Các tổ chức an ninh TMĐT
– Học viện an ninh máy tính - CSI
(Computer Security Institute):
Tổ chức phi lợi nhuận, có trụ sở tại thành phố
San Francisco, bang California
Cung cấp thông tin và hỗ trợ đào tạo về máy
tính, an ninh mạng,
29 trang |
Chia sẻ: lylyngoc | Lượt xem: 1667 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Chương 6: An toàn trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1Chương 6: An toàn trong TMĐT
ThS. Trần Trí Dũng
18 September 2011 https://sites.google.com/site/dungtrantri/
2Nội dung
1. Các vấn đề cơ bản
2. Các lọai đe dọa và tấn công TMĐT
3. Một số giải pháp đảm bảo an tòan
TMĐT
18 September 2011 https://sites.google.com/site/dungtrantri/
31. Các vấn đề cơ bản
Các tổ chức an ninh TMĐT
– Học viện an ninh máy tính - CSI
(Computer Security Institute):
Tổ chức phi lợi nhuận, có trụ sở tại thành phố
San Francisco, bang California
Cung cấp thông tin và hỗ trợ đào tạo về máy
tính, an ninh mạng,…
18 September 2011 https://sites.google.com/site/dungtrantri/
41. Các vấn đề cơ bản (tt)
Các tổ chức an ninh TMĐT (tt)
– Nhóm ứng cứu khẩn cấp về
máy tính – CERT (Computer
Emercency Response Team):
Thuộc trường ĐH Carnegie
Mellon
Theo dõi, phân tích và đưa ra các
giải pháp an ninh máy tính.
18 September 2011 https://sites.google.com/site/dungtrantri/
51. Các vấn đề cơ bản (tt)
Các mức độ quan tâm về an ninh
TMĐT:
– Mức 1: Người dùng internet & DN nhỏ
– Mức 2: Doanh nghiệp lớn
– Mức 3: CSHT & các ngành công nghiệp
chính yếu
– Mức 4: Cấp độ quốc gia
– Mức 5: Cấp độ tòan cầu
18 September 2011 https://sites.google.com/site/dungtrantri/
61. Các vấn đề cơ bản (tt)
Quan điểm của các bên tham gia về an
tòan TMĐT:
– Khách hàng và người sử dụng internet
– Các doanh nghiệp (các công ty dot-com)
– Quan điểm của cả 2 bên
18 September 2011 https://sites.google.com/site/dungtrantri/
71. Các vấn đề cơ bản (tt)
Các khía cạnh an tòan TMĐT
– Các khía cạnh quan trọng trong an tòan
TMĐT là:
Tính bảo mật (confidentiality)
Tính tòan vẹn (integrity)
Tính sẵn sàng (availability)
Tính không chối bỏ (nonrepudiation)
18 September 2011 https://sites.google.com/site/dungtrantri/
81. Các vấn đề cơ bản (tt)
Các khía cạnh an tòan TMĐT (tt)
– Các thuật ngữ:
Tính xác thực (authentication)
Trao quyền (authorization)
Chứng thực số
18 September 2011 https://sites.google.com/site/dungtrantri/
92. Các đe dọa và tấn công TMĐT
Các lọai tấn công không mang tính kỹ
thuật (non-technical attacks)
Các lọai tấn công mang tính kỹ thuật
(technical attacks):
– Tấn công từ chối dịch vụ DoS
– Các đọan mã nguy hiểm.
18 September 2011 https://sites.google.com/site/dungtrantri/
10
2. Các đe dọa và tấn công TMĐT
Các lọai tấn công không mang tính kỹ
thuật:
– Mất an tòan TMĐT do con người
– Những mánh khóe lừa đảo trên máy tính.
Sử dụng các mánh khóe khiến người sử dụng
để lộ những thông tin nhạy cảm hay thực hiện
các hành động làm ảnh hưởng đến an ninh
mạng,
18 September 2011 https://sites.google.com/site/dungtrantri/
11
2. Các đe dọa và tấn công TMĐT
Các lọai tấn công mang tính kỹ thuật:
– Dạng từ chối dịch vụ (Denail of service -
DoS)
– Các đoạn mã nguy hiểm (Malware -
Malicious Software):
Virus
Sâu máy tính/internet (worm)
Marco virus (marco worm)
Trojan horse
18 September 2011 https://sites.google.com/site/dungtrantri/
12
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin
Đảm bảo an tòan mạng
18 September 2011 https://sites.google.com/site/dungtrantri/
13
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin:
– Kiểm sóat truy cập (access control)
– Hệ thống khóa riêng (khóa đối xứng)
– Hệ thống khóa công khai (PKI – Public
Key Infrastructure):
Chữ ký số (Digital Signature)
Chứng thư số (Digital Certificate) và cơ quan
chứng thực (CA – Certificate Authority)
18 September 2011 https://sites.google.com/site/dungtrantri/
14
3. Giải pháp đảm bảo an tòan trong
TMĐT
Hệ thống khóa riêng (khóa đối xứng)
Bản rõ Mã hoá Giải mã Bản rõBản mờ
Khoá bi mật Khoá bí mật
Kênh
truyền
tin
Bob Alice
18 September 2011 https://sites.google.com/site/dungtrantri/
15
3. Giải pháp đảm bảo an tòan trong
TMĐT
Hệ thống công khai (khóa bất đối xứng)
Bản rõ Mã hoá Giải mã Bản rõBản mờ
Khoá công khai
của Alice
Khoá riêng
của Alice
Kênh
truyền
tin
Bob Alice
18 September 2011 https://sites.google.com/site/dungtrantri/
16
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt):
– Chữ ký số (digital signature):
Các ký tự, con số, biểu tượng, vân tay, vân
mắt (được số hóa) được lưu dưới dạng các
tập tin máy tính.
