e com ch12 an ninh trong thuong mai dien tu

Chương 12Chương 12

An ninh trong thương mại An ninh trong thương mại điện tửđiện tử

© Prentice Hall 2004© Prentice Hall 2004 22

Nội dungNội dung

1.1. Tài liệu trong máy tính và mạng phát Tài liệu trong máy tính và mạng phát triển nhanh nên nguy cơ bị tấn công triển nhanh nên nguy cơ bị tấn công cũng tăng.cũng tăng.

2.2. Mô tả các biện pháp an ninh thông Mô tả các biện pháp an ninh thông dụng của các doanh nghiệp.dụng của các doanh nghiệp.

3.3. Hiểu các phần tử cơ bản của an ninh Hiểu các phần tử cơ bản của an ninh TMĐT.TMĐT.

4.4. Giải thích các loại tấn công an ninh Giải thích các loại tấn công an ninh cơ bản của mạng máy tính.cơ bản của mạng máy tính.


Nội dung Nội dung (cont.)(cont.)

5.5. Mô tả các lổi thông thường mà các Mô tả các lổi thông thường mà các tổ chức gặp phải trong vấn đề tổ chức gặp phải trong vấn đề quản lý an ninh.quản lý an ninh.

6.6. Thảo luận một vài công nghệ chính Thảo luận một vài công nghệ chính cho việc an ninh truyền thông cho việc an ninh truyền thông TMĐT.TMĐT.

7.7. Chi tiết một vài công nghệ chính Chi tiết một vài công nghệ chính cho các thành phần an ninh mạng cho các thành phần an ninh mạng máy tính TMĐT.máy tính TMĐT.


Câu chuyện tấn công vét Câu chuyện tấn công vét cạn thẻ tín dụngcạn thẻ tín dụng

Vấn đềVấn đềSpitfire Novelties thường thực hiện Spitfire Novelties thường thực hiện từ 5 đến 30 giao dịch một ngàytừ 5 đến 30 giao dịch một ngày

Vào ngày 12 tháng 12 năm 2002 Vào ngày 12 tháng 12 năm 2002 trong một cuộc tấn công “vét cạn”trong một cuộc tấn công “vét cạn”, thẻ tín dụng Spitfire xử lý 140,000 Spitfire xử lý 140,000 thẻ tín dụng giả với giá trị $5.07 thẻ tín dụng giả với giá trị $5.07 cho mổi thẻ (62,000 được chấp cho mổi thẻ (62,000 được chấp nhận)nhận)


Câu chuyện tấn công vét Câu chuyện tấn công vét cạn thẻ tín dụng cạn thẻ tín dụng (cont.)(cont.)

Tổng số tiền phải trả lên đến Tổng số tiền phải trả lên đến khoảng $300,000 khoảng $300,000

Spitfire đã tìm ra các giao dịch Spitfire đã tìm ra các giao dịch này khi họ được cho biết một này khi họ được cho biết một người sử dụng thẻ tín dụng khi người sử dụng thẻ tín dụng khi kiểm tra đã phát hiện phải trả kiểm tra đã phát hiện phải trả $5.07 $5.07



Tấn công vét cạn thẻ tín dụng chỉ cần một số Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ năng tối thiểukĩ năng tối thiểu

Kẻ tấn công (Hacker) chạy hàng ngàn lần số Kẻ tấn công (Hacker) chạy hàng ngàn lần số tiền phải trả nhỏ thông qua tài khoản của các tiền phải trả nhỏ thông qua tài khoản của các thương gia, mà số tài khoản được sinh ngẫu thương gia, mà số tài khoản được sinh ngẫu nhiênnhiên

Khi thủ phạm tìm thấy các số thẻ tín dụng Khi thủ phạm tìm thấy các số thẻ tín dụng đúng thì họ có thể bán trên thị trường chợ đenđúng thì họ có thể bán trên thị trường chợ đen

Trong thời đại ngày nay có một số chợ đen Trong thời đại ngày nay có một số chợ đen trên mạng như các Web site trên mạng như các Web site carderplanet.comcarderplanet.com, , shadowcrew.comshadowcrew.com, và , và counterfeitlibrary.comcounterfeitlibrary.com



Các yếu tố để thủ phạm dựa vào Các yếu tố để thủ phạm dựa vào để xác nhận thẻ tín của các để xác nhận thẻ tín của các doanh nhân, doanh nghiệp làdoanh nhân, doanh nghiệp là

Một định danh (ID)Một định danh (ID)

Một passwordMột password

Cả haiCả hai



Các dịch vụ xử lý thẻ tín dụng của Các dịch vụ xử lý thẻ tín dụng của Online Data, một thủ phạm cần mật Online Data, một thủ phạm cần mật khẩu của thương gia để yêu cầu xác khẩu của thương gia để yêu cầu xác thựcthực

Online Data đã bán lại cho VeriSign Online Data đã bán lại cho VeriSign Inc. các cổng dịch vụ thẻ tín dụngInc. các cổng dịch vụ thẻ tín dụng

VeriSign đã quy trách nhiệm cho Online VeriSign đã quy trách nhiệm cho Online Data về các việc đã xảy raData về các việc đã xảy ra

Online Data cũng quy trách nhiệm cho Online Data cũng quy trách nhiệm cho Spitfire là không thay đổi mật khẩu khởi Spitfire là không thay đổi mật khẩu khởi tạo của họtạo của họ


Câu chuyện tấn công vét Câu chuyện tấn công vét cạn thẻ tín dụngcạn thẻ tín dụng (cont.)(cont.)

Vào tháng tư năm 2002 các kẻ tấn Vào tháng tư năm 2002 các kẻ tấn công đã vào hệ thống xử lý thẻ công đã vào hệ thống xử lý thẻ Authorize.Net (một hệ thống Authorize.Net (một hệ thống thanh toán lớn nhất trên Internet)thanh toán lớn nhất trên Internet)

13,000 giao dịch thẻ tín dụng được 13,000 giao dịch thẻ tín dụng được thực hiện trong đó 7,000 thẻ thành thực hiện trong đó 7,000 thẻ thành côngcông

Tham nhập vào hệ thống Tham nhập vào hệ thống Authorize.Net chỉ cần tên đăng nhập, Authorize.Net chỉ cần tên đăng nhập, không cần mật khẩukhông cần mật khẩu


Giải pháp cho việc tấn Giải pháp cho việc tấn công vét cạncông vét cạn

Online Data nên sử dụng mật Online Data nên sử dụng mật khẩu mạnh ngay lúc đầukhẩu mạnh ngay lúc đầu

Khách hàng nên thường xuyên Khách hàng nên thường xuyên thay đổi mật khẩuthay đổi mật khẩu

Các dịch vụ nhận dạng như Các dịch vụ nhận dạng như VeriSign và Authorize.Net nên VeriSign và Authorize.Net nên xây dựng bảo vệ cảnh giới xác xây dựng bảo vệ cảnh giới xác định các cuộc tấn công vét cạnđịnh các cuộc tấn công vét cạn


Giải pháp cho việc tấn Giải pháp cho việc tấn công vét cạn thẻ tín dụng công vét cạn thẻ tín dụng

(cont.)(cont.)Các dấu hiệu là:Các dấu hiệu là:

Số lần thương nhân yêu cầu lạ Số lần thương nhân yêu cầu lạ thường (nhiều)thường (nhiều)

Lặp lại các yêu cầu với giá trị nhỏ Lặp lại các yêu cầu với giá trị nhỏ từ cùng một thương nhântừ cùng một thương nhân


Tấn công vét cạn thẻ tín Tấn công vét cạn thẻ tín dụng dụng (cont.)(cont.)

Kết quảKết quảVeriSign đã dừng các giao dịch VeriSign đã dừng các giao dịch trước khi chúng thanh toán, tiết trước khi chúng thanh toán, tiết kiệm cho $316,000 phải thanh toánkiệm cho $316,000 phải thanh toánCác thương nhân Authorize.Net Các thương nhân Authorize.Net phải trả $0.35 cho mỗi lần giao phải trả $0.35 cho mỗi lần giao dịchdịchThu lại hàng ngìn số thẻ tín dụng Thu lại hàng ngìn số thẻ tín dụng hợp lệ được bán trên thị trường hợp lệ được bán trên thị trường chợ đenchợ đen


Tấn công vét cạn thẻ tín Tấn công vét cạn thẻ tín dụng dụng (cont.)(cont.)

Chúng ta có thể học…Chúng ta có thể học…Bất cứ loại TMĐT bao gồm nhiều Bất cứ loại TMĐT bao gồm nhiều người tham gia họ sử dụng nhiều người tham gia họ sử dụng nhiều mạng máy tính và các dịch vụ mạng máy tính và các dịch vụ ứng dụng thì được cung cấp truy ứng dụng thì được cung cấp truy cập tới nhiều nguồn dữ liệucập tới nhiều nguồn dữ liệuKẻ tấn công chỉ cần một điểm Kẻ tấn công chỉ cần một điểm yếu nhỏ của hệ thống là họ có yếu nhỏ của hệ thống là họ có thể tấn công đượcthể tấn công được


Tấn công vét cạnTấn công vét cạnNhững cái mà chúng ta có thể Những cái mà chúng ta có thể

họchọc

Một số tấn công yêu cầu kỹ Một số tấn công yêu cầu kỹ thuật và công nghệ tinh vithuật và công nghệ tinh vi

Đa số các tấn công đều không Đa số các tấn công đều không tinh vi; các thủ tục quản lý rủi ro tinh vi; các thủ tục quản lý rủi ro an ninh chuẩn có thể được dùng an ninh chuẩn có thể được dùng để giảm thiểu khả năng và ảnh để giảm thiểu khả năng và ảnh hưởnghưởng


Cần làm nhanh cho an Cần làm nhanh cho an ninh TMĐTninh TMĐT

Các nghiên cứu hằng năm được thực hiện bởi Computer Security Institute và FBI

1. Các tổ chức liên tục bị tấn công bởi những kẻ có kinh nghiệm từ bên trong và bên ngoài tổ chức


Cần làm nhanh cho an Cần làm nhanh cho an ninh TMĐT ninh TMĐT (cont.)(cont.)

2. Các loại tấn công tới các tổ chức rất đa dạng

3. Sự mất mát tài chính từ các vụ tấn công có thể là rất lớn

4. Có thể sử dụng kết hợp nhiều công nghệ để chống lại các vụ tấn công này



National Infrastructure Protection National Infrastructure Protection Center (NIPC):Center (NIPC): liên kết các quan liên kết các quan hệ đối tác, được bảo trợ bởi FBI, hệ đối tác, được bảo trợ bởi FBI, giữa chính phủ và các ngành công giữa chính phủ và các ngành công nghiệp; để bảo vệ cơ sở hạ tầng nghiệp; để bảo vệ cơ sở hạ tầng quốc giaquốc gia



