Tải bản đầy đủ (.pptx) (36 trang)
  1. Trang chủ
    2. >>
  2. Kinh Doanh - Tiếp Thị
    3. >>
  3. Thương mại điện tử

Bài giảng Thương mại điện tử: Chương 3 Đàm Thị Thuỷ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (705.2 KB, 36 trang )

Chương 3

An ninh thương mại điện tử
Đàm Thị Thuỷ
Bộ môn Quản trị kinh doanh
Email:


Chương 3: An ninh TMĐT
3.1 Vấn đề an ninh cho các hệ thống TMĐT

3.2 Các khía cạnh của an ninh TMĐT

3.3 Hệ thống bảo mật trong TMĐT

3.4 Một số giải pháp công nghệ đảm bảo an ninh trong
TMĐT


Câu hỏi ôn tập chương 3
1. Khái niệm về an ninh TMĐT. Các khía cạnh về an ninh TMĐT của
phía người mua và người bán?
2. Những nguy cơ đe dọa an ninh trong TMĐT
3. Kỹ thuật mã hóa thơng tin, phân biệt mã hóa cơng cơng và mã hóa
bí mật.
4. Chữ ký điện tử và vai trò của chữ ký điện tử
5. Các rủi ro đối với máy chủ, mạng và máy khách?
6. Khái niệm về
7. Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT
8. Chức năng chủ yếu của hệ thống bảo mật thông tin
9. Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT




3.1 Vấn đề an ninh cho các hệ thống TMĐT
 Làm

thế nào để cân bằng giữa an ninh và tiện dụng.
Một hệ thống càng an tồn thì khả năng xử lý, thực thi
thao tác càng phức tạp.

 Các

loại tội phạm trong TMĐT rất tinh vi trong khi
việc giảm các rủi ro TMĐT là một quá trình phức tạp
liên quan đến những đạo luật mới, công nghệ mới,
nhiều thủ tục và các chính sách tổ chức.

 TMĐT

đã hấp dẫn các tin tặc khi khách hàng sử
dụng thẻ để mua hàng hoặc dịch vụ trực tuyến,
dùng email để thực hiện các giao dịch kinh tế.


3.1 Vấn đề an ninh cho các hệ thống TMĐT
Các yếu tố làm số lượng các tấn công trên mạng phát triển:
+ Các hệ thống an ninh luôn tồn tại các điểm yếu.
+ Vấn đề an ninh và dễ dàng sử dụng.
+ Vấn đề an ninh thường xuất hiện sau khi có sức ép thị
trường.
+ Vấn đề an ninh của trang e.commerce còn phụ thuộc vào

an ninh của internet, số lượng các trang web của các
trường, thư viện, cá nhân…


3.2 Các khía cạnh của an ninh TMĐT
3.2.1 Những quan tâm
* Phía người mua: Bằng cách nào ?
+ Biết chắc Website do một công ty hợp pháp quản lý và sở
hữu.
+ Biết chắc trang web không chứa các đoạn mã nguy hiểm
hoặc các nội dung không lành mạnh.
+ Biết chắc rằng web server sẽ không cung cấp các thông
tin của người sử dụng cho một người khác.


3.2 Các khía cạnh của an ninh TMĐT
3.2.1 Những quan tâm
* Phía cơng ty: Bằng cách nào biết chắc rằng
+ Người sử dụng sẽ không xâm nhập vào trang web để thay đổi các
trang và nội dung trên đó.
+ Người sử dụng sẽ không phá hoại website để những người khác
khơng thể sử dụng được.
* Từ phía cả cơng ty và người sử dụng: bằng cách nào họ có thể
biết chắc rằng:
+ Đường truyền sẽ không bị người thứ ba theo dõi.
+ Các thông tin được lưu chuyển giữa hai bên sẽ không bị thay đổi.


3.2 Các khía cạnh của an ninh TMĐT
3.2.2 Yêu cầu của an ninh TMĐT

 Tính

tồn vẹn

 Chống

phủ định

 Tính

xác thực

 Tính

đáng tin cậy

 Tính

riêng tư.

 Tính

ích lợi



3.2 Các khía cạnh của an ninh TMĐT
3.2.3 Những nguy cơ đe doạ an ninh TMĐT
 Các


đoạn mã nguy hiểm (malicious code): gồm nhiều
mối đe dọa khác nhau như các loại virus, worm.

 Tin

tặc (hacker) và các chương trình phá hoại
(cybervandalism)

 Gian
 Sự

lận thẻ tín dụng

lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử
giả hoặc mạo danh một người nào đó nhằm thực hiện
những hành động phi pháp.


3.2 Các khía cạnh của an ninh TMĐT
3.2.3 Những nguy cơ đe doạ an ninh TMĐT
 Sự

khước từ dịch vụ (DoS, DDoS): là việc các hacker sử
dụng những giao thông vơ ích làm tràn ngập hoặc tắc
nghẽn mạng truyền thơng, hoặc sử dụng số lượng lớn
máy tính tấn cơng vào một mạng.

