận mà hệ thống mang lại tính khả thi không hiệu quả.Đánh giá tính hiệu sách bảo mật cần có thời gian, dựa lợi ích mà mang lại thời gian hoạt động Thiết lập quy tắc bảo mật Người sử dụng đóng vai trò quan trọng trình thực thi sách bảo mật Về phía người dùng, họ mong tính đơn giản dễ dàng thủ tục Do đó, xây dựng sách bảo mật, mặt phải đảm bảo sách không cản trở người sử dụng Mặt khác cần làm cho người sử dụng nhận thức tầm quan trọng sách bảo mật có trách nhiệm bảo vệ Người sử dụng cần lưu ý đến số công việc sau: - Hãy sử dụng tài khoản hợp lệ Người sử dụng cần nhận thức lợi ích việc sử dụng tài khoản hợp lệ Về phía nhà quản trị hệ thống cần có sách khuyến khích, ưu đãi người sử dụng tài khoản hợp lệ - Quản lý tài khoản Bao gồm hoạt động bảo vệ mật khẩu, thay đổi mật định kỳ, sử dụng phần mềm bảo vệ máy trạm người sử dụng, đăng suất sau thời gian time – out - Có khả phát tài khoản sử dụng trái phép Người sử dụng cần huấn luyện cách phát tài khoản bị sử dụng trái phép - Có thói quen lập báo cáo gặp cố Cần có thói quen thông báo cố đến nhà quản trị hệ thống Về phía nhà quản trị hệ thống nên xây dựng báo cáo mẫu cho người sử dụng a Các thủ tục hoạt động truy cập không hợp lệ Để phát hoạt động truy cập không hợp lệ, người quản trị cần sử dụng số công cụ Các công cụ kèm theo hệ điều hành từ nhà sản xuất phần mềm Sau số quy tắc sử dụng công cụ phát truy cập không hợp lệ: - Các công cụ công cụ theo dõi file đăng nhập - Sử dụng công cụ giám sát khác sử dụng tiện ích mạng để theo dõi lưu lượng tài nguyên mạng nhằm phát điểm nghi ngờ - Xây dựng kế hoạch giám sát Do có nhiều công việc phải giám sát nên việc lên kế hoạch cần thiết Kế hoạch giám sát lập thông qua công cụ hệ thống cron, schedule Kế hoạch phải đảm bảo công cụ giám sát không chiếm nhiều tài nguyên hệ thống - Tạo báo cáo từ thông tin giám sát Các báo cáo đăng nhập giúp người quản trị phát điểm yếu mạng, đồng thời dự báo hướng phát triển mạng tương lai Sau thực bước xác định hệ thống bạn bị công, bạn thực công việc cần thiết sau: - Xác định mức độ nguy hiểm, ảnh hưởng tới hệ thống - Xác định hành động phá hoại, kiểu công, thiệt hại có - Nếu cần, nhờ luật pháp can thiệp - Chú ý rằng, phân tích file đăng nhập, bạn cần ý số quy tắc sau: o So sánh hoạt động file log với đăng nhập khứ Đối với hoạt động thông thường, thông tin file log thường có chu kỳ giống o Nhiều hệ thống sử dụng thông tin file đăng nhập tạo hóa đơn cho khách hàng Người quản trị dựa vào thông tin hóa đơn toán để xem xét truy cập không hợp lệ có điểm bất thường thời điểm truy cập hay số điện thoại lạ o Dựa vào tiện ích syslog để xem xét Đặc biệt thông báo lỗi login không hợp lệ nhiều lần o Dựa vào tiện ích kèm theo hệ điều hành để theo dõi tiến trình hoạt động hệ thống, nhằm phát tiến trình lạ chương trình khởi tạo không hợp lệ b Thủ tục quản lý tài khoản người dùng Thủ tục quản lý tài khoản người dùng quan trọng để chống lại truy cập hệ thống không hợp lệ Một số thông tin cần thiết quản lý tài khoản người dùng bao gồm: - Đối tượng truy cập vào hệ thống? - Một tài khoản tồn thời gian hệ thống? - Những đối tượng có quyền truy cập hệ thống? Những biện pháp bảo vệ tài khoản người dùng: - Giám sát chặt chẽ hệ thống quản lý truy cập người dùng hệ thống quản lý người dùng Windows NT Database Management users, Unix file /ect/paswwd - Đối với vài dịch vụ cho phép sử dụng tài khoản mà không cần mật mật dùng chung, hay người dùng sử dụng tài khoản guest để truy cập hệ thống cần xác định rõ tác động hệ thống - Kiểm soát chặt chẽ quyến sử dụng tài khoản hệ thống,không sử dụng quyền root trường hợp không cần thiết Đối với tài khoản không sử dụng hệ thống bạn cần thay đổi mật hủy bỏ - Ngoài ra, nên có biện pháp khác hạn chế tài khoản truy cập theo thời điểm, địa máy trạm, thông tin tài khoản không rõ ràng, hợp lệ c Các thủ tục quản lý mật Trong hầu hết hệ thống xác thực truy cập qua mật người dùng Vì vậy, thủ tục quản lý mật quan trọng Các thủ tục quản lý mật bao gồm: - Lựa chọn mật mạnh Một số quy tắc lựa chọn mật khẩu: o Không sử dụng username làm mật o Không sử dụng thông tin liên quan đến cá nhân người dùng làm mật tên mình, tên người thân, ngày sinh, số điện thoại, biển số xe… o Nên kết hợp ký tự số ký tự chữ o Nên sử dụng loại mật có độ dài vừa đủ (12 ký tự), không nên ngắn (dễ bị hack) dài (khó nhớ) - Cần có sách buộc người sử dụng thay đổi mật sau khoảng thời gian định Hầu hết hệ thống đểu hỗ trợ chế này, không thay đổi mật khẩu, tài khoản không giá trị hệ thống - Trong trường hợp mật khẩu, để cấp lại mật cần có thủ tục để xác thực người sử dụng - Cần giám sát, theo dõi chặt chẽ chương trình đổi mật d Thủ tục quản lý cấu hình hệ thống Các thủ tục quản lý hệ thống cần xác định rõ người có quyền hợp lệ thay đổi cấu hình hệ thống, thay đổi phải thông báo đến nhà quản lý Trong thủ tục quản lý cấu hình hệ thống cần xác định rõ số thông tin như: - Vị trí lưu file cấu hình chuẩn - Quy trình quản lý mật root - Các thuật toán mã hóa mật sử dụng e Thủ tục lưu khôi phục liệu Sao lưu liệu công việc quan trọng Nó không để phòng chống cố hệ thống phần cứng mà giúp nhà quản trị khôi phục lại liệu hệ thống bị công thay đổi hệ thống làm liệu Nếu liệu lưu khôi phục lại hệ thống bị công Nhà quản trị cần xây dựng kế hoạch cụ thể cho công tác lưu liệu, xác định phương pháp lưu cho hiệu Nhà quản trị lưu theo định kỳ Tùy vào tầm quan trọng liệu hệ thống mà chu kỳ thay đổi, co thể theo tháng, tuần chí ngày f Thủ tục báo cáo cố Cần xây dựng mẫu báo cáo chuẩn đến người sử dụng hệ thống Các mẫu người sử dụng điền vào gửi đến nhà quản trị hệ thống để họ khắc phục kịp thời Đối với người sử dụng, phát tài khoản bị công, họ cần thông báo đến nhà quản trị thông qua báo cáo Họ gửi qua email điện thoại Hoàn thiện sách bảo mật Sau thiết lập cấu hình sách bảo mật hệ thống, nhà quản trị cần kiểm tra lại tất đánh giá sách bảo mật cách toàn diện tất mặt cần xét đến Bởi hệ thống có biến động cấu hình, dịch vụ sử dụng, hệ điều hành mà hệ thống sử dụng thiết bị phần cứng biến động Bởi vậy, nhà quản trị cần phải luôn rà soát, kiểm tra lại sách bảo mật