Thương mại điện tử - Chương 10: Dẫn nhập

pdf 68 trang vanle 2440
Bạn đang xem 20 trang mẫu của tài liệu "Thương mại điện tử - Chương 10: Dẫn nhập", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfthuong_mai_dien_tu_chuong_10_dan_nhap.pdf

Nội dung text: Thương mại điện tử - Chương 10: Dẫn nhập

  1. An ninh Chương 10 Thương mại điện tử
  2. Dẫn nhập Cyberwar: MAD 2.0
  3. Môi trường an ninh TMĐT Với mọi công dân, Internet mang lại rất nhiều cơ hội Với tội phạm, Internet tạo ra cách thức mới trong chiếm đoạt tài sản của hơn 1 tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đến dịch vụ, tiền mặt, thông tin Ít rủi ro hơn khi phạm tội trực tuyến (remotely và anonymously) Internet được tạo ra ban đầu không phải để cho 1 tỷ người giao dịch với nhau, và không có các đặc điểm an ninh cơ bản Internet là một mạng lưới mở, dễ tổn thương Tội phạm mạng mang lại gánh nặng cho cả doanh nghiệp và người tiêu dùng (làm tăng chi phí đầu vào)
  4. Tầm quan trọng của vấn đề Tội phạm mạng trở thành vấn đề lớn của cả doanh nghiệp/tổ chức và người tiêu dùng Bot networks, DDoS attacks, Trojans, phishing, data theft, identity fraud, credit card fraud, spyware: là những mối đe doạ thường thấy trên tin tức Social networks cũng có những xâm phạm an ninh Tuy nhiên khó đánh giá thiệt hại chính xác tội phạm mạng gây ra bởi vì: công ty ngại báo cáo lỗ hổng an ninh do sợ mất khách hàng ngay cả khi báo cáo tội phạm mạng xảy ra, khó định lượng thiệt hại
  5. Tầm quan trọng của vấn đề (tt.) Thông tin về thống kê thiệt hại do tội phạm mạng: Ponemon Institute (Mỹ), năm 2012: thiệt hại trung bình hàng năm của tổ chức là khoảng $8.9 triệu (tăng 6% so năm 2011) loại tội phạm gây thiệt hại nhiều nhất là denial of service, malcious insiders, Web-based attacks tác nhân phạm tội phổ biến nhất là viruses, worms, Trojans (100% các tổ chức), malware (95%), botnets (71%), Web-based attacks (64%)
  6. Tầm quan trọng của vấn đề (tt.) Thông tin từ Symantec (nhà cung cấp dịch vụ an ninh): Tiến bộ công nghệ làm giảm đáng kể chi phí cũng như kỹ năng trở thành tội phạm mạng Các chương trình/hướng dẫn rất rẻ tiền có sẵn trên Web giúp hackers tạo ra malware rất dễ dàng mà không cần lập trình như trước đây Hơn nữa, các malware này có tính polymorphic, tức là, mỗi malware nhiễm vào máy tính khác nhau thì khác nhau, làm rất khó tiêu diệt bởi các phần mềm bảo vệ an ninh Tấn công có chủ đích (nhắm vào đối tượng cụ thể) ngày càng gia tăng; mạng xã hội đang trợ giúp cho việc này Mobile và applications đang trở nên dễ bị tổn thương hơn bao giờ hết
  7. Tầm quan trọng của vấn đề (tt.) online credit card fraud và phishing attacks là các loại tội phạm phổ biến trong TMĐT Tỉ lệ online credit card fraud / online card transaction là 0.8% So với doanh thu TMĐT, online credit card fraud đang có xu hướng giảm dần vì công ty TMĐT và công ty thẻ tín dụng tăng cường hệ thống an ninh để ngăn ngừa các tội phạm mạng cơ bản Tuy nhiên, online credit card fraud thay đổi từ việc lấy cắp đơn lẻ thẻ tín dụng và sử dụng để mua hàng hoá ở một vài Website, đến việc lấy cắp đồng thời hàng triệu thẻ tín dụng và mạng lưới phân phối các thẻ tín dụng lấy cắp này
  8. Tầm quan trọng của vấn đề (tt.) Thị trường mạng chợ đen (cyber black market/underground economy servers): Tội phạm lấy cắp thông tin từ Internet không phải luôn luôn sử dụng trực tiếp mà bán lại thông tin này cho thị trường mạng chợ đen (khoảng vài ngàn thị trường này) Tìm các thị trường này thì khó, cần phải đóng giả làm tội phạm để xâm nhập vì tội phạm mạng rất giỏi về an ninh mạng Không phải tội phạm mạng nào cũng vì tiền là mục đích. Đôi khi chỉ là muốn đánh sập một Website nào đó thay vì lấy cắp thứ gì ->thiệt hại cho kiểu tội phạm này không những là thời gian và nổ lực để phục hồi site, mà còn là tổn thương danh tiếng và hình ảnh công ty, và lợi nhuận mất đi vì ngưng trệ dịch
  9. Tầm quan trọng của vấn đề (tt.) Tóm lại: Tội phạm mạng TMĐT rất thay đổi theo thời gian, nhiều rủi ro mới xuất hiện Thiệt hại đối với doanh nghiệp là lớn, tuy nhiên có xu hướng ổn định vì ý thức của doanh nghiệp trong bảo vệ an ninh cơ bản nhất Cá nhân đối mặt với nhiều rủi ro về lừa đảo (fraud), nhất là các khoản thiệt hại không được bảo hiểm liên quan đến debit card và bank account Cần phải chuẩn bị đối diện với loại tội phạm luôn biến đổi này, và luôn cập nhật công nghệ bảo vệ an ninh mới nhất
  10. Thế nào là TMĐT có an ninh tốt ? Thế nào là một giao dịch thương mại an toàn?
  11. Thế nào là TMĐT có an ninh tốt ? (tt.) Thế nào là một giao dịch thương mại an toàn? Bất cứ khi nào ra thị trường là đối diện rủi ro, bao gồm cả mất quyền riêng tư (privacy) (thông tin về hàng hoá mua) Rủi ro trước mắt với người tiêu dùng là không có được thứ mà mình đã trả tiền Đối với người bán chính là không được trả tiền thứ mà mình đã bán Trộm lấy hàng hoá, hoặc là không trả tiền, hoặc là trả bằng các công cụ lừa đảo (thẻ tín dụng đánh cắp, tiền giả)
  12. Thế nào là TMĐT có an ninh tốt ? (tt.) Người bán và người mua trên môi trường TMĐT đối diện với nhiều rủi ro tương tự như môi trường TMTT Trộm là trộm, cho dù là trộm điện tử hay trộm truyền thống Burglary (bẻ khoá), breaking & entering (đột nhập), embezzlement (tham ô, biển thủ), trespass (xâm phạm), malicious destruction (sự huỷ diệt tàn ác), vandalism (phá hoại): tội phạm môi trường TMTT đều có TMĐT Tuy nhiên, giảm rủi ro trên TMĐT thì phức tạp liên quan đến công nghệ mới, chính sách và biện pháp, luật pháp mới và tiêu chuẩn ngành liên quan
  13. Các đặc tính an ninh TMĐT Integrity (Toàn vẹn): khả năng đảm bảo rằng thông tin được hiển thị trên Website hay được truyền đi hay nhận được qua Internet không bị biến đổi bởi những bên không được phép Nonrepudiation (Thừa nhận): khả năng đảm bảo rằng các bên TMĐT không được từ chối hành động trực tuyến của họ Authenticity (Xác thực): khả năng nhận ra danh tính của một người hay chủ thể mà bạn liên lạc trên Internet Confidentiality (Bảo mật): khả năng đảm bảo rằng thông điệp và dữ liệu chỉ được xem bởi những người được cho phép Privacy (Riêng tư): khả năng kiểm soát sử dụng thông tin về bản thân Availability (Hiệu lực): khả năng đảm bảo rằng một Website TMĐT tiếp tục chức năng như dự định
  14. Các đe doạ an ninh TMĐT Từ khía cạnh công nghệ, có 3 vị trí yếu điểm dễ bị tổn thương trên môi trường TMĐT: Client Server Internet
  15. Malicious Code (Mã độc) Còn gọi là Malware Bao gồm: viruses, worms, Trojan horses, ransomware, bots Trong quá khứ, mã độc thường có mục đích phá hoại máy tính, và thường do một hacker thực hiện Ngày nay, mã độc thường có xu hướng đánh cắp địa chỉ e mail, mật khẩu đăng nhập, dữ liệu cá nhân, thông tin tài chính Mã độc cũng được dùng để phát triển mạng lưới mã độc tích hợp để tổ chức lấy cắp thông tin và tiền
