- Yờu cầu của TMĐT đối với hệ thống thanh toỏn . - Phõn tớch cỏc hiểm họa đối với an toàn hệ thống . - Mục đớch và phõn loại đảm bảo an toàn hệ thống . - Cỏc hiểm họa đối với an toàn hệ thống . - Cỏc giải phỏp đảm bảo an toàn hệ thống . - Đảm bảo tớnh sẵn sàng của hệ thống . - Đảm bảo an toàn hệ thống . - eBill - Hệ thống thanh toỏn trực tuyến . - Mụ hỡnh hệ thống . - Mụ tả hệ thống eBill . - Phõn tớch hệ thống . - Thiết kế hệ thống . - Thiết kế kiến trỳc hệ thống . - Thiết kế đảm bảo an toàn, an ninh cho hệ thống Chương 5. - Đỏnh giỏ hệ thống . - Hệ thống TMĐT Hỡnh 1.2. - Tấn cụng làm mất tớnh sẵn sàng của hệ thống Hỡnh 2.5. - Đảm bảo tớnh sẵn sàng của dữ liệu và hệ thống Hỡnh 3.7. - Giải phỏp của Check Point bảo vệ hệ thống Hỡnh 4.1. - Mụ hỡnh tổng quỏt hệ thống Hỡnh 4.2. - Giải phỏp kết nối hệ thống Hỡnh 4.6. - Kiến trỳc hệ thống Hỡnh 4.7. - Trong cỏc hoạt động của thương mại điện tử thỡ việc đảm bảo an toàn, an ninh cho người dựng cũng như cỏc hệ thống thanh toỏn điện tử trực tuyến là rất cần thiết và là ưu tiờn hàng đầu. - Từ thực tế này, chỳng tụi chọn đề tài: “Đảm bảo an toàn cho cỏc hệ thống thanh toỏn điện tử trực tuyến”. - Vấn đề mất an toàn, an ninh làm cho cỏc hệ thống thanh toỏn điện tử, là hạt nhõn của hệ thống TMĐT, chưa phỏt triển. - TMĐT khú cú thể phỏt huy được hết ưu điểm của mỡnh khi chưa cú hệ thống thanh toỏn điện tử với năng lực đủ mạnh. - TMĐT phỏt triển đặt ra cho hệ thống thanh toỏn cần phải đảm bảo an toàn cho cỏc giao dịch tài chớnh. - (3) Hệ thống thanh toỏn điện tử gửi cỏc lệnh thanh toỏn đến cho Ngõn hàng hoặc tổ chức chuyển mạch tài chớnh thực hiện giao dịch thanh toỏn. - Mục đớch Đề tài của luận văn là: “Đảm bảo an toàn cho cỏc hệ thống thanh toỏn điện tử trực tuyến”. - Như vậy, mục đớch của luận văn tập trung xõy dựng cỏc giải phỏp kỹ thuật để đảm bảo an toàn cho cỏc hệ thống thanh toỏn điện tử trực tuyến, bao gồm. - Xõy dựng thuật toỏn đảm bảo an toàn cho cỏc giao dịch trong hệ thống thanh toỏn điện tử trực tuyến. - Cỏc nguy cơ và hiểm họa làm mất an toàn, an ninh trong cỏc hệ thống thanh toỏn điện tử, cỏc giải phỏp khắc phục. - Cỏc nguy cơ và hiểm họa gặp phải trong cỏc hệ thống thanh toỏn điện tử trực tuyến. - Cỏc giải phỏp đảm bảo an toàn cho cỏc hệ thống thanh toỏn điện tử trực tuyến nhằm ngăn chặn cỏc nguy cơ và hiểm họa đú. - Một hệ thống thanh toỏn điện tử trực tuyến cụ thể. - o Đề xuất giải phỏp đảm bảo an toàn, an ninh cho cỏc hệ thống thanh toỏn điện tử. - Tiếp cận hệ thống và cấu trỳc: o Đề xuất giải phỏp xõy dựng hệ thống thanh toỏn điện tử. - LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang19 o Xõy dựng hệ thống mụ phỏng thanh toỏn điện tử trực tuyến eBill. - Phõn tớch cỏc nguy cơ, hiểm họa gặp phải trong cỏc hoạt động TMĐT, đặc biệt là trong cỏc hệ thống thanh toỏn điện tử trực tuyến. - Phõn tớch chớnh sỏch, cỏc nguyờn tắc đảm bảo an toàn cho hệ thống thanh toỏn điện tử trực tuyến. - Đề xuất mụ hỡnh cho hệ thống thanh toỏn điện tử trực tuyến eBill. - Xõy dựng thuật toỏn đảm bảo an toàn cho cỏc giao dịch trong hệ thống eBill. - eBill - Hệ thống thanh toỏn trực tuyến LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang20 Chương 4 đề xuất ra mụ hỡnh của một hệ thống thanh toỏn điện tử trực tuyến và phõn tớch, thiết kế một hệ thống cụ thể. - Phõn tớch cỏc hiểm họa đối với an toàn hệ thống 2.1. - Mục đớch và phõn loại đảm bảo an toàn hệ thống 2.1.1. - Mục đớch Cựng với sự phỏt triển của cỏc hệ thống thanh toỏn điện tử trực tuyến thỡ vấn đề an toàn cần phải được quan tõm và tăng cường một cỏch tương xứng. - Hỡnh 2.4 sau đõy mụ tả tấn cụng từ chối dịch vụ vào hệ thống thanh toỏn điện tử trực tuyến: LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang26 Hỡnh 2.4. - LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang27 Sau khi trỡnh bày về cỏc mục đớch đảm bảo an toàn, an ninh trong cỏc hệ thống thanh toỏn trực tuyến, phần tiếp theo trỡnh bày tổng quan về cỏc phương phỏp đảm bảo an toàn, an ninh cho hệ thống. - Tớnh khụng chối bỏ là quan trọng đối với cỏc hệ thống thanh toỏn điện tử trực tuyến bởi vỡ một bờn sẽ dựa vào thụng điệp nhận được để quyết định cú thực hiện giao dịch theo yờu cầu hay khụng. - Cỏc giao dịch chỉ cú thể an toàn cho đến khi tất cả cỏc yếu tố của hệ thống đều an toàn. - Sau đõy là phần phõn tớch chi tiết về cỏc nguy cơ và hiểm họa đối với cỏc tài sản của hệ thống thanh toỏn điện tử trực tuyến, bộ ba mỏy khỏch – kờnh truyền thụng – mỏy chủ. - Việc đưa nội dung động vào cỏc trang Web hệ thống thanh toỏn điện tử trực tuyến gõy ra một số rủi ro. - Tấn cụng kờnh truyền thụng Như trờn hỡnh 2.8, An gửi đi một thụng điệp thanh toỏn tới hệ thống thanh toỏn điện tử trực tuyến. - Hỡnh 2.9 sau mụ tả tấn cụng phớa mỏy chủ của hệ thống thanh toỏn điện tử trực tuyến: Hỡnh 2.9. - 2.2.3.2.Cỏc đe dọa đối với CSDL Cỏc hệ thống thanh toỏn điện tử trực tuyến lưu trữ dữ liệu của người dựng và lấy lại cỏc thụng tin về sản phẩm từ cỏc CSDL kết nối với mỏy chủ Web. - Chớnh sỏch đảm bảo an toàn, an ninh Để bảo vệ tài sản trong hệ thống thanh toỏn điện tử trực tuyến, một cụng ty, tổ chức cần cú cỏc chớnh sỏch an toàn, an ninh (security policy) phự hợp. - Đảm bảo tớnh bớ mật Vớ dụ: Trờn hỡnh 3.3 ta thấy, khi An gửi lệnh thanh toỏn tới hệ thống thanh toỏn điện tử trực tuyến, trước đú lệnh thanh toỏn đó được mó húa, chẳng hạn bằng phương phỏp mó húa khúa đối xứng. - Đảm bảo tớnh sẵn sàng của hệ thống Tấn cụng từ chối dịch vụ hoặc làm trễ dịch vụ cú thể loại bỏ việc sử dụng nhiều nguồn tài nguyờn. - Trờn đõy là phương phỏp đảm bảo cỏc nguyờn tắc an toàn, an ninh cho hệ thống thanh toỏn điện tử trực tuyến. - An dự định gửi thụng điệp này tới hệ thống thanh toỏn điện tử trực tuyến. - Mó húa khúa cụng khai cho xỏc thực Trong trường hợp này, An chuẩn bị một thụng điệp để gửi cho hệ thống thanh toỏn điện tử trực tuyến và mó húa thụng điệp bằng khúa riờng của An trước khi truyền đi. - Hệ thống thanh toỏn điện tử trực tuyến cú thể giải mó thụng điệp bằng khúa cụng khai của An. - LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang56 Cỏc hệ thống khoỏ cụng khai mang lại một số thuận lợi, so với cỏc giải phỏp mó hoỏ khoỏ riờng. - Cỏc hệ thống khoỏ cụng khai cú khả năng thực thi chữ ký số. - Cỏc hệ thống khoỏ cụng khai cú một số khú khăn. - Cỏc hệ thống khoỏ cụng khai được sử dụng để truyền cỏc khoỏ riờng cho cỏc thành viờn. - Như vậy chữ ký số đảm bảo được cỏc nguyờn tắc an toàn hệ thống như đó trỡnh bày trong mục 3.1. - LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang64 Trong cỏc hệ thống thanh toỏn điện tử trực tuyến, nhiều kiểu chứng chỉ được sử dụng cho cỏc mục đớch khỏc nhau. - Ngày nay, nhiều cụng cụ và giải phỏp an toàn mới được đưa ra và sử dụng nhằm mục đớch bảo vệ cỏc tài sản TMĐT, đặc biệt là cỏc tài sản của hệ thống thanh toỏn điện tử trực tuyến. - LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang67 Việc định nghĩa cỏc giới hạn an toàn, cỏc điều kiện và cỏc cuộc kiểm tra an toàn khụng đưa ra cỏch thức kiểm soỏt an toàn trong cỏc hệ thống thanh toỏn điện tử trực tuyến như thế nào. - Chớnh sỏch an toàn phải đảm bảo tớnh bớ mật, tớnh toàn vẹn, tớnh sẵn sàng của hệ thống và xỏc thực người dựng. - Rừ ràng, an toàn là yếu tố sống cũn đối với sự tồn tại và phỏt triển của TMĐT núi chung và cỏc hệ thống thanh toỏn điện tử trực tuyến núi riờng. - Phần sau đõy sẽ trỡnh bày về cỏc giải phỏp nhằm đảm bảo an toàn, an ninh cho cỏc tài sản của hệ thống hệ toỏn điện tử trực tuyến. - Bảo vệ cỏc kờnh truyền thụng Việc bảo vệ cỏc kờnh truyền thụng là một trong cỏc phần quan trọng trong đảm bảo an toàn, an ninh trong cỏc hệ thống thanh toỏn điện tử trực tuyến. - Hệ thống cho phộp người sử dụng bổ sung, xoỏ, thay đổi mật khẩu. - Cỏc hệ thống hiện LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang77 đại nhất giỳp người sử dụng nhớ lại mật khẩu trong trường hợp họ quờn. - Nhiều hệ thống mỏy chủ Web lưu giữ tờn người sử dụng và mật khẩu trong một tệp. - Hệ thống này cung cấp một cơ sở hạ tầng an toàn cho mỏy chủ Web (chạy trờn mỏy tớnh host). - Giải phỏp của Check Point bảo vệ hệ thống Trong phần này ta đó xem xột một số giải phỏp đảm bảo an toàn, an ninh cho cỏc hệ thống thanh toỏn điện tử trực tuyến. - eBill - Hệ thống thanh toỏn trực tuyến 4.1. - Mụ hỡnh hệ thống Hệ thống thanh toỏn điện tử trực tuyến – eBill - được xõy dựng với cỏc mục tiờu như sau. - Đõy là phần chớnh của hệ thống. - Điều này mở ra cho hệ thống thanh toỏn điện tử trực tuyến khả năng mở rộng rất lớn về sau. - Cỏc xử lý hệ thống bao gồm: 1. - Khuụn dạng của cỏc thụng điệp chuẩn của hệ thống sẽ tuõn theo chuẩn ISO-8583 phiờn bản 1993[10] (mục 4.3). - Chống lại cỏc nguy cơ hack và tấn cụng hệ thống. - Hệ thống cú những chức năng chớnh sau. - o Hệ thống quản lý giỏ sản phẩm, dịch vụ. - Hạt nhõn của hệ thống thanh toỏn điện tử trực tuyến là cỏc giao dịch điện tử, cỏc giao dịch điện tử được thực hiện thụng qua cỏc thụng điệp. - Thiết kế hệ thống 4.5.1. - eBill Gateway: cài đặt hệ thống thanh toỏn điện tử trực tuyến eBill Gateway. - Từ giải phỏp kết nối hệ thống, ta đưa ra kiến trỳc chi tiết của hệ thống thanh toỏn điện tử trực tuyến như hỡnh 4.6 sau: LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang99 Website TMĐTWebServiceSocketConnect ChannelBankNetWebServiceSocketConnect ChannelSmartLinkDirect BankeBill GatewaySendReceiveProviderAdapterSendReceiveBankAdapterMessageConvertorLoggingManagementDispatcherRoutingSecurityeBill InterfaceCryptoSys Hỡnh 4.6. - Kiến trỳc hệ thống Theo hỡnh 4.5, kiến trỳc hệ thống thanh toỏn điện tử trực tuyến gồm cú cỏc thành phần chớnh như sau. - Đõy chớnh là hệ thống tiếp nhận thanh toỏn của nhà cung cấp sản phẩm, dịch vụ. - Cỏc thụng tin từ hệ thống tiếp nhận thanh toỏn này chớnh là đầu vào của hệ thống thanh toỏn điện tử trực tuyến eBill. - Security: đảm nhiệm vai trũ đảm bảo an toàn, an ninh cho hệ thống thanh toỏn điện tử trực tuyến, như: LUẬN VĂN TỐT NGHIỆP Nguyễn Sinh Thành Trang101 o Bảo mật và phõn quyền truy nhập hệ thống eBill. - Đảm bảo an toàn, an ninh cho hệ thống gồm cỏc phần. - Việc sử dụng cỏc kỹ thuật mó húa, chữ ký số, chứng chỉ số đảm bảo cho dữ liệu của hệ thống được an toàn. - Như vậy, với việc thực hiện hai thuật toỏn HandShaking_SessionKey và InterchangeApplicationMessage, thuật toỏn SecurePayment đảm bảo an toàn cho cỏc giao dịch tài chớnh trong cỏc hệ thống thanh toỏn điện tử trực tuyến. - Xõy dựng mụ hỡnh cho hệ thống thanh toỏn điện tử trực tuyến và mụ phỏng một hệ thống cụ thể
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt