Mục đích của môn học
-Cung cấp những kiến thức cơbản vềan toàn
dữliệu và sựcần thiết của việc đảm bảo an
toàn dữliệu.
-Cung cấp thông tin về các nguy cơtấn công dữ
liệu và phương pháp đảm bảo an toàn cho hệ
thống dữ liệu
-Giới thiệu một số ứng dụng của an toàn dữliệu
trong thương mại điện tử.
66 trang |
Chia sẻ: maiphuongtt | Lượt xem: 2430 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Bài giảng An toàn dữ liệu, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 1
Bài giảng môn:
An toàn dữ liệu
trong
Thương mại điện tử
1/18/2011 Bộ môn CNTT - TMĐT 1
Bộ môn CNTT – TMĐT
Khoa Thương mại điện tử
1. Mục đích và yêu cầu
z Mục đích của môn học
z Cung cấp những kiến thức cơ bản về an toàn
dữ liệu và sự cần thiết của việc đảm bảo an
toàn dữ liệu.
ấ ề ấ
1/18/2011 Bộ môn CNTT - TMĐT 2
z Cung c p thông tin v các nguy cơ t n công dữ
liệu và phương pháp đảm bảo an toàn cho hệ
thống dữ liệu
z Giới thiệu một số ứng dụng của an toàn dữ liệu
trong thương mại điện tử.
1. Mục đích và yêu cầu (t)
z Yêu cầu cần đạt được
z Nắm vững các kiến thức cơ bản về an toàn dữ
liệu và an toàn dữ liệu trong TMĐT
z Có kiến thức về các nguy cơ tấn công và và
ả ả
1/18/2011 Bộ môn CNTT - TMĐT 3
các phương pháp đ m b o an toàn cho hệ
thống dữ liệu
z Sử dụng được một số ứng dụng đã có trong
việc đảm bảo an toàn dữ liệu cho TMĐT
2. Phân phối chương trình
z Môn học gồm 2 tín chỉ (45 tiết) phân phối
như sau:
z Nghe giảng: 27 tiết lý thuyết
z Thảo luận và thực hành: 3 tiết
1/18/2011 Bộ môn CNTT - TMĐT 4
z Đọc tài liệu tham khảo: 15 tiết
3. Nội dung môn học
z Môn học bao gồm 5 chương
z Chương 1: Tổng quan về an toàn dữ liệu
z Chương 2: Các hình thức tấn công dữ liệu
trong Thương mại điện tử
1/18/2011 Bộ môn CNTT - TMĐT 5
z Chương 3: Các phương pháp phòng tránh và
khắc phục hậu quả
z Chương 4: Mã hóa
z Chương 5: Ứng dụng của an toàn dữ liệu
trong giao dịch TMĐT
4. Tài liệu tham khảo
z [1] Giáo trình An toàn dữ liệu, Bộ môn CNTT, Đại
học Thương Mại, 2007.
z [2] Phan Đình Diệu, Lý thuyết mật mã và an toàn
thông tin, Đại học Quốc gia Hà Nội, 1999.
[3] Willi St lli C t h d N t k
1/18/2011 Bộ môn CNTT - TMĐT 6
z am a ngs, ryp ograp y an e wor
Security Principles and Practices, Fourth Edition,
Prentice Hall, 2005
z [4] Man Young Rhee. Internet Security:
Cryptographic principles, algorithms and
protocols. John Wiley & Sons, 2003.
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 2
Nội dung chương I:
Tổng quan về an toàn dữ liệu
z 1.1. An toàn dữ liệu
z Khái niệm
z Mục tiêu
z Yêu cầu
z 1.2. An toàn dữ liệu trong Thương mại điện tử
z Khái niệm
z Mục tiêu
z Yêu cầu
z 1.3. Mô hình đảm bảo an toàn dữ liệu
z Mô hình an toàn trên máy đầu cuối
z Mô hình an toàn trong truyền dữ liệu
1/18/2011 Bộ môn CNTT - TMĐT 7
I. Vấn đề an toàn dữ liệu
1. An toàn dữ liệu là gì?
Dữ liệu
chưa được
bảo vệ
Mình khóa
như này đã
đủ chưa
nhỉ???
