Chương 7: an toàn thương mại điện tử

Về phía người dùng: Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận hành hay không? Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các đoạn mã nguy hiểm hay không? Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website tiết lộ cho bên thứ ba hay không? Yêu cầu từ phía doanh nghiệp: Người sử dụng có định xâm nhập vào máy chủ hay những trang web và thay đổi các trang Web và nội dung trong website của công ty hay không: Người sử dụng có...
Nội dung trích xuất từ tài liệu:
Chương 7: an toàn thương mại điện tử AN TOÀN THƯƠNG MẠI ĐIỆN TỬ AN (Electronic Commerce Security) Copyright@Bộ môn QTTN TMĐT 1 NỘI DUNG CHÍNH 1. Định nghĩa và các vấn đề đặt ra cho an toàn TMĐT 2. Các nguy cơ và các hình thức tấn công đe dọa an toàn thương mại điện tử 3. Quản trị an toàn thương mại điện tử 4. Một số giải pháp đảm bảo an toàn TMĐT 5. Câu hỏi thảo luận và tài liệu tham khảo copyright@Bộ môn QTTN TMĐT 2 Đ/n an toàn TMĐT: An toàn có nghĩa là được bảo vệ, không bị xâm h ại. An toàn trong thương mại điện tử được hiểu là an toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch, an toàn cho các hệ thống (hệ thống máy chủ thương mại và các thiết bị đầu cuối, đường truyền…) không bị xâm hại từ bên ngoài hoặc có khả năng chống lại những tai hoạ, lỗi và sự tấn công từ bên ngoài. copyright@Bộ môn QTTN TMĐT 3 Môi trường an toàn TMĐT Copyright@Bộ môn QTTN TMĐT 4 Những vấn đề căn bản an toàn TMĐT: Về phía người dùng: Liệu máy chủ Web đó có phải do một doanh nghiệp hợp pháp sở hữu và vận hành hay không? Trang Web và các mẫu khai thông tin có chứa đựng các nội dung và các đoạn mã nguy hiểm hay không? Thông tin cá nhân mà người dùng đã cung cấp có bị chủ nhân của Website tiết lộ cho bên thứ ba hay không? Yêu cầu từ phía doanh nghiệp: Người sử dụng có định xâm nhập vào máy chủ hay những trang web và thay đổi các trang Web và nội dung trong website của công ty hay không: Người sử dụng có làm làm gián đoạn hoạt động của máy chủ, làm những người khác không truy cập được vào site của doanh nghiệp hay không? Copyright@Bộ môn QTTN TMĐT 5 Những vấn đề căn bản an toàn TMĐT: Yêu cầu từ cả người dùng và doanh nghiệp: Liệu thông tin giữa người dùng và doanh nghiệp truyền trên m ạng có bị bên thứ ba “nghe trộm” hay không? Liệu thông tin đi đến và phản hồi giữa máy chủ và trình duy ệt c ủa người sử dụng không bị biến đổi hay không?. Bản chất của an toàn TMĐT là một vấn đề ph ức t ạp. Đối với an toàn thương mại điện tử, có sáu vấn đề cơ bản cần phải giải quyết, bao gồm: sự xác thực, quyền cấp phép, kiểm tra (giám sát), tính bí mật, tính toàn vẹn, tính s ẵn sàng và chống từ chối. Copyright@Bộ môn QTTN TMĐT 6 Những vấn đề căn bản an toàn TMĐT: Sự xác thực (Authentication) Quyền cấp phép (Authoziration) Kiểm tra (giám sát) (Auditing) Tính tin cậy (confidentiality) và tính riêng t ư (Privacy) Tính toàn vẹn Tính sẵn sàng (tính ích lợi) Chống phủ định (Nonrepudation) Copyright@Bộ môn QTTN TMĐT 7 Những vấn đề căn bản an toàn TMĐT: Trì nh duyệt Web Các chươ ng Cơ sở dữ liệu server trình CGI,… Web Internet Tính riêng tư/Tính toàn vẹn Xác thực Xác thực Tính riêng Cấp phép tư/Tính Kiểm soát Toàn vẹn Không phủ định Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York Scambray Copyright@Bộ môn QTTN TMĐT 8 Tấn công phi kỹ thuật: Bằng cách lừa gạt người dùng tiết lộ thông tin hoặc thực hiện các hành động mang tính vô th ưởng vô ph ạt, k ẻ tấn công có thể làm tổn hại đến hệ thống mạng máy tính. Ví dụ, kẻ tấn công gửi một bức thư điện tử như sau đến người dùng: Người dùng của xyz.com kính mến Chúng tôi đã phát hiện ra rằng tài khoản thư điện tử của Ông (Bà) đã được sử dụng để gửi một lượng rất lớn thư rác (spam) trong tuần l ễ qua. Hiển nhiên là máy tính của Ông (Bà) đã bị tổn hại và hiện gi ờ đang ch ạy trên một máy chủ ủy quyền bị nhiễm virus con ngựa thành Troia. Chúng tôi khuyên Ông (Bà) hãy tuân thủ các ch ỉ d ẫn đ ược đính kèm bức thư này (xyz.com.zip) để bảo vệ máy tính của Ông (Bà) được an toàn. Chúc Ông (Bà) may mắn. Đội hỗ trợ kỹ thuật của xyz.com. Copyright@Bộ môn QTTN TMĐT 9 Tấn công kỹ thuật: Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị t ấn công và t ổn thương khi thực hiện các giao dịch thương mại điện tử, đó là h ệ th ống của khách hàng, máy chủ của doanh nghiệp và đường dẫn thông tin (communications pipeline) (hình 7.3). Copyright@Bộ môn QTTN TMĐT 10 Tấn công kỹ thuật: Có bảy dạng tấn công nguy hiểm nhất đối với an toàn của các website và các giao dịch thương mại điện tử, bao gồm: các đoạn mã nguy hiểm, tin tặc và các chương trình phá hoại, trộm cắp/ gian lận th ẻ tín dụng, lừa đảo, khước từ phục vụ, nghe trộm và sự tấn công t ừ bên trong doanh nghiệp. Các đoạn mã nguy hiểm (malicious code): Các đoạn mã nguy hiểm bao gồm nhiều mối đe doạ khác nhau như các loại virus, worm, nh ững “con ngựa thành Tơ-roa”, “bad applets”. Copyright@Bộ môn QTTN TMĐT 11 Tấn công kỹ thuật: Các đoạn mã nguy hiểm (malicious code): Kiểu ...