Bài giảng Thương mại điện tử - Chương 10: Môi trường an ninh thương mại điện tỉnh

Môi trường an ninh TMĐT

mọi công dân, Internet mang lại rất nhiều cơ hội

tội phạm, Internet tạo ra cách thức mới trong chiếm đoạt tài sản của

n 1 tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đến

h vụ, tiền mặt, thông tin

ủi ro hơn khi phạm tội trực tuyến (remotely và anonymously)

ernet được tạo ra ban đầu không phải để cho 1 tỷ người giao dịch với

au, và không có các đặc điểm an ninh cơ bản

ernet là một mạng lưới mở, dễ tổn thương

phạm mạng mang lại gánh nặng cho cả doanh nghiệp và người tiêu

ng (làm tăng chi phí đầu vào)

pdf 68 trang kimcuc 20160
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Thương mại điện tử - Chương 10: Môi trường an ninh thương mại điện tỉnh", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Thương mại điện tử - Chương 10: Môi trường an ninh thương mại điện tỉnh

Bài giảng Thương mại điện tử - Chương 10: Môi trường an ninh thương mại điện tỉnh
An ninh 
Thương mại điện tử
Chương 10
Dẫn nhập
Cyberwar: MAD 2.0
Môi trường an ninh TMĐT
Với mọi công dân, Internet mang lại rất nhiều cơ hội
Với tội phạm, Internet tạo ra cách thức mới trong chiếm đoạt tài sản của 
hơn 1 tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đến 
dịch vụ, tiền mặt, thông tin
Ít rủi ro hơn khi phạm tội trực tuyến (remotely và anonymously)
Internet được tạo ra ban đầu không phải để cho 1 tỷ người giao dịch với 
nhau, và không có các đặc điểm an ninh cơ bản
Internet là một mạng lưới mở, dễ tổn thương
Tội phạm mạng mang lại gánh nặng cho cả doanh nghiệp và người tiêu 
dùng (làm tăng chi phí đầu vào)
Tầm quan trọng của vấn đề
Tội phạm mạng trở thành vấn đề lớn của cả doanh nghiệp/tổ chức và 
người tiêu dùng
Bot networks, DDoS attacks, Trojans, phishing, data theft, identity fraud, 
credit card fraud, spyware: là những mối đe doạ thường thấy trên tin tức
Social networks cũng có những xâm phạm an ninh
Tuy nhiên khó đánh giá thiệt hại chính xác tội phạm mạng gây ra bởi vì:
công ty ngại báo cáo lỗ hổng an ninh do sợ mất khách hàng
ngay cả khi báo cáo tội phạm mạng xảy ra, khó định lượng thiệt hại
Tầm quan trọng của vấn đề (tt.)
Thông tin về thống kê thiệt hại do tội phạm mạng: Ponemon 
Institute (Mỹ), năm 2012:
thiệt hại trung bình hàng năm của tổ chức là khoảng $8.9 
triệu (tăng 6% so năm 2011)
loại tội phạm gây thiệt hại nhiều nhất là denial of service, 
malcious insiders, Web-based attacks
tác nhân phạm tội phổ biến nhất là viruses, worms, 
Trojans (100% các tổ chức), malware (95%), botnets 
(71%), Web-based attacks (64%)
Tầm quan trọng của vấn đề (tt.)
Thông tin từ Symantec (nhà cung cấp dịch vụ an ninh):
Tiến bộ công nghệ làm giảm đáng kể chi phí cũng như kỹ năng trở thành tội 
phạm mạng
Các chương trình/hướng dẫn rất rẻ tiền có sẵn trên Web giúp hackers tạo ra 
malware rất dễ dàng mà không cần lập trình như trước đây
Hơn nữa, các malware này có tính polymorphic, tức là, mỗi malware nhiễm 
vào máy tính khác nhau thì khác nhau, làm rất khó tiêu diệt bởi các phần 
mềm bảo vệ an ninh
Tấn công có chủ đích (nhắm vào đối tượng cụ thể) ngày càng gia tăng; mạng 
xã hội đang trợ giúp cho việc này
Mobile và applications đang trở nên dễ bị tổn thương hơn bao giờ hết 
Tầm quan trọng của vấn đề (tt.)
online credit card fraud và phishing attacks là các loại tội phạm 
phổ biến trong TMĐT
Tỉ lệ online credit card fraud / online card transaction là 0.8%
So với doanh thu TMĐT, online credit card fraud đang có xu 
hướng giảm dần vì công ty TMĐT và công ty thẻ tín dụng tăng 
cường hệ thống an ninh để ngăn ngừa các tội phạm mạng cơ bản
Tuy nhiên, online credit card fraud thay đổi từ việc lấy cắp đơn lẻ 
thẻ tín dụng và sử dụng để mua hàng hoá ở một vài Website, đến 
việc lấy cắp đồng thời hàng triệu thẻ tín dụng và mạng lưới phân 
phối các thẻ tín dụng lấy cắp này
Tầm quan trọng của vấn đề (tt.)
Thị trường mạng chợ đen (cyber black market/underground economy servers):
Tội phạm lấy cắp thông tin từ Internet không phải luôn luôn sử dụng trực tiếp 
mà bán lại thông tin này cho thị trường mạng chợ đen (khoảng vài ngàn thị 
trường này)
Tìm các thị trường này thì khó, cần phải đóng giả làm tội phạm để xâm nhập 
vì tội phạm mạng rất giỏi về an ninh mạng
Không phải tội phạm mạng nào cũng vì tiền là mục đích. Đôi khi chỉ là muốn 
đánh sập một Website nào đó thay vì lấy cắp thứ gì ->thiệt hại cho kiểu tội 
phạm này không những là thời gian và nổ lực để phục hồi site, mà còn là tổn 
thương danh tiếng và hình ảnh công ty, và lợi nhuận mất đi vì ngưng trệ dịch 
Tầm quan trọng của vấn đề (tt.)
Tóm lại:
Tội phạm mạng TMĐT rất thay đổi theo thời gian, nhiều rủi ro mới 
xuất hiện
Thiệt hại đối với doanh nghiệp là lớn, tuy nhiên có xu hướng ổn 
định vì ý thức của doanh nghiệp trong bảo vệ an ninh cơ bản nhất
Cá nhân đối mặt với nhiều rủi ro về lừa đảo (fraud), nhất là các 
khoản thiệt hại không được bảo hiểm liên quan đến debit card và 
bank account
Cần phải chuẩn bị đối diện với loại tội phạm luôn biến đổi này, và 
luôn cập nhật công nghệ bảo vệ an ninh mới nhất
Thế nào là TMĐT có an ninh tốt ?
Thế nào là một giao dịch thương mại an toàn?
Thế nào là TMĐT có an ninh tốt ? 
(tt.)
Thế nào là một giao dịch thương mại an toàn?
Bất cứ khi nào ra thị trường là đối diện rủi ro, bao gồm cả mất quyền 
riêng tư (privacy) (thông tin về hàng hoá mua)
Rủi ro trước mắt với người tiêu dùng là không có được thứ mà mình 
đã trả tiền
Đối với người bán chính là không được trả tiền thứ mà mình đã bán
Trộm lấy hàng hoá, hoặc là không trả tiền, hoặc là trả bằng các công 
cụ lừa đảo (thẻ tín dụng đánh cắp, tiền giả)
Thế nào là TMĐT có an ninh tốt ? 
(tt.)
Người bán và người mua trên môi trường TMĐT đối diện với 
nhiều rủi ro tương tự như môi trường TMTT
Trộm là trộm, cho dù là trộm điện tử hay trộm truyền thống
Burglary (bẻ khoá), breaking & entering (đột nhập), embezzlement 
(tham ô, biển thủ), trespass (xâm phạm), malicious destruction 
(sự huỷ diệt tàn ác), vandalism (phá hoại): tội phạm môi trường 
TMTT đều có TMĐT
Tuy nhiên, giảm rủi ro trên TMĐT thì phức tạp liên quan đến công 
nghệ mới, chính sách và biện pháp, luật pháp mới và tiêu chuẩn 
ngành liên quan
Các đặc tính an ninh TMĐT
Integrity (Toàn vẹn): khả năng đảm bảo rằng thông tin được hiển thị trên Website 
hay được truyền đi hay nhận được qua Internet không bị biến đổi bởi những bên 
không được phép
Nonrepudiation (Thừa nhận): khả năng đảm bảo rằng các bên TMĐT không được 
từ chối hành động trực tuyến của họ
Authenticity (Xác thực): khả năng nhận ra danh tính của một người hay chủ thể mà 
bạn liên lạc trên Internet
Confidentiality (Bảo mật): khả năng đảm bảo rằng thông điệp và dữ liệu chỉ được 
xem bởi những người được cho phép
Privacy (Riêng tư): khả năng kiểm soát sử dụng thông tin về bản thân
Availability (Hiệu lực): khả năng đảm bảo rằng một Website TMĐT tiếp tục chức 
năng như dự định
Các đe doạ an ninh TMĐT
Từ khía cạnh công nghệ, có 3 vị trí yếu điểm dễ bị tổn 
thương trên môi trường TMĐT:
Client
Server
Internet
Malicious Code (Mã độc)
Còn gọi là Malware
Bao gồm: viruses, worms, Trojan horses, ransomware, bots
Trong quá khứ, mã độc thường có mục đích phá hoại máy 
tính, và thường do một hacker thực hiện
Ngày nay, mã độc thường có xu hướng đánh cắp địa chỉ e
mail, mật khẩu đăng nhập, dữ liệu cá nhân, thông tin tài chính
Mã độc cũng được dùng để phát triển mạng lưới mã độc tích 
hợp để tổ chức lấy cắp thông tin và tiền
Malicious Code (Mã độc)
Một trong những phát triển gần đây của mã độc là gắn vào các 
quảng cáo trực tuyến, kể cả Google và các mạng quảng cáo 
khác
“drive-by dowload” là một dạng mã độc gắn với tập tin được tải 
về mà người dùng cố ý hoặc không cố ý thực hiện
Mã độc cũng có thể được gắn vào tập tin PDF
Mã độc thường được gắn vào các links trong nội dung email, 
thay vì theo cách truyền thống là đính kèm với email
Khuynh hướng hiện tại của mã độc là vì mục đích tiền hơn là 
mục đích khẳng định tài năng
Malicious Code (Mã độc)
Virus: chương trình máy tính có khả năng tự nhân bản hay sao chép chính nó, và phát 
tán qua các tập tin khác
Worm: một dạng mã độc được thiết kế để phát tán từ máy tính qua máy tính
Ransomware (Scareware): một dạng mã độc (thường là worm) ngăn cản đăng nhập vào 
máy tính hay tập tin và yêu cầu trả tiền phạt
Trojan horse: xuất hiện lành tính, nhưng sau đó gây ra các hành động không mong đợi. 
Thường là một phương thức cho virus hay mã độc khác xâm nhập máy tính
Backdoor: là một đặc điểm của virus, worm, Trojan, cho phép attacker điều khiển từ xa 
máy tính bị hại
Bot (robot): một loại mã độc được cài đặt ngầm vào máy tính khi kết nối Internet. Khi 
được cài đặt, robot được điều khiển bởi câu lệnh từ attacker
Botnet: tập hợp các máy tính bị nhiễm robot
Potentially Unwanted Programs 
(PUPS)
Potentially Unwanted Program (PUP) (chương trình không mong 
muốn): chương trình tự cài đặt vào máy tính mà không được sự 
đồng ý của người dùng
Adware: là một PUP làm xuất hiện pop-up quảng cáo trên máy tính
Browser parasite: là chương trình có thể theo dõi và thay đổi thiết 
lập trình duyệt của người dùng. Ví dụ: Websearch là một thành 
phần của adware làm biến đổi trang chủ và chức năng tìm kiếm của 
Internet Explorer 
Spyware: là chương trình được sử dụng để lấy thông tin như mật 
mã, email, instant message của người dùngs
Phishing
Social engineering: lợi dụng sự tò mò, tham lam, cả tin 
của con người để phát tán mã độc
Phishing: trò lừa đảo trực tuyến của một bên thứ 3 để 
lấy được thông tin bí mật để thu lợi tài chính
Phishing thường không dựa vào mã độc mà chủ yếu 
dựa vào lừa đảo trực tiếp, hay gọi là social engineering
mail scam letter là một kiểu điển hình của phishing, 
còn gọi là “Nigerian letter” scam
Hacking, Cybervandalism, Hacktivism, Data 
Breaches
Hacker: cá nhân có ý định xâm nhập không cho phép vào hệ thống máy tính
Cracker: trong cộng đồng hacker, dùng để chỉ hacker có ý đồ phạm tội
Cybervandalism (chương trình phá hoại): cố ý phá hoại, làm xấu đi hay phá 
huỷ một Website
Hacktivism: chương trình phá hoại và lấy cắp dữ liệu cho mục đích chính trị
White hats: hacker “tốt”, giúp định vị và sửa các lỗi an ninh
Black hats: hacker hành động cố ý làm gây hại
Data breach: xảy ra khi một tổ chức/công ty mất kiểm soát để thông tin lọt ra 
ngoài
Credit Card Fraud/Theft
Đánh cắp dữ liệu thẻ tín dụng là một trong những điều sợ nhất trên 
Internet
Nổi sợ thông tin thẻ tín dụng bị đánh cắp ngăn cản người dùng mua 
hàng trực tuyến trong nhiều trường hợp
Thú vị là, nổi sợ này hầu hết là không có căn cứ
Tỉ lệ thông tin thẻ tín dụng bị đánh cắp rất thấp so với người dùng 
nghĩ, khoảng 0.8% toàn bộ giao dịch thẻ trực tuyến (Cybersource, 
2013)
Tuy nhiên, lừa đảo thẻ tín dụng trực tuyến thì cao gấp 2 lần so với 
lừa đảo thẻ không trực tuyến
Credit Card Fraud/Theft
Trong quá khứ, nguyên nhân chủ yếu của lừa đảo thẻ tín dụng là 
thẻ bị đánh cắp hay bị mất và được sử dụng bởi một người khác
Ngày nay, nguyên nhân thường gặp của mất thông tin và thẻ tín 
dụng là server của các công ty bị hack, nơi chứa thông tin của 
hàng triệu thẻ tín dụng mua hàng được lưu trữ
Vấn đề trọng tâm của an ninh TMĐT là sự khó khăn trong thiết 
lập danh tính khách hàng
Hiện nay, chưa có công nghệ nhận dạng người dùng một cách 
chắc chắn —>công ty trực tuyến có nhiều rủi ro hơn rất nhiều so 
với công ty truyền thống
Spoofing, Pharming, Spam (Junk) Web 
sites
Spoofing: che dấu danh tính thật bằng cách sử dụng 
email hay địa chỉ IP của người khác
Pharming: tự động điều hướng Web link đến một địa chỉ 
khác với địa chỉ mong muốn của người dùng
Spam (Junk) Web site: hứa hẹn cung cấp sản phẩm hay 
dịch vụ, nhưng thật sự chỉ là tập hợp các quảng cáo
Denial of Service (DOS) và 
Distributed Denial of Service (DDOS)
DOS: làm tràn ngập một Website bằng các request vô 
nghĩa để làm nghẽn lưu lượng Web server
DDOS: sử dụng rất nhiều máy tính để tấn công một mục 
tiêu trên mạng từ nhiều điểm khác nhau
Tấn công từ nội bộ
Đe doạ an ninh thường được nghĩ đến từ bên ngoài tổ 
chức/công ty
Thật ra, mối đe doạ về tài chính lớn nhất không phải từ 
trộm bên ngoài mà là sự phá hoại trong nội bộ
Nhân viên ngân hàng lấy tiền nhiều hơn trộm ngân hàng
Website TMĐT cũng tương tự
An ninh mạng xã hội
An ninh môi trường di động
An ninh môi trường cloud
Giải pháp công nghệ
Bảo vệ giao tiếp qua Internet
Encryption (Sự mã hoá): là quá trình chuyển văn bản hay dữ liệu thông thường 
thành văn bản được mã hoá không thể đọc được ngoài trừ người gửi và người 
nhận. 
Mục đích của sự mã hoá:
đảm bảo an toàn thông tin lưu trữ
đảm bảo an toàn truyền dẫn thông tin
Sự mã hoá bảo vệ được 4 trong 6 đặc tính của an ninh TMĐT:
tính toàn vẹn thông điệp (integrity)
tính thừa nhận (norepudiation)
tính xác thực (authentication)
tính bí mật (confidentiality)
Mã hoá (Encryption)
Mã (key hay cipher): phương pháp chuyển đổi từ văn bản thông 
thường sang văn bản mã hoá
Mã thay thế (substitution cipher): mỗi sự xuất hiện của một ký 
tự được thay thế bằng một ký tự khác một cách có hệ thống
ví dụ: nếu cipher là: “ký tự +2” —> “Hello” sẽ được mã hoá 
thành “JGNNQ”
Mã chuyển đổi (transposition cipher): thứ tự của các ký tự trong 
một từ được thay đổi theo một cách có hệ thống
ví dụ: “Hello” —>”OLLEH”
Mã hoá đối xứng
Cả người gửi và người nhận sử dụng cùng mã để mã hoá và giải mã thông 
—>mã phải được gửi đi qua phương tiện giao tiếp hay trao đổi mã trực tiếp 
với nhau
Được sử dụng phổ biến trong WW II, vẫn còn được sử dụng một phần trong 
mã hoá Internet
Nhược điểm:
Với năng lực máy tính ngày nay, mã hoá có thể bị bẻ gãy dễ dàng
Mã hoá đối xứng dùng chung mã—>mã được trao đổi qua kênh không an 
toàn (bị lấy cắp)
Trong thương mại, mỗi khi trao đổi với đối tác khác nhau—>mã khác nhau
>cần rất nhiều mã—>không khả thi
Mã hoá đối xứng
Hệ thống mã hoá hiện đại là mã số hoá, tức là mã được sử dụng là 
chuỗi các số 0 và 1
Mã hoá bảo vệ tốt tính theo độ dài bit ký tự của mã
ví dụ: mã có 8 bit ký tự có 2^^8 =256 khả năng đoán đúng mã
máy tính bình thường có thể giải mã 
ví dụ: mã có 512 bit ký tự có 2^^512 khả năng đoán đúng mã 
tất cả máy tính toàn thế giới giải trong 10 năm
Ngày nay, thuật toán sử dụng nhiều nhất cho mã hoá đối xứng là 
Advanced Encryption Standard (AES) cung cấp mã gồm có 128-
192-, 256- bit 
Mã hoá công khai
Phát minh bởi Whitfield Diffie và Martin Hellman vào năm 1976
Khắc phục nhược điểm của mã hoá đối xứng: vấn đề trao đổi mã
Mã hoá công khai: 2 mã (được số hoá) liên quan về mặt toán học với nhau được 
sử dụng: một mã công khai, một mã cá nhân. Mã cá nhân được giữ bí mật bởi 
người sở hữu, mã công khai được phát tán rộng rãi. Cả 2 mã đều được sử dụng 
để mã hoá và giải mã thông điệp. Tuy nhiên, một khi mã được sử dụng để mã hoá 
thông điệp, mã đó không thể dùng để giải mã thông điệp đó
Dựa vào hàm toán không thể đảo ngược một chiều, nghĩa là một khi thuật toán 
được áp dụng, thông số đầu vào không thể tính ra được từ thông số đầu ra
Tưởng tượng công thức làm thức ăn: dễ dàng đánh trộn trứng, nhưng không thể 
làm lại được trứng nguyên vẹn từ trứng bị đánh trộn
Mã hoá công khai
Mã hoá công khai có thoả mãn hết các đặc tính của an ninh TMĐT 
hay không?
Confidentiality? Có thể (vì bên thứ 3 không thể đọc hay giải mã 
thông điệp)
Authentication? Không chắc chắn người gửi thật sự là người gửi
> 
Nonrepudiation? Không chắc chắn (vì người gửi từ chối nhận mình 
đã gửi)
Integrity? Không chắc chắn (trong quá trình vận chuyển qua 
Internet có thể bị biến đổi)
Mã hoá công khai sử dụng 
chữ ký số (digital signature) và hàm băm (hash function)
Khắc phục nhược điểm của mã hoá công khai —>để đạt 
được đặc điểm an ninh TMĐT: authentication, 
nonrepudiation, integrity
Hash function: thuật toán tạo ra chuỗi số có độ dài cố định 
gọi là hash digest hay message digest (tóm tắt thông điệp). 
Ngày nay thường sử dụng hash function có 128-bit. Hash 
digest là duy nhất cho mỗi thông điệp, sau đó được gửi qua 
cho người nhận, người nhận sẽ kiểm tra, nếu 2 bản giống 
nhau có nghĩa là thông điệp không bị biến đổi—>integrity
Mã hoá công khai sử dụng 
chữ ký số (digital signature) và hàm băm (hash function)
Người gửi (sender):
Người gửi mã hoá cả 2: tóm tắt thông điệp (hash digest) và thông điệp gốc 
(original message) sử dụng mã công khai của người nhận (giống cách mã 
hoá công khai)
Sau đó, người gửi mã hoá lần thứ 2 toàn bộ tóm tắt thông điệp và thông điệp 
gốc (đã mã hoá lần 1 rồi) sử dụng mã cá nhân của người gửi —> digital 
signature (chữ ký số): văn bản đã mã hoá được ký và gửi đi trên Internet
Chữ ký số là duy nhất vì chỉ có người gửi là có mã cá nhân. Cùng với hash 
function (hàm băm), chữ ký số càng độc nhất và chữ ký số thay đổi với sự 
thay đổi văn bản khác nhau
Chữ ký số giúp đảm bảo tính authenciticity và nonrepudiation
Mã hoá công khai sử dụng
chữ ký số (digital signature) và hàm băm (hash function)
Người nhận (receiver):
Người nhận: đầu tiên sử dụng mã công khai của người gửi để xác 
thực thông điệp (authentication)
Sau khi xác thực, người nhận tiếp tục sử dụng mã cá nhân của mình 
(người nhận) để mã hoá thành hash digest (tóm tắt thông điệp) và 
original message (thông điệp ban đầu)
Bước cuối cùng, người nhận áp dụng hàm băm (hash function) cho 
thông điệp ban đầu này—>tóm tắt thông điệp. Nếu tóm tắt thông điệp 
này trùng khớp với tóm tắt thông điệp mà người nhận nhận từ người 
gửi—>thông điệp không bị biến đổi trong quá trình vận chuyển 
(integrity)
Phong bì số (digital envelopes)
Nhược điểm của mã hoá công khai: tốn nhiều thời gian để mã hoá
>giảm tốc độ dẫn truyền và tăng thời gian xử lý
Ưu điểm của mã hoá đối xứng: nhanh hơn, tuy nhiên có nhược điểm 
phải gửi mã đối xứng đến người nhận trên kênh truyền dẫn không an 
toàn
Giải pháp cho cả 2 phương thức mã hoá: phong bì số
Sử dụng phương pháp mã hoá đối xứng để mã hoá cho tài liệu lớn 
(kích thước lớn) (vì hiệu quả hơn)
Sử dụng phương pháp mã hoá công khai để mã hoá và chuyển 
qua Internet mã đối xứng (vì an toàn hơn)
Chứng nhận số (digital 
certificates)
Chứng nhận số: là văn bản số được cấp bởi cơ quan có 
thẩm quyền cấp chứng nhận bao gồm: tên của chủ thể 
hay công ty, mã công khai của chủ thể, dãy số của 
chứng nhận số, ngày hết hạn, ngày cấp, chữ ký số cơ 
quan thẩm quyến cấp chứng nhận, các thông tin định 
dạng khác
Cơ quan thẩm quyền cấp chứng nhận (Certification 
Authority): là bên thứ 3 được tin tưởng cấp chứng nhận 
Hạ tầng khoá công khai 
(Public Key Infrastructure)
Tại Mỹ, các công ty tư như VeriSign, nhà sản xuất Web browser, công 
ty an ninh, cơ quan chính phủ (Bưu điện, Cục dự trữ liên bang) cấp 
phép cho các cơ quan thẩm quyền cấp chứng nhận (Certificate 
Authority) cùng với các CAs khác—>cộng đồng CAs
PKI: là tập hợp các CAs và chứng nhận số (digital certificate) được 
chấp nhận bởi tất cả các bên
Khi đăng nhập vào một site “an toàn”, URL sẽ bắt đầu bằng “https” và 
có icon hình cái khoá đóng xuất hiện trong browser—>Website này có 
chứng nhận số được cấp bởi một CA có uy tín. Nếu không, nhiều khả 
năng là site spoof
ví dụ
Hạn chế của giải pháp mã hoá
PKI là giải pháp công nghệ tuyệt vời cho vấn đề an ninh TMĐT
Tuy nhiên có rất nhiều hạn chế, đặc biệt là liên quan đến CAs
PKI chủ yếu bảo vệ thông điệp truyền dẫn trên Internet, tuy nhiên không bảo vệ 
được trong trường hợp nhân viên, người có thẩm quyền truy cập thông tin trên 
hệ thống, nhất là thông tin khách hàng
Hầu hết các websites TMĐT không lưu trữ thông tin khách hàng ở dạng mã 
Hạn chế nữa là mã cá nhân của người dùng làm sao bảo vệ?—>thường lưu 
trữ trên desktop hay laptop người dùng—>không an toàn
Không chắc chắn người sử dụng máy tính của bạn - mã cá nhân - thật sự là 
bạn (mất máy tính hoặc smartphone)
Hạn chế của giải pháp mã hoá
Không chắc chắn người sử dụng máy tính của bạn -
cá nhân - thật sự là bạn (mất máy tính hoặc 
smartphone)
Không chắc chắn là máy tính của người bán là an toàn
Bảo vệ kênh truyền thông
Hình thức phổ biến nhất cho bảo vệ kênh truyền thông 
là giao thức SSL (Secure Sockets Layer) và TLS 
(Transport Layer Security)
Khi nhận được thông điệp từ Web server mà bạn đang 
tiến hành giao dịch qua kênh an toàn, nghĩa là bạn đang 
sử dụng SSL/TLS để thiết lập một secure negotiated 
session (phiên đàm phán an toàn) (biểu hiện trên web 
browser là URL chuyển từ HTTP sang HTTPS)
SSL/TLS
secure negotiated session (phiên đàm phán an toàn): là phiên làm việc 
giữa client và server trong đó URL của tài liệu được yêu cầu, cùng với 
nội dung, hình thức, các cookies trao đổi, được mã hoá
ví dụ: số thẻ tín dụng của người dùng khi gõ vào sẽ được mã hoá
Sau một loạt các giao tiếp, browser người dùng và server người cung 
cấp dịch vụ thiết lập nhận dạng lẫn nhau bằng cách trao đổi chứng nhận 
số (digital certificate), sau đó trao đổi với nhau qua mã phiên (session 
key)
session key: là mã hoá đồng nhất duy nhất được chọn cho mỗi phiên 
làm việc an toàn. Một khi đã được sử dụng, session key sẽ không bào 
giờ được sử dụng lại
SSL/TLS
Trong thực tế, cá nhân thường không có chứng nhận số (digital certificate)
Trong trường hợp này, server của công ty cung cấp dịch vụ sẽ không yêu cầu 
certificate, tuy nhiên web browser của người dùng sẽ yêu cầu server công ty cung 
cấp certificate một khi phiên làm việc an toàn được gọi
SSL/TLS cung cấp dữ liệu được mã hoá, xác thực server (qua digital certification), 
có thể xác thực client, tính toàn vẹn thông điệp (integrity) cho kết nối TCP/IP
SSL/TLS giải quyết vấn đề xác thực bằng cách cho phép người dùng xác thực 
người dùng khác hay công ty khác. Nó cũng bảo vệ tính toàn vẹn thông điệp
SSL/TLS
Tuy nhiên, khi công ty nhận được thông tin thẻ tín dụng hay đơn đặt hàng, thông 
tin đó thường được lưu trữ không được mã hoá trên server của công ty người bán 
>hậu quả từ vấn đề an ninh nội bộ
SSL/TLS chỉ đảm bảo xác thực về phía server, không đảm bảo về phía client
khách hàng có thể đặt hàng và tải về thông tin sản phẩm, sau đó chối bỏ đã giao 
Gần đây, mạng xã hội Facebook, Twitter bắt đầu sử dụng SSL/TLS để ngăn chặn 
lấy cắp tài khoản qua mạng Internet wifi
Firesheep, một add-on của Firefox, có thể được sử dụng bởi hacker để lấy cắp các 
cookies không được mã hoá (được sử dụng để “nhớ” usernames/passwords) và 
truy cập các tài khoản này
SSL/TLS có thể ngăn chặn vì nó mã hoá luôn cả cookies
Mạng riêng ảo (Virtual Private Networks 
VPNs)
VPN cho phép người dùng ở xa có thể truy cập mạng 
nội bộ một cách an toàn thông qua Internet, sử dụng 
giao thức Point-to-Point Tunneling Protocol (PPTP)
Mạng Wi-Fi
Trước đây, chuẩn an ninh cho mạng Wifi là Wired 
Equivalent Privacy (WEP)—>rất dễ bị tấn công
Sau đó đến Wi-Fi Protected Access (WPA) tốt hơn 
nhưng vẫn không an toàn
Ngày nay, sử dụng chuẩn WPA2, sử dụng thuật toán 
AES cho mã hoá và CCMP, một giao thức xác thực 
nâng cao để bảo vệ an ninh cho người dùng Wifi
Bảo vệ mạng
Một khi đã bảo vệ kênh truyền thông, bước kế tiếp là 
bảo vệ mạng bằng các công cụ như Firewalls và Proxy 
Servers
Firewalls (Tường lửa) và Proxy 
Servers
Firewall: là phần cứng hoặc phần mềm lọc các packets 
và ngăn ngừa các packets xâm nhập vào mạng dựa vào 
các chính sách an ninh
Proxy servers (Proxy): là phần mềm server giải quyết tất 
cả các giao tiếp xuất phát từ hay được gửi đến Internet, 
làm chức năng giống như người bảo vệ tổ chức
Bảo vệ Servers và Clients
Các đặc điểm của hệ điều hành và phần mềm diệt virus 
có thể bảo vệ server và client trong một vài trường hợp 
bị tấn công
Tăng cường tính bảo vệ từ Hệ điều 
hành
Thường xuyên upgrade tự động Hệ điều hành để khắc 
phục các lỗ hổng an ninh
Phần mềm diệt Virus
Cách dễ dàng nhất và ít chi phí nhất là dùng các phần 
mềm diệt virus
McAfee, Symantec (Norton AntiVirus)
Giải pháp về chính sách quản trị, nội quy kinh doanh, và 
luật pháp

File đính kèm:

  • pdfbai_giang_thuong_mai_dien_tu_chuong_10_moi_truong_an_ninh_th.pdf