Hà nội, 2009 Mục lục Chương Tổng quan về Thương mại điện tử 7


Xây dựng kế hoạch an ninh cho thương mại điện tử



tải về 2.96 Mb.
trang37/77
Chuyển đổi dữ liệu18.08.2016
Kích2.96 Mb.
#22291
1   ...   33   34   35   36   37   38   39   40   ...   77

3. Xây dựng kế hoạch an ninh cho thương mại điện tử


Việc xây dựng kế hoạch an ninh thương mại điện tử cho doanh nghiệp bao gồm 4 giai đoạn sau:

- Giai đoạn đánh giá: Giai đoạn này xác định những tài sản doanh nghiệp có, bao gồm cả tài sản hữu hình và vô hình. Giá trị tài sản phải được định rõ, cả về mặt tài chính và phi tài chính và định rõ tầm quan trọng của từng tài sản đối với doanh nghiệp và từ đó đánh giá khả năng bị tấn công của từng tài sản. Việc đánh giá gồm các nội dung sau:

+ Xác định các mối đe dọa: đa số những vụ xâm phạm an ninh trái phép là do sự can thiệp trực tiếp hay gián tíếp của con người các hệ thống và những người có quyền truy cập tới tài sản phải được định rõ như giám đốc IT, nhân viên, các nhà tư vấn,… Khả năng mối đe dọa trở thành hiện thực cũng cần được đánh giá.

+ Xác định hình thức thiệt hại: ví dụ các thông tin quan trọng có thể bị sửa đổi hoặc đánh cắp bởi các cá nhân, hoặc có thể bị phá hủy do bị tấn công.

- Giai đoạn lên kế hoạch: Xác định rõ ràng đe dọa nào cần phải chống đỡ và giải pháp tương ứng cần được tiến hành, thời gian cụ thể và người chịu trách nhiệm triển khai. Đánh giá và lựa chọn các giải pháp phù hợp.

- Giai đoạn thực thi: Các công nghệ đặc thù có thể được chọn để chống đỡ với các nguy cơ dễ xảy ra nhất. Việc lựa chọn công nghệ dựa vào những định hướng đã được nêu ra ở giai đoạn Lập kế hoạch. Ngoài những công nghệ đặc thù, các phần mềm an ninh từ những nhà cung cấp khác cũng có thể được lựa chọn.

- Giai đoạn giám sát: Xác định những biện pháp nào mang lại thành công, những biện pháp nào không hiệu quả cần thay đổi, liệu có những mối đe dọa mới xuất hiện hay có những cải tiến hoặc thay đổi gì trong công nghệ, hoặc có những tài sản nào khác của doanh nghiệp cần bảo đảm an ninh.

3.1. Những biện pháp cơ bản nào đảm bảo an toàn cho giao dịch TMĐT


Biện pháp hữu hiệu nhất hiện nay trong việc đảm bảo tính xác thực là sử dụng hạ tầng khóa công khai (PKI – Public Key Infrastructure) trong đó có sử dụng các thiết bị kỹ thuật, hạ tầng và quy trình để ứng dụng việc mã hóa, chữ kỹ số và chứng chỉ số. Các kỹ thuật sử dụng trong Hạ tầng khóa công khai có thể hiểu như sau:

- Sử dụng kỹ thuật mã hoá thông tin:

Mã hoá thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã bằng cách sử dụng một thuật mã hóa. Giải mã là quá trình văn bản dạng mật mã được chuyển sang văn bản gốc dựa trên mã khóa. Mục đích của kỹ thuật mã hoá nhằm đảm bảo an toàn cho các thông tin được lưu giữ và đảm bảo an toàn cho thông tin khi truyền phát.

Mã hoá thông tin là một kỹ thuật được sử dụng rất sớm kể từ khi loài người bắt đầu giao tiếp với nhau và thuật mã hóa cũng phát triển từ những thuật toán rất sơ khai trước đây tới các công nghệ mã hóa phức tạp hiện nay. Một phần mềm mã hóa sẽ thực hiện hai công đoạn: thứ nhất là tạo ra một chìa khóa và thứ hai là sử dụng chìa khóa đó cùng thuật mã hóa để mã hóa văn bản hoặc giải mã.

