Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp

Bài giảng Ứng dụng Thương mại điện tử trong doanh nghiệp - Chương 3: Quản trị an toàn thương mại điện tử trong doanh nghiệp. Chương này cung cấp cho học viên những kiến thức về: tổng quan quản trị an toàn thương mại điện tử; mô hình đảm bảo an toàn và chiến lược an toàn; giải pháp an toàn thương mại điện tử doanh nghiệp;... Mời các bạn cùng tham khảo!

BG UD TMĐT TRONG DN@BMTMĐT_TMU 38

Chương 3 Quản trị an toàn thương mại điện tử trong doanh nghiệp

B Ộ M Ô N T H Ư Ơ N G M Ạ I Đ I Ệ N T Ử

T R Ư Ờ N G Đ Ạ I H Ọ C T H Ư Ơ N G M Ạ I

Nội dung chương 3 3.1 Tổng quan quản trị an toàn TMĐT

◦3.1.1 Khái niệm an toàn thương mại điện tử

◦3.1.2 Các nguy cơ đe dọa an toàn thương mại điện tử

3.2 Mô hình đảm bảo an toàn và chiến lược an toàn

◦3.2.1 Mô hình đảm bảo an toàn TMĐT của doanh nghiệp

◦3.2.2 Chiến lược an toàn thương mại điện tử

3.3 Giải pháp an toàn thương mại điện tử doanh nghiệp

◦3.3.1 Chữ kí số

◦3.3.2 Mạng thương mại điện tử an toàn

◦3.3.3 Kiểm soát tổng thể

3.1 Tổng quan quản trị an toàn TMĐT 3.1.1 Khái niệm an toàn thương mại điện tử

◦An toàn có nghĩa là được bảo vệ, không bị xâm hại An toàn là chống lại, hoặc bảo vệ khỏi tấn công, gây tổn hại An toàn không chỉ gắn với bảo vệ con người,

mà gắn với nhiều đối tượng khác: tài sản, hoạt động kinh doanh, thông tin

◦An toàn thông tin: an toàn máy tính (computer security), an toàn mạng (internet security), an toàn trình duyệt (browser security), an toàn dữ liệu (data security)

◦An toàn TMĐT là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch,

an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai hoạ, lỗi và sự tấn công từ bên ngoài

An toàn TMĐT

• An toàn TMĐT là một lĩnh vực của ATTT, bao gồm: xác thực, cấp phép, kiểm tra (giám sát), tin cậy, toàn vẹn, sẵn sàng và chống phủ định

• Tính xác thực (authentication): Khả năng nhận biết các đối tác tham gia giao dịch

BG UD TMĐT TRONG DN@BMTMĐT_TMU 40

• Cấp phép/quyền (authorization): Xác định quyền truy cập các tài nguyên của tổ chức: đọc, xem, nghe, sửa chữa, xóa…

• Kiểm tra (giám sát_auditing): Tập hợp thông tin về quá trình truy cập của người sử dụng

Tam giác CIA về an toàn thông tin

Tam giác CIA (Confidenttiality, integrity, availability) là tâm điểm của ATTT, và các

bộ phận này: Confidentiality, Integrity và Availability được xem như là các thuộc tính, đặc tính, mục tiêu, các khía cạnh cơ bản, tiêu chi … của ATTT

Tam giác CIA mở rộng

Ngoài 3 yếu tố trên, những yếu tố khác đã được đề xuất như: tính trách nhiệm/xác thực (Accountability), tính không thể chối cãi (Non –

Repudiation), và tính với sự phát triển của hệ thống máy tính như hiện nay, tính riêng tư (privacy) ngày càng trở thành một nhân tố rất quan trọng.

 Trong năm 1992 và sửa đổi năm 2002, OECD đã đưa ra hướng dẫn về an toàn cho các HTTT và mạng với 9 yêu cầu: tính nhận thức (Awareness), tính trách nhiệm (Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ (Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi (security design and implementation), quản lý an toàn (security management), và đánh giá lại (Reassessment)

 Tiếp theo, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó

đề xuất 33 nguyên tắc

 Năm 2002, Donn Parker đã đề xuất mô hình sao 6 cánh (tam giá kép):

confidentiality, possession, integrity, authenticity, availability, và utility

BG UD TMĐT TRONG DN@BMTMĐT_TMU 42

Theo ITU-T X.800, ANTT bao gồm ba khía cạnh: tấn công an toàn (security attack);

dịch vụ bảo mật (security service), và cơ chế an toàn (security mechanism).

Tấn công an toàn: hành động làm ảnh hưởng hoặc tổn thất ATTT, có thể được phân loại: tấn công thụ động Passive attacks các cuộc tấn chủ động Active attacks

Dịch vụ bảo mật: bảo vệ dữ liệu, thông tin, hệ thống… không bị ảnh hưởng, hủy hoại:

xâm nhập trái phép, bảo đảm tính toàn vẹn, chống chối bỏ, Control/kiểm soát truy cập, Tính sẵn sàng/Availability

Các cơ chế bảo mật: Phương tiện để thực hiện các dịch vụ bảo mật: Mã hóa: Mã hóa đối xứng, Mã hóa khóa công khai, Quản lý chia; Hàm băm; Các mã xác thực thông điệp;

Chữ ký số; Các giao thức xác thực thực thể

Khái niệm Quản trị an toàn TMĐT

Xây dựng kế hoạch Nhận biết các đe dọa Thực thi và đánh giá các biện pháp đảm bảo an toàn TMĐT

3.1 Tổng quan quản trị an toàn TMĐT 3.1.2 Các nguy cơ đe dọa an toàn thương mại điện tử

Tấn công vào tính bí mật C: nghe trộm, đọc trộm thông tin

BG UD TMĐT TRONG DN@BMTMĐT_TMU 44

Tấn công vào tính sẵn sàng (A)

Tấn công vào tính toàn vẹn

Tấn công vào tính xác thực chủ thể

Các đe dọa an toàn TMĐT của DN

 Tấn công phi kỹ thuật

 Không dựa vào công nghệ; Chủ yếu dựa vào sự nhẹ dạ, cả tin, sự kém hiểu biết, sự chủ quan, sơ hở hoặc gây sức ép về tâm lý để tấn công, gây hại

 Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vô thưởng vô phạt, kẻ tấn công có thể làm tổn hại đến hệ thống mạng máy tính

 Tấn công kỹ thuật

 Tận dụng những ưu việt lợi thế của công nghệ, trình độ chuyên môn để tấn công vào các hệ thống

 Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khi thực hiện các giao dịch thương mại điện tử, đó là: Hệ thống của khách hàng, Máy chủ của doanh nghiệp và

Hệ thống truyền dẫn thông tin

BG UD TMĐT TRONG DN@BMTMĐT_TMU 46

Một số dạng tấn công nguy hiểm nhất đối với an toàn thương mại điện tử của doanh nghiệp bao gồm:

 Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối

đe doạ khác nhau như các loại virus, worm, những “con ngựa thành Tơ-roa”, “bad applets”

 Tin tặc (hacker) là người xâm nhập bất hợp pháp vào một website hay hệ thống công nghệ thông tin mà họ có thể xác định rõ

 Sự khước từ phục vụ (DoS – Denial of Service) Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài

 Kẻ trộm trên mạng: Sử dụng các chương trình nghe trộm, theo dõi và đánh cắp các thông tin trên mạng

 Gian lận thẻ tín dụng

 Sự tấn công từ bên trong doanh nghiệp: Những mối đe doạ bắt nguồn từ chính những thành viên làm việc trong doanh nghiệp

Tiếp cận nhà cung cấp giải pháp

3.2 Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.1 Mô hình đảm bảo an toàn TMĐT của doanh nghiệp

An toàn trong truyền thông TMĐT

Áp dụng các biện pháp đảm bảo an toàn trong truyền thông TMĐT

Các công nghệ đảm bảo an toàn mạng

Áp dụng các biện pháp đảm bảo an toàn mạng

và các hệ thống TMĐT

Quản trị an toàn thương mại điện tử

Nhận thức vấn đề Xây dựng kế hoạch Thực thi kế hoạch

Tiếp cận nhà quản trị

3.2 Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử

BG UD TMĐT TRONG DN@BMTMĐT_TMU 48

Các lỗi thường mắc phải trong quản trị an toàn TMĐT:

◦ Đánh giá thấp giá trị của tài sản thông tin Rất ít tổ chức có được sự hiểu biết rõ ràng về giá trị của tài sản thông tin mà mình có

◦ Xác định các giới hạn an toàn ở phạm vi hẹp Phần lớn tổ chức tập trung đến việc đảm bảo an toàn thông tin các mạng nội bộ của mình, không quan tâm đầy đủ đến an toàn trong các đối tác thuộc chuỗi cung ứng

◦ Quản trị an toàn mạng tính chất đối phó Nhiều tổ chức thực hành quản trị an toàn theo kiểu đối phó, chứ không theo cách thức chủ động phòng ngừa, tập trung vào giải quyết các sự cố an toàn sau khi đã xẩy ra

3.2 Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử

Các lỗi thường mắc phải trong quản trị an toàn TMĐT:

◦ Áp dụng các quy trình quản trị đã lỗi thời Nhiều tổ chức ít khi cập nhật các quy trình đảm bảo an toàn thông tin cho phù hợp với yêu cầu thay đổi, cũng như không thường xuyên bồi dưỡng tri thức và kỹ năng an toàn thông tin của đội ngũ cán bộ nhân viên.