  16. Malicious Code (Mã độc) Một trong những phát triển gần đây của mã độc là gắn vào các quảng cáo trực tuyến, kể cả Google và các mạng quảng cáo khác “drive-by dowload” là một dạng mã độc gắn với tập tin được tải về mà người dùng cố ý hoặc không cố ý thực hiện Mã độc cũng có thể được gắn vào tập tin PDF Mã độc thường được gắn vào các links trong nội dung email, thay vì theo cách truyền thống là đính kèm với email Khuynh hướng hiện tại của mã độc là vì mục đích tiền hơn là mục đích khẳng định tài năng
  17. Malicious Code (Mã độc) Virus: chương trình máy tính có khả năng tự nhân bản hay sao chép chính nó, và phát tán qua các tập tin khác Worm: một dạng mã độc được thiết kế để phát tán từ máy tính qua máy tính Ransomware (Scareware): một dạng mã độc (thường là worm) ngăn cản đăng nhập vào máy tính hay tập tin và yêu cầu trả tiền phạt Trojan horse: xuất hiện lành tính, nhưng sau đó gây ra các hành động không mong đợi. Thường là một phương thức cho virus hay mã độc khác xâm nhập máy tính Backdoor: là một đặc điểm của virus, worm, Trojan, cho phép attacker điều khiển từ xa máy tính bị hại Bot (robot): một loại mã độc được cài đặt ngầm vào máy tính khi kết nối Internet. Khi được cài đặt, robot được điều khiển bởi câu lệnh từ attacker Botnet: tập hợp các máy tính bị nhiễm robot
  18. Potentially Unwanted Programs (PUPS) Potentially Unwanted Program (PUP) (chương trình không mong muốn): chương trình tự cài đặt vào máy tính mà không được sự đồng ý của người dùng Adware: là một PUP làm xuất hiện pop-up quảng cáo trên máy tính Browser parasite: là chương trình có thể theo dõi và thay đổi thiết lập trình duyệt của người dùng. Ví dụ: Websearch là một thành phần của adware làm biến đổi trang chủ và chức năng tìm kiếm của Internet Explorer Spyware: là chương trình được sử dụng để lấy thông tin như mật mã, email, instant message của người dùngs
  19. Phishing Social engineering: lợi dụng sự tò mò, tham lam, cả tin của con người để phát tán mã độc Phishing: trò lừa đảo trực tuyến của một bên thứ 3 để lấy được thông tin bí mật để thu lợi tài chính Phishing thường không dựa vào mã độc mà chủ yếu dựa vào lừa đảo trực tiếp, hay gọi là social engineering mail scam letter là một kiểu điển hình của phishing, còn gọi là “Nigerian letter” scam
  20. Hacking, Cybervandalism, Hacktivism, Data Breaches Hacker: cá nhân có ý định xâm nhập không cho phép vào hệ thống máy tính Cracker: trong cộng đồng hacker, dùng để chỉ hacker có ý đồ phạm tội Cybervandalism (chương trình phá hoại): cố ý phá hoại, làm xấu đi hay phá huỷ một Website Hacktivism: chương trình phá hoại và lấy cắp dữ liệu cho mục đích chính trị White hats: hacker “tốt”, giúp định vị và sửa các lỗi an ninh Black hats: hacker hành động cố ý làm gây hại Data breach: xảy ra khi một tổ chức/công ty mất kiểm soát để thông tin lọt ra ngoài
  21. Credit Card Fraud/Theft Đánh cắp dữ liệu thẻ tín dụng là một trong những điều sợ nhất trên Internet Nổi sợ thông tin thẻ tín dụng bị đánh cắp ngăn cản người dùng mua hàng trực tuyến trong nhiều trường hợp Thú vị là, nổi sợ này hầu hết là không có căn cứ Tỉ lệ thông tin thẻ tín dụng bị đánh cắp rất thấp so với người dùng nghĩ, khoảng 0.8% toàn bộ giao dịch thẻ trực tuyến (Cybersource, 2013) Tuy nhiên, lừa đảo thẻ tín dụng trực tuyến thì cao gấp 2 lần so với lừa đảo thẻ không trực tuyến
  22. Credit Card Fraud/Theft Trong quá khứ, nguyên nhân chủ yếu của lừa đảo thẻ tín dụng là thẻ bị đánh cắp hay bị mất và được sử dụng bởi một người khác Ngày nay, nguyên nhân thường gặp của mất thông tin và thẻ tín dụng là server của các công ty bị hack, nơi chứa thông tin của hàng triệu thẻ tín dụng mua hàng được lưu trữ Vấn đề trọng tâm của an ninh TMĐT là sự khó khăn trong thiết lập danh tính khách hàng Hiện nay, chưa có công nghệ nhận dạng người dùng một cách chắc chắn —>công ty trực tuyến có nhiều rủi ro hơn rất nhiều so với công ty truyền thống
  23. Spoofing, Pharming, Spam (Junk) Web sites Spoofing: che dấu danh tính thật bằng cách sử dụng email hay địa chỉ IP của người khác Pharming: tự động điều hướng Web link đến một địa chỉ khác với địa chỉ mong muốn của người dùng Spam (Junk) Web site: hứa hẹn cung cấp sản phẩm hay dịch vụ, nhưng thật sự chỉ là tập hợp các quảng cáo
  24. Denial of Service (DOS) và Distributed Denial of Service (DDOS) DOS: làm tràn ngập một Website bằng các request vô nghĩa để làm nghẽn lưu lượng Web server DDOS: sử dụng rất nhiều máy tính để tấn công một mục tiêu trên mạng từ nhiều điểm khác nhau
  25. Tấn công từ nội bộ Đe doạ an ninh thường được nghĩ đến từ bên ngoài tổ chức/công ty Thật ra, mối đe doạ về tài chính lớn nhất không phải từ trộm bên ngoài mà là sự phá hoại trong nội bộ Nhân viên ngân hàng lấy tiền nhiều hơn trộm ngân hàng Website TMĐT cũng tương tự
  26. An ninh mạng xã hội
  27. An ninh môi trường di động
  28. An ninh môi trường cloud
  29. Giải pháp công nghệ
  30. Bảo vệ giao tiếp qua Internet Encryption (Sự mã hoá): là quá trình chuyển văn bản hay dữ liệu thông thường thành văn bản được mã hoá không thể đọc được ngoài trừ người gửi và người nhận. Mục đích của sự mã hoá: đảm bảo an toàn thông tin lưu trữ đảm bảo an toàn truyền dẫn thông tin Sự mã hoá bảo vệ được 4 trong 6 đặc tính của an ninh TMĐT: tính toàn vẹn thông điệp (integrity) tính thừa nhận (norepudiation) tính xác thực (authentication) tính bí mật (confidentiality)
  31. Mã hoá (Encryption) Mã (key hay cipher): phương pháp chuyển đổi từ văn bản thông thường sang văn bản mã hoá Mã thay thế (substitution cipher): mỗi sự xuất hiện của một ký tự được thay thế bằng một ký tự khác một cách có hệ thống ví dụ: nếu cipher là: “ký tự +2” —> “Hello” sẽ được mã hoá thành “JGNNQ” Mã chuyển đổi (transposition cipher): thứ tự của các ký tự trong một từ được thay đổi theo một cách có hệ thống ví dụ: “Hello” —>”OLLEH”
  32. Mã hoá đối xứng Cả người gửi và người nhận sử dụng cùng mã để mã hoá và giải mã thông —>mã phải được gửi đi qua phương tiện giao tiếp hay trao đổi mã trực tiếp với nhau Được sử dụng phổ biến trong WW II, vẫn còn được sử dụng một phần trong mã hoá Internet Nhược điểm: Với năng lực máy tính ngày nay, mã hoá có thể bị bẻ gãy dễ dàng Mã hoá đối xứng dùng chung mã—>mã được trao đổi qua kênh không an toàn (bị lấy cắp) Trong thương mại, mỗi khi trao đổi với đối tác khác nhau—>mã khác nhau >cần rất nhiều mã—>không khả thi
