🌪️ Bảo Mật Trong Thương Mại Điện Tử Là Gì

Tài liệu "Bảo mật và an toàn thông tin trong thương mại điện tử" có mã là 295967, file định dạng rar, có 84 trang, dung lượng file 2,327 kb. Tài liệu thuộc chuyên mục: Luận văn đồ án > Tổng hợp . BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG. THƯƠNG MẠI ĐIỆN TỬ. LUẬN VĂN THẠC SĨ KHOA HỌC. CÔNG NGHỆ THÔNG TIN. Bạn cần thêm luận văn tham khảo về các lĩnh vực KHTN, Y, Sư phạm, KT, Nông lâm… vui lòng liên hệ skype, yahoo: smiee1314, phone: 0945155090, or email: smie1314@gmail.com. Thanks. Read more. . BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ Thiết lập một hệ thống thương mại điện tử sao cho dễ truy cập và an toàn là công việc nghiêm túc,. số chuyên gia bảo mật cho rằng mục tiêu bảo mật chặt chẽ có thể đạt được chẳng mấy khó khăn. Sau đây là một số đề xuất File robot.txt là gì; 6 công dụng robots.txt đối với website. 1. Chặn Google trong quá trình xây dựng web; 2. Chèn Sitemap; 3. Chặn bọ quét backlink; 4. Chặn mã độc hại, nguy hiểm; 5. Chặn thư mục cần bảo mật; 6. Chặn bọ đối với trang thương mại điện tử; Hướng dẫn cách tạo TRẠNG PHÁT TRIỂN CƠNG CỤ THANH TỐN ĐIỆN TỬ TRÊN WEBSITE CỦA CÔNG TY CỔ PHẦN THỜI TRANG TINO 2.1 Khái quát công ty cổ phần thời trang TINO 2.1.1 Thu thập liệu công ty cổ phần thời trang TINO Trong 2: Thực trạng phát triển công cụ tốn điện tử website Ngày đăng: 06/03/2015, 11:11. TIỂU LUẬN MÔN THƯƠNG MẠI ĐIỆN TỬ AN NINH BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ KHÁI QUÁT CHUNG VỀ AN NINH BẢO MẬT TRONG THƯƠNG MẠI ĐiỆN TỬ • An toàn thông tin trao đổi giữa các chủ thể tham gia giao dịch. • An toàn cho các hệ thống (hệ thống máy JA55. Bảo mật thanh toán là một trong những vấn đề trọng yếu nhất của thương mại điện tử. Các vụ trộm cắp tài khoản và gian lận thanh toán đang ngày càng gia tăng trên các nền tảng giao dịch online. Bởi vậy, vấn đề an toàn và bảo mật đã trở thành mối quan tâm hàng đầu của khách hàng và yêu cầu tất yếu đối với các doanh nghiệp thương mại điện tử và bán lẻ. Trên thế giới, nhiều vụ việc nghiêm trọng liên quan đến gian lận thanh toán và tấn công mạng đã diễn ra. Vai trò của các giải pháp bảo mật thanh toán đối với an toàn thông tin của toàn bộ hệ thống ứng dụng thương mại là vô cùng quan trọng. Dưới đây là 10 giải pháp phù hợp điển hình mà các nhà phát triển các hệ thống thương mại điện tử cần lưu ý. Giải pháp bảo mật thanh toán điện tử 1. Hợp tác với một đơn vị thanh toán online Một đơn vị thanh toán chuyên nghiệp không chỉ mang lại giá trị về mặt kỹ thuật mà còn hỗ trợ doanh nghiệp vận hành và duy trì các chính sách để tuân thủ theo tiêu chuẩn PCI thông qua các hoạt động đào tạo, đánh giá rủi ro và cung cấp dịch vụ hỗ trợ khách hàng 24/7. Một số đơn vị còn cung cấp bảo hiểm trong trường hợp xảy ra gian lận do xâm nhập dữ liệu. Một ví dụ điển hình là việc Grab liên kết với ví điện tử Moca sau một khoảng thời gian tự triển khai cổng thanh toán GrabPay thất bại. Việc hợp tác với Moca giúp Grab lược bỏ được nhiều việc không cần thiết và tập trung vào phát triển số lượng đối tác và khách hàng để vượt mặt đối thủ. 2. Theo dõi các giao dịch đáng ngờ Doanh nghiệp thương mại điện tử cần nhận thức rõ ràng về “giao dịch đáng ngờ” nhằm theo dõi và phát hiện sớm các dấu hiệu gian lận. Đã từng xảy ra một vụ tổn thất từ giao dịch đáng ngờ cho một doanh nghiệp thời trang. Khi đó, khách hàng đăng nhập vào website từ địa chỉ IP cũ và thanh toán đơn hàng lớn với nhiều thẻ tín dụng khác nhau. Đây là dấu hiệu sử dụng trộm cắp và sử dụng thẻ tín dụng phi pháp, tuy nhiên – chủ cửa hàng không hề nhận biết được điều này cho đến khi tổn thất đã xảy ra hình thành. Đơn hàng lớn thường là dấu hiệu đáng ngờ, đặc biệt là đơn hàng yêu cầu vận chuyển ngay. Tuy nhiên một dấu hiệu riêng lẻ không thể khẳng định đó là giao dịch gian lận. 3. Xác thực địa chỉ đối với mọi giao dịch Đối với doanh nghiệp kinh doanh online, người mua và chủ thẻ có thể là một hoặc hai chủ thể khác nhau, do vậy việc phân tích, dự đoán điều này là rất cần thiết. Một kỹ thuật phổ biến để thực hiện việc này là xác thực địa chỉ. Hệ thống sẽ kiểm tra sự trùng khớp giữa địa chỉ thanh toán và địa chỉ của khách hàng được lưu trữ tại ngân hàng phát hành thẻ trước khi cấp phép giao dịch. Nhờ vậy, khách hàng sử dụng thẻ tín dụng bị đánh cắp sẽ không thể thực hiện giao dịch. Tuy nhiên, địa chỉ thanh toán không trùng khớp với thông tin thẻ chỉ là một dấu hiệu và không thể khẳng định giao dịch thanh toán bất hợp pháp. Bởi vậy doanh nghiệp cần phối hợp nhiều biện pháp bảo mật để xác định khách hàng xấu. 4. Mã hóa để Bảo mật thanh toán Mã hóa là phương pháp biến đổi thông tin thành dãy ký tự phức tạp và khó có thể giải mã nếu không có đầy đủ thông tin về thuật toán được sử dụng. Mã hóa cho phép truyền tải thông tin một cách an toàn và bảo mật. Mã hóa và quá trình mã hóa Mã hóa Văn bản gốc Thuật toán Bản mã Giải mã Bản mã Thuật toán Văn bản gốc Có nhiều phương thức mã hóa khác nhau, việc lựa chọn phương thức mã hóa phụ thuộc vào từng hoàn cảnh và yêu cầu cụ thể. Một số phương thức mã hóa phổ biến trong thương mại điện tử là Mã hóa khóa công khai Public key encryption và Mã hóa khóa đối xứng Symmetric key encryption. 5. Bảo mật thanh toán bằng Giao thức SSL Secure Socket Layer SSL là mô hình bảo mật thông qua kênh thanh toán, được phát triển và ứng dụng rộng rãi nhất trong thương mại điện tử hiện nay. Thông qua SSL, thông tin được mã hóa, truyền tải và xác thực giữa máy chủ và thiết bị kết nối của khách hàng thông qua liên kết TCP/IP, do đó thông tin được bảo mật toàn vẹn. Giao thức SSL được thiết kế để ngăn chặn những nỗ lực giả mạo thông tin trong quá trình truyền tải thông tin giữa các ứng dụng bằng mạng Internet. 6. Giao thức HTTPS Hypertext Transfer Protocol Secure HTTPS là Giao thức Truyền tải siêu văn bản HTTP được nâng cấp nhằm đảm bảo bảo mật trong quá trình xác thực, mã hóa khóa công khai và ký điện tử. HTTPS cho phép các website thương mại điện tử thực hiện giao dịch một cách bảo mật thông qua quy trình mã hóa giữa máy chủ và thiết bị của khách hàng. Công nghệ này là một sự nâng cấp liền mạch của HTTP với khả năng bảo mật tối ưu thông qua một cơ chế phòng vệ khác. Xem thêm HTTPS là gì? Tại sao website nên dùng HTTPS? 7. Tiêu chuẩn Giao dịch Điện tử An toàn SET Các cấu phần tham gia vào giao dịch điện tử an toàn Chủ thẻInternetDoanh nghiệpCổng thanh toánNgân hàng thanh toán thẻMạng lưới thanh toánNgân hàng phát hành thẻĐơn vị cấp phép thanh toán Tiêu chuẩn Giao dịch Điện tử An toàn SET được phối hợp ban hành bởi MasterCard và VISA với mục tiêu đảm bảo an toàn và bảo mật thông tin cho các cá nhân, tổ chức tham gia vào việc thanh toán điện tử để thực hiện giao dịch mua bán online. SET đưa ra tiêu chuẩn và quy trình xử lý giao dịch như Xác thực chủ thẻ và doanh nghiệpBảo mật dữ liệu thanh toánĐịnh nghĩa dịch vụ, nhà cung cấp dịch vụ bảo mật điện tử và giao thức bảo mật điện tử 8. Tuân thủ Tiêu chuẩn An ninh Dữ liệu Thẻ PCI DSS Hội đồng An ninh Dữ liệu Thẻ được thành lập năm 2006 với mục tiêu xác định tiêu chuẩn cho các tổ chức đang thực hiện nghiệp vụ chấp nhận, xử lý, lưu trữ và truyền tải thông tin thẻ tín dụng nhằm đảm bảo môi trường giao dịch an toàn. PCI DSS không phải là luật pháp mà là hệ tiêu chuẩn bảo mật được các tổ chức thẻ lớn trên thế giới như VISA, Mastercard, JCB, AMEX và Discover phối hợp ban hành. Đơn vị không tuân thủ PCI có thể bị xử phạt hành chính, phải trả phí thay thế thẻ, buộc thực hiện kiểm toán và gánh chịu tổn thất về mặt thương hiệu. Trụ cột của Tiêu chuẩn An ninh Dữ liệu Thẻ Mạng lưới bảo mật duy trì tường lửa để bảo vệ dữ liệu khách hàngBảo mật dữ liệu mã hóa và bảo vệ thông tin khách hàng trong quá trình truyền tảiQuản lý rủi ro đảm bảo an toàn hệ thống bằng cách nhận diện và xử lý nguy cơ tiềm ẩnQuản lý truy cập hạn chế quyền truy cập dữ liệu chủ thẻ Giám sát thường xuyên giám sát mạng lưới và theo dõi vết truy cập tài nguyên hệ thống Duy trì duy trì chính sách bảo mật “Phòng bệnh hơn chữa bệnh!”. Chi phí và nguồn lực cho việc phòng ngừa rủi ro có thể hạn chế tổn thất khổng lồ từ rủi ro mạng. 9. Màn hình đăng nhập an toàn Giao dịch thương mại điện tử bắt đầu với màn hình đăng nhập hệ thống. Như vậy thiết kế website thương mại điện tử cũng cần chú ý đặc biệt tới màn hình đăng nhập. Thiết kế một màn hình đăng nhập an toàn là việc đơn giản nhưng lại có thể giảm thiểu đáng kể nguy cơ bị tấn công do hacker xâm nhập và truy cập thông tin. 10. Chữ ký điện tử Chữ ký điện tử có ý nghĩa xác định danh tính khách hàng. Chữ ký điện tử thực chất là một phương thức mã hóa thông tin bằng đặc tính riêng có của khách hàng, được sử dụng để xác thực giao dịch. Thông tin Mã khóa cá nhân Chữ ký Mã khóa mở Một khi đã được xác lập, mối liên hệ giữa dữ liệu giao dịch và chữ ký là duy nhất và không thể thay thế bất cứ cấu phần nào. Ngay cả trong trường hợp một cấu phần bị thay thế, hệ thống sẽ tự động nhận diện chữ ký không hợp lệ. Tóm lại, chữ ký điện tử là công cụ cấp quyền giao dịch và bảo mật thông tin hữu hiệu. Lời kết Đến đây, có lẽ bất cứ doanh nghiệp nào cũng có thể nhận thấy lỗ hổng an ninh trong hệ thống của mình nếu thiếu một trong những giải pháp trên. Đây là những tiêu chuẩn cũng như giải pháp tối cần thiết khi xây dựng một website thương mại điện tử. Hệ thống thanh toán là nơi tài sản của khách hàng và doanh nghiệp được bảo vệ hoặc bị tấn công, tùy thuộc vào mức độ an toàn của website. Do đó đây là cấu phần quan trọng nhất của website thương mại điện tử. Nếu doanh nghiệp của bạn từng trải qua các cuộc tấn công mạng, hoặc cần hỗ trợ xây dựng một nền tảng giao dịch online an toàn, hãy tìm đến các chuyên gia trong lĩnh vực này để được tư vấn và triển khai giải pháp phù hợp. MỞ ĐẦU Thương mại điện tử ngày càng một lớn mạnh và trở thành một kênh giao dịch nội địa và quốc tế .Đồng hành với sự phát triển của TMĐT là sự xuất hiện ngày càng nhiều của các hành vi gian lận trên Internet về cả số lượng và cách thức. Bởi vì, lợi nhuận từ TMĐT luôn là một nguồn thu nhập hấp dẫn đối với các tên tội phạm khi mà còn có nhiều doanh nghiệp thiếu kiến thức lẫn ý thức về bảo mật trong TMĐT cùng với khung luật pháp cho loại tội phạm này còn chưa đầy đủ. Vấn đề bảo mật, an toàn trên mạng là một trong những vấn đề nóng hổi trong hoạt động thực tiễn của Thương mại điện tử. Bài thuyết trình về “An toàn và bảo mật thông tin trong thương mại điện tử” sẽ trình bày về những vấn đề cơ bản và thực trạng hiện nay, đồng thời cũng nêu ra một số biện pháp phòng tránh bảo vệ chúng ta khi tham gia vào các họat động thương mại điện tử. Các câu hỏi thường được đặt ra +Thương mại điện tử có an toàn không? Nếu có thì tại sao nhiều người vẫn e ngại khi thanh toán qua Internet? + Làm thế nào để người tiêu dùng yên tâm về tính an toàn và độ bảo mật thông tin của các giao dịch trên Internet? + Những việc khác cần làm để bảo vệ khách hàng trên mạng? Làm thế nào để tôi có thể bảo vệ khách hàng của mình và giành được sự tin cậy của họ? +Làm thế nào để bảo vệ mình khỏi bị lừa đảo khi sử dụng thương mại điện tử? +Doanh nghiệp cần làm gì để bảo mật thông tin cũng như an toàn cho hệ thống trước các nguy cơ từ mạng máy tính. Page 1 vấn đề an toàn và mật cơ bản đặt ra trong TMĐT Từ góc độ người sử dụng -làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp? -àm sao biêt được trang web này không chứa đựng những nội dung hay mã chương trình nguy hiểm? - Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ 3 Từ góc độ doanh nghiệp - Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web hoặc website? -Làm sao biết được làm gián doạn hoạt động của server? Từ cả hai phía -Làm sao biết được không bị nghe trộm trên mạng? -Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi? Các khía cạnh của an ninh TMĐT Tính toàn vẹn thông tin không bị thay đổi trong quá trình truyền và nhận tin,thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi người không được phép. Chống phủ định các bên tham gia không phủ định hành động trực tuyến mà họ đã thực hiện. Chống phủ định liên quan đến khả năng đảm bảo rằng các bên tham gia thương mại điện tử không phủ định các hành động trực tuyến mà họ đã thực hiện. Chẳng hạn như một người có thể dễ dàng tạo lập một hộp thư điện tử qua một dịch vụ miễn phí, từ đó gửi đi những lời phê bính, chỉ trích hoặc các thông điệp và sau đó lại từ chối những việc làm này. Thậm chí, một khách hàng với tên và địa chỉ thư điện tử có thể dễ dàng đặt hàng trực tuyến và sau Page 2 đó từ chối hành động mà mình đã thực hiện. Trong hầu hết các trường hợp như vậy, thông thường người phát hành thẻ tín dụng sẽ đứng về phía khách hàng vì người bán hàng không có trong tay bản sao chữ ký của khách hàng cũng như không có bất cứ bằng chứng hợp pháp nào chứng tỏ khách hàng đã đặt hàng mình. Và tất nhiên, rủi ro sẽ thuộc về người bán hàng. Tính xác thực có thể khiếu nại được.. Tính xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên Internet, như làm thế nào để khách hàng chắc chắn rằng, các doanh nghiệp bán hàng trực tuyến là những người có thể khiếu nại được; hay những gì khách hàng nói là sự thật ; làm thế nào để biết được một người khi khiếu nại có nói đúng sự thật, có mô tả đúng sự việc hay không?.. Tính tin cậy Tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị. Trong một số trường hợp, người ta có thể dễ nhầm lẫn giữa tính tin cậy và tính riêng tư. Thực chất, đây là hai vấn đề hoàn toàn khác nhau. Tính riêng tư thông tin không bị cung cấp cho bên thứ ba sử dụng trái phép. Tính riêng tư liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá nhân mà khách hàng cung cấp về chính bản thân họ. Có hai vấn đề mà người bán hàng phải chú ý đối với tính riêng tư. Người bán hàng cần thiết lập các chính sách nôi bộ để có thể quản lý việc sử dụng các thông tin về khách hàng. Họ cần bảo vệ các thông tin đó tránh sử dụng vào những mục đích không chính đáng hoặc tránh sử dụng trái phép các thông tin này. Ví dụ, khi tin tặc tấn công vào các website thương mại điện tử, truy nhập các thông tin về thẻ tín dụng và các thông tin khác của khách hàng, trong trường hợp đó, không chỉ xâm phạm đến tính tin cậy của dữ liệu mà còn vi phạm riêng tư của các cá nhân, những người đã cung cấp các thông tin đó. Page 3 Tính lợi ích Tính ích lợi liên quan đến khả năng đảm bảo các chức năng của một website thương mại điện tử được thực hiện đúng như mong đợi. Đây cũng là vấn đề mà các website hay gặp phải và là trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tuyến trên Internet. Tóm lại, vấn đề an toàn trong thương mại điện tử đựơc xây dựng trên cơ sở bảo vệ sáu khía cạnh trên, khi nào một trong số các khía cạnh này chưa được đảm bảo, sự an toàn trong tThương mại điện tử vẫn coi như chưa được thực hiện triệt để. Như vậy, an toàn trong thương mại điện tử, trong một môi trường kinh doanh chứa đựng nhiều rủi ro, luôn là một vấn đề quan trọng và xuyên suốt trong quá trình hoạt động của doanh nghiệp thương mại điện tử nhất là khi thương mại điện tử đang phát triển mạnh mẽ II. Xây dựng chính sách bảo mật Có thể nói, một hệ thống có chính sách bảo mật hợp lý là biện pháp tốt nhất để đảm bảo an toàn mạng. Việc xây dựng một chính sách bảo mật là công việc cần thiết nhằm thiết lập các khung chính sách nhằm đảm bảo an toàn cho hệ thống, đồng thời đảm bảo hệ thống ổn định và có tính thực thi cao, có khả năng chống lại những cuộc tấn công từ bên ngoài lẫn bên trong. 1. Những chuẩn bị cần thiết Nhiệm vụ đầu tiên trong các bước xây dựng một chính sách bảo mật là xác định được mục tiêu cần bảo mật. Điều này giúp cho nhà quản trị biết được trách nhiệm trong việc bảo vệ tài nguyên của bản thân hoặc của tổ chức trên mạng. Ngoài ra, nó còn giúp cho nhà quản trị thiết lập được các biện pháp đảm bảo hữu hiệu tron quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống. Những mục tiêu bảo mật mà một nhà quản trị hệ thống cần đạt được bao gồm -Xác định đối tượng cần bảo vệ. Page 4 -Xác định được nguy cơ đối với hệ thống. -Xác định được phương án thực thi chính sách bảo mật. a. Xác định đối tượng cần bảo vệ Trong một hệ thống, người quản trị phải biết được đối tượng nào là quan trọng, đối tượng nào là không quan trọng để đưa ra một phương pháp bảo mật tương xứng. Nghĩa là, người quản trị phải xác định rõ độ ưu tiên của từng đối tượng cần bảo vệ. Trước hết, liệt kê tất cả các đối tượng cần được bảo vệ trong hệ thống, thường bao gồm các máy chủ dịch vụ, các router, các điểm truy cập hệ thống, tài nguyên, các chương trình ứng dụng, cơ sở dữ liệu trong hệ thống… b. Xác định nguy cơ đối với hệ thống cần bảo vệ Các nguy cơ đối với hệ thống thông thường là các lỗ hổng bảo mật trong các dịch vụ do hệ thống đó cung cấp. Nếu xác định được chính xác lỗ hổng bảo mật có thể giúp tránh được các cuộc tấn công hay ít ra tìm được một phương pháp bảo vệ đúng đắn. Thông thường, các lỗ hổng bảo mật này nằm trong một số các thành phần sau của hệ thống -Các điểm truy cập hệ thống. -Các nguy cơ trong nội bộ một mạng. -Các phần mềm ứng dụng. -Không kiểm soát được cấu hình hệ thống. c. Xác định các phương án thực thi chính sách bảo mật Sau khi thiết lập được một chính sách bảo mật, người quản trị cần thực hiện bước tiếp theo, đó là lựa chọn cho mình các phương án thực thi một chính sách bảo mật. Một chính sách bảo mật là hoàn hảo khi nó có tính thực thi cao. Để đánh giá tính thực thi người ta đưa ra các tiêu chí sau Page 5 -Tính đúng đắn. -Tính thân thiện. -Tính hiệu quả. Tính đúng đắn là tiêu chí quan trọng nhất để chọn lựa một chính sách bảo mật. Tiêu chí này sẽ đảm bảo cho sự thành công của chính sách bảo mật đó. Chẳng hạn, nếu một hệ thống thường xuyên có các nguy cơ bị tấn công từ bên ngoài thì tính đúng đắn thể hiện ở việc chính sách này cần đảm bảo kiểm soát được các truy cập của khách hàng vào hệ thống bằng việc dựng các thủ tục quản lý tài khoản người dùng chặt chẽ. Tính thân thiện cũng là một tiêu chí cần thiết. Một chính sách bảo mật cần thiết lập ra các công cụ bảo mật thân thiện với người quản trị và dễ dàng thực thi các chính sách bảo mật. Đồng thời, tính thân thiện còn đảm bảo các biện pháp bảo mật trên hệ thống không làm khó hoặc bất tiện đối với người dùng. Chẳng hạn, những chính sách nhằm kiểm tra tính hợp lệ khi khách hàng truy cập vào hệ thống, những chính sách về bảo vệ mật khẩu như yêu cầu khách hàng xác nhận mật khẩu của mình theo định kỳ đều phải dễ dàng và ai cũng có thể chấp nhận, không gây khó khăn cho họ. Tính hiệu quả thường được người quản trị quan tâm đến. Một chính sách bảo mật có thể đảm bảo hệ thống an toàn, tin cậy nhưng cần có chi phí quá cao so với lợi nhuận mà hệ thống mang lại thì không có tính khả thi vì vậy nó không hiệu quả. Đánh giá tính hiệu quả của một chính sách bảo mật cần có thời gian, dựa trên những lợi ích mà nó mang lại trong thời gian hoạt động. 2. Thiết lập các quy tắc bảo mật Người sử dụng đóng vai trò quan trọng trong quá trình thực thi một chính sách bảo mật. Về phía người dùng, họ luôn mong tính đơn giản và dễ Page 6 dàng đối với các thủ tục. Do đó, khi xây dựng các chính sách bảo mật, một mặt phải đảm bảo chính sách đó không cản trở người sử dụng. Mặt khác cần làm cho người sử dụng nhận thức được tầm quan trọng của các chính sách bảo mật và có trách nhiệm bảo vệ nó. Người sử dụng cần lưu ý đến một số công việc sau -Hãy sử dụng tài khoản hợp lệ. -Quản lý tài khoản. Bao gồm các hoạt động bảo vệ mật khẩu, thay đổi mật khẩu định kỳ, sử dụng các phần mềm bảo vệ máy trạm người sử dụng, đăng suất sau một thời gian time – out. -Có khả năng phát hiện tài khoản sử dụng trái phép. Người sử dụng cần được huấn luyện về các cách phát hiện tài khoản của mình bị sử dụng trái phép. -Có thói quen lập báo cáo khi gặp sự cố. Cần có thói quen thông báo các sự cố đến các nhà quản trị hệ thống. Về phía nhà quản trị hệ thống nên xây dựng một báo cáo mẫu cho người sử dụng. a. Các thủ tục đối với các hoạt động truy cập không hợp lệ Để phát hiện các hoạt động truy cập không hợp lệ, người quản trị cần sử dụng một số công cụ. Các công cụ này có thể đi kèm theo hệ điều hành hoặc từ các nhà sản xuất phần mềm. Sau đây là một số quy tắc sử dụng các công cụ phát hiện truy cập không hợp lệ -Các công cụ như công cụ theo dõi các file đăng nhập. -Sử dụng công cụ giám sát khác như sử dụng tiện ích về mạng để theo dõi các lưu lượng tài nguyên trên mạng nhằm phát hiện những điểm nghi ngờ. -Xây dựng kế hoạch giám sát. Do có nhiều công việc phải giám sát nên việc lên kế hoạch là cần thiết. Kế hoạch giám sát có thể được lập Page 7 thông qua các công cụ trên hệ thống như cron, schedule. Kế hoạch cũng phải đảm bảo các công cụ giám sát không chiếm nhiều tài nguyên của hệ thống. -Tạo báo cáo từ các thông tin giám sát. Các báo cáo đăng nhập có thể giúp người quản trị phát hiện ra những điểm yếu của mạng, đồng thời dự báo hướng phát triển của mạng trong tương lai. Sau khi thực hiện các bước trên và nếu xác định hệ thống của bạn đang bị tấn công, bạn hãy thực hiện các công việc cần thiết sau -Xác định mức độ nguy hiểm, ảnh hưởng của nó tới hệ thống. -Xác định hành động phá hoại, kiểu tấn công, thiệt hại nếu có. -Nếu cần, nhờ luật pháp can thiệp. -Chú ý rằng, khi phân tích các file đăng nhập, bạn cần chú ý một số quy tắc sau o So sánh các hoạt động trong file log với các cuộc đăng nhập trong quá khứ. Đối với các hoạt động thông thường, các thông tin trong file log thường có chu kỳ giống nhau. o Nhiều hệ thống sử dụng các thông tin trong file đăng nhập tạo hóa đơn cho khách hàng. Người quản trị có thể dựa vào các thông tin trong hóa đơn thanh toán để xem xét các truy cập không hợp lệ nếu có những điểm bất thường như thời điểm truy cập hay số điện thoại lạ. o Dựa vào các tiện ích như syslog để xem xét. Đặc biệt là các thông báo lỗi login không hợp lệ trong nhiều lần. o Dựa vào các tiện ích kèm theo hệ điều hành để theo dõi các tiến trình hoạt động trên hệ thống, nhằm phát hiện các tiến trình lạ những chương trình khởi tạo không hợp lệ. Page 8 b. Thủ tục quản lý tài khoản người dùng Thủ tục quản lý tài khoản người dùng là hết sức quan trọng để chống lại các truy cập hệ thống không hợp lệ. Một số thông tin cần thiết khi quản lý tài khoản người dùng bao gồm -Đối tượng nào có thể truy cập vào hệ thống? -Một tài khoản sẽ tồn tại trong thời gian bao lâu trên hệ thống? -Những đối tượng nào có quyền truy cập hệ thống? Những biện pháp bảo vệ tài khoản người dùng -Giám sát chặt chẽ hệ thống quản lý truy cập người dùng như hệ thống quản lý người dùng trên Windows NT là Database Management users, còn trên Unix là file /ect/paswwd. -Đối với một vài dịch vụ cho phép sử dụng các tài khoản mà không cần mật khẩu hoặc mật khẩu dùng chung, hay người dùng có thể sử dụng tài khoản guest để truy cập hệ thống thì cần xác định rõ những tác động của nó đối với hệ thống. -Kiểm soát chặt chẽ các quyến sử dụng tài khoản trên hệ thống,không sử dụng quyền root trong các trường hợp không cần thiết. Đối với các tài khoản không còn sử dụng trên hệ thống thì bạn cần thay đổi mật khẩu hoặc hủy bỏ. -Ngoài ra, nên có các biện pháp khác hạn chế tài khoản truy cập theo thời điểm, địa chỉ máy trạm, các thông tin tài khoản không rõ ràng, hợp lệ. c. Các thủ tục quản lý mật khẩu Trong hầu hết các hệ thống hiện nay đều xác thực truy cập qua mật khẩu người dùng. Vì vậy, các thủ tục quản lý mật khẩu là hết sức quan trọng. Các thủ tục quản lý mật khẩu bao gồm Page 9 -Lựa chọn mật khẩu mạnh. Một số quy tắc lựa chọn mật khẩu o Không sử dụng chính username làm mật khẩu. o Không sử dụng thông tin liên quan đến cá nhân người dùng làm mật khẩu như tên chính mình, tên người thân, ngày sinh, số điện thoại, biển số xe… o Nên kết hợp giữa các ký tự là số và ký tự chữ. o Nên sử dụng loại mật khẩu có độ dài vừa đủ 12 ký tự, không nên quá ngắn dễ bị hack hoặc quá dài khó nhớ. -Cần có chính sách buộc người sử dụng thay đổi mật khẩu sau một khoảng thời gian nhất định. Hầu hết các hệ thống đểu hỗ trợ cơ chế này, nếu không thay đổi mật khẩu, tài khoản sẽ không còn giá trị trong hệ thống. -Trong trường hợp mất mật khẩu, để cấp lại mật khẩu mới cần có các thủ tục để xác thực người sử dụng. -Cần giám sát, theo dõi chặt chẽ các chương trình đổi mật khẩu. d. Thủ tục quản lý cấu hình hệ thống Các thủ tục quản lý hệ thống cần xác định rõ ai là người có quyền hợp lệ thay đổi cấu hình hệ thống, và những thay đổi phải được thông báo đến nhà quản lý. Trong các thủ tục quản lý cấu hình hệ thống cần xác định rõ một số thông tin như -Vị trí lưu các file cấu hình chuẩn. -Quy trình quản lý mật khẩu root. -Các thuật toán mã hóa mật khẩu đang sử dụng. e. Thủ tục sao lưu và khôi phục dữ liệu Sao lưu dữ liệu cũng là một công việc quan trọng. Nó không chỉ để phòng chống đối với các sự cố về hệ thống phần cứng mà còn có thể giúp Page 10 nhà quản trị khôi phục lại dữ liệu nếu hệ thống bị tấn công và thay đổi hệ thống hoặc làm mất dữ liệu. Nếu không có dữ liệu sao lưu sẽ không thể khôi phục lại hệ thống khi nó bị tấn công. Nhà quản trị cần xây dựng một kế hoạch cụ thể cho công tác sao lưu dữ liệu, xác định các phương pháp sao lưu sao cho hiệu quả nhất. Nhà quản trị có thể sao lưu theo định kỳ. Tùy vào tầm quan trọng của dữ liệu trên hệ thống mà chu kỳ có thể thay đổi, co thể theo tháng, tuần thậm chí ngày. f. Thủ tục báo cáo sự cố Cần xây dựng các mẫu báo cáo chuẩn đến những người sử dụng trong hệ thống. Các mẫu này sẽ được những người sử dụng điền vào và gửi đến nhà quản trị hệ thống để họ có thể khắc phục kịp thời. Đối với người sử dụng, nếu phát hiện tài khoản của mình bị tấn công, họ cần thông báo ngay đến nhà quản trị thông qua các bản báo cáo. Họ có thể gửi qua email hoặc điện thoại. 3. Hoàn thiện chính sách bảo mật Sau khi thiết lập và cấu hình được một chính sách bảo mật hệ thống, nhà quản trị cần kiểm tra lại tất cả và đánh giá chính sách bảo mật này một cách toàn diện trên tất cả các mặt cần được xét đến. Bởi một hệ thống luôn có những biến động về cấu hình, các dịch vụ sử dụng, và ngay cả hệ điều hành mà hệ thống sử dụng hoặc các thiết bị phần cứng cũng có thể biến động. Bởi vậy, nhà quản trị cần phải luôn luôn rà soát, kiểm tra lại chính sách bảo mật trên hệ thống của mình để phù hợp với thực tế hiện hành. Ngoài ra, việc kiểm tra và đánh giá chính sách bảo mật còn giúp cho nhà quản trị có kế hoạch xây dựng mạng lưới hệ thống hiệu quả hơn. Công việc kiểm tra đánh giá được thực hiện thường xuyên liên tục chứ không thực hiện một lần rồi thôi. Thông thường, kết quả của một chính Page 11 sách bảo mật thể hiện rõ nhất ở chất lượng dịch vụ mà hệ thống đó cung cấp. Nhà quản trị có thể dựa vào đó để kiểm tra và đánh giá chính sách bảo mật có hợp lý hay không và cần thay đổi những gì. Sau đây là một số tiêu chí để đánh giá một chính sách bảo mật -Có tính khả thi và thực thi cao. -Có thể nhanh chóng phát hiện và ngăn ngừa các hoạt động tấn công. -Có các công cụ hữu hiệu và đủ mạnh để hạn chế hoặc chống lại các cuộc tấn công vào hệ thống. Từ các hoạt động đánh giál, kiểm tra đã nêu, các nhà quản trị hệ thống có thể rút ra những kinh nghiệm nhằm cải thiện hoặc hoàn thiện chính sách bảo mật mà họ đã tạo ra. Công việc cải thiện chính sách bảo mật có thể làm giảm sự cồng kềnh của hệ thống, giảm độ phức tạp, tăng tính thân thiện đối với người dùng, đơn giản công việc hay kiểm soát chặt chẽ hơn hệ thống đã xây dựng. Tất nhiên, những hoạt động hoàn thiện chính sách bảo mật phải diễn ra trong suốt