1

Các vấn đề về an toàn trong thương mại điện tử

2

Các loại tội phạm và các dạng tấn công trên mạng

3

Một số giải pháp an toàn trong thương mại điện tử

www.viethanit.edu.vn

27/06/17

2


Một số khái niệm về an toàn bảo mật
- Quyền được phép (Authorization): Quá trình đảm
bảo cho người có quyền này được truy cập vào một số
tài nguyên của mạng.
- Xác thực (Authentication): Quá trình xác thực một
thực thể xem họ khai báo với cơ quan xác thực họ là
ai.

www.viethanit.edu.vn

27/06/17

3


- Thu thập thông tin (Auditing): Quá trình thu thập thông
tin về các ý đồ muốn truy cập vào tài nguyên nào đó trong
mạng bằng cách sử dụng quyền ưu tiên và các hành động
khác.
- Sự riêng tư (Confidentiality/Privacy): là bảo vệ thông
tin mua bán của người tiêu dùng.
- Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu
không bị thay đổi.
- Không thoái thác (Nonrepudiation): Khả năng không
thể từ chối các giao dịch đã thực hiện.

www.viethanit.edu.vn

27/06/17

4




Ví dụ:

◦Bob chờ Alice “xác nhận” khi đến thời điểm
thực hiện công việc
◦Cần đảm bảo rằng Eve không can thiệp để tạo
“xác nhận” giả



Xác thực (Authentication), Định danh (identification)
Alice

Bob

Eve




Ví dụ:

◦Bob cần đảm bảo là nhận chính xác nội dung
mà Alice đã gửi
◦Cần đảm bảo rằng Eve không can thiệp để
sửa nội dung thông điệp mà Alice gửi cho
Bob


Tính toàn vẹn thông tin (Integrity)
Alice

Eve

Bob





Ví dụ:

◦Bob nhận được 1 thông điệp mà Alice đã gửi
◦Alice không thể “chối” rằng không gửi thông
điệp này cho Bob


Chống lại sự thoái thác trách nhiệm (Non-repudiation)

Alice

Bob


Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT
Từ góc độ người sử dụng:
- Làm sao biết được Web server được sở hữu bởi một doanh
nghiệp hợp pháp?
- Làm sao biết được trang Web này không chứa đựng những
nội dung hay mã chương trình nguy hiểm?
- Làm sao biết được Web server không lấy thông tin của
mình cung cấp cho bên thứ ba?
www.viethanit.edu.vn

27/06/17

8



Từ góc độ doanh nghiệp:
-Làm sao biết được người dùng không có ý định phá hoại
hoặc làm thay đổi nội dung của trang Web hoặc website?
-Làm sao biết được họ có làm gián đoạn hoạt động của
server hay không?

www.viethanit.edu.vn

27/06/17

9


Từ hai phía
-Bằng cách nào họ có thể biết đường truyền sẽ
không bị theo dõi?
-Bằng cách nào họ có thể chắc chắn rằng các thông
tin được lưu chuyển giữa 2 bên sẽ không bị thay
đổi?

www.viethanit.edu.vn

27/06/17

10


www.viethanit.edu.vn

27/06/17


11


- Gian lận trên mạng: là hành vi gian lận, làm giả
để thu nhập bất chính.
- Tấn công Cyber: là một cuộc tấn công điện tử để
xâm nhập trái phép trên Internet vào mạng mục
tiêu để làm hỏng dữ liệu, chương trình và phần
cứng của các website hoặc máy trạm.

www.viethanit.edu.vn

27/06/17

12


- Hackers (tin tặc): là thuật ngữ để chỉ người lập
trình tìm cách xâm nhập trái phép vào các máy
tính và mạng máy tính
- Crackers: là người tìm cách bẻ khoá để xâm
nhập trái phép vào máy tính hay các chương trình

www.viethanit.edu.vn

27/06/17

13



Các đoạn mã nguy hiểm
Tin tặc và các chương trình phá hoại
Gian lận thẻ tín dụng
Sự lừa đảo
Sự khước từ phục vụ
Kẻ trộm trên mạng
Sự tấn công từ bên trong doanh nghiệp
www.viethanit.edu.vn

