bài giảng an toàn và bảo mật trong thương mại điện tử

Mã hóa khóa công khai – khóa không đối xứng.Sử dụng hai khóa khác nhau: -Khóa công khai public key: được gửi công khai trên mạng -Khóa bí mật private key: được giữ bí mật... Chữ ký số*Ch

An Toàn Và Bảo Mật Trong

Thương Mại Điện Tử

Click to add your text

NỘI DUNG

Tổng quan về vấn đề an toàn

và bảo mật trong thương

Thực trạng

và giải pháp cho vấn đề

an toàn và bảo mật trong TMĐT Phần 1

GIAN LẬN TRONG THƯƠNG MẠI ĐIỆN TỬ?

Định nghĩa:

-Các hành vi gian lận thanh toán trên Internet nhằm lấy trộm thông tin nhận dạng, hàng hóa, tài khoản…dưới nhiều hình thức khác nhau.

Ai có nguy cơ bị gian lận trực tuyến?

-Cần nhấn mạnh ở đây là tất cả các doanh nghiệp đều có nguy cơ chịu rủi ro, bất kỳ doanh nghiệp nào, vào bất kỳ lúc nào

Truy cập vào các

hệ thống thanh

toán

XÂY DỰNG CHÍNH SÁCH BẢO MẬT

Các lỗ hổng bảo mật

Xác định nguy cơ đối với hệ thống

Phương án thực thi CSBM

Xác định độ ưu tiên của từng đối tượng

Mục tiêu bảo mật

HOÀN THIỆN CHÍNH SÁCH BẢO MẬT

Có tính khả thi và thực thi cao

Có thể nhanh chóng phát hiện và ngăn ngừa các hoạt động tấn

công.

Có các công cụ hữu hiệu và đủ mạnh để hạn chế hoặc chống lại các cuộc tấn công vào hệ thống.

Tiêu chí

1

2

3

Tính bí mật

Tính toàn vẹn Tính sẵn sàng

BẢO MẬT THÔNG TIN

An toàn và bảo mật trong thanh toán điện tử

đề cốt yếu của TMĐT

bảo mật thông tin thương mại.

toàn bộ thông tin hay ít nhất cũng dùng chữ ký điện tử

Xác thực

Tính toàn Vẹn

Mã hóa

Tính không thoái thác

4 yêu cầu trong bảo mật trong TTĐT

 B Mã hóa khóa công khai – khóa không đối xứng.

Sử dụng hai khóa khác nhau:

-Khóa công khai (public key): được gửi công khai trên mạng

-Khóa bí mật (private key): được giữ bí mật

2 Chữ ký số

*Chữ ký số khóa công khai là mô hình sử dụng các kỹ thuật mật

mã để gắn với mỗi người sử dụng một cặp khóa công khai - bí

mật và qua đó có thể ký các văn bản điện tử cũng như trao đổi

các thông tin mật

Có chức năng xác minh yêu cầu của người sử dụng

muốn xác thực một chứng chỉ số và yêu cầu CA đưa ra

kết quả

• Cơ sở hạ tầng khóa công khai

Cho phép các công ty và người sử dụng trao đổi thông

tin và hoạt động tài chính một cách an toàn

• Ứng dụng của chứng chỉ số

Mã hóa thông tin,toàn vẹn thông tin,xác thực,chống

chối cãi nguồn gốc,bảo mật email,bảo mật web,chống

sao chép lậu phần mềm.

Các nhà cung cấp chứng chỉ số

THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỂ

AN TOÀN VÀ BẢO MẬT TRONG TMĐT

I Bảo vệ mạng doanh nghiệp

1 Firewall

◘ Bức tường lửa (firewall) là hàng rào chắn đầu tiên của mạng doanh nghiệp chống lại những sự dòm ngó từ bên ngoài

◘ Hai tiêu chuẩn chính là

gateway (thiết bị điều khiển

giao dịch giữa các mạng dựa

trên địa chỉ mạng) và bộ lọc

các gói thông tin (packet

filter)

khó cấu hình và tốc

 ĐẶC ĐIỂM

BỘ LỌC GÓI THÔNG TIN

B Phân tích từng packet riêng để đảm bảo nguyên bản về mặt vật lý phù hợp với

địa chỉ IP của nó

C Dễ dàng bị thay đổi để trở thành 1 gói thông tin đến từ một hệ thống hợp pháp

A Kiểm tra tính hợp pháp của gói thông tin tiếp cận và đọc dữ liệu

Chương 2: THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỀ

AN TOÀN VÀ BẢO MẬT TRONG TMĐT

■ Chi phí thấp cho mạng, chuyển từ việc

sử dụng đường dây thuê bao

(leased-line) đắt tiền sang một Internet rẻ hơn.

■ Bảo vệ cho những mạng riêng biệt

trong một công ty

■ Thông tin gửi qua các tunnell Internet

được đảm bảo an toàn đến từng bit như

phương pháp truyền bằng đường thuê

bao

■ Những người ủng hộ cho tunnell lại

bị hạn chế “tính tuyệt đối”

■ Khả năng tương thích hạn chế

Chương 2: THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỀ

AN TOÀN VÀ BẢO MẬT TRONG TMĐT

1

Firewall không thể đảm bảo cho toàn bộ nhu cầu an toàn đối với đường nối vào Internet của một công ty

Có rất nhiều

lỗ hổng trên firewall nếu

đó là công

cụ bảo toàn duy nhất

Việc quản lí an ninh luộm

thuộm có thể gây ra những rắc rối đau đầu

Chương 2: THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỀ

AN TOÀN VÀ BẢO MẬT TRONG TMĐT

Text Text Text

AN NINH

Text

Thực hiện, định cấu hình hay quản

lí firewall hoặc tunnel là công việc phức tạp và khó khăn với

nhiều công ty

Các công ty và các nhà quản lí cũng nên phải theo sát thị trường để có thể chọn ra các giải pháp an ninh cho Internet

4 Việc quản lí an ninh

Chương 2: THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỀ

AN TOÀN VÀ BẢO MẬT TRONG TMĐT

5 Cấu hình an ninh cho mạng doanh nghiệp

■ Trên cơ sở cấu hình mặc định, sử dụng tiện ích Local

sercurity Policy (cho mạng Workgroup) hoặc Domain

Sercurity Policy (cho mạng domain) để chỉnh sửa các tham

số nhằm tăng cường bảo mật.

■ Trong khi lắp đặt, bảo mật tỉ lệ nghịch với chức năng

■ Cấu hình an ninh là tập hợp các tham số an ninh Một tham

CấU HÌNH AN NINH CHO MẠNG DOANH

NGHIỆP

■ Cấu hình an ninh nằm trong tiện ích Registry và những chương trình nói trên đều là những chương trình biên tập Registry

■ Trong Workgroup, muốn áp dụng một cấu hình mẫu cho nhiều máy.Như vậy, cần phải có phương tiện Hãy thực hiện như sau:

+ Xuất cấu hình từ registry ra file

+ Nhập file cấu hình vào registry

+ Biên tập file cấu hình

II Giải pháp an toàn trong thanh

toán điện tử

Click to add your text

SLL-Secure Sockets Layer

bảo đảm sự an toàn của kết nối

khách (client) – chủ (server) trên môi trường Internet

1 SLL-Secure Sockets Layer

để chứng thực tính toàn vẹn

3

Mã hóa toàn bộ thông tin

để đảm bảo tính bí mật

Một quá trình bắt tay bao gồm:

mã hóa .

3

Trình duyệt yêu cầu và nhận chứng thực số từ server

(không bắt buộc).

4

Server yêu cầu và nhận chứng thực

số từ trình duyệt

2 SET - Secure Electronic Transaction

cầu về bảo mật cho TMĐT giống như SSL: sự xác thực, mã hóa, tính chân thực và không thoái thác.

SET- Secure Electronic Transaction

cũng tham gia trong quá trình giao dịch với vai trò người trung gian

SET- Secure Electronic Transaction

phải tải một phần mềm đặc biệt gọi là ví điện tử (electronic wallet) hay ví số

(digital wallet)

So sánh SSL và SET

thanh toán.

được ứng dụng rộng rãi

Với SET thì các thành phần tham gia TMĐT

được hưởng những lợi ích gì?

Doanh nghiệp (người bán) được bảo vệ không bị mất hàng hoá hay dịch vụ bởi:

+Những thẻ tín dụng không hợp lệ.

+Người chủ thẻ không đồng ý chi trả.

Ngân hàng được bảo vệ bởi:

+Giao dịch mua bán không được sự đồng ý giữa các thành phần tham gia vào giao dịch hoặc các giao dịch không hợp lệ (Thẻ tín dụng không hợp lệ, người bán giả danh )

Người mua được bảo vệ để:

+Không bị đánh cắp thẻ tín dụng.

+Không bị người bán giả danh

NHỮNG HÌNH THỨC GIAN LẬN TRONG TMĐT

4.Keylogger

5 Các phòng chống gian lận 1 Phishing

2 Spear Phishing

Nội dung

Phishing

một email giả danh một công ty hợp

pháp, chẳng hạn như Ebay hay

CityBank

2 Spear Phishing

nhằm vào các thông tin nhạy cảm của

cả một tổ chức thuộc cá nhân hay

chính phủ

mục tiêu cụ thể

3 Pharming

 Kẻ cắp thay đổi địa chỉ IP của trang

web mà bạn muốn truy cập.

tên của trang bạn muốn nhưng bạn

được dẫn tới một trang web giả mạo

tấn công được vào máy chủ DNS của

và thay đổi địa chỉ IP của trang web

3 Pharming

vào, máy chủ DNS sẽ biên dịch tên

trang web thành địa chỉ IP và kết nối tới trang có địa chỉ IP đó.

4 Keylogger

theo dõi quá trình đánh bàn phím của

người dùng Chúng ăn cắp thông tin theo vài cách

5 Các phòng chống gian lận

Nếu bạn là khách hàng

Nếu bạn là người kinh doanh

 Dịch vụ kiểm tra tài khoản:

 Dịch vụ xác minh người mua:

 Dịch vụ an toàn quản lý:

5 Các phòng chống gian lận

NẾU BẠN LÀ NGƯỜI KINH DOANH

NẾU BẠN LÀ KHÁCH HÀNG

+Dịch vụ kiểm tra tài khoản:

+Dịch vụ xác minh người mua:

+Dịch vụ an toàn quản lý:

Các kiểu tấn công phổ biến trên

mạng máy tính

TEX

T

TEX T

TEX T

TEX T

Kẻ tấn công gửi các gói tin

IP tới mạng với một địa chỉ

IP giả mạo

Tấn công làm tê liệt hệ thống, không cho thực hiện chức năng hệ thống

TRỰC

TIẾP

Lỗi của người quản trị gây ra một lỗ hổng cho phép kẻ tấn công truy nhập vào mạng nội bộ

Giả làm người dùng

để yêu cầu thay đổi mật khẩu, quyền truy nhập, thậm chí là cấu hình hệ thống

NGHE TRỘM

ĐỊA CHỈ

HỆ THỐNG QUẢN TRỊ

CON NGƯỜI

Tấn công từ chối dịch vụ - DoS

cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động.

Các hình thức tấn công

SYN Attack

Smurf Attack DRDoS

Tear drop

Tấn công từ chối dịch vụ - DoS

Tấn công từ chối dịch vụ - DoS

Tấn công từ chối dịch vụ - DoS

Tấn công từ chối dịch vụ - DoS

1

Mới xuất hiện gần đây nhưng

là loại nguy hiểm nhất

2

Dùng một máy tấn công thông qua các server lớn

3

Nhanh chóng làm nghẽn đường truyền của máy nạn

nhân

Kiểm tra băng thông

Đầu tư nâng cấp phần cứng

Chuyển dịch vụ web hosting

Kỹ thuật bắt gói tin dùng Sniff

 Khái niệm

 Chức năng

các lỗi hay các gói tin lạ

 Điều kiện xảy ra

Kỹ thuật bắt gói tin dùng Sniff

Môi trường có các thiết bị

Cơ chế ARP và RARP

Phát đi các gói tin thông báo

cho máy gửi gói tin là “Tôi là

người nhận” mặc dù không

phải là người nhận

Cơ Chế Hoạt Động

Các host bị broadcast các gói tin

đi trong mạng từ đó có thể bắt

gói tin lại xem

Chiếm băng thông mạng

Nếu lượng gói gửi đi lớn gây

nghẽn mạng

Đặc Điểm

Các máy tự broadcast các gói

tin Rất khó phát hiện

 Các loại Sniff

Kỹ thuật bắt gói tin dùng Sniff

Dựa trên băng thông

Khó phát hiện

Dùng thiết bị có chức năng lọc MAC

Dựa vào quá trình đầu độc ARP

Dựa vào công cụ

Cách

phát hiện

Khó phòng chống

Bằng công cụ kiểm tra băng thông

Bằng công cụ bắt gói tin

Phòng chống

THANK YOU !