Marketing điện tử - Phần 1: E - Marketing một số vấn đề cơ bản
44 trang
3310
Bạn đang xem 20 trang mẫu của tài liệu "Marketing điện tử - Phần 1: E - Marketing một số vấn đề cơ bản", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- marketing_dien_tu_phan_1_e_marketing_mot_so_van_de_co_ban.pdf
Nội dung text: Marketing điện tử - Phần 1: E - Marketing một số vấn đề cơ bản
- Phần 1. E-MARKETING CHUYấN ĐỀ Một số vấn đề cơ bản MARKETING ĐIỆN TỬ Giảng viờn: ThS. Nguyễn Văn Thoan Trưởng Bộ mụn Thương mại điện tử Trường Đại học Ngoại thương E-MarketinMarketingg E-MarketinMarketingg Một số vấn đề cơ bản Một số vấn đề cơ bản 1
- E-Marketing E-MarketinMarketingg Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 1. Xỏc định mục tiờu website E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 1. Mục tiờu & Khỏch hàng Bài tập 2. Đỏnh giỏ website của bạn 2
- E-MarketinMarketingg E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 3
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 4
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 3. Quảng cỏo website ntn? Bước 3. Quảng bỏ website thế nào? 5
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 6
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 7
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 8
- E-Marketing E-MarketinMarketingg Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 4. Khỏch ặ Khỏch hàng Bước 4. Khỏch ặ Khỏch hàng 9
- E-MarketinMarketingg E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 5. Đỏnh giỏ hiệu quả website E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 4. Thiết kế website ntn? Bài tập 4. Thiết kế website ntn? 10
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 4. Thiết kế website ntn? Bài tập 4. Thiết kế website ntn? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 4. Thiết kế website ntn? Bước 6. Lợi ớch dành cho khỏch hàng 11
- E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 7. Sử dụng cụng cụ mạnh Bước 7. Sử dụng cụng cụ mạnh E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 8. Giỏ trị gia tăng – added value Bước 9. Sẵn sàng giao tiếp 12
- E-Marketing Một số vấn đề cơ bản Bước 10. Measure – Change - Measure CHUYấN ĐỀ MARKETING ĐIỆN TỬ Giảng viờn: ThS. Nguyễn Văn Thoan Trưởng Bộ mụn Thương mại điện tử Trường Đại học Ngoại thương 13
- Ch−ơng bốn an to�n trong th−ơng mại điện tử I. vấn đề An to�n cho các hệ thống th−ơng mại điện tử Th−ơng mại điện tử giúp thực hiện các giao dịch, thanh toán, marketing v� gia tăng giá trị của các sản phẩm h�ng hoá hữu hình hoặc truyền những cơ sở dữ liệu liên quan tới thẻ tín dụng, các ph−ơng tiện thanh toán khác của khách h�ng. Việc đảm bảo an to�n cho các thông tin trên l� rất quan trọng, song đang phải đối diện với một vấn đề: l�m thế n�o để tìm ra đ−ợc một trạng thái cân bằng hợp lý giữa một bên l� an to�n v� một bên l� tiện dụng (gồm các chức năng, các đặc tính dễ thao tác của hệ thống n�y). Một hệ thống c�ng an to�n thì khả năng xử lý, thực thi thao tác c�ng phức tạp. Còn ng−ợc lại, có thể sẽ không đảm bảo an to�n. Ch−ơng n�y sẽ nghiên cứu những vấn đề cơ bản nhất về an to�n th−ơng mại điện tử v� các công nghệ có thể áp dụng để đảm bảo an to�n. 1. Định nghĩa an to�n th−ơng mại điện tử Trong th−ơng mại truyền thống, khi đi mua h�ng, ng−ời mua có thể gặp những rủi ro nh− không nhận đ−ợc những h�ng hoá m� mình đ� mua v� thanh toán. Nguy hiểm hơn, khách h�ng có thể bị những kẻ xấu lấy cắp tiền trong lúc mua sắm. Nếu l� ng−ời bán h�ng, thì có thể không nhận đ−ợc tiền thanh toán. Thậm chí, kẻ xấu có thể lấy trộm h�ng hoá, hoặc có những h�nh vi lừa đảo nh− thanh toán bằng thẻ tín dụng ăn cắp đ−ợc hoặc bằng tiền giả, v.v Nhìn chung, tất cả các loại tội phạm diễn ra trong môi tr−ờng th−ơng mại truyền thống đều xuất hiện trong th−ơng mại điện tử d−ới nhiều hình thức tinh vi v� phức tạp hơn. Trong khi đó, việc giảm các rủi ro trong th−ơng mại điện tử l� một quá trình phức tạp liên quan đến nhiều công nghệ mới, nhiều thủ tục v� các chính sách tổ chức, liên quan đến những đạo luật mới v� những tiêu chuẩn công nghệ mới (hình 23). Để đạt đ−ợc mức độ an to�n cao trong th−ơng mại điện tử, chúng ta phải sử dụng nhiều công nghệ mới. Song, bản thân các công nghệ mới n�y không thể giải quyết đ−ợc tất cả mọi vấn đề. Cần có các thủ tục v� 104
- chính sách, tổ chức để bảo đảm cho các công nghệ trên không bị phá hỏng. Các tiêu chuẩn công nghệ v� các đạo luật mới, phù hợp của chính phủ cũng cần đ−ợc áp dụng để tăng hiệu quả hoạt động của các kỹ thuật thanh toán v� để theo dõi, đ−a ra xét xử những vi phạm luật pháp trong th−ơng mại điện tử. Hình 23: Môi tr−ờng an to�n th−ơng mại điện tử. An to�n luôn mang tính t−ơng đối . Lịch sử an to�n giao dịch th−ơng mại đ� chứng minh rằng, bất cứ hệ thống an to�n n�o cũng có thể bị phá vỡ nếu không đủ sức để chống lại các cuộc tấn công. Hơn nữa, một sự an to�n vĩnh viễn l� không cần thiết trong thời đại thông tin . Thông tin đôi khi chỉ có giá trị trong một v�i giờ, một v�i ng�y hoặc một v�i năm v� cũng chỉ cần bảo vệ chúng trong khoảng thời gian đó l� đủ. An to�n luôn đi liền với chi phí, c�ng an to�n thì chi phí sẽ c�ng cao, vì vậy, cần cân nhắc các khoản chi phí an to�n cho những đối t−ợng cần bảo vệ. V�, đ an to�n l� cả một chuỗi liên kết v� nó th−ờng đứt ở những điểm yếu nhất . Cũng giống với việc chúng ta sử dụng khoá, ổ khoá bao giờ cũng chắc chắn v� có độ an to�n cao hơn việc quản lý các chìa khoá. 2. Các khía cạnh của an to�n th−ơng mại điện tử Bản chất của an to�n l� một vấn đề phức tạp, liên quan đến nhiều khía cạnh khác nhau. Đối với an to�n th−ơng mại điện tử, có sáu khía cạnh cơ bản cần phải giải quyết, bao gồm: tính to�n vẹn, chống phủ 105
- định, tính xác thực của thông tin, tính tin cậy, tính riêng t− v� tính ích lợi (bảng 10). 2.1. Tính to�n vẹn Tính to�n vẹn đề cập đến khả năng đảm bảo an to�n cho các thông tin đ−ợc hiển thị trên một website hoặc chuyển hay nhận các thông tin trên Internet. Các thông tin n�y không bị thay đổi nội dung bằng bất cứ cách n�o bởi ng−ời không đ−ợc phép. Thí dụ, nếu một kẻ cố tình xâm nhập trái phép, chặn v� thay đổi nội dung các thông tin truyền trên mạng, nh− thay đổi địa chỉ nhận đối với một chuyển khoản điện tử của ngân h�ng v� do vậy chuyển khoản n�y đ−ợc chuyển tới một t�i khoản khác. Trong những tr−ờng hợp nh− vậy, tính to�n vẹn của thông điệp đ� bị xâm hại bởi việc truyền thông diễn ra không đúng với những gì ng−ời gửi mong muốn. Trong