27/06/17

14


Các đoạn mã nguy hiểm bao gồm nhiều mối
đe dọa khác nhau
Virus
Worm
Những con ngựa thành tơ roa
Bad applet
www.viethanit.edu.vn

27/06/17

15


Virus: là một chương trình máy tính, nó có
khả năng nhân bản hoặc tự tạo các bản sao của

chính mình và lây lan sang các chương trình, các
tệp dữ liệu khác trên máy tính nhằm thực hiện
một “mưu đồ” nào đó.

www.viethanit.edu.vn

27/06/17

16


Macro virus: chiếm 75% đến 80% các loại virus được phát
hiện. Nó chỉ nhiễm vào các tệp ứng dụng được soạn thảo như: MS
Word, MS Excel, MS PowerPoint
Virus tệp: là những virus lây nhiễm vào các tệp tin có thể
thực thi như: *.exe, *.com, *.dll... Nó hoạt động khi chúng ta thực
thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chình
mình ở trong các tệp tin khác đang được thực thi tại thời điểm đó
trên hệ thống.

27/06/17

17
www.viethanit.edu.vn


Virus script: là một tập các chỉ lệnh trong các
ngôn ngữ lập trình như VBScript hay JavaScript. Nó sẽ
hoạt động khi ta chạy những tệp chương trình dạng
*.vbs hay *.js. Ví dụ: virus I LOVE YOU

Trên thực tế, các loại virus này thường kết nối với
các worm

www.viethanit.edu.vn

27/06/17

18


Con ngựa thành tơ roa (Trojan Horse): bản
thân nó không có khả năng nhân bản, nhưng nó tạo
cơ hội cho các virus khác xâm nhập vào máy tính.

www.viethanit.edu.vn

27/06/17

19


Worm: là một loại virus chuyên
tìm kiếm mọi dữ liệu trong bộ nhớ
hoặc trong đĩa làm thay đổi nội
dung bất kỳ dữ liệu nào mà nó gặp.
Ví dụ: chuyển ký tự → số hoặc
tráo đổi các byte được lưu trữ
trong bộ nhớ.

www.viethanit.edu.vn


27/06/17

20


Bad Applet là một chương trình ứng dụng nhỏ được
nhúng trong một phần mềm thực hiện một nhiệm vụ cụ
thể làm tăng khả năng tương tác của website.
Các bad applet là đoạn mã di động nguy hiểm.
Người sử dụng tìm kiếm thông tin hoặc tải các chương
trình từ website có chứa bad applet sẽ lây lan sang hệ
thống của người sử dụng..
www.viethanit.edu.vn

27/06/17

21


Tin tặc (Hacker): là người có thể viết hay chỉnh sửa phần
mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo
mật. Những người này hiểu rõ hoạt động của hệ thống máy tính,
mạng máy tính và dùng kiến thức bản thân để làm thay đổi,
chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau.

www.viethanit.edu.vn

27/06/17


22


Chương trình phá hoại:
1/4/2001 tin tặc sử dụng chương trình phá hoại nhằm phá hoại
tấn công vào các máy chủ có sử dụng phần mềm Internet
Information Server nhằm giảm uy tín của phần mềm như
hãng hoạt hình walt disney, nhật báo phố wall…
4/2001 vụ tấn công của tin tặc Hàn Quốc vào website của bộ
giáo dục Nhật Bản.

www.viethanit.edu.vn

27/06/17

23


Gian lận thẻ tín dụng xảy ra trong trường hợp thẻ tín dụng bị
mất, bị đánh cắp, các thông tin về số thẻ, mã số định danh cá
nhân (mã PIN), các thông tin về khách hàng bị tiết lộ và sử dụng
bất hợp pháp.
Trong TMĐT, các hành vi gian lận thẻ tín dụng xảy ra đa
dạng và phức tạp hơn

www.viethanit.edu.vn

27/06/17

24



Mối đe dọa lớn nhất trong TMĐT là việc bị
mất các thông tin liên quan đến thẻ hoặc các
thông tin về sử dụng thẻ trong quá trình diễn ra
giao dịch.

www.viethanit.edu.vn

27/06/17

25