thời gian tồn tại của hệ thống để phù hợp với yêu cầu thực tế. IV. Bảo mật thông tin 1. Mục tiêu của bảo mật thông tin Mục tiêu của bảo mật thông tin là bảo vệ ba thuộc tính của thông tin -Tính bí mật. -Tính toàn vẹn. -Tính sẵn sàng. Tính bí mật thông tin là một điều quan trọng. Vì đôi khi, thông tin chỉ được phép xem bởi những người có thầm quyền. Lý do cần phải giữ bí mật thông tin vì đó là sản phẩm sở hữu của tổ chức, những thông tin nhạy cảm, Page 12 quan trọng hay được giữ bí mật dựa trên những điều khoản giữa tổ chức và khách hàng của tổ chức. Tính toàn vẹn dữ liệu yêu cầu các thông tin không bị làm sai hỏng, suy biến hay thay đổi. Việc tiếp nhận và đưa ra quyết định dựa trên các thông tin đã bị biến đổi sẽ gây ra những thiệt hại nghiêm trọng. Tính sẵn sàng yêu cầu thông tin phải có khi người có thẩm quyền yêu cầu. Thiếu đi tính sẵn sàng thông tin sẽ mất đi giá trị của nó. Tấn công vào tính bảo mật của thông tin là làm lộ ra các thông tin không được phép truy cập. Tấn công và tính toàn vẹn có thể phá hoại hay thay đổi thông tin. Tấn công vào tính sẵn sàng gây nên sự từ chối dịch vụ hệ thống. Tất nhiên có những dạng tấn công gây hư hại cho hệ thống mà không ảnh hưởng tới một trong ba thuộc tính trên. Tương tự với ba thuộc tính của thông tin, bảo mật thông tin bao gồm -Bảo vệ tính bí mật. -Bảo vệ tính toàn vẹn. -Duy trì tính sẵn sàng. Và tất nhiên, quá trình bảo mật nào cũng cần có kế hoạch. Một kế hoạch thich hợp có thể làm giảm rủi ro và giảm thời gian tối đa cho việc phòng ngừa, phát hiện và chống đỡ các cuộc tấn công. 2. Các giai đoạn của quá trình bảo mật thông tin Bảo mật thông tin là một quá trình trải qua các giai đoạn xây dựng và củng cố trong một thời gian dài. Quá trình bảo mật không bao giờ xác định được đích đến tuyệt đối. Nói cách khác, việc bảo mật cho một hệ thống diễn ra thường xuyên, liên tục, không ngừng nghỉ. Tuy nhiên, bạn có thể chia chúng ra làm ba giai đoạn khá rõ ràng -Phòng ngừa. Page 13 -Phát hiện tấn công. -Đối phó với những cuộc tấn công. Mỗi giai đoạn yêu cầu kế hoạch và hành động để chuyển qua giai đoạn kế tiếp. Sự thay đổi ở một giai đoạn có thể ành hưởng tới toàn bộ quá trình. a. Phòng ngừa Thực hiện những công việc sau có thể giúp cho hệ thống của bạn có sức đề kháng cao hơn với những cuộc tấn công -Đưa ra chính sách an toàn thông tin. -Giáo dục nhận thức về bảo mật. -Điều khiển quá trình truy cập. Xây dựng chính sách an toàn thông tin là xác định những gì cần bảo vệ, mức độ bảo vệ đối với từng đối tượng. Đông thời chính sách cũng xác định trách nhiệm của tổ chức, kỷ luật cần thi hành, sự kiểm tra xem xét lại đối với quá trình bảo mật. Giáo dục nhận thức về bảo mật là quá trình giáo dục nhân viên về tầm quan trọng của bảo mật, cách sử dụng các công cụ đo lường bảo mật, các thủ tục báo cáo về vi phạm chế độ bảo mật và trách nhiệm chung của nhân viên khi thực thi chính sách an toàn thông tin. Đi kèm với việc giáo dục, nên có một chế độ khen thưởng các nhân viên thực hiện tốt việc học tập. Điều khiển quá trình truy cập. Một người dùng không thể truy cập vào tất cả các hệ thống của tổ chức, cũng như không thể truy cập tất cả các thông tin trên hệ thống họ đang truy cập. Để thực hiện được điều này cần có sự quản lý truy cập. Quản lý truy cập dựa trên phương pháp định danh và xác thực.  Định danh là số nhận dạng duy nhất, đó là những gì một user máy khách, người, phần mềm ứng dụng, phần cứng, mạng sử dụng để Page 14 phân biệt nó với các đối tượng khác. Một user dùng định danh để tạo ra dấu hiệu nhận biết anh/ chị là ai. Định danh được tạo ra cho user không được phép chia sẻ với bất kỳ user hay nhóm user nào khác. User sử dụng định danh để truy cập đến các tài nguyên cho phép.  Xác thực là quá trình xác nhận tính hợp lệ đối với một định danh. Khi một người trình diện định danh của mình, quyền truy cập và định danh đó phải được xác thực. Xác thực đảm bảo một mức độ tin cậy bằng ba nhân tố sau o Những gì bạn biết. Mật khầu là cách được sử dụng thường xuyên nhất. Tuy nhiên, một cụm từ bí mật hay số PIN có thể được sử dụng. Đây là kiểu xác thực một nhân tố. o Những gì bạn có. Nhân tố xác thực này sử dụng những gì bạn có, chẳng hạn như một tấm thẻ nhận dạng, thẻ thông minh. Những vật này đòi hỏi người sử dụng phải sở hữu một vật gì đó để làm vật xác nhận. Đây là một xác thực tin cậy hơn, đòi hỏi hai nhân tố, chẳng hạn như những gì bạn biết với những gì bạn có thể nhận thức. Kiểu xác thực này được biết dưới cái tên gọi là xác thực hai nhân tố hay xác thực nhiều mức. o Những gì đại diện cho bạn. Đây là nhân tố xác thực tốt nhất. Đại diện cho bạn có thể là dấu tay, võng mạc hay AND. Việc đo lường các nhân tố này gọi là trắc sinh học. Quá trình xác thực tốt nhất này đòi hỏi cả ba nhân tố. Các máy móc hoặc ứng dụng có độ bảo mật cao sẽ dùng ba nhân tố để xác thực user. b. Phát hiện tấn công Không có một giải pháp bảo mật nào là hoàn hảo cho mọi tình huống. Việc biết được khi nào hệ thống bị tấn công và bị tấn công như thế nào để có Page 15 biện pháp chống đỡ cụ thể là rất quan trọng. Việc phát hiện hiểm họa dựa trên cơ sở bảo vệ theo lớp. Như vậy, khi một lớp bị hỏng thì hệ thống sẽ được biết và được báo động. Yếu tố quan trọng nhất trong biện pháp này là sự phát hiện đúng lúc và khả năng báo trước nguy hiểm. Hệ thống phát hiện xâm nhập IDS sẽ được sử dụng cho mục đích này. Hệ thống IDS có khả năng kiểm soát các hoạt động của hệ thống và thông báo cho người chịu trách nhiệm khi hoạt động đó cần kiểm tra chứng thực. Hệ thống có thể dò tìm dấu vết tấn công, những thay đổi trên tập tin, cấu hình và các hoạt động khác của hệ thống giống như một thiết bị cảnh báo cháy thông minh có thể báo động được hỏa hoạn, chỉ ra nơi xuất phát đám cháy, đường dẫn và thông báo cho các trạm cứu hỏa. Vấn để ở đây là, IDS phải đủ thông minh để phân biệt được sự khác nhau giữa một hoạt động bình thường và hoạt động nguy hại cho hệ thống, giống như việc phân biệt được hỏa hoạn thật sự với việc nấu nướng bình thường. Điều này có thiên hướng là một nghệ thuật hơn là khoa học. Công cụ dò tìm IDS có thể được đặt ở một chỗ hợp lý trên mạng và trên tầng ứng dụng, có thể được điều chỉnh để làm việc với một mạng hay một máy chủ cụ thể. Quá trình điều chỉnh IDS là ghi nhận cho nó một đe dọa biết trước, kiểu xâm phạm, phương pháp và quá trình thâm nhập. c. Đối phó với tấn công Để quá trình phát hiện tấn công có giá trị thì phải có một đáp ứng đúng lúc. Đáp ứng này cần được lên kế hoạch từ trước. Việc đưa ra quyết định quan trọng hay xây dựng một chính sách đối phó tấn công trong khi đang bị tấn công là một phương pháp không tốt lắm. Có hai hướng giải quyết chính cho việc đối phó với tấn công Page 16 Một là cắt bỏ các kết nối trái phép, loại trừ tận gốc nguyên nhân của hiểm họa và khôi phục lại hệ thống. Phương pháp tiếp cận này mang tính khả thi nhiều hơn khi thực thi nhiệm vụ với các máy tính mạnh và thời gian khôi phục hợp lý. Đây cũng là phương pháp ưa thích của một tổ chức. Hai là theo dõi và bắt giữ kẻ phá hoại. Người quản trị phải xem xét mỗi giải pháp trong từng trường hợp cụ thể và giải quyết theo thực tế. 3. Thế nào là một hệ thống an toàn thông tin? Ở trên, chúng ta đã bàn về các giai đoạn bảo mật thông tin. Rất nhiều hiểm họa đang rình rập bên ngoài, nguy cơ bị mất thông tin khi truyền trên mạng là thường xuyên. Chẳng hạn, việc thanh toán bằng thẻ tín dụng thông qua dịch vụ web sẽ gặp một số rủi ro sau - Thông tin từ trình duyệt web của khác hàng ở dạng thuần văn bản nên có thể bị lọt vào tay kẻ khác. - Trình duyệt web của khách hàng không thể xác định được máy chủ mà mình trao đổi thông tin có phải là thật hay chỉ là một website giả mạo. - Không ai có thể đảm bảo được dữ liệu truyền đi có bị thay đổi hay không. Vì vậy, các hệ thống cần có cơ chế đảm bảo an toàn trong quá trình giao dịch điện tử. Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng các yêu cầu sau -Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi là không bị đánh cắp. -Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, giả mạo. -Hệ thống phải có khả năng kiểm tra tính toàn vẹn dữ liệu. III Gian lận trong TMĐT Page 17 1. Gian lận trong TMĐT là gì? Tất cả các hành vi gian lận thanh toán trên Internet đều bắt nguồn từ việc lấy trộm các thông tin nhận dạng thương nhân và người tiêu dùng. Nó còn phụ thuộc vào khả năng truy cập vào các hệ thống thanh toán để thực hiện các hành vi gian lận. Kết quả là hàng hóa bị lấy trộm, thông tin nhận dạng bị lấy trộm, và tiền bị lấy trộm. a. Giả mạo các thông tin nhận dạng của khách hàng Thông tin thẻ tín dụng có thể bị lấy trộm bằng nhiều cách khác nhau, không phải tất cả đều được thực hiện trực tuyến. Trớ trêu thay, một nguồn thông tin phổ biến bị lấy trộm là qua những giấy biên nhận thẻ tín dụng được bỏ đi. Những giấy biên nhận này thường bao gồm số thẻ tín dụng cùng với ngày giá hạn thẻ, thông tin của hầu hết các giao dịch thẻ tín dụng qua điện thoại và trực tuyến. Các tên tội phạm còn sử dụng sự trợ giúp của các “skimmer” để quyết dưới dạng kỹ thuật số các số thẻ tín dụng trong vài giây để tách ra khỏi các thẻ tín dụng. Cuối cùng, các tên tội phạm có thể có được thông tin thẻ tín dụng ảo bằng cách xâm nhập vào trong cơ sở dữ liệu của khách hàng thông qua các web cấu hình sai hay những lỗ hỏng khác của hệ thống, shopping cart hay nhà cung cấp máy chủ. Các tên tội phạm máy tính còn biết cách sử dụng các công nghệ phụ trợ. Nhưng chương trình mã hóa tự động được gọi là “spiders” hay “port scans” cho phép các tên tội phạm nhận ra được những điểm yếu trong hệ thống của bạn. Với thông tin thẻ tín dụng đánh cắp được, tội phạm có thể dùng nó để mua hàng hóa, dịch vụ. Hành vi đó được gọi là “product thieft – ăn trộm hàng hóa”. Thông tin thẻ tín dụng còn có thể được kết nối với các thông tin về địa chỉ và số phúc lợi xã hội có giá trị để mở các thẻ tín dụng mới với tên và địa chỉ của tội phạm. Hành vi này được gọi là “consumer identity theft – Page 18 ăn trộm thông tin nhận dạng người dùng” và có thể phá hỏng nghiêm trọng hồ sơ thẻ tín dụng của người tiêu dùng. b. Giả mạo thông tin nhận dạng người bán Cũng giống như các tội phạm ngoại tuyến xâm nhập vào một két tiền, các tên tội phạm trực tuyến cũng xâm nhập vào két tiền ảo của bạn bằng cách ăn trộm thông tin truy cập của bạn để mạo danh bạn. Hành vi đó được gọi là “merchant indentity theft – ăn trộm thông tin nhận dạng người bán”. Tương tự với hành vi ăn trộm thông tin của người tiêu dùng, các tên tội phạm cũng có thể có được thông tin của người bằng nhiều nguồnl, ngoại tuyến cũng như trực tuyến. Kẻ trộm có thể là người trong nội bộ, người làm công hay các khách truy cập rất đơn giản chỉ việc sao chép các thông tin truy cập và mật khẩu từ những tờ giấy nhắn gắn trên các bàn máy tính. Các tên tội phạm cũng có thể lẻn vảo trụ sở hay những nơi để giấy tờ để ăn trộm những thông tin này. Ăn trộm thông tin người bán trực tuyến liên quan đến việc tấn công vào cơ sỏ dữ liệu của bạn hay các hệ thống back – end để lấy trộm thông tin người sử dụng của tài khoản payment gateway. Thông tin này được sử dụng trái phép để truy cập vào tài khoàn payment gateway của bạn, còn được gọi là “merchant account takeover – sự tiếp quản merchant account” hay”hijacking – vụ cướp bóc”. Việc tiếp quản tài khoản cho phép bọn tội phạm lấy trộm tiền trực tuyến từ công ty bạn bằng cách phát hành các thẻ tín dụng hay các giấy tờ thanh toán khác cho chúng. c. Truy cập vào các hệ thống thanh toán Các thông tin nhận dạng là mục tiêu nhắm đến đầu tiên của các hành vi gian lận thanh toán trên Internet, nhưng các tên tội phạm cần phải truy cập Page 19 vào được các hệ thống thanh toán để thực hiện gian lận. Các tên tội phạm truy cập vào hệ thống thanh toán thông qua hai kênh chính -Trang checkout trên website của bạn. -Tài khoản payment gateway của bạn. Trang checkout của bạn là một địa chỉ chung cho tất cả mọi người trên toàn cầu, 24 giờ trong ngày, 7 ngày trong tuần. Điểm nổi bật của một trang checkout là bạn có thể giao dịch với bất kỳ ai trên toàn thế giới và cửa hàng của bạn luôn luôn mở cửa. Nhưng những tiện lợi này lại nảy sinh ra các vấn đề về an toàn. Trong một mưu đồ gian lận quen thuộc, bọn tội phạm truy cập vào trang checkout của bạn để thử nghiệm các số thẻ tín dụng lấy trộm được để xem chúng có còn giá trị hay không, hành vi này gọi là “carding”. Mưu đồ gian lận khác liên quan đến việc sử dụng “generator”, hay các chương trình phần mềm tự động tạo ra và đăng ký các số thẻ giả mạo cho đến khi họ truy cập vào được một số thẻ tín dụng có thật. Không có các chương trình kiểm soát sự an toàn riêng, trang checkout của bạn rất có thể trở thành một điểm đến hấp dẫn đối với bọn tội phạm. Các hành vi gian lận tinh xảo hơn liên quan đến việc tiếp quản quyền kiểm soát cơ sở hạ tầng thanh toán của bạn. Bằng các hành vi merchant account takeover hay hijacking, các tên tội phạm sử dụng thông tin nhận dạng người bán để giả mạo bạn. Ngay khi vào được bên trong tài khoản của bạn, chúng hoàn toàn giành quyền kiểm soát và có thể sử dụng khả năng truy cập này để ăn trộm tiền hay thực hiện các hành vi phạm tội khác. Việc lấy trộm tiền rất đơn giản, ngay khi truy cập vào payment gateway của bạn, bọn tội phạm chuyển tiền từ tài khoản của bạn tới tài khoản của chúng. Bọn tội phạm còn có thể sử dụng payment gateway của bạn để lấy được các thẻ tín dụng có giá trị sử dụng trong những hành vi gian lận khác. Thực vậy, qua Page 20 Bảo mật thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc. An ninh thông tin cũng như sự bảo mật an toàn thông tin nói chung. Việc bảo mật tốt những dữ liệu và thông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp của niệm bảo mật thông tin Bảo mật thông tin là duy trì tính bảo mật, tính toàn vẹn toàn diện và tính sẵn sàng cho toàn bộ thông tin. Ba yếu tố không thể tách rời trong việc bảo mật từ A đến Z thông tin là – Tính bảo mật Đảm bảo thông tin đó là duy nhất, những người muốn tiếp cận phải được phân quyền truy cập – Tính toàn vẹn. Bảo vệ sự hoàn chỉnh toàn diện cho hệ thống thông tin – Tính chính xác. Thông tin đưa ra phải chính xác, đầy đủ, không được sai lệch hay không được vi phạm bản quyền nội dung – Tính sẵn sàng. Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực hiện bất cứ đâu, bất cứ khi nào. Tại sao phải bảo mật thông tin - Hãy cùng tìm hiểu. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau - Bảo đảm an toàn thông tin tại máy chủ - Bảo đảm an toàn cho phía máy trạm - Bảo mật thông tin trên đường truyền Đứng trước yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau - Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu. - Nguyên tắc đúng đắn. - Nguyên tắc phù hợp với mục đích. - Nguyên tắc cân xứng. - Nguyên tắc minh bạch. - Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. - Nguyên tắc không phân biệt đối xử. - Nguyên tắc an toàn. - Nguyên tắc có trách niệm trước pháp luật. - Nguyên tắc giám sát độc lập và hình phạt theo pháp luật. - Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới. Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu đó. Nhu cầu an toàn thông tin An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng. Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó. Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin. Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra. Các khái niệm An toàn máy tính tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker. An toàn mạng các phương tiện bảo vệ dữ liệu khi truyền chúng. An toàn Internet các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau. Mục đích của môn học là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin. Nguy cơ và hiểm họa đối với hệ thống thông tin Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động. - Hiểm họa vô tình khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. - Hiểm họa cố ý như cố tình truy nhập hệ thống trái phép. - Hiểm họa thụ động là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền. - Hiểm họa chủ động là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống. Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất phát từ những nguyên nhân như sau - Từ phía người sử dụng xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị - Trong kiến trúc hệ thống thông tin tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin. - Ngay trong chính sách bảo mật an toàn thông tin không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. - Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống. - Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định trước, gọi là 'bom điện tử'. - Nguy hiểm nhất đối với mạng máy tính mở là tin tặc, từ phía bọn tội phạm. Phân loại tấn công phá hoại an toàn Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công - Tấn công giả mạo là một thực thể tấn công giả danh một thực thể khác. Tấn công giả mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo. - Tấn công chuyển tiếp xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực. - Tấn công sửa đổi thông báo xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện. - Tấn công từ chối dịch vụ xảy ra khi một thực thể không thực hiện chức năng của mình, gây cản trở cho các thực thể khác thực hiện chức năng của chúng. - Tấn công từ bên trong hệ thống xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. Còn tấn công từ bên ngoài là nghe trộm, thu chặn, giả mạo người dùng hợp pháp và vượt quyền hoặc lách qua các cơ chế kiểm soát truy nhập. Tấn công bị động. Do thám, theo dõi đường truyền để - nhận được nội dung bản tin hoặc - theo dõi luồng truyền tin Tấn công chủ động. Thay đổi luồng dữ liệu để - giả mạo một người nào đó. - lặp lại bản tin trước - thay đổi ban tin khi truyền - từ chối dịch vụ. Dịch vụ, cơ chế, tấn công Nhu cầu thực tiến dẫn đến sự cần thiết có một phương pháp hệ thống xác định các yêu cầu an ninh của tổ chức. Trong đó cần có tiếp cận tổng thể xét cả ba khía cạnh của an toàn thông tin bảo vệ tấn công, cơ chế an toàn và dịch vụ an toàn. Sau đây chúng ta xét chúng theo trình tự ngược lại Các dịch vụ an toàn. Đây là công cụ đảm bảo an toàn của hệ thống xử lý thông tin và truyền thông tin trong tổ chức. Chúng được thiết lập để chống lại các tấn công phá hoại. Có thể dùng một hay nhiều cơ chế an toàn để cung cấp dịch vụ. Thông thường người ta cần phải tạo ra các liên kết với các tài liệu vật lý như có chữ ký, ngày tháng, bảo vệ cần thiết chống khám phá, sửa bậy, phá hoại, được công chứng, chứng kiến, được ghi nhận hoặc có bản quyền. Các cơ chế an toàn Từ các công việc thực tế để chống lại các phá hoại an ninh, người ta đã hệ thống và sắp xếp lại tạo thành các cơ chế an ninh khác nhau. ây là cơ chế được thiết kế để phát hiện, bảo vệ hoặc khôi phục do tấn công phá hoại. Không có cơ chế đơn lẻ nào đáp ứng được mọi chức năng yêu cầu của công tác an ninh. Tuy nhiên có một thành phần đặc biệt nằm trong mọi cơ chế an toàn đó là kỹ thuật mã hoá. Do đó chúng ta sẽ dành một thời lượng nhất định tập trung vào lý thuyết mã. Tấn công phá hoại an ninh Ta xác định rõ thế nào là các hành động tấn công phá họai an ninh. ó là mọi hành động chống lại sự an toàn thông tin của các tổ chức. An toàn thông tin là bàn về bằng cách nào chống lại tấn công vào hệ thống thông tin hoặc phát hiện ra chúng. Trên thực tế có rất nhiều cách và nhiều kiểu tấn công khác nhau. Thường thuật ngữ đe doạ và tấn công được dùng như nhau. Cần tập trung chống một số kiểu tấn công chính thụ động và chủ động. Mô hình an toàn mạng Kiến trúc an toàn của hệ thống truyền thông mở OSI. ể giúp cho việc hoạch định chính sách và xây dựng hệ thống an ninh tốt. Bộ phận chuẩn hóa tiêu chuẩn của tổ chức truyền thông quốc tế International Telecommunication Union đã nghiên cứu và đề ra Kiến trúc an ninh X800 dành cho hệ thống trao đổi thông tin mở OSI. Trong đó định nghĩa một cách hệ thống phương pháp xác định và cung cấp các yêu cầu an cung cấp cho chúng ta một cách nhìn tổng quát, hữu ích về các khái niệm mà chúng ta nghiên cứu. Trước hết nói về dich vụ an toàn, X800 định nghĩa đây là dịch vụ cung cấp cho tầng giao thức của các hệ thống mở trao đổi thông tin, mà đảm bảo an toàn thông tin cần thiết cho hệ thống và cho việc truyền dữ liệu. Trong tài liệu các thuật ngữ chuẩn trên Internet RFC 2828 đã nêu định nghĩa cụ thể hơn dich vụ an toàn là dịch vụ trao đổi và xử lý cung cấp cho hệ thống việc bảo vệ đặc biệt cho các thông tin liệu X800 đưa ra định nghĩa dịch vụ theo 5 loại chính - Xác thực tin tưởng là thực thể trao đổi đúng là cái đã tuyên bố. Người đang trao đổi xưng tên với mình đúng là anh ta, không cho phép người khác mạo danh. - Quyền truy cập ngăn cấm việc sử dụng nguồn thông tin không đúng vai trò. Mỗi đối tượng trong hệ thống được cung cấp các quyền hạn nhất định và chỉ được hành động trong khuôn khổ các quyền hạn đó. - Bảo mật dữ liệu bảo vệ dữ liệu không bị khám phá bởi người không có quyền. Chẳng hạn như dùng các ký hiệu khác để thay thế các ký hiệu trong bản tin, mà chỉ người có bản quyền mới có thể khôi phục nguyên bản của nó. - Toàn vẹn dữ liệu tin tưởng là dữ liệu được gửi từ người có quyền. Nếu có thay đổi như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách kiểm tra nhận biết là có các hiện tượng đó đã xảy ra. - Không từ chối chống lại việc chối bỏ của một trong các bên tham gia trao đổi. Người gửi cũng không trối bỏ là mình đã gửi thông tin với nội dung như vậy và người nhận không thể nói dối là tôi chưa nhận được thông tin đó. iều này là rất cần thiết trong việc trao đổi, thỏa thuận thông tin hàng ngày. Cơ chế an toàn được định nghĩa trong X800 như sau - Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng vận chuyển nào đó mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi có phép, đệm truyền, kiểm soát định hướng, công chứng. - Cơ chế an toàn phổ dụng không chỉ rõ được dùng cho giao thức trên tầng nào hoặc dịch vụ an ninh cụ thể nào chức năng tin cậy cho một tiêu chuẩn nào đó, nhãn an toàn chứng tỏ đối tượng có tính chất nhất định, phát hiện sự kiện, vết theo dõi an toàn, khôi phục an toàn. Mô hình an toàn mạng tổng quát Sử dụng mô hình trên đòi hỏi chúng ta phải thiết kế thuật toán phù hợp cho việc truyền an toàn. Phát sinh các thông tin mật khoá được sử dụng bởi các thuật toán. Phát triển các phương pháp phân phối và chia sẻ các thông tin mật. đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch vụ an toàn. Mô hình truy cập mạng an toàn Sử dụng mô hình trên đòi hỏi chúng ta phải Lựa chọn hàm canh cổng phù hợp cho người sử dụng có danh tính. Cài đặt kiểm soát quyền truy cập để tin tưởng rằng chỉ có người có quyền mới truy cập được thông tin đích hoặc nguồn. Các hệ thống máy tính tin cậy có thể dùng mô hình này. Bảo mật thông tin trong hệ cơ sở dữ liệu Giới thiệu chung Các hệ cơ sở dữ liệu CSDL ngày nay như Oracle, SQL/Server, DB2/Informix đều có sẵn các công cụ bảo vệ tiêu chuẩn như hệ thống định danh và kiểm soát truy xuất. Tuy nhiên, các biện pháp bảo vệ này hầu như không có tác dụng trước các tấn công từ bên trong. ể bảo vệ thông tin khỏi mối đe dọa này, người ta đưa ra hai giải pháp. Giải pháp đơn giản nhất bảo vệ dữ liệu trong CSDL ở mức độ tập tin, chống lại sự truy cập trái phép vào các tập tin CSDL bằng hình thức mã hóa. Tuy nhiên, giải pháp này không cung cấp mức độ bảo mật truy cập đến CSDL ở mức độ bảng, cột và dòng. Một điểm yếu nữa của giải pháp này là bất cứ ai với quyền truy xuất CSDL đều có thể truy cập vào tất cả dữ liệu trong CSDL cũng có nghĩa là cho phép các đối tượng với quyền quản trị truy cập tất cả các dữ liệu nhạy cảm. Giải pháp thứ hai, giải quyết vấn đề mã hóa ở mức ứng dụng. Giải pháp này xử lý mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL. Những vấn đề về quản lý khóa và quyền truy cập được hỗ trợ bởi ứng dụng. Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi ứng dụng. Giải pháp này giải quyết được vấn đề phân tách quyền an toàn và hỗ trợ các chính sách an toàn dựa trên vai trò. Một số mô hình bảo mật cơ sở dữ liệu Để đáp ứng những yêu cầu về bảo mật cho các hệ thống CSDL hiện tại và sau này người ta đưa ra 2 mô hình bảo mật CSDL thông thường sau đây Xây dựng tầng CSDL trung gian Một CSDL trung gian được xây dựng giữa ứng dụng và CSDL gốc. CSDL trung gian này có vai trò mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, đồng thời giải mã dữ liệu trước khi cung cấp cho ứng dụng. CSDL trung gian đồng thời cung cấp thêm các chức năng quản lý khóa, xác thực người dùng và cấp phép truy cập. Giải pháp này cho phép tạo thêm nhiều chức năng về bảo mật cho CSDL. Tuy nhiên, mô hình CSDL trung gian đòi hỏi xây dựng một ứng dụng CSDL tái tạo tất cả các chức năng của CSDL gốc. Sử dụng cơ chế sẵn có trong CSDL Mô hình này giải quyết các vấn đề mã hóa cột dựa trên các cơ chế sau a. Các hàm Stored Procedure trong CSDL cho chức năng mã hóa và giải mã b. Sử dụng cơ chế View trong CSDL tạo các bảng ảo, thay thế các bảng thật đã được mã hóa. c. Cơ chế “instead of” trigger được sử dụng nhằm tự động hóa quá trình mã hóa từ View đến bảng gốc. Trong mô hình này, dữ liệu trong các bảng gốc sẽ được mã hóa, tên của bảng gốc được thay đổi. Một bảng ảo được tạo ra mang tên của bảng gốc, ứng dụng sẽ truy cập đến bảng ảo này. Truy xuất dữ liệu trong mô hình này có thể được tóm tắt như sau Các truy xuất dữ liệu đến bảng gốc sẽ được thay thế bằng truy xuất đến bảng ảo. Bảng ảo được tạo ra để mô phỏng dữ liệu trong bảng gốc. Khi thực thi lệnh “select”, dữ liệu sẽ được giải mã cho bảng ảo từ bảng gốc đã được mã hóa. Khi thực thi lệnh “Insert, Update”, “instead of” trigger sẽ được thi hành và mã hóa dữ liệu xuống bảng gốc. Quản lý phân quyền truy cập đến các cột sẽ được quản lý ở các bảng ảo. Ngoài các quyền cơ bản do CSDL cung cấp, hai quyền truy cập mới được định nghĩa 1. Người sử dụng chỉ được quyền đọc dữ liệu ở dạng mã hóa. Quyền này phù hợp với những đối tượng cần quản lý CSDL mà không cần đọc nội dung dữ liệu. 2. Người sử dụng được quyền đọc dữ liệu ở dạng giải mã. Sơ lược kiến trúc của 1 hệ bảo mật CSDL Triggers các trigger được sử dụng để lấy dữ liệu đến từ các câu lệnh INSERT, UPDATE để mã hóa. Views các view được sử dụng để lấy dữ liệu đến từ các câu lệnh SELECT để giải mã. Extended Stored Procedures được gọi từ các Trigger hoặc View dùng để kích hoạt các dịch vụ được cung cấp bởi Modulo DBPEM từ trong môi trường của hệ quản tri CSDL. DBPEM Database Policy Enforcing Modulo cung cấp các dịch vụ mã hóa/giải mã dữ liệu gửi đến từ các Extended Stored Procedures và thực hiện việc kiểm tra quyền truy xuất của người dùng dựa trên các chính sách bảo mật được lưu trữ trong CSDL về quyền bảo mật. Security Database lưu trữ các chính sách bảo mật và các khóa giải mã. Xu hướng ngày nay thường là lưu trữ CSDL về bảo mật này trong Active Directory một CSDL dạng thư mục để lưu trữ tất cả thông tin về hệ thống mạng. Security Services chủ yếu thực hiện việc bảo vệ các khóa giải mã được lưu trong CSDL bảo mật. Management Console dùng để cập nhật thông tin lưu trong CSDL bảo mật chủ yếu là soạn thảo các chính sách bảo mật và thực hiện thao tác bảo vệ một trường nào đó trong CSDL để đảm bảo tối đa tính bảo mật, thông tin được trao đổi. Người đăng dathbz Time 2020-08-04 143325 Theo số liệu tử Juniper Research, tổng thiệt hại của doanh nghiệp gây ra bởi gian lận thanh toán trực tuyến sẽ lên tới 206 tỷ USD trong giai đoạn 2021- 2025. Đây chỉ là một trong những phương thức tấn công mạng