Professional Documents
Culture Documents
4.1
3
4.1.1 ĐỊNH NGHĨA AN TOÀN TMĐT
_______________________________
Khái niệm
4
4.1.1 ĐỊNH NGHĨA AN TOÀN TMĐT
_______________________________
1 2 3
Yêu cầu từ
phía người
dùng
+
Yêu cầu
từ cả hai
phía
Yêu cầu từ
phía doanh
6
nghiệp
4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT
_______________________________
Yêu cầu từ phía
người dùng
9
4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT
_______________________________
Những vấn đề cần thực hiện để đảm bảo
an toàn TMĐT
Xác thực
(Authentication) Cấp phép
(Authorization)
Kiểm soát
(Auditing) 10
4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT
_______________________________
Những vấn đề cần thực hiện để đảm bảo
an toàn TMĐT
Tính bí mật của thông tin Tính toàn vẹn của thông tin
(Privacy) (Integrity)
Tính sẵn sàng của thông tin Tính chống từ chối phủ nhận
(Availability) (Nonrepudation)
11
4.1.2 NHỮNG VẤN ĐẶT RA CHO AN TOÀN TMĐT
_______________________________
Trình duyệt Web Chương trình Lưu trữ
Web server CGI,… (CSDL)
Internet
Tính riêng tư
Toàn vẹn
Xác thực Xác thực Tính riêng tư
Cấp phép Toàn vẹn
Kiểm soát
Bên ngoài
doanh
Bên trong
nghiệp
doanh
nghiệp
13
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
14
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Virus
Hacker Worm
Trojan
Adware horse
Spyware 15
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
4.2.1.1 Virus
Khái niệm
16
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tác hại của virus
Phá huỷ các chương trình, các tệp dữ liệu, xoá sạch các
thông tin hoặc định dạng lại ổ đĩa cứng của máy tính.
Tác động và làm lệch lạc khả năng thực hiện của các
chương trình, các phần mềm hệ thống.
17
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Phân loại
Virus
macro
Virus Virus
script tệp
18
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Virus macro
Đây là loại virus đặc biệt, chỉ nhiễm vào các tệp ứng
dụng được soạn thảo, chẳng hạn như các tệp văn bản
của Microsoft Word, Excel và PowerPoint.
19
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Virus macro
Virus macro cũng có thể dễ lây lan khi gửi thư điện tử
có đính kèm tệp văn bản.
20
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Virus macro
Melissa virus
Virus macro này phát tán khi người dùng mở tài liệu
Microsoft Word bị nhiễm. Tiêu đề của e-mail có file hiểm
độc đó mang tên: "Đây là tài liệu mà bạn cần… đừng cho
bất kỳ ai xem". Một khi người dùng mở file đính kèm,
Melissa sẽ lợi dụng Microsoft Outlook để gửi mình tới 50
nhân vật đầu tiên trong hộp thư địa chỉ của nạn nhân.
21
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Là những virus thường lây nhiễm vào các tệp tin có thể
thực thi, như các tệp tin có đuôi là *.exe, *.com, *.drv
và *.dll.
22
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Virus này sẽ hoạt động khi chúng ta thực thi các tệp tin
bị lây nhiễm bằng cách tự tạo các bản sao của chính
mình ở trong các tệp tin khác đang được thực thi tại thời
điểm đó trên hệ thống.
Loại virus tệp này cũng dễ dàng lây nhiễm qua con
đường thư điện tử và các hệ thống truyền tệp khác
23
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
__________________________
Virus tệp (file-infecting virus)
Virus Chernobyl
Chernobyl là một loại virus hẹn giờ, cứ ngày 26 tháng 4
hàng năm nó sẽ phá hủy dữ liệu của máy tính mà nó đang
lây nhiễm.
Virus này sẽ hoạt động khi chúng ta chạy một tệp chương
trình dạng *.vbs hay *.js có nhiễm virus.
25
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Virus script
Virus “I LOVE YOU” (hay còn gọi là virus tình yêu), loại
virus chuyên ghi đè lên các tệp *.jpg và *.mp3, là một
ví dụ điển hình của loại virus này.
26
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
4.2.1.2 Worm
Khái niệm
27
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Sâu Morris
29
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
4.2.1.3 Trojan horse
Khái niệm
30
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Cơ chế lây nhiễm
Trojan có thể nhiễm vào máy của bạn qua tệp tin gắn
kèm thư điện tử mà bạn đã vô tình tải về và chạy thử,
hoặc có lẫn trong những chương trình trò chơi, nhưng
chương trình mà bạn không rõ nguồn gốc...
Cho phép hacker điều khiển máy tính của người khác từ
xa.
Xoá hay viết lại các dữ liệu trên máy tính, làm hỏng chức
năng của các tệp, lây nhiễm các phần mềm ác tính khác
như là virus.
Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng, đọc
các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu
32
phạm tội.
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
4.2.1.4 Adware (Phần mềm quảng cáo ngụy trang)
Khái niệm
33
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Cơ chế lây nhiễm
Đi theo các phần mềm miễn phí, dùng thử, các phần mềm
bẻ khóa (crack, keygen): khi bạn cài đặt hoặc chạy các
phần mềm này, Adware sẽ cài đặt lên máy tính của bạn.
34
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
35
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tác hại của adware
Là hiện lên những quảng cáo bất hợp pháp mà chưa được
người dùng cho phép, thường xuyên hiện lên máy bắt bạn
phải mua mới thôi.
Nhanh chóng kết hợp với các sâu máy tính hoặc virus để
tăng hiệu quả tấn công phá hủy hệ thống máy tính hoặc
cơ sở dữ liệu.
36
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
4.2.1.5 Spyware (Phần mềm gián điệp)
Khái niệm
Spyware là một chương trình phần mềm được cài đặt một
cách lén lút và theo dõi mọi hoạt động của người sử dụng
trên máy tính. Spyware có khả năng xâm nhập trực tiếp
vào hệ điều hành, không để lại dấu vết gì.
37
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Cơ chế lây nhiễm
Một khi đã cài đặt, spyware điều phối các hoạt động
của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu
thông tin đến một máy khác.
38
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tác hại của spyware
Ăn cắp mật khẩu truy nhập cũng như ăn cắp các các tin
tức riêng tư của người chủ máy (như là số tài khoản ở
ngân hàng, ngày sinh và các con số quan trọng khác...)
39
Tin tặc
Khái niệm
Hacker là người có thể viết hay chỉnh sửa phần mềm, phần
cứng máy tính bao gồm lập trình quản trị và bảo mật.
Những người này hiểu rõ hoạt động của hệ thống máy tính,
mạng máy tính và dùng kiến thức bản thân để làm thay
đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau.
40
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Phân loại
Hacker mũ đen
Hacker mũ trắng
Hacker mũ xanh
Hacker mũ xám
41
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Các hình thức tấn công phổ biến
Tấn công từ
Tấn công thay
chối dịch vụ
đổi giao diện
(DoS)
(Deface)
42
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tấn công thay đổi giao diện (Deface)
Khái niệm
Đây là hình thức tấn công chiếm quyền kiểm soát ở mức
cao nhất và cũng là hình thức tấn công mà mọi tin tặc
đều mong muốn thực hiện vì chứng tỏ đẳng cấp và trình
độ của tin tặc.
43
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Cách thức tấn công
Những website có đuôi: .gov, .vn là những website dễ tấn
công nhất.
Khai thác lỗ hổng bảo mật của hệ thống hoặc phần mềm
và hacker xâm nhập được vào sâu trong máy chủ của một
website và chiếm quyền kiểm soát máy chủ, sau đó sử
dụng quyền này để tạo ra những thay đổi về mặt nội
dung, cũng như giao diện của website đó, vì thế khi người
sử dụng truy cập vào website này chỉ có thể nhìn thấy
44
được các hình ảnh nội dung mà hacker tải đầy đủ.
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Một số vụ tấn công deface điển hình
Chodientu.vn bị tấn công
45
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Một số vụ tấn công deface điển hình
Chodientu.vn
46
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Một số vụ tấn công deface điển hình
Chodientu.vn
47
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Một số vụ tấn công deface điển hình
Vietnamnet.vn bị tấn công
48
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Một số vụ tấn công deface điển hình
Vietnamnet.vn
49
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tấn công khước từ dịch vụ
Khái niệm
50
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Khái niệm
Peter
Internet
Anne Server
51
Anne không thể truy cập vào website
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Phân loại
52
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tấn công từ chối dịch vụ (DoS)
Là hình thức dùng 1 máy chủ gửi hàng loạt yêu cầu
(request) sang 1 máy chủ khác nhằm làm tê liệt đường
truyền và chiếm tài nguyên băng thông.
53
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Hacker
Server
54
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Tấn công từ chối dịch vụ phân tán (DDoS)
Là hình thức dùng nhiều máy chủ hay client gửi yêu cầu
(request) đến máy chủ chứa ứng dụng và cũng làm tê
liệt đường truyền và chiếm tài nguyên máy chủ.
55
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
56
4.2.1 CÁC NGUY CƠ TẤN CÔNG BÊN NGOÀI
DOANH NGHIỆP
_______________________________
Đặc điểm – Tác hại
Liên tục gửi các gói tin yêu cầu kết nối đến server làm cho
server bị quá tải dẫn đến không thể phục vụ các kết nối
khác.
Không lấy mất thông tin của hệ thống, nó thường chỉ gây
cho hệ thống tê liệt, không hoạt động được, và đôi khi gây
hỏng hóc hoặc phá hoại thông tin có trên hệ thống.
Gây thiệt hại về tiền bạc, uy tín cho nhà cung cấp dịch vụ,
và thiệt hại gián tiếp của khách hàng sử dụng dịch vụ.
57
4.2.2 CÁC NGUY CƠ TẤN CÔNG BÊN TRONG
DOANH NGHIỆP
_______________________________
58
4.3 MỘT SỐ GIẢI PHÁP CÔNG NGHỆ ĐẢM BẢO
AN TOÀN THƢƠNG MẠI ĐIỆN TỬ
_______________________________
59
4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC
_______________________________
4.3.1.1 Khái niệm
60
4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC
_______________________________
4.3.1.2 Các phương thức kiểm soát truy cập và xác thực
Thẻ (Token)
61
4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC
_______________________________
Mật khẩu
62
4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC
_______________________________
Thẻ (Token)
Token bị động
Phần lớn thẻ bị động là thẻ nhựa có gắn dải từ. Người
dùng cà thẻ bị động vào một đầu đặt gắn kết với máy
tính hoặc trạm công tác, sau đó nhập mật khẩu và nhận
được quyền truy cập vào mạng.
63
4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC
_______________________________
Token chủ động
Token tự tạo các dãy mã số một cách ngẫu nhiên (gồm 06
chữ số hiện ra trên màn hình phía trên Token) và thay đổi
liên tục trong một khoảng thời gian nhất định (30 giây
hoặc 60 giây).
64
4.3.1 KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC
_______________________________
Hệ thống sinh trắc trong xác thực
65
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Kỹ thuật mã
hóa thông tin
Mã hóa khóa
Chữ ký điện tử 66
công khai
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
4.3.2.1 Kỹ thuật mã hóa thông tin
Khái niệm
Mã hoá thông tin là quá trình chuyển các văn bản hay
các tài liệu gốc thành các văn bản dưới dạng mật mã để
bất cứ ai, ngoài người gửi và người nhận, đều không thể
đọc được.
67
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Khái niệm
Key = 3 Mã hóa
68
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Bản mờ
Khái niệm
Mã hóa
Bản rõ
69
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
70
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
4.3.2.2 Mã hóa khóa bí mật (Mã hóa khóa đơn)
Khái niệm
71
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Quá trình mã hóa
72
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Bob Anne
Internet
Mã hóa Giải mã
Ưu điểm
74
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Nhược điểm
Nhược
Khó khăn trong vấn đề tạo lập, phân phối, lưu trữ và quản lý khóa
điểm
Không dùng cho mục đích xác thực, hay chống phủ nhận được
75
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Khái niệm
77
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Quá trình mã hóa
Mã hóa
Bob
Internet
--------------------------------------------------------------------
Giải mã
79
Alice
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Ưu điểm
Không cần phải phân phối khóa giải mã như trong mã hóa
Ưu đối xứng
điểm Gửi thông tin mật trên đường truyền không an toàn mà
không cần thỏa thuận khóa từ trước
80
4.3.2 CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
_______________________________
Nhược điểm
Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ
hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp.
81
4.3.3 CHỮ KÝ ĐIỆN TỬ
_______________________________
4.3.3.1 Khái niệm
Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký
hiệu, âm thanh hoặc các hình thức khác bằng phương tiện
điện tử, gắn liền hoặc kết hợp một cách logic với thông
điệp dữ liệu, có khả năng xác nhận người ký thông điệp
dữ liệu và xác nhận sự chấp thuận của người đó đối với
nội dung thông điệp dữ liệu được ký
82
4.3.3 CHỮ KÝ ĐIỆN TỬ
_______________________________
Hàm băm
Cơ sở hạ
tầng CKĐT
Mã hóa
khóa công
khai
83
4.3.3 CHỮ KÝ ĐIỆN TỬ
_______________________________
Hàm băm
Khái niệm
Ít xảy ra đụng độ
84
Dữ liệu đầu vào với độ dài bất kỳ thì luôn sinh ra giá
trị băm với độ dài cố định.
Giá trị trả lại của hàm băm là duy nhất đối với mỗi giá
trị đầu vào
Từ giá trị của hàm băm không thể suy ra được dữ liệu
đầu vào ban đầu ( tính một chiều của hàm băm)
86
4.3.3 CHỮ KÝ ĐIỆN TỬ
_______________________________
Hàm băm
Hợp Hợp
đồng đồng rút Chữ ký số
gốc gọn
87
4.3.3 CHỮ KÝ ĐIỆN TỬ
_______________________________
4.3.3.3 Quy trình gửi thông điệp sử dụng CKĐT
B1: Tạo một hợp đồng gốc.
B2: Sử dụng hàm băm (thuật toán Hash) để chuyển từ hợp
đồng gốc sang hợp đồng rút gọn.
B3: Người gửi sử dụng khóa riêng để mã hóa hợp đồng rút
gọn. Hợp đồng rút gọn sau khi được mã hóa gọi là chữ ký
điện tử.
B4: Người gửi mã hóa cả hợp đồng gốc và chữ ký số sử
dụng khóa công khai của người nhận. Hợp đồng gốc và
chữ ký số sau khi được mã hóa gọi là phong bì số.
B5: Người gửi gửi phong bì số hóa cho người nhận 88
4.3.3 CHỮ KÝ ĐIỆN TỬ
_______________________________
B6: Khi nhận được phong bì số hóa, người nhận sử dụng
khóa riêng của mình để giải mã phong bì số và nhận được
hợp đồng gốc và chữ ký số của người gửi.
B7: Người nhận sử dụng khóa công khai của người gửi để
nhận dạng chữ ký số của người gửi (là thông điệp đã được
mã hóa bằng hàm Hash).
B8: Người nhận sử dụng thuật toán băm để chuyển hợp
đồng gốc thành hợp đồng rút gọn số như ở bước 2 mà
người gửi đã làm.
B9: Người nhận so sánh thông điệp số vừa tạo ra ở bước 8
với thông điệp số nhận được ở bước 6 (nhận được sau khi
89
Phong bì số
Intenet
----------------------------------------------------------------------------------
5
Hợp Phong bì số
đồng Chữ ký
6
gốc số
Hàm 7
8
băm
9
Hợp Hợp 90
đồng So sánh đồng
rút gọn rút gọn Alice
4.3.4 CHỨNG THỰC ĐIỆN TỬ
_______________________________
Bob X
? 91
4.3.4 CHỨNG THỰC ĐIỆN TỬ
_______________________________
92
4.3.4 CHỨNG THỰC ĐIỆN TỬ
_______________________________
CA
Chứng
Chứng
chỉ số
chỉ số 94
của
của X
Bob
4.3.4 CHỨNG THỰC ĐIỆN TỬ
_______________________________
95
4.3.4 CHỨNG THỰC ĐIỆN TỬ
_______________________________
DigCert
96
97