AN TOÀN DỮ LIỆU TRONG THƯƠNG MẠI ĐIỆN TỬ

AN TOÀN DỮ LIỆU TRONG THƯƠNG MẠI ĐIỆN TỬ

Bài giảng môn:

Nội dung chương V

AN TOÀN DỮ LiỆU TRONG TMĐT

z 5.1 Chữ ký điện tử

z 5.1.1 Khái niệm

z 5.1.2 Cơ chế hoạt động

z 5.1.3 Phân loại chữ ký điện tử

z 5.1.4 Ưu nhược điểm của chữ ký điện tử

z 5.1.5 Chứng thực điện tử

4/20/2008 Bộ môn CNTT - TMĐT 2

z 5.2 An toàn dữ liệu thanh toán điện tử

z 5.2.1 Tổng quan về thanh toán điện tử

z 5.2.2 Các giải pháp an toàn cho thanh toán điện tử

z 5.3 Bảo mật Web

z 5.3.1 Khái niệm về bảo mật Web

z 5.3.2 Các nguy cơ bị tấn công đối với Web

z 5.3.3 Phương pháp bảo mật Web

z 5.4 Một số giải pháp khác đảm bảo an toàn cho TMĐT

thể được sao chép, hiểu bởi máy tính và có thể

truyền đi trên mạng Internet

Định nghĩa chữ ký điện tử

số, ký hiệu, âm thanh hoặc các hình thức khác

bằng phương tiện điện tử, gắn liền hoặc kết hợp

một cách logic với thông điệp dữ liệu, có khả

năng xác nhận người ký thông điệp dữ liệu và xác

nhận sự chấp thuận của người đó đối với nội

dung thông điệp dữ liệu được ký” (Điều 21,

Khoản 1, Luật giao dịch điện tử ).

để giải quyết các tranh chấp (nếu có)

3 Yêu cầu đối với chữ ký điện tử

văn bản được ký,

dễ dàng,

điện tử

4/20/2008 Bộ môn CNTT - TMĐT 7

4 Cơ chế hoạt động của chữ ký điện tử

zHoạt động dựa trên hệ mã hóa công khai

(1 khóa công khai và một khóa bí mật)

có thể dùng khóa bí mật để giải mã và ngược lại

Hàm băm Chuỗi băm

Ví dụ về cơ chế hoạt động

chuỗi băm này => chữ ký điện tử của đoạn thông

tin này => gửi sang cho B cùng với chuỗi thông

tin ban đầu

4/20/2008 Bộ môn CNTT - TMĐT 10

Chuỗi băm Mã hóa với khóa

bí mật Chữ ký

Thông điệp ban đầu Gửi cho B

Ví dụ về cơ chế hoạt động

bằng khóa công khai của A để thu về các chuỗi

băm ban đầu => thành công=> đúng A gửi

4/20/2008 Bộ môn CNTT - TMĐT 11

Thông tin cần trao đổi

5 Phân loại chữ ký điện tử

zChữ ký điện tử trực tiếp

zChữ ký điện tử của bên thứ ba - trọng tài

viên

zQuy trình tạo chữ ký bên thứ 3

zQuy trình tạo chữ ký bên thứ 3

4/20/2008 Bộ môn CNTT - TMĐT 13

Những vấn đề nảy sinh

zM có đủ độ tin cậy hay không ?

zĐối tượng nghe trộm có thể vẫn đọc được

thông điệp X gửi cho Y hay không?

M ó thể liê kết ới X để hối bỏ thô

zM có thể liên kết với X để chối bỏ thông

điệp đã được ký?

zM liên kết với người nhận làm giả chữ ký

của người gửi ?

