Chương 6: Bảo mật & an ninh trong thương mại điện tử

Các trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm bên trong Thông tin cá nhân được đảm bảo bí mật

pdf60 trang | Chia sẻ: lylyngoc | Lượt xem: 1691 | Lượt tải: 4download
Bạn đang xem trước 20 trang tài liệu Chương 6: Bảo mật & an ninh trong thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Th.S.Nguyễn  Thị  Bích  Trâm   Bichtrambmt@gmail.com   Yêu  cầu  đối   với  an  toàn   thương  mại   điện  tử   Các  vấn  đề  an   toàn  thương   mại  điện  tử   Các  đe  doạ   trong  môi   trường   thương  mại   điện  tử   Giải  pháp  bảo   an  trong   thương  mại   điện  tử   Dữ  liệu   Giải  pháp  công   nghệ   Chính  sách  và   thủ  tục  tổ  chức   Luật  &  các  tiêu   chuẩn     Từ  phía   người   sử  dụng   Website  truy  cập  là   xác  thực  và  hợp   pháp   Các  trang  web  và   các  mẫu  khai  thông   tin  không  chứa   đựng  các  đoạn  mã   nguy  hiểm  bên   trong   Thông  tin  cá  nhân   được  đảm  bảo  bí   mật   Từ   phía   tổ   chức   Máy  chủ,  nội  dung  và  các   dịch  vụ  cung  cấp  trên   website  không  bị  phá  vỡ   Hoạt  động  kinh  doanh   diễn  ra  đều  đặn,  không   bị  làm  gián  đoạn   Từ  hai   phía   Thông  tin  trao  đổi  giữa  hai   bên  không  bị  biến  đổi   Thông  tin  trao  đôi  giữa  người   sử  dụng  và  tổ  chức,  không  bị   bên  thứ  ba  “nghe  trộm”   Tính  toàn  vẹn:  Dữ  liệu/thông   tin  không  bị  thay  đổi  khi  lưu   trữ  hoặc  chuyển  phát.   Không  phủ  định:  Các  bên   tham  gia  giao  dịch  không  phủ   nhận  các  hành  động  trực   tuyến  mà  họ  đã  thực  hiện   Tính  xác  thực:  Khả  năng   nhận  biết  các  đối  tác  tham  gia   giao  dịch  trực  tuyến   Cấp  phép:  Xác  định  quyền   truy  cập  các  tài  nguyên  của  tổ   chức   • Tập  hợp  thông  tin  về  quá  trình  truy  cập  của   người  sử  dụng  Kiểm  soát   • Ngoài  những  người  có  quyền,  không  ai  có  thể   xem  các  thông  điệp  và  truy  cập  những  dữ  liệu   có  giá  trị   Tính  tin  cậy   • Khả  năng  kiểm  soát  việc  sử  dụng  các  thông  tin   cá  nhân  của  khách  hàng  Tính  riêng  tư   • Các  chức  năng  của  một  website  thương  mại   điện  tử  được  thực  hiện  đúng  như  mong  đợi  Tính  ích  lợi   ¡  Mã  độc   ¡  Chương  trình  không   mong  muốn   (potentially  unwanted   programs  -­‐  PUPS)   ¡  Phishing     ¡  Tin  tặc  (hacker)  và  các   chương  trình  phá  hoại   ¡  Tấn  công  từ  chối  phục   vụ  (Denial    of  Service  –   DOS)   ¡  Tấn  công  từ  chối  phục   vụ  phân  tán   (Distributed  Denial    of   Service  –  DDOS)   ¡  …   •  Một  đoạn  mã  phần  mềm  tự  xâm  nhập  vào  một  máy  chủ,   bao  gồm  cả  hệ  điều  hành,  để  nhân  lên;  nó  yêu  cầu  các   chương  trình  của  máy  chủ  khi  chạy  phải  kích  hoạt  nó   Virus   •  Một  chương  trình  phần  mềm  được  chạy  một  cách  độc   lập,  chi  phối  nhiều  tài  nguyên  của  máy  chủ  cho  nó  và  nó   có  khả  năng  nhân  giống  tới  các  máy  khác   Sâu  máy   tính  (worm)   •  Một  chương  trình  