  33. Mã hoá đối xứng Hệ thống mã hoá hiện đại là mã số hoá, tức là mã được sử dụng là chuỗi các số 0 và 1 Mã hoá bảo vệ tốt tính theo độ dài bit ký tự của mã ví dụ: mã có 8 bit ký tự có 2^^8 =256 khả năng đoán đúng mã máy tính bình thường có thể giải mã ví dụ: mã có 512 bit ký tự có 2^^512 khả năng đoán đúng mã tất cả máy tính toàn thế giới giải trong 10 năm Ngày nay, thuật toán sử dụng nhiều nhất cho mã hoá đối xứng là Advanced Encryption Standard (AES) cung cấp mã gồm có 128- 192-, 256- bit
  34. Mã hoá công khai Phát minh bởi Whitfield Diffie và Martin Hellman vào năm 1976 Khắc phục nhược điểm của mã hoá đối xứng: vấn đề trao đổi mã Mã hoá công khai: 2 mã (được số hoá) liên quan về mặt toán học với nhau được sử dụng: một mã công khai, một mã cá nhân. Mã cá nhân được giữ bí mật bởi người sở hữu, mã công khai được phát tán rộng rãi. Cả 2 mã đều được sử dụng để mã hoá và giải mã thông điệp. Tuy nhiên, một khi mã được sử dụng để mã hoá thông điệp, mã đó không thể dùng để giải mã thông điệp đó Dựa vào hàm toán không thể đảo ngược một chiều, nghĩa là một khi thuật toán được áp dụng, thông số đầu vào không thể tính ra được từ thông số đầu ra Tưởng tượng công thức làm thức ăn: dễ dàng đánh trộn trứng, nhưng không thể làm lại được trứng nguyên vẹn từ trứng bị đánh trộn
  35. Mã hoá công khai Mã hoá công khai có thoả mãn hết các đặc tính của an ninh TMĐT hay không? Confidentiality? Có thể (vì bên thứ 3 không thể đọc hay giải mã thông điệp) Authentication? Không chắc chắn người gửi thật sự là người gửi > Nonrepudiation? Không chắc chắn (vì người gửi từ chối nhận mình đã gửi) Integrity? Không chắc chắn (trong quá trình vận chuyển qua Internet có thể bị biến đổi)
  36. Mã hoá công khai sử dụng chữ ký số (digital signature) và hàm băm (hash function) Khắc phục nhược điểm của mã hoá công khai —>để đạt được đặc điểm an ninh TMĐT: authentication, nonrepudiation, integrity Hash function: thuật toán tạo ra chuỗi số có độ dài cố định gọi là hash digest hay message digest (tóm tắt thông điệp). Ngày nay thường sử dụng hash function có 128-bit. Hash digest là duy nhất cho mỗi thông điệp, sau đó được gửi qua cho người nhận, người nhận sẽ kiểm tra, nếu 2 bản giống nhau có nghĩa là thông điệp không bị biến đổi—>integrity
  37. Mã hoá công khai sử dụng chữ ký số (digital signature) và hàm băm (hash function) Người gửi (sender): Người gửi mã hoá cả 2: tóm tắt thông điệp (hash digest) và thông điệp gốc (original message) sử dụng mã công khai của người nhận (giống cách mã hoá công khai) Sau đó, người gửi mã hoá lần thứ 2 toàn bộ tóm tắt thông điệp và thông điệp gốc (đã mã hoá lần 1 rồi) sử dụng mã cá nhân của người gửi —> digital signature (chữ ký số): văn bản đã mã hoá được ký và gửi đi trên Internet Chữ ký số là duy nhất vì chỉ có người gửi là có mã cá nhân. Cùng với hash function (hàm băm), chữ ký số càng độc nhất và chữ ký số thay đổi với sự thay đổi văn bản khác nhau Chữ ký số giúp đảm bảo tính authenciticity và nonrepudiation
  38. Mã hoá công khai sử dụng chữ ký số (digital signature) và hàm băm (hash function) Người nhận (receiver): Người nhận: đầu tiên sử dụng mã công khai của người gửi để xác thực thông điệp (authentication) Sau khi xác thực, người nhận tiếp tục sử dụng mã cá nhân của mình (người nhận) để mã hoá thành hash digest (tóm tắt thông điệp) và original message (thông điệp ban đầu) Bước cuối cùng, người nhận áp dụng hàm băm (hash function) cho thông điệp ban đầu này—>tóm tắt thông điệp. Nếu tóm tắt thông điệp này trùng khớp với tóm tắt thông điệp mà người nhận nhận từ người gửi—>thông điệp không bị biến đổi trong quá trình vận chuyển (integrity)
  39. Phong bì số (digital envelopes) Nhược điểm của mã hoá công khai: tốn nhiều thời gian để mã hoá >giảm tốc độ dẫn truyền và tăng thời gian xử lý Ưu điểm của mã hoá đối xứng: nhanh hơn, tuy nhiên có nhược điểm phải gửi mã đối xứng đến người nhận trên kênh truyền dẫn không an toàn Giải pháp cho cả 2 phương thức mã hoá: phong bì số Sử dụng phương pháp mã hoá đối xứng để mã hoá cho tài liệu lớn (kích thước lớn) (vì hiệu quả hơn) Sử dụng phương pháp mã hoá công khai để mã hoá và chuyển qua Internet mã đối xứng (vì an toàn hơn)
  40. Chứng nhận số (digital certificates) Chứng nhận số: là văn bản số được cấp bởi cơ quan có thẩm quyền cấp chứng nhận bao gồm: tên của chủ thể hay công ty, mã công khai của chủ thể, dãy số của chứng nhận số, ngày hết hạn, ngày cấp, chữ ký số cơ quan thẩm quyến cấp chứng nhận, các thông tin định dạng khác Cơ quan thẩm quyền cấp chứng nhận (Certification Authority): là bên thứ 3 được tin tưởng cấp chứng nhận
  41. Hạ tầng khoá công khai (Public Key Infrastructure) Tại Mỹ, các công ty tư như VeriSign, nhà sản xuất Web browser, công ty an ninh, cơ quan chính phủ (Bưu điện, Cục dự trữ liên bang) cấp phép cho các cơ quan thẩm quyền cấp chứng nhận (Certificate Authority) cùng với các CAs khác—>cộng đồng CAs PKI: là tập hợp các CAs và chứng nhận số (digital certificate) được chấp nhận bởi tất cả các bên Khi đăng nhập vào một site “an toàn”, URL sẽ bắt đầu bằng “https” và có icon hình cái khoá đóng xuất hiện trong browser—>Website này có chứng nhận số được cấp bởi một CA có uy tín. Nếu không, nhiều khả năng là site spoof ví dụ
  42. Hạn chế của giải pháp mã hoá PKI là giải pháp công nghệ tuyệt vời cho vấn đề an ninh TMĐT Tuy nhiên có rất nhiều hạn chế, đặc biệt là liên quan đến CAs PKI chủ yếu bảo vệ thông điệp truyền dẫn trên Internet, tuy nhiên không bảo vệ được trong trường hợp nhân viên, người có thẩm quyền truy cập thông tin trên hệ thống, nhất là thông tin khách hàng Hầu hết các websites TMĐT không lưu trữ thông tin khách hàng ở dạng mã Hạn chế nữa là mã cá nhân của người dùng làm sao bảo vệ?—>thường lưu trữ trên desktop hay laptop người dùng—>không an toàn Không chắc chắn người sử dụng máy tính của bạn - mã cá nhân - thật sự là bạn (mất máy tính hoặc smartphone)
  43. Hạn chế của giải pháp mã hoá Không chắc chắn người sử dụng máy tính của bạn - cá nhân - thật sự là bạn (mất máy tính hoặc smartphone) Không chắc chắn là máy tính của người bán là an toàn
  44. Bảo vệ kênh truyền thông Hình thức phổ biến nhất cho bảo vệ kênh truyền thông là giao thức SSL (Secure Sockets Layer) và TLS (Transport Layer Security) Khi nhận được thông điệp từ Web server mà bạn đang tiến hành giao dịch qua kênh an toàn, nghĩa là bạn đang sử dụng SSL/TLS để thiết lập một secure negotiated session (phiên đàm phán an toàn) (biểu hiện trên web browser là URL chuyển từ HTTP sang HTTPS)
  45. SSL/TLS secure negotiated session (phiên đàm phán an toàn): là phiên làm việc giữa client và server trong đó URL của tài liệu được yêu cầu, cùng với nội dung, hình thức, các cookies trao đổi, được mã hoá ví dụ: số thẻ tín dụng của người dùng khi gõ vào sẽ được mã hoá Sau một loạt các giao tiếp, browser người dùng và server người cung cấp dịch vụ thiết lập nhận dạng lẫn nhau bằng cách trao đổi chứng nhận số (digital certificate), sau đó trao đổi với nhau qua mã phiên (session key) session key: là mã hoá đồng nhất duy nhất được chọn cho mỗi phiên làm việc an toàn. Một khi đã được sử dụng, session key sẽ không bào giờ được sử dụng lại
  46. SSL/TLS Trong thực tế, cá nhân thường không có chứng nhận số (digital certificate) Trong trường hợp này, server của công ty cung cấp dịch vụ sẽ không yêu cầu certificate, tuy nhiên web browser của người dùng sẽ yêu cầu server công ty cung cấp certificate một khi phiên làm việc an toàn được gọi SSL/TLS cung cấp dữ liệu được mã hoá, xác thực server (qua digital certification), có thể xác thực client, tính toàn vẹn thông điệp (integrity) cho kết nối TCP/IP SSL/TLS giải quyết vấn đề xác thực bằng cách cho phép người dùng xác thực người dùng khác hay công ty khác. Nó cũng bảo vệ tính toàn vẹn thông điệp
  47. SSL/TLS Tuy nhiên, khi công ty nhận được thông tin thẻ tín dụng hay đơn đặt hàng, thông tin đó thường được lưu trữ không được mã hoá trên server của công ty người bán >hậu quả từ vấn đề an ninh nội bộ SSL/TLS chỉ đảm bảo xác thực về phía server, không đảm bảo về phía client khách hàng có thể đặt hàng và tải về thông tin sản phẩm, sau đó chối bỏ đã giao Gần đây, mạng xã hội Facebook, Twitter bắt đầu sử dụng SSL/TLS để ngăn chặn lấy cắp tài khoản qua mạng Internet wifi Firesheep, một add-on của Firefox, có thể được sử dụng bởi hacker để lấy cắp các cookies không được mã hoá (được sử dụng để “nhớ” usernames/passwords) và truy cập các tài khoản này SSL/TLS có thể ngăn chặn vì nó mã hoá luôn cả cookies
  48. Mạng riêng ảo (Virtual Private Networks VPNs) VPN cho phép người dùng ở xa có thể truy cập mạng nội bộ một cách an toàn thông qua Internet, sử dụng giao thức Point-to-Point Tunneling Protocol (PPTP)
  49. Mạng Wi-Fi Trước đây, chuẩn an ninh cho mạng Wifi là Wired Equivalent Privacy (WEP)—>rất dễ bị tấn công Sau đó đến Wi-Fi Protected Access (WPA) tốt hơn nhưng vẫn không an toàn Ngày nay, sử dụng chuẩn WPA2, sử dụng thuật toán AES cho mã hoá và CCMP, một giao thức xác thực nâng cao để bảo vệ an ninh cho người dùng Wifi
  50. Bảo vệ mạng Một khi đã bảo vệ kênh truyền thông, bước kế tiếp là bảo vệ mạng bằng các công cụ như Firewalls và Proxy Servers
  51. Firewalls (Tường lửa) và Proxy Servers Firewall: là phần cứng hoặc phần mềm lọc các packets và ngăn ngừa các packets xâm nhập vào mạng dựa vào các chính sách an ninh Proxy servers (Proxy): là phần mềm server giải quyết tất cả các giao tiếp xuất phát từ hay được gửi đến Internet, làm chức năng giống như người bảo vệ tổ chức
  52. Bảo vệ Servers và Clients Các đặc điểm của hệ điều hành và phần mềm diệt virus có thể bảo vệ server và client trong một vài trường hợp bị tấn công
  53. Tăng cường tính bảo vệ từ Hệ điều hành Thường xuyên upgrade tự động Hệ điều hành để khắc phục các lỗ hổng an ninh
  54. Phần mềm diệt Virus Cách dễ dàng nhất và ít chi phí nhất là dùng các phần mềm diệt virus McAfee, Symantec (Norton AntiVirus)
  55. Giải pháp về chính sách quản trị, nội quy kinh doanh, và luật pháp