An ninh trong thương mại điện tử
Chia sẻ bởi Phạm Thị Hằng |
Ngày 19/03/2024 |
9
Chia sẻ tài liệu: an ninh trong thương mại điện tử thuộc Tiếng anh 12
Nội dung tài liệu:
Chương 12
An ninh trong thương mại điện tử
© Prentice Hall 2004
2
Nội dung
Tài liệu trong máy tính và mạng phát triển nhanh nên nguy cơ bị tấn công cũng tăng.
Mô tả các biện pháp an ninh thông dụng của các doanh nghiệp.
Hiểu các phần tử cơ bản của an ninh TMĐT.
Giải thích các loại tấn công an ninh cơ bản của mạng máy tính.
© Prentice Hall 2004
3
Nội dung (cont.)
Mô tả các lổi thông thường mà các tổ chức gặp phải trong vấn đề quản lý an ninh.
Thảo luận một vài công nghệ chính cho việc an ninh truyền thông TMĐT.
Chi tiết một vài công nghệ chính cho các thành phần an ninh mạng máy tính TMĐT.
© Prentice Hall 2004
4
Câu chuyện tấn công vét cạn thẻ tín dụng
Vấn đề
Spitfire Novelties thường thực hiện từ 5 đến 30 giao dịch một ngày
Vào ngày 12 tháng 12 năm 2002 trong một cuộc tấn công “vét cạn”, thẻ tín dụng Spitfire xử lý 140,000 thẻ tín dụng giả với giá trị $5.07 cho mổi thẻ (62,000 được chấp nhận)
© Prentice Hall 2004
5
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Tổng số tiền phải trả lên đến khoảng $300,000
Spitfire đã tìm ra các giao dịch này khi họ được cho biết một người sử dụng thẻ tín dụng khi kiểm tra đã phát hiện phải trả $5.07
© Prentice Hall 2004
6
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ năng tối thiểu
Kẻ tấn công (Hacker) chạy hàng ngàn lần số tiền phải trả nhỏ thông qua tài khoản của các thương gia, mà số tài khoản được sinh ngẫu nhiên
Khi thủ phạm tìm thấy các số thẻ tín dụng đúng thì họ có thể bán trên thị trường chợ đen
Trong thời đại ngày nay có một số chợ đen trên mạng như các Web site carderplanet.com, shadowcrew.com, và counterfeitlibrary.com
© Prentice Hall 2004
7
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Các yếu tố để thủ phạm dựa vào để xác nhận thẻ tín của các doanh nhân, doanh nghiệp là
Một định danh (ID)
Một password
Cả hai
© Prentice Hall 2004
8
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Các dịch vụ xử lý thẻ tín dụng của Online Data, một thủ phạm cần mật khẩu của thương gia để yêu cầu xác thực
Online Data đã bán lại cho VeriSign Inc. các cổng dịch vụ thẻ tín dụng
VeriSign đã quy trách nhiệm cho Online Data về các việc đã xảy ra
Online Data cũng quy trách nhiệm cho Spitfire là không thay đổi mật khẩu khởi tạo của họ
© Prentice Hall 2004
9
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Vào tháng tư năm 2002 các kẻ tấn công đã vào hệ thống xử lý thẻ Authorize.Net (một hệ thống thanh toán lớn nhất trên Internet)
13,000 giao dịch thẻ tín dụng được thực hiện trong đó 7,000 thẻ thành công
Tham nhập vào hệ thống Authorize.Net chỉ cần tên đăng nhập, không cần mật khẩu
© Prentice Hall 2004
10
Giải pháp cho việc tấn công vét cạn
Online Data nên sử dụng mật khẩu mạnh ngay lúc đầu
Khách hàng nên thường xuyên thay đổi mật khẩu
Các dịch vụ nhận dạng như VeriSign và Authorize.Net nên xây dựng bảo vệ cảnh giới xác định các cuộc tấn công vét cạn
© Prentice Hall 2004
11
Giải pháp cho việc tấn công vét cạn thẻ tín dụng (cont.)
Các dấu hiệu là:
Số lần thương nhân yêu cầu lạ thường (nhiều)
Lặp lại các yêu cầu với giá trị nhỏ từ cùng một thương nhân
© Prentice Hall 2004
12
Tấn công vét cạn thẻ tín dụng (cont.)
Kết quả
VeriSign đã dừng các giao dịch trước khi chúng thanh toán, tiết kiệm cho $316,000 phải thanh toán
Các thương nhân Authorize.Net phải trả $0.35 cho mỗi lần giao dịch
Thu lại hàng ngìn số thẻ tín dụng hợp lệ được bán trên thị trường chợ đen
© Prentice Hall 2004
13
Tấn công vét cạn thẻ tín dụng (cont.)
Chúng ta có thể học…
Bất cứ loại TMĐT bao gồm nhiều người tham gia họ sử dụng nhiều mạng máy tính và các dịch vụ ứng dụng thì được cung cấp truy cập tới nhiều nguồn dữ liệu
Kẻ tấn công chỉ cần một điểm yếu nhỏ của hệ thống là họ có thể tấn công được
© Prentice Hall 2004
14
Tấn công vét cạn
Những cái mà chúng ta có thể học
Một số tấn công yêu cầu kỹ thuật và công nghệ tinh vi
Đa số các tấn công đều không tinh vi; các thủ tục quản lý rủi ro an ninh chuẩn có thể được dùng để giảm thiểu khả năng và ảnh hưởng
© Prentice Hall 2004
15
Cần làm nhanh cho an ninh TMĐT
Các nghiên cứu hằng năm được thực hiện bởi Computer Security Institute và FBI
Các tổ chức liên tục bị tấn công bởi những kẻ có kinh nghiệm từ bên trong và bên ngoài tổ chức
© Prentice Hall 2004
16
Cần làm nhanh cho an ninh TMĐT (cont.)
Các loại tấn công tới các tổ chức rất đa dạng
Sự mất mát tài chính từ các vụ tấn công có thể là rất lớn
Có thể sử dụng kết hợp nhiều công nghệ để chống lại các vụ tấn công này
© Prentice Hall 2004
17
Cần làm nhanh cho an ninh TMĐT (cont.)
National Infrastructure Protection Center (NIPC): liên kết các quan hệ đối tác, được bảo trợ bởi FBI, giữa chính phủ và các ngành công nghiệp; để bảo vệ cơ sở hạ tầng quốc gia
© Prentice Hall 2004
18
Cần làm nhanh cho an ninh TMĐT (cont.)
Computer Emergency Response Team (CERT): nhóm của ba đội tại trường đại học Carnegie Mellon đã theo dỏi các vụ tấn công, phân tích khả năng tổn thương, và cung cấp các hướng dẫn để chống lại các sự tấn công này
© Prentice Hall 2004
19
Cần làm nhanh cho an ninh TMĐT (cont.)
Theo báo cáo thống kê CERT/CC trong năm 2002 (CERT/CC 2002)
Số lượng các vụ tấn công lớntừ xấp xỉ 22,000 trong năm 2000 tới trên 82,000 trong năm 2002
Quý một của năm 2003 số các vụ tấn công đã là 43,000
© Prentice Hall 2004
20
An ninh và vấn đề của mọi người kinh doanh
Thực hiện an ninh của tổ chức ở nhiều mức độ
Các tổ chức nhỏ (10 đến 100 máy tính)
Đã có sự tổ chức tập trung và dành một tỉ lệ phần trăm ngân sách CNTT cho việc thực hiện an ninh
Không có khả năng để thực hiện an ninh CNTT
© Prentice Hall 2004
21
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức vừa (100 tới 1,000 máy tính)
Phụ thuộc chính sách quản lý trong việc thực hiện các quyết định an ninh, và họ có rất ít sự hỗ trợ cho các chính sách CNTT của họ
Các nhân viên của họ thiếu đào tạo-đã để lộ cho các kẻ tấn công và thiệt hại về căn bản lớn hơn các tổ chức nhỏ
© Prentice Hall 2004
22
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức lớn (1,000 tới 10,000 máy tính)
Cơ sở hạ tầng phức tạp và được biết nhiều trên Internet
Tập hợp các chi phí an ninh CNTT là lớn nhưng tính trung bình cho các nhân viên lại nhỏ
© Prentice Hall 2004
23
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức lớn
An ninh CNTT là một phần thời gian và được đào tạo, chiếm một tỉ lệ phần trăm khá lớn của các ảnh hưởng mất mát và phá hoại mà tổ chức phải chịu từ các vụ tấn công
Các quyết định an ninh của họ dựa trên các chính sách của tổ chức
© Prentice Hall 2004
24
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức rất lớn (nhiều hơn 10,000 máy tính)
một môi trường cực kì phức tạp mà rất khó quản lý với số nhân viên lớn
dựa vào các chính sách quản lý trong việc thực hiện các quyết định an ninh
chỉ một tỉ lệ phần trăm nhỏ thì đã có các kết hoạch xác định và chống lại tốt các vụ tấn công
© Prentice Hall 2004
25
Các vấn đề an ninh
Từ bối cảnh của người dùng:
Có phải công ty sở hữu và điều hành dịch vụ Web là xác thực không?
Có phải các trang Web và các biểu mẩu chứa các đoạn mã có hại không?
Có phải dịch vụ Web phân phối các thông tin không được phép tới các người khác không?
© Prentice Hall 2004
26
Các vấn đề an ninh (cont.)
Từ bối cảnh của công ty:
Có phải người dùng sẽ có gắng phá vỡ dịch vụ Web và thay đổi các trang tại site không?
Có phải người dùng sẽ phá vỡ dịch vụ để cho nó không đến được người khác không?
© Prentice Hall 2004
27
Các vấn đề an ninh (cont.)
Từ bối cảnh cả hai phía:
Có phải đường kết nối mạng bị nghe trộm bởi một người thứ ba trên đường truyền không?
Có phải thông tin được gửi giữa người dùng và server bị thay đổi không?
© Prentice Hall 2004
28
Các yêu cầu an ninh
Xác thực (Authentication): là một quá trình mà sử dụng nó một thực thể xác định một thực thể khác là người mà họ yêu cầu
Sự cho phép (Authorization): là quá trình đảm bảo một người có quyền truy cập vào các nguồn tài nguyên xác định
© Prentice Hall 2004
29
Các yêu cầu an ninh (cont.)
Kiểm toán (Auditing): là quá trình thu thập thông tin về sự cố gắng truy cập vào một nguồn tài nguyên đặc biệt , sử dụng các quyền hành đặc biệt, hay thể hiện các hành động an ninh khác
© Prentice Hall 2004
30
Các yêu cầu an ninh (cont.)
Sự cẩn mật (Confidentiality): các thông tin cá nhân và nhạy cảm khỏi bị lộ tới các cá nhân, các thực thể, hay các xử lý không được xác thực
© Prentice Hall 2004
31
Các yêu cầu an ninh (cont.)
Tính toàn vẹn (Integrity): được ứng dụng cho dữ liệu, khả năng bảo vệ dữ liệu khỏi bị thay đổi hay phá hủy từ những người không được xác thực hay ngẩu nhiên
© Prentice Hall 2004
32
Các vấn đề an ninh (cont.)
Không từ chối (Nonrepudiation): là khả năng cho phép các giao dịch đã được xác thực xảy ra, thường sử dụng chử ký điện tử
© Prentice Hall 2004
33
Các loại đe dọa và tấn công
Tấn công không dùng kĩ thuật (Nontechnical attack): Là sự tấn công sử dụng các mánh khóe để lừa gạt người bộc lộ các thông tin nhạy cảm hay thực hiện các hành động ảnh hưởng đến an ninh của mạng
© Prentice Hall 2004
34
Các loại đe dọa và tấn công (cont.)
© Prentice Hall 2004
35
Các loại đe dọa và tấn công (cont.)
Social engineering: một loại tấn công không sử dụng công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng máy tính thực hiện các việc có hại đến mạng máy tính để các cá nhân này có được quyền truy nhập
© Prentice Hall 2004
36
Các loại đe dọa và tấn công (cont.)
Các cách để chống lại social engineering:
Giáo dục và đào tạo
Các chính sách và thủ tục
Kiểm tra sự thâm nhập
© Prentice Hall 2004
37
Các loại đe dọa và tấn công (cont.)
Tấn công có tính công nghệ: là sự tấn công sử dụng phần mềm và các hệ thống tri thức hay kinh nghiệm chuyên môn
© Prentice Hall 2004
38
Các loại đe dọa và tấn công (cont.)
Common (security) vulnerabilities and exposures (CVEs): là những rủi ro an ninh máy tính công khai, nó được thu thập, liệt kê, và chia sẽ bởi bảng thông tin của các tổ chức liên quan đến an ninh (cve.mitre.org)
© Prentice Hall 2004
39
Các loại đe dọa và tấn công (cont.)
Tấn công từ chối dịch vụ-Denial-of-service (DoS) attack: một sự tấn công trên Web site trong đó kẻ tấn công sử dụng các phần mềm chuyên dụng gửi hàng loạt các gói dữ liệu tới máy tính với mục đích làm quá tải nguồn tài nguyên của nó
© Prentice Hall 2004
40
Các loại đe dọa và tấn công (cont.)
Tấn công từ chối dịch vụ phân tán-Distributed denial-of-service (DDoS) attack: là một sự tấn công từ chối dịch vụ trong đó các kẻ tấn công có được quyền quản trị truy cập tới nhiêu máy tính trên Internet và sử dụng những máy tính này gửi hàng loạt các gói dữ liệu đến máy tính đích
© Prentice Hall 2004
41
Các loại đe dọa và tấn công (cont.)
© Prentice Hall 2004
42
Các loại đe dọa và tấn công (cont.)
Malware: Các loại chung cho phầm mềm gây hại
Tính phá hoại của các loại Virus tăng lên nhanh chóng, vì vậy cần nhiều thời gian và tiền bạc để khắc phục
85% nghiên cứu phản hồi nói rằng các tổ chức của họ là nạn nhân của virus thư điện tử trong năm 2002
© Prentice Hall 2004
43
Các loại đe dọa và tấn công (cont.)
Các đoạn code gây hại trong các biểu mẩu (form)-của thuần khiết và lai
Virus: là một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình của máy chủ khi chạy phải kích hoạt nó
© Prentice Hall 2004
44
Các loại đe dọa và tấn công (cont.)
Sâu (Worm): là một chương trình phần mềm được chạy một cách độc lập, chi phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng nhân giống tới các máy khác
© Prentice Hall 2004
45
Các loại đe dọa và tấn công (cont.)
