Thương mại điện tử-chưong7
Chia sẻ bởi Huỳnh Phước Sang |
Ngày 18/03/2024 |
11
Chia sẻ tài liệu: Thương mại điện tử-chưong7 thuộc Toán học
Nội dung tài liệu:
Chương 7
BẢO MẬT VÀ AN NINH TRÊN MẠNG
NỘI DUNG
Các rủi ro trong an toàn mạng
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
An toàn mạng dành cho cá nhân
Cơ chế mã hóa
Chữ ký điện tử
Các loại tấn công trên mạng
Bảo mật, an ninh mạng là vấn đề nóng hổi trong hoạt động TMĐT
Làm thế nào để khách hàng tin tưởng khi thực hiện các giao dịch trên mạng?
Nhà cung cấp dịch vụ giao dịch trực tuyến + ISP có đảm bảo các giao dịch trên mạng được an toàn?
Các loại tấn công trên mạng
Spam (thư rác): người nhận mỗi ngày có thể nhận vài chục, đến vài trăm thư rác: dung lượng, thời gian tải về...
Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa: chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…
Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu không thâm nhập vào file mà thâm nhập vào hệ thống
Ví dụ: sâu mạng (network worm) tự nhân bản trong toàn hệ thống mạng, sâu email tự gửi nhân bản của chúng qua hệ thống email
Các loại tấn công trên mạng
Trojan: là một loại chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.
Ví dụ: cài đặt chương trình theo dõi bàn phím
Lừa đảo qua mạng (Phishing): giả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng...
Gửi email yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng
Tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn
Tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng
Các loại tấn công trên mạng
Hacking:
Bị tấn công từ chối phục vụ (Denial of Service): hacker tự động gửi hàng loạt yêu cầu về server làm server này quá tải
Bị cướp tên miền:
Tìm email quản lý tên miền
Lừa chủ tài khoản email để lấy được password
Yêu cầu nhà cung cấp dịch vụ quản lý tên miền cung cấp password để quản lý tên miền
Thay đổi thông số tên miền, chuyển tên miền sang website quản lý khác, thay đổi password quản lý,…
Các loại tấn công trên mạng
Hacking (tt):
Bị xâm nhập host hoặc dữ liệu trái phép
Tấn công nội bộ (local attack) tức hacker mua một host trên cùng một server với host “nạn nhân”
Tìm kẽ hở để đột nhập thông qua việc tìm kiếm trên các search engine
Tìm cách có được password của host
Nghiên cứu kẽ hở trong lập trình để thâm nhập vào host
Tham nhập vào cơ sở dữ liệu của website
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
Hacking: DN thường xuyên kiểm tra website để kịp thời phát hiện sự cố
Bị tấn công từ chối phục vụ: Nếu thuê dịch vụ host, DN yêu cầu nhà cung cấp dịch vụ xử lý
Bị cướp tên miền : DN có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
Hacking (tt): DN thường xuyên kiểm tra website để kịp thời phát hiện sự cố
Bị xâm nhập host hoặc dữ liệu trái phép:
Khi xảy ra sự cố, doanh nghiệp yêu cầu nhà cung cấp dịch vụ host nêu rõ phương thức xử lý
Yêu cầu nhà cung cấp dịch vụ host sao lưu (backup) dữ liệu website thường xuyên
Nhà cung cấp dịch vụ phải có ít nhất 2 server để kịp thời chuyển sang server khác khi có sự cố
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
Tự bảo vệ mật khẩu
Khi có nhiều tài khoản (TK quản lý tên miền, TK quản lý website,…) thì ít người biết password của TK càng tốt
Khi nhân viên quản lý TK nghỉ thì nên thay đổi password của TK đó
An toàn mạng nội bộ: Nên có quy định sử dụng mạng nội bộ, quy định về phòng chống virus,…
An toàn dữ liệu, thông tin
Không lưu trong mạng nội bộ những thông tin không cần chia sẻ nhiều người
Sao lưu dữ liệu ra đĩa CD thường xuyên
An toàn mạng dành cho cá nhân
Khi có spam nên xóa đi, đừng gởi reply
