Tải bản đầy đủ (.docx) (55 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Đề cương môn An toàn Internet và thương mại điện tử Học viện kỹ thuật Mật mã

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.9 MB, 55 trang )

Câu 1: Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT:
Thương mại điện tử (e-commerce) nổi lên vào những năm 1970. Việc sử dụng trao đổi dữ
liệu điện tử vào đầu những năm 1980 đã đẩy mạnh tốc độ phát triển thương mại điện tử.
Vào giai đoạn giữa những năm 1990, một số nước, như Mỹ, Canada đã dẫn đầu trong việc
phát triển thương mại điện tử. Bước
sang thế kỷ 21, thương mại điện tử vẫn phát triển rất nhanh .Theo xu thế được tính toán
tại thời điểm đó, TMĐT bán lẻ ở Mỹ có thể đạt 100 tỷ USD vào giữa năm 2006. Ở Châu
Mỹ La-tinh, năm 2003, theo các nguồn nghiên cứu thị trường ước tính tổng TMĐT B2C
đạt 2.5 tỷ USD. Năm 2002, doanh thu B2B trực tuyến của Mỹ lên đến 1072 tỷ USD,
chiếm tới 92.7 % tổng doanh thu TMĐT của Mỹ.Năm 2006, TMĐT B2B ở trung và Tây
Âu có thể lên tới 17.6 tỷ USD. Ngày nay còn có một cơ sở tốt cho các ứng dụng TMĐT ở
Trung quốc. Các báo cáo chỉ ra rằng Trung quốc đã trở thành thị trường trực tuyến lớn
nhất khu vực châu Á- TBD năm 2003 với số lượng 3.566 triệu đô la TMĐT
Ngày 01/4/2003 hãng eMarketer dự đoán tổng thu nhập thương mại B2B cho tới cuối năm
2003 sẽ vượt qua con số 1.4 nghìn tỷ USD. Cuối năm 2003, tổng thu nhập thương mại
B2B của Mỹ là 721 tỷ USD. Một số thống kê về sự phát triển của TMĐT được thể hiện
qua các sơ đồ sau:

Hình 1: TMĐT theo phương thức B2C

1


Quá trình từng bước áp dụng tác nghiệp điện tử đối với 1 tổ chức được thể hiện trên sơ
đồ sau:

Hình 2: Các giai đoạn phát triển của tác nghiệp điện tử
Câu 1.2 Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT
Thương mại điện tử bao gồm việc sử dụng Internet và World Wide Web để thực hiện
thương mại
Thương mại điện tử bao gồm:


– Việc hiển thị hàng hoá và dịch vụ trên môi trường mạng
– Thực hiện đặt hàng và thanh toán trực tuyến
– Tự động yêu cầu tài khoản của khách hàng
– Tự động thực hiện các giải pháp quản lý dây chuyền cung ứng
Khởi điểm của thương mại điện tử:
• Hệ thống chăm sóc sức khoẻ Baxter Healthcare
– Đây là hệ thống sử dụng đường truyền điện thoại để truyền dữ liệu, dùng cho các
bệnh viện
– Hệ thống đặt hàng từ xa dựa trên máy PC vào những năm 80
• Hệ thống chuyển tiền điện tử (EFT): 1970


2


Năm 1980 chuẩn trao đổi dữ liệu điện tử (EDI-Electronic Data Interchange) ra đời cho
phép các công ty trao đổi các tài liệu thương mại và thực hiện các giao dịch điện tử qua
mạng riêng
Các giai đoạn của TMĐT:

Giai đoạn I:

Bắt đầu nhanh từ năm 1995

Sử dụng web để quảng cáo sản phẩm một cách rộng rãi

Kết thúc vào năm 2000 khi cuộc khủng hoảng dot.com xảy ra

Giai đoạn II:


Bắt đầu vào tháng 1/2001

Các công ty thương mại điện tử còn lại sau cuộc khủng hoảng dot.com tiếp tục
phát triển
Câu 2: Phân loại TMĐT
1.Phân loại theo đối tác kinh doanh


Hình 3: Phân loại TMĐT theo đối tượng tham gia
2. Chợ điện tử (e-market)
Tổ chức IDC phân biệt 3 loại hình TMĐT B2B:
• Phân phối điện tử (eDistribution): loại hình TMĐT do bên bán chi phối. Loại hình
này phổ biến nhất trong số các giao dịch B2B hiện nay. Mặc dù lướng hàng bán ra sẽ
vẫn tăng nhưng tốc độ tăng sẽ giảm do những người mua và bán sẽ lựa chọn thêm các
loại hình khác nữa
• Chợ điện tử (eMarketplace): là kiểu TMĐT B2B do một hội chi phối. Kiểu hình này
không cho phép quyền lợi của các bên bán có ưu thế so với bên mua và ngược lại. Chợ
điện tử là loại hình sẽ phát triển nhanh nhất trong các năm tới. Ví dụ
như:.

3


Thu mua điện tử (eProcurement): loại hình TMĐT B2B do bên mua chi phối, bao
gồm cả mua trực tiếp và mua gián tiếp. Loại hình này cũng khá phát triển tuy nhiên nó
thường được các công ty lớn quan tâm nhiều hơn. Các công ty lớn cũng sẽ chiếm đa số
trong loại hình này. Nhiều chính phủ cũng bắt đầu áp dụng hình thức này như chính
phủ Brazil (bắt đầu từ năm 2000).
3.Phân loại theo đặc điểm thị trường
• Theo mức độ cởi mở của thị trường:

Thị trường mở là những thị trường mà tất cả mọi người có thể đăng ký và tham gia. Đa
số các trang bán lẻ B2C thuộc loại này.
Tại một thị trường đóng chỉ có một số thành viên nhất định được mời hay cho phép tham
gia. Một số trang TMĐT B2B thuộc loại này, trong đó thành viên tham gia bắt buộc phải
có quan hệ đối tác kinh doanh của hãng và được tạo tài khoản riêng.
• Theo loại hình kinh doanh:
Một thị trường ngang tập trung vào một quy trình kinh doanh riêng lẻ nhất định, thí dụ
như cung cấp: nhiều doanh nghiệp có thể từ các ngành khác nhau tham gia như là người
mua và liên hệ với một nhóm nhà cung cấp. Chợ điện tử và trang đấu giá trực tuyến
thuộc loại thị trường ngang. Chỉ có chức năng trung gian chứ không thực hiện nhiều quy
trình kinh doanh. Ngược lại, thị trường dọc mô phỏng nhiều quy trình kinh doanh khác
nhau của một ngành duy nhất hay một nhóm người dùng duy nhất. Các trang bán lẻ
thường là các thị trường dọc.
Câu 2.2 Phân loại TMĐT
 Phân loại theo đối tượng tham gia giao dịch

Người tiêu dùng:
C2C (Consumer – To – Consumer): Người tiêu dùng với người tiêu dùng
C2B ( Consumer – To – Consumer): Người tiêu dùng với Doanh nghiệp
C2G ( Consumer – To – Government): Người tiêu dùng với Chính phủ
• Doanh nghiệp:
B2C (Bussiness – To – Consumer): Doanh nghiệp với Người tiêu dùng
B2B (Bussiness – To – Bussiness) : Doanh nghiệp với Doanh nghiệp
B2G (Bussiness – To – Government): Doanh nghiệp với Chính phủ
• Chính phủ
G2C ( Government – To – Consumer): Chính phủ với Người tiêu dùng
G2B (Government – To - Bussiness): Chính phủ với Doanh nghiệp.
G2G (Government – To – Government): Chính phủ với Chình phủ.
Câu 3.1 : Kiến trúc TMĐT
1. Sơ đồ luồng công việc



4


Về cơ bản, luồng công việc TMĐT được diễn ra như trong hình 15. Trong đó, khách
hàng là tác nhân ngoài sử dụng hệ thống TMĐT.

Hình 4: Luồng công việc trong TMĐT
2. Các thành phần trong hệ thống
các thành phần trong hệ thống TMĐT bao gồm:
• Máy chủ web, có chứa Website TMĐT
• Trung tâm xử lý thanh toán
• Ngân hàng
Ngoài ra, hệ thống mạng đóng vai trò truyền dữ liệu là trong suốt với quá trình hoạt động
của hệ thống.

Hình 5: Sơ đồ hoạt động TMĐT
Như vậy, hệ thống TMĐT cũng như mạng Internet không thuộc sở hữu riêng của một
chủ nào cả, mà thuộc sở hữu của nhiều bên. Phân chia theo chủ sở hữu thì hệ thống
TMĐT gồm 5 đối tượng:
• Máy khách, PC của người mua.
• Máy chủ web, làm dịch vụ hosting website TMĐT. Đối tượng này có chủ sở hữu là
nhà cung cấp dịch vụ web-hosting.
• Website TMĐT có webmaster chính là công ty, bán dịch vụ, hàng hóa trực tuyến.
5


Trung tâm dịch vụ xử lý giao dịch, chính là đơn vị trung gian đứng ra thực hiện giao
dịch thanh toán trực tuyến. Ví dụ đơn vị thanh toán CitiConnect sắp đưa vào hoạt

động tại Việt Nam, để thanh toán cước sử dụng hàng tháng cho EVN.
• Các ngân hàng: bắt buộc phải bao gồm ngân hàng thực hiện giao dịch thanh toán ,
ngân hàng có tài khoản người mua; có thể thêm một số ngân hàng trung gian trong
quá trình chuyển tiền giữa 2 ngân hàng này. Cũng có trường hợp 1 ngân hàng vừa có
tài khoản người mua, vừa có tài khoản của trung tâm dịch vụ thanh toán.
Ngoài ra còn có hệ thống mạng Internet truyền dữ liệu giữa các thành phần này.
 Trên phương diện kỹ thuật, an toàn TMĐT chia làm 3 lĩnh vực:
• An toàn dịch vụ thanh toán: bao gồm các phương thức, dịch vụ để đảm bảo giao dịch
thanh toán được xử lý bí mật, toàn vẹn, chống từ chối khi giả mạo nhưng lại không bị
theo dấu.
• An toàn Web: bao gồm an toàn cho website, và máy khách.
• An toàn liên lạc: bảo mật đường truyền giữa các thành phần trong hệ thống TMĐT.
Câu 3.2. Kiến trúc TMĐT
• Thương mại điện tử bao gồm việc sử dụng Internet và World Wide Web để thực hiện
thươngmại
• Thương mại điện tử bao gồm:
• Việc hiển thị hàng hoá và dịch vụ trên môi trường mạng
• Thực hiện đặt hàng và thanh toán trực tuyến
• Tự động yêu cầu tài khoản của khách hàng
• Tự động thực hiện các giải pháp quản lý dây chuyền cung ứng







Hệ thống chăm sóc sức khoẻ Baxter Healthcare
Đây là hệ thống sử dụng đường truyền điện thoại để truyền dữ liệu, dùng cho các
bệnh viện

Hệ thống đặt hàng từ xa dựa trên máy PC vào những năm 80
Hệ thống chuyển tiền điện tử (EFT): 1970
6


Năm 1980 chuẩn trao đổi dữ liệu điện tử (EDI-Electronic Data Interchange) ra đời
cho phép
• các công ty trao đổi các tài liệu thương mại và thực hiện các giao dịch điện tử qua
mạng riêng
• Các loại hình thương mại điện tử
B2B (Business to Business): Doanh nghiệp này bán hàng cho doanh nghiệp khác
Ví dụ: Wal-Mart, Siemens
B2C (Business to Consumer): Doanh nghiệp bán hàng cho người tiêu dùng
Ví dụ:Amazon.com, Pets.com, Merrill Lynch Online
C2C (Consumer to Consumer): Khách hàng với khách hàng
• Ví dụ: ebay.com, chodientu.com
Câu 4.1: Các rủi ro mất ATTT của Internet:
1. Năm mục tiêu của An toàn Internet:
Vấn đề an toàn Internet nói riêng cũng như an toàn thông tin nói chung được tóm gọn
trong sơ đồ dưới đây:


Hình 6: Mô hình cơ bản của An toàn thông tin
Chúng ta thấy rõ từ sơ đồ trên đây là vấn đề ATTT không chỉ chỉ được giải quyết bằng
các biện pháp kỹ thuật công nghệ mà còn phải áp dụng các biện pháp cần thiết lên các yếu
tố con người, thủ tục và chính sách.
2. Đánh giá rủi ro Internet
An toàn Internet nhằm làm giảm nhẹ các rủi ro do Internet sinh ra. Đánh giá rủi ro an ninh
thường bao gồm các bước sau:
Nhận dạng tài sản thông tin trong khu vực cần bảo mật: Tài sản có thể là những vật hữu

hình, như là phần cứng, hoặc vô hình, như là cơ sở dữ liệu của tổ chức. Theo định nghĩa,
tài sản có giá trị đối với tổ chức, vì vậy đòi hỏi sự bảo vệ. Tài sản cần được xác định, và
chủ sở hữu phải được định nghĩa. Một giá trị định lượng tương đối cần được xác định cho
mỗi tài sản để mức độ quan trọng của tài sản được thiết lập khi rủi ro được định lượng.
Xác định mối nguy cơ đe dọa đến tài sản – nguy cơ đe dọa được tạo ra do sự lợi dụng
những điểm yếu của tài sản và tạo nên rủi ro. Những mối nguy cơ đe dọa đến mỗi tài sản
7


cần được nhận dạng. Có thể có rất nhiều mối nguy cơ đe dọa đến tài sản, tuy nhiên chỉ
nên xem xét đến những mối nguy cơ có tính hiện thực cao. Chỉ có những mối nguy cơ đe
dọa có khả năng xảy ra cao, hoặc dẫn đến thiệt hại lớn cần được xem xét.
Xác định mức độ tổn thương của tài sản – Mức độ tổn thương là những điểm yếu của
tài sản có thể được lợi dụng bởi các mối nguy cơ đe dọa và tạo ra rủi ro. Một tài sản có thể
có nhiều tổn thương. Ví dụ, mức độ tổn thương đến cơ sở dữ liệu của một tổ chức có thể
là do sự yếu kém về kiểm soát truy cập hoặc thiếu sự backup.
Xác định xác xuất xảy ra – Xác xuất xảy ra cho mỗi tổ hợp: mối đe dọa rủi ro/sự tổn
thương cần được xác định, tổ hợp với khả năng xảy ra quá thấp có thể được bỏ qua.
Tính toán thiệt hại – Thiệt hại cần được định lượng với con số giá trị cụ thể nhằm xác
định rõ giá trị mất mát do mỗi sự cố tấn công thành công. Giá trị này thiết lập được sự
nghiêm trọng của mỗi rủi ro và không tính đến xác xuất khả năng xảy ra.
Tính toán rủi ro. Nói một cách toán học, rủi ro có thể được tính theo công thức: (xác
xuất xảy ra) X mức độ thiệt hại = Rủi Ro. Công thức này dẫn đến việc đo lường và so
sánh mức độ nghiêm trọng của các rủi ro, cho phép việc tập trung nguồn lực vào giải
quyết những mối rủi ro lớn nhất.
Sự hiệu quả của quy trình ISO27001 dựa trên sự chính xác và trọn vẹn của việc đánh giá
rủi ro an ninh. Rủi ro không thể được giảm nhẹ khi chưa được xác định rõ ràng! Các kiểm
soát được tạo ra để giảm nhẹ rủi ro được xác định trong bước đánh giá rủi ro. Sự chọn lựa
của các kiểm soát được xem xét dựa trên sự cân bằng giữa khả năng của ban lãnh đạo
chấp nhận rủi ro và việc áp dụng kiểm soát.

Câu 4.2 Các rủi ro mất ATTT của Internet
• Đối với người dùng cuối
 Virus, worm, trojan, keylog, spyware, lừa đảo trực tuyến, mất thông tin mật,
mất định danh, zombie, vv..
• Đối với các công ty, tổ chức, nhà cung cấp dịch vụ vv…
 Mất cắp các thông tin mật, phá hoại đường truyền, tấn công từ chối dịch vụ,
chiếm dụng hệ thống mạng, sập hệ thống mạng và các dịch vụ, virus, vv..
• Tin tặc
 Thực hiện phân tích tìm vết
 Liệt kê, tổng hợp các thông tin
 Tìm cách truy cập thông qua việc lợi dụng người sử dụng hệ thống
 Nâng cấp quyền
 Thu thập các mật khẩu và các bí mật hệ thống khác
 Cài đặt cổng hậu (backdoor)
 Khai thác hệ thống
• Đánh cắp định danh:
8


Định danh số: sự thể hiện của một người trong hệ thống thông tin
- Danh tính của người sử dụng
- Các yếu tố đặc trưng
 Các trường hợp tội phạm đánh cắp định danh
- Sử dụng định danh ăn cắp để mở tài khoản mới kiếm lợi
- Sử dụng định danh ăn cắp được để lạm dụng tài khoản hiện có của người
chủ thật.
- Ăn cắp định danh tội phạm: khi tội phạm đánh cắp định danh của 1
người khác và đưa định danh đó cho bộ phận luật pháp thay thế cho định
danh của mình
Khai thác lỗ hổng