hệ thống để phù hợp với thực tế hành Ngoài ra, việc kiểm tra đánh giá sách bảo mật giúp cho nhà quản trị có kế hoạch xây dựng mạng lưới hệ thống hiệu Công việc kiểm tra đánh giá thực thường xuyên liên tục không thực lần Thông thường, kết sách bảo mật thể rõ chất lượng dịch vụ mà hệ thống cung cấp Nhà quản trị dựa vào để kiểm tra đánh giá sách bảo mật có hợp lý hay không cần thay đổi Sau số tiêu chí để đánh giá sách bảo mật: - Có tính khả thi thực thi cao - Có thể nhanh chóng phát ngăn ngừa hoạt động công - Có công cụ hữu hiệu đủ mạnh để hạn chế chống lại công vào hệ thống Từ hoạt động đánh giál, kiểm tra nêu, nhà quản trị hệ thống rút kinh nghiệm nhằm cải thiện hoàn thiện sách bảo mật mà họ tạo Công việc cải thiện sách bảo mật làm giảm cồng kềnh hệ thống, giảm độ phức tạp, tăng tính thân thiện người dùng, đơn giản công việc hay kiểm soát chặt chẽ hệ thống xây dựng Tất nhiên, hoạt động hoàn thiện sách bảo mật phải diễn suốt thời gian tồn hệ thống để phù hợp với yêu cầu thực tế B Bảo mật thông tin Mục tiêu bảo mật thông tin Mục tiêu bảo mật thông tin bảo vệ ba thuộc tính thông tin: - Tính bí mật - Tính toàn vẹn - Tính sẵn sàng Tính bí mật thông tin điều quan trọng Vì đôi khi, thông tin phép xem người có thầm quyền Lý cần phải giữ bí mật thông tin sản phẩm sở hữu tổ chức, thông tin nhạy cảm, quan trọng hay giữ bí mật dựa điều khoản tổ chức khách hàng tổ chức Tính toàn vẹn liệu yêu cầu thông tin không bị làm sai hỏng, suy biến hay thay đổi Việc tiếp nhận đưa định dựa thông tin bị biến đổi gây thiệt hại nghiêm trọng Tính sẵn sàng yêu cầu thông tin phải có người có thẩm quyền yêu cầu Thiếu tính sẵn sàng thông tin giá trị nó.Tấn công vào tính bảo mật thông tin làm lộ thông tin không phép truy cập Tấn công tính toàn vẹn phá hoại hay thay đổi thông tin Tấn công vào tính sẵn sàng gây nên từ chối dịch vụ hệ thống Tất nhiên có dạng công gây hư hại cho hệ thống mà không ảnh hưởng tới ba thuộc tính Tương tự với ba thuộc tính thông tin, bảo mật thông tin bao gồm: - Bảo vệ tính bí mật - Bảo vệ tính toàn vẹn - Duy trì tính sẵn sàng Và tất nhiên, trình bảo mật cần có kế hoạch Một kế hoạch thich hợp làm giảm rủi ro giảm thời gian tối đa cho việc phòng ngừa, phát chống đỡ công Các giai đoạn trình bảo mật thông tin Bảo mật thông tin trình trải qua giai đoạn xây dựng củng cố thời gian dài Quá trình bảo mật không xác định đích đến tuyệt đối Nói cách khác, việc bảo mật cho hệ thống diễn thường xuyên, liên tục, không ngừng nghỉ Tuy nhiên, bạn chia chúng làm ba giai đoạn rõ ràng: - Phòng ngừa - Phát công - Đối phó với công Mỗi giai đoạn yêu cầu kế hoạch hành động để chuyển qua giai đoạn Sự thay đổi giai đoạn ành hưởng tới toàn trình a Phòng ngừa Thực công việc sau giúp cho hệ thống bạn có sức đề kháng cao với công: - Đưa sách an toàn thông tin - Giáo dục nhận thức bảo mật - Điều khiển trình truy cập Xây dựng sách an toàn thông tin xác định cần bảo vệ, mức độ bảo vệ đối tượng Đông thời sách xác định trách nhiệm tổ chức, kỷ luật cần thi hành, kiểm tra xem xét lại trình bảo mật Giáo dục