An toan du lieu TMDT
Cau 1: Hãy trình bày khái niệm về an toàn dữ liệu?
An toàn dữ liệu trong TMĐT?
Cau 2: Nêu các nguy cơ tiềm ẩn về khả năng mất
an toàn thông tin? Các nguy cơ trong
TMĐT?
Cau 3: Mục tiêu của an toàn dữ liệu? Và mục tiêu
của an toàn dữ liệu trong TMĐT?
Cau 4: Các yêu cầu của an toàn dữ liệu? An toàn
dữ liệu trong TMĐT?
Cau 5: Nêu quy trình đảm bảo an toàn dữ liệu? Trình bày chi tiết 4 pha trong quy trình?
Cau 6: Trình bày các mô hình đảm bảo an toàn dữ
liệu trong TMĐT?
Cau 7: Phân biệt tấn công chủ động và tấn công
thụ động ?
Cau 8: Các hình thức tấn công thụ động và cách
phòng tránh ?
Cau 9: Tấn công chủ động
Cau 10: Thế nào là lỗi tràn bộ nhớ đệm và lỗi này bị
hacker khai thác như thế nào ?
Cau 11: Đặc điểm của hình thức tấn công XSS ?
Cau 12:Các đặc điểm của Virus, Worm, Trojan ?
Cau 13: Tại sao cần phân quyền người sử dung?
Cau 14: Hãy nêu các kiểu người sử dụng, vai trò, các
quyền được phép và không được phép đối với
mỗi kiểu người sử dụng
Cau 15: Tại sao nói bảo mật kênh truyền rất quan trọng
trong giao dịch thương mại điện tử?
Cau 16: Hãy thiết lập một bảng thống kê 3 giao thức bảo
mật kênh truyên đã học theo các cột sau: STT,
Lịch sử, Mục đích, Chuẩn tương ứng, Hoạt động,
Ưu điểm, Nhược điểm
Cau 17:
Cau 18: Thế nào là tường lửa? Mục đích? Các loại
tường lửa?
Cau 19: Hãy nêu ưu điểm và nhược điểm của
tường lửa?
Cau 20: Hãy trình bày các khái niệm sau:
Mã hóa? Giải mã? Quá trình mã hóa? Qúa
trình truyền bảo mật? Các yêu ầu của mã hóa?
Cau 21: Thế nào là độ an toàn của một thuật toán mã
hóa? Thế nào là phá mã? Hãy nêu các phương
pháp cũng như ưu và nhươc điểm của các phương pháp đó?
Cau 22: An toàn vô điều kiện? An toán tính toán? Tại
sao rất khó thỏa mãn đồng thời cả hai điều kiệnan toàn này?
Cau 23: Thế nào là mã hóa đối xứng? Các đặc
trưng? Mô hình? Ưu, nhược điểm?
Cau 24: Hãy nêu các thuật toán mã hóa đối xứng cổ
điển? Ưu và nhược của mỗi thuật toán?
Cau 25: Hãy trình bày các vấn đề về DES
Cau 26: Hãy trình bày về mã hóa khóa công khai
Cau 27: Nguyên tắc hoạt động? Quy trình thực hiện? Ưu và nhược? Ứng dụng cua ma hoa cong khai
Cau 28: Hãy nêu các vấn đề về RSA
Cau 29: Hãy trình bày các vấn đề về chữ ký điện tử?
Cau 30: Hãy trình bày các vấn đề về chứng thực số?
Cau 31: Thế nào là an toàn dữ liệu thanh toán? Và an
toàn dữ liệu thanh toán điện tử?
Cau 32: Mô hình và các đặc trưng của thanh toán điện tử
Cau 33: Nêu các biện pháp nhằm đảm bảo an toàn cho
dữ liệu thanh toán điện tử?
Cau 34:Bảo mật Web là gì? Tại sao cần bảo mật
Web?
Cau 35: Hãy nêu các phương pháp sử dụng để bảo
mật Web? Ưu và nhược điểm của mỗi
phương pháp?
Cau 1: Hãy trình bày khái niệm về an toàn dữ liệu?
An toàn dữ liệu trong TMĐT?
An toàn dữ liệu là quá trình đảm bảo
cho hệ thống dữ liệu tránh khỏi những
nguy cơ hỏng hóc hoặc mất mát nguy cơ hỏng hóc hoặc mất mát.
-An toàn dữ liệu trong thương mại điện tử nghiên
cứu về những nguy cơ gây mất an toàn dữ liệu và
các biện pháp đảm bảo an toàn, tránh khỏi những
nguy cơ này trong quá trình sử dụng hình thức
kinh doanh thương mại điện tử.
Cau 2: Nêu các nguy cơ tiềm ẩn về khả năng mất
an toàn thông tin? Các nguy cơ trong
TMĐT?
=> Nguy cơ dữ liệu bị thay đổi, bị giả mạo, bị ngừng trệ,
-Ngẫu nhiên (nguyên nhân khách quan):
Thiên tai, hỏng vật lý, mất điện, ...
-Có chủ định (nguyên nhân chủ quan):
Tin tặc, cá nhân bên ngoài, phá hỏng vật lý, can thiệp có chủ ý, ...
- Các nguy cơ thực tế hiện nay
+ Nguy cơ lộ thông
tin => Hay thông tin cá
nhân, tổ chức và các ,giao dịch bị bên thứ 3 biết được.
+ Bị kẻ xấu làm sai lệch thông tin
Bắt thông tin giữa đường từ nguồn, thay đổi và
gửi tiếp đến đích
+Tạo "nguồn" thông tin giả mạo đưa đến đích
"thật" Tạo "đích" giả để lừa các nguồn "thật"
+ Nguy cơ bị tắc nghẽn, ngừng trệ thông
tin
Mạng quá tải
Server chết
Host có vấn đề
+++ Các nguy cơ trong TMĐT
Bị các tin tặc tấn công
Giả mạo
Từ chối thanh toán
Sử dụng thẻ thanh toán giả,hếthạn z Sử dụng thẻ thanh toán giả, hết hạn
Mất an toàn khi tiến hành giao dịch
Thông tin bị lộ, bị sửa đổi, bị giả mạo
Lừa đảo trên mạng
Giả mạo người bán, người mua, ...
Cau 3: Mục tiêu của an toàn dữ liệu? Và mục tiêu
của an toàn dữ liệu trong TMĐT?
Phát hiện các lỗ hổng của hệ thống dữ liệu,
dự đoán trước những nguy cơ tấn công
Ngăn chặn những hành động gây mất an
toàn dữ liệutừ bên trong cũng như bên toàn dữ liệu từ bên trong cũng như bên
ngoài
Phục hồi tổn thất khi hệ thống dữ liệu bị tấn
Công
Mục tiêu của ATDL trong TMĐT
Phát hiện sớm các lỗ hổng trong các hình
thức giao dịch và thanh toán điện tử.
Đưa ra các mô hình và giải pháp nhằm đảm
bảo cho TMĐT đạt được độ an toàn cao
nhất.
Các phương pháp khắc phục hậu quả và
đảm bảo lợi ích cho người sử dụng
Cau 4: Các yêu cầu của an toàn dữ liệu? An toàn
dữ liệu trong TMĐT?
Tính bảo mật (Security)
Đảm bảo dữ liệu của người sử dụng luôn được bảo vệ,
không bị mất mát
Tính toàn vẹn (Integrity):
Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những
người không sở hữu.
Tính sẵn sàng (Availability):
Dữ liệu phải luôn trong trạng thái sẵn sàng.
Tính tin cậy (Confidentiality)
Thông tin người dùng nhận được là đúng
Những yêu cầu ATDL trong TMĐT
Bảo mật cao: Dữ liệu lưu trữ cũng như trao đổi giữa 2 bên
giao dịch phải được giữ bí mật, đảm bảo không bị lộ.
Toàn vẹn dữ liệu:Thông tin giao dịch giữa 2 bên không bị sửa
đổi hay bị giả mạo bởi một bên thứ 3.
Chống chối bỏ: Đảm bảo độ minh bạch giữa 2 bên thực hiện
giao dịch.
Cau 5: Nêu quy trình đảm bảo an toàn dữ liệu? Trình bày chi tiết 4 pha trong quy trình?
Xác định
Bảo vệ cho ai? Bảo vệ cái gì? Bảo vệ như thế nào? => Rất quan trọng
Đánh giá
Đưa ra các biện pháp? Đánh giá hiệu năng, chi phí, độ an toàn, ...
Lựa chọn giải pháp
Từ bước đánh giá lựa chọn giải pháp tối ưu có thể
Giám sát rủi ro
Luôn luôn giám sát hoạt động => Xác định nguy cơ
=> ...=> ...=>
Cau 6: Trình bày các mô hình đảm bảo an toàn dữ
liệu trong TMĐT?
Mô hình đảm bảo ATDL
Mô hình đảm bảo an toàn trên máy đầu cuối
MỨC VẬT LÝ MỨC MẠNG
TÀI NGUYÊN
MỨC DỮ LIỆU MỨC HỆ ĐIỀU HÀNH
a) Mức vật lý
Chống nguy cơ mất mát dữ liệu qua đường vật lý
Đánh giá độ chịu đựng của hệ thống dữ liệu trước
những sự cố bất ngờ.
Quản lý các truy nhập mức vật lý vào phần cứng
lưu trữ
Quản lý hoạt động của các thiết bị cần bảo vệ và
thiết bị bảovệ để đảm bảo sự hoạt động của dữ
liệu một cách ổn đinh.
b) Mức hệ điều hành
z Tạo và phân quyền người dùng
z Kiểm soát các chương trình đang được
thực thi trong máy
Các file log dùng để theo dõi hoạt động của
hệ thống
z Các chức năng bảo mật được tích hợp sẵn
(trình diệt Virus, tường lửa)
c) Mức mạng
z Sử dụng các thiết bị phần cứng chuyên
dụng để ngăn chặn sự xâm nhập trái phép
từ Internet
z Dùng các cơ chế quản lý và phân quyền
người sử dụng
z Sử dụng các giao thức bảo mật trên mạng
z Các phần mềm chống xâm nhập trái phép
cũng như dò tìm Virus
d) Mức dữ liệu
z Mã hóa dữ liệu:
z Dữ liệu được lưu trữ dưới dạng bản mã.
z Phân quyền người dùng:
Phân ra nhiều mức người sử dụng khác nhau
z Thiết lập các cơ chế sao lưu dữ liệu
z Thiết lập cơ chế backup, lưu trên nhiều Serve
z Sử dụng các chương trình bảo mật thư
mụcvà file
z Dùng NTFS, hệ điều hành LINUX, ..
Cau 7: Phân biệt tấn công chủ động và tấn công
thụ động ?
Tấn công dữ liệu là gì ?
Khái niệm:
Hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép
Phân loại các kiểu tấn công
Phân chia theo cách thức
z Tấn công thụ động
z Tấn công bị động
Phân loại theo hình thức
z Tấn công vật lý
z Tấn công phần mềm
Phân loại theo hệ thống mạng
z Tấn công máy đầu cuối
z Tấn công đường truyền
z Tấn công máy chủ
Các hình thức tấn công dữ liệu trong TMĐT
Tấn công bị động:
z Nghe trộm
z Phân tích lưu lượng
Tấn công chủ động:
z Giả mạo người gửi
z Thay đổi thông điệp
z Tấn công lặp lại
z Tấn công từ chối dịch vụ
Cau 8: Các hình thức tấn công thụ động và cách
phòng tránh ?
Tấn công thụ động
Khái niệm
Kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông
tin được truyền từ nguồn đến đích.
Đặc điểm:
z Khó phát hiện, khó phòng tránh
z Rất nguy hiểm và ngày càng phát triển
= >Cần các biện pháp phòng tránh trước khi
tấn công xảy ra.
Phương thức thực hiện
z Bằng các thiết bị phần cứng:
z Các thiết bị bắt sóng wifi để tóm những gói tin
được truyền trong vùng phủ sóng,
Các chương trình phần mềm :
z Chương tình packet sniff nhằm bắt các gói tin
được truyền qua lại trong mạng LAN.
c) Các kiểu tấn công thụ động
Nghe trộm đường truyền
z Kẻ nghe lén sẽ bằng một cách nào đó xen
ngang được quá trình truyền thông điệp giữa
máy gửi và máy nhận, qua đó có thể rút ra
đượcnhững thông tin quan trọng được những thông tin quan trọng
Một số phương pháp
z Bắt gói tin trong mạng Wifi
z Bắt thông điệp trong mạng quảng bá
z Đánh cắp password
z Xem lén thư điện tử
Biện pháp phòng chống?
z Bảo mật đường truyền:
z Sử dụng các giao thức: SSL, SET, WEP, ...
z Mã hóa dữ liệu
z Sử dụng các phương pháp mã hóa
z Cơ chế dùng chữ ký điện tử
c) Các kiểu tấn công thụ động (t)
z Phân tích lưu lượng
z Dựa vào sự thay đổi của lưu lượng của luồng
thông tin truyền trên mạng nhằm xác định được
một số thông tin có ích.
ấ z Rất hay dùng trong do thám
z Sử dụng khi dữ liệu đã bị mã hóa mà không
giải mã được
Ngăn chặn?
z Độn thêm dữ liệu thừa
z Lưu lượng thông tin không bị thay đổi -> không
thể phán đoán được
Cau 9: Tấn công chủ động
z Khái niệm
z Tấn công chủ động là hình thức tấn công có sự
can thiệp vào dữ liệu nhằm sửa đổi, thay thế,
làm lệch đường đi của dữ liệu
z Đặc điểm
z Có khả năng chặn các gói tin trên đường
truyền
z Dữ liệu từ nguồn đến đích bị thay đổi
z Nguy hiểm nhưng dễ phát hiện
Các loại hình tấn công chủ động
z Giả mạo người gửi
z Lấy cắp password, tài khoản, phá hủy dữ liệu
z Thay đổi nội dung thông điệp
z Không lấy cắp hoàn toàn chỉ thay đổi nội dung
z Tấn công lặp lại
z Bắt thông điệp, chờ thời gian và gửi tiếp
z Tấn công từ chối dịch vụ
z Tấn công làm cho hệ thống truyền tin quá tải gây sập
hệ thống
Ngăn chặn?
z Sử dụng những
phương pháp để xác
thực cả 2 bên gửi và
nhận nhận
z Hệ thống xác thực
z Nguyên tắc bắt tay
b) Thay đổi thông điệp
Chặn thông điệp trên
đường truyền, thay đổi nội dung và tiếp tục
gửi cho người nhận
c) Tấn công lặp lại
Kẻ tấn công bắt và lưu thông điệp lại một thời gian
=> đến 1 thời điểm thích hợp
⇒ gửi lại cho bên nhận
⇒Bên nhận khó phát hiện
Ngăn chặn?
z Sử dụng mã hóa hoặc chữ ký điện tử có
thêm thời gian gửi vào trong thông báo
z => Bên gửi phát hiện nếu thông báo bị lặp
lại dựa vào trường thời gian này
d) Tấn công từ chối dịch vụ (DoS)
z Khái niệm
z Tấn công từ chối dịch vụ (DoS - Denial of Service) là
tên gọi chung của kiểu tấn công làm cho một hệ thống
nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ,
hoặc phải ngưng hoạt động
z Đặc điểm:
z Lợi dụng sự yếu kém trong mô hình bắt tay 3 bước của
TCP/IP
z Liên tục gửi các gói tin yêu cầu kết nối đến server
z Server bị quá tải dẫn đến không thể phục vụ các kết nối
khác
Cau 10: Thế nào là lỗi tràn bộ nhớ đệm và lỗi này bị
hacker khai thác như thế nào ?
Lỗi tràn bộ nhớ đệm
z Lỗi trong lúc lập trình gây ra hiện tượng truy
nhập vào bộ nhớ trái phép
z Có thể dùng để ghi đè các đoạn mã độc
vào trong bộ nhớ máy tính
Cau 11: Đặc điểm của hình thức tấn công XSS ?
XSS (Cross-site scripting)
z Khai thác lỗ hổng của trình duyệt Web trong
việc thực thi các đoạn mã script
z Được sử dụng để ăn cắp cookies, mật khẩu
hay lây nhiễm virus
z Xảy ra khi một trang web nhận dữ liệu từ
người dùng và hiển thị lại nó trên màn hình
(các trang tìm kiếm, ...)
z Xâu dữ liệu là một đoạn mã script -> trang
web sẽ tự động thực thi đoạn mã đó
z Tấn công bằng cách gửi đường link cho
nạn nhân
Cau 12:Các đặc điểm của Virus, Worm, Trojan ?
Virus
z Đoạn mã được thiết
kế để tự nhân bản và
sao chép chính nó vào
các đối tượng lây
nhiễm khác (file, boot
sector, ...)
Virus
z Hướng đến việc phá hoại hoặclấy cắp các
thông tin cá nhân nhạy cảm (các mã số thẻ
tín dụng), mở cửa sau cho tin tặc đột nhập
chiếm quyền điều khiểnhệ thống
ố ằ ố z 90% số Virus nhằm vào hệ thống sử dụng
hệ điều hành Windows
Sâu máy tính (worm)
z Có khả năng tự nhân bản và tìm cách lan truyền qua hệ thống
mạng (thường là qua hệ thống thư điện tử)
z Phá các mạng thông tin, làm giảm khả năng
hoạt động hay hủy hoại các mạng này
Trojan
z Tương tự như virus
chỉ khác là không có
khả năng tự nhân bản
z Phát tán bằng cách
lừangườisử dụng tự lừa người sử dụng tự
tải Trojan về máy
z Có khả năng phá hủy
dữ liệu hoặc mở các
cổng sau (backdoor)
để hacker xâm nhập
vào máy
Cau 13: Tại sao cần phân quyền người sử dung?
I. Phân quyền người sử dụng
1. Khái niệm
Người dùng:
z Những người được quyền đăng nhập và sử dụng tài
nguyên của hệ thống dữ liệu trong phạm vi quyền hạn
của mình.
Phân quyền người dùng: Phân quyền người dùng:
z Những biện pháp giúp phân chia rõ ràng quyền hạn,
cách thức thao tác đối với hệ thống dữ liệu theo những
yêu cầu khác nhau
z Vì sao cần phân quyền người sử dụng?
z Đảm bảo tính riêng tư của người dùng
z Đảm bảo an toàn dữ liệu của hệ thống
z Nâng cao tính bảo mật cho hệ thống dữ liệu
ể z Có 2 kiểu người dùng cơ bản
z Người dùng cục bộ
z Người dùng toàn cục
2. Người dùng cục bộ (local user)
z Những người dùng của bản thân máy tính
này, được tạo một tài khoản tại máy cục bộ,
những người dùng này sử dụng máy tính
như là một máy tính riêng rẽ.
Đặc điểm
z Có thể sử dụng máy tính ngay cả khi máy tính đã
được ngắt ra khỏi mạng
z Chỉ được phép sử dụng các tài nguyên trong
máy của mình
3. Người dùng toàn cục (global account)
z Những người dùng được tạo ra trên một máy
chủ và thông tin về tài khoản này do server
quản lý.
z Đặc điểm:
Có thể đăng nhập vào bất kỳ máy nào trong mạng
LAN
z Được sử dụng tài nguyên của các máy tính trong
phạm vi quyền hạn mà người quản trị cho phép
Cau 14: Hãy nêu các kiểu người sử dụng, vai trò, các
quyền được phép và không được phép đối với
mỗi kiểu người sử dụng
a) Administrators:
Có toàn quyền với hệ thống
Có thể tiến hành các thao tác với hệ thống
cũng như thay đổi các tham số về quyền sử
dụng của mình cũng như của người dùng khác.
Ứng với người dùng local và người dùng mạng
chúng ta cũng có những nhóm administrator
của máy cục bộ và toàn cục
b) Backup Operators:
z Những người dùng có quyền thực hiện
việc sao lưu và phục hồi đối với hệ thống
file dữ liệu trong máy tính.
z Được phép z Được phép
z Login vào máy tính
z Được quyền tắt máy
z Không được
z Thay đổi các tham số về bảo mật của máy.
c) Power Users:
z Được phép:
z Tạo, thêm một người dùng cho hệ thống, tạo nhóm
người dùng cục bộ
z Thêm, bớt người dùng thuộc các nhóm do mình tạo ra.
z Thay đổi các thông tin liên quan đến những người dùng
thuộc các nhóm Power User, User và Guest.
z Không được phép
z Thay đổi thông tin cũng như thêm bớt người dùng của
nhóm administrator và backup operator
z Thực hiện các thao tác sao lưu phục hồi hay các thao
tác thêm bớt các thiết bị cũng như các tham số về bảo
mật
d) Users
z Được phép:
z Thực hiện các thao tác thông thường:
z Chạy các ứng dụng, sử dụng máy in, đăng nhập,
thoát hay tắt các máy trạm.
z Tạo nhóm người dùng trên máy cục bộ và thêm,
bớt người dùng trong các nhóm do mình tạo ra.
z Không được phép
z Chia sẻ thư mục và các quyền không nêu ở trên
e) Guests và Replicators
z Guests
z Không yêu cầu mật khẩu khi đăng nhập
z Chỉ có những quyền rất hạn chế như xem thư
mục, tắt các máy trạm.
z Thông thường người dùng này được để mặc
định là
z Replicators:
z Rất hạn chế các quyền chỉ có quyền thực hiện
các thao tác nhân bản các thư mục.
Cau 15: Tại sao nói bảo mật kênh truyền rất quan trọng
trong giao dịch thương mại điện tử?
1. Khái niệm
z Vấn đề:
z Dữ liệu trong khi truyền giữa người gửi và người nhận
là lúc dễ bị tấn công nhất.
z Hầu hết các phương pháp tấn công nhằm vào dữ liệu
đều thực hiện trong quá trình giao dịch điện tử. ự ệ gq g ị ệ
z Do đó:
z Bảo mật kênh truyền dữ liệu trong việc thực hiện các
giao dịch thương mại điện tử là rất quan trọng.
z Hiện nay, bảo mật kênh truyền chủ yếu tập trung vào
các giao thức mã hóa.
Cau 16: Hãy thiết lập một bảng thống kê 3 giao thức bảo
mật kênh truyên đã học theo các cột sau: STT,
Lịch sử, Mục đích, Chuẩn tương ứng, Hoạt động,
Ưu điểm, Nhược điểm
2. Một số giao thức bảo mật kênh
truyền dữ liệu
z Giao thức SSL - Secure Socket Layer
z Giao thức SET - Secure Electronic
Transaction
z Giao thức WEP - Wireless Encryption
Protocol
3. Giao thức SSL - Secure Socket Layer
z a) Tổng quan về SSL:
z SSL là giao thức đa mục đích
z Thiết kế nhằm tạo các giao tiếp giữa hai
chương trình ứng dụng trên một cổng định
ể trước (socket 443) để mã hoá toàn bộ thông tin
đi/đến
z Ra đời năm 1994 bởi nhóm nghiên cứu
Netscape, đứng đầu là Elgammal
z Hiện nay, SSL đã trở thành chuẩn bảo mật
thực hành trên mạng Internet
4/15/2008 Bộ môn CNTT - TMĐT 25
c) Đặc trưng
z Xây dựng trên tầng giao vận của mô hình
TCP/IP
z Bất kỳ ứng dụng mạng nào khi cài đặt sử
dụng mô hình TCP/IP đều có thể thay đổi
ấ ể ể cấu hình để có thể sử dụng giao thức SSL.
d) Các tầng của SSL (T)
z Tầng Aler
z Đưa ra những thông báo lỗi, các thông báo mang tính ràng buộc
trong quá trình giao tiếp giữa web browser và web server.
z Change Cipher Spec:
z Dùng để thay đổi các thuật toàn mã hõa dữ liệu trong khi trao đổi
thông tin giữa web browser và web server. gg
z Tầng Record:
z Xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều
giữa hai đối tượng.
z Tầng Handshake:
z Thiết lập các thông báo đồng bộ giữa bên gửi và bên nhận thông
tin
f) Tham số phụ thuộc cấp độ bảo mật
z Toàn bộ cấp độ bảo mật và an toàn của
thông tin/dữ liệu phụ thuộc vào:
z Số nhận dạng theo phiên làm việc ngẫu nhiên;
z Cấp độ bảo mật của các thuật toán bảo mật áp p p
dụng cho SSL;
z Độ dài của khoá chính (key length) sử dụng
cho lược đồ mã hoá thông tin.
g) Ưu điểm của SSL
z SSL được ứng dụng rộng rãi trong các giao dịch
yêu cầu thành toán qua mạng
z Được hỗ trợ bởi hầu hết các trình duyệt và các
phầnmềm phía server phần mềm phía server.
z Được thiết kế độc lập với tầng ứng dụng nên có
thể sử dụng cho nhiều ứng dụng khác nhau
z Mọi hoạt động đều trong suốt với người sử dụng
h) Hạn chế của SSL
z Không có những cơ chế xác nhận người dùng
một cách chắc chắn
z Người mua hàng có nguy cơ bị lộ thông tin về tài
khoản
Vẫn có khả năng bị các hacker dò tìm ra khóa bí
mật dùng để mã hõa thông tin
z Nhiều người dùng vẫn đang dùng SSL V2.0 thay
vì SSL V3.0 và không có cơ chế xác nhận lẫn
nhau trong quá trình thiết lập giao thức bắt tay
4. Giao thức SET -
Secure Electronic Transaction
z a) Tổng quan về SET
z Để khắc phục những hạn chế của SSL thì Visa
và Master card đã phát triển giao thức SET
z Mục đích là hỗ trợ bảo mật trong thanh toán
ế ử trực tuyến qua mạng dựa trên kỹ thuật sử dụng
đồng tiền số.
z Giao thức này được hỗ trợ bởi các công ty lớn
như IBM, Microsolf, HP, Netscape...
b) Mục đích của SET
z Đảm bảo về độ chính xác của thông tin nhận
được ở cả hai phía là khách hàng và người bán
hàng thông qua internet
z Đảm bảo tính toàn vẹn của thông tin khi được
truyềntrênmạng thông tin không bị thay đổibởi truyền trên mạng, thông tin không bị thay đổi bởi
những người khác ở trên mạng
z Tạo ra cơ chế chứng thực cả người mua hàng và
những nhà cung cấp sản phẩm (người bán)
d) Ưu điểm của SET
z Đảm bảo tính chính xác của thông tin cho bên gửi
và bên nhận
z Đảm bảo tính toàn vẹn của thông tin
z Rất an toàn do khó bẻ khóa
z Người dùng không sợ lộ các thông tin về tài
khoản của mình khi tiến hành các giao dịch trên
mạng do tiến hành xác nhận qua ngân hàng trung
gian
z Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua
mạng do có cơ chế xác thực cả hai phía
e) Hạn chế của SET
z Có độ trễ khi giao dịch
z Do tính phức tạp của các thuật toạn mã hóa công khai
z Do thường xuyên tiến hành giao dịch với các ngân
hàng trung gian
z Hệ thống công kềnh và quá trình giao dịch chậm z Hệ thống công kềnh và quá trình giao dịch chậm
z Thường xuyên backup các dữ liệu
z Chi phí cao cho thiết bị phần cứng
z SET yêu cầu các thiết bị phần cứng chuyên dụng
z Yêu cầu cài đặt phần mềm chuyên dụng
z Ví tiền điện tử cài đặt ở máy trạm
5. Giao thức WEP -
Wireless Encryption Protocol
z Tổng quan về WEP
z WEP được thiết kế để đảm bảo tính bảo mật
cho mạng không dây
z WEP sử dụng phương thức mã hóa sử dụng ụ gp g ụ g
thuật toán đối xứng RC4, được Ron Rivest -
thuộc hãng RSA Security Inc xây dựng.
z Với phương thức mã hóa RC4, WEP được
xem như một phương thức kiểm soát truy cập.
c) Hạn Chế của WEP
z Do WEP sử dụng RC4 cùng giá trị
Initialization Vector (IV) nên có các vấn đề:
z Cùng IV gây nên vấn đề va chạm
z Dễ dàng phát hiện IV và bẻ khóa WEP gp
z Tấn công thụ động phát triển càng gây khó
khăn cho người bảo mật dữ liệu
d) Giải pháp WEP tối ưu
z Kết hợp WEP và các giải pháp khác
z Gia tăng mức độ bảo mật cho WEP
z Sử dụng khóa WEP có độ dài 128 bit
z Thực thi chính sách thay đổi khóa WEP định
kỳ
z Sử dụng các công cụ theo dõi số liệu thống kê
dữ liệu trên đường truyền không dây
Cau 17:
Cau 18: Thế nào là tường lửa? Mục đích? Các loại
tường lửa?
III. Tường lửa (Fire wall)
z 1. Khái niệm
z Tư tưởng cơ bản của Firewall là đặt cấu hình
mạng sao cho tất cả các thông tin vào ra mạng
đều phải đi qua một máy được chỉ định, và đó
chính là Firewall chính là Firewall.
z Có 2 cách dùng firewall
z Sử dụng phần cứng mạng
z Sử dụng phần mềm
3. Mục tiêu bảo mật của tường lửa
•Chặn những luồng
thông tin có khả năng
nguy hại đến sự an
toàn của mạng máy tính
•Lưu giữ các thông tin
quan trọng và nhạy cảm của đơn vị tránh
khỏi sự xâm nhập trái phép từ bên ngoài
2. Các đặc điểm chính của Firewall
z Là kỹ thuật được tích hợp vào mạng để chống
lại sự truy cập trái phép, nhằm bảo vệ nguồn
thông tin nội bộ, hạn chế xâm nhập
z Internet Firewall là thiết bị nằm giữa mạng nội
bộ It t àIt t hằ bả ậtthô ti bộ Intranet và Internet nhằm bảo mật thông tin
cho mạng nội bộ khỏi thế giới bên ngoài.
zThường được xây dựng trên hệ thống mạnh,
chịu lỗi cao
4. Phân loại tường lửa
a) Tường lửa mức mạng
z Sử dụng thiết bị phần cứng là bộ định tuyến
(Router) để xây dựng tường lửa
z Kiểm soát tất cả các gói tin đi qua bộ định tuyến
và lọc các gói tin này theo một tiêu chuẩn nào đó.
Kiểm soát các gói tin và lọc các gói tin theo địa
chỉ IP của người gửi.
z Làm việc rất nhanh
z Hạn chế là các gói tin mang địa chỉ giả mạo vẫn
có thể thâm nhập ở một mức nào đó
b) Tường lửa dựa trên ứng dụng
người dùng
z Tường lửa này dựa trên ứng dụng
(application-proxy). Cửa khẩu ứng dụng
(application gateway) dựa trên cơ sở phần
mềm.
Khi một người dùng không xác định kết nối từ
xa vào mạng chạy cửa khẩu ứng dụng, cửa
khẩu sẽ ngăn chặn kết nối từ xa này.
z Cửa khẩu sẽ kiểm tra các thành phần của kết
nối theo những quy tắc định trước.
z Nếu thoả mãn các quy tắc, cửa khẩu sẽ tạo
cầu nối (bridge) giữa trạm nguồn và trạm đích.
Cau 19: Hãy nêu ưu điểm và nhược điểm của
tường lửa?
5. Ưu điểmcủa tường lửa
z Bảo vệ hệ thống khỏi các dịch vụ không cần thiết
trên mạng internet.
z Giảm bớt nguy cơ xâm nhập trái phép từ bên
ngoài vào hệ thống. g ệ g
z Hạn chế sự truy nhập của những người bên trong
hệ thống vào các trang web ở bên ngoài.
z Điều khiển việc truy nhập vào các tài nguyên
trong hệ thống.
z Tạo ra cơ chế bảo vệ tập trung.
z Thống kê lại lưu lượng các giao dịch ra bên ngoài
và kiểm soát được các giao dịch này thông qua
các log file của hệ thống
z Tạo ra các chính sách bảo mật đối với toàn bộ hệ
thống mạng và yêu cầumọingười đềuphải tuân thống mạng và yêu cầu mọi người đều phải tuân
theo.
z Bảo vệ mạng nội bộ khỏi bị xâm nhập tử bên
ngoài bằng cách mang lại cho mạng hai định
danh: một cho nội bộ, một cho bên ngoài.
6. Nhược điểm
z Hạn chế quyền truy nhập của người dùng
vào mạng internet.
z Có những hạn chế trong khi bị tấn công từ
bên trong mạng, như một người nào đó sử
ế ế ố ế dụng các thiết bị lưu trữ kết nối trực tiếp
vào các máy tính và ăn cắp các thông tin
trên máy.
z Gây ra hiện tượng thắt cổ chai tại bức
tường lửa
Cau 20: Hãy trình bày các khái niệm sau:
Mã hóa? Giải mã? Quá trình mã hóa? Qúa
trình truyền bảo mật? Các yêu ầu của mã hóa?
1. Khái niệm
z Mã hóa là phương thức biến đổi thông tin từ định dạng
thông thường thành một dạng khác (mã hóa) không
giống như ban đầu nhưng có thể khôi phục lại được
(giải mã)
2. Mục đích
z Đảm bảo tính bảo mật của thông tin khi chúng được
truyền trong những môi trường có độ an toàn không
cao
z Trong quá trình mã hóa thông tin có sử dụng một giá trị
đặc biệt gọi là khóa mã (key)
qua trinh ma hoa
z Mã hóa
z Giai đoạn chuyển thông tin nguyên gốc ban
đầu thành các dạng thông tin được mã hóa (gọi
là bản mã).
z Giải mã (hay phá mã)
z Thực hiện biến đổi bản mã để thu lại thông tin
nguyên gốc như trước khi mã hóa.
4. Quá trình truyền bảo mật (T)
Người gửi mã hóa văn bản cần gửi theo một khóa K sau đó gửi bản
mã đến cho người nhận. Người nhận giải mã theo khóa K đã biết và
đọc được bản gốc
Các yêu cầu đối với mã hóa dữ liệu
z (1) Tính hỗn loạn (Confusion):
z Sự phụ thuộc của bản ciphertext vào plaintext
là thực sự phức tạp,
z (2) Tính khuếch tán (Diffusion): z (2) Tính khuếch tán (Diffusion):
z Cân bằng tỉ lệ xuất hiện các ký tự trong văn
bản sau khi được mã hóa
Cau 21: Thế nào là độ an toàn của một thuật toán mã
hóa? Thế nào là phá mã? Hãy nêu các phương
pháp cũng như ưu và nhươc điểm của các phương pháp đó?
II. Độ an toàn của một thuật toán mã hóa
z 1. Tổng quan
z Các thuật toán mã hóa đều sử dụng một loại
khóa bí mật trong quá trình mã hóa và giải mã.
ủ ả z Độ an toàn của giải thuật mã hóa phụ thuộc
vào sự đảm bảo bí mật của khóa mã
2. Phá mã
z Là nỗ lực giải mã văn bản đã được mã hóa không
biết trước khóa bí mật
z Có hai phương pháp phá mã
z Vét cạn
Thử tất cả các khóa có thể
z Thám mã
z Khai thác những nhược điểm của giải thuật
z Dựa trên những đặc trưng chung của nguyên bản hoặc một số
cặp nguyên bản - bản mã mẫu
a) Phương pháp vét cạn
z Phương pháp:
z Thử tất cả các khóa có thể cho đến khi xác
định được nguyên bản từ bản mã
z Ưu điểm:
z Thử qua tất cả các trường hợp
z Nhược điểm:
z Tốn thời gian, nhiều động tác thừa, tốn không
gian nhớ
z Không thể hiện tư duy khoa học
b) Phương pháp thám mã
z Phương pháp:
z Khai thác những nhược điểm của giải thuật
z Dựa trên những đặc trưng chung của nguyên bản hoặc
mộtsố cặp nguyên bản - bảnmã mẫu một số cặp nguyên bản bản mã mẫu
z Thám mã thường thực hiện bởi những kẻ tấn công ác
ý, nhằm làm hỏng hệ thống; hoặc bởi những người
thiết kế ra hệ thống với ý định đánh giá độ an toàn của
hệ thống.
Cau 22: An toàn vô điều kiện? An toán tính toán? Tại
sao rất khó thỏa mãn đồng thời cả hai điều kiệnan toàn này?
z An toàn vô điều kiện
z Bản mã không chứa đủ thông tin để xác định duy nhấ
nguyên bản tương ứng
z Bất kể với số lượng bao nhiêu và tốc độ máy tính thế nào
z Chỉ hệ mã hóa độn (stuff) một lần là an toàn vô điều kiện
z An toàn tính toán
z Thỏa mãn một trong hai điều kiện
z Chi phí phá mã vượt quá giá trị thông tin mang lại
z Thời gian phá mã vượt quá tuổi thọ thông tin
z Thực tế thỏa mãn hai điều kiện
z Không có nhược điểm
z Khóa có quá nhiều giá trị không thể thử hết
Cau 23: Thế nào là mã hóa đối xứng? Các đặc
trưng? Mô hình? Ưu, nhược điểm?
