« Home « Kết quả tìm kiếm

An toàn và an ninh trong giao dịch điện tử

Tóm tắt Xem thử

- 5 Chương I: Tổng quan về an toàn thông tin.
- Lý thuyết An toàn thông tin .
- An toàn thông tin .
- Phân loại tấn công phá hoại an toàn .
- Các dịch vụ an toàn an ninh .
- Mô hình an toàn mạng .
- An toàn thông tin trong giao dịch điện tử .
- Thực trạng an toàn thông tin trong giao dịch điện tử tại Việt Nam .
- Các vấn đề về an toàn thông tin trong bài toán thương mại điện tử Chương II: CƠ SỞ LÝ THUYẾT MẬT MÃ VÀ HẠ TẦNG KHÓA CÔNG KHAI.
- Kiến trúc hệ thống .
- Tấn công nghe lén .
- Tấn công sửa đổi và tấn công giả mạo.
- Em cũng xin được gửi lời cảm ơn tới các thầy cô của Viện Công nghệ thông tin và Truyền thông, cùng các thầy cô giảng viên của chuyên ngành Truyền thông và mạng máy tính, những người đã truyền đạt các kiến thức chuyên ngành cho em trong suốt thời gian vừa qua.
- Hà Nội, ngày 21 tháng 04 năm 2018 Người thực hiện Nguyễn Hữu Anh 2 LỜI CAM ĐOAN Luận văn Thạc s “An toàn và an ninh trong giao dịch điện tử” là công trình của cá nhân tôi.
- Phân loại tấn công mạng.
- Mô hình an toàn mang xác thực bên thứ ba.
- Mô hình an toàn mạng sử dụng GateKeeper.
- Số lượng các cuộc tấn công mạng trong 9 tháng đầu năm 2017.
- Chỉ số an toàn thông tin năm 2017.
- Kiến trúc hệ thống.
- Dùng Charles bắt dữ liệu thông tin các sản phẩm.
- 48 Hình 3.10.
- 49 Hình 3.11.
- 50 Hình 3.12.
- 51 4 DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT SSL Secure Sockets Layer TLS Transport Layer Security DoS Denial of Services VPN Private Virtual Network OSI Open Systems Interconnection RFC Request for Comments ATTT An toàn thông tin Bộ TT&TT Bộ Thông tin và truyền thông AES Advanced Encryption Standard DES Digital Encryption Standard MD5 Message Digest 5 SHA Secure Hash Algorithm RSA Rivest–Shamir–Adleman CA Certificate Authority RA Registration Authority HMAC hash-based message authentication code 5 LỜI MỞ ĐẦU Sự phát triển mang tính toàn cầu của mạng Internet kéo theo sự phát triển mạnh mẽ của thương mại điện tử.
- Tuy nhiên với những giao dịch mang tính nhạy cảm, lin quan đến tiền bạc thì cần những cơ chế đảm bảo bảo mật và an toàn.
- Vì vậy, vấn đề bảo mật và an toàn thông tin trong giao dịch điện tử là một vấn đề hết sức quan trọng.
- Chúng ta cần có các giải pháp đảm bảo an toàn thông tin sử dụng được xây dựng dựa trên lý thuyết mật mã, an toàn bảo mật thông tin.
- Ở phạm vi đề tài này em đặt ra vấn đề nghiên cứu một số giải pháp an toàn thông tin trong giao dịch điện tử.
- Đi sâu nghin cứu về ứng dụng của giải thuật mã hóa RSA, giao thức SSL/TLS để đảm bảo an toàn dữ liệu trong việc thực hiện giao dịch thương mại điện tử.
- Ngoài phần mở đầu và kết luận, nội dung của luận văn bao gồm: Chương 1: Tổng quan về an toàn thông tin Trong chương 1 sẽ trình bày các kiến thức chung về an toàn thông tin.
- Các yếu tố bảo đảm an toàn thông tin, các dạng tấn công qua mạng và giới thiệu các dịch vụ an toàn an ninh.
- Phần cuối chương đề cập đến an toàn an ninh trong giao dịch điện tử.
- Chương 3: Xây dựng giải pháp bảo vệ giao dịch sử dụng hệ mã hóa RSA và SSL/TLS Chương 3 sẽ trình bày chi tiết về quy trình phân tích, thiết kế và xây dựng hệ thống thương mại điện tử đơn giản, có sử dụng các giao thức SSL và hệ mã hóa RSA để đảm bảo an toàn an ninh trong giao dịch điện tử được đề cập đến ở chương 2.
- 7 Chương I: Tổng quan về an toàn thông tin 1.1.
