Chương 6: Bảo mật & an ninh trong thương mại điện tử
Các trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm bên trong Thông tin cá nhân được đảm bảo bí mật
Bạn đang xem trước 20 trang tài liệu Chương 6: Bảo mật & an ninh trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Th.S.Nguyễn
Thị
Bích
Trâm
Bichtrambmt@gmail.com
Yêu
cầu
đối
với
an
toàn
thương
mại
điện
tử
Các
vấn
đề
an
toàn
thương
mại
điện
tử
Các
đe
doạ
trong
môi
trường
thương
mại
điện
tử
Giải
pháp
bảo
an
trong
thương
mại
điện
tử
Dữ
liệu
Giải
pháp
công
nghệ
Chính
sách
và
thủ
tục
tổ
chức
Luật
&
các
tiêu
chuẩn
Từ
phía
người
sử
dụng
Website
truy
cập
là
xác
thực
và
hợp
pháp
Các
trang
web
và
các
mẫu
khai
thông
tin
không
chứa
đựng
các
đoạn
mã
nguy
hiểm
bên
trong
Thông
tin
cá
nhân
được
đảm
bảo
bí
mật
Từ
phía
tổ
chức
Máy
chủ,
nội
dung
và
các
dịch
vụ
cung
cấp
trên
website
không
bị
phá
vỡ
Hoạt
động
kinh
doanh
diễn
ra
đều
đặn,
không
bị
làm
gián
đoạn
Từ
hai
phía
Thông
tin
trao
đổi
giữa
hai
bên
không
bị
biến
đổi
Thông
tin
trao
đôi
giữa
người
sử
dụng
và
tổ
chức,
không
bị
bên
thứ
ba
“nghe
trộm”
Tính
toàn
vẹn:
Dữ
liệu/thông
tin
không
bị
thay
đổi
khi
lưu
trữ
hoặc
chuyển
phát.
Không
phủ
định:
Các
bên
tham
gia
giao
dịch
không
phủ
nhận
các
hành
động
trực
tuyến
mà
họ
đã
thực
hiện
Tính
xác
thực:
Khả
năng
nhận
biết
các
đối
tác
tham
gia
giao
dịch
trực
tuyến
Cấp
phép:
Xác
định
quyền
truy
cập
các
tài
nguyên
của
tổ
chức
• Tập
hợp
thông
tin
về
quá
trình
truy
cập
của
người
sử
dụng
Kiểm
soát
• Ngoài
những
người
có
quyền,
không
ai
có
thể
xem
các
thông
điệp
và
truy
cập
những
dữ
liệu
có
giá
trị
Tính
tin
cậy
• Khả
năng
kiểm
soát
việc
sử
dụng
các
thông
tin
cá
nhân
của
khách
hàng
Tính
riêng
tư
• Các
chức
năng
của
một
website
thương
mại
điện
tử
được
thực
hiện
đúng
như
mong
đợi
Tính
ích
lợi
¡ Mã
độc
¡ Chương
trình
không
mong
muốn
(potentially
unwanted
programs
-‐
PUPS)
¡ Phishing
¡ Tin
tặc
(hacker)
và
các
chương
trình
phá
hoại
¡ Tấn
công
từ
chối
phục
vụ
(Denial
of
Service
–
DOS)
¡ Tấn
công
từ
chối
phục
vụ
phân
tán
(Distributed
Denial
of
Service
–
DDOS)
¡ …
• Một
đoạn
mã
phần
mềm
tự
xâm
nhập
vào
một
máy
chủ,
bao
gồm
cả
hệ
điều
hành,
để
nhân
lên;
nó
yêu
cầu
các
chương
trình
của
máy
chủ
khi
chạy
phải
kích
hoạt
nó
Virus
• Một
chương
trình
phần
mềm
được
chạy
một
cách
độc
lập,
chi
phối
nhiều
tài
nguyên
của
máy
chủ
cho
nó
và
nó
có
khả
năng
nhân
giống
tới
các
máy
khác
Sâu
máy
tính
(worm)
• Một
chương
trình
xuất
hiện
với
những
chức
năng
hữu
dụng
nhưng
nó
bao
gồm
các
chức
năng
ẩn
có
các
nguy
cơ
về
an
ninh
Trojan
horse
• 1
loại
mã
độc
có
thể
cài
trên
máy
tính
khi
kết
nối
internet,
sau
khi
kết
nối
nó
sẽ
phản
hồi
với
những
yêu
cầu
từ
bên
ngoài
của
hacker,
máy
tính
trở
thành
zombie
Bots
Unikey.org
bị
hacker
kiểm
soát
và
chèn
mã
độc
vào
link
tải
phần
mềm
Vào
rạng
sáng
ngày
1/3,
t r a n g
w e b
h t t p : / /
unikey.org/
của
tác
giả
Phạm
Kim
Long
đã
bị
tin
tặc
kiểm
soát
và
chèn
mã
độc
chứa
Trojan
vào
link
tải
phần
mềm
Unikey.
Theo
tìm
hiểu,
tin
tặc
đã
thành
công
trong
việc
chuyển
hướng
link
tải
Unikey
về
một
địa
chỉ
giả
mạo
tại
Sourceorge.net.
Đồng
thời
hacker
cũng
tạo
một
project
t rùng
tên
với
Project
Unikey
Vietnamese
Input
Method
của
Phạm
Kim
Long
trên
trang
web
này.
Adware
• Một
dạng
phần
mềm
quảng
cáo
lén
lút
cài
đặt
vào
máy
tính
người
dùng
hoặc
cài
đặt
thông
qua
một
phần
mềm
miễn
phí
Spyware
• Là
phần
mềm
theo
dõi
những
hoạt
động
của
người
dùng
trên
máy
tính
¡ Là
một
hình
thức
gian
lận
để
có
những
thông
tin
nhạy
cảm
như
username,
password,
credit
card
…
bằng
cách
giả
mạo
như
là
một
thực
thể
đáng
tin
cậy
trong
các
giao
tiếp
trên
mạng.
¡
Quá
trình
giao
tiếp
thường
diễn
ra
tại
các
trang
mạng
xã
hội
nổi
tiếng,
các
trang
web
đấu
giá,
mua
bán
hàng
online…mà
đa
số
người
dùng
đều
không
cảnh
giác
với
nó.
¡ Phishing
sử
dụng
email
hoặc
tin
nhắn
tức
thời,
gửi
đến
người
dùng,
yêu
cầu
họ
cung
cấp
thông
tin
cần
thiết.
Người
dùng
vì
sự
chủ
quan
của
mình
đã
cung
cấp
thông
tin
cho
một
trang
web,
trông
thì
có
vẽ
hợp
pháp,
nhưng
lại
là
trang
web
giả
mạo
do
các
hacker
lập
nên.
Sự
thiếu
hiểu
biết
Nghệ
thuật
đánh
lừa
ảo
giác
Không
chú
ý
đến
những
chỉ
tiêu
an
toàn
¡ Hacker
là
người
có
thể
viết
hay
chỉnh
sửa
phần
mềm,
phần
cứng
máy
tính
bao
gồm
lập
trình,
quản
trị
và
bảo
mật.
Những
người
này
hiểu
rõ
hoạt
động
của
hệ
thống
máy
tính,
mạng
máy
tính
và
dùng
kiến
thức
của
bản
thân
để
làm
thay
đổi,
chỉnh
sửa
nó
với
nhiều
mục
đích
tốt
xấu
khác
nhau.
¡ Hack
là
hành
động
thâm
nhập
vào
phần
cứng
máy
tính,
phần
mềm
máy
tính
hay
mạng
máy
tính
để
thay
đổi
hệ
thống
đó.
Phân
loại
• Hacker
mũ
trắng
• Hacker
mũ
đen
• Hacker
mũ
xám
¡ Đường
dây
làm
giả
thẻ
ATM
do
Nguyễn
Anh
Tuấn
cầm
đầu
để
rút
được
số
tiền
khoảng
2,6
tỷ
đồng
¡ 235
website
của
Việt
Nam
(.vn)
bị
hacker
nước
ngoài
tấn
công.
Trong
đó
có
web
của
Bộ
Thương
mại
-‐
mot.gov.vn,
Bộ
Tài
nguyên
Môi
trường
-‐
ciren.gov.vn,
Bộ
Khoa
học
Công
nghệ
-‐
oss.gov.vn
…
¡ Nhóm
hacker
Việt
và
con
số
182
tỉ
đồng:
Vụ
việc
của
nhóm
hacker
Lê
Đăng
Khoa,
Nguyễn
Ngọc
Lâm,
Nguyễn
Ngọc
Thành
và
Nguyễn
Đình
Nghị,
năm
2010
thực
sự
chấn
động
cả
cộng
đồng
khi
4
kẻ
này
đã
thực
hiện
hành
vi
ăn
cắp
gần
6
triệu
bảng
Anh,
tương
đương
với
182
tỉ
đồng.
