Tài liệu An toàn thông tin trong thương mại điện tử

THƯƠNG MẠI ĐIỆN TỬ VÀ TRIỂN KHAI ỨNG DỤNG Bài 6: An toàn Thông tin trong Thương mại Điện tử Giảng viên: TS. Đàm Quang Hồng Hải Nội dung chính • • • • • Các nguy cơ về an ninh trong Thương mại Điện tử Bảo vệ hệ thống Thương mại Điện tử Bảo mật thông tin Chứng thực số Chữ ký điện tử Các nguy cơ về an ninh trong TMĐT • Bị truy xuất, thay đổi các dữ liệu trong hệ thống, thay đổi thông tin trên Website • Các thông tin quan trọng như thẻ tín dụng, thông tin riêng tư bị tiết lộ • Hệ thống bị tấn công, không có khả năng đáp ứng khách hàng • Các e-mail giả mạo gửi đến khách hàng • Thay đổi thông tin trên DNS Server Thương mại Điện tử và lòng tin • Các lý do lo ngại về Thương mại Điện tử • Người bán lo không thanh toán được • Người mua lo không nhận được hàng hoặc hàng sai quy cách; người mua lo lộ thông tin về thẻ tín dụng • Khả năng gian lận do đặc thù của môi trường mạng • Chưa có văn bản pháp lý điều chỉnh • Làm thế nào để có lòng tin trong Thương mại Điện tử: Xây dựng luật pháp; Tuyên truyền; Đào tạo -> biết rõ hơn; Quan sát những mô hình thành công www.mot.gov.vn / Rò rỉ thông tin trong mạng máy tính • Alice, Bob, Trudy: các máy tính cụ thể, các dịch vụ cụ thể (web, mail, DNS, bank…). • Bob, Alice muốn “trò chuyện” bí mật; nạn nhân (victim) của Trudy • Trudy (kẻ trộm) muốn và có thể nghe thấy, lưu lại, huỷ bỏ, sửa đổi thông điệp, gửi thông điệp giả mạo. (Alice’s boyfriend) (Bob’s girlfriend) (Kẻ phá hoại) Chương 7. An toàn mạng 5 1-6/2005 Các hình thức phạm tội và gian lận • Khả năng xảy ra tội phạm và gian lận thương mại trong Thương mại Điện tử cao • sử dụng công nghệ, gây khó khăn cho đa số người dùng • khung pháp lý xử lý chưa đáp ứng thực tế • Bối cảnh • không tiếp xúc trực tiếp, khó có thông tin đánh giá về đối tác • không tiếp xúc trực tiếp với hàng hóa • các cơ quan phân xử có khó khăn về trình độ khi giải quyết tranh chấp liên quan đến giao dịch qua phương tiện điện tử www.mot.gov.vn / Ăn trộm tài khoản • Cài hoặc phát tán phần mềm gián điệp nhằm ăn cắp thông tin • Đột nhập hệ thống (hack), chặn bắt các gói thông tin trên đường truyền • • • • chiếm quyền điều khiển hệ thống thông tin thay đổi thông tin làm ngưng hoạt động của hệ thống chiếm quyền sử dụng tài khoản • Tại Việt Nam đã phát hiện một số vụ trộm thông tin tài khoản, làm giả thẻ thanh toán www.mot.gov.vn / Xâm phạm quyền sở hữu trí tuệ • Môi trường điện tử là một môi trường rất dễ xảy ra tình trạng xâm phạm quyền sở hữu trí tuệ. • Bản quyền của phần mềm, các bản nhạc, tác phẩm văn học công bố trên mạng rất dễ dàng bị sao chép, sử dụng mà không phải tiền bản quyền. • Kiểu dáng công nghiệp của các sản phẩm đưa lên chào hàng trên website có thể bị nhái để làm thành hàng giả. • Ngay cả bí mật thương mại của doanh nghiệp cũng có thể bị tiết lộ trên Internet. www.mot.gov.vn / Xâm phạm thông tin cá nhân • Thu thập thông tin liên quan đến cá nhân mà không được phép của cá nhân đó, hoặc việc bán thông tin cá nhân cho bên thứ ba, gửi thư quảng cáo hàng loạt gây quấy rầy người dùng. • Các hình thức phổ biến • cài các chương trình ghi lại các thao tác trên bàn phím (key logger) • thiết lập các website giả mạo những website nổi tiếng để dụ dỗ người dùng cung cấp thông tin cá nhân (phishing) • dùng phần mềm rà soát, thu thập thông tin cá nhân (harvesting) www.mot.gov.vn / Lừa đảo trong giao dịch điện tử • Lừa đảo trong giao dịch điện tử dễ xảy ra • nhận tiền nhưng không giao hàng, • giao hàng nhái, hàng giả, hàng kém phẩm chất • lợi dụng người mua không có thông tin đầy đủ về sản phẩm, người bán có thể có những quảng cáo phóng đại để lừa dối