Mô tả các khía cạnh bảo mật trong TMĐT
Các công cụ bảo mật các kênh truyền thông
Các công cụ bảo vệ mạng, máy chủ và máy
khách
Thảo luận về tầm quan trọng của cách chính
sách, thủ tục và luật lệ để tăng tính an toàn
53 trang |
Chia sẻ: lylyngoc | Lượt xem: 2289 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Chương 5 Bảo mật trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Thương mại điện tử
Chương 5
Bảo mật trong thương mại điện tử
Thương mại điện tử 1
Mục tiêu
Mô tả các khía cạnh bảo mật trong TMĐT
Các công cụ bảo mật các kênh truyền thông
Các công cụ bảo vệ mạng, máy chủ và máy
khách
Thảo luận về tầm quan trọng của cách chính
sách, thủ tục và luật lệ để tăng tính an toàn
Thương mại điện tử 2
Nội dung
1. Môi trường bảo mật trong thương mại điện tử
2. Những mối đe dọa về bảo mật trong môi trường
thương mại điện tử
3. Những giải pháp kỹ thuật
4. Những chính sách, thủ tục và pháp luật
Thương mại điện tử 3
1. Môi trường bảo mật trong TMĐT
Thương mại điện tử 4
Figure 5.4, Page 253
Các vấn đề trong bảo mật
Toàn vẹn thông tin (Integrity): khả năng đảm
bảo an toàn thông tin trong quá trình truyền-nhận.
Chống thoái thác (Nonrepudiation): khả năng
đảm bảo một thỏa thuận, một hành động trên
Internet không bị các bên tham gia từ chối.
Xác thực người dùng (Authenticity): chứng
thực rằng một người hay một hành động là đáng
tin cậy.
Thương mại điện tử 5
Các vấn đề trong bảo mật(tt)
Tính bí mật (Confidentiality): đảm bảo dữ liệu chỉ
hiển thị với người được phép xem
Tính riêng tư (Privacy): khả năng kiểm soát
thông tin mà khách hàng đã cung cấp (vd: e-mail,
address, credit card…)
Tính sẵn sàng (Availability): đảm bảo khả năng
hoạt động của web site
Thương mại điện tử 6
Authentication vs Authorization
Authentication: Who goes there?
Something you know
Something you have
Something you are
Authorization: Are you allowed to do that?
Thương mại điện tử 7
Ảnh hưởng của bảo mật
Bảo mật vs Tính tiện dụng.
Bảo mật vs Tốc độ.
Bảo mật vs Mong muốn hành động nặc danh của
khách hàng.
Thương mại điện tử 8
Một số vấn đề xác thực khác
Xác thực đa yếu tố (Multi-factor authentication)
Ví dụ: 2FA, 3FA,…
Thương mại điện tử 9
Những mối đe dọa
Đối tượng tấn công:
Client.
Server.
Kênh truyền thông (vd: internet, mạng nội bộ…).
Thương mại điện tử 10
Những mối đe dọa
Mã độc hại (malicious code)
Lừa đảo (Phishing)
Hacking và cybervandalism
Gian lận thẻ tín dụng (Credit card fraud/theft)
Spoofing (pharming)
Tấn công từ chối dịch vụ (Denial of service attacks)
Nghe lén (Sniffing)
Insider jobs
Các phần mềm ở server và client
Thương mại điện tử 11
Một giao
dịch
TMĐT
điển hình
Thương mại điện tử 12
SOURCE: Boncella, 2000.
Vulnerable Points in an E-commerce
Environment
Figure 5.4, Page 274
Copyright © 2011 Pearson Education,
Inc. Slide 5-13
SOURCE: Boncella, 2000.
Mã độc hại (Malicious code)
Viruses: chương trình máy tính có khả năng
nhân bản và lây nhiễm sang các file khác trong
cùng máy tính.
Worms: được thiết kế để lây nhiễm giữa các máy
tính trong cùng một mạng.
Trojan horse: mã độc hại ngụy trang như một
chương trình bình thường.
Bots: biến máy bị lây nhiễm thành một máy trạm,
chịu sự điều khiển của bot-herder.
Thương mại điện tử 14
Lừa đảo (Phishing)
Những hành động mạo danh đánh lừa người
dùng cung cấp thông tin cá nhân (số thẻ tín dụng,
mật mã…)
Hình thức phổ biến: e-mail scam letter.
Là một trong những hình thức lừa đảo phát triển
nhanh nhất.