Có hai kỹ thuật cơ bản thường được sử dụng để mã hoá thông tin là mã hoá “khoá đơn” sử dụng một “khoá bí mật” và mã hoá kép sử dụng hai khóa gồm “khoá công khai” và ”khóa bí mật”.



+ Kỹ thuật mã hóa đơn sử dụng một khoá khoá bí mật:

Mã hoá khoá bí mật, còn gọi là mã hoá đối xứng hay mã hoá khoá riêng, là việc sử dụng một khoá chung, giống nhau cho cả quá trình mã hoá và quá trình giải mã. Quá trình mã hoá khoá bí mật được thực hiện như minh họa trong hình 6.1.



Hình 4.1: Phương pháp mã hoá khoá riêng

Tuy nhiên, tính bảo mật trong phương pháp mã hóa bí mật phụ thuộc rất lớn vào chìa khóa bí mật. Ngoài ra, sử dụng phương pháp mã hoá khoá bí mật, một doanh nghiệp rất khó có thể thực hiện việc phân phối an toàn các mã khoá bí mật với hàng ngàn khách hàng trực tuyến của mình trên những mạng thông tin rộng lớn. Và doanh nghiệp sẽ phải bỏ ra những chi phí không nhỏ cho việc tạo một mã khoá riêng và chuyển mã khoá đó tới một khách hàng bất kỳ trên mạng Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Ví dụ, một trong các hình thức đơn giản của khóa bí mật là password để khóa và mở khóa các văn bản word, excel hay power point.

+ Kỹ thuật mã hóa kép sử dụng khoá công khai và khóa bí mật

Kỹ thuật mã hoá này sử dụng hai khoá khác nhau trong quá trình mã hoá và giải mã: một khoá dùng để mã hoá thông điệp và một khoá khác dùng để giải mã. Hai mã khoá này có quan hệ với nhau về mặt thuật toán sao cho dữ liệu được mã hoá bằng khoá này sẽ được giải mã bằng khoá kia. Khoá công cộng là phần mềm có thể công khai cho nhiều người biết, còn khoá riêng được giữ bí mật và chỉ mình chủ nhân của nó được biết và có quyền sử dụng.



Hình 4.2: Phương pháp mã hoá khoá công cộng

Như vậy, kỹ thuật mã hóa này đảm bảo tính riêng tư và bảo mật, vì chỉ có người nhận thông điệp mã hóa được gửi đến mới có thể giải mã được. Ngoài ra kỹ thuật này cũng đảm bảo tính toàn vẹn, vì một khi thông điệp mã hóa bị xâm phạm, quá trình giải mã sẽ không thực hiện được.

Trong quá trình sử dụng, có một số đặc điểm cần lưu ý đối với hai kỹ thuật mã hóa trên.

Bảng 4.1: So sánh phương pháp mã hoá khóa riêng và mã hoá khoá công cộng

Đặc điểm

Mã hoá khoá riêng

Mã hoá khoá công cộng

Số khoá

Một khoá đơn

Một cặp khoá

Loại khoá

Khoá bí mật

Một khóa bí mật và một khóa công khai

Quản lý khoá

Đơn giản, nhưng khó quản lý

Yêu cầu các chứng nhận điện tử và bên tin cậy thứ ba

Tốc độ giao dịch

Nhanh

Chậm

Sử dụng

Sử dụng để mã hoá những dữ liệu lớn (hàng loạt)

Sử dụng đối với những ứng dụng có nhu cầu mã hoá nhỏ hơn như mã hoá các tài liệu nhỏ hoặc để ký các thông điệp

- Chữ ký số (Digital signature)