◦ Thiếu truyền thông về trách nhiệm đảm bảo an toàn thông tin, coi an toàn thông tin như là một vấn đề CNTT, không phải là vấn đề tổ chức.

3.2 Mô hình đảm bảo an toàn và chiến lược an toàn 3.2.2 Chiến lược an toàn thương mại điện tử

Đánh giá Lên kế hoạch Thực hiện Theo dõi/ Kết luận

Đánh giá các rủi ro bằng các xác định các tài sản, các điểm dễ bị tổn thương của hệ thống

và những đe dọa đối với các điểm này

• Xác định các đe dọa nào

có thể xảy ra, đe dọa nào là không

• Xác định mức độ của các biện pháp đối phó cho phù hợp

• Áp dụng các giải pháp an ninh phù hợp, đặc biệt chú

ý các điểm đễ bị tổn thương

• Tiếp cận Lợi ích-Chi phí trong lựa chọn giải pháp an ninh

• Theo dõi, đánh giá tính hiệu quả của các giải pháp an ninh

• Phát hiện các mối đe doạ mới

• Cập nhật công nghệ bảo đảm an ninh hiện đại

• Bổ sung thêm danh mục các hệ thống cần bảo vệ

4 pha của quá trình quản trị an toàn TMĐT

Một quá trình mang tính hệ thống để xác định các loại rủi ro có thể xảy ra

và xác định các biện pháp cần thực hiện sẽ giúp ngăn ngừa hay giảm nhẹ các rủi ro

3.3 Giải pháp an toàn thương mại điện tử doanh nghiệp 3.3.1 Chữ kí số

Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký

(Luật Giao dịch điện tử)

 Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể;

 Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;

 Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký

 Bất kỳ thay đổi nào (về nội dung, hình thức ) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký

BG UD TMĐT TRONG DN@BMTMĐT_TMU 50

1 Tạo một thông điệp gốc để gửi đi

2 Sử dụng hàm băm (thuật toán máy tính)

để chuyển từ thông điệp gốc thành thông điệp rút gọn

3 Người gửi sử dụng khóa riêng để mã hóa thông điệp số Thông điệp rút gọn sau khi được mã hóa gọi là chữ ký số hay chữ ký điện tử Không một ai ngoài người gửi có thể tạo ra chữ ký điện tử vì

nó được tạo ra trên cơ sở khóa riêng

4 Người gửi mã hóa cả thông điệp gốc và chữ ký số sử dụng khóa công cộng của người nhận Thông được sau khi được

mã hóa gọi là phong bì số hóa

5 Người gửi gửi phong bì số hóa cho người nhận

6 Khi nhận được phong bì số hóa người nhận

sử dụng khóa riêng của mình để giải mã nội dung của phong bì số hóa và nhận được một bản sao của thông điệp gốc và chữ ký số của người gửi

7 Người nhận sử dụng khóa chung của người gửi để giải mã chữ ký số và nhận được một bản sao của thông điệp rút gọn gốc (do người gửi tạo ra, sẽ được sử dụng để đối chứng)

8 Người nhận sử dụng hàm băm để chuyển thông điệp gốc thành thông điệp rút gọn như

ở bước 2 người gửi đã làm và tạo ra thông điệp rút gọn mới

9 Người nhận so sánh thông điệp rút gọn mới

và bản copy của thông điệp rút gọn gốc nhận được ở bước 7; Nếu hai thông điệp rút gọn trùng nhau, có thể kết luận chữ ký điện tử là xác thực và nội dung thông điệp gốc không bị thay đổi sau khi ký

Công nghệ chữ ký số

Mã hóa

Hạ tầng khóa công khai

Mã băm

Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật toán HASH để mã hoá thông điệp

 Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra

E783A3AE2ACDD7DBA5E1FA0269CBC58D.

 Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là

160 bit) A766F44DDEA5CACC3323CE3E7D73AE82.

Mã hóa hàm HASH (thuật toán băm)

BG UD TMĐT TRONG DN@BMTMĐT_TMU 52

3.3.2 Mạng thương mại điện tử an toàn Secure Sockets Layer (SSL) and Transport Layer Security (TLS)

Hình thức bảo mật kênh phổ biến nhất là thông qua Lớp cổng bảo mật (SSL) và giao thức Bảo mật tầng vận tải (TLS)

Khi người dùng nhận được tin nhắn từ máy chủ trên trang Web mà người dùng sẽ giao tiếp thông qua một kênh an toàn, nghĩa là người dùng sẽ sử dụng SSL / TLS để thiết lập một phiên giao dịch an toàn (Thông báo rằng URL thay đổi từ HTTP thành HTTPS.)

Giao dịch an toàn là phiên máy chủ-khách hàng, trong đó URL của tài liệu được yêu cầu, cùng với nội dung, nội dung của biểu mẫu và cookie được trao đổi, được mã hóa

Ví dụ: số thẻ tín dụng của người dùng đã nhập vào biểu mẫu sẽ được mã hóa, thông qua một loạt các lần bắt tay và liên lạc, trình duyệt và máy chủ thiết lập danh tính của nhau bằng cách trao đổi chứng chỉ kỹ thuật số, quyết định hình thức mã hóa được chia

sẻ chung và sau đó tiến hành giao tiếp bằng cách sử dụng khóa phiên đã thỏa thuận

Khóa phiên là một khóa mã hóa đối xứng duy nhất được chọn chỉ cho phiên bảo mật duy nhất này Sau khi sử dụng, nó đã biến mất vĩnh viễn (xem hình)

Các phiên giao dịch an toàn bằng SSL/TLS

Secure Sockets Layer (SSL) and Transport Layer Security (TLS)

SSL / TLS cung cấp mã hóa dữ liệu, xác thực máy chủ, xác thực máy khách tùy chọn

và tính toàn vẹn của thông báo cho các kết nối TCP / IP SSL / TLS giải quyết vấn đề xác thực bằng cách cho phép người dùng xác minh danh tính của người dùng khác hoặc danh tính của người phục vụ Nó cũng bảo vệ tính toàn vẹn của các thông điệp được trao đổi Tuy nhiên, khi người bán nhận được thông tin tín dụng và đơn đặt hàng được mã hóa, thông tin đó sẽ được lưu trữ chính xác ở định dạng không được mã hóa trên máy chủ của người bán

Mặc dù SSL / TLS cung cấp giao dịch an toàn giữa người bán và người tiêu dùng, nó chỉ đảm bảo xác thực phía máy chủ Xác thực máy khách là tùy chọn

Ngoài ra, SSL / TLS không thể cung cấp tính không thể chối cãi — người tiêu dùng có thể đặt hàng hoặc tải xuống các sản phẩm thông tin, và sau đó yêu cầu giao dịch không bao giờ xảy ra

Gần đây, các trang mạng xã hội như Facebook và Twitter đã bắt đầu sử dụng SSL /TLS

để ngăn chặn việc chiếm đoạt tài khoản bằng cách sử dụng Firesheep qua mạng không dây Firesheep, một tiện ích bổ sung cho Firefox, có thể được tin tặc sử dụng để lấy các cookie không được mã hóa được sử dụng để “ghi nhớ" một người dùng và cho phép tin tặc đăng nhập ngay lập tức vào một trang web người sử dụng SSL / TLS có thể ngăn chặn một cuộc tấn công như vậy vì nó mã hóa cookie

BG UD TMĐT TRONG DN@BMTMĐT_TMU 54

Bức tường lửa và Mạng riêng ảo

Tường lửa là rào cản giữa mạng một tổ chức đáng tin cậy và Internet không đáng tin cậy Firewall được thiết kế để ngăn chặn trái phép truy cập vào và từ các mạng riêng, chẳng hạn như mạng nội bộ

VPN

Mạng riêng ảo (VPN) đề cập đến việc sử dụng Internet để truyền thông tin, nhưng theo cách an toàn hơn VPN hoạt động giống như một mạng riêng bằng cách sử dụng mã hóa và các các tính năng bảo mật để bảo mật thông tin

Ví dụ: VPN xác minh danh tính của bất kỳ ai sử dụng mạng VPN có thể giảm chi phí liên lạc đáng kể Chi phí thấp hơn vì VPN thiết bị rẻ hơn các thông tin liên lạc khác các giải pháp; đường dây thuê riêng không cần thiết để hỗ trợ truy cập từ xa; và một đường truy cập duy nhất có thể được sử dụng để hỗ trợ nhiều mục đích Để đảm bảo tính chính xác, tính toàn vẹn và tính khả dụng của dữ liệu được truyền, VPN sử dụng giao thức đường hầm Với giao thức đường hầm, dữ liệu các gói tin được mã hóa lần đầu tiên và sau đó được đóng gói thành các gói có thể được truyền qua Internet

Cisco Systems, Inc (cisco.com) cung cấp một số loại VPN