xuất  hiện  với  những  chức  năng  hữu   dụng  nhưng  nó  bao  gồm  các  chức  năng  ẩn  có  các  nguy   cơ  về  an  ninh   Trojan  horse   •  1  loại  mã  độc  có  thể  cài  trên  máy  tính  khi  kết  nối   internet,  sau  khi  kết  nối  nó  sẽ  phản  hồi  với  những  yêu   cầu  từ  bên  ngoài  của  hacker,  máy  tính  trở  thành  zombie   Bots   Unikey.org  bị  hacker  kiểm  soát  và  chèn  mã  độc  vào  link  tải   phần  mềm   Vào   rạng   sáng   ngày   1/3,   t r a n g   w e b   h t t p : / / unikey.org/   của   tác   giả   Phạm   Kim   Long   đã   bị   tin   tặc   kiểm   soát   và   chèn   mã   độc  chứa  Trojan  vào  link  tải   phần   mềm   Unikey.   Theo   tìm   hiểu,   tin   tặc   đã   thành   công   trong   việc   chuyển   hướng   link   tải   Unikey   về   một   địa   chỉ   giả   mạo   tại   Sourceorge.net.   Đồng   thời   hacker   cũng   tạo   một   project   t rùng   tên   với   Project   Unikey  Vietnamese   Input   Method   của   Phạm   Kim   Long   trên   trang   web   này.   Adware   • Một  dạng  phần  mềm  quảng  cáo  lén  lút  cài   đặt  vào  máy  tính  người  dùng  hoặc  cài  đặt   thông  qua  một  phần  mềm  miễn  phí   Spyware   • Là  phần  mềm  theo  dõi  những  hoạt  động   của  người  dùng  trên  máy  tính   ¡  Là  một  hình  thức  gian  lận  để  có  những  thông  tin  nhạy  cảm   như  username,  password,  credit  card  …  bằng  cách  giả   mạo  như  là  một  thực  thể  đáng  tin  cậy  trong  các  giao  tiếp   trên  mạng.   ¡   Quá  trình  giao  tiếp  thường  diễn  ra  tại  các  trang  mạng  xã   hội  nổi  tiếng,  các  trang  web  đấu  giá,  mua  bán  hàng   online…mà  đa  số  người  dùng  đều  không  cảnh  giác  với  nó.     ¡  Phishing  sử  dụng  email  hoặc  tin  nhắn  tức  thời,  gửi  đến   người  dùng,  yêu  cầu  họ  cung  cấp  thông  tin  cần  thiết.   Người  dùng  vì  sự  chủ  quan  của  mình  đã  cung  cấp  thông  tin   cho  một  trang  web,  trông  thì  có  vẽ  hợp  pháp,  nhưng  lại  là   trang  web  giả  mạo  do  các  hacker  lập  nên.   Sự  thiếu  hiểu   biết   Nghệ  thuật   đánh  lừa  ảo   giác   Không  chú  ý   đến  những  chỉ   tiêu  an  toàn   ¡ Hacker   là   người   có   thể   viết   hay   chỉnh   sửa   phần  mềm,  phần  cứng  máy  tính  bao  gồm  lập   trình,   quản   trị   và  bảo  mật.  Những  người   này   hiểu   rõ   hoạt   động   của   hệ   thống   máy   tính,   mạng   máy   tính   và   dùng   kiến   thức   của   bản   thân  để   làm   thay  đổi,   chỉnh   sửa  nó  với  nhiều   mục  đích  tốt  xấu  khác  nhau.   ¡ Hack  là  hành  động  thâm  nhập  vào  phần  cứng   máy  tính,  phần  mềm  máy  tính  hay  mạng  máy   tính  để  thay  đổi  hệ  thống  đó.   Phân  loại   •  Hacker  mũ  trắng   •  Hacker  mũ  đen   •  Hacker  mũ  xám     ¡  Đường   dây   làm   giả   thẻ   ATM   do   Nguyễn   Anh   Tuấn   cầm   đầu   để   rút   được  số  tiền  khoảng  2,6  tỷ  đồng   ¡  235   website   của   Việt   Nam   (.vn)   bị   hacker  nước  ngoài  tấn  công.  Trong  đó   có   web   của   Bộ   Thương   mại   -­‐   mot.gov.vn,  Bộ  Tài  nguyên  Môi  trường   -­‐  ciren.gov.vn,  Bộ  Khoa  học  Công  nghệ   -­‐  oss.gov.vn  …   ¡  Nhóm   hacker   Việt   và   con   số   182   tỉ   đồng:   Vụ   việc   của   nhóm   hacker   Lê   Đăng   Khoa,   Nguyễn   Ngọc   Lâm,   Nguyễn  Ngọc  Thành   và  Nguyễn  Đình   Nghị,  năm  2010  thực  sự  chấn  động  cả   cộng   đồng   khi   4   kẻ   này   đã   thực   hiện   hành  vi   ăn   cắp  gần  6   triệu  bảng  Anh,   tương  đương  với  182  tỉ  đồng.     Loại  tấn  công  bằng  cách  gửi  một  số  lượng  lớn  truy  vấn  thông   tin  tới  máy  chủ  khiến  một  hệ  thống  máy  tính  hoặc  một  mạng   bị  quá  tải,  dẫn  tới  không  thể  cung  cấp  dịch  vụ  hoặc  phải  dừng   hoạt  động  không  thể  (hoặc  khó  có  thể)  truy  cập  từ  bên  ngoài   ¡  Thông  tin  thẻ  tín  dụng  của  20   triệu  người,  tương  đương   gần  một  nửa  dân  số  Hàn   Quốc  đã  bị  đánh  cắp  và  bán   cho  các  công  ty  quảng  cáo.   Vụ  việc  đang  làm  rúng  động   dư  luận  nước  này  và  khiến   hàng  loạt  lãnh  đạo  ngân  hàng   bị  mất  chức.   ¡  Theo  kênh  BBC,  thông  tin  thẻ   tín  dụng  bị  đánh  cắp  bởi  một   nhân  viên  máy  tính  làm  việc   cho  một  công  ty  có  tên  Cục   tín  dụng  Hàn  Quốc,  cơ  quan   chuyên  cung  cấp  điểm  tín   dụng.   ¡  Sniffer  được  hiểu  đơn  giản  như  là  một   chương  trình  cố  gắng  nghe  ngóng  các  lưu   lượng  thông  tin  trên  một  hệ  thống  mạng.     ¡  Là  một  công  cụ  giúp  cho  các  quản  trị  mạng   theo  dõi  và  bảo  trì  hệ  thống  mạng     ¡  Theo  hướng  tiêu  cực  nó  có  thể  là  một   chương  trình  được  cài  vài  một  hệ  thống   mạng  máy  tính  với  mục  đích  đánh  hơi,  nghe   nén  các  thông  tin  trên  đoạn  mạng  này   ¡  An  toàn  thông  tin  trên  mạng  xã  hội   ¡  An  toàn  thông  tin  trên  nền  tảng  di  động   Đánh   giá   •  Đánh  giá  các  rủi  ro  bằng  các  xác  định  các  tính  chất,  các  điểm  dễ  bị  tổn   thương  của  hệ  thống  và  những  đe  dọa  đối  với  các  điểm  này   Lên  kế   hoạch   •  Xác  định  các  đe  dọa   •  Xác  định  các  biện  pháp  xử  lý  cho  phù  hợp   Thực   hiện   •  Lựa  chọn  công  nghệ  để  đối  phó  với  các  đe  doạ   Theo   dõi  /   Kết   luận   •  Tình  trạng  hiện  thời  của  hệ  thống   •  Các  mối  đe  doạ  mới   •  Trình  độ  công  nghệ  hiện  tại   •  Bổ  sung  thêm  danh  mục  các  hệ  thống  cần  bảo  vệ   ¡  Điều  khiển  và  kiểm  soát  truy  cập   §  Các  hệ  thống  xác  thực   ¡  Các  kỹ  thuật  mã  hoá   §  Mã  hoá   §  Chữ  ký  điện  tử   §  Chứng  thực  điện  tử   ¡  Các  giao  thức  an  toàn   §  SSL,  SET,  TLS   ¡  Bảo  vệ  hệ  thống  mạng  của  tổ  chức   §  Bức  tường  lửa   ¡  Các  biện  pháp  bảo  vệ  hệ  thống  khách/chủ   §  Các  chương  trình  cảnh  báo  xâm  nhập   §  Anti  virus   Hệ  thống  nhận  dạng  các  bên  tham  gia  là  hợp  pháp  để   thực  hiện  giao  dịch,  xác  định  các  hành  động  của  họ   là   được  phép  thực  hiện  và  hạn  chế  những  hoạt  động  của   họ,  chỉ  cho  những  giao  dịch  cần  thiết  