Họat động trên nguyên tắt khóa bất đối xứng.
18 September 2011 https://sites.google.com/site/dungtrantri/
17
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt):
– Chứng thư số (digital certificate):
Là bằng chứng nhận một cá nhân/tổ chức nắm giữ hợp
pháp cặp khóa công khai và khóa riêng,
Là thông tin đính kèm cho biết các thông tin nhận dạng
website (để chứng tỏ website đó tin cậy), hoặc tác giả
phần mềm xác định (không có spyware),
Nội dung của chứng thư số thông thường bao gồm: tên
người sở hữu, ngày hiệu lực, bản sao khóa công khai,
chữ ký số, tên miền website sở hữu,…
18 September 2011 https://sites.google.com/site/dungtrantri/
18
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt):
– Chứng thư số (digital certificate):
18 September 2011 https://sites.google.com/site/dungtrantri/
19
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt):
– Cơ quan chứng thực (CA – Certificate
Authority):
Cơ quan độc lập có uy tín, công nghệ, được
ủy quyền cung cấp dịch vụ chứng thực chữ ký
số,
Ở Việt Nam: VNPT, Bkis, FPT, Viettel và
NacenComm SCT.
18 September 2011 https://sites.google.com/site/dungtrantri/
20
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt)
– Cơ chế họat động của chữ ký số - Mã hóa và giải
mã sử dụng PKI:
18 September 2011 https://sites.google.com/site/dungtrantri/
21
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt)
– Cơ chế họat động của chữ ký số - Mã hóa và giải
mã sử dụng PKI :
18 September 2011 https://sites.google.com/site/dungtrantri/
22
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp thông tin (tt)
– Cơ chế họat động của chữ ký số:
18 September 2011 https://sites.google.com/site/dungtrantri/
23
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an
tòan giao tiếp
thông tin (tt)
– Cơ chế họat
động của
chữ ký số:
18 September 2011 https://sites.google.com/site/dungtrantri/
24
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp mạng:
– Một số giải pháp bảo vệ mạng:
An ninh mạng theo lớp
Kiểm sóat quyền truy cập
An ninh dựa trên việc phân vai trò
Giám sát tránh tình trạng thiết lập rồi bỏ quên
Quản lý lỗ hỏng an ninh (Patch management)
Thành lập đội phản ứng nhanh (IRT – Incident
Respone Team).
18 September 2011 https://sites.google.com/site/dungtrantri/
25
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an tòan giao tiếp mạng (tt):
– Tường lửa (Firewall):
Nút chặn trên mạng (phần cứng và phần mềm)
để ngăn cách mạng máy tính nội bộ và mạng
máy tính bên ngòai (internet),
Thuật tóan của Firewall sẽ quyết định những
gì được phép đi qua và những gì không được
phép đi qua nhằm đảm bảo an ninh cho mạng.
18 September 2011 https://sites.google.com/site/dungtrantri/
26
3. Giải pháp đảm bảo an tòan trong
TMĐT
Đảm bảo an
tòan giao
tiếp mạng
(tt):
– Tường lửa
(Firewall):
18 September 2011 https://sites.google.com/site/dungtrantri/
27
3. Giải pháp đảm bảo an tòan trong
TMĐT
Một số sai lầm của các tổ chức trong vấn
đề quản trị an tòan TMĐT:
– Đánh giá thấp vai trò của thông tin
– Chỉ tập trung vào an tòan nội bộ
– Quản trị an tòan TMĐT bị động
– Không chú trọng đào tạo và huấn luyện NV
thực hiện các biện pháp an tòan TMĐT
– Coi vấn đề an tòan TMĐT là trách nhiệm của
riêng bộ phận IT.
18 September 2011 https://sites.google.com/site/dungtrantri/
28
3. Giải pháp đảm bảo an tòan trong
TMĐT
Qui trình quản trị rủi ro an tòan TMĐT:
– Xác định những mục tiêu cần bảo vệ: máy
tính, dữ liệu, website, thông tin,…
– Xác định những nguy cơ, rủi ro mà những
mục tiêu này có thể gặp phải,
– Thực hiện các giải pháp an tòan TMĐT tùy
theo mức độ ưu tiên.
18 September 2011 https://sites.google.com/site/dungtrantri/
29
The End
18 September 2011 https://sites.google.com/site/dungtrantri/