1/18/2011 Bộ môn CNTT - TMĐT 8
=> Dữ liệu không bị hỏng hóc, không bị mất mát
2. Phải đảm bảo an toàn cho những
dữ liệu nào?
z Đối với chính phủ:
z Dữ liệu quân sự
z Dữ liệu ngoại giao
z Dữ liệu kinh tế
Dữ liệ kh hz u oa ọc
z Đối với tổ chức
z Dữ liệu nhạy cảm
z Dữ liệu mật của tổ chức
z Đối với cá nhân:
z Dữ liệu cá nhân
1/18/2011 Bộ môn CNTT - TMĐT 9
⇒Tất cả các dữ liệu này
Cần phải bảo đảm an toàn
3. Biện pháp ?
a) Biện pháp vật lý và hành chính
z Cất giữ trong kho?
z Cất giữ trong két?
z Ban hành các luật?
z Hay mang tất cả
theo người????
1/18/2011 Bộ môn CNTT - TMĐT 10
=>Các biện pháp này
có còn khả thi với
tình hình hiện nay?
b) Lưu trữ bằng thiết bị nhớ
z Lưu trữ được dung
lượng lớn,
z Tìm kiếm dễ dàng,
z Chia sẻ đơn giản,
z Tiết kiệm diện tích,
z …
z => Cách thức bảo
đảm an toàn cũng
khó khăn hơn
1/18/2011 Bộ môn CNTT - TMĐT 11
Thay thế hình thức lưu
trừ giấy sang thiết bị
nhớ của máy tính
Với sự phát triển CNTT
zƯu điểm
z Nắm bắt thông tin
nhanh chóng
z Trao đổi dữ liệu dễ
z Nhược điểm
z Tiềm ẩn nhiều nguy
cơ
z Các vấn đề mất an
dàng
z = > Môi trường
mạng đưa tất cả
mọi thứ đến bàn
làm việc của bạn
toàn dữ liệu ngày
càng nhiều và phức
tạp
z => Cần các biện pháp
đảm bảo an toàn tốt,
khó bị tấn công hơn
…
1/18/2011 Bộ môn CNTT - TMĐT 12
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 3
Những nguy cơ tiềm ẩn
z Bob chia sẻ dữ liệu
của mình cho Alice
=> Liệu Alice đã
nhận đúng cái Bob
muốn chia sẻ hay
chưa?
z => Nguy cơ dữ liệu
bị thay đổi, bị giả
mạo, bị ngừng trệ,
…
1/18/2011 Bộ môn CNTT - TMĐT 13
Nếu Alice gửi Tom mà Bob nhận được Jerry thì sao????
1/18/2011 Bộ môn CNTT - TMĐT 14
c) Thống kê số vụ tấn công/năm
1/18/2011 Bộ môn CNTT - TMĐT 15
Hàng năm số vụ tấn công càng tăng lên theo cấp số
nhân => Vấn đề an toàn dữ liệu càng trở nên cấp thiết
z Tập đoàn Symantec tháng 3/2010 đã chính
thức công bố :
z 75% doanh nghiệp cho biết họ đã bị tấn
công.36 % trong số đó bị ảnh hưởng nghiêm
trọng VD :Buy com Amazon com eBay Datek MSN. . , . , , , ,
và CNN.com
1/18/2011 Bộ môn CNTT - TMĐT 16
Vậy an toàn dữ liệu là gì?
zAn toàn dữ liệu là quá trình đảm bảo
cho hệ thống dữ liệu tránh khỏi những
nguy cơ hỏng hóc hoặc mất mát
1/18/2011 Bộ môn CNTT - TMĐT 17
4. Các nguy cơ
z Ngẫu nhiên (nguyên nhân khách quan)
z Thiên tai, hỏng vật lý, mất điện, …
z Có chủ định (nguyên nhân chủ quan)
z Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can
thiệp có chủ ý, …
1/18/2011 Bộ môn CNTT - TMĐT 18
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 4
Những nguy cơ ngẫu nhiên
1/18/2011 Bộ môn CNTT - TMĐT 19
Thiên tai:
Lũ lụt, sóng thần, …
Nguy cơ ngẫu nhiên
1/18/2011 Bộ môn CNTT - TMĐT 20
Nguy cơ có chủ định
1/18/2011 Bộ môn CNTT - TMĐT 21
Từ con người:
Tin tặc, phishing, pharming, …
Nguy cơ có chủ ý
1/18/2011 Bộ môn CNTT - TMĐT 22
10 nguy cơ của năm 2010
1-Những cuộc tấn công mạng gây tổn hại cho DN
2-Lượng thư rác toàn cầu tăng mạnh.
3-Biểu đồ về hoạt động của các loạt mã độc tăng đột biến.
4-Thông tin thẻ tín dụng => món hàng được bán nhiều nhất trên mạng.
5-Ngân hàng là mục tiêu lừa đảo .
ề ố ầ ấ ế ằ6-Thư rác truy n th ng sẽ d n bị m t đi và thay th b ng những vụ lừa đảo có
chủ đích.
7-Những tin tức thời sự nóng hổi châm ngòi cho các cuộc tấn công.
8-Tội phạm mạng theo xu hướng tấn công quy mô lớn
9-Sự phổ biến kiến thức tạo đà cho những cuộc tấn công mới .
10-Tội phạm mạng có xu hướng nhắm tới thông tin thay vì theo đuổi các nền
tảng hạ tầng .
1/18/2011 Bộ môn CNTT - TMĐT 23
=> Yêu cầu
Người đảm bảo an
toàn dữ liệu phải
luôn luôn cập nhật
các kiến thức bảo
ật ới h hế
1/18/2011 Bộ môn CNTT - TMĐT 24
m m ạn c
được các nguy cơ
tấn công ngày càng
gia tăng như ngày
nay!
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 5
5. Các nguy cơ thực tế hiện nay
z a) Nguy cơ lộ thông
tin
z => Hay thông tin cá
nhân, tổ chức và các
giao dịch bị bên thứ 3
biết được
1/18/2011 Bộ môn CNTT - TMĐT 25
Biểu đồ tỉ lệ thư rác
Các nguy cơ thực tế hiện nay (T)
z b) Bị kẻ xấu làm sai lệch thông tin
z Bắt thông tin giữa đường từ nguồn, thay đổi và
gửi tiếp đến đích
z Tạo “nguồn” thông tin giả mạo đưa đến đích
“thật”
z Tạo “đích” giả để lừa các nguồn “thật”
1/18/2011 Bộ môn CNTT - TMĐT 27
Giả mạo người gửi
1/18/2011 Bộ môn CNTT - TMĐT 28
Nguồn gốc spam từ các quốc gia Giả mạo người nhận
1/18/2011 Bộ môn CNTT - TMĐT 30
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 6
Các nguy cơ thực tế hiện nay(T)
z c) Nguy cơ bị tắc nghẽn, ngừng trệ thông
tin
z Mạng quá tải, Server chết, …
1/18/2011 Bộ môn CNTT - TMĐT 31
Mạng quá tải
1/18/2011 Bộ môn CNTT - TMĐT 32
Các loại mã độc phổ biến
và nguy hiểm nhất 6. Phòng tránh
z Phòng tránh là cách thức sử dụng các
phương pháp, phương tiện, kỹ thuật nhằm
ngăn ngừa và giảm bớt các rủi ro mà hệ
thống dữ liệu gặp phải
z Phân loại:
z Phòng tránh từ bên trong
z Yếu tố con người, hệ mã hóa, phần cứng, phần
mềm, …
z Phòng tránh từ bên ngoài
z Yếu tố con người, mã độc, Internet, …
1/18/2011 Bộ môn CNTT 34
7. Khắc phục hậu quả
z Khắc phục hậu quả là sử dụng các phương
pháp, phương tiện và kỹ thuật nhằm phục
hồi lại tài nguyên hệ thống dữ liệu và các
hoạt động chủ yếu của nó
z Phân loại:
z Phục hồi dữ liệu:
z Backup, Recovery data, …
z Phục hồi ứng dụng:
z Backup, phần cứng, phần mềm chuyên dụng, …
1/18/2011 Bộ môn CNTT 35
8. Mục tiêu của an toàn dữ liệu
z Phát hiện các lỗ hổng của hệ thống dữ liệu,
dự đoán trước những nguy cơ tấn công
z Ngăn chặn những hành động gây mất an
toàn dữ liệu từ bên trong cũng như bên
ngoài
z Phục hồi tổn thất khi hệ thống dữ liệu bị tấn
công
1/18/2011 Bộ môn CNTT - TMĐT 36
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 7
9. Các yêu cầu của an toàn dữ liệu
z Tính bảo mật (Security)
z Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ,
không bị mất mát
z Tính toàn vẹn (Integrity):
Dữ liệ không bị tạo ra sửa đổi ha óa bởi nhữngz u , y x
người không sở hữu.
z Tính sẵn sàng (Availability):
z Dữ liệu phải luôn trong trạng thái sẵn sàng.
z Tính tin cậy (Confidentiality)
z Thông tin người dùng nhận được là đúng
1/18/2011 Bộ môn CNTT - TMĐT 37
Các yêu cầu trong
đảm bảo an toàn dữ liệu
Tính tin cẩn
1/18/2011 Bộ môn CNTT - TMĐT 38
Bảo mật
Tính sẵn sàng
Tính toàn vẹn
10. Quy trình đảm bảo an toàn hệ thống
Xác định
Đánh giá
1/18/2011 Bộ môn CNTT - TMĐT 39
Giám sát
rủi ro
Lựa chọn
giải pháp
Quy trình đảm bảo ATDL
z Xác định
z Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? =>
Rất quan trọng
z Đánh giá
Đ a ra các biện pháp? Đánh giá hiệ năng chi phí độz ư u , ,
an toàn, …
z Lựa chọn giải pháp
z Từ bước đánh giá lựa chọn giải pháp tối ưu có thể
z Giám sát rủi ro
z Luôn luôn giám sát hoạt động => Xác định nguy cơ
=> …=> …=>
1/18/2011 Bộ môn CNTT - TMĐT 40
II. An toàn dữ liệu trong TMĐT
1/18/2011 Bộ môn CNTT - TMĐT 41
Với mạng Internet bạn có thể làm tất cả mọi thứ chỉ
bằng một cái nhấp chuột
1. Khái niệm TMĐT
z Thương mại điện tử là các giao dịch
thương mại dựa trên truyền dữ liệu qua các
mạng truyền thông như Internet.
1/18/2011 Bộ môn CNTT - TMĐT 42
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 8
2. Đặc điểm của TMĐT
z Các bên tiến hành giao dịch không tiếp xúc
trực tiếp và không cần biết nhau từ trước
z TMĐT được thực hiện trong thị trường
không biên giới
z Hoạt động giao dịch có sự tham gia của ba
chủ thể (người bán, người mua, nhà cung
cấp dịch vụ, các cơ quan chứng thực)
z Thị trường chính là mạng lưới thông tin
1/18/2011 Bộ môn CNTT - TMĐT 43
3. Các hình thức hoạt động chủ yếu
trong TMĐT
z Thư điện tử
z Thanh toán điện tử
z Trao đổi dữ liệu điện tử
T ề dữ liệ
1/18/2011 Bộ môn CNTT - TMĐT 44
z ruy n u
z Bán lẻ hàng hóa hữu hình
4. Lợi ích của thương mại điện tử
z Thu thập được nhiều thông tin
z Giảm chi phí bán hàng, tiếp thị và giao dịch
z Giúp thiết lập củng cố đối tác
1/18/2011 Bộ môn CNTT - TMĐT 45
z Tạo điều kiện sớm tiếp cận nền kinh tế tri
thức
z Giảm ách tắc và tai nạn giao thông
5. Phân loại giao dịch TMĐT
z B2B - Business – to – Business
z B2C - Business – to – Customer
z P2P (C2 C) - Peer – to – Peer
z B2G - Business to Government
1/18/2011 Bộ môn CNTT - TMĐT 46
7. Khái niệm về ATDL trong TMĐT
z An toàn dữ liệu trong thương mại điện tử nghiên
cứu về những nguy cơ gây mất an toàn dữ liệu và
các biện pháp phòng tránh và phục hồi đảm bảo
an toàn, tránh khỏi những nguy cơ này trong quá
trình sử dụng hình thức kinh doanh thương mại
điện tử.
1/18/2011 Bộ môn CNTT - TMĐT 47
8. Các nguy cơ trong TMĐT
z Bị các tin tặc tấn công
z Giả mạo
z Từ chối thanh toán
z Sử dụng thẻ thanh toán giả, hết hạn
z Mất an toàn khi tiến hành giao dịch
z Thông tin bị lộ, bị sửa đổi, bị giả mạo
z Lừa đảo trên mạng
z Giả mạo người bán, người mua, ...
1/18/2011 Bộ môn CNTT - TMĐT 48
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 9
Ví dụ bị tin tặc tấn công
1/18/2011 Bộ môn CNTT - TMĐT 49
Ví dụ bị thay đổi dữ liệu
1/18/2011 Bộ môn CNTT - TMĐT 50
Giả mạo thẻ thanh toán
1/18/2011 Bộ môn CNTT - TMĐT 51
9. Mục tiêu của ATDL trong TMĐT
z Phát hiện sớm các lỗ hổng trong các hình
thức giao dịch và thanh toán điện tử.
z Đưa ra các mô hình và giải pháp nhằm đảm
bả h TMĐT đ t đ độ t ào c o ạ ược an o n cao
nhất.
z Các phương pháp khắc phục hậu quả và
đảm bảo lợi ích cho người sử dụng
1/18/2011 Bộ môn CNTT - TMĐT 52
Mục tiêu của ATDL trong TMĐT
1/18/2011 Bộ môn CNTT - TMĐT 53
10. Những yêu cầu ATDL trong TMĐT
z Bảo mật cao:
z Dữ liệu lưu trữ cũng như trao đổi giữa 2 bên
giao dịch phải được giữ bí mật, đảm bảo không
bị lộ.
z Toàn vẹn dữ liệu:
z Thông tin giao dịch giữa 2 bên không bị sửa
đổi hay bị giả mạo bởi một bên thứ 3.
z Chống chối bỏ:
z Đảm bảo độ minh bạch giữa 2 bên thực hiện
giao dịch.
1/18/2011 Bộ môn CNTT - TMĐT 54
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 10
III. Mô hình đảm bảo ATDL
z 1. Mô hình đảm bảo an toàn trên máy đầu cuối
MỨC MẠNGMỨC VẬT LÝ
1/18/2011 Bộ môn CNTT - TMĐT 55
TÀI NGUYÊN
MỨC DỮ LiỆU MỨC HỆ ĐiỀU HÀNH
a) Mức vật lý
z Chống nguy cơ mất mát dữ liệu qua đường vật lý
z Đánh giá độ chịu đựng của hệ thống dữ liệu trước
những sự cố bất ngờ.
z Quản lý các truy nhập mức vật lý vào phần cứng
lưu trữ
z Quản lý hoạt động của các thiết bị cần bảo vệ và
thiết bị bảovệ để đảm bảo sự hoạt động của dữ
liệu một cách ổn đinh.
1/18/2011 Bộ môn CNTT - TMĐT 56
b) Mức hệ điều hành
z Tạo và phân quyền người dùng
z Kiểm soát các chương trình đang được
thực thi trong máy
z Các file log dùng để theo dõi hoạt động của
hệ thống
z Các chức năng bảo mật được tích hợp sẵn
(trình diệt Virus, tường lửa)
1/18/2011 Bộ môn CNTT - TMĐT 57
c) Mức mạng
z Sử dụng các thiết bị phần cứng chuyên
dụng để ngăn chặn sự xâm nhập trái phép
từ Internet
z Dùng các cơ chế quản lý và phân quyền
người sử dụng
z Sử dụng các giao thức bảo mật trên mạng
z Các phần mềm chống xâm nhập trái phép
cũng như dò tìm Virus
1/18/2011 Bộ môn CNTT - TMĐT 58
d) Mức dữ liệu
z Mã hóa dữ liệu:
z Dữ liệu được lưu trữ dưới dạng bản mã.
z Phân quyền người dùng:
z Phân ra nhiều mức người sử dụng khác nhau .
z Thiết lập các cơ chế sao lưu dữ liệu
z Thiết lập cơ chế backup, lưu trên nhiều Server
z Sử dụng các chương trình bảo mật thư
mụcvà file
z Dùng NTFS, hệ điều hành LINUX, ..