Computer Emergency Response Computer Emergency Response Team (CERT):Team (CERT): nhóm của ba đội tại nhóm của ba đội tại trường đại học Carnegie Mellon đã trường đại học Carnegie Mellon đã theo dỏi các vụ tấn công, phân theo dỏi các vụ tấn công, phân tích khả năng tổn thương, và tích khả năng tổn thương, và cung cấp các hướng dẫn để chống cung cấp các hướng dẫn để chống lại các sự tấn công nàylại các sự tấn công này



Theo báo cáo thống kê CERT/CC trong năm 2002 (CERT/CC 2002)

Số lượng các vụ tấn công lớntừ xấp xỉ 22,000 trong năm 2000 tới trên 82,000 trong năm 2002

Quý một của nămQuý một của năm 2003 số các vụ tấn công đã là 43,000


An ninh và vấn đề của An ninh và vấn đề của mọi người kinh doanhmọi người kinh doanh

Thực hiện an ninh của tổ chức ở nhiều mức độ

Các tổ chức nhỏ (10 đến 100 máy tính)

Đã có sự tổ chức tập trung và dành một tỉ lệ phần trăm ngân sách CNTT cho việc thực hiện an ninhKhông có khả năng để thực hiện an ninh CNTT


An ninh và vấn đề của An ninh và vấn đề của mọi người kinh doanh mọi người kinh doanh

(cont.)(cont.)Các tổ chức vừa (100 tới 1,000 máy tính)

Phụ thuộc chính sách quản lý trong việc thực hiện các quyết định an ninh, và họ có rất ít sự hỗ trợ cho các chính sách CNTT của họCác nhân viên của họ thiếu đào tạo-đã để lộ cho các kẻ tấn công và thiệt hại về căn bản lớn hơn các tổ chức nhỏ



(cont.)(cont.)Các tổ chức lớn (1,000 tới 10,000 máy tính)

Cơ sở hạ tầng phức tạp và được biết nhiều trên InternetTập hợp các chi phí an ninh CNTT là lớn nhưng tính trung bình cho các nhân viên lại nhỏ



(cont.)(cont.)Các tổ chức lớn

An ninh CNTT là một phần thời gian và được đào tạo, chiếm một tỉ lệ phần trăm khá lớn của các ảnh hưởng mất mát và phá hoại mà tổ chức phải chịu từ các vụ tấn côngCác quyết định an ninh của họ dựa trên các chính sách của tổ chức



(cont.)(cont.)Các tổ chức rất lớn (nhiều hơn 10,000 máy tính)

một môi trường cực kì phức tạp mà rất khó quản lý với số nhân viên lớndựa vào các chính sách quản lý trong việc thực hiện các quyết định an ninhchỉ một tỉ lệ phần trăm nhỏ thì đã có các kết hoạch xác định và chống lại tốt các vụ tấn công


Các vấn đề an ninhCác vấn đề an ninh

Từ bối cảnh của người dùng:Từ bối cảnh của người dùng:Có phải công ty sở hữu và điều Có phải công ty sở hữu và điều hành dịch vụ Web là xác thực hành dịch vụ Web là xác thực khôngkhông?Có phải các trang Web và các Có phải các trang Web và các biểu mẩu chứa các đoạn mã có biểu mẩu chứa các đoạn mã có hại khônghại không?Có phải dịch vụ Web phân phối Có phải dịch vụ Web phân phối các thông tin không được phép các thông tin không được phép tới các người khác khôngtới các người khác không?


Các vấn đề an ninh Các vấn đề an ninh (cont.)(cont.)

Từ bối cảnh của công ty:Từ bối cảnh của công ty:Có phải người dùng sẽ có gắng phá vỡ dịch vụ Web và thay đổi các trang tại site không?

Có phải người dùng sẽ phá vỡ Có phải người dùng sẽ phá vỡ dịch vụ để cho nó không đến dịch vụ để cho nó không đến được người khác khôngđược người khác không?



Từ bối cảnh cả hai phía:Từ bối cảnh cả hai phía:Có phải đường kết nối mạng bị Có phải đường kết nối mạng bị nghe trộm bởi một người thứ ba nghe trộm bởi một người thứ ba trên đường truyền khôngtrên đường truyền không?

Có phải thông tin được gửi giữa Có phải thông tin được gửi giữa người dùng và server bị thay đổi người dùng và server bị thay đổi khôngkhông?


Các yêu cầu an ninhCác yêu cầu an ninh

Xác thực (Authentication):Xác thực (Authentication): là một là một quá trình mà sử dụng nó một thực quá trình mà sử dụng nó một thực thể xác định một thực thể khác là thể xác định một thực thể khác là người mà họ yêu cầungười mà họ yêu cầu

Sự cho phép (Authorization):Sự cho phép (Authorization): là là quá trình đảm bảo một người có quá trình đảm bảo một người có quyền truy cập vào các nguồn tài quyền truy cập vào các nguồn tài nguyên xác địnhnguyên xác định


Các yêu cầu an ninh Các yêu cầu an ninh (cont.)(cont.)