Macro virus or macro worm: một virus hay sâu (worm) mà được thực thi khi một đối tượng ứng dụng khi được mở hay một thủ tục đặc biệt được thực thi
© Prentice Hall 2004
46
Các loại đe dọa và tấn công (cont.)
Chú ngựa thành Tơ roa (Trojan horse): là một chương trình được xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh
© Prentice Hall 2004
47
Quản lý anh ninh TMĐT
Các lỗi thông dụng trong việc quản lý rủi ro an ninh (McConnell 2002):
Đánh giá thấp thông tin
Xác định các đường biên an ninh tỉ mỉ
Quản lý phản ứng an ninh
Xử lý quản lý an ninh đã lỗi thời
Thiếu sự truyền thông về trách nhiệm an ninh
© Prentice Hall 2004
48
Quản lý anh ninh TMĐT (cont.)
Quản lý rủi ro an ninh (Security risk management): một quá trình xử lý có hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để bảo vệ hay giảm bớt các tấn công này
© Prentice Hall 2004
49
Quản lý anh ninh TMĐT (cont.)
Các pha trong quản lý rủi ro an ninh
Đánh giá
Lên kế hoạch
Thực hiện
Theo dỏi
© Prentice Hall 2004
50
Quản lý anh ninh TMĐT (cont.)
Ph 1: Đánh giá
Đánh giá các rủi ro an ninh bằng các xác định các tài sản, các điểm dễ bị tổn thương của hệ thống, và những đe dọa tiềm tàng đối với các điểm dễ bị tổn thương này
© Prentice Hall 2004
51
Honeynet: một cách để đánh giá các điểm dễ bị tổn thương của tổ chức bằng cách nghiên cứu các loại tấn côngtới một site đưa ra, sử dụng hệ thống mạng này gọi là honeypots (điểm ngọt, điểm thu hút)
Honeypots: các sản phẩm hệ thống (như là: firewalls, routers, Web servers, database servers) được thiết kế để làm việc thực nhưng được theo dỏi và nghiên cứu các tấn công mạng xảy ra
© Prentice Hall 2004
52
Quản lý anh ninh TMĐT (cont.)
Pha 2: Lên kế hoạch
Các kết quả của pha này đưa tới việc xác định các đe dọa nào có thể xảy ra, đe dọa nào là không
Các chính sách cũng chỉ rõ các cách đo lường thực hiện chống lại các đe dọa này là quá cao hay độ ưu tiên cao
© Prentice Hall 2004
53
Quản lý anh ninh TMĐT (cont.)
Pha 3: Thực hiện
Các công nghệ đặc biệt được chọn để chống lại các đe dọa có độ ưu tiên cao
Bước trước tiên là chọn các loại công nghệ cho mỗi đe dọa có độ ưu tiên cao
© Prentice Hall 2004
54
Quản lý anh ninh TMĐT (cont.)
Pha 4: Theo dỏi và xác định
Cái nào được đánh giá là thành công
Cái nào là không thành công và cần phải thay đổi
Các loại đe dọa mới
Cần phải phát triển và thay đổi trong công nghệ như thế nào
Có cần thêm các tài sản của doanh nghiệp cần được bảo vệ hay không
© Prentice Hall 2004
55
Quản lý anh ninh TMĐT (cont.)
Các phương pháp của an ninh TMĐT
Hệ thống nhận dạng
Cơ chế điều khiển quyền truy nhập
Các biểu hiện tiêu cực
Các biểu hiện tích cực
© Prentice Hall 2004
56
Xác thực
Hệ thống xác thực (Authentication system): là hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện, và hạn chế những hoạt động của họ chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thành
© Prentice Hall 2004
57
Xác thực (cont.)
Cơ chế điều khiển truy nhập (Access control mechanism): là cơ chế giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm
© Prentice Hall 2004
58
Xác thực (cont.)
Passive tokens: Các thiết bị lưu trữ (e.g., magnetic strips) được sử dụng trong hệ thống nhận dạng hai yếu tố bao gồm mã mật
© Prentice Hall 2004
59
Xác thực (cont.)
Active tokens: nhỏ, thiết bị điện tử đứng một mình trong hệ thống nhận dạng hai yếu tố mà sinh password một lần
Who goes there?
© Prentice Hall 2004
60
Các điều khiển sinh trắc học
Các hệ thống sinh trắc học (Biometric systems): là hệ thống nhận dạng để xác nhận một người bằng cách đánh giá ,so sánh các đặc tính sinh học như dấu vân tay, mẩu tròng mắt, mặt, hay giọng nói
© Prentice Hall 2004
61
Các điều khiển sinh trắc học (cont.)
Sinh trắc học: sự đánh giá được lấy trực tiếp từ các bộ phận trên cơ thể (ví dụ: dấu vân tay, tròng mắt, tay, các đặc tính mặt)
Sinh trắc hành vi: sự đánh giá được lấy từ sự khác nhau của các hành động và cách giám tiếp từ các sự khác nhau của các bộ phận trên cơ thể (ví dụ: giọng nói hay theo dỏi đánh phím)
© Prentice Hall 2004
62
Các điều khiển sinh trắc học (cont.)
Nhận dạng vân tay: Sự đánh giá không liên tục của dấu vân tay của một người, được chuyển đổi thành dạng số và lưu trữ như các mẩu được dùng để nhận dạng xác thực
Nhận dạng tròng mắt (Iris scanning): Đánh giá các điểm khác duy nhất trong tròng mắt(mật phần màu của mắt), chuyển đổi thành dạng số và lưu trữ như các mẩu dùng để nhận dạng xác thực
© Prentice Hall 2004
63
Các điều khiển sinh trắc học (cont.)
Nhận dạng giọng nói: đánh giá các dặc tính âm học trong giọng nói, chuyển đổi thành số và lưu trữu như các mẩu dùng để nhận dạng xác thực
© Prentice Hall 2004
64
Các điều khiển sinh trắc học (cont.)
Theo dỏi đánh bàn phím: sự đánh giá áp lực, tốc đội, và nhịp điệu của các từ được đánh, chuyển thành tập dạng số và lưu trữ như các mẩu dùng để nhận dạng xác thực; việc quan trác này vẫn chưa được phát triển
© Prentice Hall 2004
65
Các phương pháp mã hóa
Cơ sở hạ tầng khóa công cộng-Public key infrastructure (PKI): là một sự sắp theo hệ thống cho việc an ninh thanh toán điện tử sử dụng khóa công cộng để mã hóa và các bộ phận công nghệ khác
© Prentice Hall 2004
66
Các phương pháp mã hóa (cont.)
Mã hóa cá nhân và công khai
Sự mã hóa (Encryption): là quá trình xáo trộn (mã hóa) một tin nhắn để làm khó, đắt, hay tốn nhiều thời gian cho những người không xác thực để giải mã nó
© Prentice Hall 2004
67
Các phương pháp mã hóa (cont.)
Bản rõ (Plaintext): một mẩu tin không được mã hóa ở dạng con người có thể đọc
Bản mờ (Ciphertext): là một bản rõ sau khi đã được mã hóa vào dạng máy tính có thể đọc được
Thuật toán mã hóa (Encryption algorithm): là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại
© Prentice Hall 2004
68
Các phương pháp mã hóa (cont.)