được  khởi  tạo  và   hoàn  thành   ¡   Cơ  chế  điều  khiển  truy  nhập   §  Giới  hạn  các  hoạt  động  thực  hiện  bởi  việc  nhận  dạng  một  người  hay   một  nhóm   ¡   Thiết  bị  (Passive  tokens)   §  Tokens  tạo  khoá  theo  thời  gian  thực   ¡   Các  yếu  tố  điều  kiện  nhận  dạng   §  Mật  khẩu   §  Các  hệ  thống  sinh  trắc  học   Hệ   thống   nhận   dạng   để   xác   nhận   một   người   bằng   cách   đánh   giá   ,so   sánh   các   đặc   tính   sinh   học  như  dấu  vân  tay,  mạch  máu  mắt,  đặc  điểm   mặt,  giọng  nói  hoặc  hành  vi   ¡   Nhận  dạng  vân  tay   ¡   Nhận  dạng  mạch  máu  mắt   ¡   Nhận  dạng  giọng  nói   Mã  hoá   là   quá   trình   xáo   trộn   (mã  hóa)  một   tin   nhắn,  văn  bản  hay  các  tài  liệu  thành  văn  bản,  tài   liệu  dưới  dạng  mật  mã  để  bất  cứ  ai,  ngoài  người   gửi  và  người  nhận,  đều  không  thể  hoặc  khó  có   thể  đọc   Bản  gốc  hay  bản  rõ  (Plaintext)   Một  mẩu  tin/văn  bản  không  mã  hóa  và  con  người  có  thể   đọc     ¡ Bản  mã  hoá  hay  bản  mờ  (Ciphertext)   Một  bản  gốc  sau  khi  đã  mã  hóa  chỉ  máy  tính  mới  có  thể   đọc   ¡   Khóa  (Key)   Đoạn  mã   bí  mật   dùng   để  mã   hóa   và   giải  mã  một   văn   bản/mẩu  tin   ¡   Thuật  toán  mã  hóa  (Encryption  algorithm)   Là   một   công   thức   toán   học   dùng   để   mã   hóa   bản   rõ   thành  bản  mờ,  và  ngược  lại   ¡   Mục  đích  của  kỹ  thuật  mã  hoá   Đảm  bảo  an  toàn  cho  các  thông  tin  được  lưu  giữ,  và  đảm  bảo   an  toàn  cho  thông  tin  khi  truyền  phát  trên  mạng.   ¡   Kỹ  thuật  mã  hoá  đảm  bảo   §   Tính  toàn  vẹn  của  thông  điệp;   §   Chống  phủ  định;   §   Tính  xác  thực;   §   Tính  bí  mật  của  thông  tin.   ¡   Các  kỹ  thuật  mã  hoá  cơ  bản   §   Mã  hoá  bằng  thuật  toán  băm  (hàm  Hash)   §   Mã  hoá  khoá  bí  mật   §   Mã  hoá  khoá  công  khai   Kỹ   thuật  mã  hoá  bằng   thuật   toán  băm  sử  dụng   thuật   toán  HASH  để  mã  hoá  thông  điệp   ¡    Hàm   hash   (hàm   băm)   là   hàm  một   chiều  mà   nếu   đưa  một  lượng  dữ  liệu  bất  kì  qua  hàm  này  sẽ  cho  ra   một  chuỗi  có  độ  dài  cố  định  ở  đầu  ra   §  Ví   dụ,   từ   "Illuminatus"   đi   qua   hàm   SHA-­‐1   cho   kết   quả   E783A3AE2ACDD7DBA5E1FA0269CBC58D.   §  Ta  chỉ  cần  đổi  "Illuminatus"  thành  "Illuminati"  (chuyển  "us"   thành  "i")  kết  quả  sẽ  trở  nên  hoàn  toàn  khác  (nhưng  vẫn  có   độ  dài  cố  định  là  160  bit)   §   A766F44DDEA5CACC3323CE3E7D73AE82.   ¡   Tính  chất  cơ  bản  của  hàm  HASH   §  Tính  một  chiều:  không  thể  suy  ra  dữ  liệu  ban  đầu  từ  kết  quả*   §  Tính  duy  nhất:  xác  suất  để  có  một  vụ  va  chạm  (hash  collision),   tức   là  hai   thông  điệp  khác  nhau   có   cùng  một   kết  quả  hash,   là   cực  kì  nhỏ.   ¡   Ứng  dụng  của  hàm  Hash   §  Chống  và  phát  hiện  xâm  nhập:  chương  trình  chống  xâm  nhập   so  sánh  giá  trị  hash  của  một  file  với  giá  trị  trước  đó  để  kiểm  tra   xem  file  đó  có  bị  ai  đó  thay  đổi  hay  không   §  Bảo  vệ  tính  toàn  vẹn  của  thông  điệp  được  gửi  qua  mạng  bằng   cách  kiểm  tra  giá   trị  hash  của   thông  điệp   trước  và   sau  khi  gửi   nhằm  phát  hiện  những  thay  đổi  cho  dù  là  nhỏ  nhất   §  Tạo  chìa  khóa  từ  mật  khẩu   §  Tạo  chữ  kí  điện  tử.   ¡  Mã  hoá  khoá  bí  mật   §  Gọi  là  mã  hoá  đối  xứng  hay  mã  hoá  khoá  riêng   §  Sử  dụng  một  khoá  cho  cả  quá  trình  mã  hoá  (thực  hiện  bởi   người  gửi)  và  quá  trình  giải  mã  (thực  hiện  bởi  người  nhận)   ¡  Mã  hoá  khoá  công  cộng   §  Gọi  là  mã  hoá  không  đối  xứng  hay  mã  hoá  khoá  chung   §  Sử  dụng  hai  khoá  trong  quá  trình  mã  hoá:  một  khoá  dùng   để  mã  hoá  thông  điệp  và  một  khoá  khác  dùng  để  giải  mã.   Mã hóa khóa bí mật Mã hóa khóa công cộng Số khoá Một khoá đơn Một cặp khoá Loại khoá Khoá bí mật Một khoá bí mật và một khoá công khai Quản lý khoá Đơn giản nhưng khó quản lý Yêu cầu các chứng thực điện tử và bên tin cậy thứ ba Tốc độ giao dịch Nhanh Chậm Ứng dụng - Mã hoá hàng loạt - Các đối tác thường giao dịch - Mã hoá đơn lẻ - Khối lượng nhỏ - Chữ ký điện tử Chữ  ký  điện  tử  được  tạo  lập  dưới  dạng  từ,  chữ,  số,  ký  hiệu,  âm  thanh  hoặc   các  hình  thức  khác  bằng  phương  tiện  điện  tử,  gắn  liền  hoặc  kết  hợp  một  cách   lô  gíc  với  thông  điệp  dữ  liệu,  có  khả  năng  xác  nhận  người  ký  thông  điệp  dữ   liệu  và  xác  nhận  sự  chấp  thuận  của  người  đó  đối  với  nội  dung  thông  điệp  dữ   liệu  được  ký.   (Luật  Giao  dịch  điện  tử)   ¡  Là  điều  kiện  cần  và  đủ  để  quy  định  tính  duy   nhất  của  văn  bản  điện  tử  cụ  thể;   ¡   Xác  định  rõ  người  chịu  trách  nhiệm  trong   việc  tạo  ra  văn  bản  đó   ¡   Thể  hiện  sự  tán  thành  đối  với  nội  dung  văn   bản  và  trách  nhiệm  của  người  ký   ¡   Bất  kỳ  thay  đổi  nào  (về  nội  dung,  hình   thức...)  của  văn  bản  trong  quá  trình  lưu   chuyển  đều  làm  thay  đổi  tương  quan  giữa   phần  bị  thay  đổi  với  chữ  ký   Một   loại   chứng   nhận   do   cơ   quan   chứng   nhận   (Certification  Authority   -­‐  CA)   (hay  bên  tin  cậy  thứ  ba)  cấp;  là  căn  cứ  để  xác  thực  các  bên  tham  gia  giao  dịch;   là  cơ  sở  đảm  bảo  tin  cậy  đối  với  các  giao  dịch  thương  mại  điện  tử   Nội  dung  của  chứng  thực  điện  tử   ¡   Thông  tin  về  tổ  chức  cung  cấp  dịch  vụ  chứng  thực  chữ  ký  điện  tử.   ¡   Thông  tin  về  cơ  quan,  tổ  chức,  cá  nhân  được  cấp  chứng  thực  điện  tử.   ¡   Số  hiệu  của  chứng  thực  điện  tử.   ¡   Thời  hạn  cú  hiệu  lực  của  chứng  thực  điện  tử.   ¡   Dữ  liệu  kiểm  tra  chữ  ký  điện  tử  của  người  được  cấp  chứng  thực  điện  tử.   ¡   Chữ  ký  điện  tử  của  tổ  chức  cung  cấp  dịch  vụ  chứng  thực  chữ  ký  điện  tử.   ¡   Các  hạn  chế  về  mục  đích,  phạm  vi  sử  dụng  của  chứng  thư  điện  tử.   ¡   Các  hạn  chế  về  trách  nhiệm  pháp  lý  của  tổ  chức  cung  cấ
Tài liệu liên quan