Download miễn phí Thực trạng và giải pháp cho vấn đề an toàn và bảo mật trong thương mại điện tử
MỞ ĐẦU 1
CHƯƠNG I. TỔNG QUAN VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ 2
I. Giới thiệu chung về thương mại điện tử 2
1. Thương mại điện tử - Electronic Commerce (EC) 2
2. Các đặc trưng của Thương mại điện tử 5
3. Các loại thị trường điện tử 5
II. Gian lận trong TMĐT 7
1. Gian lận trong TMĐT là gỡ? 7
2. Ai có nguy cơ bị gian lận trực tuyến? 9
3 Bảo vệ hoạt động kinh doanh trước các hành vi gian lận 10
III. Xõy dựng chớnh sỏch bảo mật 12
1. Những chuẩn bị cần thiết 12
2. Thiết lập cỏc quy tắc bảo mật 15
3. Hoàn thiện chớnh sỏch bảo mật 17
IV. Bảo mật thụng tin 18
1. Mục tiờu của bảo mật thụng tin 18
2. Các giai đoạn của quá trỡnh bảo mật thụng tin 19
3. Thế nào là một hệ thống an toàn thụng tin? 21
V. An toàn và bảo mật trong thanh toán điện tử 21
1. Phương pháp mó húa 22
2. Chữ ký số 24
3. Chứng chỉ số 26
CHƯƠNG II. THỰC TRẠNG VÀ GIẢI PHÁP CHO VẤN ĐỂ AN TOÀN VÀ BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ 28
I. Bảo vệ mạng doanh nghiệp 28
1. Firewall 28
2. Cụng nghệ tunnell 29
3. Những hạn chế về mặt an toàn 29
4. Việc quản lớ an ninh 30
5. Cấu hỡnh an ninh cho mạng doanh nghiệp 30
II. Giải pháp an toàn trong thanh toán điện tử 35
1. Giao thức tầng cắm an toàn (Secure Sockets Layer – SSL) 35
2. Giao thức giao dịch an toàn (Secure Electronic Transaction) 36
III. Những hỡnh thức gian lận trong TMĐT và cách phũng chống 38
1. Phishing 38
2. Spear Phishing 38
3. Pharming 39
4. Cỏc phũng chống gian lận 39
IV. Những hỡnh thức tấn cụng 42
1. Tấn cụng từ chối dịch vụ - DOS 42
2. Cỏc phũng chống tấn cụng DoS 46
3. Tấn cụng SQL Injection 51
4. Các cách phũng chống tấn cụng SQL Injection 55
KẾT LUẬN 57
Tài liệu tham khảo 58
Để tải tài liệu này, vui lòng Trả lời bài viết, Mods sẽ gửi Link download cho bạn ngay qua hòm tin nhắn.
Ketnooi -
You must be registered for see links
Ai cần tài liệu gì mà không tìm thấy ở Ketnooi, đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
g mó húa khúa cụng khai được mụ tả tiếp theo đõy sẽ giải quyết được vấn đề trao đổi khúa đối xứng.
b. Mó húa khúa cụng khai – khúa khụng đối xứng.
Mó húa khúa cụng khai (Public Key Cryptography) sử dụng hai khúa khỏc nhau:
Khúa cụng khai (public key): được gửi cụng khai trờn mạng. Khúa cụng khai khụng cú khả năng giải mó thụng tin do chớnh nú mó húa.
Khúa bớ mật (private key): được giữ bớ mật.
Lược đồ mó húa khúa cụng khai
Bước 1: Trao chỡa khúa cụng khai cho người gửi. Vỡ khúa cụng khai được “cụng khai” nờn bạn khụng cần e sợ nguy cơ mất trộm.
Bước 2: Người gửi sử dụng khúa cụng khai của bạn mó húa thụng điệp cần gửi.
Bước 3: Thụng điệp mó húa được gửi đến bạn (tất nhiờn khụng phải đưa trực tiếp như hỡnh vẽ).
Bước 4: Bạn dựng khúa bớ mật của mỡnh để giải mó thụng điệp.
Thuật toỏn dựng trong phương phỏp mó húa khúa cụng khai là RSA và thuật toỏn DH (Diffie – Hellman).
Ưu điểm: Bảo mật cao.