nhận thức bảo mật trình giáo dục nhân viên tầm quan trọng bảo mật, cách sử dụng công cụ đo lường bảo mật, thủ tục báo cáo vi phạm chế độ bảo mật trách nhiệm chung nhân viên thực thi sách an toàn thông tin Đi kèm với việc giáo dục, nên có chế độ khen thưởng nhân viên thực tốt việc học tập Điều khiển trình truy cập Một người dùng truy cập vào tất hệ thống tổ chức, truy cập tất thông tin hệ thống họ truy cập Để thực điều cần có quản lý truy cập Quản lý truy cập dựa phương pháp định danh xác thực  Định danh số nhận dạng nhất, user ( máy khách, người, phần mềm ứng dụng, phần cứng, mạng) sử dụng để phân biệt với đối tượng khác Một user dùng định danh để tạo dấu hiệu nhận biết anh/ chị Định danh tạo cho user không phép chia sẻ với user hay nhóm user khác User sử dụng định danh để truy cập đến tài nguyên cho phép  Xác thực trình xác nhận tính hợp lệ định danh Khi người trình diện định danh mình, quyền truy cập định danh phải xác thực Xác thực đảm bảo mức độ tin cậy ba nhân tố sau: o Những bạn biết Mật khầu cách sử dụng thường xuyên Tuy nhiên, cụm từ bí mật hay số PIN sử dụng Đây kiểu xác thực nhân tố o Những bạn có Nhân tố xác thực sử dụng bạn có, chẳng hạn thẻ nhận dạng, thẻ thông minh Những vật đòi hỏi người sử dụng phải sở hữu vật để làm vật xác nhận Đây xác thực tin cậy hơn, đòi hỏi hai nhân tố, chẳng hạn bạn biết với bạn nhận thức Kiểu xác thực biết tên gọi xác thực hai nhân tố hay xác thực nhiều mức o Những đại diện cho bạn Đây nhân tố xác thực tốt Đại diện cho bạn dấu tay, võng mạc hay AND Việc đo lường nhân tố gọi trắc sinh học Quá trình xác thực tốt đòi hỏi ba nhân tố Các máy móc ứng dụng có độ bảo mật cao dùng ba nhân tố để xác thực user b Phát công Không có giải pháp bảo mật hoàn hảo cho tình Việc biết hệ thống bị công bị công để có biện pháp chống đỡ cụ thể quan trọng Việc phát hiểm họa dựa sở bảo vệ theo lớp Như vậy, lớp bị hỏng hệ thống biết báo động Yếu tố quan trọng biện pháp phát lúc khả báo trước nguy hiểm Hệ thống phát xâm nhập IDS sử dụng cho mục đích Hệ thống IDS có khả kiểm soát hoạt động hệ thống thông báo cho người chịu trách nhiệm hoạt động cần kiểm tra chứng thực Hệ thống dò tìm dấu vết công, thay đổi tập tin, cấu hình hoạt động khác hệ thống giống thiết bị cảnh báo cháy thông minh báo động hỏa hoạn, nơi xuất phát đám cháy, đường dẫn thông báo cho trạm cứu hỏa Vấn để là, IDS phải đủ thông minh để phân biệt khác hoạt động bình thường hoạt động nguy hại cho hệ thống, giống việc phân biệt hỏa hoạn thật với việc nấu nướng bình thường Điều có thiên hướng nghệ thuật khoa học Công cụ dò tìm IDS đặt chỗ hợp lý mạng tầng ứng dụng, điều chỉnh để làm việc với mạng hay máy chủ cụ thể Quá trình điều chỉnh IDS ghi nhận cho đe dọa biết trước, kiểu xâm phạm, phương pháp trình thâm nhập c Đối phó với công Để trình phát công có giá trị phải có đáp ứng lúc Đáp ứng cần lên kế hoạch từ trước Việc đưa định quan trọng hay xây dựng sách đối phó công bị công phương pháp không tốt Có hai hướng giải cho việc đối phó với công: Một cắt bỏ kết nối trái phép, loại trừ tận gốc nguyên nhân hiểm họa khôi phục lại hệ thống Phương pháp tiếp cận mang tính khả thi nhiều thực thi nhiệm vụ với máy tính mạnh thời gian khôi phục hợp lý Đây phương pháp ưa thích tổ chức Hai theo dõi bắt giữ kẻ phá hoại Người quản trị phải xem xét giải pháp trường hợp cụ thể giải theo thực tế Thế hệ thống an toàn thông tin? Ở trên, bàn giai đoạn bảo mật thông tin Rất nhiều hiểm họa rình rập bên ngoài, nguy bị thông tin truyền mạng thường xuyên Chẳng hạn, việc toán thẻ tín dụng thông qua dịch vụ web gặp số rủi ro sau: - Thông tin từ trình duyệt web khác hàng dạng văn nên bị lọt vào tay kẻ khác - Trình duyệt web khách hàng xác định máy chủ mà trao đổi thông tin có phải thật website giả mạo - Không đảm bảo liệu truyền có bị thay đổi hay không Vì vậy, hệ thống cần có chế đảm bảo an toàn trình giao dịch điện tử Một hệ thống thông tin trao đổi liệu an toàn phải đáp ứng yêu cầu sau: - Hệ thống phải đảm bảo liệu trình truyền không bị đánh cắp - Hệ thống phải có khả xác thực, tránh trường hợp giả danh, giả mạo - Hệ thống phải có khả kiểm tra tính toàn vẹn liệu IV An toàn bảo mật toán điện tửThanh toán trực tuyến vấn đề cốt yếu TMĐT Thiếu hạ tầng toán, chưa thể có TMĐT theo nghĩa Bạn nên biết đâu có tiền, có kẻ trộm, toán trực tuyến không ngoại lệ Thậm chí nguy để lộ thông tin cá nhân, thẻ tín dụng… lớn toán ngoại tuyến Làm để bảo đảm thông tin bạn truyền không bị lấy trộm làm cho sai lệch? Câu trả lời mã hóa chúng Mã hóa thông tin tức làm cho thông tin đọc người có chìa khóa giải mã Dù thông tin có bị đánh cắp truyền kẻ trộm hiểu lấy Bốn yêu cầu bảo mật toán điện tử bao gồm: - Xác thực (Authentication): phươn pháp kiểm tra nhân thân người mua trước việc toán xác thực - Mã hóa (Encryption): trình làm cho thông điệp giải đoán ngoại trừ người có khóa giải mã cho phép sử dụng - Toàn vẹn (Integrity): bảo đảm thông tin không bị vô tình hay ác ý thay đổi hay bị phá hỏng trình truyền - Tính không thoái thác (Nonrepudiation): bảo vệ chống lại từ chối khách hàng đơn hàng đặt từ chối người bán hàng khoản toán trả Phương pháp mã hóa a Mã hóa khóa bí mật – mã hóa đối xứng Có nhiều thuật ngữ miêu tả phương pháp mã hóa khóa bí mật (Serect Key Cryptography) bao gồm phương pháp mã hóa khóa – đơn khóa (one key – single key), phương pháp mã hóa khóa cá nhân (private key), phương pháp mã hóa khóa đối xứng (symmetric-key) Để thống nhất, ta gọi phương pháp mã hóa khóa đối xứng khái niệm “khóa bí mật” sử dụng phương pháp mã hóa khóa công khai giới thiệu phần sau Theo phương pháp này, người gửi người nhận dùng chung khóa để mã hóa giải mã Trước thực mã hóa liệu, hai bên gửi nhận liệu phải có khóa phải thống thuật toán dùng để mã hóa giải mã Lược đồ mã hóa khóa đối xứng - Bước 1: Chọn khóa mã hóa - Bước 2: Gửi khóa thông điệp mã hóa (ciphertext) cho người nhận Khóa thông điệp mã hóa không gửi - Bước 3: Người nhận dùng khóa giải mã thông điệp Hiện có nhiều thuật toán dùng để mã hóa khóa đối xứng như: DES – Data Encrytion Standard), 3DES – Triple-strength DES, RC2 – Rons Cipher RC4,… (DES