Professional Documents
Culture Documents
Chuong 8 - An Ninh TMDT
Chuong 8 - An Ninh TMDT
Chuong 8 - An Ninh TMDT
1
Rủi ro trong TMĐT
2
An ninh trong TMĐT
- Trung tâm bảo vệ cơ sở hạ tầng quốc gia (NIPC) trực thuộc
FBI (Mỹ)
- Trung tâm ứng cứu khan cấp máy tính Việt Nam (VnCERT-
Vietnam Computer Emergency Response Teams)
Theo VnCERT, những tội phạm thường gặp:
-Lấy cắp mật khẩu thẻ tín dụng
-Làm thẻ tín dụng giả để lấy cắp tiền từ ATM
-Thiết lập mạng máy tính giả gửi thư rác, thư quảng cáo
-Tấn công từ chối dịch vụ (DOS)
-Đe doạ tấn công, tống tiền hay bảo kê website TMĐT
Những rủi ro thường gặp
Công nghệ
Dữ liệu
Các giao dịch TMĐT thông thường
Slide 5-6
Copyright © 2016 Pearson Education, Ltd.
Các điểm có thể phát sinh rủi ro
Slide 5-7
Copyright © 2016 Pearson Education, Ltd.
Những rủi ro thường gặp
Rủi ro về dữ liệu
• 3 loại chính:
– virus ảnh hưởng tới các tệp (file) chương trình
(.com, .exe, .bat, .pif, .sys...)
– virus ảnh hưởng tới hệ thống (đĩa cứng hoặc đĩa khởi
động)
– virus macro
• Virus được đánh giá là mối đe doạ lớn nhất đối
với an toàn của các giao dịch thương mại điện tử
hiện nay.
Tin tặc (hacker) và các chương
trình phá hoại (cybervandalism)
Máy tính
ISP
Kẻ trộm trên mạng (sniffer)
• Kinh doanh
• Kỹ thuật
Phòng tránh rủi ro trong TMĐT
Copyright © 2016
Slide 1-26 Ltd.
Pearson Education,
Thống kê các công cụ nhằm bảo vệ an toàn
trang web
Slide 5-27
Copyright © 2016 Pearson Education, Ltd.
Yêu cầu về an ninh
• 1 - Bí mật (secrecy):
• Đảm bảo việc, ngoài những người có quyền, không ai đọc được các dữ
liệu, lấy được các thông tin cá nhân hoặc các thông tin bí mật khác
• 2 - Toàn vẹn (integrity)
• Đảm bảo thông tin không bị thay đổi
• 3 - Sẵn sàng (availability)
• Đảm bảo thông điệp hoặc mẩu tin được truyền gửi
• 4 - Chống phủ định (non-repudiation)
• Đảm bảo rằng các bên tham gia không thể phủ định các hành động họ
đã thực hiện
• 5 - Xác thực (authentication)
• Có thể nhận biết được các đối tác tham gia giao dịch
Bảo mật trong giao dịch
• Là quá trình chuyển các văn bản hay các tài liệu
gốc thành các văn bản dưới dạng mật mã để bất
cứ ai, ngoài người gửi và người nhận, đều không
thể đọc được.
• Hai phương pháp mã hóa:
– Mã hóa khóa bí mật (mã hóa khóa đối xứng): sử dụng 01
“chìa khóa”
– Mã hóa khóa công khai (mã hóa khóa không đối xứng):
sử dụng 02 “chìa khóa” khác nhau, một để mã và một để
giải
Mã hóa khóa bí mật
Sử dụng 1 chìa khóa để vừa mã hóa vừa giải mã
Mã Caesar: thay thế các ký tự của thông điệp bởi ký tự đứng sau nó k vị trí.
• Vd: k=1 thì ab, bc,…, za
Phương pháp thế (substitution):
• thay thế ký tự theo bảng thay thế.
• mã Caecar là trường hợp đặc biệt.
Các phần mềm mã hóa khác
• DES, 3-DES
Bảng
thế
Truyền thông
điệp đã mã hóa
Thông Thông
Thuật giải mã
điệp đầu Thuật mã hóa điệp đầu
(VD: DES)
Mã hóa khóa bí mật
• Nhược điểm:
• Khó trao đổi chìa khóa giữa người gửi và người nhận
• Mỗi khách hàng phải có một chìa khóa riêng việc tạo và
quản lý khóa khó khăn
• Dễ “giải mã” hơn: brute-force
Mã hóa khóa công khai
Khóa bí mật
Khóa công khai
của B
của B
Thông điệp đã
mã hóa
Dán
Băm
HĐ rút gọn Chữ ký số phong bì
Ký số Hợp đồng
Máy tính người gửi
Máy tính người nhận Chữ ký số
Kiểm tra
nội dung Kiểm tra
Băm chữ ký
Mở
Hợp đồng phong bì
INTERNET
HĐ rút gọn HĐ rút gọn Chữ ký số
2 1
So sánh
(2) Người gửi sử (3) Mã hóa bằng
(1) dụng hàm băm Thông điệp khóa bí mật của
người gửi Chữ ký số
Thông tóm tắt
điệp gốc
Thông
điệp gốc
và Chữ
ký số (4) Mã hóa bằng khóa
công cộng của người nhận
GỬI Phong bì số
(5) Gửi cho người nhận
NHẬN Phong bì số
(6) Giải mã bằng khóa bí mật của ng
nhận
(1) Chữ ký số
Thông
điệp gốc
• "Tổ chức cung cấp dịch vụ chứng thực chữ ký số" là tổ chức
cung cấp dịch vụ chứng thực chữ ký điện tử thực hiện hoạt
động cung cấp dịch vụ chứng thực chữ ký số.
• "Chứng thư số" là một dạng chứng thư điện tử do tổ chức
cung cấp dịch vụ chứng thực chữ ký số cấp.
(Nghị định 26)
– “Chứng thư điện tử” là thông điệp dữ liệu do tổ chức cung
cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm
xác nhận cơ quan, tổ chức, cá nhân được chứng thực là
người ký chữ ký điện tử. (Luật GDDT)
Lớp ổ cắm an toàn (SSL)
SSL
• SSL họat động trên tầng TCP của giao thức OSI
(Open Systems Interconnection), và trên giao thức khác
như Telnet và HTTP
• SSL chứa giao thức “bắt tay ” (handshake stage),
bảo mật cho server (và máy khách nếu cần ), xác
định mã hóa, thuật tóan mã hóa, và chuyển đổi
khóa mã
SSL
Các giao dịch điện tử an toàn – SET
(Secure Electronic Transaction)
SET
• Sử dụng trong thanh toán sử dụng bằng thẻ tín dụng
• Là một giao thức bảo mật khá toàn diện, sử dụng mật mã để cung
cấp tính bảo mật cho thông tin, đảm bảo tính toàn vẹn trong thanh
toán, và cho phép xác thực các thực thể với nhau. Để xác thực,
những người mua hàng và người bán háng được yêu cầu cần phải
có các chứng chỉ số được cấp bởi các tổ chức được đảm bảo
An toàn đối với hệ thống mạng