Hệ thống khóa đối xứng (cá nhân)
Khóa (Key): là đoạn mã bí mật dùng để mã hóa và giải mã một mẩu tin
Hệ thống khóa đối xứng (Symmetric (private) key system): là một hệ thống mã hóa sử dụng cùng một khóa để mã hóa và giải mã mẩu tin
© Prentice Hall 2004
69
Các phương pháp mã hóa (cont.)
Mã hóa dữ liệu tiêu chuẩn (Data Encryption Standard -DES): là thuật toán mã hóa đối xứng tiêu chuẩn được NIST đưa ra và được các cơ quancủa cính phủ Mỹ sử dụng đến ngày 2 tháng 10 năm 2000
Rijndael: là một phương pháp mã hóa tiên tiến tiêu chuẩn được sử dụng cho an ninh truyền thông của chính phủ Mỹ từ ngày 2 tháng 10 năm 2000
© Prentice Hall 2004
70
Các phương pháp mã hóa (cont.)
© Prentice Hall 2004
71
Các phần tử của PKI
Chử kí số (Digital signature): là một mã xác nhận được dùng để nhận dạng và xác thực người gửi của tài liệu
Di động (Portable)
Không thể dễ dàng từ chối hay hạn chế, và có thể là tem thời gian
© Prentice Hall 2004
72
Các phần tử của PKI(cont.)
© Prentice Hall 2004
73
Các phần tử của PKI(cont.)
Các chử kí số bao gồm:
Băm (Hash): là một tính toán toán học được áp dụng cho mẩu tin, sử dụng khóa riêng, để mã hóa mẫu tin
Message digest: là một tóm tắt của mẩu tin, được chuyển thành chuổi các chử số, sau khi đã được băm
Phong bì số (Digital envelope): là sự kết hợp giữa mã hóa mẩu tin nguồn và chử kí số sử dụng các khóa công khai dễ nhận
© Prentice Hall 2004
74
Các phần tử của PKI (cont.)
Giấy chứng nhận số (Digital certificate): là sự chứng thực ràng người giữ khóa cá nhân và khóa công khai là người họ cần
Giấy chứng nhận ủy quyền -Certificate authorities (CAs): là thành phần thứ ba phát hành các giấy chứng nhân số
© Prentice Hall 2004
75
Các giao thức an ninh
Secure Socket Layer (SSL): là giao thức sử dụng giấy chứng nhận tiêu chuẩn cho việc nhân dạng và mã hóa dữ liệu để bảo vệ tính cá nhân và tính cẩn mật
Transport Layer Security (TLS): Từ năm 1996, là một tên khác của giao thức SSL
© Prentice Hall 2004
76
Các giao thức an ninh (cont.)
Secure Electronic Transaction (SET): một giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả khách hàng và doanh nghiệp; là sự hợp tác phát triển của Netscape, Visa, MasterCard, và các doanh nghiệp khác
© Prentice Hall 2004
77
Mạng an ninh TMĐT
Các công nghệ cho mạng của tổ chức
Firewall: là một nốt mạng bao gồm phần cứng và phần mềm để tách biệt một mạng riêng với mạng công cộng
Packet-filtering routers: là các Firewall để lọc dữ liệu và yêu cầu di chuyển từ mạng công cộng tới mạng riêng dựa trên các địa chỉ Internet của máy gửi hay nhận yêu cầu
© Prentice Hall 2004
78
Mạng an ninh TMĐT (cont.)
Packet filters: là các luật coa thể chấp nhận hay từ chối các gói đến dựa trên địa chỉ nguồn và đích và các thông tin xác nhận xác
Application-level proxy: là một firewall cho phép yêu cầu một trang Web chuyển từ mạng Internet công cộng đến mạng riêng
© Prentice Hall 2004
79
Mạng an ninh TMĐT (cont.)
Bastion gateway: là một phần cứng server chuyên dụng sử dụng phần mềm application-level proxy để hạn chế các loại yêu cầu qua mạng nội bộ của tổ chức từ mạng Internet công cộng
Proxies: là một chương trình phần mềm chuyên dụng chạy trên cổng server và cho qua các gói đã được dóng gói lại từ một mạng tới mạng khác
© Prentice Hall 2004
80
Mạng an ninh TMĐT (cont.)
© Prentice Hall 2004
81
Mạng an ninh TMĐT (cont.)
Firewall cá nhân:
Firewall cá nhân (Personal firewall): là một nốt mạng được thiết kế để bảo vệ hệ thống destop riêng lẽ của người dùng từ mạng công cộng bằng cách theo dỏi tất cả các di chuyển cho qua thông qua giao diện card mạng của máy tính
© Prentice Hall 2004
82
Mạng an ninh TMĐT (cont.)
VPNs
Mạng máy tính cá nhân ảo-Virtual private network (VPN): là một mạng sử dụng mạng Internet công cộng để vận chuyển thông tin nhưng có tính có nhân bằng cách sử dụng mã hóa để truyền thông, sự nhận dạng để chắc chắn rằng thông tin không bị quấy nhiễu, và quyền truy nhập để kiểm tra nhận dạng bất cứ người nào sử dụng mạng
© Prentice Hall 2004
83
Mạng an ninh TMĐT (cont.)
Giao thức đường hầm (Protocol tunneling): là phương thức được sử dụng để chắc chắn tính cẩn mật và toàn vẹn của dữ liệu được truyền qua Internet, bằng cách mã hóa gói tin, và gửi những gói tin này thông qua Internet, và giải mã chúng tại địa chỉ đến
© Prentice Hall 2004
84
Mạng an ninh TMĐT (cont.)
Hệ thống xác định sự xâm phạm (Intrusion detection systems -IDSs): là một loại phần mềm chuyên dụng có thể theo dỏi các hoạt động đi qua mạng hay trên một máy chủ, theo dỏi những hành động đáng ngờ, và tự động hành động dựa trên những điều mà nó thấy
© Prentice Hall 2004
85
Mạng an ninh TMĐT (cont.)
Mạng dựa trên IDS (Network-based IDS) sử dụng các luật để phân tích các hoạt động đáng ngờ tại vành đai của mạng hay tại những điểm quan trọng trong mạng
Bao gồm một bộ kiểm tra- một phần mềm để quét các phần mềm agent ở trên các loại máy chủ và tìm kiếm thông tin trở về cho bộ kiểm tra
© Prentice Hall 2004
86
Quản lý vấn đề
Chúng ta có đủ ngân sách dùng cho an ninh không?
Hậu quả kinh doanh của việc an ninh nghèo nàn?
Site thương mại điện tử nào đễ bị tấn công?
© Prentice Hall 2004
87
Quản lý vấn đề (cont.)
Vấn đề mấu chốt trong việc thành lập hệ thống an ninh mạnh trong TMĐT là gì?
Các bước trong việc thực hiện kế hoạch an ninh là gì?
Các tổ chức có nên quan tâm đến các đe dọa nội bộ không?
© Prentice Hall 2004
88
Tổng kết
Sự tăng lên của tấn công máy tính.
An ninh là vấn đề của mọi người kinh doanh.
Các vấn đề an ninh cơ bản.
Các loại tấn công an ninh mạng cơ bản.
Quản lý an ninh TMĐT.
An ninh trong truyền thông TMĐT.
Các công nghệ cho an ninh mạng.
An ninh trong thương mại điện tử
© Prentice Hall 2004
2
Nội dung
Tài liệu trong máy tính và mạng phát triển nhanh nên nguy cơ bị tấn công cũng tăng.
Mô tả các biện pháp an ninh thông dụng của các doanh nghiệp.
Hiểu các phần tử cơ bản của an ninh TMĐT.
Giải thích các loại tấn công an ninh cơ bản của mạng máy tính.
© Prentice Hall 2004
3
Nội dung (cont.)
Mô tả các lổi thông thường mà các tổ chức gặp phải trong vấn đề quản lý an ninh.
Thảo luận một vài công nghệ chính cho việc an ninh truyền thông TMĐT.
Chi tiết một vài công nghệ chính cho các thành phần an ninh mạng máy tính TMĐT.
© Prentice Hall 2004
4
Câu chuyện tấn công vét cạn thẻ tín dụng
Vấn đề
Spitfire Novelties thường thực hiện từ 5 đến 30 giao dịch một ngày
Vào ngày 12 tháng 12 năm 2002 trong một cuộc tấn công “vét cạn”, thẻ tín dụng Spitfire xử lý 140,000 thẻ tín dụng giả với giá trị $5.07 cho mổi thẻ (62,000 được chấp nhận)
© Prentice Hall 2004
5
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Tổng số tiền phải trả lên đến khoảng $300,000
Spitfire đã tìm ra các giao dịch này khi họ được cho biết một người sử dụng thẻ tín dụng khi kiểm tra đã phát hiện phải trả $5.07
© Prentice Hall 2004
6
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ năng tối thiểu
Kẻ tấn công (Hacker) chạy hàng ngàn lần số tiền phải trả nhỏ thông qua tài khoản của các thương gia, mà số tài khoản được sinh ngẫu nhiên
Khi thủ phạm tìm thấy các số thẻ tín dụng đúng thì họ có thể bán trên thị trường chợ đen
Trong thời đại ngày nay có một số chợ đen trên mạng như các Web site carderplanet.com, shadowcrew.com, và counterfeitlibrary.com
© Prentice Hall 2004
7
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Các yếu tố để thủ phạm dựa vào để xác nhận thẻ tín của các doanh nhân, doanh nghiệp là
Một định danh (ID)
Một password
Cả hai
© Prentice Hall 2004
8
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Các dịch vụ xử lý thẻ tín dụng của Online Data, một thủ phạm cần mật khẩu của thương gia để yêu cầu xác thực
Online Data đã bán lại cho VeriSign Inc. các cổng dịch vụ thẻ tín dụng
VeriSign đã quy trách nhiệm cho Online Data về các việc đã xảy ra
Online Data cũng quy trách nhiệm cho Spitfire là không thay đổi mật khẩu khởi tạo của họ
© Prentice Hall 2004
9
Câu chuyện tấn công vét cạn thẻ tín dụng (cont.)
Vào tháng tư năm 2002 các kẻ tấn công đã vào hệ thống xử lý thẻ Authorize.Net (một hệ thống thanh toán lớn nhất trên Internet)
13,000 giao dịch thẻ tín dụng được thực hiện trong đó 7,000 thẻ thành công
Tham nhập vào hệ thống Authorize.Net chỉ cần tên đăng nhập, không cần mật khẩu
© Prentice Hall 2004
10
Giải pháp cho việc tấn công vét cạn
Online Data nên sử dụng mật khẩu mạnh ngay lúc đầu
Khách hàng nên thường xuyên thay đổi mật khẩu
Các dịch vụ nhận dạng như VeriSign và Authorize.Net nên xây dựng bảo vệ cảnh giới xác định các cuộc tấn công vét cạn
© Prentice Hall 2004
11
Giải pháp cho việc tấn công vét cạn thẻ tín dụng (cont.)
Các dấu hiệu là:
Số lần thương nhân yêu cầu lạ thường (nhiều)
Lặp lại các yêu cầu với giá trị nhỏ từ cùng một thương nhân
© Prentice Hall 2004
12
Tấn công vét cạn thẻ tín dụng (cont.)
Kết quả
VeriSign đã dừng các giao dịch trước khi chúng thanh toán, tiết kiệm cho $316,000 phải thanh toán
Các thương nhân Authorize.Net phải trả $0.35 cho mỗi lần giao dịch
Thu lại hàng ngìn số thẻ tín dụng hợp lệ được bán trên thị trường chợ đen
© Prentice Hall 2004
13
Tấn công vét cạn thẻ tín dụng (cont.)
Chúng ta có thể học…
Bất cứ loại TMĐT bao gồm nhiều người tham gia họ sử dụng nhiều mạng máy tính và các dịch vụ ứng dụng thì được cung cấp truy cập tới nhiều nguồn dữ liệu
Kẻ tấn công chỉ cần một điểm yếu nhỏ của hệ thống là họ có thể tấn công được
© Prentice Hall 2004
14
Tấn công vét cạn
Những cái mà chúng ta có thể học
Một số tấn công yêu cầu kỹ thuật và công nghệ tinh vi
Đa số các tấn công đều không tinh vi; các thủ tục quản lý rủi ro an ninh chuẩn có thể được dùng để giảm thiểu khả năng và ảnh hưởng
© Prentice Hall 2004
15
Cần làm nhanh cho an ninh TMĐT
Các nghiên cứu hằng năm được thực hiện bởi Computer Security Institute và FBI
Các tổ chức liên tục bị tấn công bởi những kẻ có kinh nghiệm từ bên trong và bên ngoài tổ chức
© Prentice Hall 2004
16
Cần làm nhanh cho an ninh TMĐT (cont.)
Các loại tấn công tới các tổ chức rất đa dạng
Sự mất mát tài chính từ các vụ tấn công có thể là rất lớn
Có thể sử dụng kết hợp nhiều công nghệ để chống lại các vụ tấn công này
© Prentice Hall 2004
17
Cần làm nhanh cho an ninh TMĐT (cont.)
National Infrastructure Protection Center (NIPC): liên kết các quan hệ đối tác, được bảo trợ bởi FBI, giữa chính phủ và các ngành công nghiệp; để bảo vệ cơ sở hạ tầng quốc gia
© Prentice Hall 2004
18
Cần làm nhanh cho an ninh TMĐT (cont.)
Computer Emergency Response Team (CERT): nhóm của ba đội tại trường đại học Carnegie Mellon đã theo dỏi các vụ tấn công, phân tích khả năng tổn thương, và cung cấp các hướng dẫn để chống lại các sự tấn công này
© Prentice Hall 2004
19
Cần làm nhanh cho an ninh TMĐT (cont.)
Theo báo cáo thống kê CERT/CC trong năm 2002 (CERT/CC 2002)
Số lượng các vụ tấn công lớntừ xấp xỉ 22,000 trong năm 2000 tới trên 82,000 trong năm 2002
Quý một của năm 2003 số các vụ tấn công đã là 43,000
© Prentice Hall 2004
20
An ninh và vấn đề của mọi người kinh doanh
Thực hiện an ninh của tổ chức ở nhiều mức độ
Các tổ chức nhỏ (10 đến 100 máy tính)
Đã có sự tổ chức tập trung và dành một tỉ lệ phần trăm ngân sách CNTT cho việc thực hiện an ninh
Không có khả năng để thực hiện an ninh CNTT
© Prentice Hall 2004
21
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức vừa (100 tới 1,000 máy tính)
Phụ thuộc chính sách quản lý trong việc thực hiện các quyết định an ninh, và họ có rất ít sự hỗ trợ cho các chính sách CNTT của họ
Các nhân viên của họ thiếu đào tạo-đã để lộ cho các kẻ tấn công và thiệt hại về căn bản lớn hơn các tổ chức nhỏ
© Prentice Hall 2004
22
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức lớn (1,000 tới 10,000 máy tính)
Cơ sở hạ tầng phức tạp và được biết nhiều trên Internet
Tập hợp các chi phí an ninh CNTT là lớn nhưng tính trung bình cho các nhân viên lại nhỏ
© Prentice Hall 2004
23
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức lớn
An ninh CNTT là một phần thời gian và được đào tạo, chiếm một tỉ lệ phần trăm khá lớn của các ảnh hưởng mất mát và phá hoại mà tổ chức phải chịu từ các vụ tấn công
Các quyết định an ninh của họ dựa trên các chính sách của tổ chức
© Prentice Hall 2004
24
An ninh và vấn đề của mọi người kinh doanh (cont.)
Các tổ chức rất lớn (nhiều hơn 10,000 máy tính)
một môi trường cực kì phức tạp mà rất khó quản lý với số nhân viên lớn
dựa vào các chính sách quản lý trong việc thực hiện các quyết định an ninh
chỉ một tỉ lệ phần trăm nhỏ thì đã có các kết hoạch xác định và chống lại tốt các vụ tấn công
© Prentice Hall 2004
25
Các vấn đề an ninh
Từ bối cảnh của người dùng:
Có phải công ty sở hữu và điều hành dịch vụ Web là xác thực không?
Có phải các trang Web và các biểu mẩu chứa các đoạn mã có hại không?
Có phải dịch vụ Web phân phối các thông tin không được phép tới các người khác không?
© Prentice Hall 2004
26
Các vấn đề an ninh (cont.)
Từ bối cảnh của công ty:
Có phải người dùng sẽ có gắng phá vỡ dịch vụ Web và thay đổi các trang tại site không?
Có phải người dùng sẽ phá vỡ dịch vụ để cho nó không đến được người khác không?
© Prentice Hall 2004
27
Các vấn đề an ninh (cont.)
Từ bối cảnh cả hai phía:
Có phải đường kết nối mạng bị nghe trộm bởi một người thứ ba trên đường truyền không?
Có phải thông tin được gửi giữa người dùng và server bị thay đổi không?
© Prentice Hall 2004
28
Các yêu cầu an ninh
Xác thực (Authentication): là một quá trình mà sử dụng nó một thực thể xác định một thực thể khác là người mà họ yêu cầu
Sự cho phép (Authorization): là quá trình đảm bảo một người có quyền truy cập vào các nguồn tài nguyên xác định
© Prentice Hall 2004
29
Các yêu cầu an ninh (cont.)
Kiểm toán (Auditing): là quá trình thu thập thông tin về sự cố gắng truy cập vào một nguồn tài nguyên đặc biệt , sử dụng các quyền hành đặc biệt, hay thể hiện các hành động an ninh khác
© Prentice Hall 2004
30
Các yêu cầu an ninh (cont.)
Sự cẩn mật (Confidentiality): các thông tin cá nhân và nhạy cảm khỏi bị lộ tới các cá nhân, các thực thể, hay các xử lý không được xác thực
© Prentice Hall 2004
31
Các yêu cầu an ninh (cont.)
Tính toàn vẹn (Integrity): được ứng dụng cho dữ liệu, khả năng bảo vệ dữ liệu khỏi bị thay đổi hay phá hủy từ những người không được xác thực hay ngẩu nhiên
© Prentice Hall 2004
32
Các vấn đề an ninh (cont.)
Không từ chối (Nonrepudiation): là khả năng cho phép các giao dịch đã được xác thực xảy ra, thường sử dụng chử ký điện tử
© Prentice Hall 2004
33
Các loại đe dọa và tấn công
Tấn công không dùng kĩ thuật (Nontechnical attack): Là sự tấn công sử dụng các mánh khóe để lừa gạt người bộc lộ các thông tin nhạy cảm hay thực hiện các hành động ảnh hưởng đến an ninh của mạng
© Prentice Hall 2004
34
Các loại đe dọa và tấn công (cont.)
© Prentice Hall 2004
35
Các loại đe dọa và tấn công (cont.)
Social engineering: một loại tấn công không sử dụng công nghệ mà sử dụng các áp lực xã hội để lừa người sử dụng máy tính thực hiện các việc có hại đến mạng máy tính để các cá nhân này có được quyền truy nhập
© Prentice Hall 2004
36
Các loại đe dọa và tấn công (cont.)
Các cách để chống lại social engineering:
Giáo dục và đào tạo
Các chính sách và thủ tục
Kiểm tra sự thâm nhập
© Prentice Hall 2004
37
Các loại đe dọa và tấn công (cont.)
Tấn công có tính công nghệ: là sự tấn công sử dụng phần mềm và các hệ thống tri thức hay kinh nghiệm chuyên môn
© Prentice Hall 2004
38
Các loại đe dọa và tấn công (cont.)
Common (security) vulnerabilities and exposures (CVEs): là những rủi ro an ninh máy tính công khai, nó được thu thập, liệt kê, và chia sẽ bởi bảng thông tin của các tổ chức liên quan đến an ninh (cve.mitre.org)
© Prentice Hall 2004
39
Các loại đe dọa và tấn công (cont.)
Tấn công từ chối dịch vụ-Denial-of-service (DoS) attack: một sự tấn công trên Web site trong đó kẻ tấn công sử dụng các phần mềm chuyên dụng gửi hàng loạt các gói dữ liệu tới máy tính với mục đích làm quá tải nguồn tài nguyên của nó
© Prentice Hall 2004
40
Các loại đe dọa và tấn công (cont.)
Tấn công từ chối dịch vụ phân tán-Distributed denial-of-service (DDoS) attack: là một sự tấn công từ chối dịch vụ trong đó các kẻ tấn công có được quyền quản trị truy cập tới nhiêu máy tính trên Internet và sử dụng những máy tính này gửi hàng loạt các gói dữ liệu đến máy tính đích
© Prentice Hall 2004
41
Các loại đe dọa và tấn công (cont.)
© Prentice Hall 2004
42
Các loại đe dọa và tấn công (cont.)
Malware: Các loại chung cho phầm mềm gây hại
Tính phá hoại của các loại Virus tăng lên nhanh chóng, vì vậy cần nhiều thời gian và tiền bạc để khắc phục
85% nghiên cứu phản hồi nói rằng các tổ chức của họ là nạn nhân của virus thư điện tử trong năm 2002
© Prentice Hall 2004
43
Các loại đe dọa và tấn công (cont.)
Các đoạn code gây hại trong các biểu mẩu (form)-của thuần khiết và lai
Virus: là một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình của máy chủ khi chạy phải kích hoạt nó
© Prentice Hall 2004
44
Các loại đe dọa và tấn công (cont.)
Sâu (Worm): là một chương trình phần mềm được chạy một cách độc lập, chi phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng nhân giống tới các máy khác
© Prentice Hall 2004
45
Các loại đe dọa và tấn công (cont.)
Macro virus or macro worm: một virus hay sâu (worm) mà được thực thi khi một đối tượng ứng dụng khi được mở hay một thủ tục đặc biệt được thực thi
© Prentice Hall 2004
46
Các loại đe dọa và tấn công (cont.)
Chú ngựa thành Tơ roa (Trojan horse): là một chương trình được xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh
© Prentice Hall 2004
47
Quản lý anh ninh TMĐT
Các lỗi thông dụng trong việc quản lý rủi ro an ninh (McConnell 2002):
Đánh giá thấp thông tin
Xác định các đường biên an ninh tỉ mỉ
Quản lý phản ứng an ninh
Xử lý quản lý an ninh đã lỗi thời
Thiếu sự truyền thông về trách nhiệm an ninh
© Prentice Hall 2004
48
Quản lý anh ninh TMĐT (cont.)
Quản lý rủi ro an ninh (Security risk management): một quá trình xử lý có hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để bảo vệ hay giảm bớt các tấn công này
© Prentice Hall 2004
49
Quản lý anh ninh TMĐT (cont.)
Các pha trong quản lý rủi ro an ninh
Đánh giá
Lên kế hoạch
Thực hiện
Theo dỏi
© Prentice Hall 2004
50
Quản lý anh ninh TMĐT (cont.)
Ph 1: Đánh giá
Đánh giá các rủi ro an ninh bằng các xác định các tài sản, các điểm dễ bị tổn thương của hệ thống, và những đe dọa tiềm tàng đối với các điểm dễ bị tổn thương này
© Prentice Hall 2004
51
Honeynet: một cách để đánh giá các điểm dễ bị tổn thương của tổ chức bằng cách nghiên cứu các loại tấn côngtới một site đưa ra, sử dụng hệ thống mạng này gọi là honeypots (điểm ngọt, điểm thu hút)
Honeypots: các sản phẩm hệ thống (như là: firewalls, routers, Web servers, database servers) được thiết kế để làm việc thực nhưng được theo dỏi và nghiên cứu các tấn công mạng xảy ra
© Prentice Hall 2004
52
Quản lý anh ninh TMĐT (cont.)
Pha 2: Lên kế hoạch
Các kết quả của pha này đưa tới việc xác định các đe dọa nào có thể xảy ra, đe dọa nào là không
Các chính sách cũng chỉ rõ các cách đo lường thực hiện chống lại các đe dọa này là quá cao hay độ ưu tiên cao
© Prentice Hall 2004
53
Quản lý anh ninh TMĐT (cont.)
Pha 3: Thực hiện
Các công nghệ đặc biệt được chọn để chống lại các đe dọa có độ ưu tiên cao
Bước trước tiên là chọn các loại công nghệ cho mỗi đe dọa có độ ưu tiên cao
© Prentice Hall 2004
54
Quản lý anh ninh TMĐT (cont.)
Pha 4: Theo dỏi và xác định
Cái nào được đánh giá là thành công
Cái nào là không thành công và cần phải thay đổi
Các loại đe dọa mới
Cần phải phát triển và thay đổi trong công nghệ như thế nào
Có cần thêm các tài sản của doanh nghiệp cần được bảo vệ hay không
© Prentice Hall 2004
55
Quản lý anh ninh TMĐT (cont.)
Các phương pháp của an ninh TMĐT
Hệ thống nhận dạng
Cơ chế điều khiển quyền truy nhập
Các biểu hiện tiêu cực
Các biểu hiện tích cực
© Prentice Hall 2004
56
Xác thực
Hệ thống xác thực (Authentication system): là hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện, và hạn chế những hoạt động của họ chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thành
© Prentice Hall 2004
57
Xác thực (cont.)
Cơ chế điều khiển truy nhập (Access control mechanism): là cơ chế giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm
© Prentice Hall 2004
58
Xác thực (cont.)
Passive tokens: Các thiết bị lưu trữ (e.g., magnetic strips) được sử dụng trong hệ thống nhận dạng hai yếu tố bao gồm mã mật
© Prentice Hall 2004
59
Xác thực (cont.)
Active tokens: nhỏ, thiết bị điện tử đứng một mình trong hệ thống nhận dạng hai yếu tố mà sinh password một lần
Who goes there?
© Prentice Hall 2004
60
Các điều khiển sinh trắc học
Các hệ thống sinh trắc học (Biometric systems): là hệ thống nhận dạng để xác nhận một người bằng cách đánh giá ,so sánh các đặc tính sinh học như dấu vân tay, mẩu tròng mắt, mặt, hay giọng nói
© Prentice Hall 2004
61
Các điều khiển sinh trắc học (cont.)
Sinh trắc học: sự đánh giá được lấy trực tiếp từ các bộ phận trên cơ thể (ví dụ: dấu vân tay, tròng mắt, tay, các đặc tính mặt)
Sinh trắc hành vi: sự đánh giá được lấy từ sự khác nhau của các hành động và cách giám tiếp từ các sự khác nhau của các bộ phận trên cơ thể (ví dụ: giọng nói hay theo dỏi đánh phím)
© Prentice Hall 2004
62
Các điều khiển sinh trắc học (cont.)
Nhận dạng vân tay: Sự đánh giá không liên tục của dấu vân tay của một người, được chuyển đổi thành dạng số và lưu trữ như các mẩu được dùng để nhận dạng xác thực
Nhận dạng tròng mắt (Iris scanning): Đánh giá các điểm khác duy nhất trong tròng mắt(mật phần màu của mắt), chuyển đổi thành dạng số và lưu trữ như các mẩu dùng để nhận dạng xác thực
© Prentice Hall 2004
63
Các điều khiển sinh trắc học (cont.)
Nhận dạng giọng nói: đánh giá các dặc tính âm học trong giọng nói, chuyển đổi thành số và lưu trữu như các mẩu dùng để nhận dạng xác thực
© Prentice Hall 2004
64
Các điều khiển sinh trắc học (cont.)
Theo dỏi đánh bàn phím: sự đánh giá áp lực, tốc đội, và nhịp điệu của các từ được đánh, chuyển thành tập dạng số và lưu trữ như các mẩu dùng để nhận dạng xác thực; việc quan trác này vẫn chưa được phát triển
© Prentice Hall 2004
65
Các phương pháp mã hóa
Cơ sở hạ tầng khóa công cộng-Public key infrastructure (PKI): là một sự sắp theo hệ thống cho việc an ninh thanh toán điện tử sử dụng khóa công cộng để mã hóa và các bộ phận công nghệ khác
© Prentice Hall 2004
66
Các phương pháp mã hóa (cont.)
Mã hóa cá nhân và công khai
Sự mã hóa (Encryption): là quá trình xáo trộn (mã hóa) một tin nhắn để làm khó, đắt, hay tốn nhiều thời gian cho những người không xác thực để giải mã nó
© Prentice Hall 2004
67
Các phương pháp mã hóa (cont.)
Bản rõ (Plaintext): một mẩu tin không được mã hóa ở dạng con người có thể đọc
Bản mờ (Ciphertext): là một bản rõ sau khi đã được mã hóa vào dạng máy tính có thể đọc được
Thuật toán mã hóa (Encryption algorithm): là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại
© Prentice Hall 2004
68
Các phương pháp mã hóa (cont.)
Hệ thống khóa đối xứng (cá nhân)
Khóa (Key): là đoạn mã bí mật dùng để mã hóa và giải mã một mẩu tin
Hệ thống khóa đối xứng (Symmetric (private) key system): là một hệ thống mã hóa sử dụng cùng một khóa để mã hóa và giải mã mẩu tin
© Prentice Hall 2004
69
Các phương pháp mã hóa (cont.)
Mã hóa dữ liệu tiêu chuẩn (Data Encryption Standard -DES): là thuật toán mã hóa đối xứng tiêu chuẩn được NIST đưa ra và được các cơ quancủa cính phủ Mỹ sử dụng đến ngày 2 tháng 10 năm 2000
Rijndael: là một phương pháp mã hóa tiên tiến tiêu chuẩn được sử dụng cho an ninh truyền thông của chính phủ Mỹ từ ngày 2 tháng 10 năm 2000
© Prentice Hall 2004
70
Các phương pháp mã hóa (cont.)
© Prentice Hall 2004
71
Các phần tử của PKI
Chử kí số (Digital signature): là một mã xác nhận được dùng để nhận dạng và xác thực người gửi của tài liệu
Di động (Portable)
Không thể dễ dàng từ chối hay hạn chế, và có thể là tem thời gian
© Prentice Hall 2004
72
Các phần tử của PKI(cont.)
© Prentice Hall 2004
73
Các phần tử của PKI(cont.)
Các chử kí số bao gồm:
Băm (Hash): là một tính toán toán học được áp dụng cho mẩu tin, sử dụng khóa riêng, để mã hóa mẫu tin
Message digest: là một tóm tắt của mẩu tin, được chuyển thành chuổi các chử số, sau khi đã được băm
Phong bì số (Digital envelope): là sự kết hợp giữa mã hóa mẩu tin nguồn và chử kí số sử dụng các khóa công khai dễ nhận
© Prentice Hall 2004
74
Các phần tử của PKI (cont.)
Giấy chứng nhận số (Digital certificate): là sự chứng thực ràng người giữ khóa cá nhân và khóa công khai là người họ cần
Giấy chứng nhận ủy quyền -Certificate authorities (CAs): là thành phần thứ ba phát hành các giấy chứng nhân số
© Prentice Hall 2004
75
Các giao thức an ninh
Secure Socket Layer (SSL): là giao thức sử dụng giấy chứng nhận tiêu chuẩn cho việc nhân dạng và mã hóa dữ liệu để bảo vệ tính cá nhân và tính cẩn mật
Transport Layer Security (TLS): Từ năm 1996, là một tên khác của giao thức SSL
© Prentice Hall 2004
76
Các giao thức an ninh (cont.)
Secure Electronic Transaction (SET): một giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả khách hàng và doanh nghiệp; là sự hợp tác phát triển của Netscape, Visa, MasterCard, và các doanh nghiệp khác
© Prentice Hall 2004
77
Mạng an ninh TMĐT
Các công nghệ cho mạng của tổ chức
Firewall: là một nốt mạng bao gồm phần cứng và phần mềm để tách biệt một mạng riêng với mạng công cộng
Packet-filtering routers: là các Firewall để lọc dữ liệu và yêu cầu di chuyển từ mạng công cộng tới mạng riêng dựa trên các địa chỉ Internet của máy gửi hay nhận yêu cầu
© Prentice Hall 2004
78
Mạng an ninh TMĐT (cont.)
Packet filters: là các luật coa thể chấp nhận hay từ chối các gói đến dựa trên địa chỉ nguồn và đích và các thông tin xác nhận xác
Application-level proxy: là một firewall cho phép yêu cầu một trang Web chuyển từ mạng Internet công cộng đến mạng riêng
© Prentice Hall 2004
79
Mạng an ninh TMĐT (cont.)
Bastion gateway: là một phần cứng server chuyên dụng sử dụng phần mềm application-level proxy để hạn chế các loại yêu cầu qua mạng nội bộ của tổ chức từ mạng Internet công cộng
Proxies: là một chương trình phần mềm chuyên dụng chạy trên cổng server và cho qua các gói đã được dóng gói lại từ một mạng tới mạng khác
© Prentice Hall 2004
80
Mạng an ninh TMĐT (cont.)
© Prentice Hall 2004
81
Mạng an ninh TMĐT (cont.)
Firewall cá nhân:
Firewall cá nhân (Personal firewall): là một nốt mạng được thiết kế để bảo vệ hệ thống destop riêng lẽ của người dùng từ mạng công cộng bằng cách theo dỏi tất cả các di chuyển cho qua thông qua giao diện card mạng của máy tính
© Prentice Hall 2004
82
Mạng an ninh TMĐT (cont.)
VPNs
Mạng máy tính cá nhân ảo-Virtual private network (VPN): là một mạng sử dụng mạng Internet công cộng để vận chuyển thông tin nhưng có tính có nhân bằng cách sử dụng mã hóa để truyền thông, sự nhận dạng để chắc chắn rằng thông tin không bị quấy nhiễu, và quyền truy nhập để kiểm tra nhận dạng bất cứ người nào sử dụng mạng
© Prentice Hall 2004
83
Mạng an ninh TMĐT (cont.)
Giao thức đường hầm (Protocol tunneling): là phương thức được sử dụng để chắc chắn tính cẩn mật và toàn vẹn của dữ liệu được truyền qua Internet, bằng cách mã hóa gói tin, và gửi những gói tin này thông qua Internet, và giải mã chúng tại địa chỉ đến
© Prentice Hall 2004
84
Mạng an ninh TMĐT (cont.)
Hệ thống xác định sự xâm phạm (Intrusion detection systems -IDSs): là một loại phần mềm chuyên dụng có thể theo dỏi các hoạt động đi qua mạng hay trên một máy chủ, theo dỏi những hành động đáng ngờ, và tự động hành động dựa trên những điều mà nó thấy
© Prentice Hall 2004
85
Mạng an ninh TMĐT (cont.)
Mạng dựa trên IDS (Network-based IDS) sử dụng các luật để phân tích các hoạt động đáng ngờ tại vành đai của mạng hay tại những điểm quan trọng trong mạng
Bao gồm một bộ kiểm tra- một phần mềm để quét các phần mềm agent ở trên các loại máy chủ và tìm kiếm thông tin trở về cho bộ kiểm tra
© Prentice Hall 2004
86
Quản lý vấn đề
Chúng ta có đủ ngân sách dùng cho an ninh không?
Hậu quả kinh doanh của việc an ninh nghèo nàn?
Site thương mại điện tử nào đễ bị tấn công?
© Prentice Hall 2004
87
Quản lý vấn đề (cont.)
Vấn đề mấu chốt trong việc thành lập hệ thống an ninh mạnh trong TMĐT là gì?
Các bước trong việc thực hiện kế hoạch an ninh là gì?
Các tổ chức có nên quan tâm đến các đe dọa nội bộ không?
© Prentice Hall 2004
88
Tổng kết
Sự tăng lên của tấn công máy tính.
An ninh là vấn đề của mọi người kinh doanh.
Các vấn đề an ninh cơ bản.
Các loại tấn công an ninh mạng cơ bản.
Quản lý an ninh TMĐT.
An ninh trong truyền thông TMĐT.
Các công nghệ cho an ninh mạng.
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Phạm Thị Hằng
Dung lượng: |
Lượt tài: 0
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)