Kiểm toán (Auditing):Kiểm toán (Auditing): là quá trình là quá trình thu thập thông tin về sự cố gắng thu thập thông tin về sự cố gắng truy cập vào một nguồn tài truy cập vào một nguồn tài nguyên đặc biệt , sử dụng các nguyên đặc biệt , sử dụng các quyền hành đặc biệt, hay thể hiện quyền hành đặc biệt, hay thể hiện các hành động an ninh kháccác hành động an ninh khác



Sự cẩn mật (Confidentiality):Sự cẩn mật (Confidentiality): các các thông tin cá nhân và nhạy cảm thông tin cá nhân và nhạy cảm khỏi bị lộ tới các cá nhân, các khỏi bị lộ tới các cá nhân, các thực thể, hay các xử lý không thực thể, hay các xử lý không được xác thựcđược xác thực



Tính toàn vẹn (Integrity):Tính toàn vẹn (Integrity): được ứng được ứng dụng cho dữ liệu, khả năng bảo vệ dụng cho dữ liệu, khả năng bảo vệ dữ liệu khỏi bị thay đổi hay phá dữ liệu khỏi bị thay đổi hay phá hủy từ những người không được hủy từ những người không được xác thực hay ngẩu nhiênxác thực hay ngẩu nhiên



Không từ chối (Nonrepudiation)Không từ chối (Nonrepudiation):: là khả năng cho phép các giao là khả năng cho phép các giao dịch đã được xác thực xảy ra, dịch đã được xác thực xảy ra, thường sử dụng chử ký điện tửthường sử dụng chử ký điện tử


Các loại đe dọa và tấn Các loại đe dọa và tấn côngcông

Tấn công không dùng kĩ thuật Tấn công không dùng kĩ thuật (Nontechnical attack):(Nontechnical attack): Là sự tấn Là sự tấn công sử dụng các mánh khóe để công sử dụng các mánh khóe để lừa gạt người bộc lộ các thông tin lừa gạt người bộc lộ các thông tin nhạy cảm hay thực hiện các hành nhạy cảm hay thực hiện các hành động ảnh hưởng đến an ninh của động ảnh hưởng đến an ninh của mạngmạng


Các loại đe dọa và tấn Các loại đe dọa và tấn công công (cont.)(cont.)



Social engineering:Social engineering: một loại tấn một loại tấn công không sử dụng công nghệ công không sử dụng công nghệ mà sử dụng các áp lực xã hội để mà sử dụng các áp lực xã hội để lừa người sử dụng máy tính thực lừa người sử dụng máy tính thực hiện các việc có hại đến mạng hiện các việc có hại đến mạng máy tính để các cá nhân này có máy tính để các cá nhân này có được quyền truy nhậpđược quyền truy nhập



Các cách để chống lại social engineering:

1. Giáo dục và đào tạo2. Các chính sách và thủ tục3. Kiểm tra sự thâm nhập



Tấn công có tính công nghệ:Tấn công có tính công nghệ: là sự là sự tấn công sử dụng phần mềm và tấn công sử dụng phần mềm và các hệ thống tri thức hay kinh các hệ thống tri thức hay kinh nghiệm chuyên mônnghiệm chuyên môn



Common (security) vulnerabilities Common (security) vulnerabilities and exposures (CVEs):and exposures (CVEs): là những là những rủi ro an ninh máy tính công khai, rủi ro an ninh máy tính công khai, nó được thu thập, liệt kê, và chia nó được thu thập, liệt kê, và chia sẽ bởi bảng thông tin của các tổ sẽ bởi bảng thông tin của các tổ chức liên quan đến an ninh chức liên quan đến an ninh ((cve.mitre.orgcve.mitre.org))



Tấn công từ chối dịch vụ-Denial-Tấn công từ chối dịch vụ-Denial-of-service (DoS) attack:of-service (DoS) attack: một sự một sự tấn công trên Web site trong đó tấn công trên Web site trong đó kẻ tấn công sử dụng các phần kẻ tấn công sử dụng các phần mềm chuyên dụng gửi hàng loạt mềm chuyên dụng gửi hàng loạt các gói dữ liệu tới máy tính với các gói dữ liệu tới máy tính với mục đích làm quá tải nguồn tài mục đích làm quá tải nguồn tài nguyên của nónguyên của nó



Tấn công từ chối dịch vụ phân tán-Tấn công từ chối dịch vụ phân tán-Distributed denial-of-service (DDoS) Distributed denial-of-service (DDoS) attack:attack: là một sự tấn công từ chối là một sự tấn công từ chối dịch vụ trong đó các kẻ tấn công có dịch vụ trong đó các kẻ tấn công có được quyền quản trị truy cập tới được quyền quản trị truy cập tới nhiêu máy tính trên Internet và sử nhiêu máy tính trên Internet và sử dụng những máy tính này gửi hàng dụng những máy tính này gửi hàng loạt các gói dữ liệu đến máy tính loạt các gói dữ liệu đến máy tính đíchđích



Malware:Malware: Các loại chung cho phầm Các loại chung cho phầm mềm gây hạimềm gây hại

Tính phá hoại của các loại Virus tăng lên nhanh chóng, vì vậy cần nhiều thời gian và tiền bạc để khắc phục85% nghiên cứu phản hồi nói rằng các tổ chức của họ là nạn nhân của virus thư điện tử trong năm 2002



Các đoạn code gây hại trong các biểu mẩu (form)-của thuần khiết và lai

Virus:Virus: là một đoạn mã phần mềm tự là một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao xâm nhập vào một máy chủ, bao gồm cả hệ điều hành, để nhân lên; gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình của nó yêu cầu các chương trình của máy chủ khi chạy phải kích hoạt nómáy chủ khi chạy phải kích hoạt nó



Sâu (Worm):Sâu (Worm): là một chương trình là một chương trình phần mềm được chạy một cách phần mềm được chạy một cách độc lập, chi phối nhiều tài độc lập, chi phối nhiều tài nguyên của máy chủ cho nó và nguyên của máy chủ cho nó và nó có khả năng nhân giống tới nó có khả năng nhân giống tới các máy kháccác máy khác



Macro virus or macro worm:Macro virus or macro worm: một một virus hay sâu (worm) mà được virus hay sâu (worm) mà được thực thi khi một đối tượng ứng thực thi khi một đối tượng ứng dụng khi được mở hay một thủ dụng khi được mở hay một thủ tục đặc biệt được thực thitục đặc biệt được thực thi