III. Phương pháp mã hóa đối xứng
1. Khái niệm:
Hệ thống mã hóa mà bên gửi và bên nhận tin
cùng sử dụng chung 1 khóa => Mã hóa và giải
mã đều dùng một khóa chung
Kỹ thuật mã hóa duy nhất trước 1970 và hiện
rất phổ biến
z Còn gọi là mã hóa khóa riêng, khóa bí mật
4. Ưu điểm của mã hóa đối xứng
z Mô hình khá đơn giản.
z Dễ dàng tạo ra thuật toán mã hóa đối xứng
cho cá nhân.
z Dễ cài đặtvàhoạt động hiệuquả z Dễ cài đặt và hoạt động hiệu quả.
z Hoạt động nhanh và hiệu quả do tốc độ mã
hoá và giải mã cao.
z => Được sử dụng khá phổ biến nhiều hiện
nay.
5. Nhược điểm của mã hóa đối xứng
z Dùng chung khóa nên nhiều nguy cơ mất
an toàn
z Khóa dùng chung rất dễ bị hóa giải (bị "bẻ
khóa"). Do cũng phải truyền trên kênh
ế truyên tin đến bên nhận
z Việc gửi thông tin cùng khóa cho số lượng
lớn là khó khăn.
Cau 24: Hãy nêu các thuật toán mã hóa đối xứng cổ
điển? Ưu và nhược của mỗi thuật toán?
6. Các hệ mã hóa đối xứng cổ điển
z a) Monophabetic ciphers
z Thuật toán mã hóa theo phương pháp này dựa
trên phép hoán vị trong một bảng chữ cái nào
đó
z Ví dụ:
z Bản chữ cái tiếng Anh,
z Bản mã nhị phân,
z Bản ký tự số, ...
b) Mã hoá cộng tính
z Mã hóa được thực hiện bằng cách dịch
chuyển chuỗi ký tự trong bản plaintext ban
đầu đi một giá trị cố định nào đó theo trình
tự của một bảng chữ cái.
ố z Với phương pháp này, khóa mã chính là số
được sử dụng để dịch chuyển.
Hệ mã hóa Caesar
z Là hệ mã hóa thay thế xuất hiện sớm nhất và
đơn giản nhất
z Sử dụng đầu tiên bởi Julius Caesar vào mục đích
quân sự
Dịch chuyển xoay vòng theo thứ tự chữ cái
z Khóa k là số bước dịch chuyển
z Với mỗi chữ cái của văn bản
z Đặt p = 0 nếu chữ cái là a, p = 1 nếu chữ cái là b,...
z Mã hóa : C = E(p) = (p + k) mod 26
z Giải mã : p = D(C) = (C - k) mod 26
Hệ mã hóa hàng rào
z Viết các chữ cái theo đường chéo trên một số
hàng nhất định
z Sau đó đọc theo từng hàng một
z Ví dụ
z Nguyên bản : attack at midnight
z Mã hóa với độ cao hàng rào là 2
a t c a m d i h
t a k t i n g t
z Bản mã : ATCAMDIHTAKTINGT
Hệ mã hóa hàng
z Viết các chữ cái theo hàng vào 1 số cột nhất định
z Sau đó hoán vị các cột trước khi đọc theo cột
z Khóa là thứ tự đọc các cột
z Ví dụ z Ví dụ
z Khóa : 4 3 1 2 5 6 7
z Nguyên bản : a t t a c k p
o s t p o n e
d u n t i l t
w o a m x y z
z Bản mã : TTNAAPTMTSUOAODWCOIXKNLYPETZ
Cau 25: Hãy trình bày các vấn đề về DES
a) Hệ DES
Nguyên nhân phát triển các hệ mã hóa
z CNTT và mạng máy tính phát triển
z Các thuật toán cổ điển không còn phù hợp
z Có nhiều loại thiết bị khác nhau
ầ Các yêu cầu của các hệ mã hóa hiện nay
z Bảo mật cao
z Thuật toán không quyết định độ bảo mật
z Dễ cài đặt
z Mềm dẻo, linh hoạt
Nguyên tắc xây dựng mã DES
z Xây dựng theo nguyên tắc các vòng lặp
z Mỗi vòng thực hiện một phép toàn f
z Đầu ra của vòng lặp trước là đầu vào của vòng
lặpsau lặp sau
z Hàm f trong DES là một hàm xoắn ốc
z f =f¯¹
hay X=f(f(X))
z Giải thuật DES sử dụng 16 vòng lặp
Cau 26: Hãy trình bày về mã hóa khóa công khai?
IV. Phương pháp mã hóa khóa công khai
z 1. Khái niệm:
z Mã hóa trong đó sử dụng một cặp khóa, một khóa công
khai và một khóa bí mật
z Khóa công khai:
z Đượcsinhratừ khóa bí mậtbởimột phép biến đổimộtchiều, z Được sinh ra từ khóa bí mật bởi một phép biến đổi một chiều,
nghĩa là phép biến đổi ngược lại là không thể thực hiện được.
z Khóa công khai ai cũng có thể biết
z Dùng để mã hóa thông điệp và để thẩm tra chữ ký
z Khóa bí mật
z Chỉ nơi giữ được biết
z Để giải mã thông điệp và tạo chữ ký
2. Nguyên tắc hoạt động
- B sinh cặp khóa : Khóa công khai Kc và khóa bí mật Kr
- B gửi Kc cho A và ai cũng có thể biết
- A dùng Kc mã hóa thông điệp và gửi lại cho B
- B dùng Kr để giải mã thông điệp của A
Cau 27: Nguyên tắc hoạt động? Quy trình thực hiện? Ưu và nhược? Ứng dụng cua ma hoa cong khai
4. Ưu điểm của mã hóa công khai
z (1) Đơn giản trong việc lưu chuyển khóa
z Chỉ cần đăng ký một khóa công khai => mọi người sẽ
lấy khóa này về để trao đổi thông tin với người đăng ký
=> không cần kênh bí mật để truyền khóa,
z (2) Mỗingườichỉ cầnmộtcặp khóa công khai - (2) Mỗi người chỉ cần một cặp khóa công khai
khóa bí mật là có thể trao đổi thông tin với tất cả
mọi người,
z (3) Là tiền đề cho sự ra đời của chữ ký điện tử và
các phương pháp chứng thực điện tử
Cau 28: Hãy nêu các vấn đề về RSA
8. Hệ mã hóa RSA
z a) Khái niệm:
z Hệ mã hóa khóa công khai được đề xuất bởi Ron
Rivest, Adi Shamir và Len Adleman (MIT) vào năm
1977.
z Hệ mã hóa sử dụng phương pháp mã hóa khối với mỗi ệ ụ gp gp p
khối là một số nguyên < n.
z Thông thường kích cỡ n là 1024 bit ≈ 309 chữ số thập phân.
z Hệ mật mã này được đăng ký bản quyền năm 1983, và
hết hạn vào năm 2000.
z Tính an toàn của nó phụ thuộc vào độ khó khăn trong
việc phân tích thừa số của một số nguyên lớn.
b) Quá trình tạo khóa RSA
z Alice tạo khóa như sau:
z (1) Mỗi bên tự tạo cặp khóa công khai - bí mật :
z Chọn ngẫu nhiên 2 số nguyên tố đủ lớn p và q, với p ≠ q
z Tính n = pq
z Tính Φ(n) = (p-1)(q-1) () (p )(q )
z Chọn ngẫu nhiên một số tự nhiên e là số nguyên tố cùng nhau
với Φ(n) (gcd(e, Φ(n)) = 1) sao cho 1 < e < Φ(n)
z Tính d = e-1
mod Φ(n)
z (2) Công bố khóa mã hóa công khai KC = {e, n}
z (3) Giữ bí mật khóa giải mã riêng KR = {d, n}
z Các giá trị bí mật p và q bị hủy bỏ.
c) Mã hóa
z Giả sử Bob muốn gửi nội dung thông điệp M cho
Alice => Bob chuyển M=>m <=n theo một hàm có
thể đảo ngược
z Bob biết n và e do Alice công bố => Bob tính c
bản mã hóa của m theo công thức(2) bản mã hóa của m theo công thức (2)
z (1) Lấy khóa công khai của bên nhận KC = {e, n}
z (2) Tính c là mã hoá của M theo công thức:
z c = me mod n,
z Bob gửi C cho Alice.
d) Giải mã
z Alice nhận c từ Bob và biết khóa bí mật d. Alice
có thể tìm được m từ c theo công thức sau:
z m = cd mod n
z Biết m, Alice tìm lại M theo phương pháp đã thỏa
thuận trước
z cd = (me )d = med mod n
z (1) Sử dụng khóa riêng KR = {d, n}
z (2) Tính M = Cd mod n
f) An toàn của RSA
z Độ bảo mật của RSA là cao nhờ ở mức độ khó
của việc phân tích một số lớn ra các thừa số
nguyên tố.
z Để có thể giải mã cần phải có được các giá trị p, q tạo
nên giá trị n.
z Với các thuật toán hiện nay, thời gian cần thiết để
phân tích một số lớn ra thừa số tăng theo hàm mũ với
số đó.
z Với n đủ lớn, việc này hoàn toàn không dễ gì ngay cả
với các máy tính có tốc độ cực lớn.
z Như vậy, hệ mật mã RSA có thể coi như là an
toàn.
g) Các phương pháp phá mã RSA
z (1) Phương pháp vét cạn:
z (2) Phương pháp phân tích toán học:
z Phân n thành tích 2 số nguyên tố p và q
z Xác định trựctiếp Φ(n) không thông qua p và q
z Xác định trực tiếp Φ(n) không thông qua p và q
z Xác định trực tiếp d không thông qua Φ(n)
z (3) Phương pháp phân tích thời gian:
z Dựa trên việc đo thời gian giải mã
z Có thể ngăn ngừa bằng cách làm nhiễu
Cau 29: Hãy trình bày các vấn đề về chữ ký điện tử?
z Chữ ký điện tử (hay chữ ký số - Digital Signature)
được sử dụng để xác nhận tính hợp pháp của
một văn bản hay hợp đồng trong các giao dịch
điện tử.
z Khái niệm này ra đời năm 1976 bởi hai nhà khoa
học Diffie và Hellman.
z Chữ ký điện tử là một chuỗi các bit nhị phân có
thể được sao chép, hiểu bởi máy tính và có thể
truyền đi trên mạng Internet.
Định nghĩa chữ ký điện tử
z "Chữ ký điện tử được tạo lập dưới dạng từ, chữ,
số, ký hiệu, âm thanh hoặc các hình thức khác
bằng phương tiện điện tử, gắn liền hoặc kết hợp
một cách logic với thông điệp dữ liệu, có khả
năng xác nhận người ký thông điệp dữ liệu và xá
ấ ố nhận sự chấp thuận của người đó đối với nội
dung thông điệp dữ liệu được ký" (Điều 21,
Khoản 1, Luật giao dịch điện tử ).
2. Tính chất của chữ ký điện tử
z (1) Có khả năng kiểm tra được người ký và thời
gian ký,
z (2) Có khả năng xác thực các nội dung tại thời
điểm ký, ý,
z (3) Các thành viên thứ ba có thể kiểm tra chữ ký
để giải quyết các tranh chấp (nếu có).
3. Yêu cầu đối với chữ ký điện tử
z (1) Phải là một mẫu bit phụ thuộc chặt chẽ vào
văn bản được ký,
z (2) Việc tạo ra chữ ký phải đơn giản, thuận tiện,
dễ dàng,
z (3) Dễ dàng cho việc kiểm tra,
z (4) Việc giả mạo chữ ký là rất khó xảy ra.
z (5) Phải lưu giữ được một bản sao của chữ ký
điện tử.
4. Cơ chế hoạt động của chữ ký điện tử
z Hoạt động dựa trên hệ mã hóa công khai
z Mỗi người tham gia truyền thông có 1 cặp khóa
(1 khóa công khai và một khóa bí mật)
z Khóa công khai được công bố rộng rãi
z Khóa bí mật chỉ cá nhân người sở hữu biết
z Thông tin được mã hóa bằng khóa công khai
có thể dùng khóa bí mật để giải mã và ngược
lại
Ví dụ về cơ chế hoạt động
z (2) => A dùng khóa bí mật của mình mã hóa các
chuỗi băm này => chữ ký điện tử của đoạn thông
tin này => gửi sang cho B cùng với chuỗi thông
tin ban đầu.
z (3) => B nhận và tiến hành giải mã chữ ký của A
bằng khóa công khai của A để thu về các chuỗi
băm ban đầu => thành công=> đúng A gửi
5. Phân loại chữ ký điện tử
z Chữ ký điện tử trực tiếp
z Chữ ký điện tử của bên thứ ba - trọng tài
viên
Quy trình tạo chữ ký bên thứ 3
6. Ưu điểmcủa chữ ký điện tử
z (1) Chữ ký điện tử đảm bảo tính không thể
chối cãi.
z (2) Có thể sử dụng chữ ký điện tử để thiết
lập một kênh truyền tin có xác nhận giữa
bên gửi và bên nhận.
7. Nhược điểm của chữ ký điện tử
z (1) Thuật toán sinh chữ ký điện tử tiêu tốn thời
gian dẫn đến việc làm cho quá trình giao dịch bị
chậm.
Dung lượng của chữ ký điện tử hoàn toàn phụ
thuộc vào dung lượng của thông điệp = > lượng
thông tin thực truyền sẽ bị tăng lên gấp đôi so với
lượng thông tin ban đầu.
Cau 30: Hãy trình bày các vấn đề về chứng thực số?
II. CHỨNG THỰC ĐIỆN TỬ
z 1. Khái niệm
z Hoạt động chứng thực danh tính của những
người tham gia vào việc gửi và nhận thông tin
qua kênh truyền
z Cung cấp cho họ các công cụ, các dịch vụ cần thiết
để thực hiện việc bảo mật thông tin, chứng thực
nguồn gốc và nội dung thông tin.
z Chứng thực điện tử được cấp bởi một cơ quan
chứng thực có uy tín trên thế giới.
2. Các thành phần của chứng thực điện tử
z Một chứng thực điện tử bao gồm:
z Khóa công khai của người sở hữu chứng thực
điện tử này,
z Các thông tin riêng của người sở hữu chứng
thực,
z Hạn sử dụng,
z Tên cơ quan cấp chứng thực điện tử,
z Số hiệu của chứng thực,
z Chữ ký của nhà cung cấp.
3. Một số chứng thực điện tử đang sử dụng
z (1) Chứng thực cho máy chủ Web (Server
Certificate)
z (2) Chứng thực cho các phần mềm
Chứng thực cá nhân
z (4) Chứng thực của các nhà cung cấp
chứng thực điện tử.