Nhược điểm: Quỏ trỡnh mó húa, giải mó chậm, chỉ nờn dựng cho những dữ liệu khụng quỏ lớn. Vỡ vậy, phương phỏp mó húa khúa cụng khai thường được dựng để truyền khúa của phương phỏp mó húa khúa đối xứng để tận dụng khả năng giải mó nhanh của phương phỏp này. Trờn lược đồ thụng điệp (plaintext) sẽ thay bằng khúa đối xứng. Quỏ trỡnh mó húa khúa đối xứng bằng khúa cụng khai sẽ tạo ra phong bỡ số.
Tuy cú tớnh bảo mật cao khú cú thể phỏ vỡ nhưng phương phỏp mó húa khúa cụng khai vẫn cú lỗ hổng. Bạn muốn gửi thụng điệp cho A, bạn cần cú khúa cụng khai của A. Sẽ ra sao nếu kẻ lừa đảo tự tạo cho mỡnh một cặp khúa bớ mật và cụng khai, sau đú hắn trao cho bạn khúa cụng khai của hắn vào bảo đú là khúa cụng khai của A. Chẳng cú gỡ xỏc thực khúa đú là của A, vỡ vậy bạn mó húa thụng điệp với khúa cụng khai này và gửi đi. Kẻ trộm sẽ túm lấy thụng tin và đọc được nú bởi vỡ hắn cú khúa bớ mật.
Như vậy, làm sao để chứng nhận cỏc khúa cụng khai của từng cỏ nhõn trờn mạng? Do đú, chứng chỉ số được ra đời. Chứng chỉ số (chứng chỉ điện tử) được cỏc tổ chức chứng thực (CA) cú uy tớn cung cấp cho cỏc cỏ nhõn, cụng ty. Chứng chỉ số sẽ được đề cập ở phần sau. Mục tiếp theo xin đề cập đến khỏi niệm chữ ký số (chữ ký điện tử).
2. Chữ ký số
Chữ ký số và chữ ký điện tử thường được dựng thay thế cho nhau, nhưng chỳng khụng hoàn toàn đồng nhất. Chữ ký điện tử rộng hơn chữ ký số. Chữ ký điện tử là những thụng tin đi kốm thụng điệp để xỏc thực người chủ sở hữu thụng điệp như chữ ký số, chữ ký tay được truyền bằng fax, địa chỉ telex
Chữ ký số khúa cụng khai (hay hạ tầng khúa cụng khai) là mụ hỡnh sử dụng cỏc kỹ thuật mật mó để gắn với mỗi người sử dụng một cặp khúa cụng khai - bớ mật và qua đú cú thể ký cỏc văn bản điện tử cũng như trao đổi cỏc thụng tin mật. Khúa cụng khai thường được phõn phối thụng qua chứng thực khúa cụng khai. Quỏ trỡnh sử dụng chữ ký số bao gồm 2 quỏ trỡnh: tạo chữ ký và kiểm tra chữ ký.
Tạo chữ ký số:
Sử dụng giải thuật băm (hash) một chiều để thay đổi thụng điệp cần truyền đi. Kết quả thu được một message digest gọi là bản phõn tớch văn bản hay túm tắt thụng điệp.
Sử dụng giải thuật MD5 (Message Digest 5) nờn thu được digest cú độ dài 128 bits.
Tiếp tục sử dụng giải thuật SHA (Secure Hash Algorithm) nờn thu được message digest cú độ dài 160 bits.
Sử dụng khúa bớ mật của người gửi để mó húa bản phõn tớch văn bản thu được ở cỏc bước trước. Trong bước này, thụng thường, người ta sử dụng giải thuật RSA. Kết quả thu được trong bước này là chữ ký điện tử của thụng điệp ban đầu.
Gộp chữ ký điện tử vào thụng điệp ban đầu. Cụng việc này gọi là ký nhận thụng điệp.
Sau khi đó ký nhận thụng điệp, mọi sự thay đổi trờn thụng điệp sẽ bị phỏt hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng vào thụng điệp này xuất phỏt từ người gửi chứ khụng phải ai khỏc.
Sau khi nhận được thụng điệp cú đớnh kốm chữ ký điện tử người nhận kiểm tra lại thụng điệp:
Người nhận sử dụng khúa cụng khai của người gửi để giải mó chữ ký điện tử đớnh kốm trong thụng điệp.
Sử dụng giải thuật MD5 hay SHA để băm thụng điệp đớnh kốm.