sử dụng nhiều phương pháp mã hóa khóa đối xứng) Một số chuyên gia cho rằng, DES bị phá vỡ rẩt tốn Thực tế phương pháp “tấn công vét cạn” (brute force) – phương pháp thửmọi trường hợp có, mã hóa DES với chìa khóa 56 bits bị giải mã 3DES sử dụng chìa khóa mã hóa thay phiên lần mã hóa để làm DES an toàn Giao thức SET chấp nhận thuật toán DES với chìa khóa 64 bits Ưu điểm: Quá trình mã hóa, giải mã nhanh Nhược điểm: Tính bảo mật không cao Vấn để nảy sinh làm thể truyền khóa đối xứng tới tay người nhận an toàn Nếu khóa bị đánh cắp đường truyền (Man-in-the-milde Attack), thông điệp bạn có mã hóa không Truyền khóa mạng, fax hay gọi điện có nguy bị lấy trộm Cách an toàn trao tận tay lúc thực Hệ thống mã hóa khóa công khai mô tả giải vấn đề trao đổi khóa đối xứng b Mã hóa khóa công khai – khóa không đối xứng Mã hóa khóa công khai (Public Key Cryptography) sử dụng hai khóa khác nhau: o Khóa công khai (public key): gửi công khai mạng Khóa công khai khả giải mã thông tin mã hóa o Khóa bí mật (private key): giữ bí mật Lược đồ mã hóa khóa công khai - Bước 1: Trao chìa khóa công khai cho người gửi Vì khóa công khai “công khai” nên bạn không cần phải lo lắng nguy trộm - Bước 2: Người gửi sử dụng khóa công khai bạn mã hóa thông điệp cần gửi - Bước 3: Thông điệp mã hóa gửi đến bạn (tất nhiên đưa trực tiếp hình vẽ) - Bước 4: Bạn dùng khóa bí mật để giải mã thông điệp Thuật toán dùng phương pháp mã hóa khóa công khai RSA thuật toán DH (Diffie – Hellman) Ưu điểm: Bảo mật cao Nhược điểm: Quá trình mã hóa, giải mã chậm, nên dùng cho liệu không lớn Vì vậy, phương pháp mã hóa khóa công khai thường dùng để truyền khóa phương pháp mã hóa khóa đối xứng để tận dụng khả giải mã nhanh phương pháp Trên lược đồ thông điệp (plaintext) thay khóa đối xứng Quá trình mã hóa khóa đối xứng khóa công khai tạo phong bì số Tuy có tính bảo mật cao khó phá vỡ phương pháp mã hóa khóa công khai có lỗ hổng Bạn muốn gửi thông điệp cho A, bạn cần phải có khóa công khai A Sẽ kẻ lừa đảo tự tạo cho cặp khóa bí mật công khai, sau trao cho bạn khóa công khai vào bảo khóa công khai A Chẳng có xác thực khóa A, bạn mã hóa thông điệp với khóa công khai gửi Kẻ trộm tóm lấy thông tin đọc có khóa bí mật Như vậy, để chứng nhận khóa công khai cá nhân mạng? Do đó, chứng số đời Chứng số (chứng điện tử) tổ chức chứng thực (CA) có uy tín cung cấp cho cá nhân, công ty Chứng số đề cập phần sau Mục xin đề cập đến khái niệm chữ ký số (chữ ký điện tử) Chữ ký số Chữ ký số chữ ký điện tử thường dùng thay cho nhau, chúng không hoàn toàn đồng Chữ ký điện tử rộng chữ ký số Chữ ký điện tử thông tin kèm thông điệp để xác thực người chủ sở hữu thông điệp chữ ký số, chữ ký tay truyền fax, địa telex…Chữ ký số khóa công khai (hay hạ tầng khóa công khai) mô hình sử dụng kỹ thuật mật mã để gắn với người sử dụng cặp khóa công khai Bí mật qua ký văn điện tử trao đổi thông tin mật Khóa công khai thường phân phối thông qua chứng thực khóa công khai Quá trình sử dụng chữ ký số bao gồm trình: tạo chữ ký kiểm tra chữ ký Tạo chữ ký số: - Sử dụng giải thuật băm (hash) chiều để thay đổi thông điệp cần truyền Kết thu message digest gọi phân tích văn hay tóm tắt thông điệp - Sử dụng giải thuật MD5 (Message Digest 5) nên thu digest có độ dài 128 bits - Tiếp tục sử dụng giải thuật SHA (Secure Hash Algorithm) nên thu message digest có độ dài 160 bits - Sử dụng khóa bí mật người gửi để mã hóa phân tích văn thu bước trước Trong bước này, thông thường, người ta sử dụng giải thuật RSA Kết thu bước chữ ký điện tử thông điệp ban đầu - Gộp chữ ký điện tử vào thông điệp ban đầu Công việc gọi ký nhận thông điệp - Sau ký nhận thông điệp, thay đổi thông điệp bị phát giai đoạn kiểm tra Ngoài ra, việc ký nhận đảm bảo người nhận tin tưởng vào thông điệp xuất phát từ người gửi khác.Sau nhận thông điệp có đính kèm chữ ký điện tử người nhận kiểm tra lại thông điệp: - Người nhận sử dụng khóa công khai người gửi để giải mã chữ ký điện tử đính kèm thông điệp - Sử dụng giải thuật MD5 hay SHA để băm thông điệp đính kèm - So sánh kết thu hai bước Nếu trùng ta kết luận thông điệp không bị thay đổi trình gửi, người gửi xác ngược lại V Kết Luận Hiện nay, nhờ có kỹ thuật số, sống người cải thiện nhiều, nhanh thuận tiện Thương mại điện tử giới có xu hướng phát triển mạnh Kỹ thuật số giúp người tiết kiệm đáng kể chi phí như: vận chuyển trung gian, chi phí giao dịch đặc biệt tiết kiệm thời gian để đầu tư vào hoạt động khác Do đó, lợi nhuận người kiếm gia tăng đáng kể đồng thời thúc đẩy hoạt động sản xuất, kinh doanh toàn giới Nhưng thương mại điện tử để thực thao tác giao nhận vấn đề Nếu chế an toàn bảo mật, người mua có phải giao dịch với nhà cung cấp thật không, người bán có phải bán hàng cho chủ nhân thật thẻ tín dụng không Và người mua lòng tin người bán không uy tín, thương mại điện tử sụp đổ hoàn toàn Đã có nhiều biện pháp đưa nhằm giúp giao dịch thương mại điện tử diễn cách an toàn, hiệu nhằm đem lại lợi ích tối đa cho người dân, cho doanh nghiệp Tuy nhiên, vấn đề an ninh thương mại điện tử toán nan giải cho doanh nghiệp, tổ chức, cá nhân…tham gia thương mại điện tử mà ngành công nghệ thông tin ngày phát triển [...]... trạng mất an toàn an ninh mạng của các cơ quan, doanh nghiệp tại Việt Nam, đặc biệt trong bối cảnh thế giới luôn tiềm ẩn nguy cơ một cuộc chiến tranh mạng có thể xảy ra 2 Thực trạng an ninh thương mại điện tử ở Việt Nam Theo thống kê từ Chi hội An toàn thông tin phía Nam (VNISA) công bố đầu tháng 8.2013, VN đứng đầu danh sách các quốc gia thường xuyên bị tấn công mạng Hệ thống máy chủ các cơ quan Chính... gian hàng trống, không có thông tin gì về chủ gian hàng cũng như sản phẩm cần bán Các doanh nghiệp lợi dụng danh nghĩa hoạt động thương mại điện tử để việc lôi kéo người tham gia website, trong khi không tập trung nâng cao chất lượng thông tin trên website, đang làm tổn hại tới lòng tin của cộng đồng, cản trở sự phát triển của lĩnh vực thương mại điện tử đang phát triển rất sôi động ở Việt Nam e) Sự khước... mại điện tử như muaban24 , shop360 là bán hàng đa cấp trá hình núp bóng danh nghĩa sàn thương mại điện tử Rất nhiều người, mà đa số là sinh viên, hoặc những người thiếu hiểu biết đã đổ tiền vào đây Cách thức hoạt động điển hình của những doanh nghiệp dạng này là thiết lập một website cung cấp dịch vụ sàn giao dịch thương mại điện tử, trên đó cho phép những thành viên đã nộp tiền được mở một gian hàng... vụ ụ mất an ninh thương mại điện tử Công ty Bkav vừa a cho biết, bi tính đến 9h15 ngày4/6/2015, số trang web Việt Nam bị nhóm hacker đếến từ Trung Quốc có tên 1937cn tấn công đãã ttăng thêm gần 150 trang Như vậy,tổng số ố website của Việt Nam bị nhóm hacker 1937cn ttấn công đã lên tới 1.150 trang,, trong đó có một số website tên miền “.gov.vn” và “.edu.vn” Cơ quan an ninh mạng m ng Việt Nam đang truy... ra nhằm giúp các giao dịch thương mại điện tử diễn ra một cách an toàn, hiệu quả nhằm đem lại lợi ích tối đa cho người dân, cho doanh nghiệp Tuy nhiên, vấn đề an ninh thương mại điện tử vẫn là bài toán nan giải cho các doanh nghiệp, tổ chức, cá nhân…tham gia thương mại điện tử khi mà ngành công nghệ thông tin ngày càng phát triển ... cơ chế an toàn và bảo mật, người mua sẽ không biết có phải mình đang giao dịch với nhà cung cấp thật không, còn người bán sẽ không biết có phải mình đang bán hàng cho chủ nhân thật sự của thẻ tín dụng không Và khi người mua mất lòng tin và người bán không còn uy tín, thương mại điện tử sẽ sụp đổ hoàn toàn Đã có nhiều biện pháp đưa ra nhằm giúp các giao dịch thương mại điện tử diễn ra một cách an toàn,...danh cá nhân (PIN) , các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp hoặc trong trường hợp xảy ra những rủi ro khác Trong thương mại điện tử, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn Nếu như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe dọa lớn nhất đối với khách hàng trong thương mại điện tử, mối đe dọa lớn nhất... phần mềm m như Instagram hay trò chơi Angry Birds đãã bị b virus núp bóng, mượn danh để tấnn công ngư người dùng Thực trạng ng này cho thấy, th an ninh mạng vẫn chưa thực sự đư được quan tâm tại các cơ quan, doanh nghiệp nghi Theo nhận định củaa các chuyên gia Công ty Bkav, hhầu hếtt cơ quan doanh nghiệp nghi của Việt Nam chưa bố trí đượcc nhân ssự phụ trách an ninh mạng hoặc năng lực và nhận thức của... thương mại điện tử là việc tin tặc sử dụng các địa chỉ như điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện những hành động phi pháp Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc làm chệch hướng các liên kết web tới một địa chỉ khác với địa chỉ thực hoặc tới một website giả mạo website thực hiện cần liên kết Thời gian gần đây, cộng đồng mạng xôn xao về việc một số website thương mại điện. .. Chứng chỉ số (chứng chỉ điện tử) được các tổ chức chứng thực (CA) có uy tín cung cấp cho các cá nhân, công ty Chứng chỉ số sẽ được đề cập ở phần sau Mục tiếp theo xin đề cập đến khái niệm chữ ký số (chữ ký điện tử) 2 Chữ ký số Chữ ký số và chữ ký điện tử thường được dùng thay thế cho nhau, nhưng chúng không hoàn toàn đồng nhất Chữ ký điện tử rộng hơn chữ ký số Chữ ký điện tử là những thông tin đi