trong ngành thương mại điện tử mà tin tặc thường xuyên sử dụng. Để giảm thiểu rủi ro, doanh nghiệp cần có những biện pháp đảm bảo an ninh thương mại điện tử. Hãy tìm hiểu sâu hơn về thực trạng và biện pháp an ninh thương mại điện tử trong bài viết này! Mục lụcAn ninh thương mại điện tử là gìThực trạng an ninh thương mại điện tử tại Việt NamCác đe dọa bảo mật đối với các công ty thương mại điện tửGian lận tài chínhTấn công DoS và DDoSMã độc Cross-Site ScriptingBotsTấn công xen giữa Man in The Middle AttackGiải pháp cho an toàn thương mại điện tử HTTPS và chứng chỉ SSLChống xâm nhập, tấn công từ dịch vụ DDOS Sử dụng tường lửaSử dụng phần mềm chống mã độc Bảo mật website và máy chủBảo mật cổng thanh toán trực tuyếnÁp dụng các phương pháp bảo mật khác An ninh thương mại điện tử là gì An ninh thương mại điện tử là quá trình làm giảm thiểu và hạn chế các rủi ro có thể xảy đến trong thương mại điện tử liên quan đến các vấn đề về thủ tục, chính sách, pháp luật và đặc biệt là công nghệ. Một ví dụ về an ninh thương mại điện tử điển hình là việc doanh nghiệp đảm bảo an toàn trước các lỗi, mã độc mà do tin tặc gây ra. Thực trạng an ninh thương mại điện tử tại Việt Nam Thương mại điện tử là đối mặt với nhiều mối đe dọa an ninh mạng, bao gồm cả những ảnh hưởng đến các thông tin riêng tư, sở hữu và quản lý dữ liệu, vị trí của các trung tâm dữ liệu, an ninh dữ liệu và luật pháp. Cách đây 30 năm, chỉ có 32% giá trị thị trường dựa trên các tài sản vô hình, chủ yếu là sở hữu trí tuệ. Đến nay, con số này là 80% – một con số lớn, yêu cầu doanh nghiệp phải bảo vệ cẩn thận các tài sản kỹ thuật số trước nguy cơ bị tội phạm đánh cắp. Tại Việt Nam, cùng với sự phát triển mạnh mẽ về số lượng người dùng internet, đặc biệt là mua sắm online, các vụ tấn công mạng gia gia tăng, kể cả về số lượng, quy mô; các hình thức tấn công tinh vi hơn. Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã ghi nhận và xử lý gần vụ tấn công website. Trong đó, gần 50% các sự cố đến từ phát tán mã độc thông qua những lỗ hổng bảo mật. Đối với các doanh nghiệp thương mại điện tử, họ cần bảo vệ mình bằng cách đảm bảo an ninh cho hệ thống máy tính, các dữ liệu liên quan đến sản phẩm, kho hàng, khách hàng, máy chủ và mã hóa dữ liệu khách hàng. Các doanh nghiệp cần thực hiện các bước Đánh giá mức độ rủi roXây dựng các chính sách an ninh thương mại điện tửThiết lập điểm giám sát an ninhKiểm tra an ninh Duy trì hệ thống báo cáo khẩn cấp Các đe dọa bảo mật đối với các công ty thương mại điện tử Gian lận tài chính Có hai loại gian lận tài chính chủ yếu mà nhiều người dễ mắc phải là gian lận thẻ tín dụng và gian lận hoàn trả. Gian lận thẻ tín dụng diễn ra khi tin tặc sử dụng dữ liệu thẻ tín dụng đánh cắp được để mua sản phẩm trên các cửa hàng trực tuyến. Trong những trường hợp này, địa chỉ giao hàng và địa chỉ thanh toán sẽ khác nhau. Doanh nghiệp có thể phát hiện và ngăn chặn các hoạt động gian lận này bằng cách cài đặt AVS. Gian lận hoàn trả là hoạt động các tin tặc gửi yêu cầu giả mạo để nhận tiền hoàn. Tấn công DoS và DDoS Tấn công DDoS xảy ra khi các máy chủ nhận một lượng lớn các yêu cầu truy cập, khiến nó quá tải và không thể xử lý. Thông qua khai thác các lỗ hổng bảo mật, tin tặc có thể chiếm quyền điều khiển máy tính của bạn. Sau đó, chúng sử dụng máy tính của bạn để gửi một số lượng lớn dữ liệu và yêu cầu đến một website hoặc email nào đó. Thậm chí, tấn công DDoS còn được dùng để đánh lạc hướng doanh nghiệp, kéo dài thời gian xử lý. Khi các nhân sự an ninh mạng đang giải quyết sự cố DDoS, tin tặc sẽ thực hiện các cuộc tấn công mạng phía sau. Khi nhận ra thì doanh nghiệp đã không kịp xử lý. Mã độc Tin tặc có thể cài phần mềm độc hại trên hệ thống mạng của doanh nghiệp. Khi mã độc đã lây lan, mã độc có thể đánh cắp thông tin từ khách hàng, nhân viên. Chúng có thể lấy đi bất kỳ dữ liệu quan trọng nào và cũng có thể lây nhiễm sang trang web của doanh nghiệp. Cross-Site Scripting Những kẻ tấn công có thể cài đặt một đoạn mã JavaScript độc hại trên trang web của doanh nghiệp. Chúng nhắm mục tiêu vào khách hàng trực tuyến, là những người truy cập vào website. Các đoạn mã như vậy có thể truy cập vào cookies của khách hàng và lợi dụng dữ liệu nhằm làm lợi cho mình. Để hạn chế rủi ro, doanh nghiệp có thể triển khai chính sách bảo mật nội dung để ngăn chặn các cuộc tấn công này. Bots Một số kẻ tấn công phát triển các bots, với mục đích quét trang web của doanh nghiệp để lấy thông tin về hàng tồn kho và giá cả. Thông thường, các đối thủ cạnh tranh không lành mạnh sẽ sử dụng phương pháp này để chỉnh sửa giá thấp hơn nhằm hạ thấp doanh thu của nạn nhân. Tấn công xen giữa Man in The Middle Attack Tấn công xen giữa là cuộc tấn công mà tin tặc bí mật chuyển tiếp và làm thay đổi giao tiếp giữa hai bên. Ví dụ, tin tặc nghe lén thông tin diễn ra giữa khách hàng và cửa hàng trực tuyến của công ty nhằm lợi dụng dữ liệu khách hàng và phá hoại hoạt động kinh doanh. Tin tặc sẽ dễ lợi dụng việc người dùng kết nối với mạng wifi không an toàn để tấn công. Giải pháp cho an toàn thương mại điện tử HTTPS và chứng chỉ SSL Giao thức HTTPS là một phần mở rộng của HTTP, hay được gọi là HTTP qua SSL. HTTPS giúp xác định trang web mà người dùng truy cập, bảo vệ quyền riêng tư và an toàn của dữ liệu. Đồng thời, phương thức còn giúp tăng thứ hạng trang web trên trang tìm kiếm của Google. So với HTTP, HTTPS sẽ giúp các website ít gặp rủi ro tấn công mạng hơn. Chống xâm nhập, tấn công từ dịch vụ DDOS Tấn công từ chối dịch vụ DoS là hoạt động làm sập một máy chủ hoặc mạng, khiến người dùng khác không thể truy cập vào máy chủ hay mạng đó. Giải pháp này giúp doanh nghiệp phòng chống và phát hiện ra các xâm nhập IPS, ngăn chặn sự tấn công toàn diện từ phía DDOS. Thông qua giải pháp này, doanh nghiệp phát hiện sớm và và nhanh chóng ngăn chặn các cuộc tấn công của DDOS. Qua quá trình phân tích các luồng dữ liệu, hệ thống sẽ phát hiện các hành vi bất thường và ngăn chặn tức thì các đối tượng gây ra vấn đề này. Sử dụng tường lửa Tường lửa tạo ra lớp bảo mật toàn diện cho hệ thống website, giúp doanh nghiệp tránh kỹ thuật tấn công XSS, SQL injection và các cuộc tấn công mạng khác. Chúng cũng kiểm soát mọi lưu lượng truy cập website nhằm đảm bảo chỉ có lưu lượng truy cập đáng tin cậy mới vào được trang web. Sử dụng phần mềm chống mã độc Đây là một chương trình giúp doanh nghiệp phát hiện, loại bỏ và ngăn chặn các mã độc lây nhiễm vào máy tính và hệ thống mạng. Vì mã độc là thuật ngữ chung, bao gồm cả virus, worm, trojan… do đó việc sử dụng phần mềm chống mã độc sẽ giúp công ty ngăn chặn được nhiều mối nguy hiểm từ tin tặc. Bảo mật website và máy chủ Các quản trị viên của website nên sử dụng các mật khẩu phức tạp và thường xuyên thay đổi chúng định kỳ. Ngoài ra, doanh nghiệp cần phân quyền quản trị website theo đúng vai trò của nhân viên, giảm thiểu rủi ro làm mất dữ liệu website. Bên cạnh đó, đừng quên thiết lập cảnh báo khi có bất cứ IP lạ, đáng nghi nào nào cố gắng truy cập vào website của doanh nghiệp. >>> Tìm hiểu thêm Bảo mật website và máy chủ 5 gợi ý giúp website của bạn an toàn tuyệt đối Bảo mật cổng thanh toán trực tuyến Doanh nghiệp nên lựa chọn các bên cung cấp giải pháp thanh toán thứ ba uy tín để xử lý các giao dịch từ website, tránh tự ý lưu trữ thông tin dữ liệu liên quan đến thẻ tín dụng của khách hàng. Điều này đảm bảo giảm thiểu tối đa các rủi ro liên quan đến thanh toán và bảo mật thông tin khách hàng. Áp dụng các phương pháp bảo mật khác Ngoài những phương pháp trên, doanh nghiệp có thể thực hiện thêm một vài thao tác khác nhằm nâng cao an ninh thương mại điện tử như Rà quét website và các tài nguyên trực tuyến thường xuyên để phát hiện mã độc kịp thời. Sao lưu dữ dụng các phần mềm, tính năng bảo mật website thương mại điện chọn một giải pháp bảo vệ an ninh mạng uy tín, phù hợp với công ty. Tổng kết An ninh thương mại điện tử luôn là một trong những vấn đề nhức nhối đối với nhiều doanh nghiệp hiện nay. Các tin tặc có thể tấn công bằng bất cứ phương thức nào, gây ra nhiều tổn thất cho doanh nghiệp. Bởi vậy, việc xây dựng một hệ thương website thương mại điện tử kiên cố ngay từ đầu và thường xuyên cập nhật, bảo trì trang web là điều cần thiết mọi công ty nên làm để tránh những rủi ro về an ninh thương mại điện tử. Hãy tìm cho mình một đối tác công nghệ uy tín, có tay nghề cao như Magenest để xây dựng và bảo trì, kiểm tra website định kỳ! Đăng ký theo dõi Magenest để nhận thêm nhiều thông tin bổ ích liên quan đến công nghệ và thương mại điện tử! Nội dung Text Bài giảng Thương mại điện tử - Chương 5 Bảo mật và an ninh thương mại điện tử THƯƠNG MẠI ĐIỆN TỬ BẢO MẬT VÀ AN NINH TMĐT 1 Những nguy cơ đe doạ an ninh TMĐT 2 Vấn đề bảo mật trong Thương mại điện tử 3 Giải pháp bảo vệ an ninh TMĐT Những nguy cơ đe doạ an ninh TMĐT  Hackers và Crackers  Hackers thuật ngữ để chỉ người lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính.  Crackers là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các chương trình.  Gian lận thẻ tín dụng  Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra như thẻ tín dụng bị mất, bị đánh cắp, các thông tin về số thẻ, mã PIN, các thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp.  