Bài giảng Thương mại điện tử - Bài 5 Mối đe dọa an ninh trong TMĐT
Nếu là người bán :
Nên nhờ trung gian để xử lý thẻ tín dụng
Phải trả môt khoản chi phí % dựa trên doanh thu cho họ
Đảm bảo kỹ thuật.
Thông thường phải gửi hàng đi, khi người mua
nhận được hàng mới được nhận tiền vào tài khoản của bạn
Nếu gặp phải thẻ tín dụng bất hợp pháp sẽ
mất trắng món hàng và mất một khoản chi phí xử lý thẻ
Trong kinh doanh bao giờ cũng có rủi ro !!!!!
Bạn đang xem trước 20 trang tài liệu Bài giảng Thương mại điện tử - Bài 5 Mối đe dọa an ninh trong TMĐT, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
288
5
Bài 5
Mối đe dọa an ninh trong TMĐT
Thương Mại Điện Tử
289
5
Khái niệm về việc bảo vệ
Một số hiểm họa
Các e-mail gửi đến
Truy xuất trái phép các thông tin số
Thông tin thẻ tín dụng rơi vào tay kẻ xấu
........
Hai hình thức thực hiện bảo vệ
Vật Lý - bảo vệ các thành phần hữu hình
Logic - bảo vệ các thành phần vô hình
290
5
Khái niệm về việc bảo vệ
Các biện pháp phòng vệ và trả đũa
(bằng hình thức vật lý hay logic) được
thực hiện nhằm nhận diện, giảm thiểu
hay loại bỏ các mối đe doạ
291
5
Các đặc điểm
Bí mật - Secrecy
Bảo đảm tính chính xác của dữ liệu và
ngăn ngừa các thông tin riêng tư bị tiết lộ
Toàn vẹn - Integrity
Cập nhật trái phép các thông tin ??
Đáp ứng - Necessity
Từ chối hay đáp ứng thông tin không kịp
thời ??
292
5
Bản quyền và sở hữu trí tuệ
Bản quyền-quyền tác giả
Một số lĩnh vực
Văn chương, âm nhạc
Kịch, múa
Tranh, hình ảnh, tượng,..
Sản phẩm điện ảnh, nghe nhìn,...
Công nghiệp âm thanh
Kiến trúc
...........
293
5
Bản quyền và sở hữu trí tuệ
Sở hữu trí tuệ-Intellectual property
Bảo vệ tác quyền cho các ý tưởng cũng như
các thể hiện (vô hình hay hữu hình) từ các ý
tưởng đó
U.S. Copyright Act 1976
Bảo vệ quyền tác giả trong thời gian hạn
định
Copyright Clearance Center
Cấp giấy phép sử dụng
294
5
SPAM
Sử dụng Internet phải đối mặt với
rất nhiều rủi ro :
virus
lừa đảo
theo dõi (gián điệp – spyware)
bị đánh cắp dữ liệu, bị đánh phá website
(nếu là chủ sở hữu website) v.v....
Spam (thư rác): người nhận rất nhiều thư
rác, gây mất thời gian, mất tài nguyên
(dung lượng chứa, thời gian tải về...)
295
5
VIRUS
Xuất hiện lần đầu tiên vào năm 1983.
Virus là một chương trình máy tính có khả
năng tự nhân bản và lan tỏa.
Mức độ nghiêm trọng của virus dao động
khác nhau tùy vào chủ ý của người viết ra
virus :
chiếm tài nguyên trong máy tính
có thể xóa file, format lại ổ cứng
hoặc gây những hư hỏng khác.
296
5
VIRUS
Trước kia virus chủ yếu lan tỏa qua việc sử dụng
chung file, đĩa mềm...
Ngày nay trên môi trường Internet, virus có cơ
hội lan tỏa rộng hơn, nhanh hơn.
Virus đa phần được gửi qua email, ẩn dưới các
file gửi kèm (attachment) và lây nhiễm trong
mạng nội bộ các doanh nghiệp, làm doanh nghiệp
phải tốn kém thời gian, chi phí, hiệu quả, mất dữ
liệu...
Cho đến nay hàng chục nghìn loại virus đã được
nhận dạng và ước tính mỗi tháng có khoảng 400
loại virus mới được tạo ra.
297
5
WORM
Sâu máy tính (worms): sâu máy tính khác
với virus ở chỗ sâu máy tính không thâm
nhập vào file mà thâm nhập vào hệ thống.
Ví dụ: sâu mạng (network worm) tự nhân
bản trong toàn hệ thống mạng.
Sâu Internet tự nhân bản và tự gửi chúng
qua hệ thống Internet thông qua những
máy tính bảo mật kém.
Sâu email tự gửi những bản nhân bản của
chúng qua hệ thống email.
298
5
TROJAN
Đặt tên theo truyền thuyết con ngựa Trojan của
thành Troy
Là một loại chương trình nguy hiểm (malware)
được dùng để thâm nhập vào máy tính mà người
sử dụng máy tính không hay biết.
Trojan có thể cài đặt chương trình theo dõi bàn
phím (keystroke logger) để lưu lại hết những
phím đã được gõ rồi sau đó gửi “báo cáo” về cho
một địa chỉ email được quy định trước (thường là
địa chỉ email của chủ nhân của Trojan).
299
5
TROJAN
Người sử dụng máy tính bị nhiễm Trojan có thể
bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín
dụng và những thông tin quan trọng khác.
Phương pháp thông dụng được dùng để cài Trojan
là gửi những email ngẫu nhiên với nội dung
khuyến cáo người sử dụng nên click vào một
đường link cung cấp trong email để đến một
website nào đó.
Nếu người nhận email tin lời và click máy tính
của họ sẽ tự động bị cài Trojan. Không giống như
virus, Trojan không tự nhân bản được.
300
5
PHISHING
Xuất hiện từ năm 1996
Giả dạng những tổ chức hợp pháp như
ngân hàng, dịch vụ thanh toán qua
mạng... để gửi email hàng loạt yêu cầu
người nhận cung cấp thông tin cá nhân
và thông tin tín dụng.
Nếu người nào cả tin và cung cấp
thông tin thì kẻ lừa đảo sẽ dùng thông
tin đó để lấy tiền từ tài khoản.
301
5
PHISHING
Một dạng lừa đảo hay gặp khác là
những email gửi hàng loạt đến người
nhận, thông báo người nhận đã may
mắn trúng giải thưởng rất lớn, và yêu
cầu người nhận gửi một số tiền nhỏ
(vài nghìn dollar Mỹ) để làm thủ tục
nhận giải thưởng (vài triệu dollar Mỹ).
Đã có nạn nhân ở Việt Nam.
302
5
PHISHING
Nguy cơ khác xuất hiện nhiều gần đây là
những kẻ lừa đảo tạo ra những website bán
hàng, bán dịch vụ “y như thật”.
Thực tế, khi nạn nhân đã chọn hàng/dịch vụ
và cung cấp đầy đủ thông tin thẻ tín dụng,
nạn nhân sẽ không nhận được hàng/dịch vụ
đã mua mà bị đánh cắp toàn bộ thông tin
thẻ tín dụng, dẫn đến bị mất tiền trong tài
khoản.
303
5
Chính sách bảo mật
Phải mô tả cụ thể (văn bản) chính sách bảo
mật
Tài sản nào cần bảo vệ ? tại sao? Ai chịu trách
nhiệm? các truy cập nào cho phép/ngăn cấm
An ninh vật lý - Physical security
An ninh mạng - Network security
Quyền truy cập - Access authorizations
Ngăn chặn vi rút - Virus protection
Phục hồi thông tin - Disaster recovery
304
5
Mô tả các thành phần trong
chính sách
Xác thực - Authentication
Những ai đang truy xuất vào website?
Quyền truy cập - Access Control
Những ai được phép đăng nhập và truy
xuất thông tin trong website
Bảo mât - Secrecy
Những ai được phép xem các thông tin
nhạy cảm, bí mật
305
5
Mô tả các thành phần trong
chính sách
Toàn vẹn dữ liệu - Data integrity
Ai được quyền cập nhật thông tin, dữ liệu
Kiểm tra-Theo dõi-Thống kê (Audit)
Những ai đã truy cập vào hệ thống? khi
nào? bao lâu ?
NSD đã sử dụng và truy nhập các tài
nguyên nào ?
