Đang tải... (xem toàn văn)
Giới thiệu Các vấn đề bảo mật Các chiến lượt an toàn hệ thống Các mức bảo vệ Mã hóa và ứng dụng mã hóa trong bảo mật TMĐT
5.1. Giới thiệu 5.2. Các vấn đề bảo mật 5.3. Các chiến lượt an toàn hệ thống 5.4. Các mức bảo vệ 5.5. Mã hóa và ứng dụng mã hóa trong bảo mật TMĐT An toàn và bảo mật trên mạng có nhiều tiến triển o Bức tường lửa (firewall) o Mã hóa (encryption) o Chữ ký điện tử (digital signature) nhưng vẫn còn nhiều nguy cơ đe dọa Điểm yếu là ý thức và hành vi của người dùng o Đánh lừa người khác để lấy thông tin o Tấn công hay phá hoại thông qua lỗ hổng của HĐH o Mở thư đã bị nhiễm virus o Xem những trang web chứa 1 số đoạn mã có ý xấu o … Một số kiểu lừa tiền trên Internet 03/19/13 4 Tính bí mật: tính kín đáo riêng tư của thông tin Tính xác thực của thông tin, bao gồm xác thực đối tác( bài toán nhận danh), xác thực thông tin trao đổi Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi 03/19/13 5 Vi phạm chủ động: o Có thể làm thay đổi nội dung, xóa bỏ, làm trễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian. o Làm sai lệch nội dung thông tin trao đổi. o Vi phạm chủ động dễ phát hiện o Ngăn chặn hiệu quả thì khó khăn hơn nhiều Vi phạm thụ động: o Chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin (đánh cắp thông tin) o Không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu o Vi phạm thụ động thường khó phát hiện o Nhưng có thể có những biện pháp ngăn chặn hiệu quả 03/19/13 6 Giới thiệu Các loại tấn công Các mối đe dọa Chính sách bảo vệ Một khách hàng cần có thông tin của các sản phẩm trên website của 1 công ty nào đó Máy chủ yêu cầu khách hàng điền thông tin cá nhân Sau khi cung cấp thông tin cá nhân, khách hàng mới nhận được thông tin của sản phẩm → Giải pháp bảo mật cho trường hợp này là gì? Về phía khách hàng o Trang web này là của một công ty hợp pháp? o Có chứa các đoạn mã nguy hiểm? o Có cung cấp thông tin cá nhân cho một website khác? Về phía công ty o Người dùng có ý định phá server hay sửa nội dung của trang web? Khác o Có bị ai nghe lén trên đường truyền? o Thông tin được gửi và nhận có bị sửa đổi? [...]... nhất định nào đó) Về lý thuyết nếu mọi người đều giữ kín được mật khẩu và tên đăng ký của mình thì sẽ không xảy ra các truy nhập trái phép Song điều đó khó đảm bảo trong thực tế vì nhiều nguyên nhân rất đời thường Có thể khắc phục bằng cách người quản mạng chịu trách nhiệm đặt mật khẩu hoặc thay đổi mật khẩu theo thời gian 03/19/13 32 Để bảo mật thông tin trên đường truyền người ta sử dụng các phương... thiết hàng đầu Công tác quản trị mạng máy tính phải được thực hiện một cách khoa học đảm bảo các yêu cầu sau : o Toàn bộ hệ thống hoạt động bình thường trong giờ làm việc o Có hệ thống dự phòng khi có sự cố về phần cứng hoặc phần mềm xảy ra o Backup dữ liệu quan trọng theo định kỳ o Bảo dưỡng mạng theo định kỳ o Bảo mật dữ liệu, phân quyền truy cập, tổ chức nhóm làm việc trên mạng 03/19/13 36 ... máy tính hoặc cả mạng nội bộ (intranet) Tường lửa (Fire Walls) Tường lửa (Fire Walls) Bảo vệ vật lý (Physical protect) Mã hoá dữ liệu (Data Encryption) Đăng ký và mật khẩu (Login/Password) Quyền truy nhập (Access Rights) Thông tin (Information) 03/19/13 35 Trong thời đại phát triển của công nghệ thông tin, việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố là... công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý được coi là yếu điểm nhất trong hệ thống của chúng ta 29 Quyền truy cập Đăng ký tên /mật khẩu Mã hóa dữ liệu Bảo vệ vật lý Tường lửa Quản trị mạng 03/19/13 30 Là lớp bảo vệ trong Mục đích: o Kiểm soát các tài nguyên của mạng và o Kiểm soát quyền hạn trên tài nguyên đó o Kiểm soát được các cấu trúc dữ liệu càng chi tiết càng... các liên kết (link) o Active content • Đoạn chương trình được nhúng vào trang web và tự động thực hiện • Tự động tải về và mở file • Cookie, java applet, java script, activeX control • Tùy vào mức độ bảo mật tại Client, trình duyệt hiện thị hộp thoại cảnh báo Plug-in o Chương trình làm tăng khả năng trình bày của các trình duyệt (browser) • Mở nhạc, phim, animation • QuickTime, RealPlayer, FlashPlayer... Đây là lớp bảo vệ thông tin rất quan trọng 03/19/13 33 Ngăn cản các truy nhập vật lý vào hệ thống Thường dùng các biện pháp truyền thống như: o Ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng o Dùng ổ khoá trên máy tính hoặc các máy trạm không có ổ mềm 03/19/13 34 Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy... Authentication – Chứng thực người dùng o Sự ủy quyền thông qua mật mã, thẻ thông minh, chữ ký Authorization – Chứng thực quyền sử dụng Auditing – Theo dõi hoạt động Confidentiality (Privacy) – Giữ bí mật nội dung thông tin o Mã hóa Integrity – Toàn vẹn thông tin Availability – Khả năng sẳn sàng đáp ứng Nonrepudiation – Không... mức tệp 03/19/13 31 Đây cũng là kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức thông tin mà ở mức hệ thống Là phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu quả Mỗi người sử dụng đều phải có đăng ký tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng... càng cao, web server càng bị nguy hiểm o Nội dung của các thư mục có thể thấy được từ browser • Trang web mặc định không được cấu hình chính xác • Index.html, Index.htm o Yêu cầu người dùng nhập tên và mật mã ở một số trang • Sử dụng cookie Database Server o Tập tin chứa dữ liệu có thể được truy xuất bằng quyền hệ thống • Quyền quản trị của HĐH o Dữ liệu trong CSDL có thể bị lộ nếu không được mã hóa... chặn các tấn công từ Internet hay từ các mạng khác Last Privilege Defence In Depth Choke Point Weakest Link Tính toàn cục Tính đa dạng 03/19/13 Giới hạn quyền hạn tối thiểu (Last Privilege): Bảo vệ theo chiều sâu (Defence In Depth): Đây là chiến lược cơ bản nhất Nút thắt (Choke Point) : Nguyên tắc này nhắc nhởkỳ một đối:tượng chúng ta Không Theo nguyên tắc này bất(Weakest Link) : nào Điểm . vấn đề bảo mật 5.3. Các chiến lượt an toàn hệ thống 5.4. Các mức bảo vệ 5.5. Mã hóa và ứng dụng mã hóa trong bảo mật TMĐT An toàn và bảo mật trên. tin cá nhân, khách hàng mới nhận được thông tin của sản phẩm → Giải pháp bảo mật cho trường hợp này là gì? Về phía khách hàng o Trang web này là