Bài giảng Thương mại điện tử - Chương 5: Bảo mật và an ninh thương mại điện tử

Nội dung chính trong chương 5 Bảo mật và an ninh thương mại điện tử thuộc bài giảng thương mại điện tử nhằm trình bày về những nguy cơ đe doạ an ninh thương mại điện tử. Vấn đề bảo mật trong Thương mại điện tử. Giải pháp bảo vệ an ninh thương mại điện tử.
Nội dung trích xuất từ tài liệu:
Bài giảng Thương mại điện tử - Chương 5: Bảo mật và an ninh thương mại điện tử THƯƠNG MẠI ĐIỆN TỬ BẢO MẬT VÀ AN NINH TMĐT 1 Những nguy cơ đe doạ an ninh TMĐT 2 Vấn đề bảo mật trong Thương mại điện tử 3 Giải pháp bảo vệ an ninh TMĐT Những nguy cơ đe doạ an ninh TMĐT  Hackers và Crackers:  Hackers thuật ngữ để chỉ người lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính.  Crackers là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các chương trình.  Gian lận thẻ tín dụng:  Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra như: thẻ tín dụng bị mất, bị đánh cắp, các thông tin về số thẻ, mã PIN, các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp.  Trong TMĐT các hành vi gian lận phức tạp hơn như bị đánh cắp thông tin liên quan đến thẻ hoặc thông tin giao dịch. Những nguy cơ đe doạ an ninh TMĐT  Lừa đảo:  Lừa đảo trong TMĐT là việc hackers sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện hành động phi pháp.  Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc làm chệch hướng các liên kết web đến một địa chỉ web giả mạo. Những nguy cơ đe doạ an ninh TMĐT  Các loại tấn công trên mạng:  Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ thống giỏi thực hiện.  Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy cảm.  Tấn công làm từ chối phục vụ (Denial-of-service -DoS attack) là sử dụng phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được. Những nguy cơ đe doạ an ninh TMĐT  Các loại tấn công trên mạng  Phân tán cuộc tấn công làm từ chối phục vụ (Distributed denial of service (DDoS) attack) là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu.  Spam (thư rác): mỗi ngày có thể nhận vài chục, đến vài trăm thư rác  Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa: chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…  Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu không thâm nhập vào file mà thâm nhập vào hệ thống. Những nguy cơ đe doạ an ninh TMĐT Tấn công DDoS Vấn đề bảo mật đặt ra trong TMĐT  Từ góc độ người sử dụng:  Làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp?  Làm sao biết được trang web này không chứa đựng những nội dung hay mã chương trình nguy hiểm?  Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ 3 Vấn đề bảo mật đặt ra trong TMĐT  Từ góc độ doanh nghiệp:  Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web?  Làm sao biết được làm gián đoạn hoạt động của server.  Từ cả hai phía:  Làm sao biết được không bị nghe trộm trên mạng?  Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi? Một số khái niệm về an toàn bảo mật  Quyền được phép (Authorization): Quá trình đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng  Xác thực (Authentication): Quá trình xác thực một thực thể xem họ khai báo với cơ quan xác thực họ là ai.  Sự riêng tư (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng  Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi  Không thoái thác (Nonrepudiation): Khả năng không thể từ chối các giao dịch đã thực hiện. Giải pháp bảo vệ an ninh TMĐT 1. Kỹ thuật mã hóa thông tin 2. Chữ ký điện tử 3. Chứng thực điện tử 4. Bức tường lửa Cơ chế mã hóa thông tin  Mã hóa là quá trình trộn văn bản với khóa (key) tạo thành văn bản không thể đọc được trên mạng  Khi nhận được, người ta dùng khóa giải mã thành bản gốc  Mã hóa và giải mã gồm 4 phần cơ bản: 1. Văn bản nhập vào – Plaintext 2. Thuật toán mã hóa – Encryption 3. Văn bản đã mã – Ciphertext 4. Giải mã – Decryption Hai phương pháp mã hóa phổ biến 1. Phương pháp mã đối xứng (khoá riêng) Mã khoá bí mật (private key) Thông Đơn đặt TĐ đã TĐ đã Đơn đặt INTERNET điệp hàng được được hàng mã hoá mã hoá Người gửi Người nhận A B Hai phương pháp mã hóa phổ biến 2. Phương pháp mã không đối xứng (khoá công khai) Mã khoá công khai (người nhận) Mã khoá bí mật (người nhận) Thông Đơn đặt TĐ đã TĐ đã Đơn đặt INTERNET điệp hàng được được hàng mã hoá mã hoá Người gửi Người nhận A B Chữ ký điện tử  Chữ ký điện tử  Dữ liệu dưới dạng điện tử (từ, chữ, số, ký hiệu, âm thanh,…)  Gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu  Cókhả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký  Các cách tạo chữ ký điện tử:  Vân tay  Sơ đồ võng mạc  Sơ đồ tĩnh mạch trong bàn tay  ADN  Các yếu tố sinh học khác  Công nghệ mã hóa,… Chữ ký điện tử  Chữ ký điện tử (chữ ký số hoá) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc  Các tạo chữ ký số:  Áp dụng thuật toán băm một chiều trên ...