Loại
tấn
công
bằng
cách
gửi
một
số
lượng
lớn
truy
vấn
thông
tin
tới
máy
chủ
khiến
một
hệ
thống
máy
tính
hoặc
một
mạng
bị
quá
tải,
dẫn
tới
không
thể
cung
cấp
dịch
vụ
hoặc
phải
dừng
hoạt
động
không
thể
(hoặc
khó
có
thể)
truy
cập
từ
bên
ngoài
¡ Thông
tin
thẻ
tín
dụng
của
20
triệu
người,
tương
đương
gần
một
nửa
dân
số
Hàn
Quốc
đã
bị
đánh
cắp
và
bán
cho
các
công
ty
quảng
cáo.
Vụ
việc
đang
làm
rúng
động
dư
luận
nước
này
và
khiến
hàng
loạt
lãnh
đạo
ngân
hàng
bị
mất
chức.
¡ Theo
kênh
BBC,
thông
tin
thẻ
tín
dụng
bị
đánh
cắp
bởi
một
nhân
viên
máy
tính
làm
việc
cho
một
công
ty
có
tên
Cục
tín
dụng
Hàn
Quốc,
cơ
quan
chuyên
cung
cấp
điểm
tín
dụng.
¡ Sniffer
được
hiểu
đơn
giản
như
là
một
chương
trình
cố
gắng
nghe
ngóng
các
lưu
lượng
thông
tin
trên
một
hệ
thống
mạng.
¡ Là
một
công
cụ
giúp
cho
các
quản
trị
mạng
theo
dõi
và
bảo
trì
hệ
thống
mạng
¡ Theo
hướng
tiêu
cực
nó
có
thể
là
một
chương
trình
được
cài
vài
một
hệ
thống
mạng
máy
tính
với
mục
đích
đánh
hơi,
nghe
nén
các
thông
tin
trên
đoạn
mạng
này
¡ An
toàn
thông
tin
trên
mạng
xã
hội
¡ An
toàn
thông
tin
trên
nền
tảng
di
động
Đánh
giá
• Đánh
giá
các
rủi
ro
bằng
các
xác
định
các
tính
chất,
các
điểm
dễ
bị
tổn
thương
của
hệ
thống
và
những
đe
dọa
đối
với
các
điểm
này
Lên
kế
hoạch
• Xác
định
các
đe
dọa
• Xác
định
các
biện
pháp
xử
lý
cho
phù
hợp
Thực
hiện
• Lựa
chọn
công
nghệ
để
đối
phó
với
các
đe
doạ
Theo
dõi
/
Kết
luận
• Tình
trạng
hiện
thời
của
hệ
thống
• Các
mối
đe
doạ
mới
• Trình
độ
công
nghệ
hiện
tại
• Bổ
sung
thêm
danh
mục
các
hệ
thống
cần
bảo
vệ
¡ Điều
khiển
và
kiểm
soát
truy
cập
§ Các
hệ
thống
xác
thực
¡ Các
kỹ
thuật
mã
hoá
§ Mã
hoá
§ Chữ
ký
điện
tử
§ Chứng
thực
điện
tử
¡ Các
giao
thức
an
toàn
§ SSL,
SET,
TLS
¡ Bảo
vệ
hệ
thống
mạng
của
tổ
chức
§ Bức
tường
lửa
¡ Các
biện
pháp
bảo
vệ
hệ
thống
khách/chủ
§ Các
chương
trình
cảnh
báo
xâm
nhập
§ Anti
virus
Hệ
thống
nhận
dạng
các
bên
tham
gia
là
hợp
pháp
để
thực
hiện
giao
dịch,
xác
định
các
hành
động
của
họ
là
được
phép
thực
hiện
và
hạn
chế
những
hoạt
động
của
họ,
chỉ
cho
những
giao
dịch
cần
thiết
được
khởi
tạo
và
hoàn
thành
¡
Cơ
chế
điều
khiển
truy
nhập
§ Giới
hạn
các
hoạt
động
thực
hiện
bởi
việc
nhận
dạng
một
người
hay
một
nhóm
¡
Thiết
bị
(Passive
tokens)
§ Tokens
tạo
khoá
theo
thời
gian
thực
¡
Các
yếu
tố
điều
kiện
nhận
dạng
§ Mật
khẩu
§ Các
hệ
thống
sinh
trắc
học
Hệ
thống
nhận
dạng
để
xác
nhận
một
người
bằng
cách
đánh
giá
,so
sánh
các
đặc
tính
sinh
học
như
dấu
vân
tay,
mạch
máu
mắt,
đặc
điểm
mặt,
giọng
nói
hoặc
hành
vi
¡
Nhận
dạng
vân
tay
¡
Nhận
dạng
mạch
máu
mắt
¡
Nhận
dạng
giọng
nói
Mã
hoá
là
quá
trình
xáo
trộn
(mã
hóa)
một
tin
nhắn,
văn
bản
hay
các
tài
liệu
thành
văn
bản,
tài
liệu
dưới
dạng
mật
mã
để
bất
cứ
ai,
ngoài
người
gửi
và
người
nhận,
đều
không
thể
hoặc
khó
có
thể
đọc
Bản
gốc
hay
bản
rõ
(Plaintext)
Một
mẩu
tin/văn
bản
không
mã
hóa
và
con
người
có
thể
đọc
¡ Bản
mã
hoá
hay
bản
mờ
(Ciphertext)
Một
bản
gốc
sau
khi
đã
mã
hóa
chỉ
máy
tính
mới
có
thể
đọc
¡
Khóa
(Key)
Đoạn
mã
bí
mật
dùng
để
mã
hóa
và
giải
mã
một
văn
bản/mẩu
tin
¡
Thuật
toán
mã
hóa
(Encryption
algorithm)
Là
một
công
thức
toán
học
dùng
để
mã
hóa
bản
rõ
thành
bản
mờ,
và
ngược
lại
¡
Mục
đích
của
kỹ
thuật
mã
hoá
Đảm
bảo
an
toàn
cho
các
thông
tin
được
lưu
giữ,
và
đảm
bảo
an
toàn
cho
thông
tin
khi
truyền
phát
trên
mạng.
¡
Kỹ
thuật
mã
hoá
đảm
bảo
§
Tính
toàn
vẹn
của
thông
điệp;
§
Chống
phủ
định;
§
Tính
xác
thực;
§
Tính
bí
mật
của
thông
tin.
¡
Các
kỹ
thuật
mã
hoá
cơ
bản
§
Mã
hoá
bằng
thuật
toán
băm
(hàm
Hash)
§
Mã
hoá
khoá
bí
mật
§
Mã
hoá
khoá
công
khai
Kỹ
thuật
mã
hoá
bằng
thuật
toán
băm
sử
dụng
thuật
toán
HASH
để
mã
hoá
thông
điệp
¡
Hàm
hash
(hàm
băm)
là
hàm
một
chiều
mà
nếu
đưa
một
lượng
dữ
liệu
bất
kì
qua
hàm
này
sẽ
cho
ra
một
chuỗi
có
độ
dài
cố
định
ở
đầu
ra
§ Ví
dụ,
từ
"Illuminatus"
đi
qua
hàm
SHA-‐1
cho
kết
quả
E783A3AE2ACDD7DBA5E1FA0269CBC58D.
§ Ta
chỉ
cần
đổi
"Illuminatus"
thành
"Illuminati"
(chuyển
"us"
thành
"i")
kết
quả
sẽ
trở
nên
hoàn
toàn
khác
(nhưng
vẫn
có
độ
dài
cố
định
là
160
bit)
§
A766F44DDEA5CACC3323CE3E7D73AE82.
¡
Tính
chất
cơ
bản
của
hàm
HASH
§ Tính
một
chiều:
không
thể
suy
ra
dữ
liệu
ban
đầu
từ
kết
quả*
§ Tính
duy
nhất:
xác
suất
để
có
một
vụ
va
chạm
(hash
collision),
tức
là
hai
thông
điệp
khác
nhau
có
cùng
một
kết
quả
hash,
là
cực
kì
nhỏ.
¡
Ứng
dụng
của
hàm
Hash
§ Chống
và
phát
hiện
xâm
nhập:
chương
trình
chống
xâm
nhập
so
sánh
giá
trị
hash
của
một
file
với
giá
trị
trước
đó
để
kiểm
tra
xem
file
đó
có
bị
ai
đó
thay
đổi
hay
không
§ Bảo
vệ
tính
toàn
vẹn
của
thông
điệp
được
gửi
qua
mạng
bằng
cách
kiểm
tra
giá
trị
hash
của
thông
điệp
trước
và
sau
khi
gửi
nhằm
phát
hiện
những
thay
đổi
cho
dù
là
nhỏ
nhất
§ Tạo
chìa
khóa
từ
mật
khẩu
§ Tạo
chữ
kí
điện
tử.
¡ Mã
hoá
khoá
bí
mật
§ Gọi
là
mã
hoá
đối
xứng
hay
mã
hoá
khoá
riêng
§ Sử
dụng
một
khoá
cho
cả
quá
trình
mã
hoá
(thực
hiện
bởi
người
gửi)
và
quá
trình
giải
mã
(thực
hiện
bởi
người
nhận)
¡ Mã
hoá
khoá
công
cộng
§ Gọi
là
mã
hoá
không
đối
xứng
hay
mã
hoá
khoá
chung
§ Sử
dụng
hai
khoá
trong
quá
trình
mã
hoá:
một
khoá
dùng
để
mã
hoá
thông
điệp
và
một
khoá
khác
dùng
để
giải
mã.
Mã hóa khóa bí mật Mã hóa khóa công cộng
Số khoá Một khoá đơn Một cặp khoá
Loại khoá Khoá bí mật Một khoá bí mật và một
khoá công khai
Quản lý khoá Đơn giản nhưng
khó quản lý
Yêu cầu các chứng thực
điện tử và bên tin cậy thứ
ba
Tốc độ giao dịch Nhanh Chậm
Ứng dụng - Mã hoá hàng loạt
- Các đối tác thường
giao dịch
- Mã hoá đơn lẻ
- Khối lượng nhỏ
- Chữ ký điện tử
Chữ
ký
điện
tử
được
tạo
lập
dưới
dạng
từ,
chữ,
số,
ký
hiệu,
âm
thanh
hoặc
các
hình
thức
khác
bằng
phương
tiện
điện
tử,
gắn
liền
hoặc
kết
hợp
một
cách
lô
gíc
với
thông
điệp
dữ
liệu,
có
khả
năng
xác
nhận
người
ký
thông
điệp
dữ
liệu
và
xác
nhận
sự
chấp
thuận
của
người
đó
đối
với
nội
dung
thông
điệp
dữ
liệu
được
ký.
(Luật
Giao
dịch
điện
tử)
¡ Là
điều
kiện
cần
và
đủ
để
quy
định
tính
duy
nhất
của
văn
bản
điện
tử
cụ
thể;
¡
Xác
định
rõ
người
chịu
trách
nhiệm
trong
việc
tạo
ra
văn
bản
đó
¡
Thể
hiện
sự
tán
thành
đối
với
nội
dung
văn
bản
và
trách
nhiệm
của
người
ký
¡
Bất
kỳ
thay
đổi
nào
(về
nội
dung,
hình
thức...)
của
văn
bản
trong
quá
trình
lưu
chuyển
đều
làm
thay
đổi
tương
quan
giữa
phần
bị
thay
đổi
với
chữ
ký
Một
loại
chứng
nhận
do
cơ
quan
chứng
nhận
(Certification
Authority
-‐
CA)
(hay
bên
tin
cậy
thứ
ba)
cấp;
là
căn
cứ
để
xác
thực
các
bên
tham
gia
giao
dịch;
là
cơ
sở
đảm
bảo
tin
cậy
đối
với
các
giao
dịch
thương
mại
điện
tử
Nội
dung
của
chứng
thực
điện
tử
¡
Thông
tin
về
tổ
chức
cung
cấp
dịch
vụ
chứng
thực
chữ
ký
điện
tử.
¡
Thông
tin
về
cơ
quan,
tổ
chức,
cá
nhân
được
cấp
chứng
thực
điện
tử.
¡
Số
hiệu
của
chứng
thực
điện
tử.
¡
Thời
hạn
cú
hiệu
lực
của
chứng
thực
điện
tử.
¡
Dữ
liệu
kiểm
tra
chữ
ký
điện
tử
của
người
được
cấp
chứng
thực
điện
tử.
¡
Chữ
ký
điện
tử
của
tổ
chức
cung
cấp
dịch
vụ
chứng
thực
chữ
ký
điện
tử.
¡
Các
hạn
chế
về
mục
đích,
phạm
vi
sử
dụng
của
chứng
thư
điện
tử.
¡
Các
hạn
chế
về
trách
nhiệm
pháp
lý
của
tổ
chức
cung
cấ