1/18/2011 Bộ môn CNTT - TMĐT 59
2. Mô hình an toàn trong truyền dữ liệu
nChuyển đổi Chuyển đổin
Bên thứ ba đáng tin
Bên nhận
1/18/2011 Bộ môn CNTT - TMĐT 60
Th
ôn
g
bá
o
an
to
àn
Thông tin
bí mật
liên quan
đến an toàn
Th
ôn
g
bá
o
Th
ôn
g
bá
o
Thông tin
bí mật
liên quan
đến an toàn
Th
ôn
g
bá
o
an
to
àn
Đối thủ
Kênh
thông tin
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 11
3. Các yêu cầu cụ thể
z Thiết kế một giải thuật thích hợp cho việc
chuyển đổi liên quan đến an toàn
z Tạo ra thông tin bí mật (khóa) đi kèm với
giải thuật
zPhát triển các phương pháp phân bổ và
chia sẻ thông tin bí mật
zĐặc tả một giao thức sử dụng bởi hai bên
gửi và nhận
1/18/2011 Bộ môn CNTT - TMĐT 61
4. Kiến trúc an toàn trên mạng
-Sử dụng bộ định
tuyến (Router)
- Sử dụng hệ thống
bảo vệ thâm nhập
(IDS)
Sử d t ờ lử
1/18/2011 Bộ môn CNTT - TMĐT 62
- ụng ư ng a
(Firewall)
- Thiết kế mạng vành
đai (DMZ)
=> Hạn chế các truy
nhập bất thường và
nguy cơ rò rỉ thông
tin ra ngoài
Kiến trúc an toàn mạng
1/18/2011 Bộ môn CNTT - TMĐT 63
Kết thúc chương I
z Chương I trình bày các khái niệm về an
toàn dữ liệu và an toàn dữ liệu trong TMĐT
z Các nguy cơ bị tấn công và các yêu cầu
cũng như mục tiêu của việc đảm bảo an
toàn dữ liệu và an toàn dữ liệu trong TMDT
1/18/2011 Bộ môn CNTT - TMĐT 64
Từ khóa của bài
z An toàn dữ liệu (Data security)
z An toàn thông tin (Information security)
z Thương mại điện tử (Ecommerce)
H kz ac er
z Mô hình mạng an toàn (Network security
model)
z Tường lửa (Fire wall)
z Mã hóa (encryptation)
1/18/2011 Bộ môn CNTT - TMĐT 65
Câu hỏi
z Hãy trình bày khái niệm về an toàn dữ liệu?
An toàn dữ liệu trong TMĐT?
z Nêu các nguy cơ tiềm ẩn về khả năng mất
an toàn thông tin? Các nguy cơ trong
TMĐT?
z Mục tiêu của an toàn dữ liệu? Và mục tiêu
của an toàn dữ liệu trong TMĐT?
z Các yêu cầu của an toàn dữ liệu? An toàn
dữ liệu trong TMĐT?
1/18/2011 Bộ môn CNTT - TMĐT 66
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 12
Câu hỏi
z Nêu quy trình đảm bảo an toàn dữ liệu?
Trình bày chi tiết 4 pha trong quy trình?
z Trình bày các mô hình đảm bảo an toàn dữ
liệu trong TMĐT?
z Tại sao an toàn dữ liệu trong TMĐT lại
tương ứng với an toàn máy tính và mạng
máy tính? Hãy trình bày chi tiết?
1/18/2011 Bộ môn CNTT - TMĐT 67
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 1
Bài giảng môn:
An toàn dữ liệu
trong
Thương mại điện tử
1/18/2011 Bộ môn CNTT - TMĐT 1
Bộ môn CNTT – TMĐT
Khoa Thương mại điện tử
Chương II:
Các hình thức tấn công dữ liệu trong TMĐT
z 2.1. Tấn công bị động
z Nghe trộm
z Phân tích lưu lượng
z 2.2. Tấn công chủ động
z Giả mạo người gửi
z Thay đổi thông điệp
z Tấn công lặp lại
z Tấn công từ chối dịch vụ
z 2.3. Các phương pháp tấn công trên thực tế
z 2.4. Virus và các biến thể
z 2.5. Thực tế ở Việt Nam
1/18/2011 Bộ môn CNTT - TMĐT 2
1. Tấn công dữ liệu là gì ?
a) Khái niệm: Hình thức xem, sao chép, lấy cắp,thay đổi,
phá hoại dữ liệu trái phép
Tấn công dữ liệu
CERT (Computer Emergency Response Team)
Kịch bản tấn công dữ liệu
z Kịch bản
z Thu thập thông tin
z Thu thập các thông tin xa hơn
z Tấn công
Xâ hậ thà h ôz m n p n c ng
z Vui vẻ và bổ ích
z Ba kiểu phổ biến
z Thu thập thông tin
z Khai thác lỗ hổng
z Tấn công từ chối dịch vụ (Dos)
1/18/2011 Bộ môn CNTT - TMĐT 5
b) Phân loại các kiểu tấn công
z Có nhiều cách phân loại tấn công
z Phân chia theo cách thức
z Tấn công thụ động
z Tấn công chủ động
z Phân loại theo hình thức
z Tấn công vật lý
z Tấn công phần mềm
z Phân loại theo hệ thống mạng
z Tấn công máy đầu cuối
z Tấn công đường truyền
z Tấn công máy chủ
z ….
1/18/2011 Bộ môn CNTT - TMĐT 6
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 2
2. Tấn công thụ động
z a) Khái niệm
z Kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông
tin được truyền từ nguồn đến đích.
ểz Đặc đi m:
z Khó phát hiện, khó phòng tránh
z Rất nguy hiểm và ngày càng phát triển
z = >Cần các biện pháp phòng tránh trước khi
tấn công xảy ra.
b) Phương thức thực hiện
z Bằng các thiết bị phần cứng:
z Các thiết bị bắt sóng wifi để tóm những gói tin
được truyền trong vùng phủ sóng,
z Các chương trình phần mềm :
z Chương trình packet sniff nhằm bắt các gói tin
được truyền qua lại trong mạng LAN.
1/18/2011 Bộ môn CNTT - TMĐT 8
c) Các kiểu tấn công thụ động
z Nghe trộm đường truyền
z Kẻ nghe lén sẽ bằng một cách nào đó xen
ngang được quá trình truyền thông điệp giữa
máy gửi và máy nhận, qua đó có thể rút ra
được những thông tin quan trọng
z Một số phương pháp
z Bắt gói tin trong mạng Wifi
z Bắt thông điệp trong mạng quảng bá
z Đánh cắp password
z Xem lén thư điện tử
1/18/2011 Bộ môn CNTT - TMĐT 9
Minh họa việc nghe trộm
Dữ liệu truyền từ Bob -> Alice
Darth nghe trộm được nhưng không thay đổi dữ liệu
Biện pháp phòng chống?
z Bảo mật đường truyền:
z Sử dụng các giao thức: SSL, SET, WEP, …
z Mã hóa dữ liệu
z Sử dụng các phương pháp mã hóa
z Cơ chế dùng chữ ký điện tử
Ví dụ về mã hóa dữ liệu
Người gửi
Mã hóa
1/18/2011 Bộ môn CNTT - TMĐT 12
Kênh thông tin Giải mã Người nhận
Kẻ tấn công
Lấy được dữ liệu nhưng không hiểu
Bài giảng An toàn dữ liệu
Nguyễn Thị Hội - Bộ môn CNTT TMĐT 3
c) Các kiểu tấn công thụ động (t)
z Phân tích lưu lượng
z Dựa vào sự thay đổi của lưu lượng của luồng
thông tin truyền trên mạng nhằm xác định được
một số thông tin có ích.
ấz R t hay dùng trong do thám
z Sử dụng khi dữ liệu đã bị mã hóa mà không
giải mã được
1/18/2011 Bộ môn CNTT - TMĐT 13
Phân tích lưu lượng
Dữ liệu truyền từ Bob -> Alice (Dữ liệu đã mã hóa)
Darth lấy được dữ liệu nhưng không hiểu -> phân
tích luồng thông tin để phán đoán
Ngăn chặn?
z Độn thêm dữ liệu thừa
z Lưu lượng thông tin k