Chú ngựa thành Tơ roa (Trojan Chú ngựa thành Tơ roa (Trojan horse):horse): là một chương trình được là một chương trình được xuất hiện với những chức năng xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy cơ về chức năng ẩn có các nguy cơ về an ninhan ninh


Quản lý anh ninh TMĐTQuản lý anh ninh TMĐT

Các lỗi thông dụng trong việc quản lý rủi ro an ninh (McConnell 2002):

Đánh giá thấp thông tinXác định các đường biên an ninh tỉ mỉQuản lý phản ứng an ninhXử lý quản lý an ninh đã lỗi thờiThiếu sự truyền thông về trách nhiệm an ninh


Quản lý anh ninh TMĐT Quản lý anh ninh TMĐT (cont.)(cont.)

Quản lý rủi ro an ninh (Security Quản lý rủi ro an ninh (Security risk management):risk management): một quá trình một quá trình xử lý có hệ thống để xác định các xử lý có hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và loại rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết xác định các hoạt động cần thiết để bảo vệ hay giảm bớt các tấn để bảo vệ hay giảm bớt các tấn công nàycông này



Các pha trong quản lý rủi ro an Các pha trong quản lý rủi ro an ninhninh

Đánh giáLên kế hoạchThực hiệnTheo dỏi



Ph 1: Đánh giáPh 1: Đánh giáĐánh giá các rủi ro an ninh bằng các xác định các tài sản, các điểm dễ bị tổn thương của hệ thống, và những đe dọa tiềm tàng đối với các điểm dễ bị tổn thương này


Honeynet: một cách để đánh giá các Honeynet: một cách để đánh giá các điểm dễ bị tổn thương của tổ chức bằng điểm dễ bị tổn thương của tổ chức bằng cách nghiên cứu các loại tấn côngtới cách nghiên cứu các loại tấn côngtới một site đưa ra, sử dụng hệ thống một site đưa ra, sử dụng hệ thống mạng này gọi là mạng này gọi là honeypots (điểm ngọt, honeypots (điểm ngọt, điểm thu hút)điểm thu hút)

Honeypots:Honeypots: các sản phẩm hệ thống các sản phẩm hệ thống (như là: firewalls,(như là: firewalls, routers, Web servers, routers, Web servers, database servers) được thiết kế để làm database servers) được thiết kế để làm việc thực nhưng được theo dỏi và việc thực nhưng được theo dỏi và nghiên cứu các tấn công mạng xảy ranghiên cứu các tấn công mạng xảy ra



Pha 2: Lên kế hoạchPha 2: Lên kế hoạchCác kết quả của pha này đưa tới Các kết quả của pha này đưa tới việc xác định các đe dọa nào có việc xác định các đe dọa nào có thể xảy ra, đe dọa nào là khôngthể xảy ra, đe dọa nào là không

Các chính sách cũng chỉ rõ các Các chính sách cũng chỉ rõ các cách đo lường thực hiện chống cách đo lường thực hiện chống lại các đe dọa này là quá cao hay lại các đe dọa này là quá cao hay độ ưu tiên caođộ ưu tiên cao



Pha 3: Thực hiệnPha 3: Thực hiệnCác công nghệ đặc biệt được chọn để chống lại các đe dọa có độ ưu tiên cao

Bước trước tiên là chọn các loại Bước trước tiên là chọn các loại công nghệ cho mỗi đe dọa có độ công nghệ cho mỗi đe dọa có độ ưu tiên caoưu tiên cao



Pha 4: Theo dỏi và xác địnhPha 4: Theo dỏi và xác địnhCái nào được đánh giá là thành côngCái nào là không thành công và cần phải thay đổiCác loại đe dọa mớiCần phải phát triển và thay đổi trong công nghệ như thế nàoCó cần thêm các tài sản của doanh nghiệp cần được bảo vệ hay không



Các phương pháp của an ninh Các phương pháp của an ninh TMĐTTMĐT

Hệ thống nhận dạngHệ thống nhận dạng

Cơ chế điều khiển quyền truy Cơ chế điều khiển quyền truy nhậpnhập

Các biểu hiện tiêu cựcCác biểu hiện tiêu cực

Các biểu hiện tích cựcCác biểu hiện tích cực


Xác thựcXác thực

Hệ thống xác thực (Authentication Hệ thống xác thực (Authentication system):system): là hệ thống nhận dạng các là hệ thống nhận dạng các bên tham gia là hợp pháp để thực bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành hiện giao dịch, xác định các hành động của họ là được phép thực động của họ là được phép thực hiện, và hạn chế những hoạt động hiện, và hạn chế những hoạt động của họ chỉ cho những giao dịch cần của họ chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thànhthiết được khởi tạo và hoàn thành


Xác thực Xác thực (cont.)(cont.)

Cơ chế điều khiển truy nhập Cơ chế điều khiển truy nhập (Access control mechanism):(Access control mechanism): là cơ là cơ chế giới hạn các hoạt động thực chế giới hạn các hoạt động thực hiện bởi việc nhận dạng một hiện bởi việc nhận dạng một người hay một nhómngười hay một nhóm



Passive tokens:Passive tokens: Các thiết bị lưu Các thiết bị lưu trữ (e.g., magnetic strips) được sử trữ (e.g., magnetic strips) được sử dụng trong hệ thống nhận dạng dụng trong hệ thống nhận dạng hai yếu tố bao gồm mã mậthai yếu tố bao gồm mã mật



Active tokens:Active tokens: nhỏ, thiết bị điện nhỏ, thiết bị điện tử đứng một mình trong hệ thống tử đứng một mình trong hệ thống nhận dạng hai yếu tố mà sinh nhận dạng hai yếu tố mà sinh password một lầnpassword một lần


Các điều khiển sinh trắc Các điều khiển sinh trắc họchọc

Các hệ thống sinh trắc học Các hệ thống sinh trắc học (Biometric systems):(Biometric systems): là hệ thống là hệ thống nhận dạng để xác nhận một người nhận dạng để xác nhận một người bằng cách đánh giá ,so sánh các bằng cách đánh giá ,so sánh các đặc tính sinh học như dấu vân đặc tính sinh học như dấu vân tay, mẩu tròng mắt, mặt, hay tay, mẩu tròng mắt, mặt, hay giọng nóigiọng nói


Các điều khiển sinh trắc Các điều khiển sinh trắc học học (cont.)(cont.)

Sinh trắc học:Sinh trắc học: sự đánh giá được lấy sự đánh giá được lấy trực tiếp từ các bộ phận trên cơ thể trực tiếp từ các bộ phận trên cơ thể (ví dụ: dấu vân tay, tròng mắt, tay, (ví dụ: dấu vân tay, tròng mắt, tay, các đặc tính mặt)các đặc tính mặt)

Sinh trắc hành vi:Sinh trắc hành vi: sự đánh giá được sự đánh giá được lấy từ sự khác nhau của các hành lấy từ sự khác nhau của các hành động và cách giám tiếp từ các sự động và cách giám tiếp từ các sự khác nhau của các bộ phận trên cơ khác nhau của các bộ phận trên cơ thể (ví dụ: giọng nói hay theo dỏi thể (ví dụ: giọng nói hay theo dỏi đánh phím)đánh phím)



Nhận dạng vân tay:Nhận dạng vân tay: Sự đánh giá Sự đánh giá không liên tục của dấu vân tay của không liên tục của dấu vân tay của một người, được chuyển đổi thành một người, được chuyển đổi thành dạng số và lưu trữ như các mẩu dạng số và lưu trữ như các mẩu được dùng để nhận dạng xác thựcđược dùng để nhận dạng xác thựcNhận dạng tròng mắt (Iris Nhận dạng tròng mắt (Iris scanning):scanning): Đánh giá các điểm khác Đánh giá các điểm khác duy nhất trong tròng mắt(mật phần duy nhất trong tròng mắt(mật phần màu của mắt), chuyển đổi thành màu của mắt), chuyển đổi thành dạng số và lưu trữ như các mẩu dạng số và lưu trữ như các mẩu dùng để nhận dạng xác thựcdùng để nhận dạng xác thực



Nhận dạng giọng nói:Nhận dạng giọng nói: đánh giá đánh giá các dặc tính âm học trong giọng các dặc tính âm học trong giọng nói, chuyển đổi thành số và lưu nói, chuyển đổi thành số và lưu trữu như các mẩu dùng để nhận trữu như các mẩu dùng để nhận dạng xác thựcdạng xác thực



Theo dỏi đánh bàn phím:Theo dỏi đánh bàn phím: sự đánh sự đánh giá áp lực, tốc đội, và nhịp điệu giá áp lực, tốc đội, và nhịp điệu của các từ được đánh, chuyển của các từ được đánh, chuyển thành tập dạng số và lưu trữ như thành tập dạng số và lưu trữ như các mẩu dùng để nhận dạng xác các mẩu dùng để nhận dạng xác thực; việc quan trác này vẫn chưa thực; việc quan trác này vẫn chưa được phát triểnđược phát triển


Các phương pháp mã hóaCác phương pháp mã hóa

Cơ sở hạ tầng khóa công cộng-Cơ sở hạ tầng khóa công cộng-Public key infrastructure (PKI):Public key infrastructure (PKI): là là một sự sắp theo hệ thống cho một sự sắp theo hệ thống cho việc an ninh thanh toán điện tử sử việc an ninh thanh toán điện tử sử dụng khóa công cộng để mã hóa dụng khóa công cộng để mã hóa và các bộ phận công nghệ khácvà các bộ phận công nghệ khác


Các phương pháp mã hóa Các phương pháp mã hóa (cont.)(cont.)

Mã hóa cá nhân và công khaiMã hóa cá nhân và công khaiSự mã hóa (Encryption):Sự mã hóa (Encryption): là quá là quá trình xáo trộn (mã hóa) một tin trình xáo trộn (mã hóa) một tin nhắn để làm khó, đắt, hay tốn nhắn để làm khó, đắt, hay tốn nhiều thời gian cho những người nhiều thời gian cho những người không xác thực để giải mã nókhông xác thực để giải mã nó



Bản rõ (Plaintext):Bản rõ (Plaintext): một mẩu tin một mẩu tin không được mã hóa ở dạng con không được mã hóa ở dạng con người có thể đọcngười có thể đọcBản mờ (Ciphertext):Bản mờ (Ciphertext): là một bản là một bản rõ sau khi đã được mã hóa vào rõ sau khi đã được mã hóa vào dạng máy tính có thể đọc đượcdạng máy tính có thể đọc đượcThuật toán mã hóa (Encryption Thuật toán mã hóa (Encryption algorithm):algorithm): là một biểu thức là một biểu thức toán học dùng để mã hóa bản rõ toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lạithành bản mờ, và ngược lại