Về mặt công nghệ, chữ ký số là một thông điệp dữ liệu đã được mã hóa gắn kèm theo một thông điệp dữ liệu khác nhằm xác thực người gửi thông điệp đó. Quá trình ký và xác nhận chữ ký số như sau: Người gửi muốn gửi thông điệp cho bên khác thì sẽ dùng một phần mềm rút gọn thông điệp dữ liệu điện tử, xử lý chuyển thông điệp dữ liệu điện tử thành một “thông điệp tóm tắt” (Message Digest), thuật toán này được gọi là thuật toán rút gọn (hash function). Người gửi mã hoá bản tóm tắt thông điệp bằng khóa bí mật của mình (sử dụng phần mềm bí mật được cơ quan chứng thực cấp) để tạo thành một chữ ký điện tử. Sau đó, người gửi tiếp tục gắn kèm chữ ký điện tử này với thông điệp dữ liệu ban đầu. Sau đó gửi thông điệp đã kèm với chữ ký điện tử một cách an toàn qua mạng cho người nhận. Sau khi nhận được, người nhận sẽ dùng khoá công khai của người gửi để giải mã chữ ký điện tử thành bản tóm tắt thông điệp. Người nhận cũng dùng rút gọn thông điệp dữ liệu giống hệt như người gửi đã làm đối với thông điệp nhận được để biến đổi thông điệp nhận được thành một bản tóm tắt thông điệp. Người nhận so sánh hai bản tóm tắt thông điệp này. Nếu chúng giống nhau tức là chữ ký điện tử đó là xác thực và thông điệp đã không bị thay đổi trên đường truyền đi.

Ngoài ra, chữ ký số có thể được gắn thêm một “nhãn” thời gian: sau một thời gian nhất định quy định bởi nhãn đó, chữ ký số gốc sẽ không còn hiệu lực, đồng thời nhãn thời gian cũng là công cụ để xác định thời điểm ký.

- Phong bì số (Digital Envelope)

Tạo lập một phong bì số là một quá trình mã hoá sử dụng khoá công khai của người nhận (phần mềm công khai của người nhận, phần mềm này cũng do cơ quan chứng thực cấp cho người nhận, và được người nhận thông báo cho các đối tác biết để sử dụng khi họ muốn gửi thông điệp cho mình). Khóa bí mật này được dùng để mã hoá toàn bộ thông tin mà người gửi muốn gửi cho người nhận, khóa này đảm bảo chỉ có duy nhất người nhận là người mở được thông điệp để đọc. Vì duy nhất người nhận là người nắm giữ khóa tương ứng để giải mã (phần mềm bí mật hay khóa bí mật, khóa này cũng do cơ quan chứng thực cấp cho người nhận).



- Chứng thư số hóa (Digital Certificate):

Nếu một bên có mã khóa công khai của bên thứ 2 để có thể tiến hành mã hóa và gửi thông điệp cho bên đó, mã khóa công khai này sẽ được lấy ở đâu và liệu bên này có thể đảm bảo định danh chính xác của bên thứ 2 không? Chứng thư điện tử xác minh rằng người cầm giữ mã khóa công cộng hoặc mã khóa bí mật chính là người chủ của mã khóa đó. Bên thứ ba, Cơ quan chứng thực, sẽ phát hành chứng thư điện tử cho các bên tham gia. Nội dung Chứng thư điện tử bao gồm: tên, mã khoá công khai, số thứ tự của chứng thực điện tử, thời hạn hiệu lực, chữ ký của cơ quan chứng nhận (tên của cơ quan chứng nhận có thể được mã hoá bằng mã khoá riêng của cơ quan chứng nhận) và các thông tin nhận dạng khác. Các chứng thư này được sử dụng để xác minh tính chân thực của website (website certificate), của cá nhân (personal certificate) và của các công ty phần mềm (software publisher certificate).




tải về 2.96 Mb.

Chia sẻ với bạn bè của bạn:
1   ...   33   34   35   36   37   38   39   40   ...   77




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý

    Quê hương