Cài đặt và cập nhật chương trình diệt virus mới nhất
Bỏ qua mọi email yêu cầu cung cấp thông tin
Nếu mua qua mạng bằng thẻ tín dụng thì kiểm tra các khoản chi hàng tháng
Khi có mail lạ gởi file đính kèm, tốt nhất nên xóa mail đó
Khi duyệt web, có thông báo yêu cầu chọn “Yes”, “No” thì phải đọc kỹ
Khi đăng nhập tài khoản, sử dụng xong nên “thoát” ra khỏi chương trình
Khi sử dụng máy tính dùng chung không nên chọn chức năng “nhớ mật khẩu”
Cơ chế mã hóa
Mã hóa là quá trình trộn văn bản với khóa mã tạo thành văn bản không thể đọc được trên mạng
Khi nhận được, dùng khóa mã giải mã thành bản gốc
Mã hóa và giải mã gồm 4 phần cơ bản:
1. Văn bản nhập vào – plaintext
2. Thuật toán mã hóa – Encryption
3. Văn bản đã mã – ciphertext
4. Giải mã – Decryption
Cơ chế mã hóa
Một cơ chế mã hóa
Chữ ký điện
Phương pháp mã hóa bí mật dùng chung
TĐ đã được mã hoá
Người gửi
A
Đơn đặt hàng
TĐ đã được mã hoá
Người nhận
B
Đơn đặt hàng
Mã khoá bí mật dùng chung (private key)
Thông
điệp
INTERNET
Chữ ký điện
TĐ đã được mã hoá
Mã khoá CC (N.nhận)
Người gửi
A
Đơn đặt hàng
TĐ đã được mã hoá
Người nhận
B
Đơn đặt hàng
Mã khoá bí mật (N.nhận)
Thông
điệp
INTERNET
Phương pháp mã hóa công khai
Chữ ký điện tử
Chứng nhận điện tử
Xác nhận người sở hữu khoá công cộng (public key)
Do một tổ chức có uy tín cấp (Certificate Authority-CA)
Cấu trúc của một chứng nhận điện tử: gồm các thành phần chính như sau:
Issuer: tên của CA tạo ra chứng nhận.
Period of validity: ngày hết hạn của chứng nhận.
Subject: bao gồm những thông tin về thực thể được chứng nhận.
Public key: khóa công khai được chứng nhận.
Signature: do private key của CA tạo ra và đảm bảo giá trị của chứng nhận.
Chữ ký điện tử
Chữ ký số (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc.
Chữ ký số được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi.
Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc + chữ ký
Chữ ký điện tử
Người gửi
A
TĐ đã được mã hoá
TĐ đã được ký ĐT
TĐ đã được ký ĐT
Mã khoá bí mật (N. gửi)
Người nhận
B
TĐ đã được mã hoá
Mã khoá CC (N. gửi)
Chữ ký
điện tử
INTERNET
The Public-Key Authentication Model
Chữ ký điện tử
Các bước mã hóa:
1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả được một message digest.
2. Sử dụng khóa private key của người gửi để mã hóa message digest thu được ở bước 1. Kết quả thu được gọi là digital signature của message ban đầu.
3. Gộp digital signature vào message ban đầu, công việc này gọi là “ký nhận” vào message. Mọi sự thay đổi sẽ bị phát hiện trong giai đoạn kiểm tra
Chữ ký điện tử
Các bước kiểm tra:
1. Dùng public key của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký số của message.
2. Dùng giải thuật băm message đính kèm.
3. So sánh kết quả thu được ở bước 1 và 2. nếu trùng nhau kết luận message này không bị thay đổi trong quá trình truyền và message này là của người gửi.
Chữ ký điện tử
Chữ ký điện tử
Dữ liệu dưới dạng điện tử (từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác)
Gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu
Có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp Dliệu được ký
Các cách tạo chữ ký điện tử:
Vân tay
Sơ đồ võng mạc
Sơ đồ tĩnh mạch trong bàn tay
ADN
Các yếu tố sinh học khác
Công nghệ mã hóa,…
Chữ ký điện tử - Tạo chữ ký số
Bản
tóm lược
Hàm băm
Gắn với
thông điệp dữ liệu
Mã hóa
Thông điệp dữ liệu
Khóa bí mật
Chữ ký số
Thông điệp dữ liệu
được ký số
Chữ ký điện tử-Thẩm định CKS
Bản
tóm lược
Hàm băm
Tách
Giải mã
Thông điệp dữ liệu
Khóa công khai
Chữ ký số
Thông điệp dữ liệu
được ký số
Giải mã được?
Không đúng người gửi
Bản
tóm lược
Giống nhau?
Nội dung thông điệp bị thay đổi
Nội dung thông điệp
tòan vẹn
BẢO MẬT VÀ AN NINH TRÊN MẠNG
NỘI DUNG
Các rủi ro trong an toàn mạng
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
An toàn mạng dành cho cá nhân
Cơ chế mã hóa
Chữ ký điện tử
Các loại tấn công trên mạng
Bảo mật, an ninh mạng là vấn đề nóng hổi trong hoạt động TMĐT
Làm thế nào để khách hàng tin tưởng khi thực hiện các giao dịch trên mạng?
Nhà cung cấp dịch vụ giao dịch trực tuyến + ISP có đảm bảo các giao dịch trên mạng được an toàn?
Các loại tấn công trên mạng
Spam (thư rác): người nhận mỗi ngày có thể nhận vài chục, đến vài trăm thư rác: dung lượng, thời gian tải về...
Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa: chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…
Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu không thâm nhập vào file mà thâm nhập vào hệ thống
Ví dụ: sâu mạng (network worm) tự nhân bản trong toàn hệ thống mạng, sâu email tự gửi nhân bản của chúng qua hệ thống email
Các loại tấn công trên mạng
Trojan: là một loại chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.
Ví dụ: cài đặt chương trình theo dõi bàn phím
Lừa đảo qua mạng (Phishing): giả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng...
Gửi email yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng
Tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn
Tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng
Các loại tấn công trên mạng
Hacking:
Bị tấn công từ chối phục vụ (Denial of Service): hacker tự động gửi hàng loạt yêu cầu về server làm server này quá tải
Bị cướp tên miền:
Tìm email quản lý tên miền
Lừa chủ tài khoản email để lấy được password
Yêu cầu nhà cung cấp dịch vụ quản lý tên miền cung cấp password để quản lý tên miền
Thay đổi thông số tên miền, chuyển tên miền sang website quản lý khác, thay đổi password quản lý,…
Các loại tấn công trên mạng
Hacking (tt):
Bị xâm nhập host hoặc dữ liệu trái phép
Tấn công nội bộ (local attack) tức hacker mua một host trên cùng một server với host “nạn nhân”
Tìm kẽ hở để đột nhập thông qua việc tìm kiếm trên các search engine
Tìm cách có được password của host
Nghiên cứu kẽ hở trong lập trình để thâm nhập vào host
Tham nhập vào cơ sở dữ liệu của website
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
Hacking: DN thường xuyên kiểm tra website để kịp thời phát hiện sự cố
Bị tấn công từ chối phục vụ: Nếu thuê dịch vụ host, DN yêu cầu nhà cung cấp dịch vụ xử lý
Bị cướp tên miền : DN có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
Hacking (tt): DN thường xuyên kiểm tra website để kịp thời phát hiện sự cố
Bị xâm nhập host hoặc dữ liệu trái phép:
Khi xảy ra sự cố, doanh nghiệp yêu cầu nhà cung cấp dịch vụ host nêu rõ phương thức xử lý
Yêu cầu nhà cung cấp dịch vụ host sao lưu (backup) dữ liệu website thường xuyên
Nhà cung cấp dịch vụ phải có ít nhất 2 server để kịp thời chuyển sang server khác khi có sự cố
An toàn mạng dành cho doanh nghiệp VN tham gia TMĐT
Tự bảo vệ mật khẩu
Khi có nhiều tài khoản (TK quản lý tên miền, TK quản lý website,…) thì ít người biết password của TK càng tốt
Khi nhân viên quản lý TK nghỉ thì nên thay đổi password của TK đó
An toàn mạng nội bộ: Nên có quy định sử dụng mạng nội bộ, quy định về phòng chống virus,…
An toàn dữ liệu, thông tin
Không lưu trong mạng nội bộ những thông tin không cần chia sẻ nhiều người
Sao lưu dữ liệu ra đĩa CD thường xuyên
An toàn mạng dành cho cá nhân
Khi có spam nên xóa đi, đừng gởi reply
Cài đặt và cập nhật chương trình diệt virus mới nhất
Bỏ qua mọi email yêu cầu cung cấp thông tin
Nếu mua qua mạng bằng thẻ tín dụng thì kiểm tra các khoản chi hàng tháng
Khi có mail lạ gởi file đính kèm, tốt nhất nên xóa mail đó
Khi duyệt web, có thông báo yêu cầu chọn “Yes”, “No” thì phải đọc kỹ
Khi đăng nhập tài khoản, sử dụng xong nên “thoát” ra khỏi chương trình
Khi sử dụng máy tính dùng chung không nên chọn chức năng “nhớ mật khẩu”
Cơ chế mã hóa
Mã hóa là quá trình trộn văn bản với khóa mã tạo thành văn bản không thể đọc được trên mạng
Khi nhận được, dùng khóa mã giải mã thành bản gốc
Mã hóa và giải mã gồm 4 phần cơ bản:
1. Văn bản nhập vào – plaintext
2. Thuật toán mã hóa – Encryption
3. Văn bản đã mã – ciphertext
4. Giải mã – Decryption
Cơ chế mã hóa
Một cơ chế mã hóa
Chữ ký điện
Phương pháp mã hóa bí mật dùng chung
TĐ đã được mã hoá
Người gửi
A
Đơn đặt hàng
TĐ đã được mã hoá
Người nhận
B
Đơn đặt hàng
Mã khoá bí mật dùng chung (private key)
Thông
điệp
INTERNET
Chữ ký điện
TĐ đã được mã hoá
Mã khoá CC (N.nhận)
Người gửi
A
Đơn đặt hàng
TĐ đã được mã hoá
Người nhận
B
Đơn đặt hàng
Mã khoá bí mật (N.nhận)
Thông
điệp
INTERNET
Phương pháp mã hóa công khai
Chữ ký điện tử
Chứng nhận điện tử
Xác nhận người sở hữu khoá công cộng (public key)
Do một tổ chức có uy tín cấp (Certificate Authority-CA)
Cấu trúc của một chứng nhận điện tử: gồm các thành phần chính như sau:
Issuer: tên của CA tạo ra chứng nhận.
Period of validity: ngày hết hạn của chứng nhận.
Subject: bao gồm những thông tin về thực thể được chứng nhận.
Public key: khóa công khai được chứng nhận.
Signature: do private key của CA tạo ra và đảm bảo giá trị của chứng nhận.
Chữ ký điện tử
Chữ ký số (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc.
Chữ ký số được tạo ra bằng cách áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn gọi là fingerprint, sau đó mã hóa bằng private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi.
Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc + chữ ký
Chữ ký điện tử
Người gửi
A
TĐ đã được mã hoá
TĐ đã được ký ĐT
TĐ đã được ký ĐT
Mã khoá bí mật (N. gửi)
Người nhận
B
TĐ đã được mã hoá
Mã khoá CC (N. gửi)
Chữ ký
điện tử
INTERNET
The Public-Key Authentication Model
Chữ ký điện tử
Các bước mã hóa:
1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả được một message digest.
2. Sử dụng khóa private key của người gửi để mã hóa message digest thu được ở bước 1. Kết quả thu được gọi là digital signature của message ban đầu.
3. Gộp digital signature vào message ban đầu, công việc này gọi là “ký nhận” vào message. Mọi sự thay đổi sẽ bị phát hiện trong giai đoạn kiểm tra
Chữ ký điện tử
Các bước kiểm tra:
1. Dùng public key của người gửi (khóa này được thông báo đến mọi người) để giải mã chữ ký số của message.
2. Dùng giải thuật băm message đính kèm.
3. So sánh kết quả thu được ở bước 1 và 2. nếu trùng nhau kết luận message này không bị thay đổi trong quá trình truyền và message này là của người gửi.
Chữ ký điện tử
Chữ ký điện tử
Dữ liệu dưới dạng điện tử (từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác)
Gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu
Có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp Dliệu được ký
Các cách tạo chữ ký điện tử:
Vân tay
Sơ đồ võng mạc
Sơ đồ tĩnh mạch trong bàn tay
ADN
Các yếu tố sinh học khác
Công nghệ mã hóa,…
Chữ ký điện tử - Tạo chữ ký số
Bản
tóm lược
Hàm băm
Gắn với
thông điệp dữ liệu
Mã hóa
Thông điệp dữ liệu
Khóa bí mật
Chữ ký số
Thông điệp dữ liệu
được ký số
Chữ ký điện tử-Thẩm định CKS
Bản
tóm lược
Hàm băm
Tách
Giải mã
Thông điệp dữ liệu
Khóa công khai
Chữ ký số
Thông điệp dữ liệu
được ký số
Giải mã được?
Không đúng người gửi
Bản
tóm lược
Giống nhau?
Nội dung thông điệp bị thay đổi
Nội dung thông điệp
tòan vẹn
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Huỳnh Phước Sang
Dung lượng: |
Lượt tài: 0
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)