4/20/2008 Bộ môn CNTT - TMĐT 14

Hướng giải quyết

6 Ưu điểm của chữ ký điện tử

z(1) Chữ ký điện tử đảm bảo tính không thể

chối cãi

z(2) Có thể sử dụng chữ ký điện tử để thiết

lập một kênh truyền tin có xác nhận giữa

lập một kênh truyền tin có xác nhận giữa

bên gửi và bên nhận

4/20/2008 Bộ môn CNTT - TMĐT 16

7 Nhược điểm của chữ ký điện tử

gian dẫn đến việc làm cho quá trình giao dịch bị

chậm

thuộc vào dung lượng của thông điệp = > lượng

thông tin thực truyền sẽ bị tăng lên gấp đôi so với

lượng thông tin ban đầu

4/20/2008 Bộ môn CNTT - TMĐT 17

II CHỨNG THỰC ĐIỆN TỬ

z1 Khái niệm

người tham gia vào việc gửi và nhận thông tin qua kênh truyền,

để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin

chứng thực có uy tín trên thế giới

4 Sơ đồ chứng thực điện tử

sử dụng khóa công khai

4/20/2008 Bộ môn CNTT - TMĐT 22

5 Qui trình tạo một chứng thực điện tử

z(1) Tạo ra một cặp khóa công khai và khóa

bí mật của riêng mình,

z(2) Gửi yêu cầu xin cấp chứng thực điện tử,

z(3) CA nhận và kiểm tra sự chính xác của

z(3) CA nhận và kiểm tra sự chính xác của

thông tin nhận được,

z(4) CA sẽ tạo ra một chứng thực điện tử,

4/20/2008 Bộ môn CNTT - TMĐT 23

5 Quy trình tạo chứng thực điện tử (T)

hóa bằng khóa bí mật của mình => gửi trở lại cho

đơn vị đăng ký chứng thực điện tử,

thuê bao có thể thông báo lại tới CA là đã nhận

thuê bao, có thể thông báo lại tới CA là đã nhận

được,

điện tử ,

chỉ vào nhật ký kiểm toán

6 Thiết lập kênh truyền

hợp lệ, mã hóa Gửi bản mã cuối cùng cho bền nhận

III An toàn dữ liệu thanh toán điện tử

z1 Khái niệm

bán tiến hành thanh toán với nhau

thực hiện hoàn toàn trên các máy tính

toán trong mua bán truyền thống nhưng được thực hiện thông qua các máy tính nối mạng với các giao thức riêng, chuyên dụng

4/20/2008 Bộ môn CNTT - TMĐT 26

Thanh toán điện tử

2 Hoạt động giao dịch điện tử

4/20/2008 Bộ môn CNTT - TMĐT 28

3 Mô hình

zMột mô tả hoạt động của một hệ thống

thương mại có nhiều bên tham gia.

(người được trả tiền)

tính này được nối với nhau thông qua mạng máy tính để thực hiện các giao thức thanh toán điện tử

là các ngân hàng đại diện cho mỗi bên

4/20/2008 Bộ môn CNTT - TMĐT 29

Một quy trình giao giao dịch điện tử

3 Đặc trưng

zCác bên khi tham gia giao dịch thay vì

chuyển tiền sẽ trao đổi với nhau các chứng

từ được số hóa

zBản chất của quá trình này là các bên tham

gia sẽ sử dụng hệ thống ngân hàng để thực

hiện việc chuyền tiền mặt vào tài khoản của

nhau trong quá trình giao dịch.

4/20/2008 Bộ môn CNTT - TMĐT 31

Các bên tham gia trong giao dịch điện tử

4/20/2008 Bộ môn CNTT - TMĐT 32

4 Các thành phần trong hệ thống

nhà c ng cấpnhà cung cấp,

của khách hàng

5 Đặc trưng của hệ thống thanh toán điện tử

điều kiện vật lý nào

Có khả năng ngăn chặn gian lận à giả mạo

z(2) Không thể giả mạo

z(3) Không thể tăng giá trị sử dụng

z(3) Không thể tăng giá trị sử dụng

4/20/2008 Bộ môn CNTT - TMĐT 35

Nhóm giải pháp mang tính tức thời cho an

toàn thanh toán

zĐối với ngân hàng:

an ninh gắn tại các điểm rút tiền

kiểm soát nạn lắp đặt camera để lấy số PIN

Đối với khách hàng:

đảm giữ bí mật số pin

hàng chứ không phải bất cứ một thiết bị nào khác, để đảm bảo thẻ không bị sao chép dữ liệu

pin

nếu có

4/20/2008 Bộ môn CNTT - TMĐT 37

Nhóm giải pháp lâu dài

zĐối với ngân hàng nhà nước:

zCần trang bị lắp đặt camera tại các điểm

ATM

zChuyển đổi hình thức thẻ từ sang thẻ chíp.

z Kết hợp các biện pháp bảo mật và an toàn

khác

4/20/2008 Bộ môn CNTT - TMĐT 38

Đối với khách hàng:

zCần có sự hợp tác chặt chẽ với ngân hàng

nơi mình là chủ tài khoản

zKết hợp với ngân hàng trong vấn đề gia

tăng tính bảo mật dữ liệu chính là bảo vệ

ề quyền lợi của chính mình

Sử dụng công nghệ các nước tiên tiến

zWatermark: bảo vệ thẻ nhựa

zDeedMark: bảo vệ tài liệu giấy, sổ tiết kiệm

zQ-Mark: bảo vệ tài liệu giấy và các giấy tờ

ó iá ă bằ hứ hỉ ổ tiết kiệ

có giá, văn bằng chứng chỉ, sổ tiết kiệm

zCông nghệ thẻ nhận dạng giọng nói

zSử dụng chữ ký trên kỹ thuật tạo ảnh ba

gian lận trong thanh toán thẻ tín dụng

z“Antifraud Software” bao gồm:

forwarding, Webmail

ủcủa người mua dựa trên “Red Flag”

zGiải pháp của CyberSource

Hoạt động của IVS

zHoạt động nhờ vào sự phân tích những nét

đặc trưng của mỗi giao dịch gồm:

zđịa chỉ IP,

zvị trí địa lý,

zTương thích với nhiều phần mềm khác

nhau

4/20/2008 Bộ môn CNTT - TMĐT 46

IV BẢO MẬT WEB

1 Bảo mật Web là gì?

tài nguyên của hệ thống máy tính

nhận danh tính hết sức khó khăn

Web hoạt động liên tục, không hạn chế người truy cập

4/20/2008 Bộ môn CNTT - TMĐT 47

2 Những yếu tố cơ bản về bảo mật Web

z(1) Toàn bộ cơ sở dữ liệu của trang Web

z(2) Thông tin cá nhân về các khách hàng

Đặc biệt, là các trang Web TMĐT, các trang

có yêu cầu thanh toán

z(3) Toàn bộ tài nguyên của hệ thống

3 Tại sao cần bảo mật Web?

ảnh => trang Web bị “chết” => việc quảng bá hình

ảnh gặp thất bại

nhiều phía

thông tin nhạy cảm của DN và đối tác DN,

của người bán và người mua hàng

4/20/2008 Bộ môn CNTT - TMĐT 49

Hoạt động của một trang Web trên mạng

Các yêu cầu của người dùng (request) Đáp ứng từ máy

4/20/2008 Bộ môn CNTT - TMĐT 50

CSDL

p g y chủ (Response)

Người

dùng

TÀI NGUYÊN

HỆ THỐNG

4 Các nguy cơ bị tấn công

cắp thông tin khi nhận/ truyền tin

Một số thông tin các vụ tấn công

STT Công ty bị tấn công Kiểu tấn công Mức độ thiệt hại

(thời gian)

zBảo mật máy cá nhân

zBảo mật đường truyền

zBảo mật đường truyền

zBảo mật thanh toán điện tử

Tiêu chí lựa chọn Web Server

người dùng (timestemp response)

zChú ý:

zChú ý:

cập, các chính sách mở rộng, các vấn đề nảy sinh trong quá trình trang Web hoạt động đều phải có sự thỏa thuận với nhà cung cấp Web Server trước khi Web đi vào hoạt động

4/20/2008 Bộ môn CNTT - TMĐT 59

Mô hình Web Server

Web Server và các ứng dụng

4/20/2008 Bộ môn CNTT - TMĐT 61

Web Server

4/20/2008 Bộ môn CNTT - TMĐT 62

Các chính sách bảo mật đối với máy chủ Web

chủ,

có đặt Firewall vào Internet

Web Server theo thời gian và lưu trữ vào một

thiết bị khác

đối với các trang TMĐT

Cơ chế bảo mật Web Server

Máy chủ Web

Internet

Router/Firewall

4/20/2008 Bộ môn CNTT - TMĐT 64

Máy backup

dữ liệu

Máy tính của người dùng

Bảo mật Web Server với Firewall

4/20/2008 Bộ môn CNTT - TMĐT 65

Các chính sách bảo mật đối với máy chủ Web (T)

tới mà đã được xây dựng sẵn

không rõ nguồn gốc

Tăng tính bảo mật Website thương mại

z(1) Kiểm soát truy nhập và xác thực:

tử

4/20/2008 Bộ môn CNTT - TMĐT 67

Tăng tính bảo mật Website thương mại (T)

z(2) Kiểm soát của hệ điều hành:

cho máy chủ Website thương mại

server

cao chống lại các truy nhập trái phép và đảm bảo toàn vẹn dữ liệu máy chủ

4/20/2008 Bộ môn CNTT - TMĐT 68

Tăng tính bảo mật Website thương mại (T)

z(3) Bảo vệ hệ thống máy chủ - máy khách

thư điện tử, Cookie, giả mạo Web

(3) Bảo vệ hệ thống máy chủ - máy khách và

các kênh truyền

zb) Bảo vệ các máy chủ thương mại

ứng các yêu cầu từ trình duyệt dùng các giao thức HTTP và CGI Script

máy chủ FTP, máy chủ thư tín, máy chủ đăng nhập từ xa và hệ điều hành trên các máy Host đều cần bảo vệ

4/20/2008 Bộ môn CNTT - TMĐT 70

(3) Bảo vệ hệ thống máy chủ - máy khách và

các kênh truyền

zC) Bảo vệ các kênh truyền

kênh truyền như SSL, WEP, SET,

cần kiểm tra các trang Https khi cần giao dịch trực tuyến

4/20/2008 Bộ môn CNTT - TMĐT 71

MỘT SỐ GIẢI PHÁP KHÁC ĐẢM BẢO AN TOÀN TMĐT

z(1) Mạng vành đai (Demilitarized Zone - DMZ

z(2) Tường lửa cá nhân (Personal Firewall)

z(3) Mạng riêng ảo (Virtual Private Network):

z(4) Hệ thống dò tìm thâm nhập (Intrusion ( ) ệ g ập (

Detection Systems – IDSs)

Mạng riêng ảo

4/20/2008 Bộ môn CNTT - TMĐT 76

Mạng riêng ảo

mạng dành riêng để kết nối các máy tính của các

công ty, tập đoàn hay các tổ chức với nhau thông

qua mạng Internet công cộng

mọi lúc, mọi nơi

các thực thể bên ngoài tới những tài nguyên của tổ chức

4/20/2008 Bộ môn CNTT - TMĐT 77

Mạng riêng ảo

- Honeypot là một hệ thống tài nguyên thông tin

được xây dựng với mục đích giả dạng đánh lừa

những kẻ sử dụng và xâm nhập không hợp pháp,

thu hút sự chú ý của chúng, ngăn không cho

chúng tiếp xúc với hệ thống thật

- Honeypot có thể giả dạng bất cứ loại máy chủ

tài nguyên nào như là Mail Server, Domain Name

Server, Web Server…

zHoneynet là một hệ thống thật, hoàn toàn

giống một mạng làm việc bình thường

- Các luồng dữ liệu khi vào và ra từ

honeypots đều phải đi qua honeywall

4/20/2008 Bộ môn CNTT - TMĐT 82

Kiến trúc Honeynet

4/20/2008 Bộ môn CNTT - TMĐT 83

Các chức năng của Honeynet

zĐiều khiển dữ liệu

zThu nhận dữ liệu

zPhân tích dữ liệu ệ

zThu thập dữ liệu

Từ khóa

zChữ ký điện tử (Digital signature)

zChứng thực điện tử (Digital certification)

zAn toàn thanh toán (Security payment,

Safegard payment)

Safegard payment)

zThanh toán điện tử (Electronic Payment,

Digital payment)

zGiao dịch điện tử (Digital transaction)

zBảo mật Web (Web security)

4/20/2008 Bộ môn CNTT - TMĐT 85

Câu hỏi

toàn dữ liệu thanh toán điện tử?

dữ liệu thanh toán điện tử?

4/20/2008 Bộ môn CNTT - TMĐT 86

Câu hỏi

zBảo mật Web là gì? Tại sao cần bảo mật

Web?

zHãy nêu các phương pháp sử dụng để bảo

mật Web? Ưu và nhược điểm của mỗi

phương pháp?

zHãy trình bày một quy trình giao dịch điện

tử mà em biết? (Gợi ý: Quy trình thanh toán

bằng sivi card, visa card, master card, )