Khai thác lỗi vận hành
Tấn công từ chối dịch vụ
Virus và các mã độc hại trên Internet
 Virus
 Sâu máy tính(Worm)
 Trojan
Tấn công Web và ứng dụng:
Các nguy cơ được phân tích bởi OWASP (Open Web Application Security Project)
- A1: Dữ liệu đầu vào không được kiểm tra
- A2: Lỗi kiểm soát truy cập nguồn tài nguyên
- A3: Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập
- A4: Lỗi Cross Site Scripting (XSS)
- A5: Lỗi tràn bộ đệm
- A6: Lỗi Injection
- A7: Quy trình quản lý báo lỗi
- A8: Lưu trữ thiếu an toàn
- A9: Từ chối dịch vụ
- A10: Quản lý cấu hình thiếu an toàn










Câu 5.1 Trình bày về các tấn công sau và cách phòng chống: Phishing, Sesion
Hijacking, Virus, từ chối dịch vụ

 Virus
• Virus: _là 1 ct thường trú ở ổ đĩa hoặc tệp; có khả năng nhân bản và lây lan trên toàn
bộ ht
• Dạng tồn tại kí sinh: 1 số ẩn mình trong khoảng thời gian, thực thi vào 1 ngày nhất
định; 1 số nhiễm vào các tệp thực thi, macro, phân vùng khởi động, phân vùng ổ đĩa; 1
số loại đc nạp vào bộ nhớ rồi lây nhiễm các ht
9


Cơ chế lây lan: Thâm nhập vào ht thông qua các email, ổ đĩa chia sẻ, LAN, internet…
Sau đó lây lan nhân bản trong ht bằng cách nhiễm vào các tệp hệ thống, tệp thực thi,
vào bộ nhớ, macro, boot sector….. gán mã của nó vào cuối các tệp, đổi tên tệp, xóa tệp
• Tác hại: làm máy bị chậm, có thể gây hư hỏng ht, mất mát dữ liệu, lộ các dữ liệu nhạy
cảm, gây phiền toái, tổn thất về thời gian công sức…….
 Tấn công “câu cá” (phishing): là một hình thức của lừa đảo xã hội. Tấn công này
thông thường thực hiện thông qua việc gửi thư điện tử đến người dùng đề nghị họ khai
báo mật khẩu vì một lý do nào đó như bảo trì, nâng cấp hệ thống.
 Session Hijacking là gì ?
Session Hijacking là quá trình chiếm lấy một session đang hoạt động, nhằm mục đích
vượt quaquá trình chứng thực truy cập bất hợp lệ vào thông tin hoặc dịch vụ của một hệ
thống máy tính..Khi một user thực hiện kết nối tới server qua quá trình xác thực, bằng
cách cung cấp ID ngườidùng và mật khẩu của mình. Sau khi người dùng xác thực, họ có
quyền truy cập đến máy chủ vàhoạt động bình thường.Trong quá trình hoạt động, người
dùng không cần phải chứng thực lại. Kẻtấn công lợi dụng điều này để cướp session đang
hoạt động của người dùng và làm cho ngườidùng không kết nối được với hệ thống. Sau
đó kẻ tấn công mạo danh người dùng bằng sessionvừa cướp được, truy cập đến máy chủ
mà không cần phải đăng nhập vào hệ thống.Khi cướp được session của người dùng, kẻ tấn
công có thể vượt qua quá trình chứng thực dùng,có thể ghi lại phiên làm việc và xem lại
mọi thứ đã diễn ra. Đối với cơ quan pháp lý, có thể dùnglàm bằng chứng để truy tố, đối
với kẻ tấn công, có thể dùng thu thập thông tin như ID ngườidùng và mật khẩu. Điều này

gây nhiều nguy hại đến người dùng.
 Tấn công từ chối dịch vụ (Denial of Service – DoS) là tấn công thường thực hiện qua
mạng vào một máy làm cho máy đó mất khả năng thực hiện dịch vụ mà nó cần phải
cung cấp.
Tấn công DoS đầu tiên nhằm vào máy tính là phá hoại máy tính bằng cách ... dùng búa
đập. Tấn công DoS ngày nay được hiểu là các tấn công qua mạng, làm hỏng một dịch vụ
mạng nào đó. Tấn công DoS có thể đơn giản là rút dây mạng ra khỏi ổ cắm. Mô hình tấn
công DoS qua mạng có thể là sử dụng 1 máy tính để gửi các dữ liệu tấn công đến 1 máy
khác bằng cách nào đó để máy đó không thể xử lý được và do đó ngừng cung cấp dịch vụ
cần thiết mà nó đang cung cấp. Để cho có hiệu quả, tin tặc ngày nay thường sử dụng
nhiều máy tính để tấn công một máy tính đích, tấn công này được gọi là tấn công từ chối
dịch vụ phân tán (Distributed DoS- DDoS). Bằng cách này, không chỉ hiệu quả tấn công
tăng lên mà nguồn gốc tấn công cũng rất khó bị phát hiện.
Tấn công DDoS là hiểm hoạ lớn đối với Internet và TMĐT vì, về nguyên tắc, tạo ra một
tấn công DDoS là dễ dàng hơn việc xâm nhập vào hệ thống đích. Do đó, ngày nay DDoS


10


hay được những tin tặc xấu sử dụng để tống tiền, phá hoại kinh doanh trực tuyến của đối
thủ,…
Câu 5.2 Trình bày về các tấn công sau và cách phòng chống:
• Phishing: là loại Tấn công giả mạo. Là một hành vi giả mạo ác ý nhằm lấy được các
thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng
cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử. Các giao dịch
thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất
phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị
mạng.
Tấn công giả mạo thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh, và hay

yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với
website thật. Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ
năng phức tạp mới xác định được website là giả mạo
• Có một vài cách đơn giản ngăn chặn các cuộc tấn công phishing là: Đừng bao giờ
kích vào đường link đăng nhập từ một e-mail do các hãng tài chính, eBay hay
PayPal gửi, bạn hãy vào website và tự mình đăng nhập. Dùng một thanh công cụ
chống phising. Nó sẽ block các trang có phishing mà bạn vào hoặc sẽ cảnh báo nếu
bạn đang ghé thăm một website phishing.
• Sesion Hijacking: Session Hijacking –là cách tấn công vào phiên làm việc hợp lệ
trên máy tính. –Từ đó attacker chiếm được phiên làm việc giữa hai máy tính. –
Attacker “trộm” Session ID hợp lệ và chiếm quyền truy cập vào hệ thống và “ăn
trộm” dữ liệu trên hệ thống .
• Phòng chống: Tuy cập ngân hàng trực tuyến tại nhà , Cần có sự hiểu biết về tấn
công , Bảo mật tốt cho các máy tính bên trong.
• Từ chối dịch vụ: Một khối lượng lớn yêu cầu được gửi cho ứng dụng trong một
khoảng thời gian nhất định khiến hệ thống không đáp ứng kịp yêu cầu dẫn đến hệ
thống bị phá vỡ. cách phòng chống dùng IDS kết hợp với firewall
• -Virus: Virus là các đoạn mã có khả năng tự nhân bản. Virus có thể chứa hoặc
không chứa các chương trình tấn công hay các cổng hậu. Virus là đoạn mã được cài
trên máy tính và chạy ngoài ý muốn của người sử dụng. Virus máy tính có thể lây
vào máy tính của bạn qua email, qua các file bạn tải về từ Internet hay copy từ usb
và các máy tính khác về. Virus máy tính cũng có thể lợi dụng các lỗ hổng phần mềm
để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm.
• Cách phòng tránh: Download các phần mềm từ các nguồn chính thống, hạn chế vào
các trang web lạ, có nội dung không lành mạnh. Sử dụng các PM diệt virus có uy
tín, thực hiện quét theo định kỳ. Hạn chế sao chép từ các thiết bị lưu trữ rời như
USB, ổ cứng rời.
11



Câu 6.1.Pbiệt các phần mềm độc hại:adware, spyware, Trojan hóe, worm và cách
phòng tránh
- Spyware: các phần mềm có mục đích thương mại tạo ra để thu thập thông tin về người
sử dụng máy tính, tạo ra các cửa sổ pop-up để quảng cáo, hoặc thay đổi hành vi của webbrowser với mục đích thương mại cho tác giả của spyware.
-Sâu máy tính (Worm): một chương trình độc lập có khả năng tự tạo ra chính bản thân
mình và lây nhiễm từ máy tính này qua máy tính khác qua mạng. Khác với virus, sâu
thường không sửa đổi các chương trình khác trong máy tính. Sâu máy tính được viết bởi 1
sinh viên tốt nghiệp trường đại học Cornell và được thả lên mạng ARPANET .Sâu nhân
bản và vượt ra khỏi tầm kiểm soát và nhiễm vào khoảng 6000 máy tính nối mạng bao gồm
cả các máy chính phủ cũng như của các trường đại học. Sâu Morris dựa trên việc khai
thác lỗ hổng được biết từ trước trong các chương trình sendmail, finger, rsh/rexec của
UNIX và khai thác các mật khẩu yếu.
Chương trình “con ngựa thành Troa” (Trojan horse) là một chương trình độc hại được
lây nhiễm hoặc ẩn chứa bên trong một phần mềm hợp lệ. Trojan không thể hoạt động độc
lập, điều này khác với virus và sâu. Trojan phụ thuộc vào hành động của người dùng,
ngay cả nếu Trojan có tự nhân bản hoặc thậm chí tự phân phối chính nó, mỗi một máy bị
hại mới phải chạy chương trình chứa Trojan. Trojan thường phục vụ một mục tiêu thực
hiện một tấn công nào khác, nó không phụ thuộc vào các lỗ hổng an ninh trong hệ thống.
1. Trojan truy cập từ xa (RAT – Remote Access Trojan): Được thiết kế để cho kẻ tấn
công có khả năng từ xa chiếm quyền điều khiển của máy bị hại. Các Trojan này thường
được giấu vào trong các trò chơi và các chương trình nhỏ để cho người dùng mất cảnh
giác có thể chạy trên máy tính của họ.
2. Trojan gửi dữ liệu: Lấy và gửi các dữ liệu nhạy cảm như mật khẩu, thông tin thẻ tín
dụng, các tệp nhật ký, địa chỉ email,... Trojan này có thể tìm kiếm cụ thể từng thông tin
hoặc cài phần mềm đọc trộm bàn phím (key logger) và gửi toàn bộ các phím bấm về cho
tin tặc.
3. Trojan hủy hoại: Phá và xóa các tệp tin. Loại Trojan này giống với virus và thường có
thể bị phát hiện bởi các chương trình chống virus.
4. Trojan kiểu Proxy: Sử dụng máy tính bị hại làm máy chủ proxy, qua đó có thể sử
dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy tính khác.

5. Trojan FTP: Thiết kế để mở cổng 21 (cổng dùng cho giao thức truyền file FTP) và
cho phép tin tặc kết nối vào máy bị hại sử dụng FTP.
6. Trojan tắt phần mềm an ninh: có thể dừng hoặc xóa bỏ các chương trình an ninh như
phần mềm chống virus hay tường lửa mà không để người dùng nhận ra.
12




7. Trojan DoS: lây virus vào các máy slave để sử dụng máy slave tấn công DoS tới máy
đích.
Một số Trojan cổ điển bao gồm : Back Orifice, Back Orifice 2000, NetBus, Subseven,
Downloader – EV, Pest Trap... Trong đó Back Orifice được một nhóm tin tặc “Cult of the
Dead Cow” công bố vào năm 1998. Khi cài lên máy trạm Windows nó cho phép truy cập
từ xa trái phép vào máy.
Câu 6.2 Pbiệt các phần mềm độc hại: adware, spyware, Trojan horses, worm và cách
phòng
♦ Adware
– Các
biểu ngữ quảng cáo trong phần mềm miễn phí, Thường có thể loại
bỏ quảng cáo nếu trả tiền bản quyền phần mềm
Phần mềm gián điệp (Spyware)
– Là một số phần mềm thu thập trái phép thông tin như là thói quen lướt web, cookies,
password vv…
– Ngoài ra, có thể là là chạy một phần mềm trên máy tính có thể dùng cho sự thâm
nhập trái phép
– Cần phân biệt các phần mềm do các hãng cung cấp có phần hoạt động giống như phần
mềm gián điệp được thiết kế để tạo điều kiện thuận lợi cho tự động cập nhật và đồng
bộ hóa phiên bản
Các giải pháp phòng chống:

- Sử dụng phần mềm chống phần mềm gián điệp, Sử dụng Tường
lửa cá nhân, IDS/IPS cá nhân
• Trojan Horses
• Là phần mềm độc hại ẩn trong phần mềm khác thường được cài đặt bởi tài khoản đặc
quyền
• Lây nhiễm bằng cách:
-

-

Gửi chương trìnhqua email và yêu cầu người dùng cài đặt nó, hoặc cài đặt khi người
dùng truy cập một trang web
Ví dụ: keystroke logger, zombies DDoS, NetBus, rootkit
Giải pháp: Sử dụng chương trình chống virus, Sử dụng IDS/IPS, Sử dụng hệ điều
hành chuyên dụng, Sử dụng chính sách bảo mật, tường lửa cá nhân
Worms: Là một chương trình độc lập lây lan qua mạng
Morris Worm - Unixi
– Klez lây qua email
– Code Red khai thác lỗ hổng IIS
– Kelvir lây lan qua IM
13


SQL Slammer tấn công máy chủ MS-SQL
– IKEE.B lây lan giữa các iphones qua wi-fi
Câu 7: Trình bày về giao thức SSH:Chức năng, Dịch vụ, Kiến trúc bộ giao thức SSH
SSH là giao thức dùng để bảo mật trao đổi dữ liệu, cung cấp dịch vụ Shell, thực thi câu
lệnh giữa 2 nút mạng (máy chủ và máy khách) thông qua một kênh bảo mật
 . Chức năng
-Đảm bảo thực hiện các lệnh từ xa an toàn (Secure command shell, remote execution of

commands)
-Đảm bảo truyền file an toàn
-Tạo các đường hầm truyền dữ liệu cho các ứng dụng dựa trên TCP/IP
 Dịch vụ cung cấp
-Bí mật
-Toàn vẹn
-Xác thực
 Kiến trúc bộ giao thức SSH
Phía Server: Giao thức SSH transport layer protocol (TLP)
Đảm bảo tính xác thực, bí mật và toàn vẹn
Phía Client: Giao thức xác thực người dùng UAP- user authentication protocol
Giao thức kết nối: CP (SSH connection protocol )
– Thiết lập các phiên đăng nhập, thực hiện các lệnh từ xa, chuyển hướng các kết nối
TCP/IP
– Chạy trên cả hai giao thức dành cho Server và client


Câu 8.1: Trình bày về giao thức SSL:
 Chức năng
 Hoạt động
 Các giao thức thành phần: Giao thức bắt tay, Giao thức bản ghi, … và
vai trò của chúng trong giao thức SSL/TLS
 Chức năng
Giao thức SSL. Được phát triển bởi hãng Netscape
SSL được chấp nhận rộng rãi làm giao thức truyền tin giữa các máy chủ và máy khách
trên World Wide Web.
14


SSL được tổ chức IETF đưa vào chuẩn giao thức TLS (Transport Layer Sercurity)

Sử dụng mã hóa bất đối xứng để trao đổi khóa phiên và mã hóa đối xứng để bảo mật dữ
liệu trên đường truyền
 SSL/TLS đem lại các yếu tố sau cho truyền thông trên internet:
 Bí mật - Sử dụng mật mã
 Toàn vẹn - Sử dụng MAC
-Xác thực- Sử dụng chứng chỉ X.509
 SSL/TLS ngày nay được sử dụng ở các web server và các trình duyệt internet
 Hoạt động
Là một giao thức trên tầng vận tải
Hoạt động dựa trên sự giao thức truyền tin cậy
Hỗ trợ mọi giao thức ứng dụng trên tầng IP

Tính mật của SSL
• Mã hoá các thông điệp truyền đi
• Sử dụng các mã hoá quy ước với các khoá chia sẻ
• Sử dụng các thuật toán
- DES, 3DES
- RC2, RC4
- IDEA
Trao đổi khóa : SSL dùng hệ mật khóa công khai để thực hiện việc trao đổi khóa bí mật.
Hệ mật thường được sử dụng là RSA hoặc Diffe-Hellman
Tính toàn vẹn: Tính mã xác thực của thông điệp (MAC ) độ dài cố định gồm: giá trị băm
của thông điệp, giá trị chia sẻ bí mật, số tuần tự của gói tin . MAC dược truyền kèm với
thông điệp. Bên nhaatnj tạo ra một giá trị MAC mới và so sánh với MAC được truyền đi
kèm thống điệp, nếu giống nhau thì được coi là toàn vẹn. việc băm trong SSL thường sử
dụng hàm băm MD5 hay SHA1.


15



Xác thực : SSL kiểm tra danh tính của thành phần tham gia truyền thông, chứng chỉ được
sử dụng để đồng bộ định danh với khóa công khai và các thuộc tính khác

Các bước hoạt động của SLL:
Thiết lập một phiên làm việc
Thực hiện xác thực
Đồng bộ thuật toán mã hóa
Chia sẻ khóa bí mật
Truyền dữ liệu của ứng dụng (Đảm bảo tính bí mật , toàn vẹn)
Kiến trúc của SSL : SSL định nghĩa các bản ghi ( Record protocol) để truyền thông tin
của ứng dụng và của SSL. Phiên làm việc được thiết lập sử dụng giao thức bắt
tay(Handshake protocol ).

Giao thức bản ghi
Vai trò Giao thức bản ghi để truyền dữ liệu của ứng dụng thông qua giao thức SSL.
Dữ liệu cần được truyền đi sẽ được chia nhỏ thành các đơn vị dữ liệu, sau đó các đơn vị
này được nén và tính MAC ( Massage Authentication Code) đơn vị dữ liệu đã nén và
MAC của nó được mã hóa và truyền đi.


16


Pha bắt tay : thỏa thuận bộ thuật toán mã hóa gồm : thuật toán mã hóa đối xứng sử
dụng và phương pháp trao đổi khóa cùng với việc thiết lập, chia sẻ khóa bí mật
1 : thông điệp hello
• Client “Hello” - Khởi tạo phiên làm việc
- Gửi thông tin phiên bản giao thức
- Thông tin về bộ mã hoá sử dụng

- Server chọn giao thức và bộ mã hoá phù hợp
• Client có thể yêu cầu sử dụng các phiên làm việc đã có từ trước nằm ở trong cache
- Server lựa chọn sao cho phù hợp
2 Thông điệp trao đổi khóa và chứng chỉ
• Server gửi chứng chỉ chứa khoá công khai (RSA) hoặc tham số của Diffie-Hellman
• Client tạo ra 48-byte ngẫu nhiên gửi tới Server sử dụng khoá công khai của server
• Mầm khoá bí mật được tính toán
- Sử dụng các giá trị bí mật truyền trong thông điệp Hello giữa Server và Client
Chứng chỉ khóa công khai
• Chứng chỉ X.509 đồng bộ khoá công khai với định danh người dùng
• Trung tâm CA tạo ra chứng chỉ
- Dựa vào các chính sách và các định danh được xác nhận
- Ký lên chứng chỉ
• Người sử dụng chứng chỉ phải đảm bảo là nó hợp lệ
 Kiểm tra tính hợp lệ của chứng chỉ:
• Để kiểm tra được thì các CA phải tin cậy lẫn nhau
Một CA có thể phát hành chứng chỉ cho CA khác
• Kiểm tra chứng chỉ vẫn còn hiệu lực


17


ưa ra danh sách các chứng chỉ hết hiệu lực, phải thu hồi (CRL-Certificate Revocation List)

18


3. Thay đổi cipherSpec và gửi thông điệp kết thúc pha bắt tay chuyển sang quá trình
truyền dữ liệu


Thống nhất thuật toán mã hóa sử dụng: thỏa thuận thuật toán mã hóa sử dụng.
Kết thúc : gửi bản sao chép của pha bắt tay sử dụng phiên làm việc mới và cho phép
kiểm tra tính đúng đắn của pha bắt tay

19


Câu 8.2. trình bày SSL
 Chức năng:
SSL đảm bảo tính toàn vẹn và xác thực cho thông tin truyền thông trên mạng.
• Hoạt động: Sự trao đổi thông điệp giữa các máy chủ áo dụng SSL và máy trạm áp dụng
SSL được thiết kế để thực hiện các hành động sau:
o Xác thực máy chủ cho máy trạm
o Cho phép máy chủ và máy trạm lựa chọn thuật toán mã hóa mà cả 2 đều hỗ trợ
o Có thể xác thực máy trạm cho máy chủ
o Sử dụng các kỹ thuật mã hóa công cộng để tạo ra các dữ liệu bí mật riêng được
chia sẻ giữa máy chủ và máy trạm
o Giao thức bản ghi SSL:
• Dữ liệu cần truyền được chia nhỏ ra thành các đơn vị dữ liệu
• Các đơn vị dữ liệu sau đó sẽ được nén và tính MAC (Message Authentication Code)
• Đơn vị dữ liệu đã nén, cùng với MAC của nó được mã hóa và truyền đi.
Vai trò: Giao thức Bản ghi (record protocol) để truyền dữ liệu của ứng dụng qua giao
thức SSL
Giao thức bắt tay SSL:
• Thoả thuận bộ thuật toán mã hoá gồm
o Thuật toán mã hoá đối xứng sử dụng
o Phương pháp trao đổi khoá
• Thiết lập và chia sẻ khoá bí mật
• Thông điệp Hello

20


Thông điệp trao đổi khoá và chứng chỉ
Thay đổi CipherSpec và gửi thông điệp kết thúc pha bắt tay và chuyển sang quá trình
truyền dữ liệu
Vai trò: sử dụng giao thức bản ghi SSL để trao đổi 1 loạt các thông điệp giữa máy chủ áp
dụng SSL và máy trạm áp dụng SSL khi các máy này lần đầu tiên xác lập một kết nối
SSL.



Câu 9.1: Trình bày về giao thức SET:Vai trò, Các thành phần, Mô hình hoạt động, Quá
trình giao dịch
Giao thức SET:
Được phát triển bởi Visa và MasterCard
Được thiết kế để bảo vệ các giao dịch sử dụng thẻ tín dụng
Đảm bảo tính bí mật: Tất cả các thông điệp đều được mã hóa
Đảm bảo tính tin cậy: Tất cả các đối tác phải có các chứng chỉ điện tử để xác thực
Đảm bảo bảo mật: Các thông tin chỉ có ở nơi cần thiết và thời gian cụ thể
 Vai trò:
Cung cấp tính bí mật của thông tin thanh toán và đặt hàng
Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền
Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ của tài khoản thẻ
Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận các giao dịch thẻ
tín dụng qua mối quan hệ với các tổ chức tài chính
Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống tốt nhất để sử
dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch thương mại điện tử
Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch vụ mạng
 Các thành phần:


21


Mô hình hoạt động:

Quá trình giao dịch:
Khách hàng mở một tải khoản tại ngân hàng hỗ trợ giao thức SET và nhận một thẻ tín
dụng
Sau khi xác thực định danh, khách hàng sẽ nhận được chứng chỉ điện tử X.509v3 được ký
bởi ngân hàng.
Công ty thương mại chấp nhận thẻ phải có hai chứng chỉ X.509v3, một dùng để ký và một
dùng cho việc trao đổi khóa
Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty thương mại
Công ty thương mại sẽ gửi bản copy chứng chỉ của nó cho khác hàng để thực hiện việc
xác minh
Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương mại sử dụng
chứng chỉ của khách hàng
Đơn đặt hàng gồm có các mặt hàng được đặt mua
Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng
Thông tin thanh toán được được mã hóa sao cho nó không thể được đọc bởi công ty
thương mại
Chứng chỉ của khách cho phép công ty thương mại xác minh được khách hàng
Câu 9.2 Trình bày về giao thức SET
 Giao thức SET (Secure Electronics Transaction)
 Cung cấp tính bí mật của thông tin thanh toán và đặt hàng
 Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền
 Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ của tài
khoản thẻ



22


Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận các giao
dịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính
 Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống tốt nhất
để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch thương mại điện tử
 Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch vụ
mạng
Các thành phần của SET:
• Chứng chỉ số: kiểm tra danh tính của người dùng.
• Mã hoá khoá công khai: đảm bảo thông tin giao dịch không thể bị đọc bởi
người không phải là người nhận.
• Chữ ký số: cùng với chứng chỉ số và chữ ký số kiểm tra thông tin yêu cầu là từ
đúng người yêu cầu.
• Kết nối hệ thống thanh toán: đảm bảo giao dịch xảy ra đúng hạn và không sai
sót.
• Các quy tắc vận hành: các quy tắc cần thiết cho việc thực hiện kinh doanh
trong môi trường điển tử.









Quá trình giao dịch có ứng dụng SET:

Khách hàng mở một tải khoản tại ngân hàng hỗ trợ giao thức SET và nhận một thẻ
tín dụng
• MasterCard, Visa, vv…
Sau khi xác thực định danh, khách hàng sẽ nhận được chứng chỉ điện tử X.509v3
được ký bởi ngân hàng.
23












Công ty thương mại chấp nhận thẻ phải có hai chứng chỉ X.509v3, một dùng để ký
và một dùng cho việc trao đổi khóa
Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty thương mại
Công ty thương mại sẽ gửi bản copy chứng chỉ của nó cho khác hàng để thực hiện
việc xác minh
Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương mại sử
dụng chứng chỉ của khách hàng
• Đơn đặt hàng gồm có các mặt hàng được đặt mua
• Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng
• Thông tin thanh toán được được mã hóa sao cho nó không thể được đọc bởi
công ty thương mại
• Chứng chỉ của khách cho phép công ty thương mại xác minh được khách hàng

Công ty thương mại yêu cầu kiểm chứng thông tin thanh toán từ cổng thanh toán
trước khi thực hiện chuyển hàng
Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng
Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng
Công ty thương mại yêu cầu thanh toán từ cổng thanh toán

Câu 10.1: Các phương thức thanh toán điện tử
• Thanh toán trực tuyến và ngoại tuyến:
- Thanh toán trực tuyến:
- Yêu cầu phải có sự hiện diện của bên xác thực trong giao dịch: một máy chủ xác
thực, dịch vụ thanh toán, ngân hàng.
- Cần liên lạc nhiều hơn, bảo mật hơn
- Thanh toán ngoại tuyến:
- Người trả và nhận tiền có kết nối với nhau nhưng lại không kết nối đến ngân hàng
tương ứng của mình
- Không có xác thực từ phía ngân hàng
- Chỉ có tác dụng xác nhận sự tồn tại của giao dịch mà không có tác dụng thanh toán
- Các hình thức thanh toán phổ biến:
• Thanh toán trực tiếp tại văn phòng giao dịch công ty
• Thanh toán chuyển khoản qua ngân hàng
• Thanh toán chuyển khoản qua ATM
• Thanh toán qua bưu điện
• Thu phí tận nơi
• Thanh toán trả ngay và trả dần:
- Trả ngay: tài khoản người mua sẽ ngay lập tức bị trừ tiền khi thực hiện giao dịch
- Trả dần: tiền được tính và tích lũy vào tài khoản người mua ở dịch vụ thanh toán.
Sau đó, người mua sẽ trả số tiền này cho dịch vụ thanh toán
24



Thanh toán vi mô và vĩ mô:
- Thanh toán vi mô: số tiền thanh toán nhỏ
- Thanh toán vĩ mô: số tiền thanh toán lớn. Cần triển khai các giao thức phức tạp và
an toàn để bảo mật giao dịch
Câu 10.2 Các phương thức thành toán điện tử
Đáp án:
a. Thẻ tín dụng (Credit Cards)
 Thẻ tín dụng
o Sử dụng cho việc thanh toán qua mạng internet
o Có hạn chế số lượng tiền khi thanh toán
o Hiện tại được sử dụng phổ biến nhất
o Là cách thức thanh toán điện tử đắt nhất
o Vd:
 MasterCard: $0.29 + 2% giá trị thanh toán
o Không thanh toán với giá trị nhỏ
o Không thanh toán với giá trị thanh toán lớn
 Nguy cơ mất an toàn

Nghe trộm thông tin thẻ tín dụng

Thanh toán không trung thực ở trang bán hàng

Trang bán hàng lừa người dùng nhập số thẻ tín dụng

Thông tin trong CSDL của trang bán hàng bị đánh cắp

Phương pháp phòng chống

Mã hóa đương truyền


Các công cụ để kiểm tra số thẻ tín dụng

Sử dụng mã hóa và chư ký kép
b. Tiền điện tử
 Tiền điện tử

Là thể hiện ở dạng điện tử của tiền truyền thống

Được quy định bởi nhà trung gian đầu cơ (broker)

Được mua bằng tiền thật từ người sử dụng

Được thanh toán trên các trang bán hàng có chấp nhận tiền điện tử.
 Hai phương pháp lưu trữ

On-line
- Cá nhân không phải lưu trữ thông tin về tiền điện tử
Việc lưu trữ tiền được thực hiện bởi ngân hàng, ngân hàng sẽ lưu
trữ các tài khoản tiền của khách hàng
• Off-line


25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×