An toàn trong thương mại điện tử

CHƯƠNG 5: AN TOÀN TMĐT THƯƠNG MẠI ĐIỆN TỬ Nội Dung Tổng quan về an toàn TMĐT 1 Các khía cạnh của an toàn TMĐT 2 3 Những nguy cơ đe dọa an toàn TMĐT 4 Hạn chế rủi ro trong TMĐT 1. TỔNG QUAN VỀ AN TOÀN TMĐT - Tập hợp các qui định, qui trình, hoạt động. - Đảm bảo cho các giao dịch TMĐT được thực hiện đủ, đúng, đảm bảo sự tiện dụng, ích lợi cho tất cả các đối tượng đang tham gia vào TMĐT. - An toàn luôn chỉ mang tính tương đối. An toàn TMĐT 1. TỔNG QUAN VỀ AN TOÀN TMĐT Cần bảo vệ những gì ? Dữ liệu Tài nguyên Thương hiệu 1. TỔNG QUAN AN TOÀN TMĐT Phân loại rủi ro trong TMĐT Rủi ro là những tai nạn, sự cố xảy ra ngoài ý muốn của con người  gây ra tổn thất cho các bên tham gia trong quá trình tiến hành giao dịch trong TMĐT Rủi ro được chia thành 4 nhóm: Nhóm rủi ro dữ liệu Nhóm rủi ro về công nghệ Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghệ 2. CÁC KHÍA CẠNH TRONG AN TOÀN TMĐT 3. NHỮNG NGUY CƠ ĐE DỌA AN TOÀN TMĐT 3.1/ Những kiểu tấn công phổ biến 3.2/ Hacker và các chương trình phá hoại 3.3/ Phân loại kẻ tấn công 3.1/ Những kiểu tấn công a. Tấn công trực tiếp Sử dụng các chương trình phá hoại như: virus, worm, macro, trojan, adware, spyware …lợi dụng lỗi chương trình ứng dụng hay HĐH để đánh cắp số thẻ tín dụng, mật khẩu của KH. 3.1/ Những kiểu tấn công b. Lừa đảo Không thừa nhận, chối từ những gì đã giao dịch. Phishing Attacks: một hành vi lừa đảo nhằm lấy cắp thông tin tài khoản giao dịch của KH và DN bằng cách gửi các thông tin giả mạo làm cho người dùng ngộ nhận và cũng cấp thông tin tài khoản. 3.1/ Những kiểu tấn công c. Kẻ trộm trên mạng Sniffer là một dạng của chương trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Xem lén thư điện tử: sử dụng một đoạn mã ẩn bí mật gắn vào thông điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi cùng với thông điệp ban đầu. Keylogger: 1 dạng chương trình theo dõi thao tác bàn phím, chụp ảnh màn hình và ghi lại mọi thao tác trên vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng rồi gửi đến email được chỉ định. 3.1/ Những kiểu tấn công 3.3/ Kẻ trộm trên mạng (tt) Data packet sniffing: là hình thức tấn công bằng cách bắt lấy gói tin trong đường truyền để phân tích và đánh giá hệ thống hay còn được gọi là Man In The Middle  tìm ra thông tin về mật khẩu hay tài khoản giao dịch trong quá trình giao dịch giữa 2 máy tính. 3.1/ Những kiểu tấn công d. Tấn công từ chối phục vụ: DoS, DDoS, DRDoS: DoS: Máy tấn công truyền đi những yêu cầu dị dạng, lượng yêu cầu nhiều khiến cho server từ chối phục vụ DDoS: máy tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian từ nhiều nơi để đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền cùa mục tiêu nào đó. DRDoS: DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS chiếm đoạt toàn bộ băng thông của máy chủ, làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào Internet và tiêu hao tài nguyên máy chủ. 3.1/ Những kiểu tấn công e. Tấn công từ nội bộ Doanh nghiệp Mối đe dọa bắt nguồn từ chính những thành viên đang làm việc tại DN. Nguyên nhân: chủ quan + khách quan 3.2/ Hacker và những chương trình phá hoại Định tuyến nguồn: Hacker thiết lập máy tính của mình thành router. Làm ngập ICMP: gửi đi khối lượng lớn gói tin vắt kiệt tốc độ truyền. Chuyển hướng ICMP: làm thay đổi bảng định tuyến hệ thống máy tính. Phân đoạn IP: gói tin IP được phân đoạn lỗi sao cho tổng > 65536 bytes. Giả mạo địa chỉ IP: mượn địa chỉ IP của 1 máy tính khác. 3.3/ Phân loại kẻ tấn công Người qua đường: xem việc đột nhập vào các hệ thống mạng là 1 hình thức giải trí. Kẻ phá hoại: chủ định phá hoại hệ thống. Kẻ ghi điểm: muốn khẳng định mình qua những kiểu tấn công mới, với số lượng hệ thống đã thâm nhập. Gián điệp: ăn cắp dữ liệu để phục vụ cho các mục đích mua bán, trao đổi. 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.1/ Kỹ thuật mã hóa Mã hóa: là quá trình chuyển một tài liệu dạng văn bản thành dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể hoặc khó có thể đọc. Mã hóa đối xứng: Sử dụng 1 khoá cho cả quá trình mã hoá. Mã hóa bất đối xứng: Sử dụng 2 khoá, một khoá mã hoá thông điệp và một khoá khác giải mã. Quy trình mã hóa dữ liệu Mã hóa đối xứng: A = B Mã hóa bất đối xứng: A ≠ B Hệ thống quản lý khoá Khoá mã hoá A Khoá giải mã B Dữ liệu gốc Mã hoá Dữ liệu mã hoá (bản mã) Giải mã Dữ liệu gốc 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.1/ Kỹ thuật mã hóa Chữ ký điện tử: bất cứ chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử  gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu  xác nhận người ký thông điệp dữ liệu hay xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. Sử dụng chữ ký điện tử nhằm đảm bảo tính toàn vẹn, duy nhất và không bị sửa đổi bởi người khác của dữ liệu trong giao dịch. 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.2/ Các giao thức an toàn SSL (Secure Socket Layer)- An toàn các kênh truyền thông và lớp ổ cắm: chương trình an toàn cho việc truyền thông trên Web. Thiết lập bảo mật giữa máy chủ và khách: tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước nhằm mã hoá toàn bộ thông tin đi/đến. Bảo vệ các kênh thông tin trong quá trình trao đổi dữ liệu giữa máy chủ và các trình duyệt Web thay vì phải bảo vệ từng mẫu tin như thông tin cá nhân KH, số thẻ tín dụng… 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.2/ Các giao thức an toàn SET ( Secure Electronic Transaction)- Các giao dịch điện tử an toàn: cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả KH và DN, sử dụng các chứng thực điện tử để xác thực các bên tham gia giao dịch TMĐT. Chứng thực điện tử: Một loại chứng nhận do cơ quan chứng nhận Certification Authority - CA) (hay bên tin cậy thứ ba) cấp là căn cứ để xác thực các bên tham gia giao dịch, đảm bảo tin cậy đối với các giao dịch TMĐT. 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.3/ Firewall Phần mềm hoặc phần cứng để tách biệt một mạng riêng với mạng công cộng  cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), ngăn cấm những người không được phép truy cập vào mạng của tổ chức từ bên ngoài. 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.3/ Firewall Đặc điểm của Firewall: Tất cả giao thông từ bên trong mạng máy tính của tổ chức và ngược lại đều phải đi qua đó. Chỉ các giao thông được phép, theo qui định về an toàn mạng máy tính của tổ chức, mới được phép đi qua. Không được phép thâm nhập vào chính hệ thống này. 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.3/ Firewall – Hoạt động Lọc gói tin: kiểm tra địa chỉ và đối chiếu danh sách có. Kiểm tra trạng thái: đảm bảo máy tính đích có yêu cầu. Proxy mức ứng dụng: kiểm tra xem dịch vụ nào được phép. Biên dịch địa chỉ mạng: che dấu địa chỉ máy tính riêng lẻ trong mạng. 4. CÁC BIỆN PHÁP HẠN CHẾ RỦI RO TRONG TMĐT 4.4/ Bảo vệ các hệ thống của KH và máy phục vụ: Các kiểm soát của hệ điều hành: cung cấp tên và mật khẩu khi muốn truy cập vào hệ thống. Cài đặt phần mềm chống Virus: biện pháp đơn giản va ít tốn kém nhất. Hệ thống phát hiện xâm nhập: dò tìm và nhận biết các công cụ mà Hacker thường sử dụng, phát hiện những hành động khả nghi. Lưu ý trong hạn chế rủi ro Lưu ý trong hạn chế rủi ro Khi nhận spam  xóa bỏ hết Không click vào bất kỳ đường link nào trong email Không mở lên các file gửi kèm trong email Đừng trả lời những email spam Cài những chương trình chống virus mới nhất, cập nhật chương trình thường xuyên Bỏ qua mọi email yêu cầu cung cấp thông tin cá nhân.  Lưu ý trong hạn chế rủi ro Kiểm tra kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn ngân hàng gửi về để kịp thời phát hiện sự cố nếu có. Trong khi lướt web nếu thấy xuất hiện những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ dàng chọn “OK” hay “Yes”. Sau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web. Biện pháp hạn chế rủi ro Các phần mềm cài đặt càng mạnh, càng nhiều tính năng thì khả năng phát sinh lỗi càng nhiều. Truyền/phát các cookies với sự bảo vệ nghiêm ngặt. Có trách nhiệm bảo mật những thông tin tài khoản NSD, mật khẩu và các thông tin quan trọng khác. Máy phục vụ nên hoạt động ở các cấp đặc quyền khác nhau. Biện pháp hạn chế rủi ro Tự bảo vệ password An toàn mạng nội bộ An toàn dữ liệu, thông tin Tham gia bảo hiểm