 Nghe

trộm, giám sát sự di chuyển của thông tin trên

mạng. Xem lén thư điện tử là sử dụng các đoạn mã ẩn bí
mật gắn vào một thơng điệp thư điện tử, cho phép người
xem lén có thể giám sát tồn bộ các thơng điệp chuyển
tiếp được gửi đi với thông điệp ban đầu


Top 10 vụ vi phạm dữ liệu nổi bật nhất 2019


Blur – công ty cung cấp dịch vụ quản lý và bảo mật password: Tuy nhiên, một trong những máy
chủ của công ty không được bảo mật, dẫn tới lộ thông tin của 2,4 triệu người dùng bao gồm tên,
gợi ý mật khẩu, IP, và email.



Fortnite – Game online với hơn 200 triệu người chơi: Tội phạm mạng lợi dụng nhiều lỗ hổng
trong game để xem thông tin cá nhân của người chơi và nghe lén các cuộc trò chuyện trong
game của họ.



Sở Y Tế và Dịch Vụ Xã Hội Alaska: Tin tặc đã tấn công bộ phận hỗ trợ cơng cộng và có được
quyền truy cập vào danh tính của 100.000 ứng viên đăng ký tham gia hỗ trợ chính phủ.



Dunkin’ Donuts: Hackers có quyền truy cập vào tài khoản của công ty chứa thông tin các thành
viên của giải thưởng DD Perks (chương trình tích điểm và đổi quà tặng dành cho khách hàng
của Dunkin’ Donuts). Chúng đã tiến hành bán các giải thưởng đó trên dark web.




Facebook: một lỗ hổng bảo mật trên Facebook đã cho phép hacker truy cập vào 50 triệu tài
khoản. Vụ tấn công này được thực hiện bằng cách truy cập vào tokens của người dùng (token
cho phép người dùng giữ phiên đăng nhập trên các thiết bị trong một khoảng thời gian). Do ảnh
hưởng của vụ tấn công, Facebook đã yêu cầu tất cả người dùng phải đăng nhập lại trên toàn bộ
thiết bị.


Top 10 vụ vi phạm dữ liệu nổi bật nhất 2019


Whatsapp: nhóm tin tặc đã khai thác tính năng voice call (đàm thoại bằng giọng
nói) để cài đặt phần mềm khảo sát vào máy người dùng. Vụ vi phạm ảnh hưởng
tới 1,5 tỷ người trên toàn thế giới. Phần mềm gián điệp này đã truy cập vào một
số tính năng trên smartphone của người dùng như microphone, camera, email, tin
nhắn. 



Instagram: một kho dữ liệu chứa thông tin liên lạc của 49 triệu người dùng đã bị
để lộ. Phần lớn thông tin trong đó thuộc về các influencers (người có tầm ảnh
hưởng trên mạng xã hội), người nổi tiếng, và các tài khoản doanh nghiệp.



Quest Diagnostics: thơng tin tài chính và số an sinh xã hội của 49 triệu người đã
bị lộ trong một vụ vi phạm dữ liệu. Tin tặc đã truy cập vào cổng thanh tốn của
một đối tác của cơng ty.




Sở Dịch vụ Y Tế cấp quận tại Los Angeles: một cuộc tấn công phishing nhắm vào
nhà thầu đã khiến cho thông tin cá nhân của 15.000 bệnh nhân bị đánh cắp.



DoorDash: một nhà cung cấp bên thứ ba của dịch vụ giao đồ ăn này đã bị tấn
công, làm lộ thông tin của khoảng 4,9 triệu người dùng DoorDash.


3.3 Hệ thống bảo mật trong TMĐT
3.3.1 Khái niệm
 Bảo

mật thông tin là bảo vệ thông tin dữ liệu cá nhân,
tổ chức nhằm tránh khỏi sự xâm nhập không được
phép bởi những kẻ xấu hoặc tin tặc hoặc bất cứ người
nào.

 Hệ

thống bảo mật thông tin trong TMĐT là tập hợp
các giải pháp đồng bộ về pháp lý, kinh tế, nhân sự và
kỹ thuật nhằm chống lại xâm nhập bất hợp pháp của
kẻ xấu hoặc tin tặc hoặc bất cứ người nào vào cơ sở
dữ liệu thông tin của cá nhân hoặc tổ chức


3.3 Hệ thống bảo mật trong TMĐT

3.3.2 Lý do cần bảo mật an tồn thơng tin
 Tại

sao cần

bảo mật thơng tin?