Hệ thống khóa đối xứng (cá nhân)Hệ thống khóa đối xứng (cá nhân)Khóa (Key):Khóa (Key): là đoạn mã bí mật là đoạn mã bí mật dùng để mã hóa và giải mã một dùng để mã hóa và giải mã một mẩu tinmẩu tin

Hệ thống khóa đối xứng Hệ thống khóa đối xứng (Symmetric (private) key (Symmetric (private) key system):system): là một hệ thống mã là một hệ thống mã hóa sử dụng cùng một khóa để hóa sử dụng cùng một khóa để mã hóa và giải mã mẩu tinmã hóa và giải mã mẩu tin



Mã hóa dữ liệu tiêu chuẩn (Data Mã hóa dữ liệu tiêu chuẩn (Data Encryption Standard -DES):Encryption Standard -DES): là thuật là thuật toán mã hóa đối xứng tiêu chuẩn được toán mã hóa đối xứng tiêu chuẩn được NIST đưa ra và được các cơ quancủa NIST đưa ra và được các cơ quancủa cính phủ Mỹ sử dụng đến ngày 2 cính phủ Mỹ sử dụng đến ngày 2 tháng 10 năm 2000tháng 10 năm 2000

Rijndael:Rijndael: là một phương pháp mã hóa là một phương pháp mã hóa tiên tiến tiêu chuẩn được sử dụng cho tiên tiến tiêu chuẩn được sử dụng cho an ninh truyền thông của chính phủ an ninh truyền thông của chính phủ Mỹ từ ngày 2 tháng 10 năm 2000Mỹ từ ngày 2 tháng 10 năm 2000


Các phần tử của PKICác phần tử của PKI

Chử kí số (Digital signature):Chử kí số (Digital signature): là là một mã xác nhận được dùng để một mã xác nhận được dùng để nhận dạng và xác thực người gửi nhận dạng và xác thực người gửi của tài liệucủa tài liệu

Di động (Portable)Không thể dễ dàng từ chối hay hạn chế, và có thể là tem thời gian


Các phần tử của PKICác phần tử của PKI(cont.)(cont.)


Các phần tử của PKICác phần tử của PKI(cont.)(cont.)

Các chử kí số bao gồm:Các chử kí số bao gồm:Băm (Hash):Băm (Hash): là một tính toán toán học là một tính toán toán học được áp dụng cho mẩu tin, sử dụng được áp dụng cho mẩu tin, sử dụng khóa riêng, để mã hóa mẫu tinkhóa riêng, để mã hóa mẫu tin

Message digest:Message digest: là một tóm tắt của là một tóm tắt của mẩu tin, được chuyển thành chuổi các mẩu tin, được chuyển thành chuổi các chử số, sau khi đã được bămchử số, sau khi đã được băm

Phong bì số (Digital envelope):Phong bì số (Digital envelope): là sự là sự kết hợp giữa mã hóa mẩu tin nguồn và kết hợp giữa mã hóa mẩu tin nguồn và chử kí số sử dụng các khóa công khai chử kí số sử dụng các khóa công khai dễ nhậndễ nhận


Các phần tử của PKI Các phần tử của PKI (cont.)(cont.)

Giấy chứng nhận số (Digital Giấy chứng nhận số (Digital certificate):certificate): là sự chứng thực ràng là sự chứng thực ràng người giữ khóa cá nhân và khóa người giữ khóa cá nhân và khóa công khai là người họ cầncông khai là người họ cần

Giấy chứng nhận ủy quyền -Giấy chứng nhận ủy quyền -Certificate authorities (CAs):Certificate authorities (CAs): là là thành phần thứ ba phát hành các thành phần thứ ba phát hành các giấy chứng nhân sốgiấy chứng nhân số


Các giao thức an ninhCác giao thức an ninh

Secure Socket Layer (SSL):Secure Socket Layer (SSL): là giao là giao thức sử dụng giấy chứng nhận thức sử dụng giấy chứng nhận tiêu chuẩn cho việc nhân dạng và tiêu chuẩn cho việc nhân dạng và mã hóa dữ liệu để bảo vệ tính cá mã hóa dữ liệu để bảo vệ tính cá nhân và tính cẩn mậtnhân và tính cẩn mật

Transport Layer Security (TLS):Transport Layer Security (TLS): Từ Từ năm 1996, là một tên khác của năm 1996, là một tên khác của giao thức SSLgiao thức SSL


Các giao thức an ninh Các giao thức an ninh (cont.)(cont.)

Secure Electronic Transaction Secure Electronic Transaction (SET):(SET): một giao thức được thiết một giao thức được thiết kết cung cấp an ninh giao dịch kết cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả thẻ tín dụng trực tuyến cho cả khách hàng và doanh nghiệp; là khách hàng và doanh nghiệp; là sự hợp tác phát triển của sự hợp tác phát triển của Netscape, Visa, MasterCard, và Netscape, Visa, MasterCard, và các doanh nghiệp kháccác doanh nghiệp khác


Mạng an ninh TMĐTMạng an ninh TMĐT

Các công nghệ cho mạng của tổ Các công nghệ cho mạng của tổ chứcchức

Firewall:Firewall: là một nốt mạng bao gồm là một nốt mạng bao gồm phần cứng và phần mềm để tách biệt phần cứng và phần mềm để tách biệt một mạng riêng với mạng công cộngmột mạng riêng với mạng công cộng

Packet-filtering routers:Packet-filtering routers: là các là các Firewall để lọc dữ liệu và yêu cầu di Firewall để lọc dữ liệu và yêu cầu di chuyển từ mạng công cộng tới mạng chuyển từ mạng công cộng tới mạng riêng dựa trên các địa chỉ Internet của riêng dựa trên các địa chỉ Internet của máy gửi hay nhận yêu cầumáy gửi hay nhận yêu cầu


Mạng an ninh TMĐT Mạng an ninh TMĐT (cont.)(cont.)

Packet filters:Packet filters: là các luật coa thể là các luật coa thể chấp nhận hay từ chối các gói đến chấp nhận hay từ chối các gói đến dựa trên địa chỉ nguồn và đích và dựa trên địa chỉ nguồn và đích và các thông tin xác nhận xáccác thông tin xác nhận xác

Application-level proxy:Application-level proxy: là một là một firewall cho phép yêu cầu một firewall cho phép yêu cầu một trang Web chuyển từ mạng trang Web chuyển từ mạng Internet công cộng đến mạng Internet công cộng đến mạng riêngriêng



Bastion gateway:Bastion gateway: là một phần cứng là một phần cứng server chuyên dụng sử dụng phần server chuyên dụng sử dụng phần mềm application-level proxy để hạn mềm application-level proxy để hạn chế các loại yêu cầu qua mạng nội bộ chế các loại yêu cầu qua mạng nội bộ của tổ chức từ mạng Internet công của tổ chức từ mạng Internet công cộngcộng

Proxies:Proxies: là một chương trình phần là một chương trình phần mềm chuyên dụng chạy trên cổng mềm chuyên dụng chạy trên cổng server và cho qua các gói đã được server và cho qua các gói đã được dóng gói lại từ một mạng tới mạng dóng gói lại từ một mạng tới mạng kháckhác



Firewall cá nhân:Firewall cá nhân:Firewall cá nhân (Personal Firewall cá nhân (Personal firewall):firewall): là một nốt mạng được là một nốt mạng được thiết kế để bảo vệ hệ thống thiết kế để bảo vệ hệ thống destop riêng lẽ của người dùng destop riêng lẽ của người dùng từ mạng công cộng bằng cách từ mạng công cộng bằng cách theo dỏi tất cả các di chuyển cho theo dỏi tất cả các di chuyển cho qua thông qua giao diện card qua thông qua giao diện card mạng của máy tínhmạng của máy tính



VPNsVPNsMạng máy tính cá nhân ảo-Virtual Mạng máy tính cá nhân ảo-Virtual private network (VPN):private network (VPN): là một mạng là một mạng sử dụng mạng Internet công cộng để sử dụng mạng Internet công cộng để vận chuyển thông tin nhưng có tính vận chuyển thông tin nhưng có tính có nhân bằng cách sử dụng mã hóa để có nhân bằng cách sử dụng mã hóa để truyền thông, sự nhận dạng để chắc truyền thông, sự nhận dạng để chắc chắn rằng thông tin không bị quấy chắn rằng thông tin không bị quấy nhiễu, và quyền truy nhập để kiểm tra nhiễu, và quyền truy nhập để kiểm tra nhận dạng bất cứ người nào sử dụng nhận dạng bất cứ người nào sử dụng mạngmạng



Giao thức đường hầm (Protocol Giao thức đường hầm (Protocol tunneling):tunneling): là phương thức được là phương thức được sử dụng để chắc chắn tính cẩn sử dụng để chắc chắn tính cẩn mật và toàn vẹn của dữ liệu mật và toàn vẹn của dữ liệu được truyền qua Internet, bằng được truyền qua Internet, bằng cách mã hóa gói tin, và gửi cách mã hóa gói tin, và gửi những gói tin này thông qua những gói tin này thông qua Internet, và giải mã chúng tại Internet, và giải mã chúng tại địa chỉ đếnđịa chỉ đến



Hệ thống xác định sự xâm phạm Hệ thống xác định sự xâm phạm (Intrusion detection systems -IDSs):(Intrusion detection systems -IDSs): là một loại phần mềm chuyên dụng là một loại phần mềm chuyên dụng có thể theo dỏi các hoạt động đi có thể theo dỏi các hoạt động đi qua mạng hay trên một máy chủ, qua mạng hay trên một máy chủ, theo dỏi những hành động đáng theo dỏi những hành động đáng ngờ, và tự động hành động dựa ngờ, và tự động hành động dựa trên những điều mà nó thấytrên những điều mà nó thấy



Mạng dựa trên IDS (Network-based IDS) sử dụng các luật để phân tích các hoạt động đáng ngờ tại vành đai của mạng hay tại những điểm quan trọng trong mạngBao gồm một bộ kiểm tra- một phần mềm để quét các phần mềm agent ở trên các loại máy chủ và tìm kiếm thông tin trở về cho bộ kiểm tra


Quản lý vấn đềQuản lý vấn đề

1. Chúng ta có đủ ngân sách dùng cho an ninh không?

2. Hậu quả kinh doanh của việc an ninh nghèo nàn?

3. Site thương mại điện tử nào đễ bị tấn công?


Quản lý vấn đề Quản lý vấn đề (cont.)(cont.)

4. Vấn đề mấu chốt trong việc thành lập hệ thống an ninh mạnh trong TMĐT là gì?

5. Các bước trong việc thực hiện kế hoạch an ninh là gì?

6. Các tổ chức có nên quan tâm đến các đe dọa nội bộ không?


Tổng kếtTổng kết

1. Sự tăng lên của tấn công máy tính.2. An ninh là vấn đề của mọi người kinh

doanh.3. Các vấn đề an ninh cơ bản.4. Các loại tấn công an ninh mạng cơ

bản.5. Quản lý an ninh TMĐT.6. An ninh trong truyền thông TMĐT.7. Các công nghệ cho an ninh mạng.

e com ch12 an ninh trong thuong mai dien tu

Education