THƯƠNG MẠI ĐIỆN TỬ

LOGO

CHƯƠNG 6: AN TOÀN TMĐT

 ĐẶT VẤN ĐỀ

Văn phòng B cần thực hiện giao dịchhàng

Khách rút tiền
phảivới
đếnNgân
tận hàng A
$ 5,000,000 ?
nơi để giao dịch. OK !

Người gửi: VănGửi bằng

phòng B email
Người nhận: Ngân hàng A Người gửi: Văn phòng B

?
Ngày gửi: 15/10/2010 Người nhận: Ngân hàng A

Nội dung: Ngày gửi: 15/10/2010

…….. Nội dung:

Rút $5,000,000 ……..

Mã tài khoản: NHB-212551245 Rút $5,000,000

… .... Mã tài khoản: NHB-212551245

Văn phòng B Ngân hàng A
… .... Gửi
 Nội Dung

1 Tổng quan về an toàn TMĐT

2 Các khía cạnh của an toàn TMĐT

3 Những nguy cơ đe dọa an toàn TMĐT

4 Hạn chế rủi ro trong TMĐT

 1. TỔNG QUAN VỀ AN TOÀN TMĐT

- Tập hợp các qui định, qui trình, hoạt động.

- Đảm bảo cho các giao dịch TMĐT được

thực hiện đủ, đúng, đảm bảo sự tiện dụng, ích lợi
An toàn
TMĐT cho tất cả các đối tượng đang tham gia vào
TMĐT.

- An toàn luôn chỉ mang tính tương đối.

1. TỔNG QUAN VỀ AN TOÀN TMĐT

l iệ u
Dữ

Cần bảo vệ
i n g u yê n
những gì ? Tà

Thương
hiệu
 1. TỔNG QUAN AN TOÀN TMĐT
 Phân loại rủi ro trong TMĐT
Rủi ro là những tai nạn, sự cố xảy ra ngoài ý muốn của
con người  gây ra tổn thất cho các bên tham gia trong
quá trình tiến hành giao dịch trong TMĐT
Rủi ro được chia thành 4 nhóm:
 Nhóm rủi ro dữ liệu
 Nhóm rủi ro về công nghệ
 Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
 Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghệ
2. CÁC KHÍA CẠNH TRONG AN TOÀN TMĐT

Tính toàn vẹn Dữ liệu/ Thông tin không bị thay đổi trong khi lưu
(Data Integrity) trữ hoặc chuyển phát.
Tính xác thực Khả năng nhận biết các đối tác tham gia giao dịch
(Authentication) trực tuyến.
Không thoái thác Các bên tham gia giao dịch không phủ nhận các
(Nonrepudiation) hành động trực tuyến mà họ đã thực hiện.
Tính tin cậy và Bảo đảm rằng không ai có thể truy cập những dữ
riêng tư liệu có giá trị ngoài những người có quyền và khả
(Reliability/ privacy): năng kiểm soát việc sử dụng các thông tin cá nhân
của khách hàng.
Tính ích lợi Các chức năng của một Website thương mại điện tử
(Usefulness): được thực hiện đúng như mong đợi.
3. NHỮNG NGUY CƠ ĐE DỌA AN TOÀN TMĐT

3.1/ Những kiểu tấn công phổ biến

3.2/ Hacker và các chương trình phá hoại
3.3/ Phân loại kẻ tấn công
 3.1/ Những kiểu tấn công

a. Tấn công trực tiếp

Sử dụng các chương trình phá hoại như: virus, worm, macro,
trojan, adware, spyware …lợi dụng lỗi chương trình ứng dụng
hay HĐH để đánh cắp số thẻ tín dụng, mật khẩu của KH.
 3.1/ Những kiểu tấn công

b. Lừa đảo
 Không thừa nhận, chối từ những gì đã giao dịch.

 Phishing Attacks: một hành vi lừa đảo nhằm lấy cắp thông
tin tài khoản giao dịch của KH và DN bằng cách gửi các
thông tin giả mạo làm cho người dùng ngộ nhận và cung
cấp thông tin tài khoản.
 3.1/ Những kiểu tấn công

c. Kẻ trộm trên mạng

Sniffer là một dạng của chương trình nghe trộm, giám sát sự di
chuyển của thông tin trên mạng.
 Xem lén thư điện tử: sử dụng một đoạn mã ẩn bí mật gắn
vào thông điệp thư điện tử, cho phép người nào đó có thể
giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi
cùng với thông điệp ban đầu.
 Keylogger: 1 dạng chương trình theo dõi thao tác bàn
phím, chụp ảnh màn hình và ghi lại mọi thao tác trên vào
một tập tin nhật ký (log) để cho người cài đặt nó sử dụng
rồi gửi đến email được chỉ định.
 3.1/ Những kiểu tấn công

3.3/ Kẻ trộm trên mạng (tt)

 Data packet sniffing: là hình thức tấn công bằng cách bắt
lấy gói tin trong đường truyền để phân tích và đánh giá hệ
thống hay còn được gọi là Man In Middle  tìm ra thông
tin về mật khẩu hay tài khoản giao dịch trong quá trình
giao dịch giữa 2 máy tính.
 Minh họa MIM

?
Dữ liệu bị tấn công trên đường truyền.
MIM (Man in Middle)

……..
Rút
Chuyển
$5,000,000
khoản $5,000,000
Mã
qua tài
tài khoản:
khoản NHB-8888888
NHB-212551245
Mã tài khoản: NHB-212551245
… ....
… ....
 3.1/ Những kiểu tấn công

d. Tấn công từ chối phục vụ: DoS, DDoS, DRDoS:

DoS: Máy tấn công truyền đi những yêu cầu dị dạng, lượng yêu cầu
nhiều khiến cho server từ chối phục vụ
DDoS: máy tấn công tìm cách chiếm dụng và điều khiển nhiều máy
tính/mạng máy tính trung gian từ nhiều nơi để đồng loạt gửi ào ạt
các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm
tràn ngập đường truyền cùa mục tiêu nào đó.
DRDoS: DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS
chiếm đoạt toàn bộ băng thông của máy chủ, làm tắc nghẽn hoàn
toàn đường kết nối từ máy chủ vào Internet và tiêu hao tài nguyên
máy chủ.
 Tấn công từ chối phục vụ

DRDoS (Distributed Reflection

Denial of Service)

DDoS (Distributed Denial of Service)

 3.1/ Những kiểu tấn công

e. Tấn công từ nội bộ Doanh nghiệp

Mối đe dọa bắt nguồn từ chính những thành viên đang làm
việc tại DN.
 Nguyên nhân: chủ quan + khách quan
3.2/ Hacker và những chương trình phá hoại

a. Định tuyến nguồn: Hacker thiết lập máy tính của mình thành
router.
b. Làm ngập ICMP: gửi đi khối lượng lớn gói tin vắt kiệt tốc độ
truyền.
c. Chuyển hướng ICMP: làm thay đổi bảng định tuyến hệ thống
máy tính.
d. Phân đoạn IP: gói tin IP được phân đoạn lỗi sao cho tổng >
65536 bytes.
e. Giả mạo địa chỉ IP: mượn địa chỉ IP của 1 máy tính khác.
 3.3/ Phân loại kẻ tấn công

a. Người qua đường: xem việc đột nhập vào các hệ thống mạng
là 1 hình thức giải trí.
b. Kẻ phá hoại: chủ định phá hoại hệ thống.
c. Kẻ ghi điểm: muốn khẳng định mình qua những kiểu tấn
công mới, với số lượng hệ thống đã thâm nhập.
d. Gián điệp: ăn cắp dữ liệu để phục vụ cho các mục đích mua
bán, trao đổi.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.1/ Kỹ thuật mã hóa

 Mã hóa: là quá trình chuyển một tài liệu dạng văn
bản thành dạng mật mã để bất cứ ai, ngoài người gửi và
người nhận, đều không thể hoặc khó có thể đọc.
• Mã hóa đối xứng: Sử dụng 1 khoá cho cả quá trình mã
hoá.
• Mã hóa bất đối xứng: Sử dụng 2 khoá, một khoá mã hoá
thông điệp và một khoá khác giải mã.
 Quy trình mã hóa dữ liệu

Hệ thống
quản lý khoá

Khoá mã hoá A Khoá giải mã B

Dữ liệu Dữ liệu mã hoá Dữ liệu

gốc Mã hoá Giải mã gốc
(bản mã)

Mã hóa đối xứng: A = B

Mã hóa bất đối xứng: A ≠ B
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.1/ Kỹ thuật mã hóa

 Chữ ký điện tử: bất cứ chữ, số, ký hiệu, âm thanh hoặc
các hình thức khác bằng phương tiện điện tử  gắn liền hoặc kết
hợp một cách logic với thông điệp dữ liệu  xác nhận người ký
thông điệp dữ liệu hay xác nhận sự chấp thuận của người đó đối
với nội dung thông điệp dữ liệu được ký.

Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất
và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch.
 GIẢI QUYẾT VẤN ĐỀ

Giải mã & kiểm tra chữ ký

Ok! Chấp nhận yêu

cầu & gửi tiền
$ 5,000,000

email Mã hóa & Ký

Người gửi: Văn phòng B Người gửi: Văn phòng B
Người nhận: Ngân hàng A Người nhận: Ngân hàng A
Ngày gửi: 15/10/2010 Ngày gửi: 15 / 10 / 2010
Nội dung: Nội dung:
…….. ……..
Rút $5,000,000 Rút $5,000,000
Mã tài khoản: NHB-212551245 Mã tài khoản: NHB-212551245
… .... … ....
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.2/ Các giao thức an toàn

 SSL (Secure Socket Layer)- An toàn các kênh truyền thông và
lớp ổ cắm: chương trình an toàn cho việc truyền thông trên Web.
Thiết lập bảo mật giữa máy chủ và khách: tạo ra các giao tiếp
giữa hai chương trình ứng dụng trên một cổng định trước nhằm
mã hoá toàn bộ thông tin đi/đến.
Bảo vệ các kênh thông tin trong quá trình trao đổi dữ liệu giữa
máy chủ và các trình duyệt Web thay vì phải bảo vệ từng mẫu
tin như thông tin cá nhân KH, số thẻ tín dụng…
 Hãy nhìn vào góc trái trình duyệt của bạn trước khi
LOGO gửi số thẻ tín dụng đến ngươì bán hàng trực tuyến
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.2/ Các giao thức an toàn

 SET ( Secure Electronic Transaction)- Các giao dịch điện tử an
toàn: cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả
KH và DN, sử dụng các chứng thực điện tử để xác thực các bên
tham gia giao dịch TMĐT.
 Chứng thực điện tử: là căn cứ để xác thực các bên tham gia giao
dịch, đảm bảo tin cậy đối với các giao dịch TMĐT, do cơ quan
chứng nhận Certification Authority - CA) (hay bên tin cậy thứ
ba) cấp.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.3/ Firewall
Phần mềm hoặc phần cứng để tách biệt một mạng riêng với mạng công
cộng  cho phép những người sử dụng mạng máy tính của một tổ
chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng
Internet), ngăn cấm những người không được phép truy cập vào
mạng của tổ chức từ bên ngoài.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.3/ Firewall
 Đặc điểm của Firewall:
• Tất cả giao thông từ bên trong mạng máy tính của tổ
chức và ngược lại đều phải đi qua đó.
• Chỉ các giao thông được phép, theo qui định về an toàn
mạng máy tính của tổ chức, mới được phép đi qua.
• Không được phép thâm nhập vào chính hệ thống này.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.3/ Firewall – Hoạt động

• Lọc gói tin: kiểm tra địa chỉ và đối chiếu danh sách có.
• Kiểm tra trạng thái: đảm bảo máy tính đích có yêu cầu.
• Proxy mức ứng dụng: kiểm tra xem dịch vụ nào được phép.
• Biên dịch địa chỉ mạng: che dấu địa chỉ máy tính riêng lẻ
trong mạng.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT

4.4/ Bảo vệ các hệ thống của KH và máy phục vụ:

a. Các kiểm soát của hệ điều hành: cung cấp tên và mật
khẩu khi muốn truy cập vào hệ thống.
b. Cài đặt phần mềm chống Virus: biện pháp đơn giản va ít
tốn kém nhất.
c. Hệ thống phát hiện xâm nhập: dò tìm và nhận biết các
công cụ mà Hacker thường sử dụng, phát hiện những
hành động khả nghi.
LOGO