5. Qui trình tạo một chứng thực điện tử
z (1) Tạo ra một cặp khóa công khai và khóa
bí mật của riêng mình,
z (2) Gửi yêu cầu xin cấp chứng thực điện tử,
CA nhận và kiểm tra sự chính xác của
thông tin nhận được,
z (4) CA sẽ tạo ra một chứng thực điện tử,
5. Quy trình tạo chứng thực điện tử (T)
z (5) CA chia thành các đoạn băm => tiến hành mã
hóa bằng khóa bí mật của mình => gửi trở lại cho
đơn vị đăng ký chứng thực điện tử,
z (6) Chứng thực được sao một bản và chuyển tới
thuê bao có thể thông báo lạitớiCAlà đãnhận thuê bao, có thể thông báo lại tới CA là đã nhận
được,
z (7) CA có thể lưu giữ bản sao của chứng thực
điện tử ,
z (8) CA ghi lại các chi tiết của quá trình tạo chứng
chỉ vào nhật ký kiểm toán.
Cau 31: Thế nào là an toàn dữ liệu thanh toán? Và an
toàn dữ liệu thanh toán điện tử?
III. An toàn dữ liệu thanh toán điện tử
z 1. Khái niệm
z Hệ thống cho phép các bên tham gia mua và
bán tiến hành thanh toán với nhau
z Các khâu xử lý trong thanh toán điện tử được
thực hiện hoàn toàn trên các máy tính.
z Bản chất là mô phỏng lại những mô hình thanh
toán trong mua bán truyền thống nhưng được
thực hiện thông qua các máy tính nối mạng với
các giao thức riêng, chuyên dụng.
Cau 32: Mô hình và các đặc trưng của thanh toán điện tử
3. Mô hình
z Một mô tả hoạt động của một hệ thống
thương mại có nhiều bên tham gia.
z Người mua (người trả tiền) và người bán
(người được trả tiền).
z Đại diện bởi các máy tính của mình và các máy
tính này được nối với nhau thông qua mạng
máy tính để thực hiện các giao thức thanh toán
điện tử.
z Có sự tham gia của các tổ chức tài chính như
là các ngân hàng đại diện cho mỗi bên.
3. Đặc trưng
z Các bên khi tham gia giao dịch thay vì
chuyển tiền sẽ trao đổi với nhau các chứng
từ được số hóa.
z Bản chất của quá trình này là các bên tham
ố ể gia sẽ sử dụng hệ thống ngân hàng để thực
hiện việc chuyền tiền mặt vào tài khoản của
nhau trong quá trình giao dịch.
7. Đặc trưng an toàn của thanh toán điện tử
z (1) Không thể tái sử dụng
z (2) Không thể giả mạo
z (3) Không thể tăng giá trị sử dụng z (3) Không thể tăng giá trị sử dụng
5. Đặc trưng của hệ thống thanh toán điện tử
z (1) Độc lập vật lý
z An toàn của tiền điện tử không phụ thuộc vào bất kỳ
điều kiện vật lý nào.
z (2) An toàn
Có khả năng ngănchặngianlậnàgiả mạo z Có khả năng ngăn chặn gian lận và giả mạo.
z (3) Riêng tư
z (4) Thanh toán ngoại tuyến
z (5) Chuyển nhượng
z (6) Phân chia
Cau 33: Nêu các biện pháp nhằm đảm bảo an toàn cho
dữ liệu thanh toán điện tử?
Nhóm giải pháp mang tính tức thời cho an
toàn thanh toán
z Đối với ngân hàng:
z Ngân hàng nên sử dụng các hệ thống camera
an ninh gắn tại các điểm rút tiền.
z Liên tục kiểm tra, nâng cấp các đầu đọc ATM,
ể ắ ể ấ ố kiểm soát nạn lắp đặt camera để lấy số PIN.
Đối với khách hàng:
z Giữ gìn thẻ cẩn thận
z Tuyệt đối không cho người khác mượn thẻ.
z Không sử dụng một số pin thời gian quá dài. Phải bảo
đảm giữ bí mật số pin
z Chỉ chấpnhậnthẻ quẹttrênmáy đọcthẻ của ngân z Chỉ chấp nhận thẻ quẹt trên máy đọc thẻ của ngân
hàng chứ không phải bất cứ một thiết bị nào khác, để
đảm bảo thẻ không bị sao chép dữ liệu.
z Trường hợp nghi bị lộ số pin, phải thay đổi ngay mã
pin.
z Định kỳ kiểm tra số dư để kịp thời phát hiện các sai sót
nếu có.
Nhóm giải pháp lâu dài
z Đối với ngân hàng nhà nước:
z Cần trang bị lắp đặt camera tại các điểm
ATM
z Chuyển đổihìnhthứcthẻ từ sang thẻ chíp. Chuyển đổi hình thức thẻ từ sang thẻ chíp.
z Kết hợp các biện pháp bảo mật và an toàn
khác
Đối với khách hàng:
z Cần có sự hợp tác chặt chẽ với ngân hàng
nơi mình là chủ tài khoản.
z Kết hợp với ngân hàng trong vấn đề gia
tăng tính bảo mật dữ liệu chính là bảo vệ
ề quyền lợi của chính mình
Sử dụng công nghệ các nước tiên tiến
z Watermark: bảo vệ thẻ nhựa.
z DeedMark: bảo vệ tài liệu giấy, sổ tiết kiệm
z Q-Mark: bảo vệ tài liệu giấy và các giấy tờ
óiá ă bằ hứ hỉ ổ tiếtkiệ có giá, văn bằng chứng chỉ, sổ tiết kiệm...
z Công nghệ thẻ nhận dạng giọng nói
z Sử dụng chữ ký trên kỹ thuật tạo ảnh ba
chiều
Sử dụng các phần mềm tự động chống
gian lận trong thanh toán thẻ tín dụng
z "Antifraud Software" bao gồm:
z Chương trình cung cấp các địa chỉ email
forwarding, Webmail .
z Chương trình tự động kiểm tra địa chỉ email
ủ của người mua dựa trên "Red Flag".
z Chương trình theo dõi IP (IP tracking)
z Chương trình cảnh báo gian lận tức thời
z Một bản tin được gửi đều đặn.
Cau 34:Bảo mật Web là gì? Tại sao cần bảo mật
Web?
IV. BẢO MẬT WEB
1. Bảo mật Web là gì?
z Bảo mật Web là hình thức bảo vệ các thông tin và
tài nguyên của hệ thống máy tính.
z Đặc trưng của Web:
Hình thức trao đổi thông tin mang tính công cộng,
z Số người truy nhập vào Web hàng ngày rất lớn => xác
nhận danh tính hết sức khó khăn.
z Đảm bảo na toàn trang Web đồng thời phải tạo cho
Web hoạt động liên tục, không hạn chế người truy cập
3. Tại sao cần bảo mật Web?
z (1) Mỗi trang Web đều dùng để quảng bá hình
ảnh => trang Web bị "chết" => việc quảng bá hình
ảnh gặp thất bại
z (2) Mỗi trang Web đều có nguy cơ bị tấn công từ
nhiều phía nhiều phía
z (3) Cơ sở dữ liệu của trang Web chứa những
thông tin nhạy cảm của DN và đối tác DN,
z (4) Các trang Web TMĐT là môi trường giao dịch
của người bán và người mua hàng.
Cau 35: Hãy nêu các phương pháp sử dụng để bảo
mật Web? Ưu và nhược điểm của mỗi
phương pháp?
5. Phương pháp bảo mật Web
z Bảo mật Server
z Bảo mật máy cá nhân
Bảo mật đường truyền
z Bảo mật thanh toán điện tử
Bạn đang đọc truyện trên: AzTruyen.Top