So sỏnh kết quả thu được ở hai bước trờn. Nếu trựng nhau thỡ ta kết luận thụng điệp này khụng bị thay đổi trong quỏ trỡnh gửi, người gửi là chớnh xỏc và ngược lại.
Lược đồ tạo và kiểm tra chữ ký số
Bản chất của thuật toỏn tạo chữ ký sổ là đảm bảo nếu chỉ biết thụng điệp thỡ rất khú (hầu như khụng thể) tạo ra chữ ký số của người gửi nếu khụng biết khúa bớ mật của người gửi. Nờn nếu phộp so sỏnh cho kết quả đỳng thỡ cú thể xỏc nhận người gửi là chớnh xỏc.
Tuy nhiờn khi tạo chữ ký số, người gửi thường khụng mó húa toàn bộ thụng điệp với khúa bớ mật mà chỉ thực hiện với bản băm của thụng điệp (bản túm tắt thụng điệp 160 bits) nờn cú thể xảy ra trường hợp hai thụng điệp khỏc nhau cú cựng bản băm nhưng với xỏc xuất rất thấp.
3. Chứng chỉ số
Phương phỏp mó húa khúa cụng khai đó thực hiện được yờu cầu mó húa, chữ ký số đó đảm bảo được tớnh toàn vẹn (thực chất là phỏt hiện sự thay đổi của thụng điệp trờn đường truyền chứ khụng ngăn cản được sự thay đổi) và xỏc thực được người gửi. Trở lại vấn đề giả mạo khúa cụng khai, vấn đề này đũi hỏi xỏc thực người nhận là ai. Điều này chữ ký số chưa thực hiện được. Vỡ vậy, để đỏp ứng nhu cầu đú một hệ thống tổ chức đó ra đời để cỏc cung cấp chứng chỉ số.
Chứng chỉ số là một file điện tử dựng để xỏc thực danh tớnh một cỏ nhõn, một mỏy chủ hay một cụng ty, tổ chức trờn Internet. Bạn cú thể hỡnh dung chứng chỉ số tương tự như bằng lỏi xe, chứng minh thư hay những giấy tờ xỏc minh cỏ nhõn khỏc.
a. Nhà cung cấp chứng chỉ số (CA)
Cũng như cỏc giấy tờ chứng thực cỏ nhõn khỏc, chứng chỉ số phải do một tổ chức đứng ra chứng nhận những thụng tin của bạn là chớnh xỏc. Tổ chức đú gọi là nhà cung cấp chứng chỉ số (Certificate Authority – CA). Cỏc CA phải đảm bảo về độ tin cậy, chịu trỏch nhiệm về độ chớnh xỏc của chứng chỉ số mà mỡnh cấp cho khỏch.
b. Nhà quản lý đăng ký
Một nhà quản lý đăng ký là một cơ quan thẩm tra trờn một mạng mỏy tớnh. Nú cú chức năng xỏc minh yờu cầu của người sử dựng muốn xỏc thực một chứng chỉ số và yờu cầu CA đưa ra kết quả.
c. Cơ sở hạ tầng khúa cụng khai (PKI)
Cơ sở hạ tầng khúa cụng khai (Public Key Infrastructure – PKI) là một hệ thống cho phộp cỏc cụng ty và người sử dụng trao đổi thụng tin và hoạt động tài chớnh một cỏch an toàn. Núi chung, nú cho phộp người dựng sử dụng một mạng cụng cộng khụng bảo mật, Internet chẳng hạn, để trao đổi thụng tin kể cả tiền bạc một cỏch an toàn thụng qua việc sử dụng mó húa khúa cụng khai. Nhưng khụng phải ai cũng biết cỏch tạo cho mỡnh một cặp khúa cụng khai và bớ mật cũng như thực hiện chữ ký số. Một CA cú uy tớn sẽ cung cấp cặp m
b. Mó húa khúa cụng khai – khúa khụng đối xứng.
Mó húa khúa cụng khai (Public Key Cryptography) sử dụng hai khúa khỏc nhau:
Khúa cụng khai (public key): được gửi cụng khai trờn mạng. Khúa cụng khai khụng cú khả năng giải mó thụng tin do chớnh nú mó húa.
Khúa bớ mật (private key): được giữ bớ mật.
Lược đồ mó húa khúa cụng khai
Bước 1: Trao chỡa khúa cụng khai cho người gửi. Vỡ khúa cụng khai được “cụng khai” nờn bạn khụng cần e sợ nguy cơ mất trộm.