Trong TMĐT các hành vi gian lận phức tạp hơn như bị đánh cắp thông tin liên quan đến thẻ hoặc thông tin giao dịch. Những nguy cơ đe doạ an ninh TMĐT  Lừa đảo  Lừa đảo trong TMĐT là việc hackers sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó nhằm thực hiện hành động phi pháp.  Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc làm chệch hướng các liên kết web đến một địa chỉ web giả mạo. Những nguy cơ đe doạ an ninh TMĐT  Các loại tấn công trên mạng  Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ thống giỏi thực hiện.  Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy cảm.  Tấn công làm từ chối phục vụ Denial-of-service -DoS attack là sử dụng phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được. Những nguy cơ đe doạ an ninh TMĐT  Các loại tấn công trên mạng  Phân tán cuộc tấn công làm từ chối phục vụ Distributed denial of service DDoS attack là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu.  Spam thư rác mỗi ngày có thể nhận vài chục, đến vài trăm thư rác  Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…  Sâu máy tính worms sâu máy tính khác với virus ở chỗ sâu không thâm nhập vào file mà thâm nhập vào hệ thống. Những nguy cơ đe doạ an ninh TMĐT Tấn công DDoS Vấn đề bảo mật đặt ra trong TMĐT  Từ góc độ người sử dụng  Làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp?  Làm sao biết được trang web này không chứa đựng những nội dung hay mã chương trình nguy hiểm?  Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ 3 Vấn đề bảo mật đặt ra trong TMĐT  Từ góc độ doanh nghiệp  Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web?  Làm sao biết được làm gián đoạn hoạt động của server.  Từ cả hai phía  Làm sao biết được không bị nghe trộm trên mạng?  Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi? Một số khái niệm về an toàn bảo mật  Quyền được phép Authorization Quá trình đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng  Xác thực Authentication Quá trình xác thực một thực thể xem họ khai báo với cơ quan xác thực họ là ai.  Sự riêng tư Confidentiality/privacy là bảo vệ thông tin mua bán của người tiêu dùng  Tính toàn vẹn Integrity Khả năng bảo vệ dữ liệu không bị thay đổi  Không thoái thác Nonrepudiation Khả năng không thể từ chối các giao dịch đã thực hiện. Giải pháp bảo vệ an ninh TMĐT 1. Kỹ thuật mã hóa thông tin 2. Chữ ký điện tử 3. Chứng thực điện tử 4. Bức tường lửa Cơ chế mã hóa thông tin  Mã hóa là quá trình trộn văn bản với khóa key tạo thành văn bản không thể đọc được trên mạng  Khi nhận được, người ta dùng khóa giải mã thành bản gốc  Mã hóa và giải mã gồm 4 phần cơ bản 1. Văn bản nhập vào – Plaintext 2. Thuật toán mã hóa – Encryption 3. Văn bản đã mã – Ciphertext 4. Giải mã – Decryption Hai phương pháp mã hóa phổ biến 1. Phương pháp mã đối xứng khoá riêng Mã khoá bí mật private key Thông Đơn đặt TĐ đã TĐ đã Đơn đặt INTERNET điệp hàng được được hàng mã hoá mã hoá Người gửi Người nhận A B Hai phương pháp mã hóa phổ biến 2. Phương pháp mã không đối xứng khoá công khai Mã khoá công khai người nhận Mã khoá bí mật người nhận Thông Đơn đặt TĐ đã TĐ đã Đơn đặt INTERNET điệp hàng được được hàng mã hoá mã hoá Người gửi Người nhận A B Chữ ký điện tử  Chữ ký điện tử  Dữ liệu dưới dạng điện tử từ, chữ, số, ký hiệu, âm thanh,…  Gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu  Cókhả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký  Các cách tạo chữ ký điện tử  Vân tay  Sơ đồ võng mạc  Sơ đồ tĩnh mạch trong bàn tay  ADN  Các yếu tố sinh học khác  Công nghệ mã hóa,… Chữ ký điện tử  Chữ ký điện tử chữ ký số hoá là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc  Các tạo chữ ký số  Áp dụng thuật toán băm một chiều trên văn bản gốc để tạo ra bản tóm lược  Sau đó mã hóa bằng khoá bí mật private key tạo ra chữ ký số đính kèm với văn bản gốc để gửi đi Chữ ký điện tử  Các bước mã hóa 1. Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả là bản tóm lược. 2. Sử dụng khóa bí mật của người gửi để mã hóa bản tóm lược ở bước 1; kết quả thu được gọi là chữ ký số của thông điệp ban đầu. 3. Gộp chữ ký số vào thông điệp ban đầu, công việc này gọi là “ký nhận” vào thông điệp. Mọi sự thay đổi sẽ bị phát hiện trong giai đoạn kiểm tra. Chữ ký điện tử Thông điệp dữ liệu Hàm băm Khóa bí mật Bản tóm lược Mã hóa Chữ ký số Gắn với thông điệp dữ liệu Thông điệp dữ liệu được ký số Tạo chữ ký điện tử Chữ ký điện tử  Các bước kiểm tra 1. Dùng khoá công khai public key của người gửi để giải mã chữ ký số của thông điệp. 2. Dùng giải thuật băm thông điệp đính kèm 3. So sánh kết quả thu được ở bước 1 và 2,nếu trùng nhau kết luận thông điệp này không bị thay đổi trong quá trình truyền và thông điệp này là của người gửi. Chữ ký điện tử Thông điệp dữ liệu được ký số Tách Khóa công khai Giải mã Chữ ký số Thông điệp dữ liệu Hàm băm Bản Bản Giải mã được? tóm lược tóm lược Giống nhau? Nội dung thông điệp tòan vẹn Không đúng người gửi Nội dung thông điệp bị thay đổi Tài liệu "Bảo mật và an toàn thông tin trong thương mại điện tử" có mã là 295967, file định dạng rar, có 84 trang, dung lượng file 2,327 kb. Tài liệu thuộc chuyên mục Luận văn đồ án > Tổng hợp. Tài liệu thuộc loại VàngNội dung Bảo mật và an toàn thông tin trong thương mại điện tửTrước khi tải bạn có thể xem qua phần preview bên dưới. Hệ thống tự động lấy ngẫu nhiên 20% các trang trong tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử để tạo dạng ảnh để hiện thị ra. Ảnh hiển thị dưới dạng slide nên bạn thực hiện chuyển slide để xem hết các lưu ý là do hiển thị ngẫu nhiên nên có thể thấy ngắt quãng một số trang, nhưng trong nội dung file tải về sẽ đầy đủ 84 trang. Chúng tôi khuyễn khích bạn nên xem kỹ phần preview này để chắc chắn đây là tài liệu bạn cần preview Bảo mật và an toàn thông tin trong thương mại điện tửNếu bạn đang xem trên máy tính thì bạn có thể click vào phần ảnh nhỏ phía bên dưới hoặc cũng có thể click vào mũi bên sang trái, sang phải để chuyển nội dung sử dụng điện thoại thì bạn chỉ việc dùng ngón tay gạt sang trái, sang phải để chuyển nội dung slide. Click vào nút bên dưới để xem qua nội dung tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử sử dụng font chữ gì?File sử dụng loại font chữ cơ bản và thông dụng nhất Unicode hoặc là TCVN3. Nếu là font Unicode thì thường máy tính của bạn đã có đủ bộ font này nên bạn sẽ xem được bình thường. Kiểu chữ hay sử dụng của loại font này là Times New Roman. Nếu tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử sử dụng font chữ TCVN3, khi bạn mở lên mà thấy lỗi chữ thì chứng tỏ máy bạn thiếu font chữ này. Bạn thực hiện tải font chữ về máy để đọc được nội thống cung cấp cho bạn bộ cài cập nhật gần như tất cả các font chữ cần thiết, bạn thực hiện tải về và cài đặt theo hướng dẫn rất đơn giản. Link tải bộ cài này ngay phía bên phải nếu bạn sử dụng máy tính hoặc phía dưới nội dung này nếu bạn sử dụng điện thoại. Bạn có thể chuyển font chữ từ Unicode sang TCVN3 hoặc ngược lại bằng cách copy toàn bộ nội dung trong file Bảo mật và an toàn thông tin trong thương mại điện tử vào bộ nhớ đệm và sử dụng chức năng chuyển mã của phần mềm gõ tiếng việt Unikey. Từ khóa và cách tìm các tài liệu liên quan đến Bảo mật và an toàn thông tin trong thương mại điện tửTrên Kho Tri Thức Số, với mỗi từ khóa, chủ đề bạn có thể tìm được rất nhiều tài liệu. Bạn có thể tham khảo hướng dẫn sau đây để tìm được tài liệu phù hợp nhất với bạn. Hệ thống đưa ra gợi ý những từ khóa cho kết quả nhiều nhất là Bảo mật và an, hoặc là Bảo mật và an tìm được nội dung có tiêu đề chính xác nhất bạn có thể sử dụng Bảo mật và an toàn thông, hoặc là Bảo mật và an toàn thông nhiên nếu bạn gõ đầy đủ tiêu đề tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử thì sẽ cho kết quả chính xác nhất nhưng sẽ không ra được nhiều tài liệu gợi có thể gõ có dấu hoặc không dấu như Bao mat va an, Bao mat va an toan, Bao mat va an toan thong, Bao mat va an toan thong tin, đều cho ra kết quả chính xác. thương mại tin thông Bảo mật và an Bảo toàn thông Bảo mật và Bảo mật và toàn Bảo mật và an toàn thông an điện tử tử mại tin trong trong Bảo mật điện và an thương Bảo mật và an toàn mật Bảo mật và an toàn thông tin Các chức năng trên hệ thống được hướng dẫn đầy đủ và chi tiết nhất qua các video. Bạn click vào nút bên dưới để xem. Có thể tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử sử dụng nhiều loại font chữ mà máy tính bạn chưa có. Bạn click vào nút bên dưới để tải chương trình cài đặt bộ font chữ đầy đủ nhất cho bạn. Nếu phần nội dung, hình ảnh ,... trong tài liệu Bảo mật và an toàn thông tin trong thương mại điện tử có liên quan đến vi phạm bản quyền, bạn vui lòng click bên dưới báo cho chúng tôi biết. Gợi ý liên quan "Bảo mật và an toàn thông tin trong thương mại điện tử" Click xem thêm tài liệu gần giống Chuyên mục chứa tài liệu "Bảo mật và an toàn thông tin trong thương mại điện tử" Tài liệu vừa xem Bảo mật và an toàn thông Bảo mật Bảo mật và an toàn thông tin Bảo mật và an toàn Bảo mật và Bảo mật và an

bảo mật trong thương mại điện tử là gì