Thương mại điện tử 15
Hacking và Cybervandalism
Hacker: cá nhân tiến hành truy xuất trái phép vào
hệ thống máy tính.
Cracker: hacker có mục đích phi pháp.
Cybervandalism: hành động phá hoại, thay đổi
giao diện một web site.
Phân loại hacker:
White hats
Black hats
Grey hats
Thương mại điện tử 16
Gian lận thẻ tín dụng
Nguy cơ mất thông tin về thẻ tín dụng ngăn cản
sự phát triển của thương mại trực tuyến.
Hacker lấy cắp thông tin về thẻ tín dụng và các
thông tin khác của khách hàng để tiến hành giao
dịch bất hợp pháp.
Giải pháp: xây dựng cơ chế xác thực mới.
Thương mại điện tử 17
Spoofing (Pharming)
Đánh lừa bằng cách sử dụng địa chỉ e-mail giả
hay giả mạo là một người nào đó.
albert@gmail.com vs aIbert@gmail.com (font Calibri)
albert@gmail.com vs aIbert@gmail.com (font
Tahoma)
Social engineering techniques.
Nguy cơ: mất thông tin cá nhân (username,
password, credit card…).
Thương mại điện tử 18
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (Denial of service
attack): tấn công làm quá tải tài nguyên của hệ
thống hệ thống không có khả năng đáp ứng
những dịch vụ khác cho người dùng bình thường.
Tấn công từ chối dịch vụ phân tán (Distributed
denial of service (dDoS) attack): tấn công từ một
hệ thống các máy tính cực lớn trên Internet, và
thường dựa vào các dịch vụ có sẵn trên các máy
tính trong mạng botnet.
Thương mại điện tử 19
Những mối đe dọa
Sniffing: kiểu phần mềm nghe lén, thu thập thông
tin lưu chuyển trong một mạng máy tính; cho
phép hacker lấy cắp thông tin ở bất cứ nơi nào
trong mạng.
Insider jobs.
Phần mềm, chương trình được sử dụng ở client
và server: chứa những lỗi tiềm tàng có thể bị
hacker khai thác (vd: IIS, IE…).
Thương mại điện tử 20
Những giải pháp kỹ thuật
Bảo vệ việc truyền thông trên Internet: mã hóa
thông tin.
Bảo mật các kênh truyền dữ liệu: SSL, S-HTTP,
VPN.
Bảo vệ mạng nội bộ: firewall, proxy…
Bảo vệ server & client: IDS, Anti-virues…
Thương mại điện tử 21
Các công cụ
Thương mại điện tử 22
Một số khái niệm trong Cryptography
Plaintext (original data), ciphertext (encrypted
data)
Cryptosystems = encryption + decryption
algorithms
Encryption, decryption process needs keys
Symmetric (shared-/secret-key) cryptosystem: the
same key for (en/de)cryption algorithms
Asymmetric (public-key) cryptosystem: public &
private keys
Thương mại điện tử 23
Mã hóa (Encryption)
Mã hóa: quá trình chuyển đổi dữ liệu dạng văn
bản (plain-text) thành dữ liệu mã hóa (cipher text).
Mục đích: bảo đảm an toàn thông tin trong lưu trữ
và truyền tải.
Cung cấp 4 trong 6 yếu tố bảo mật của TMĐT:
Toàn vẹn (Message integrity).
Chống thoái thác (Nonrepudiation).
Xác thực (Authentication).
Tính bí mật (Confidentiality).
Thương mại điện tử 24
Mã hóa khoá đối xứng
Cả người gửi và người nhận dùng chung 1 khóa
để mã hóa và giải mã thông điệp.
Đòi hỏi phải có một bộ khóa riêng cho mỗi giao
dịch. Vd: nhóm 4 người cần 6 khóa.
Hạn chế: khóa phải được bảo mật trong khi phân
phối và trong khi dùng.
Data Encryption Standard (DES): thuật toán mã
hóa đối xứng được sử dụng phổ biến nhất hiện
nay. Sử dụng khóa có chiều dài 56 bits. Các thuật
toán khác (3-DES, AES…) sử dụng khóa dài 128
đến 2048 bits.
Thương mại điện tử 25
Mã hóa khóa công khai
Giải quyết được vấn đề phân phối khóa bí mật
của mã hóa đối xứng.
Sử dụng 2 khóa có liên quan tới nhau:
Khóa công khai (public key) : được phân phối rộng
rãi.
Khóa riêng (private key): được giữ bí mật.
Một khóa có thể giải mã thông điệp được mã hóa
bởi khóa kia.
Trong thực tế, thường dùng public key để mã
hóa, private key để giải mã.
Thương mại điện tử 26
Mã hóa khóa công khai
Thương mại điện tử 27
Mã hóa khóa công khai: Chữ ký số và
Chuỗi băm (Hash digests)
Áp dụng thuật toán băm trong mã hóa sẽ tạo
thành chuỗi băm mà người nhận có thể dùng để
kiểm tra tính toàn vẹn của dữ liệu.
Mã hóa lần hai với khóa riêng của người gửi tạo
thành chữ ký bảo đảm tính xác thực và tính
chống thoái thác.
Thương mại điện tử 28
Hàm băm (Hash function)
Compression
Efficiency
One-way
Weak collision resistance
Strong collision resistance
Ví dụ: MD5, SHA-1 cho x=ecommerce
md5(x)->db96ff26706a1a3d595ecb67266c2d94
Sha1(x)-> 444c1efe975e9babde869520762c42efcacf1deb
Thương mại điện tử 29
Mã hóa khóa công khai: Chữ ký số và
Chuỗi băm (Hash digests)
Thương mại điện tử 30
Phong bì số (Digital envelopes)
Mã hóa đối xứng: xử lý nhanh.
Mã hóa khóa công khai: an toàn hơn nhưng khối
lượng tính toán nhiều, mất nhiều thời gian xử lý.
Phong bì số:
Bước 1: Sử dụng mã hóa khóa công khai để mã
hóa và trao đổi khóa bí mật (symmetric key).
Bước 2: Dùng mã hóa đối xứng với khóa đã thống
nhất để mã hóa tài liệu.
Thương mại điện tử 31
Phong bì số (Digital envelopes)
Thương mại điện tử 32
Chữ ký điện tử (electronic signature)
“Electronic signature” means data in electronic
form in, affixed to or logically associated with, a
data message, which may be used to identify the
signatory in relation to the data message and to
indicate the sinatory‟s approval of the information
contained in the data message;
(UNCITRAL Model Law on Electronic Signatures with Guide to
Enactment 2001)
Thương mại điện tử 33
Chữ ký điện tử (tt)
The term „„electronic signature‟‟ means an electronic
sound, symbol, or process, attached to or logically
associated with a contract or other record and
executed or adopted by a person with the intent to
sign the record.
(Electronic Signatures in Global and National Commerce Act - 15
U.S.C. 7001)
Thương mại điện tử 34
Chữ ký số (Digital Signature)
Chữ ký số (digital signature) là một dạng chữ ký
điện tử.
Thương mại điện tử 35
Chữ ký số
"Chữ ký số" là một dạng chữ ký điện tử được tạo
ra bằng sự biến đổi một thông điệp dữ liệu sử
dụng hệ thống mật mã không đối xứng theo đó
người có được thông điệp dữ liệu ban đầu và
khoá công khai của người ký có thể xác định
được chính xác:
a) Việc biến đổi nêu trên được tạo ra bằng đúng
khoá bí mật tương ứng với khoá công khai trong
cùng một cặp khóa;
b) Sự toàn vẹn nội dung của thông điệp dữ liệu kể
từ khi thực hiện việc biến đổi nêu trên.
(26/2007/NĐ-CP - Quy định chi tiết thi hành Luật Giao dịch điện tử
về chữ ký số và dịch vụ chứng thực chữ ký số )
Thương mại điện tử 36
Chứng thư số (Digital Certificate)
Chứng thư số là một tài liệu số (digital document)
được cấp phát một cơ quan thứ ba tin cậy được
biết đến như là CA (certification authority)
Bao gồm:
Tên chủ thể hay tên công ty.
Khóa công khai của chủ thể hay công ty.
Số serial của chứng thư số.
Ngày cấp, ngày hết hạn.
Chữ ký số của CA
Những thông tin nhận dạng khác.
Có thể được sử dụng để kiểm tra một khóa công
khai nào đó thuộc về ai
Thương mại điện tử 37
Quản lí
chứng
thư số
trên trình
duyệt
Thương mại điện tử 38
CA
CA là tổ chức phát hành các chứng thứ số
Ví dụ: VeriSign, VNPT, BKIS, Viettel, Nacencom,
FPT-FIS
Thương mại điện tử 39
Hạ tầng khóa công khai
(PKI – Public Key Infrastructure)
Tập hợp tất cả các tác nhân (phần cứng, phần
mềm, con người, chính sách, thủ tục) cần thiết
cho việc quản lý, lưu trữ, phân phối, thu hồi
Chứng thư số
Thương mại điện tử 40
Hạ tầng khóa công khai (tt)
CA (Certification Authority): nhà cung cấp chứng thư
số chuyên cung cấp và xác minh Chứng thư số
RA (Registration Authority): nhà quản lý đăng ký
đóng vai trò như người thẩm tra cho CA trước khi
một chứng thư số được cấp phát tới người yêu cầu
CR (Certificate Repository): kho lưu trữ chứng thư số
lưu trữ các chứng thư số phục vụ nhu cầu tra cứu,
lấy khoá công khai của đối tác cần thực hiện giao
dịch.
Con người: CAO (Certificate Authority Operator),
RAO (Register Authority Operator), Manager, User
Thương mại điện tử 41
Sử dụng Chứng thư số
Thương mại điện tử 42
Giới hạn của mã hóa
PKI được áp dụng chủ yếu cho việc bảo vệ dữ
liệu trong trao đổi.
PKI không có tác dụng với thành viên nội bộ.
Việc bảo vệ khóa riêng tư (private key) đối với cá
nhân có thể không an toàn.
Không đảm bảo máy tính của bên bán (merchant)
là an toàn
Tổ chức tự chọn lựa CA cho riêng mình
Thương mại điện tử 43
Bảo vệ kênh truyền thông
Secure Socket Layer (SSL): giao thức nhằm thiết
lập các phiên làm việc an toàn cho việc trao đổi
dữ liệu trong mạng Internet.
S-HTTP: cung cấp giao thức truyền nhận an toàn
cho các tài liệu trong mạng Internet (thiết kế dùng
chung với HTTP).
Mạng riêng ảo (Virtual Private Networks - VPNs):
cho phép một máy tính trong Internet có thể truy
cập vào mạng nội bộ một cách an toàn.
Thương mại điện tử 44
S-HTTP
Thương mại điện tử 45
Bảo mật một phiên làm việc với SSL
Thương mại điện tử 46
Bảo vệ mạng nội bộ: Proxy và Firewall
Tường lửa (Firewall):
Phần cứng hay phần mềm.
Lọc những thông tin ra vào mạng dựa theo chính
sách bảo mật (security policy).
Bao gồm:
Packet filters.
Application gateways.
Proxy server: là một ứng dụng ở server quản lý
việc truyền thông giữa các máy trong mạng với
Internet.
Thương mại điện tử 47
Firewalls and Proxy Servers
Figure 5.13, Page 301
Bảo vệ Clients và Servers
Kiểm soát hoạt động của hệ thống: cơ chế xác
thực và kiểm soát truy cập.
Phần mềm diệt virus: phương pháp đơn giản và
tiết kiệm nhất để bảo vệ an toàn cho các máy tính
trong mạng.
Thương mại điện tử 49
Chiến lược bảo mật: Chính sách quản lý
Các bước xây dựng một chiến lược bảo mật:
Đánh giá rủi ro: đánh giá những rủi ro tiềm ẩn,
những điểm yếu hại của hệ thống.
Xây dựng chính sách bảo mật: liệt kê các rủi ro
thông tin, mức rủi ro chấp nhận được; xác định
cách thức để đạt mục tiêu.
Xây dựng kế hoạch triển khai: xác định các bước
cần thiết để đạt được mục tiêu bảo mật.
Triển khai kế hoạch: tập huấn người dùng, chính
sách xác thực và kiểm soát truy cập…
Kiểm tra: kiểm tra các thủ tục và các bước xây
dựng.
Thương mại điện tử 50
Xây dựng chiến lược bảo mật
Thương mại điện tử 51
Luật pháp và chính sách của chính phủ
Quy định trách nhiệm, quyền lợi của doanh
nghiệp và người tiêu dùng.
Cơ sở pháp lý để doanh nghiệp và người tiêu
dùng giải quyết các vấn đề phát sinh.
Định nghĩa thế nào là hành vi trái pháp luật.
Đưa ra cơ sở pháp lý cho việc xác định, truy tìm
và xử lý đối tượng phạm tội.
Thương mại điện tử 52
Câu hỏi
?
?
?
Thương mại điện tử 54