306
5
Mối đe dọa với sở hữu trí tuệ
Mạng Internet : tác nhân lôi kéo tình
trạng (mối đe dọa) vấn đề bảo vệ sở
hữu trí tuệ
Dễ dàng thu thập và “tái tạo”các thông tin,
sản phẩm,.. tìm thấy trên Internet
NSD không có ý thức về các qui định bản
quyền cũng như không có chủ ý vi phạm
307
5
Mối đe dọa với sở hữu trí tuệ
Cybersquatting (bất hợp pháp)
Đăng ký 1 tên miền với thương hiệu của 1
cá nhân hay 1 công ty khác
Cybersquatters : hy vọng chủ nhân các công ty
hay thương hiệu sẽ trả tiền để mua lại các
URL này
Vài Cybersquatters mạo danh chủ thương hiệu
nhằm mục đích xuyên tạc, lừa dối
308
5
Các mối đe dọa
Phía máy NSD
Active Content
Java applets, Active X controls, JavaScript, và
VBScript
Các chương trình chứa các mã lệnh thi hành,
mã thông dịch được nhúng vào các đối tượng
tải về
Một số nội dung active có ý đồ xấu nhúng vào
các trang web có vẻ vô hại
Cookies : lưu lại tên tài khoản, mật khẩu và
các thông tin tham khảo khác
309
5
Java, Java Applets,
và JavaScript
Java : ngôn ngữ lập trình cấp cao được
phát triển bởi Sun Microsystems
Mã Java có thể ‘nhúng’ vào các thiết bị
gia dụng để điều khiển các hoạt động
của thiết bị
Các ứng dụng dạng applets có thể
được nhúng vào trang web và tải về
Độc lập với nền phần cứng và hệ điều
hành
310
5
Java, Java Applets,
và JavaScript
Java sandbox
Bao gồm các qui tắc cùng 1 cơ chế để các
applet hoạt trong 1 môi trường hoàn toàn
đảm bảo an toàn
Các applet chưa được xác thực tính an
toàn buộc phải hoạt động dưới cơ chế này
Signed Java applets
Chữ ký điện tử được nhúng trong applet
để xác nhận tính xác thực
311
5
ActiveX Controls
ActiveX : là 1 “đối tượng”, còn gọi là
“điều khiển” chứa các chương trình,
các thuộc tính, thực hiện các nhiệm vụ
đã được thiết kế
ActiveX : chỉ hoạt động trong môi
trường Windows 95, 98,2K,XP,...
Một khi được tải về, các điều khiển
ActiveX hoạt động như 1 chương trình :
có toàn quyền truy xuất các tài nguyên
trên máy tính
312
5
ActiveX Warning Dialog box
313
5
Hình ảnh,các Plug-ins, và
thông tin đính kèm theo E-mail
Khả năng cài đặt các mã lệnh trong các
ảnh đồ họa gây hại máy tính!!
Plug-ins : thường được sử dụng để
thực hiện các thông tin multimedia
(audiovisual clips, animated graphics)
Có khả năng chứa các đoạn mã lệnh bên
trong đối tượng với mục đích xấu
Các thông tin đính kèm E-mail có khả
năng chứa các macro hủy diệt bên
trong
314
5
Netscape’s Plug-ins Page
Figure 5-7
315
5
Hiểm họa từ các kênh truyền
thông
Secrecy Threats
Privacy : bảo đảm thông tin riêng tư không
bị tiết lộ
Đánh cắp các thông tin nhạy cảm, các
thông tin cá nhân
Địa chỉ IP thường bị lộ khi duyệt Web
316
5
Hiểm họa từ các kênh truyền
thông
Anonymizer
Cung cấp 1 mức độ bảo mật có giới hạn
khi sử dụng như 1 portal truy cập Internet
Toàn vẹn thông tin - Integrity Threats
Tương tự hành động nghe trộm điện
thoại(wiretapping)
Thay đổi dữ liệu trái phép
Ví dụ thay đổi lượng tiền gửi/tiền rút
317
5
Hiểm họa từ các kênh truyền
thông
Đáp ứng yêu cầu - Necessity Threats
Còn gọi là delay/denial threats , DoS
Phá hủy quá trình xử lý của MTĐT
Từ chối tiến trình xử lý
Xử lý rất chậm!!!!
Xóa bỏ tập tin hay xóa thông tin trong 1 giao
dịch/tập tin
Chuyển tiền từ tài khoản này sang 1 tài khoản
khác !!!!
318
5
An toàn mạng dành cho cá
nhân tự bảo vệ mình
Khi nhận spam xóa bỏ hết
Không click vào bất kỳ đường link nào trong
email
Không mở lên các file gửi kèm trong email.
Đừng trả lời những email spam
Ngay cả chức năng “Từ chối nhận”
(Unsubscription) cũng đã bị lợi dụng để người
gửi spam kiểm tra tính hiện hữu của tài khoản
email,
Cài những chương trình chống virus mới nhất,
cập nhật chương trình thường xuyên.
319
5
An toàn mạng dành cho cá
nhân tự bảo vệ mình
Bỏ qua mọi email yêu cầu cung cấp thông
tin cá nhân.. Nếu có yêu cầu thì đó phải là
form nhập thông tin từ website của chính tổ
chức đó, với giao thức truyền an toàn
(https://)
Nếu cá nhân có thẻ tín dụng và có mua qua
mạng thì phải kiểm tra kỹ từng khoản chi
tiêu mỗi tháng được liệt kê trong hóa đơn.
320
5
An toàn mạng dành cho cá
nhân tự bảo vệ mình
Khi nhận được những email từ người lạ với
những file gửi kèm thì phải rất cẩn thận.
Trong khi lướt web nếu thấy xuất hiện
những thông báo đề nghị cài đặt hay thông
báo nào khác thì nên đọc kỹ, không dễ dàng
chọn “OK” hay “Yes”.
321
5
An toàn mạng dành cho cá
nhân tự bảo vệ mình
Sau khi truy cập vào tài khoản email hay tài
khoản quan trọng nào khác thì nhớ Log-off
để thoát hoàn toàn ra khỏi trang web, tránh
người khác dùng máy tính đó trong vài
phút sau có thể truy cập vào được.
Nếu phải dùng máy tính dùng chung thì
không nên dùng chức năng “Nhớ
Password”.
322
5
Các mối đe dọa với máy
phục vụ
Các phần mềm cài đặt càng mạnh,
càng nhiều tính năng thì khả năng phát
sinh lỗi càng nhiều
Máy phục vụ thường hoạt động ở các
cấp đặc quyền khác nhau
Cấp cao nhấp : cung cấp đầy đủ các
quyền truy xuất và tính uyển chuyển,mềm
dẻo
Cấp thấp nhất : cung cấp 1 hàng rào bảo
vệ (logic) xung quanh chương trình đang
hoạt động
323
5
Các mối đe dọa với máy
phục vụ
Danh sách các thư mục của máy phục
vụ xuất hiện trên trình duyệt !!!!
Quản trị site cần tắt tính năng hiện
danh sách các folder nhằm tránh hiểm
họa
Truyền/phát các cookies với sự bảo vệ
nghiêm ngặt
324
5
Các mối đe dọa với máy
phục vụ
Một trong những thông tin quan trọng
được lưu trữ trên máy phục vụ web :
thông tin tài khoản NSD và mật khẩu
Người quản trị web phải chịu trách
nhiệm bảo mật những thông tin này và
các thông tin quan trọng khác
325
5
Bảo vệ phía doanh nghiệp
Hacking: doanh nghiệp nên thường xuyên
kiểm tra hoạt động của website của mình để
kịp thời phát hiện sự cố (website không
hiện lên, gõ tên miền đúng mà không thấy
website của mình hiện lên hoặc hiện lên
những thông tin lạ...). Với ba loại rủi ro
thường gặp:
326
5
Bảo vệ phía doanh nghiệp
Bị tấn công từ chối phục vụ (DoS: Denial of
Service): trường hợp này nếu doanh nghiệp
thuê dịch vụ host thì doanh nghiệp yêu cầu nhà
cung cấp dịch vụ host xử lý.
Bị cướp tên miền: doanh nghiệp có thể tự quản
lý password của tên miền hoặc giao cho nhà
cung cấp dịch vụ quản lý.
Bị xâm nhập host hoặc dữ liệu trái phép: nếu
doanh nghiệp thuê dịch vụ host thì doanh
nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý
phải nêu rõ phương thức xử lý, phục hồi khi
gặp sự cố này.
327
5
Bảo vệ phía doanh nghiệp
Tự bảo vệ password : nếu doanh nghiệp
có những tài khoản quan trọng trên mạng
(tài khoản với nhà cung cấp dịch vụ xử lý
thanh toán qua mạng, tài khoản quản lý tên
miền, tài khoản quản lý host...) thì càng ít
người biết password của những tài khoản
này càng tốt. Khi nhân viên nắm tài khoản
này nghỉ việc thì nên thay đổi password của
tài khoản.
328
5
Bảo vệ phía doanh nghiệp
An toàn mạng nội bộ : nếu doanh nghiệp
có mạng nội bộ thì an toàn trong mạng nội
bộ cũng phải được lưu ý. Doanh nghiệp nên
có quy định sử dụng mạng nội bộ, quy định
an toàn, phòng chống virus v.v...
An toàn dữ liệu, thông tin : những thông tin
quan trọng không cần chia sẻ cho nhiều
người thì không nên lưu trên mạng nội bộ,
hoặc lưu trong những thư mục có password
bảo vệ, nên có bản back-up (sao lưu) lưu
trên đĩa CD v.v...
329
5
Các mối đe dọa với CSDL
Các thông in riêng tư, có giá trị nếu bị
tiết lộ : gây những thiệt hại không thể
bù đắp cho công ty
Bảo mật thực hiện thông qua quyền
hạn sử dụng qui định
Nhiều phần mềm CSDL không có tính
bảo mật cao và phó thác vào sự bảo
mật của website
330
5
Oracle Security Features Page
331
5
Các mối đe dọa khác
Các mối đe dọa từ Common Gateway
Interface (CGI)
Nếu không sử dụng đúng cách, các
chương trình CGIs cũng là những mối đe
dọa tiềm ẩn
Các chương trình CGI thường lưu trú
nhiều nơi trên Website và rất kho theo dõi
, lần dấu vết để phát hiện các sai sót
CGI scripts không hoạt động như
JavaScript (với cơ chế sandbox)
332
5
Các mối đe dọa khác
Các đe dọa từ các chương trình bao
gồm:
Các chương trình hoạt động trên server
Lỗi tràn bộ đệm(Buffer overruns)
Gây tình trạng “Runaway code segments”
Sâu Internet (Internet Worm) là 1 hình thái của
runaway code segment
Tấn công từ các đoạn mã xâm nhập bất
hợp pháp tạo tình trạng”Buffer overflow” :
chúng tìm cách chiếm dụng các điều khiển
đã được xác thực
333
5
Tấn công dạng Buffer Overflow
334
5
Computer Emergency Response
Team (CERT)
Đặt tại Carnegie Mellon University
Chịu trách nhiệm theo dõi, phát hiện,
cảnh báo,... các vấn đề an toàn , an
ninh trên mạng
Gửi các cảnh báo (CERT alerts) đến
cộng đồng Internet về các mối đe dọa
bảo mật
335
5
CERT Alerts
336
5
Một vài đề nghị
Thuê dịch vụ hosting (lưu trữ web), nhà cung
cấp dịch vụ sẽ chịu trách nhiệm về việc tăng
cường an toàn mạng, an toàn thông tin cho
họ, và có nghĩa là cho cả website của ta.
Sau khi login (đăng nhập) vào hệ thống quản
lý website (do nhà cung cấp dịch vụ bàn giao
lại cho bạn sử dụng), luôn phải thực hiện
động tác logout (thoát) để đảm bảo các cửa
ngõ phải được khóa lại ngay sau khi thoát ra.
337
5
Một vài đề nghị
Không truy cập vào hệ thống khi sử
dụng máy tính công cộng.
Không mở những email có file gửi kèm
(attachment) mà người gửi xa lạ.
Những email mang tên người gửi là
Microsoft, Yahoo ,: có thể là thủ thuật
giả danh của hacker để lừa .
338
5
Một vài đề nghị
Mối lo ngại bị ăn cắp số thẻ tín dụng khi
mua hàng trên mạng và bán hàng cho
người dùng thẻ tín dụng bất hợp pháp
(thẻ bị ăn cắp).
Nếu là người mua: chỉ nên mua hàng ở
những website tốt, tin cậy.
Làm sao để đánh giá website tin cậy ?
339
5
Một vài đề nghị
Tên tuổi người bán
Trình bày gian hàng một cách chuyên
nghiệp, không có lỗi chính tả, câu cú
rõ ràng v.v
Đọc phần About Us của họ để tìm một
địa chỉ văn phòng cụ thể
Đừng bao giờ cung cấp thông tin thẻ
tín dụng cho các website khiêu dâm
trên mạng.
340
5
Một vài đề nghị
Nếu là người bán :
Nên nhờ trung gian để xử lý thẻ tín dụng
Phải trả môt khoản chi phí % dựa trên doanh
thu cho họ
Đảm bảo kỹ thuật.
Thông thường phải gửi hàng đi, khi người mua
nhận được hàng mới được nhận tiền vào tài
khoản của bạn
Nếu gặp phải thẻ tín dụng bất hợp pháp sẽ
mất trắng món hàng và mất một khoản chi phí
xử lý thẻ
Trong kinh doanh bao giờ cũng có rủi ro !!!!!
Các file đính kèm theo tài liệu này:
- bai_giang_thuong_mai_dien_tu_c5_116.pdf