10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
1
Trần Hoài Nam
Khoa Thương mại điện tử
Trường Đại học Thương mại
Lịch sử 20 năm phát triển của virus
10 vụ tấn công nổi tiếng của tin tặc
Tình hình an ninh mạng và an toàn
TMĐT ở Việt Nam gần đây
An toàn là vấn đề quan trọng
của thương mại điện tử
Chuyện về các vụ tấn công hệ thống
thông tin và thương mại điện tử
Tổn thất do các vụ tấn công gây ra
là rất lớn
400 tỉ USD là tổng thiệt hại do tội phạm trên
mạng gây ra năm 2004
(Nguồn: McAfee Criminology Report 2005)
Riêng 2/2006, thiệt hại của các vụ tấn công
qua mạng internet (TG) khoảng 80 tỉ USD
Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu
USD tương đương 45 tỉ VNĐ (Nguồn: VNCERT 2006)
An toàn là vấn đề quan trọng
của thương mại điện tử
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
2
Các tổ chức liên tục bị tấn công bởi những

Cấp phép
Xác định quyền truy cập các tài nguyên của tổ chức
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
3
Kiểm soát
Tập hợp thông tin về quá trình truy cập của người sử dụng
Tính tin cậy
Ngoài những người có quyền, không ai có thể xem các thông
điệp và truy cập những dữ liệu có giá trị
Tính riêng tư
Khả năng kiểm soát việc sử dụng các thông tin cá nhân của
khách hàng
Tính ích lợi
Các chức năng của một website thương mại điện tử được thực
hiện đúng như mong đợi
Internet
Web
server
Chương trình
CGI,…
Lưu trữ
(CSDL)
Trình duyệt
Web
Nguồn: Scambray, J. et al: Hacking Exposed 2e. New York
Xác thực
Tính riêng tư
Toàn vẹn

Các hình thức
tấn công
Cần dùng các biện pháp, các công cụ phần cứng
và phần mềm để đối phó
Virus
Một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao
gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình
của máy chủ khi chạy phải kích hoạt nó
Sâu máy tính (worm)
Một chương trình phần mềm được chạy một cách độc lập, chi
phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng
nhân giống tới các máy khác
Macro virus và macro worm
Một loại virus hay sâu máy tính được thực thi khi một đối tượng
ứng dụng khi được mở hay một thủ tục đặc biệt được thực thi
Con ngựa thành Tơ roa (Trojan horse)
Một chương trình xuất hiện với những chức năng hữu dụng
nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
5
Hacker là người xâm nhập bất hợp pháp vào
một website hay hệ thống công nghệ thông
tin mà họ có thể xác định rõ
Hacker mũ trắng
Hacker mũ đen
Hacker mũ xanh/samurai
Hacker mũ xám hay mũ nâu
Tác hại do tin tặc gây ra

© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
6
Web site của Ban Quản lý dự án DSM/EE
-Cục Điều tiết điện lực – Bộ Công Thương
hiện vẫn đang bị hacker
tấn công
Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông
tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị
quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng
hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài
Gửi yêu cầu http://www
Hệ thông mục tiêu
Tin tặc
Đồng loạt tấn công
Gửi tài liệu và nhận các thông báo
Cá nhân Doanh nghiệp CQ nhà nướcTrường họcViện nghiên cứu Nhà cung cấp DV
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
7
Kẻ trộmtrên mạng
Một dạng của chương trình nghe trộm, giám
sát sự di chuyển của thông tin trên mạng
Tấn công từ bên trong doanh nghiệp
Những mối đe doạ bắt nguồn từ chính những
thành viên làm việc trong doanh nghiệp
An toàn trong
truyền thông TMĐT
Áp dụng các biện pháp

• Các công nghệ được
chọn để đối phó với các
đe doạ có độ ưu tiên
cao
• Ưu tiên lựa chọn các
loại công nghệ có độ ưu
tiên cao
•Loại nào đảm bảo/không
đảm bảo và cần thay đổi
•Các mối đe doạ mới
• Trình độ công nghệ hiện
tại
•Bổ sung thêm danh mục
các hệ thống cần bảo vệ
4 pha của quá trình quản trị an toàn TMĐT
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
8
Điều khiển và kiểm soát truy cập
Các hệ thống xác thực
Các kỹ thuật mã hoá
Mã hoá
Chữ ký điện tử
Chứng thực điện tử
Các giao thức an toàn
SSL, SET, TLS
Bảo vệ hệ thống mạng của tổ chức
Bức tường lửa
Các biện pháp bảo vệ hệ thống khách/chủ

người, được chuyển
đổi thành dạng số
và lưu trữ như các
mẫu dùng để nhận
dạng xác thực
Phân tích các điểm
khác duy nhất trong
tròng mắt (một phần
màu của mắt),
chuyển đổi thành
dạng số và lưu trữ
như các mẫu để
nhận dạng xác thực
Phân tích các đặc
tính âm học trong
giọng nói, chuyển
đổi thành số và lưu
trữ như các mẫu
dùng để nhận dạng
xác thực
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
9
Các khái niệm
Bản gốc hay bản rõ (Plaintext)
Một mẩu tin/văn bản không mã hóa và con người có thể đọc
Bản mã hoá hay bản mờ (Ciphertext)
Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc
Khóa (Key)

định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82.
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
10
Tính chất cơ bản của hàm HASH
Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả*
Tính duy nhất: xác suất để có một vụ va chạm (hash collision),
tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực
kì nhỏ.
Ứng dụng của hàm hash
Chống và phát hiện xâm nhập: chương trình chống xâm nhập
so sánh giá trị hash của một file với giá trị trước đó để kiểm tra
xem file đócóbị ai đó thay đổi hay không
Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng
cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi
nhằm phát hiện những thay đổi cho dù là nhỏ nhất
Tạo chìa khóa từ mật khẩu
Tạo chữ kí điện tử.
Mã hoá khoá bí mật
Gọi là mã hoá đối xứng hay mã hoá khoá riêng
Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi
người gửi) và quá trình giải mã (thực hiện bởi người nhận)
Mã hoá khoá công cộng
Gọi là mã hoá không đối xứng hay mã hoá khoá chung
Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng
để mã hoá thông điệp và một khoá khác dùng để giải mã.
Mã hoá khoá bí mật
Mã hoá khoá công cộng
10/11/2007 11:17 PM

(Luật Giao dịch điện tử)
Chức năng của chữ ký điện tử
Là điều kiện cần và đủ để quy định tính duy nhất của văn bản
điện tử cụ thể;
Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;
Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm
của người ký
Bất kỳ thay đổi nào (về nội dung, hình thức ) của văn bản trong
quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị
thay đổi với chữ ký
Ch÷ ký ®iÖn tö
(2)
Người gửi ứng
dụng hàm băm
(3)
Người gửi mã hóa sử dụng
khóa riêng của mình
(8)
Người gửi ứng dụng
hàm băm
Thông điệp rút gọn
Chữ ký số
Phong bì số
Phong bì số
Chữ ký số
Thông điệp rút gọnThông điệp rút gọn mới
(9)
So sánh
(4)
Người gửi mã hóa sử dụng khóa công

của mình để giải mã nội dung của phong bì số hóa và nhận
được một bản sao của thông điệp gốc và chữ ký số của người
gửi
7. Người nhận sử dụng khóa chung của người gửi để giải mã chữ
ký số và nhận được một bản sao của thông điệp rút gọn gốc (do
người gửi tạo ra, sẽ được sử dụng để đối chứng)
8. Người nhận sử dụng hàm băm để chuyển thông điệp gốc thành
thông điệp rút gọn như ở bước 2 người gửi đã làm và tạo ra
thông điệp rút gọn mới
9. Người nhận so sánh thông điệp rút gọn mới và bản copy của
thông điệp rút gọn gốc nhận được ở bước 7; Nếu hai thông điệp
rút gọn trùng nhau, có thể kết luận chữ ký điện tử là xác thực và
nội dung thông điệp gốc không bị thay đổi sau khi ký
Nội dung của chứng thực điện tử
Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử.
Số hiệu của chứng thực điện tử.
Thời hạn cú hiệu lực của chứng thực điện tử.
Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử.
Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử.
Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử.
Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng
thực chữ ký điện tử.
Các nội dung khác theo quy định của Chính phủ.
Một loại chứng nhận do cơ quan chứng nhận
(Certification Authority - CA) (hay bên tin cậy thứ ba) cấp;
là căn cứ để xác thực các bên tham gia giao dịch; là cơ sở
đảm bảo tin cậy đối với các giao dịch thương mại điện tử
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.

10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
14
Tổng quan
SET - giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín
dụng trực tuyến cho cả khách hàng và doanh nghiệp
Một tập các giao thức và định dạng bảo mật cho phép người
dùng sử dụng nền tảng thanh toán bằng thẻ tín dụng trên một
mạng mở như Internet
Giao thức
an toàn
Sơ đồ thực thi giao thức SET
Bên máy tính người gửi
Sender’s
Private
Signature Key
Sender’s
Certificate
+
+
Message
+
Digital Signature
d
Receiver’s
Certificate
Encrypt
Symmetric
Key

Key-Exchange Key
h
Decrypt
Message Digest
Digital Signature
Sender’s Public
Signature Key
j
Decrypt
Message Digest
k
© Prentice Hall, 2000
10/11/2007 11:17 PM
© 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
15
Ưu điểm
Giải pháp bảo mật toàn diện
Người mua, người bán được xác thực với nhau qua certificate do
CA cấp.
Phân phát khóa public an toàn qua CA làm cơ sở cho xác thực
qua DS.
Người bán không biết thông tin cá nhân, tài khoản của người
mua.
Chữ kí kép giúp loại bỏ những gian lận từ phía người bán.
Giao thức
an toàn
Ưu, nhược điểm của Giao thức SET
Nhược điểm
Yêu cầu thay đổi lớn trong nền tảng thanh toán hiện tại.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
16
Bức tường lửa
(Firewall)
Bảo vệ hệ thống
mạng của tổ chức
Các kiểm soát của hệ điều hành
Kiểm soát truy cập thông qua việc tự động từ chối khi người sử
dụng truy cập vào các khu vực khác (không được phép) của mạng
máy tính
Kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp cho
việc đảm bảo an toàn cho cơ sở dữ liệu và cho toàn bộ hệ thống.
Phần mềm chống virus và phát hiện xâm nhập
Phần mềm chống virus: Biện pháp đơn giản nhất và ít tốn kém
nhất chống lại các mối đe doạ tính toàn vẹn của các hệ thống
Hệ thống phát hiện xâm nhập: khả năng dò tìm và nhận biết các
công cụ mà những kẻ tin tặc thường sử dụng hoặc phát hiện
những hành động khả nghi
© 2007 Trần Hoài Nam –
Q & A