Professional Documents
Culture Documents
LOGO
?
Ngày gửi: 15/10/2010 Người nhận: Ngân hàng A
l iệ u
Dữ
Cần bảo vệ
i n g u yê n
những gì ? Tà
Thương
hiệu
1. TỔNG QUAN AN TOÀN TMĐT
Phân loại rủi ro trong TMĐT
Rủi ro là những tai nạn, sự cố xảy ra ngoài ý muốn của
con người gây ra tổn thất cho các bên tham gia trong
quá trình tiến hành giao dịch trong TMĐT
Rủi ro được chia thành 4 nhóm:
Nhóm rủi ro dữ liệu
Nhóm rủi ro về công nghệ
Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghệ
2. CÁC KHÍA CẠNH TRONG AN TOÀN TMĐT
Tính toàn vẹn Dữ liệu/ Thông tin không bị thay đổi trong khi lưu
(Data Integrity) trữ hoặc chuyển phát.
Tính xác thực Khả năng nhận biết các đối tác tham gia giao dịch
(Authentication) trực tuyến.
Không thoái thác Các bên tham gia giao dịch không phủ nhận các
(Nonrepudiation) hành động trực tuyến mà họ đã thực hiện.
Tính tin cậy và Bảo đảm rằng không ai có thể truy cập những dữ
riêng tư liệu có giá trị ngoài những người có quyền và khả
(Reliability/ privacy): năng kiểm soát việc sử dụng các thông tin cá nhân
của khách hàng.
Tính ích lợi Các chức năng của một Website thương mại điện tử
(Usefulness): được thực hiện đúng như mong đợi.
3. NHỮNG NGUY CƠ ĐE DỌA AN TOÀN TMĐT
b. Lừa đảo
Không thừa nhận, chối từ những gì đã giao dịch.
Phishing Attacks: một hành vi lừa đảo nhằm lấy cắp thông
tin tài khoản giao dịch của KH và DN bằng cách gửi các
thông tin giả mạo làm cho người dùng ngộ nhận và cung
cấp thông tin tài khoản.
3.1/ Những kiểu tấn công
?
Dữ liệu bị tấn công trên đường truyền.
MIM (Man in Middle)
……..
Rút
Chuyển
$5,000,000
khoản $5,000,000
Mã
qua tài
tài khoản:
khoản NHB-8888888
NHB-212551245
Mã tài khoản: NHB-212551245
… ....
… ....
3.1/ Những kiểu tấn công
a. Định tuyến nguồn: Hacker thiết lập máy tính của mình thành
router.
b. Làm ngập ICMP: gửi đi khối lượng lớn gói tin vắt kiệt tốc độ
truyền.
c. Chuyển hướng ICMP: làm thay đổi bảng định tuyến hệ thống
máy tính.
d. Phân đoạn IP: gói tin IP được phân đoạn lỗi sao cho tổng >
65536 bytes.
e. Giả mạo địa chỉ IP: mượn địa chỉ IP của 1 máy tính khác.
3.3/ Phân loại kẻ tấn công
a. Người qua đường: xem việc đột nhập vào các hệ thống mạng
là 1 hình thức giải trí.
b. Kẻ phá hoại: chủ định phá hoại hệ thống.
c. Kẻ ghi điểm: muốn khẳng định mình qua những kiểu tấn
công mới, với số lượng hệ thống đã thâm nhập.
d. Gián điệp: ăn cắp dữ liệu để phục vụ cho các mục đích mua
bán, trao đổi.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT
Hệ thống
quản lý khoá
Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất
và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch.
GIẢI QUYẾT VẤN ĐỀ
4.3/ Firewall
Phần mềm hoặc phần cứng để tách biệt một mạng riêng với mạng công
cộng cho phép những người sử dụng mạng máy tính của một tổ
chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng
Internet), ngăn cấm những người không được phép truy cập vào
mạng của tổ chức từ bên ngoài.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT
4.3/ Firewall
Đặc điểm của Firewall:
• Tất cả giao thông từ bên trong mạng máy tính của tổ
chức và ngược lại đều phải đi qua đó.
• Chỉ các giao thông được phép, theo qui định về an toàn
mạng máy tính của tổ chức, mới được phép đi qua.
• Không được phép thâm nhập vào chính hệ thống này.
4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT