Công nghệ thông tin, Sách giáo trình

Chứng thực trong thương mại điện tử

Đăng vào bởi admin
Chứng thực trong thương mại điện tử trình bày một cách tổng quan về các vấn đề an toàn trong thương mại điện tử và các giải pháp để bảo vệ các tài sản điện tử.

Dưới đây là tóm tắt các nội dung chính của tài liệu:

  • Giới thiệu về Thương mại điện tử: Định nghĩa thương mại điện tử (e-commerce) và so sánh với thương mại truyền thống. Tài liệu chỉ ra rằng TMĐT đã tồn tại từ lâu với các hình thức như chuyển tiền điện tử (EFT) và trao đổi dữ liệu điện tử (EDI), sau đó phát triển mạnh mẽ với sự ra đời của Internet và Web.
  • Thuận lợi và Khó khăn của Thương mại điện tử:
    • Thuận lợi: Tăng khả năng bán hàng và giảm chi phí, mở rộng thị trường, tạo cộng đồng ảo, đơn giản hóa quá trình thương lượng giá cả và phân phối hàng hóa, tăng tốc độ và độ chính xác trong trao đổi thông tin, cung cấp nhiều lựa chọn hơn cho người mua, tiện lợi 24/7, và mang lại lợi ích xã hội (giảm tắc nghẽn giao thông, ô nhiễm, giáo dục từ xa).
    • Khó khăn: Một số sản phẩm không phù hợp với TMĐT (thực phẩm dễ ôi thiu, hàng hóa giá trị cao), chi phí thiết lập ban đầu cao, khó xác định rõ chi phí và lợi nhuận, khó khăn trong tuyển dụng nhân sự có kỹ năng, vấn đề tích hợp cơ sở dữ liệu hiện có, rào cản về phong tục tập quán và luật pháp, và sự e ngại của khách hàng về việc chia sẻ thông tin cá nhân/thẻ tín dụng trực tuyến.
  • Các hiểm họa đối với An toàn Thương mại điện tử:
    • Giới thiệu chung: Nhấn mạnh tầm quan trọng của an toàn thông tin trong TMĐT do các rủi ro ngày càng lớn (chặn đọc, tấn công, lộ số thẻ tín dụng). Tài liệu giới thiệu mô hình quản lý rủi ro và phân loại an toàn máy tính thành 3 loại: tính bí mật (secrecy), tính toàn vẹn (integrity) và tính sẵn sàng (necessity). Ngoài ra, vấn đề bản quyền và sở hữu trí tuệ cũng được đề cập.
    • An toàn tích hợp: Các yếu tố của một chính sách an toàn tích hợp bao gồm: xác thực, kiểm soát truy cập, bí mật, toàn vẹn dữ liệu và kiểm toán.
    • Hiểm họa đối với sở hữu trí tuệ: Việc dễ dàng sao chép tài liệu trên Internet mà không có sự cho phép của chủ sở hữu gây ra thiệt hại đáng kể.
    • Hiểm họa đối với máy khách: Nội dung động (Applets, ActiveX controls, JavaScript, VBScript), các tệp đồ họa và trình duyệt plug-ins có thể chứa mã độc (con ngựa thành Tơroa) để lấy cắp thông tin nhạy cảm (cookie) hoặc phá hủy dữ liệu.
    • Hiểm họa đối với kênh truyền thông (Internet): Internet vốn không an toàn. Thông tin truyền qua Internet có thể bị đọc, sửa đổi hoặc loại bỏ bởi các đối tượng trung gian. Các hiểm họa bao gồm:
      • Đối với tính bí mật: Lộ thông tin cá nhân nhạy cảm (số thẻ tín dụng, địa chỉ) thông qua các chương trình đánh hơi (sniffer) hoặc việc vô tình làm lộ thông tin khi chuyển từ trang này sang trang khác.
      • Đối với tính toàn vẹn: Sửa đổi trái phép thông tin trong một thông báo (ví dụ: giao dịch ngân hàng), phá hoại điều khiển (Cyber vandalism) hoặc giả mạo (Masquerading/Spoofing) các trang Web.
      • Đối với tính sẵn sàng: Phá vỡ quá trình xử lý thông thường, làm chậm dịch vụ, hoặc từ chối toàn bộ quá trình xử lý (tấn công từ chối dịch vụ – DoS, bom thư).
    • Hiểm họa đối với máy chủ:
      • Máy chủ Web: Các lỗi phần mềm, lỗ hổng bảo mật, chạy máy chủ Web ở mức đặc quyền cao, hiển thị danh mục tự động, lưu giữ mật khẩu không an toàn, mật khẩu dễ đoán (tấn công từ điển).
      • Cơ sở dữ liệu: Lộ hoặc sửa đổi thông tin có giá trị/riêng tư do mật khẩu/tên người dùng không an toàn, hoặc chương trình con ngựa thành Tơroa hạ cấp thông tin.
      • Giao diện Gateway thông thường (CGI): Các chương trình CGI có lỗi hoặc cũ có thể bị lạm dụng để truy cập trái phép, xóa tệp hoặc xem thông tin bí mật.
      • Các chương trình khác: Tấn công tràn bộ nhớ đệm (Buffer overflow attacks) có thể làm hỏng chương trình, treo máy tính hoặc cho phép kẻ tấn công kiểm soát hệ thống.
  • CERT (Nhóm phản ứng khẩn cấp các sự cố về máy tính): Một tổ chức được thành lập để nghiên cứu, tìm hiểu và loại bỏ các hiểm họa an toàn trong không gian mạng.
  • Những mục tiêu của An toàn Thương mại điện tử:
    • Bảo vệ các tài sản thương mại điện tử: An toàn là cần thiết để đảm bảo sự tin cậy của khách hàng. Chính sách an toàn phải xác định tài sản cần bảo vệ, phân tích các mối đe dọa và đưa ra các nguyên tắc bảo vệ.
    • Bảo vệ sở hữu trí tuệ: Đặt ra nhiều vấn đề trong môi trường số. Các giải pháp như khóa tên máy chủ, lọc gói, máy chủ ủy quyền có thể giúp bảo vệ, nhưng vẫn khó ngăn chặn hoàn toàn việc ăn cắp.
    • Bảo vệ máy khách: Giám sát nội dung động (sử dụng chứng chỉ số, kỹ thuật Authenticode của Microsoft, cài đặt bảo mật trình duyệt), đối phó với cookie, và sử dụng phần mềm chống virus.
    • Bảo vệ các kênh thương mại điện tử: Cung cấp tính riêng tư giao dịch thông qua mã hóa (cryptography) để ngăn chặn việc đối tượng nghe trộm đọc thông báo.

Tóm lại, tài liệu cung cấp cái nhìn toàn diện về các mối đe dọa an ninh mạng trong thương mại điện tử và các biện pháp bảo vệ cần thiết cho cả máy khách, kênh truyền thông và máy chủ.

Công nghệ thông tin Sách giáo trình

Chứng thực trong thương mại điện tử
  • Tác giả: Nguyễn Nam Hải, Đào Thị Hồng Vân, Phạm Ngọc Thúy
  • Ngôn ngữ: Tiếng Việt
Tải về