Giáo trình an toàn dữ liệu trong Thương mại điện tử

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI

Bộ MÔN CÔNG NGHỆ THÕNG TIN

TS. Đàm Gia Mạnh

GIÁO TRÌNH

AN TOÀN DỮUỆU

TRONG THƯƠNG MẠI ĐIỆN TỬ

L

nhà xuất bản thống kê

LỜI NÓI ĐẦU

Trong hoạt động thương mại, thông tin có vai trò rất quan trọng.'

Việc cập nhật thông tin và đảm bảo tính an tọàn cho thông tin trong

suốt quá trình vận động của chúng là" một vấn ịỉề mang tính sống còn

của các tổ chức kinh doanh. Ngàỵ nay, với sự phát triển mạnh mẽ của

Công nghệ thông tin (CNTT) và đặc biệt là của Internet, con người đã

có một môi trường thuận lợi để có thể nắm bắt thông tin một cách

nhanh chóng cũng như tạo ra khả năng trao đổi thông tin dễ đàng hơn.

Tuy nhiên, mạng toàn cầu Internet không phải chỉ mang lại những lợi

ích to lớn mà trong nó còn tiềm ẩn rất nhiều nguy cơ, những mối hiểm

họa cho các tổ chức, cá nhân. Đó chỉnh là sự tấn công vào chính «hệ

thống thông tin thông qua mạng Internet với những mục đích không

tốt đẹp, gây mất an toàn thông tin. Những thiệt hại về thông tin như rò

rỉ thông tin ra bên ngoài sẽ không chỉ ảnh hưởng đến từng con người

hay mỗi ứng dụng riêng rẽ mà nó sẽ ảnh hưởng đến toàn bộ hoạt động

của tổ chức, có thể gây tổn hại đến những lợi ích về kinh tế cũng nhử

uy tín của tổ chức. ; i

Đối với các hoạt động thương mại, Internet tạo ra một môi trương

kính doanh hòàn toàn mới đó là “Thương mại điện tử” (TMĐT)- r?

đời từ cuối những năm 90 của thế kỷ hai mươi và phát triển nhath

trong những năm gần đây.

Sự phát triển của TMĐT bị ảnh hưởng cua nhiều yếu tố trong đó

có yếu tố “an toàn thông tin cho các giao dịch” là yếu tố chiếm vị trí

chi phối. Để có thể phát triển bền vựng TMĐT, ngoài việc phải thực

hiện đồng bộ các giải pháp về xã hội, về nhận thức, pháp lý;' tài chính

và hợp tác quốc tế, ... thì an toàn thông tin trong các giao dịch TMĐT

là một vấn đề được đặt lên hàng đầu.

Nhiêu công trinh khoa học vê các phương pháp đảm bảo tính aìí

toàn và toàn vẹn thong tin đã được công bố trên các tạp chí nổi tiếri^

thế giới và trở thành những phương pháp chuẩn được nhiều nước áp

dụng. Có thể kể ra đây một số phương pháp điển hình như các phương

pháp mã hoá dữ liệu, hay sử dụhg chữ ký điện tử như là một chứng

thực mang tính đảm bảo về tư cách pháp nhân của một cá nhân hay tổ

chức trong quá trình giao dịch điện tử, ...

Mục tiêu của giáo ựình này là đưa ra những vấn đề cơ bản liện

quan đến an toàn dữ liệu trong TMĐT như khái niệm, mục tiêu, yêu

cầu an toàn dữ liệu trong TMĐT, cũng như về những nguy cơ gây mất

an toàn, các hình thức tấn cộng dữ liệu ưong TMĐT. Từ.đó, giúp các

nhà tham gia hoạt động kinh doanh TMĐT có cái nhìn tổng thể về an

toàn dữ liệu trong hoạt động của mình. Ngoài ra, trong giáo trình này

cũng đề cập đến một số phương pháp phòng tránh các tấn công gây

mất an toàn dữ liệu cũng như biện pháp khắc phục hậu quả thông

dụng, phổ biến hiện nay, giúp các nhà kinh doanh cộ thể vận dụng

thuận Ịợi hơn trong những công việc hàng ngày của mình.

Giáo trình đứợc biên; soạn theo chương trình học phần đã được

Hội đồng Khoa học Trường Đại học Thương mại thông qua và sử

dụng đe đào tạo từ năm 2005 trên'Cơ sở bài-giảng và quá trình giảng

dạy học phần cho các đối tượng đại học chính qui, bồi dưỡng kiến

thức,'... của các giáo viên Bộ môn Công nghệ thông tin. Đối tượng

phục vụ chính của giáo trình là sinh viên các hệ đào tạo thuộc chuyên

ngành Quản trị Thưohg mại điện tử và chuyên ngành Quản trị Hệ

thống thông tin thị trường và thương mại của Trưởng Đại học Thương

mại. Tuy nhiên nó có thể có ích cho những ai muốn tìm hiểu và vận

dụng các kỹ năng đảm bảo an toàn dữ liệu nói chung và đảm bảo an

toàn dữ liệu trong TMĐT. Vì qưỹ thời gian dành cho môn học có hạn

(02 tín chỉ) nên trong giáo trình chưa có điều kiện ưình bày nhiều về

các tình huống đảm bảo an toàn dữ liệu ứng dụng ttong thực tiễri. Hy

vọng rằng sẽ được .trình bầy với độc giả về vấn đề này trong thời gian

gàri đây.

Trọng quá trình biên soạn, tác giả đã nhận được những ý kiến

đóng góp quí báu cùa cạc dồng nghiệp ở Khoa Thương mại điện tử,

Khoa Tin học thương mậi Trường Đại học Thương mại. Tác giả xin

4

chân thành cám ơn tất cả những đóng góp chân tình đó. Tác giả đặc

biệt tỏ lời cám ơn CN. Tiêu Công Thẳng, CN/Phan Đa Phúc, ThS.

Nguyễn Thị Hội đã chuẩn bị tài liệu và góp phần xây dựng bản thảo,

PGS TS Trịnh Nhật Tiến, TS Trần Văn Hòe đã đọc, phản biện và

đóng góp nhiều ý kiến bổ ích cho việc hoàn thiện giáo trình.

Mặc dù đã rất cố gắng, giáo trình khó tránh khỏi những hạn chế

và thiếu sót trong nộì đung và diễn giải. Tác giả mong nhận được ý

kiến nhận xét của bạn đọc để tiếp tục hoàn thiện nội dung giáo trình

trong những lần xuất bản sau. Ý kiến đóng góp xin gửi theo địa chỉ:

Bộ môn Công nghệ thông tin, Trường Đại học Thương mại, email:

[email protected].

Hà Nội, tháng 12 năm 2007

TÁC GIẢ

DANH MỤC CÁC HÌNH VẼ, BẢNG VÀ Hộp

Hình 1.1. sổ vụ tấn công, truy nhập tráiphép trên mạng

Hình 1.2. Minh hoạ về an toàn thông tin

Hình 1.3. Các yêu cầu trong đảm bảo an toàn dữ liệu

Hình 1.4. Qụy trình bảo đảm an toàn hệ thống

Hình 1.5. Mô hình bảo vệ dữ liệu trên máy đầu cuối

Hình 1.6. Mô hình truyền dữ liệu an toàn

Hình 2.1. Thống kê của CERT về các hình thức tấn công dữ liệu

phổ biến

Hình 2.2. Nghe trộm thông tin trên đường truyền

Hình 2.3. Phân tích lưu lượng thông tin trên đường truyền

Hình 2.4. Giả mạo người gửi tin

Hình 2.5. Tấn công bằng thay đổi thông điệp

Hình 2.6. Tẩn công lặp lại

Hình 2.7. Tẩn công từ chối dịch vụ

Hình 2.8. Tấn côngDDoS

Hình 2.9. Tấn 'công DRDoS

Hình 3.1. Phân biệt người dùng toàn cục và ngườỉ dùng cục bộ

Hình 3.2. Vị trí của giao thức SSL

Hình 3.3. Cấu trúc của giao thức SSL

Hình 3.4. Mô hình giao thức bắt tay

Hình 3.5. Cơ chế hoạt động của giao thức SET

6

Hình 3.6. Cac thành.phân cùa SET

Hình 3.7. AirCrack

Hình 3.8. Tường lửa

Hình 3.9. Mục tiêu bảo mật của tường lửa

Hình 3.10. Tường lửa với cơ chế lọc gỏi

Hình 3.11. Tường lửa mức Proxy (Proxy Firewall)

Htnh 3.12. Tường lửa mức Proxy mạch vòng

Hình 3.13. Giao điện chính của EDR

Hình 3.14. Thao tác khôiphục dữ liệu trên phân vùng ắ đĩa c

Hình 3.15. Quảng cáo tiện ích của nhà sản xuất EDR

Hình 3.16. Danh sách các File đã bị xoả

Hình 3.17. Chọn vị trí để lưu File khôiphực

Hình 3.18. Xác nhận lựa chọn khôiphục File

Hình 3.19. Kết thúc khôiphục một File

Hình 3.20. Giao diện Recover my Files

Hình 3.21. Giao diện chương trình CardRecovery

Hình 4.1. Mô hình truyền tin bảo mật cơ bàn

Htnh 4.2. Mô hình hệ thống mã hỏa đổi xửng

Hỉnh 4.3. Sơ đồ thuật toán mã DES

Hình 4.4. Sơ đồ thuật toán của giải thuật DES

Htnh 4.5. Mô hình hệ thống mã hóa bất đối xứng

Hình 4.6. Xấc thực sử dụng khoả công khai

Hình 4.7. Minh hoạ thí dụ giải thuật RSA

Hình 5.1. Tạo ra chuỗi băm

7

Hình 5.2. Chữ ký điện tử được kỷ lên thông điệp

Hình 5.3. Xác nhận chữ kỷ điện tử

Hình 5.4. Sơ đồ sử dụng khoá công khai***

Hĩnh 5.5. Chứhg thực điện tử sử dụng khoá cộng khai

* ' <

Hình 5.6. Các bên tham gia trong giao dịch thanh toán điện tử

Hình 5.7. Thẻ Visa Card, thẻ Master CaỲd

Hình 5.8. Tố chức của IVS

Hình 5.9. Hoạt động của trang Web trên mạng

Hình 5.10. Hệ thống mảy chủ an toàn

Hình 5.1í. DMZ 1 Firewall (trái) và DMZ1 Firewall (phải)

Hình 5.12. Cẩu hình DMZ

Hình 5.13. Mô hình kiến trúc Honeynet

Bảng 1.1. Mô tả TMĐT theo các góc độ khác nhau

Bảng 1.2. TMĐT theo nghĩa rộng và nghĩa hẹp

Bảng 1.3. Những băn khoăn của khách hàng và người bán hàng

về các khía cạnh khác nhau của an toàn TMĐT

Bảng 3.1. Khả năng khỏiphục dữ liệu

Bảng 4.1. Thờigian dò khoá đổi với các khoá có kích thước khác nhau

Bảng 4.2. Ví dụ mã hóa Monophabetic dựa trên bảng chữ cái

Bảng 4.3. ■Mã Monphabetic dựa trên chuỗi nhịphân

Bảng 4.4. Mã hóa cộng tính

Bảng 4.5. Phươngpháp mã khối

Bảng 4.6. Mã hóa thế đồng ăm

• í

Bảng 4.6. Kết quả của phép mã hoả thế đồng ăm

8

Bảng 5.1. Mức độ thiệt hại do gian lận trong thanh toán điện tử

Bảng 5.2. Thiệt hại do gian lận từ thẻ thanh toán trong bán lẻ

điện tử

Bảng 5.3. Tỷ lệ thăm dò “cách thức làm giảm lo lắng của người mua ”

Bảng 5.4. Một sổ Website thương mại hàng đầu bị tấn công DoS

Hộp 2.1. 10 vụ Hacks nổi tiếng

Hộp 2.2. Lịch sử các loại Virus

c

GIẢI THÍCH CÁC TỪ VIẾT TẮT VÀ CÁC THUẬT NGỮ

Từ viết tắt Thuật ngữ Giải thích

A

ASPCA The American Society for

the Prevention of Cruelty

to Animals

Hội chống ngược đãi

động vật Hoa Kỳ

Administrators Quyền quản trị

Adware Phần mềm quảng cáo

Automated Scans Quét cổng mở

Availability Tính sẵn sàng

B

B2B Business - to - Business

B2C' ' Business - to - Customer

B2G Business to

Government

Backup Operators Quyền sao lưu và khôi

phục

Browsers Code Attacks Tấn công vào trình duyệt

Built-in User Account Tài khoản người dùng tạo

sẵn

10

-, c

CA Certificate Authority Cơ quan chứng thực

CA Certification Authority Cơ quan chứng thực

CERT Computer Emegency

Response Team

Đội phản ứng nhanh an

ninh mạng

CNTT Information Technology Công nghệ thông tin

CSDL Data base Cơ sở dữ liệu

Click Fraud Gian lận nhấp chuột

Computer Security An toàn máy tính

Confidentiality Tính tin cậy

Confusion Tính hỗn loạn

Cryptogram/Ciphertext Thông điệp đã được mã

hoá

Cybervandalism Chương ứình phá hoại

D

DDoS Distributed Denial of

Service

Tấn công từ chối dịch vụ

phân tán

DES Data Encryption

Standard

DMZ Demilitarized Zone Mạng vành đai

11

DoS Denial of Service Tấn công từ chối dịch vụ

DRDoS Distributed Reflection

Denial of Service

Tấn công từ chối dịch vụ

theo phương pháp phản

xạ

Diffusion Tính khuếch tán

Digital Banking Giao dịch ngân hàng số

hóa

Digital Certificate Chứng thục điện tử

Digital Coin Đồng tiền số

Digital Envelope Phong bì số

Digital Securities Tracing Giao dịch chứng khoán

số hóa

Digital Signature Chữ ký điện tử/Chữ ký số

DNS Attacks Tấn công vào DNS

E

EDI Electronic Data

Interchange

Trao đổi dữ liệu điện tử

EDR EASEUS Deleted File

Recovery

Eavesdropping Nghe lén

Electronic Cash Tiền điện tử

Electronic Cheque Séc điện tử

12

Electronic Payment Thanh toán điện tử

Electronic Purse Ví tiền điện tử

F

FAT File Allocation»Table

FEDI Financial Electronic Data

Interchange

Trao đổi dữ liệu điện tử

tài chính

Firewall Tường lửa

G

Global Account Người dùng toàn cục

Guest Khách

H

■ i

Hijacking Sessions Tân công phiên

I

IĐSs Intrusion Detection

Systems

Các hệ thống đò tìm thâm

nhập

1

ISP Internet Service Provider Nhà cung cấp dịch vụ

Internet

Integrity Tính toàn vẹn

Internet CashDigital

Cash

Tiền mặt Internet

43

L

Local User Người dùng cục bộ

M

MFM Magnetic Force

Microscope

-

MFT Master File Table

N

Network Security An toàn mạng máy tính

o

OECD Organisation for

Economic Co-operation

and Development

Tổ chức hợp tác phát

triển kinh tế của Liên

Hợp quốc

p

PTĐT Phương tiện điện tử

P2P Peer - to - Peer

Passive Attack

»

Tấn công thụ động

Personal Firewall Bức tường lửa cá nhân

Plaintext f 1 <1 A -*• A Ã Thông điệp gôc

Power Users Thêm người dùng

14