Chương 6: An toàn trong thương mại điện tử

1Chương 6: An toàn trong TMĐT ThS. Trần Trí Dũng 18 September 2011 https://sites.google.com/site/dungtrantri/ 2Nội dung 1. Các vấn đề cơ bản 2. Các lọai đe dọa và tấn công TMĐT 3. Một số giải pháp đảm bảo an tòan TMĐT 18 September 2011 https://sites.google.com/site/dungtrantri/ 31. Các vấn đề cơ bản  Các tổ chức an ninh TMĐT – Học viện an ninh máy tính - CSI (Computer Security Institute): Tổ chức phi lợi nhuận, có trụ sở tại thành phố San Francisco, bang California Cung cấp thông tin và hỗ trợ đào tạo về máy tính, an ninh mạng,… 18 September 2011 https://sites.google.com/site/dungtrantri/ 41. Các vấn đề cơ bản (tt)  Các tổ chức an ninh TMĐT (tt) – Nhóm ứng cứu khẩn cấp về máy tính – CERT (Computer Emercency Response Team): Thuộc trường ĐH Carnegie Mellon Theo dõi, phân tích và đưa ra các giải pháp an ninh máy tính. 18 September 2011 https://sites.google.com/site/dungtrantri/ 51. Các vấn đề cơ bản (tt)  Các mức độ quan tâm về an ninh TMĐT: – Mức 1: Người dùng internet & DN nhỏ – Mức 2: Doanh nghiệp lớn – Mức 3: CSHT & các ngành công nghiệp chính yếu – Mức 4: Cấp độ quốc gia – Mức 5: Cấp độ tòan cầu 18 September 2011 https://sites.google.com/site/dungtrantri/ 61. Các vấn đề cơ bản (tt)  Quan điểm của các bên tham gia về an tòan TMĐT: – Khách hàng và người sử dụng internet – Các doanh nghiệp (các công ty dot-com) – Quan điểm của cả 2 bên 18 September 2011 https://sites.google.com/site/dungtrantri/ 71. Các vấn đề cơ bản (tt)  Các khía cạnh an tòan TMĐT – Các khía cạnh quan trọng trong an tòan TMĐT là:  Tính bảo mật (confidentiality)  Tính tòan vẹn (integrity)  Tính sẵn sàng (availability)  Tính không chối bỏ (nonrepudiation) 18 September 2011 https://sites.google.com/site/dungtrantri/ 81. Các vấn đề cơ bản (tt)  Các khía cạnh an tòan TMĐT (tt) – Các thuật ngữ:  Tính xác thực (authentication)  Trao quyền (authorization) Chứng thực số 18 September 2011 https://sites.google.com/site/dungtrantri/ 92. Các đe dọa và tấn công TMĐT  Các lọai tấn công không mang tính kỹ thuật (non-technical attacks)  Các lọai tấn công mang tính kỹ thuật (technical attacks): – Tấn công từ chối dịch vụ DoS – Các đọan mã nguy hiểm. 18 September 2011 https://sites.google.com/site/dungtrantri/ 10 2. Các đe dọa và tấn công TMĐT  Các lọai tấn công không mang tính kỹ thuật: – Mất an tòan TMĐT do con người – Những mánh khóe lừa đảo trên máy tính. Sử dụng các mánh khóe khiến người sử dụng để lộ những thông tin nhạy cảm hay thực hiện các hành động làm ảnh hưởng đến an ninh mạng, 18 September 2011 https://sites.google.com/site/dungtrantri/ 11 2. Các đe dọa và tấn công TMĐT  Các lọai tấn công mang tính kỹ thuật: – Dạng từ chối dịch vụ (Denail of service - DoS) – Các đoạn mã nguy hiểm (Malware - Malicious Software): Virus Sâu máy tính/internet (worm) Marco virus (marco worm)  Trojan horse 18 September 2011 https://sites.google.com/site/dungtrantri/ 12 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin  Đảm bảo an tòan mạng 18 September 2011 https://sites.google.com/site/dungtrantri/ 13 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin: – Kiểm sóat truy cập (access control) – Hệ thống khóa riêng (khóa đối xứng) – Hệ thống khóa công khai (PKI – Public Key Infrastructure): Chữ ký số (Digital Signature) Chứng thư số (Digital Certificate) và cơ quan chứng thực (CA – Certificate Authority) 18 September 2011 https://sites.google.com/site/dungtrantri/ 14 3. Giải pháp đảm bảo an tòan trong TMĐT  Hệ thống khóa riêng (khóa đối xứng) Bản rõ Mã hoá Giải mã Bản rõBản mờ Khoá bi mật Khoá bí mật Kênh truyền tin Bob Alice 18 September 2011 https://sites.google.com/site/dungtrantri/ 15 3. Giải pháp đảm bảo an tòan trong TMĐT  Hệ thống công khai (khóa bất đối xứng) Bản rõ Mã hoá Giải mã Bản rõBản mờ Khoá công khai của Alice Khoá riêng của Alice Kênh truyền tin Bob Alice 18 September 2011 https://sites.google.com/site/dungtrantri/ 16 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt): – Chữ ký số (digital signature): Các ký tự, con số, biểu tượng, vân tay, vân mắt (được số hóa) được lưu dưới dạng các tập tin máy tính. Họat động trên nguyên tắt khóa bất đối xứng. 18 September 2011 https://sites.google.com/site/dungtrantri/ 17 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt): – Chứng thư số (digital certificate):  Là bằng chứng nhận một cá nhân/tổ chức nắm giữ hợp pháp cặp khóa công khai và khóa riêng,  Là thông tin đính kèm cho biết các thông tin nhận dạng website (để chứng tỏ website đó tin cậy), hoặc tác giả phần mềm xác định (không có spyware),  Nội dung của chứng thư số thông thường bao gồm: tên người sở hữu, ngày hiệu lực, bản sao khóa công khai, chữ ký số, tên miền website sở hữu,… 18 September 2011 https://sites.google.com/site/dungtrantri/ 18 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt): – Chứng thư số (digital certificate): 18 September 2011 https://sites.google.com/site/dungtrantri/ 19 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt): – Cơ quan chứng thực (CA – Certificate Authority): Cơ quan độc lập có uy tín, công nghệ, được ủy quyền cung cấp dịch vụ chứng thực chữ ký số, Ở Việt Nam: VNPT, Bkis, FPT, Viettel và NacenComm SCT. 18 September 2011 https://sites.google.com/site/dungtrantri/ 20 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt) – Cơ chế họat động của chữ ký số - Mã hóa và giải mã sử dụng PKI: 18 September 2011 https://sites.google.com/site/dungtrantri/ 21 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt) – Cơ chế họat động của chữ ký số - Mã hóa và giải mã sử dụng PKI : 18 September 2011 https://sites.google.com/site/dungtrantri/ 22 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt) – Cơ chế họat động của chữ ký số: 18 September 2011 https://sites.google.com/site/dungtrantri/ 23 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp thông tin (tt) – Cơ chế họat động của chữ ký số: 18 September 2011 https://sites.google.com/site/dungtrantri/ 24 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp mạng: – Một số giải pháp bảo vệ mạng: An ninh mạng theo lớp Kiểm sóat quyền truy cập An ninh dựa trên việc phân vai trò Giám sát tránh tình trạng thiết lập rồi bỏ quên Quản lý lỗ hỏng an ninh (Patch management)  Thành lập đội phản ứng nhanh (IRT – Incident Respone Team). 18 September 2011 https://sites.google.com/site/dungtrantri/ 25 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp mạng (tt): – Tường lửa (Firewall): Nút chặn trên mạng (phần cứng và phần mềm) để ngăn cách mạng máy tính nội bộ và mạng máy tính bên ngòai (internet),  Thuật tóan của Firewall sẽ quyết định những gì được phép đi qua và những gì không được phép đi qua nhằm đảm bảo an ninh cho mạng. 18 September 2011 https://sites.google.com/site/dungtrantri/ 26 3. Giải pháp đảm bảo an tòan trong TMĐT  Đảm bảo an tòan giao tiếp mạng (tt): – Tường lửa (Firewall): 18 September 2011 https://sites.google.com/site/dungtrantri/ 27 3. Giải pháp đảm bảo an tòan trong TMĐT  Một số sai lầm của các tổ chức trong vấn đề quản trị an tòan TMĐT: – Đánh giá thấp vai trò của thông tin – Chỉ tập trung vào an tòan nội bộ – Quản trị an tòan TMĐT bị động – Không chú trọng đào tạo và huấn luyện NV thực hiện các biện pháp an tòan TMĐT – Coi vấn đề an tòan TMĐT là trách nhiệm của riêng bộ phận IT. 18 September 2011 https://sites.google.com/site/dungtrantri/ 28 3. Giải pháp đảm bảo an tòan trong TMĐT  Qui trình quản trị rủi ro an tòan TMĐT: – Xác định những mục tiêu cần bảo vệ: máy tính, dữ liệu, website, thông tin,… – Xác định những nguy cơ, rủi ro mà những mục tiêu này có thể gặp phải, – Thực hiện các giải pháp an tòan TMĐT tùy theo mức độ ưu tiên. 18 September 2011 https://sites.google.com/site/dungtrantri/ 29 The End 18 September 2011 https://sites.google.com/site/dungtrantri/