người tiêu dùng • Không phải hành vi gian lận nào có sử dụng phương tiện điện tử thì khi xử lý cũng phải dựa vào Luật Giao dịch điện tử hoặc các văn bản dưới luật liên quan. www.mot.gov.vn / 10 Xâm nhập bất hợp pháp • Sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. • Việc xâm nhập có thể: • xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, • một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát. • Phát hiện xâm nhập càng có ý nghĩa quan trọng và cần thiết trong nền tảng bảo mật Virus máy tính • Xuất hiện vào năm 1983, là chương trình máy tính có khả năng tự nhân bản và lan tỏa. • Virus có thể làm tốc độ xử lý của máy tính chậm đi, có thể xóa file, format lại ổ cứng hoặc gây những hư hỏng khác. • Virus có thể được gửi qua email, ẩn dưới các file gửi kèm (attachment) và lây nhiễm trong mạng nội bộ các doanh nghiệp • Qua mạng Internet, virus có cơ hội lan truyền nhanh Thư rác (Spam) • Mỗi ngày người dùng có thể nhận nhiều thư rác, gây mất thời gian, mất tài nguyên như dung lượng chứa, thời gian tải về... • Lượng thư rác toàn cầu tăng nhanh chóng và hiện chiếm tới 86% tổng số email toàn cầu • Spam và virut được coi là hai yếu tố hàng đầu trong các lỗi bảo mật hệ thống đối với các doanh nghiệp vừa và nhỏ Sâu máy tính (worms) • Sâu máy tính thâm nhập vào hệ thống máy tính hoặc mạng, có thể tự nhân bản trong toàn hệ thống mạng. • Sâu Internet tự nhân bản và tự gửi chúng qua hệ thống Internet thông qua những máy tính bảo mật kém. • Sâu email tự gửi những bản nhân bản của chúng qua hệ thống email với danh bạ địa chỉ của người dùng Trojan • Là chương trình (malware) thâm nhập vào máy tính mà người sử dụng máy tính không hay biết. • Trojan có thể cài đặt chương trình như: theo dõi bàn phím (keystroke logger) và gửi “báo cáo” về cho một địa chỉ email của chủ nhân • Người sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác Phishing • Giả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng... để gửi email yêu cầu cung cấp thông tin cá nhân và thông tin tín dụng. • Gửi email gửi báo người nhận đã may mắn trúng giải thưởng lớn • Tạo ra những website bán hàng, bán dịch vụ trên mạng để lấy thông tin thẻ tín dụng Câu hỏi thảo luận 1. Các anh chị nghĩ gì về bảo mật cho khách hàng và cho doanh nghiệp trong Thương mại Điện tử ? 2. Các anh chị suy nghĩ gì về lừa đảo trực tuyến? An toàn, an ninh thông tin • Việc tăng cường an toàn, an ninh thông tin là một điều kiện rất quan trọng • Các tổ chức, doanh nghiệp và người tiêu dùng khi sử dụng các phương tiện điện tử có kết nối mạng, đặc biệt là kết nối Internet • Đảm bảo hệ thống thông tin có các thiết bị hoặc phần mềm bảo mật đủ tin cậy, ví dụ thiết bị phòng chống xâm nhập (IDS, IPS), chương trình quét virus, chống phần mềm gián điệp, sâu máy tính, v.v... www.mot.gov.vn / 18 An toàn hệ thống • Cần có quy định an toàn, phòng chống virus trong mạng nội bộ tránh gián đoạn hoạt động, mất dữ liệu • Cần có những thư mục có password bảo vệ, có bản back-up (sao lưu) lưu trên đĩa CD/DVD • Thường xuyên kiểm nghiệm độ an toàn hệ thống bằng các phương pháp đánh giá rủi ro và tấn công trắc nghiệm (Penetration Testing) • Có các hệ thống lưu điện, bảo mật cứng như quy định sử dụng máy chủ ... Kỹ thuật tường lửa • Chức năng chính của Firewall là kiểm soát luồng thông tin trao đổi với Internet. • Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet • Kiển soát, cho phép/cấm những dịch vụ truy nhập ra ngoài hay vào trong (từ Internet Intranet). • Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. • Kiểm soát người sử dụng và việc truy nhập của người sử dụng. • Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng