Mối đe dọa an ninh trong TMĐT
Mối đe dọa an ninh trong TMĐT
Khái niệm về việc bảo vệ
Một số hiểm họa
Các e-mail gửi đến
Truy xuất trái phép các thông tin số
Thông tin thẻ tín dụng rơi vào tay kẻ xấu
Hai hình thức thực hiện bảo vệ
Vật Lý - bảo vệ các thành phần hữu hình
Logic - bảo vệ các thành phần vô hình
Khái niệm về việc bảo vệ
Các biện pháp phòng vệ và trả đũa
(bằng hình thức vật lý hay logic) được
thực hiện nhằm nhận diện, giảm thiểu
hay loại bỏ các mối đe doạ
72 trang |
Chia sẻ: aloso | Lượt xem: 1943 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Mối đe dọa an ninh trong TMĐT, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
15
Bài 5
M i đe d a an ninh trong TMĐTố ọ
Th ng M i Đi n Tươ ạ ệ ử
25
Khái ni m v vi c b o vệ ề ệ ả ệ
u M t s hi m h aộ ố ể ọ
l Các e-mail g i đ nử ế
l Truy xu t trái phép các thông tin sấ ố
l Thông tin th tín d ng r i vào tay k x uẻ ụ ơ ẻ ấ
l ........
u Hai hình th c th c hi n b o vứ ự ệ ả ệ
l V t Lý - b o v các thành ph n h u hìnhậ ả ệ ầ ữ
l Logic - b o v các thành ph n vô hìnhả ệ ầ
35
Khái ni m v vi c b o vệ ề ệ ả ệ
u Các bi n pháp phòng v và tr đũa ệ ệ ả
(b ng hình th c v t lý hay logic) đ c ằ ứ ậ ượ
th c hi n nh m nh n di n, gi m thi u ự ệ ằ ậ ệ ả ể
hay lo i b các m i đe doạ ỏ ố ạ
45
55
Các đ c đi m ặ ể
u Bí m t - Secrecyậ
l B o đ m tính chính xác c a d li u và ả ả ủ ữ ệ
ngăn ng a các thông tin riêng t b ti t lừ ư ị ế ộ
u Toàn v n - Integrityẹ
l C p nh t trái phép các thông tin ??ậ ậ
u Đáp ng - Necessityứ
l T ch i hay đáp ng thông tin không k p ừ ố ứ ị
th i ??ờ
65
B n quy n và s h u trí tuả ề ở ữ ệ
u B n quy n-quy n tác giả ề ề ả
l M t s lĩnh v cộ ố ự
u Văn ch ng, âm nh cươ ạ
u K ch, múaị
u Tranh, hình nh, t ng,..ả ượ
u S n ph m đi n nh, nghe nhìn,...ả ẩ ệ ả
u Công nghi p âm thanhệ
u Ki n trúcế
u ...........
75
B n quy n và s h u trí tuả ề ở ữ ệ
u S h u trí tu -Intellectual propertyở ữ ệ
l B o v tác quy n cho các ý t ng cũng nh ả ệ ề ưở ư
các th hi n (vô hình hay h u hình) t các ý ể ệ ữ ừ
t ng đóưở
u U.S. Copyright Act 1976
l B o v quy n tác gi trong th i gian h n ả ệ ề ả ờ ạ
đ nhị
l Copyright Clearance Center
u C p gi y phép s d ng ấ ấ ử ụ
85
Copyright Clearance Center Home Page
95
Các t ng th ng dùngừ ữ ườ
u copyright
u “copyleft”
u shareware
u freeware
u free software
u open source code
10
5
SPAM
u Ngày nay ng i s d ng Internet ph i ườ ử ụ ả
đ i m t v i r t nhi u r i ro nh : ố ặ ớ ấ ề ủ ư
virus, l a đ o, b theo dõi (gián đi p – ừ ả ị ệ
spyware), b đánh c p d li u, b đánh ị ắ ữ ệ ị
phá website (n u là ch s h u ế ủ ở ữ
website) v.v....
u Spam (th rác): ng i nh n m i ngày có ư ườ ậ ỗ
th nh n vài, vài ch c, đ n vài trăm th ể ậ ụ ế ư
rác, gây m t th i gian, m t tài nguyên ấ ờ ấ
(dung l ng ch a, th i gian t i v ...) ượ ứ ờ ả ề
11
5
VIRUS
u Xu t hi n l n đ u tiên vào năm 1983.ấ ệ ầ ầ
u Virus là m t ch ng trình máy tính có kh ộ ươ ả
năng t nhân b n và lan t a.ự ả ỏ
u M c đ nghiêm tr ng c a virus dao đ ng ứ ộ ọ ủ ộ
khác nhau tùy vào ch ý c a ng i vi t ra ủ ủ ườ ế
virus, ít nh t virus cũng chi m tài nguyên ấ ế
trong máy tính và làm t c đ x lý c a ố ộ ử ủ
máy tính ch m đi, nghiêm tr ng h n, virus ậ ọ ơ
có th xóa file, format l i c ng ho c ể ạ ổ ứ ặ
gây nh ng h h ng khác.ữ ư ỏ
12
5
VIRUS
u Tr c kia virus ch y u lan t a qua vi c s ướ ủ ế ỏ ệ ử
d ng chung file, đĩa m m... ụ ề
u Ngày nay trên môi tr ng Internet, virus có c ườ ơ
h i lan t a r ng h n, nhanh h n.ộ ỏ ộ ơ ơ
u Virus đa ph n đ c g i qua email, n d i các ầ ượ ử ẩ ướ
file g i kèm (attachment) và lây nhi m trong ử ễ
m ng n i b các doanh nghi p, làm doanh ạ ộ ộ ệ
nghi p ph i t n kém th i gian, chi phí, hi u ệ ả ố ờ ệ
qu , m t d li u...ả ấ ữ ệ
u Cho đ n nay hàng ch c nghìn lo i virus đã đ c ế ụ ạ ượ
nh n d ng và c tính m i tháng có kho ng 400 ậ ạ ướ ỗ ả
lo i virus m i đ c t o ra. ạ ớ ượ ạ
13
5
Câu h iỏ
u Khái ni m sâu máy tính Wormệ
u Tác h i ?ạ
14
5
WORM
u Sâu máy tính (worms): sâu máy tính khác
v i virus ch sâu máy tính không thâm ớ ở ỗ
nh p vào file mà thâm nh p vào h ậ ậ ệ
th ng. ố
u Ví d : sâu m ng (network worm) t nhân ụ ạ ự
b n trong toàn h th ng m ng.ả ệ ố ạ
u Sâu Internet t nhân b n và t g i chúng ự ả ự ử
qua h th ng Internet thông qua nh ng ệ ố ữ
máy tính b o m t kém.ả ậ
u Sâu email t g i nh ng b n nhân b n c a ự ử ữ ả ả ủ
chúng qua h th ng email. ệ ố
15
5
Câu h iỏ
u Khái ni m Trojanệ
u Tác h iạ
u Cách lây nhi mễ
16
5
TROJAN
u Đ t tên theo truy n thuy t con ng a Trojan c a ặ ề ế ự ủ
thành Troy
u Là m t lo i ch ng trình nguy hi m (malware) ộ ạ ươ ể
đ c dùng đ thâm nh p vào máy tính mà ng i ượ ể ậ ườ
s d ng máy tính không hay bi t.ử ụ ế
u Trojan có th cài đ t ch ng trình theo dõi bàn ể ặ ươ
phím (keystroke logger) đ l u l i h t nh ng ể ư ạ ế ữ
phím đã đ c gõ r i sau đó g i “báo cáo” v ượ ồ ử ề
cho m t đ a ch email đ c quy đ nh tr c ộ ị ỉ ượ ị ướ
(th ng là đ a ch email c a ch nhân c a ườ ị ỉ ủ ủ ủ
Trojan).
17
5
TROJAN
u Ng i s d ng máy tính b nhi m Trojan có th ườ ử ụ ị ễ ể
b đánh c p m t kh u, tên tài kho n, s th tín ị ắ ậ ẩ ả ố ẻ
d ng và nh ng thông tin quan tr ng khác.ụ ữ ọ
u Ph ng pháp thông d ng đ c dùng đ cài ươ ụ ượ ể
Trojan là g i nh ng email ng u nhiên v i n i ử ữ ẫ ớ ộ
dung khuy n cáo ng i s d ng nên click vào ế ườ ử ụ
m t đ ng link cung c p trong email đ đ n ộ ườ ấ ể ế
m t website nào đó. Và n u ng i nh n email ộ ế ườ ậ
tin l i và click thì máy tính c a h s t đ ng b ờ ủ ọ ẽ ự ộ ị
cài Trojan. Không gi ng nh virus, Trojan không ố ư
t nhân b n đ c. ự ả ượ
18
5
Câu h iỏ
u Khái ni m Phishingệ
u Tác h iạ
u Hình th c t n côngứ ấ
19
5
PHISHING
u Xu t hi n t năm 1996ấ ệ ừ
u Gi d ng nh ng t ch c h p pháp ả ạ ữ ổ ứ ợ
nh ngân hàng, d ch v thanh toán qua ư ị ụ
m ng... đ g i email hàng lo t yêu ạ ể ử ạ
c u ng i nh n cung c p thông tin cá ầ ườ ậ ấ
nhân và thông tin tín d ng.ụ
u N u ng i nào c tin và cung c p ế ườ ả ấ
thông tin thì k l a đ o s dùng thông ẻ ừ ả ẽ
tin đó đ l y ti n t tài kho n.ể ấ ề ừ ả
20
5
PHISHING
u M t d ng l a đ o hay g p khác là ộ ạ ừ ả ặ
nh ng email g i hàng lo t đ n ng i ữ ử ạ ế ườ
nh n, tuyên b ng i nh n đã may ậ ố ườ ậ
m n trúng gi i th ng r t l n, và yêu ắ ả ưở ấ ớ
c u ng i nh n g i m t s ti n nh ầ ườ ậ ử ộ ố ề ỏ
(vài nghìn dollar M ) đ làm th t c ỹ ể ủ ụ
nh n gi i th ng (vài tri u dollar ậ ả ưở ệ
M ).ỹ
u Đã có n n nhân Vi t Nam.ạ ở ệ
21
5
PHISHING
u M t nguy c khác xu t hi n nhi u g n ộ ơ ấ ệ ề ầ
đây là nh ng k l a đ o t o ra nh ng ữ ẻ ừ ả ạ ữ
website bán hàng, bán d ch v “y nh ị ụ ư
th t” trên m ng và t i u hóa chúng trên ậ ạ ố ư
Google đ “n n nhân” t tìm th y và mua ể ạ ự ấ
hàng/d ch v trên nh ng website này.ị ụ ữ
u Th c t , khi n n nhân đã ch n hàng/d ch ự ế ạ ọ ị
v và cung c p đ y đ thông tin th tín ụ ấ ầ ủ ẻ
d ng, n n nhân s không nh n đ c ụ ạ ẽ ậ ượ
hàng/d ch v đã mua mà b đánh c p toàn ị ụ ị ắ
b thông tin th tín d ng, d n đ n b m t ộ ẻ ụ ẫ ế ị ấ
ti n trong tài kho n. ề ả
22
5
Các lo i khácạ
u MALWARE
u SPYWARE
u ADWARE
u DEMOWARE
u NAGWARE
u
23
5
Câu h iỏ
u Theo anh ch , nh m b o v h th ng ị ằ ả ệ ệ ố
m ng máy tính, ng i qu n tr ph i ạ ườ ả ị ả
ti n hành công vi c gì ?ế ệ
24
5
Chính sách b o m tả ậ
u Ph i mô t c th (văn b n) chính sách b o ả ả ụ ể ả ả
m tậ
u Tài s n nào c n b o v ? t i sao? Ai ch u trách ả ầ ả ệ ạ ị
nhi m? các truy c p nào cho phép/ngăn c mệ ậ ấ
l An ninh v t lý - Physical securityậ
l An ninh m ng - Network securityạ
l Quy n truy c p - Access authorizationsề ậ
l Ngăn ch n vi rút - Virus protectionặ
l Ph c h i thông tin - Disaster recoveryụ ồ
25
5
Mô t các thành ph n trongả ầ
chính sách
u Xác th c - Authenticationự
l Nh ng ai đang truy xu t vào website?ữ ấ
u Quy n truy c p - Access Controlề ậ
l Nh ng ai đ c phép đăng nh p và truy ữ ượ ậ
xu t thông tin trong websiteấ
u B o mât - Secrecyả
l Nh ng ai đ c phép xem các thông tin ữ ượ
nh y c m, bí m tạ ả ậ
26
5
Mô t các thành ph n trongả ầ
chính sách
u Toàn v n d li u - Data integrityẹ ữ ệ
l Ai đ c quy n c p nh t thông tin, d li uượ ề ậ ậ ữ ệ
u Ki m tra-Theo dõi-Th ng kê (Audit)ể ố
l Nh ng ai đã truy c p vào h th ng? khi ữ ậ ệ ố
nào? bao lâu ?
l NSD đã s d ng và truy nh p các tài ử ụ ậ
nguyên nào ?
27
5
Câu h iỏ
u Theo anh ch , chính sách b o m t ị ả ậ
không t t có th d n đ n nh ng tác ố ể ẫ ế ữ
h i gì trong vi c b o v quy n s h u ạ ệ ả ệ ề ở ữ
trí tu ?ệ
28
5
M i đe d a v i s h u trí tuố ọ ớ ở ữ ệ
u M ng Internet : tác nhân lôi kéo tình ạ
tr ng (m i đe d a) v n đ b o v s ạ ố ọ ấ ề ả ệ ở
h u trí tuữ ệ
l D dàng thu th p và “tái t o”các thông tin, ễ ậ ạ
s n ph m,.. tìm th y trên Internetả ẩ ấ
l NSD không có ý th c v các qui đ nh b n ứ ề ị ả
quy n cũng nh không có ch ý vi ph mề ư ủ ạ
29
5
The Copyright Website Home Page
30
5
M i đe d a v i s h u trí tuố ọ ớ ở ữ ệ
u Cybersquatting (b t h p pháp)ấ ợ
l Đăng ký 1 tên mi n v i th ng hi u c a 1 ề ớ ươ ệ ủ
cá nhân hay 1 công ty khác
u Cybersquatters : hy v ng ch nhân các công ọ ủ
ty hay th ng hi u s tr ti n đ mua l i các ươ ệ ẽ ả ề ể ạ
URL này
u Vài Cybersquatters m o danh ch th ng ạ ủ ươ
hi u nh m m c đích xuyên t c, l a d iệ ằ ụ ạ ừ ố
31
5
Câu h iỏ
u Máy c a NSD có th b “t n công” ủ ể ị ấ
b ng các “con đ ng” nào ?ằ ườ
32
5
Các m i đe d a ố ọ
u Phía máy NSD
l Active Content
u Java applets, Active X controls, JavaScript, và
VBScript
u Các ch ng trình ch a các mã l nh thi hành, ươ ứ ệ
mã thông d ch đ c nhúng vào các đ i t ng ị ượ ố ượ
t i vả ề
u M t s n i dung active có ý đ x u nhúng vào ộ ố ộ ồ ấ
các trang web có v vô h iẻ ạ
u Cookies : l u l i tên tài kho n, m t kh u và ư ạ ả ậ ẩ
các thông tin tham kh o khácả
33
5
Java, Java Applets,
và JavaScript
u Java : ngôn ng l p trình c p cao đ c ữ ậ ấ ượ
phát tri n b i Sun Microsystemsể ở
u Mã Java có th ‘nhúng’ vào các thi t b ể ế ị
gia d ng đ đi u khi n các ho t đ ng ụ ể ề ể ạ ộ
c a thi t bủ ế ị
u Các ng d ng d ng applets có th ứ ụ ạ ể
đ c nhúng vào trang web và t i vượ ả ề
u Đ c l p v i n n ph n c ng và h đi u ộ ậ ớ ề ầ ứ ệ ề
hành
34
5
Ví d minh h a 1 Java Appletụ ọ
35
5
Sun’s Java Applet Page
36
5
Java, Java Applets,
và JavaScript
u Java sandbox
l Bao g m các qui t c cùng 1 c ch đ các ồ ắ ơ ế ể
applet ho t trong 1 môi tr ng hoàn toàn ạ ườ
đ m b o an toànả ả
l Các applet ch a đ c xác th c tính an ư ượ ự
toàn bu c ph i ho t đ ng d i c ch nàyộ ả ạ ộ ướ ơ ế
u Signed Java applets
l Ch ký đi n t đ c nhúng trong applet đ ữ ệ ử ượ ể
xác nh n tính xác th cậ ự
37
5
ActiveX Controls
u ActiveX : là 1 “đ i t ng”, còn g i là ố ượ ọ
“đi u khi n” ch a các ch ng trình, ề ể ứ ươ
các thu c tính, th c hi n các nhi m v ộ ự ệ ệ ụ
đã đ c thi t kượ ế ế
u ActiveX : ch ho t đ ng trong môi ỉ ạ ộ
tr ng Windows 95, 98,2K,XP,...ườ
u M t khi đ c t i v , các đi u khi n ộ ượ ả ề ề ể
ActiveX ho t đ ng nh 1 ch ng ạ ộ ư ươ
trình : có toàn quy n truy xu t các tài ề ấ
nguyên trên máy tính
38
5
ActiveX Warning Dialog box
39
5
Hình nh,các Plug-ins, vàả
thông tin đính kèm theo E-mail
u Kh năng cài đ t các mã l nh trong ả ặ ệ
các nh đ h a gây h i máy tính!!ả ồ ọ ạ
u Plug-ins : th ng đ c s d ng đ ườ ượ ử ụ ể
th c hi n các thông tin multimedia ự ệ
(audiovisual clips, animated graphics)
l Có kh năng ch a các đo n mã l nh bên ả ứ ạ ệ
trong đ i t ng v i m c đích x uố ượ ớ ụ ấ
u Các thông tin đính kèm E-mail có kh ả
năng ch a các macro h y di t bên ứ ủ ệ
trong
40
5
Netscape’s Plug-ins Page
Figure 5-7
41
5
Hi m h a t các kênh truy n ể ọ ừ ề
thông
u Secrecy Threats
l Privacy : b o đ m thông tin riêng t không ả ả ư
b ti t lị ế ộ
l Đánh c p các thông tin nh y c m, các ắ ạ ả
thông tin cá nhân
l Đ a ch IP th ng b l khi duy t Webị ỉ ườ ị ộ ệ
42
5
Hi m h a t các kênh truy n ể ọ ừ ề
thông
u Anonymizer
l Cung c p 1 m c đ b o m t có gi i h n ấ ứ ộ ả ậ ớ ạ
khi s d ng nh 1 portal truy c p Internetử ụ ư ậ
u
u Toàn v n thông tin - Integrity Threatsẹ
l T ng t hành đ ng nghe tr m đi n ươ ự ộ ộ ệ
tho i(wiretapping)ạ
l Thay đ i d li u trái phépổ ữ ệ
u Ví d thay đ i l ng ti n g i/ti n rútụ ổ ượ ề ử ề
43
5
Anonymizer’s Home Page
Figure 5-8
44
5
Hi m h a t các kênh truy n ể ọ ừ ề
thông
u Đáp ng yêu c u - Necessity Threatsứ ầ
l Còn g i là delay/denial threats , DoSọ
l Phá h y quá trình x lý c a MTĐTủ ử ủ
u T ch i ti n trình x lýừ ố ế ử
u X lý r t ch m!!!!ử ấ ậ
u Xóa b t p tin hay xóa thông tin trong 1 giao ỏ ậ
d ch/t p tinị ậ
u Chuy n ti n t tài kho n này sang 1 tài kho n ể ề ừ ả ả
khác !!!!
45
5
Câu h iỏ
u Anh ch hãy đ a ra m t vài bi n pháp ị ư ộ ệ
nh m b o v NSD khi truy c p Internetằ ả ệ ậ
46
5
An toàn m ng dành cho cá ạ
nhân t b o v mìnhự ả ệ
u Khi nh n spam ậ xóa b h tỏ ế
u Không click vào b t kỳ đ ng link nào ấ ườ
trong email
u Không m lên các file g i kèm trong ở ử
email.
u Đ ng tr l i nh ng email spamừ ả ờ ữ
u Ngay c ch c năng “T ch i nh n” ả ứ ừ ố ậ
(Unsubscription) cũng đã b l i d ng đ ị ợ ụ ể
ng i g i spam ki m tra tính hi n h u ườ ử ể ệ ữ
c a tài kho n email, ủ ả
u Cài nh ng ch ng trình ch ng virus m i ữ ươ ố ớ
nh t, c p nh t ch ng trình th ng ấ ậ ậ ươ ườ
xuyên.
47
5
An toàn m ng dành cho cá ạ
nhân t b o v mìnhự ả ệ
u B qua m i email yêu c u cung c p thông tin cá ỏ ọ ầ ấ
nhân. H u h t t t c đó đ u là trò l a đ o ho c ầ ế ấ ả ề ừ ả ặ
có âm m u gián đi p (spyware) hay virus. Ngân ư ệ
hàng hay d ch v thanh toán qua m ng không ị ụ ạ
bao gi yêu c u thông tin “nh y c m” qua m ng ờ ầ ạ ả ạ
Internet. N u có yêu c u thì đó ph i là form ế ầ ả
nh p thông tin t website c a chính t ch c đó, ậ ừ ủ ổ ứ
v i giao th c truy n an toàn (httpớ ứ ề s://)
u N u cá nhân có th tín d ng và có mua qua ế ẻ ụ
m ng thì ph i ki m tra k t ng kho n chi tiêu ạ ả ể ỹ ừ ả
m i tháng đ c li t kê trong hóa đ n ngân hàng ỗ ượ ệ ơ
g i v đ k p th i phát hi n s c n u có. ử ề ể ị ờ ệ ự ố ế
48
5
An toàn m ng dành cho cá ạ
nhân t b o v mìnhự ả ệ
u Khi nh n đ c nh ng email t ng i l ậ ượ ữ ừ ườ ạ
v i nh ng file g i kèm thì ph i r t c n ớ ữ ử ả ấ ẩ
th n. ậ
u Trong khi l t web n u th y xu t hi n ướ ế ấ ấ ệ
nh ng thông báo đ ngh cài đ t hay thông ữ ề ị ặ
báo nào khác thì nên đ c k , không d ọ ỹ ễ
dàng ch n “OK” hay “Yes”. ọ
49
5
An toàn m ng dành cho cá ạ
nhân t b o v mìnhự ả ệ
u Sau khi truy c p vào tài kho n email hay ậ ả
tài kho n quan tr ng nào khác thì nh ả ọ ớ
Log-off đ thoát hoàn toàn ra kh i trang ể ỏ
web, tránh ng i khác dùng máy tính đó ườ
trong vài phút sau có th truy c p vào ể ậ
đ c. ượ
u N u ph i dùng máy tính dùng chung thì ế ả
không nên dùng ch c năng “Nh ứ ớ
Password”.
50
5
Câu h iỏ
u Anh ch th đ a ra 1 vài bi n pháp b o ị ử ư ệ ả
v cho máy ph c vệ ụ ụ
51
5
Các m i đe d a v i máy ố ọ ớ
ph c vụ ụ
u Các ph n m m cài đ t càng m nh, ầ ề ặ ạ
càng nhi u tính năng thì kh năng phát ề ả
sinh l i càng nhi uỗ ề
u Máy ph c v th ng ho t đ ng các ụ ụ ườ ạ ộ ở
c p đ c quy n khác nhauấ ặ ề
l C p cao nh p : cung c p đ y đ các ấ ấ ấ ầ ủ
quy n truy xu t và tính uy n chuy n,m m ề ấ ể ể ề
d oẻ
l C p th p nh t : cung c p 1 hàng rào b o ấ ấ ấ ấ ả
v (logic) xung quanh ch ng trình đang ệ ươ
ho t đ ngạ ộ
52
5
Các m i đe d a v i máy ố ọ ớ
ph c vụ ụ
u Danh sách các th m c c a máy ph c ư ụ ủ ụ
v xu t hi n trên trình duy t !!!!ụ ấ ệ ệ
u Qu n tr site c n t t tính năng hi n ả ị ầ ắ ệ
danh sách các folder nh m tránh hi m ằ ể
h aọ
u Truy n/phát các cookies v i s b o v ề ớ ự ả ệ
nghiêm ng tặ
53
5
Danh m c các folder xu t hi nụ ấ ệ
trên trình duy tệ
54
5
Các m i đe d a v i máy ố ọ ớ
ph c vụ ụ
u M t trong nh ng thông tin quan tr ng ộ ữ ọ
đ c l u tr trên máy ph c v web : ượ ư ữ ụ ụ
thông tin tài kho n NSD và m t kh uả ậ ẩ
u Ng i qu n tr web ph i ch u trách ườ ả ị ả ị
nhi m b o m t nh ng thông tin này và ệ ả ậ ữ
các thông tin quan tr ng khácọ
55
5
Câu h iỏ
u Doanh nghi p th c hi n TMĐT c n ệ ự ệ ầ
quan tâm và t b o v nh th ự ả ệ ư ế
nào ???
56
5
B o v phía doanh nghi pả ệ ệ
u Hacking: doanh nghi p nên th ng ệ ườ
xuyên ki m tra ho t đ ng c a website ể ạ ộ ủ
c a mình đ k p th i phát hi n s c ủ ể ị ờ ệ ự ố
(website không hi n lên, gõ tên mi n ệ ề
đúng mà không th y website c a mình ấ ủ
hi n lên ho c hi n lên nh ng thông tin ệ ặ ệ ữ
l ...). V i ba lo i r i ro th ng g p: ạ ớ ạ ủ ườ ặ
57
5
B o v phía doanh nghi pả ệ ệ
l B t n công t ch i ph c v (DoS: Denial of ị ấ ừ ố ụ ụ
Service): tr ng h p này n u doanh nghi p thuê ườ ợ ế ệ
d ch v host thì doanh nghi p yêu c u nhà cung ị ụ ệ ầ
c p d ch v host x lý. ấ ị ụ ử
l B c p tên mi n: doanh nghi p có th t qu n lý ị ướ ề ệ ể ự ả
password c a tên mi n ho c giao cho nhà cung ủ ề ặ
c p d ch v qu n lý. ấ ị ụ ả
l B xâm nh p host ho c d li u trái phép: n u ị ậ ặ ữ ệ ế
doanh nghi p thuê d ch v host thì doanh nghi p ệ ị ụ ệ
yêu c u nhà cung c p d ch v host x lý ph i nêu ầ ấ ị ụ ử ả
rõ ph ng th c x lý, ph c h i khi g p s c này. ươ ứ ử ụ ồ ặ ự ố
Cách th c thông th ng là nhà cung c p d ch v ứ ườ ấ ị ụ
ph i đ nh kỳ back-up (sao l u) các file, d li u c a ả ị ư ữ ệ ủ
website, và nhà cung c p d ch v ph i có ít nh t ấ ị ụ ả ấ
hai host cùng lúc đ n u host này có s c thì ể ế ự ố
chuy n sang host kia. ể
58
5
B o v phía doanh nghi pả ệ ệ
u T b o v passwordự ả ệ : n u doanh ế
nghi p có nh ng tài kho n quan tr ng ệ ữ ả ọ
trên m ng (tài kho n v i nhà cung c p ạ ả ớ ấ
d ch v x lý thanh toán qua m ng, tài ị ụ ử ạ
kho n qu n lý tên mi n, tài kho n ả ả ề ả
qu n lý host...) thì càng ít ng i bi t ả ườ ế
password c a nh ng tài kho n này ủ ữ ả
càng t t. Khi nhân viên n m tài kho n ố ắ ả
này ngh vi c thì nên thay đ i ỉ ệ ổ
password c a tài kho n. ủ ả
59
5
B o v phía doanh nghi pả ệ ệ
u An toàn m ng n i bạ ộ ộ : n u doanh nghi p có ế ệ
m ng n i b thì an toàn trong m ng n i b ạ ộ ộ ạ ộ ộ
cũng ph i đ c l u ý. Doanh nghi p nên có ả ượ ư ệ
quy đ nh s d ng m ng n i b , quy đ nh an ị ử ụ ạ ộ ộ ị
toàn, phòng ch ng virus v.v... Vì n u m t máy ố ế ộ
con trong m ng n i b b nhi m virus thì toàn ạ ộ ộ ị ễ
b m ng s b nh h ng, gây h u qu gián ộ ạ ẽ ị ả ưở ậ ả
đo n ho t đ ng, m t d li u v.v... ạ ạ ộ ấ ữ ệ
u An toàn d li u, thông tinữ ệ : nh ng thông tin ữ
quan tr ng không c n chia s cho nhi u ng i ọ ầ ẻ ề ườ
thì không nên l u trên m ng n i b , ho c l u ư ạ ộ ộ ặ ư
trong nh ng th m c có password b o v , nên ữ ư ụ ả ệ
có b n back-up (sao l u) l u trên đĩa CD v.v... ả ư ư
60
5
Các m i đe d a v i CSDLố ọ ớ
u Các thông in riêng t , có giá tr n u b ư ị ế ị
ti t l : gây nh ng thi t h i không th ế ộ ữ ệ ạ ể
bù đ p cho công tyắ
u B o m t th c hi n thông qua quy n ả ậ ự ệ ề
h n s d ng qui đ nhạ ử ụ ị
u Nhi u ph n m m CSDL không có tính ề ầ ề
b o m t cao và phó thác vào s b o ả ậ ự ả
m t c a websiteậ ủ
61
5
Oracle Security Features Page
62
5
Các m i đe d a khácố ọ
u Các m i đe d a t Common Gateway ố ọ ừ
Interface (CGI)
l N u không s d ng đúng cách, các ế ử ụ
ch ng trình CGIs cũng là nh ng m i đe ươ ữ ố
d a ti m nọ ề ẩ
l Các ch ng trình CGI th ng l u trú nhi u ươ ườ ư ề
n i trên Website và r t khó theo dõi , l n ơ ấ ầ
d u v t đ phát hi n các sai sótấ ế ể ệ
l CGI scripts không ho t đ ng nh ạ ộ ư
JavaScript (v i c ch sandbox)ớ ơ ế
63
5
Các m i đe d a khácố ọ
u Các đe d a t các ch ng trình bao ọ ừ ươ
g m:ồ
l Các ch ng trình ho t đ ng trên serverươ ạ ộ
l L i tràn b đ m(Buffer overruns)ỗ ộ ệ
l Gây tình tr ng “Runaway code segments”ạ
u Sâu Internet (Internet Worm) là 1 hình thái c a ủ
runaway code segment
l T n công t các đo n mã xâm nh p b t ấ ừ ạ ậ ấ
h p pháp t o tình tr ng”Buffer overflow” : ợ ạ ạ
chúng tìm cách chi m d ng các đi u khi n ế ụ ề ể
đã đ c xác th cượ ự
64
5
T n công d ng Buffer Overflowấ ạ
65
5
Computer Emergency Response
Team (CERT)
u Đ t t i Carnegie Mellon Universityặ ạ
u Ch u trách nhi m theo dõi, phát hi n, ị ệ ệ
c nh báo,... các v n đ an toàn , an ả ấ ề
ninh trên m ngạ
u G i các c nh báo (ử ả CERT alerts) đ n ế
c ng đ ng Internet v các m i đe d a ộ ồ ề ố ọ
b o m tả ậ
66
5
CERT Alerts
67
5
M t vài đ nghộ ề ị
u N u là doanh nghi pế ệ
l Thuê d ch v hosting (l u tr web), nhà cung c p ị ụ ư ữ ấ
d ch v s ch u trách nhi m v vi c tăng c ng ị ụ ẽ ị ệ ề ệ ườ
an toàn m ng, an toàn thông tin cho h , và có ạ ọ
nghĩa là cho c website c a ta. ả ủ
l Sau khi login (đăng nh p) vào h th ng qu n lý ậ ệ ố ả
website (do nhà cung c p d ch v bàn giao l i ấ ị ụ ạ
cho b n s d ng), luôn ph i th c hi n đ ng tác ạ ử ụ ả ự ệ ộ
logout (thoát) đ đ m b o các c a ngõ ph i ể ả ả ử ả
đ c khóa l i ngay sau khi thoát ra. ượ ạ
68
5
M t vài đ nghộ ề ị
u N u là ng i muaế ườ
l Không truy c p vào h th ng khi s d ng ậ ệ ố ử ụ
máy tính công c ng. ộ
l Không m nh ng email có file g i kèm ở ữ ử
(attachment) mà ng i g i có v nh xa l . ườ ử ẻ ư ạ
Th m chí đ ng tin nh ng email mang tên ậ ừ ữ
ng i g i là Microsoft, Yahoo hay t ng t ườ ử ươ ự
b i vì đây có th là th thu t gi danh c a ở ể ủ ậ ả ủ
hacker đ l a . ể ừ
69
5
M t vài đ nghộ ề ị
u Th 2, v m i lo ng i b ăn c p s th ứ ề ố ạ ị ắ ố ẻ
tín d ng khi mua hàng trên m ng và ụ ạ
bán hàng cho ng i dùng th tín d ng ườ ẻ ụ
b t h p pháp (th b ăn c p). ấ ợ ẻ ị ắ
l N u là ng i mua: ch nên mua hàng ế ườ ỉ ở
nh ng website t t, tin c y.ữ ố ậ
l Làm sao đ đánh giá website tin c y ? ể ậ
70
5
M t vài đ nghộ ề ị
uTên tu i ng i bán ổ ườ
uTrình bày gian hàng m t cách chuyên ộ
nghi p, không có l i chính t , câu cú ệ ỗ ả
rõ ràng v.v…
uĐ c ph n About Us c a h đ tìm ọ ầ ủ ọ ể
m t đ a ch văn phòng c th ộ ị ỉ ụ ể
uĐ ng bao gi cung c p thông tin th ừ ờ ấ ẻ
tín d ng cho các website khiêu dâm ụ
trên m ng.ạ
71
5
M t vài đ nghộ ề ị
u N u là ng i bán :ế ườ
l Nên nh trung gian đ x lý th tín d ngờ ể ử ẻ ụ
l Ph i tr môt kho n chi phí % d a trên doanh ả ả ả ự
thu cho họ
l Đ m b o k thu t.ả ả ỹ ậ
l Thông th ng ph i g i hàng đi, khi ng i mua ườ ả ử ườ
nh n đ c hàng ậ ượ m i đ c nh n ti n vào tài ớ ượ ậ ề
kho n c a b nả ủ ạ
l N u g p ph i th tín d ng b t h p pháp ế ặ ả ẻ ụ ấ ợ s ẽ
m t tr ng món hàng và m t m t kho n chi phí ấ ắ ấ ộ ả
x lý th ử ẻ
l Theo th ng kê, ch có kho n 3% giao d ch là ố ỉ ả ị
g p ph i tr ng h p dùng th tín d ng giặ ả ườ ợ ẻ ụ ả
l Kho n l i t vi c bán cho 97% khách hàng ả ờ ừ ệ
trung th c cũng đ đ bù cho kho n m t mát ự ủ ể ả ấ
trong 3% gian l n này. ậ
72
5
Bài Kỳ Sau
Th c Hi n B o M t trongự ệ ả ậ
Th ng M i Đi n Tươ ạ ệ ử
Các file đính kèm theo tài liệu này:
- Mối đe dọa an ninh trong TMĐT.pdf