Bước 2: Người gửi sử dụng khúa cụng khai của bạn mó húa thụng điệp cần gửi.
Bước 3: Thụng điệp mó húa được gửi đến bạn (tất nhiờn khụng phải đưa trực tiếp như hỡnh vẽ).
Bước 4: Bạn dựng khúa bớ mật của mỡnh để giải mó thụng điệp.
Thuật toỏn dựng trong phương phỏp mó húa khúa cụng khai là RSA và thuật toỏn DH (Diffie – Hellman).
Ưu điểm: Bảo mật cao.
Nhược điểm: Quỏ trỡnh mó húa, giải mó chậm, chỉ nờn dựng cho những dữ liệu khụng quỏ lớn. Vỡ vậy, phương phỏp mó húa khúa cụng khai thường được dựng để truyền khúa của phương phỏp mó húa khúa đối xứng để tận dụng khả năng giải mó nhanh của phương phỏp này. Trờn lược đồ thụng điệp (plaintext) sẽ thay bằng khúa đối xứng. Quỏ trỡnh mó húa khúa đối xứng bằng khúa cụng khai sẽ tạo ra phong bỡ số.
Tuy cú tớnh bảo mật cao khú cú thể phỏ vỡ nhưng phương phỏp mó húa khúa cụng khai vẫn cú lỗ hổng. Bạn muốn gửi thụng điệp cho A, bạn cần cú khúa cụng khai của A. Sẽ ra sao nếu kẻ lừa đảo tự tạo cho mỡnh một cặp khúa bớ mật và cụng khai, sau đú hắn trao cho bạn khúa cụng khai của hắn vào bảo đú là khúa cụng khai của A. Chẳng cú gỡ xỏc thực khúa đú là của A, vỡ vậy bạn mó húa thụng điệp với khúa cụng khai này và gửi đi. Kẻ trộm sẽ túm lấy thụng tin và đọc được nú bởi vỡ hắn cú khúa bớ mật.
Như vậy, làm sao để chứng nhận cỏc khúa cụng khai của từng cỏ nhõn trờn mạng? Do đú, chứng chỉ số được ra đời. Chứng chỉ số (chứng chỉ điện tử) được cỏc tổ chức chứng thực (CA) cú uy tớn cung cấp cho cỏc cỏ nhõn, cụng ty. Chứng chỉ số sẽ được đề cập ở phần sau. Mục tiếp theo xin đề cập đến khỏi niệm chữ ký số (chữ ký điện tử).
2. Chữ ký số
Chữ ký số và chữ ký điện tử thường được dựng thay thế cho nhau, nhưng chỳng khụng hoàn toàn đồng nhất. Chữ ký điện tử rộng hơn chữ ký số. Chữ ký điện tử là những thụng tin đi kốm thụng điệp để xỏc thực người chủ sở hữu thụng điệp như chữ ký số, chữ ký tay được truyền bằng fax, địa chỉ telex
Chữ ký số khúa cụng khai (hay hạ tầng khúa cụng khai) là mụ hỡnh sử dụng cỏc kỹ thuật mật mó để gắn với mỗi người sử dụng một cặp khúa cụng khai - bớ mật và qua đú cú thể ký cỏc văn bản điện tử cũng như trao đổi cỏc thụng tin mật. Khúa cụng khai thường được phõn phối thụng qua chứng thực khúa cụng khai. Quỏ trỡnh sử dụng chữ ký số bao gồm 2 quỏ trỡnh: tạo chữ ký và kiểm tra chữ ký.
Tạo chữ ký số:
Sử dụng giải thuật băm (hash) một chiều để thay đổi thụng điệp cần truyền đi. Kết quả thu được một message digest gọi là bản phõn tớch văn bản hay túm tắt thụng điệp.
Sử dụng giải thuật MD5 (Message Digest 5) nờn thu được digest cú độ dài 128 bits.
Tiếp tục sử dụng giải thuật SHA (Secure Hash Algorithm) nờn thu được message digest cú độ dài 160 bits.
Sử dụng khúa bớ mật của người gửi để mó húa bản phõn tớch văn bản thu được ở cỏc bước trước. Trong bước này, thụng thường, người ta sử dụng giải thuật RSA. Kết quả thu được trong bước này là chữ ký điện tử của thụng điệp ban đầu.
Gộp chữ ký điện tử vào thụng điệp ban đầu. Cụng việc này gọi là ký nhận thụng điệp.
Sau khi đó ký nhận thụng điệp, mọi sự thay đổi trờn thụng điệp sẽ bị phỏt hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng vào thụng điệp này xuất phỏt từ người gửi chứ khụng phải ai khỏc.
Sau khi nhận được thụng điệp cú đớnh kốm chữ ký điện tử người nhận kiểm tra lại thụng điệp:
Người nhận sử dụng khúa cụng khai của người gửi để giải mó chữ ký điện tử đớnh kốm trong thụng điệp.
Sử dụng giải thuật MD5 hay SHA để băm thụng điệp đớnh kốm.
So sỏnh kết quả thu được ở hai bước trờn. Nếu trựng nhau thỡ ta kết luận thụng điệp này khụng bị thay đổi trong quỏ trỡnh gửi, người gửi là chớnh xỏc và ngược lại.
Lược đồ tạo và kiểm tra chữ ký số
Bản chất của thuật toỏn tạo chữ ký sổ là đảm bảo nếu chỉ biết thụng điệp thỡ rất khú (hầu như khụng thể) tạo ra chữ ký số của người gửi nếu khụng biết khúa bớ mật của người gửi. Nờn nếu phộp so sỏnh cho kết quả đỳng thỡ cú thể xỏc nhận người gửi là chớnh xỏc.
Tuy nhiờn khi tạo chữ ký số, người gửi thường khụng mó húa toàn bộ thụng điệp với khúa bớ mật mà chỉ thực hiện với bản băm của thụng điệp (bản túm tắt thụng điệp 160 bits) nờn cú thể xảy ra trường hợp hai thụng điệp khỏc nhau cú cựng bản băm nhưng với xỏc xuất rất thấp.
3. Chứng chỉ số
Phương phỏp mó húa khúa cụng khai đó thực hiện được yờu cầu mó húa, chữ ký số đó đảm bảo được tớnh toàn vẹn (thực chất là phỏt hiện sự thay đổi của thụng điệp trờn đường truyền chứ khụng ngăn cản được sự thay đổi) và xỏc thực được người gửi. Trở lại vấn đề giả mạo khúa cụng khai, vấn đề này đũi hỏi xỏc thực người nhận là ai. Điều này chữ ký số chưa thực hiện được. Vỡ vậy, để đỏp ứng nhu cầu đú một hệ thống tổ chức đó ra đời để cỏc cung cấp chứng chỉ số.
Chứng chỉ số là một file điện tử dựng để xỏc thực danh tớnh một cỏ nhõn, một mỏy chủ hay một cụng ty, tổ chức trờn Internet. Bạn cú thể hỡnh dung chứng chỉ số tương tự như bằng lỏi xe, chứng minh thư hay những giấy tờ xỏc minh cỏ nhõn khỏc.
a. Nhà cung cấp chứng chỉ số (CA)
Cũng như cỏc giấy tờ chứng thực cỏ nhõn khỏc, chứng chỉ số phải do một tổ chức đứng ra chứng nhận những thụng tin của bạn là chớnh xỏc. Tổ chức đú gọi là nhà cung cấp chứng chỉ số (Certificate Authority – CA). Cỏc CA phải đảm bảo về độ tin cậy, chịu trỏch nhiệm về độ chớnh xỏc của chứng chỉ số mà mỡnh cấp cho khỏch.
b. Nhà quản lý đăng ký
Một nhà quản lý đăng ký là một cơ quan thẩm tra trờn một mạng mỏy tớnh. Nú cú chức năng xỏc minh yờu cầu của người sử dựng muốn xỏc thực một chứng chỉ số và yờu cầu CA đưa ra kết quả.
c. Cơ sở hạ tầng khúa cụng khai (PKI)
Cơ sở hạ tầng khúa cụng khai (Public Key Infrastructure – PKI) là một hệ thống cho phộp cỏc cụng ty và người sử dụng trao đổi thụng tin và hoạt động tài chớnh một cỏch an toàn. Núi chung, nú cho phộp người dựng sử dụng một mạng cụng cộng khụng bảo mật, Internet chẳng hạn, để trao đổi thụng tin kể cả tiền bạc một cỏch an toàn thụng qua việc sử dụng mó húa khúa cụng khai. Nhưng khụng phải ai cũng biết cỏch tạo cho mỡnh một cặp khúa cụng khai và bớ mật cũng như thực hiện chữ ký số. Một CA cú uy tớn sẽ cung cấp cặp m