3.3 Hệ thống bảo mật trong TMĐT
3.3.3 Một số rủi ro thường gặp trong TMĐT
 Rủi

ro về cơng nghệ:



Rủi ro đối với máy chủ



Rủi ro đối với máy khách



Rủi ro mạng và đường truyền

 Rủi

ro với cơ sở dữ liệu


 Rủi

ro về giao dịch và thanh toán trong TMĐT

 Rủi

ro về pháp lý


3.3 Hệ thống bảo mật trong TMĐT
3.3.3 Một số rủi ro thường gặp trong TMĐT


Rủi ro đối với máy chủ:

Máy chủ là liên kết thứ 3 trong bộ ba máy khách – Internet
– máy chủ (client – Internet – server), bao gồm đường dẫn
thương mại điện tử giữa người sử dụng và máy chủ thương
mại.
Máy chủ có những điểm yếu sau
* Máy chủ web và các phần mềm hỗ trợ
* Các chương trình phụ trợ bất kỳ có chứa dữ liệu
* Các chương trình tiện ích được cài đặt trong máy chủ


3.3 Hệ thống bảo mật trong TMĐT
3.3.3 Một số rủi ro thường gặp trong TMĐT


Rủi ro đối với máy khách: Sử dụng active content như

một công cụ để lấy dữ liệu

o

Các chương trình gây hại có thể phát tán qua các trang
Web, phát hiện ra số thẻ tín dụng, tên người sử dụng và
mật khẩu. Những thông tin này được lưu giữ trong những
file đặc biệt (cookie)

o

Nhiều Active content còn lan truyền thơng qua các cookie,
chúng có thể phát hiện nội dung các file của máy khách,
thậm chí có thể huỷ bỏ các file trong máy khách


3.3 Hệ thống bảo mật trong TMĐT
3.3.3 Một số rủi ro thường gặp trong TMĐT


Rủi ro đối với máy khách:

Cụ thể rủi ro tấn công vào các website TMĐT:
- Phát tán virus
- Tin tặc, các chương trình phá hoại
- Kẻ giả mạo (Phishing)
- Kẻ trộm trên mạng (sniffer)
- Tấn công tư chối dịch vụ
- Gửi thư rác với quy mô lớn, gây nhiễu
- Thu thập thông tin người sử dụng…



3.3 Hệ thống bảo mật trong TMĐT
3.3.3 Một số rủi ro thường gặp trong TMĐT


Rủi ro mạng và đường truyền:

o

Sự cố

o

Phá hoại

o

Quá tải


3.3 Hệ thống bảo mật trong TMĐT
3.3.3 Một số rủi ro thường gặp trong TMĐT
 Rủi

ro với cơ sở dữ liệu:



Rủi ro xẩy ra đối với các dữ liệu chứa thơng tin về mật khẩu/ tên

người dùng.



Tiếp đó các chương trình như: con ngựa thành Tơ-roa nằm ẩn
trong hệ thống cơ sở dữ liệu, mở cổng sau để chuyên những thơng
tin cần thiết ra ngồi thơng qua việc giáng cấp các thông tin này.
o

Việc giáng cấp các thông tin này bằng cách chuyển các thông
tin nhậy cảm sang vùng chứa thơng tin có tính bảo mật thấp
hơn.

o

Sau khi giáng cấp thơng tin, những đối tượng bên ngồi có thể
dễ dàng xâm nhập và đánh cắp dữ liệu


3.3 Hệ thống bảo mật trong TMĐT
3.3.4 Mục tiêu của hệ thống bảo mật cho các hoạt động TMĐT

(1) Chống xâm nhập bất hợp pháp
(2) Chống sự tấn công của Hacker
(3) Bảo đảm thông tin không bị lộ,
(4) Đảm bảo không bị sửa đổi, mất dữ liệu của thông
tin
(5) Đảm bảo tính sẵn sàng của thơng tin
(6) Đảm bảo tính toàn vẹn của giao dịch



3.3 Hệ thống bảo mật trong TMĐT
3.3.5 Chức năng chủ yếu của hệ thống bảo mật thông tin
 Ngăn

ngừa thiệt hại

 Thơng

báo trước

 Thu

thập có giới hạn

 Việc

sử dụng những thơng tin

 Quyền
 Tính
 An

lựa chọn của chủ thể dữ liệu

tồn vẹn của thơng tin

ninh, an tồn dữ liệu

 Tiếp


cận và điều chỉnh dữ liệu

 Trách

nhiệm


3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT
3.4.1 Kỹ thuật mã hố thơng tin
 là

q trình chuyển các văn bản hay các tài liệu gốc thành
các văn bản dưới dạng mật mã (số hóa) để bất cứ ai, ngồi
người gửi và người nhận đều khơng thể đọc được.

 Hệ

thống mã hóa hiện đại thường được số hóa – thuật tốn
dựa trên các bit đơn của thông điệp chứ không dựa trên ký
hiệu chữ cái. Máy tính lưu trữ dữ liệu dưới dạng một
chuỗi nhị phân, trình tự của các số 1 và 0. Mỗi ký tự gọi
là một bit. Các mã khóa và mã mở là các chuỗi nhị phân
với độ dài khóa được xác định sẵn.


3.4 Một số giải pháp công nghệ đảm bảo an ninh trong TMĐT
3.4.1 Kỹ thuật mã hố thơng tin
 Kỹ


thuật mã hố:



Mã hố khố bí mật



Mã hố cơng cộng

 Giao

thức thoả thuận mã khố: Phong bì số hố.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×