- Lý thuyết An toàn thông tin 1.1.1.
- An toàn thông tin Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính, mức lương nhân vin.
- đều được lưu trữ trên hệ thống máy tính.
- Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet.
- Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng.
- Do đó an toàn thông tin trên mạng máy tính là một lnh vực luôn luôn được đặc biệt quan tâm và cũng là công việc hết sức khó khăn và phức tạp.
- Các yếu tố đảm bảo an toàn thông tin Mọi hệ thống mạng được gọi là an toàn phải thỏa mãn bộ ba CIA đó là: Đảm bảo tính bí mật (Confidentiality): Đây là một thuộc tính xác định một cách chủ quan.
- Nó chỉ ra sự cần thiết phải hạn chế số chủ thể được tiếp cận tới thông tin này.
- Vấn đề đảm bảo tính bí mật đồng ngha với việc thông tin trong qua trình xử lý không bị xem trộm, dữ liệu trao đổi trn đường truyền không bị lộ, không bị khai thác trái phép…[1] Đảm bảo tính toàn vẹn (Integrrity): dữ liệu khi truyền đi từ nơi này đến nơi khác, hay đang lưu trữ luôn phải đảm bảo không bị thay đổi, sửa chữa làm sai lệch nội dung thông tin[1].
- Đảm bảo tính sẵn sàng (Availability): hệ thống mạng luôn ở trạng thái sẵn sàng phục vụ, sẵng sàng cung cấp thông tin, dịch vụ… cho bất kỳ một yêu cầu hợp pháp nào.
- 8 Với thiết bị phần cứng, đó là việc đảm bảo thông suốt trn đường truyền, hệ thống mạng không bị tắc nghẽn, hỏng hóc .
- Các nguy cơ mất an toàn thông tin Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động.
- Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống.
- Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng.
- Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép.
- Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống.
- Đối với mỗi hệ thống thông tin mối đe dọa và hậu quả tiềm ẩn là rất lớn, nó có thể xuất phát từ những nguyn nhân như sau.
- Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị - Trong kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin.
- Ngay trong chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống.
- Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống.
- Nguy cơ nằm ngay trong cấu trúc phần cứng của các thiết bị tin học và trong phần mềm hệ thống và ứng dụng do hãng sản xuất cài sẵn các loại “rệp” điện tử theo ý đồ định trước, gọi là “bom điện tử.
- Phân loại tấn công phá hoại an toàn Các kiểu tấn công mạng được phân chia làm 2 lớp cơ bản là tấn công chủ động (active attacks) và bị động (passive attacks) Hình 1.1.
- Phân loại tấn công mạng 1.1.2.1.
- Tấn công chủ động Là kiểu tấn công sửa đổi dòng dữ liệu hay tạo ra dòng dữ liệu giả.
- Tấn công chủ động được chia thành bốn loại nhỏ sau.
- Tấn công này có thể có chủ ý cụ thể, ví dụ một kẻ tấn công có thể ngăn cản tất cả các thông báo được chuyển tới một đích nào đó (như dịch vụ kiểm tra an toàn chẳng hạn), vô hiệu hoá một mạng hoặc tạo ra tình trạng quá tải với các thông điệp của họ làm giảm hiệu năng hoặc có thể là vô hiệu hoá hệ thống.
- Tấn công chủ động (active tattacks)Từ chối dịch vụLặp lại bản tin trướcTấn công sửa đổiTấn cônggiả mạoTấn công bị động (passive attacks)Phân tích tảiNghe lén nội dung thông điệp 10 - Tấn công sửa đổi (Modification of messages): một bộ phận của thông điệp bị sửa đổi hoặc các thông điệp bị làm trễ và thay đổi trật tự để đạt được mục đích bất hợp pháp.
- Tấn công giả mạo (Masquerade): một thực thể (người dùng, máy tính, chương trình…) đóng giả thực thể khác.
- Dạng tấn công chủ động rất khó để ngăn chặn tuyệt đối.
- Mục tiêu an toàn là phát hiện và phục hồi lại thông tin từ mọi trường hợp bị phá hoại và làm trễ.
- Tấn công bị động Là kiểu tấn công chặn bắt thông tin như nghe trộm và quan sát truyền tin.
- Mục đích của kẻ tấn công là biết được thông tin truyền trên mạng.
- Có hai kiểu tấn công bị động là khai thác nội dung thông điệp và phân tích dòng dữ liệu.
- Dạng tấn công bị động rất khó bị phát hiện vì nó không làm thay đổi dữ liệu.
- Với dạng tấn công bị động này thì nhấn mạnh vấn đề ngăn chặn tấn công hơn là vấn đề phát hiện Như vậy, hai kiểu tấn công: tấn công chủ động và tấn công bị động có những đặc trưng khác nhau.
- Kiểu tấn công bị động khó phát hiện nhưng có biện pháp để ngăn chặn thành công.
- Kiểu tấn công chủ động dễ phát hiện nhưng lại rất khó ngăn chặn, nó cũng đòi hỏi việc bảo vệ vật lý tất cả các phương tiện truyền thông ở mọi lúc, mọi nơi.
- Giải pháp để chống lại các kiểu tấn công này là phát hiện chúng và khôi phục mạng khi bị phá vỡ hoặc khi thông tin bị trễ.
- Các dịch vụ an toàn an ninh 1.1.3.1.
- Đảm bảo tính riêng tư (Confidentiality) Đảm bảo tính ring tư của thông tin là bảo vệ dữ liệu được truyển tải an toàn, tránh được các tấn công bị động[2].
- 11 Với kiểu tấn công bị động nghe trộm thì có một vài phương pháp sau để bảo vệ đường truyền.
- Bảo vệ mọi dữ liệu được truyền giữa hai người sử dụng tại mọi thời điểm: Thiết lập đường truyền ảo giữa hai hệ thống và ngăn chặn mọi hình thức phát hiện nội dung thông điệp.
- Ví dụ: VPN - Bảo vệ các thông điệp đơn lẻ hoặc một số trường đơn lẻ của thông điệp.
- Với kiểu tấn công quan sát truyền tin, thu thập các dữ liệu về luồng thông tin trao đổi thì cần phải làm thế nào phía tấn công không thể phát hiện được các đặc điểm của quá trình truyền tin.
- Nguồn và đích của thông tin.
- Tần suất truyền tin, độ dài thông tin.
- Các thông số khác của luồng thông tin.
- Đảm bảo tính xác thực (Authentication) Dịch vụ đảm bảo tính xác thực phải khẳng định các bên tham gia vào quá trình truyền tin được xác thực và đáng tin cậy[2].
- Đối với các thông điệp đơn lẻ: Các thông báo, báo hiệu: dịch vụ xác thực phải đảm bảo cho bên nhận rằng các thông điệp được đưa ra từ những nguồn đáng tin cậy.
- Tại thời điểm khởi tạo kết nối, dịch vụ xác thực phải hai thực thể tham gia vào trao đổi thông tin phải được ủy quyền.
- Trong đó bn thứ ba này có thể giả mạo một trong hai bn được ủy quyền để có thể tham 12 gia vào quá trình truyền tin và thu nhận các thông điệp.
- Đảm bảo tính sẵn sàng (Availability) Dịch vụ đảm bảo tính sẵn sàng phải đảm bảo hệ thống luôn được sẵn sàng đáp ứng mọi yêu cầu từ người dùng mặc cho có bị tấn công.
- Dịch vụ này phải ngăn chặn ảnh hưởng đến thông tin trong hệ thống, phục hồi khả năng phục vụ của các phần tử hệ thống trong thời gian nhanh nhất.
- Đảm bảo tính toàn vẹn (Integrity) Dịch vụ đảm bảo tính toàn vẹn phải đảm bảo được thông điệp hoặc một số trường của thông điệp từ người gửi tới người nhận được toàn vẹn.
- Phương pháp hữu ích nhất là trực tiếp bảo vệ luồng thông điệp.
- Đảm bảo tính toàn vẹn có 2 loại dịch vụ chính.
- Đảm bảo tính toàn vẹn dữ liệu hướng liên kết.
- Tác động ln luồng thông điệp và đảm bảo rằng thông điệp được nhận hoàn toàn giống khi được gửi, không bị sao chép, không bị sửa đổi, thm bớt.
- Các dữ liệu bị phá hu cũng phải được khôi phục bằng dịch vụ này.
- Dịch vụ bảo đảm tính toàn vẹn dữ liệu hướng lin kết xử lý các vấn đề lin quan tới sự sửa đổi của luồng các thông điệp và chối bỏ dịch vụ.
- Dịch vụ bảo đảm tính toàn vẹn hướng không liên kết.
- Chỉ xử lý một thông điệp đơn lẻ.
- Chỉ tập trung vào ngăn chặn việc sửa đổi nội dung thông điệp.
- Dịch vụ chống phủ nhận (Nonrepudiation) Dịch vụ chống phủ nhận ngăn chặn người nhận và người gửi từ chối thông điệp được truyền tải.
- Khi thông điệp được gửi đi, người nhận có thể khẳng định được rằng

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt