Chương 5: Bảo mật và an ninh thương mại điện tử | Trường Đại học Lao động - Xã hội
Chương 5: Bảo mật và an ninh thương mại điện tử | Trường Đại học Lao động - Xã hội được sưu tầm và soạn thảo dưới dạng file PDF để gửi tới các bạn sinh viên cùng tham khảo, ôn tập đầy đủ kiến thức, chuẩn bị cho các buổi học thật tốt. Mời bạn đọc đón xem!
Môn: Quản trị kinh doanh(QTKD101)
Trường: Đại học Lao động - Xã hội
Thông tin:
Tác giả:
Preview text:
THƯƠNG MẠI ĐIỆN TỬ
BẢO MẬT VÀ AN NINH TMĐT 1 Nhữn Nh g ữn g n g n u g y u y c ơ c ơ đ e đ e d o d ạ o ạ a n a n n i n n i h h TMĐT T 2 Vấn đề bảo mậ m t tro r ng T hương m ạ m i điện tử 3 Giải p
háp bảo vệ an ninh TMĐT
Những nguy cơ đe doạ an ninh TMĐT Hackers và Crackers:
Hackers thuật ngữ để chỉ người lập trình tìm cách xâm
nhập trái phép vào các máy tính và mạng máy tính.
Crackers là người tìm cách bẻ khoá để xâm nhập trái phép
vào máy tính hay các chương trình.
Gian lận thẻ tín dụng:
Trong thương mại truyền thống, gian lận thẻ tín dụng có thể
xảy ra như: thẻ tín dụng bị mất, bị đánh cắp, các thông tin
về số thẻ, mã PIN, các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp.
Trong TMĐT các hành vi gian lận phức tạp hơn như bị
đánh cắp thông tin liên quan đến thẻ hoặc thông tin giao
Những nguy cơ đe doạ an ninh TMĐT Lừa đảo:
Lừa đảo trong TMĐT là việc hackers sử dụng các địa
chỉ thư điện tử giả hoặc mạo danh một người nào đó
nhằm thực hiện hành động phi pháp.
Sự lừa đảo cũng có thể liên quan đến việc thay đổi
hoặc làm chệch hướng các liên kết web đến một địa chỉ web giả mạo.
Những nguy cơ đe doạ an ninh TMĐT
Các loại tấn công trên mạng:
Tấn công kỹ thuật là tấn công bằng phần mềm do các
chuyên gia có kiến thức hệ thống giỏi thực hiện.
Tấn công không kỹ thuật là việc tìm cách lừa để lấy
được thông tin nhạy cảm.
Tấn công làm từ chối phục vụ (Denial-of-service -DoS
attack) là sử dụng phần mềm đặc biệt liên tục gửi đến
máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được.
Những nguy cơ đe doạ an ninh TMĐT
Các loại tấn công trên mạng
Phân tán cuộc tấn công làm từ chối phục vụ (Distributed
denial of service (DDoS) attack) là sự tấn công làm từ chối
phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp
pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu.
Spam (thư rác): mỗi ngày có thể nhận vài chục, đến vài trăm thư rác
Virus là một chương trình máy tính có khả năng tự nhân
bản và lan tỏa: chiếm tài nguyên, tốc độ xử lý máy tính
chậm đi, có thể xóa file, format lại ổ cứng,…
Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ
Những nguy cơ đe doạ an ninh TMĐT Tấn công DDoS
Vấn đề bảo mật đặt ra trong TMĐT
Từ góc độ người sử dụng:
Làm sao biết được Web server được sở hữu bởi
một doanh nghiệp hợp pháp?
Làm sao biết được trang web này không chứa
đựng những nội dung hay mã chương trình nguy hiểm?
Làm sao biết được Web server không lấy thông
tin của mình cung cấp cho bên thứ 3
Vấn đề bảo mật đặt ra trong TMĐT
Từ góc độ doanh nghiệp:
Làm sao biết được người sử dụng không có ý
định phá hoại hoặc làm thay đổi nội dung của trang web?
Làm sao biết được làm gián đoạn hoạt động của server.
Từ cả hai phía:
Làm sao biết được không bị nghe trộm trên mạng?
Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi?
Một số khái niệm về an toàn bảo mật
Quyền được phép (Authorization): Quá trình đảm bảo
cho người có quyền này được truy cập vào một số tài nguyên của mạng
Xác thực (Authentication): Quá trình xác thực một thực
thể xem họ khai báo với cơ quan xác thực họ là ai.
Sự riêng tư (Confidentiality/privacy) là bảo vệ thông tin
mua bán của người tiêu dùng
Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi
Không thoái thác (Nonrepudiation): Khả năng không thể
từ chối các giao dịch đã thực hiện.
Giải pháp bảo vệ an ninh TMĐT
1. Kỹ thuật mã hóa thông tin 2. Chữ ký điện tử 3. Chứng thực điện tử 4. Bức tường lửa
Cơ chế mã hóa thông tin
Mã hóa là quá trình trộn văn bản với khóa (key) tạo
thành văn bản không thể đọc được trên mạng
Khi nhận được, người ta dùng khóa giải mã thành bản gốc
Mã hóa và giải mã gồm 4 phần cơ bản:
1. Văn bản nhập vào – Plaintext
2. Thuật toán mã hóa – Encryption
3. Văn bản đã mã – Ciphertext 4. Giải mã – Decryption
Hai phương pháp mã hóa phổ biến
1. Phương pháp mã đối xứng (khoá riêng)
Mã khoá bí mật (private key) TĐ đã Thông Đơn đặt TĐ đã INTERNET Đơn đặt được điệp hàng được hàng mã hoá mã hoá Người gửi Người nhận A B
Hai phương pháp mã hóa phổ biến
2. Phương pháp mã không đối xứng (khoá công khai)
Mã khoá công khai (người nhận)
Mã khoá bí mật (người nhận) TĐ đã Thông Đơn đặt TĐ đã INTERNET Đơn đặt được điệp hàng được hàng mã hoá mã hoá Người gửi Người nhận A B Chữ ký điện tử Chữ ký điện tử
Dữ liệu dưới dạng điện tử (từ, chữ, số, ký hiệu, âm thanh,…)
Gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu
Cókhả năng xác nhận người ký thông điệp dữ liệu và xác
nhận sự chấp thuận của người đó đối với nội dung thông
điệp dữ liệu được ký
Các cách tạo chữ ký điện tử: Vân tay Sơ đồ võng mạc
Sơ đồ tĩnh mạch trong bàn tay ADN
Các yếu tố sinh học khác Chữ ký điện tử
Chữ ký điện tử (chữ ký số hoá) là đoạn dữ liệu ngắn
đính kèm với văn bản gốc để chứng thực tác giả của
văn bản và giúp người nhận kiểm tra tính toàn vẹn
của nội dung văn bản gốc Các tạo chữ ký số:
Áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản tóm lược
Sau đó mã hóa bằng khoá bí mật (private key) tạo ra chữ
ký số đính kèm với văn bản gốc để gửi đi Chữ ký điện tử Các bước mã hóa:
1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả là bản tóm lược.
2. Sử dụng khóa bí mật của người gửi để mã hóa bản tóm lược
ở bước 1; kết quả thu được gọi là chữ ký số của thông điệp ban đầu.
3. Gộp chữ ký số vào thông điệp ban đầu, công việc này gọi là
“ký nhận” vào thông điệp. Mọi sự thay đổi sẽ bị phát hiện trong giai đoạn kiểm tra. Chữ ký điện tử Thông điệp dữ liệu Hàm băm Khóa bí mật Bản tóm lược Mã hóa Chữ ký số Gắn với thông điệp dữ liệu Thông điệp dữ liệu được ký số
Tạo chữ ký điện tử Chữ ký điện tử Các bước kiểm tra:
1. Dùng khoá công khai (public key) của người gửi để giải mã
chữ ký số của thông điệp.
2. Dùng giải thuật băm thông điệp đính kèm
3. So sánh kết quả thu được ở bước 1 và 2,nếu trùng nhau kết
luận thông điệp này không bị thay đổi trong quá trình truyền
và thông điệp này là của người gửi. Chữ ký điện tử Thông điệp dữ liệu được ký số Tách Khóa công khai Giải mã
Thông điệp dữ liệu Chữ ký số Hàm băm Bản Giải mã được? Bản tóm lược tóm lược Giống nhau?
Nội dung thông điệp
Không đúng người gửi tòan vẹn
Nội dung thông điệp bị thay đổi
Chứng thực điện tử
Chứng thực điện tử xác nhận người sở hữu khoá công cộng
Do một tổ chức có uy tín cấp (Certificate Authority-CA)
Cấu trúc của một chứng nhận điện tử:
Issuer: tên của CA tạo ra chứng thực.
Period of validity: ngày hết hạn của chứng thực.
Subject: những thông tin về thực thể được chứng thực.
Public key: khóa công khai được chứng thực.
Signature: do private key của CA tạo ra và đảm bảo
giá trị của chứng thực. Bức tường lửa Cơ sở dữ liệu (ERP) Máy chủ Máy làm việc Hệ thống dữ liệu nội bộ Mạng Mạng công cộng/ nội bộ người sử dụng Internet Máy chủ dành cho E-mail Tường lửa Máy chủ dành cho Cơ sở dữ web liệu Bức tường lửa
Bức thường lửa là một thiết bị phần mềm và phần
cứng cho phép những người sử dụng mạng máy tính
trong nội bộ tổ chức có thể truy cập tài nguyên các
mạng khác (như Internet) nhưng ngăn cấm những
người sử dụng từ bên ngoài truy cập vào mạng của tổ chức.
Tất cả thông tin, dữ liệu đi ra hoặc đi vào mạng tổ
chức đều phải đi qua bức tường lửa và được lọc theo
quy định về an ninh mạng máy tính của tổ chức.
Một số giải pháp khác
Tự bảo vệ mật khẩu:
Các tài khoản (quản lý tên miền, quản lý website): ít người
biết password của tài khoản càng tốt
Khi nhân viên quản lý tài khoản nghỉ thì nên thay đổi
password của tài khoản đó
An toàn mạng nội bộ: Nên có quy định sử dụng mạng
nội bộ, quy định về phòng chống virus,…
An toàn dữ liệu, thông tin
Không lưu trong mạng nội bộ những thông tin không cần chia sẻ nhiều người
Sao lưu dữ liệu ra đĩa CD thường xuyên, nên lưu ở nhiều
Một số giải pháp khác Khi có spam nên xóa đi
Cài đặt/cập nhật chương trình diệt virus
Bỏ qua mọi email yêu cầu cung cấp thông tin
Kiểm tra các khoản chi của thẻ tín dụng
Khi có mail lạ gởi attachment nên xóa đi
Đọc kỹ yêu cầu chọn “Yes”, “No” khi duyệt web
Sử dụng xong tài khoản nên “thoát”
Khi sử dụng máy tính dùng chung không nên chọn
chức năng “nhớ mật khẩu”