th−ơng mại điện tử, nếu khách h�ng có bất cứ nghi ngờ n�o về nội dung thông điệp hoặc sự trung thực của ng−ời gửi, họ có quyền đặt câu hỏi chất vấn, v� các quản trị viên hệ thống sẽ l� những ng−ời đầu tiên chịu trách nhiệm về các vấn đề n�y. Chính vì vậy, để đảm bảo tính to�n vẹn thông tin, tr−ớc tiên, các quản trị viên hệ thống phải xác định chính xác danh sách những ng−ời đ−ợc phép thay đổi dữ liệu trên website của doanh nghiệp. C�ng có nhiều ng−ời đ−ợc phép l�m điều n�y cũng nghĩa l� c�ng có nhiều mối đe dọa đối với tính to�n vẹn thông tin từ cả bên trong v� bên ngo�i doanh nghiệp. Bảng 10: Những băn khoăn của khách h�ng v� ng−ời bán h�ng về các khía cạnh khác nhau của an to�n th−ơng mại điện tử 106
- Khía cạnh Băn khoăn của khách h�ng Băn khoăn của ng−ời bán h�ng Tính to�n vẹn Thông tin truyền hoặc nhận đ−ợc Dữ liệu trên máy chủ (site) có bị thay có bị thay đổi không? đổi trái phép không? Các dữ liệu nhận đ−ợc từ khách h�ng có chắc chắn v� có giá trị không? Chống phủ định Một đối tác có thể: thực hiện một Một khách h�ng có thể từ chối đ� đặt h�nh động v� sau đó lại từ chối mua các sản phẩm không? các h�nh động đ� thực hiện đ−ợc không? Tính xác thực Ng−ời giao dịch với tôi l� ai? L�m L�m thế n�o để nhận biết chính xác sao có thể đảm bảo đối tác đó l� một khách h�ng của doanh nghiệp l� đích thực? ai? Tính tin cậy Một ng−ời khác (ngo�i những Một ai đó, ngo�i những ng−ời đ−ợc ng−ời đ−ợc phép) có thể đọc các phép, có thể xem các thông điệp thông điệp của tôi đ−ợc không? hoặc tiếp cận với các thông tin bí mật của doanh nghiệp không? Tính riêng t− Có thể kiểm soát đ−ợc các thông Sử dụng các thông tin cá nhân m� tin cá nhân khi gửi nó cho ng−ời khách h�ng cung cấp nh− thế n�o? bán h�ng trong các giao dịch L�m thế n�o để ngăn chặn việc sử th−ơng mại điện tử hay không? dụng trái phép các thông tin đó? Tính ích lợi Tôi có thể truy cập v�o website Các website của doanh nghiệp hoạt của doanh nghiệp hay không? động tốt không? 2.2. Chống phủ định Chống phủ định liên quan đến khả năng đảm bảo rằng các bên tham gia th−ơng mại điện tử không phủ định các h�nh động trực tuyến m� họ đ� thực hiện. Thí dụ, một ng−ời có thể dễ d�ng tạo lập một hộp th− điện tử qua một dịch vụ miễn phí, từ đó gửi đi những lời phê bình, chỉ trích hoặc các thông điệp v� sau đó lại từ chối những việc l�m n�y. Thậm chí, một khách h�ng với tên v� địa chỉ th− điện tử có thể dễ d�ng đặt h�ng trực tuyến v� sau đó từ chối h�nh động m� mình đ� thực hiện. Trong hầu hết các tr−ờng hợp nh− vậy, thông th−ờng ng−ời phát h�nh thẻ tín dụng sẽ đứng về phía khách h�ng vì ng−ời bán h�ng không có trong tay bản sao chữ ký của khách h�ng cũng nh− không có bất cứ bằng chứng hợp pháp n�o chứng tỏ khách h�ng đ� đặt h�ng mình. V� tất nhiên, rủi ro sẽ thuộc về ng−ời bán h�ng. 2.3. Tính xác thực 107
- Tính xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên Internet, nh− l�m thế n�o để khách h�ng chắc chắn rằng, các doanh nghiệp bán h�ng trực tuyến l� những ng−ời có thể khiếu nại đ−ợc; hay những gì khách h�ng nói l� sự thật; l�m thế n�o để biết đ−ợc một ng−ời khi khiếu nại có nói đúng sự thật, có mô tả đúng sự việc hay không? 2.4. Tính tin cậy (confidentiality) v� tính riêng t− Tính tin cậy liên quan đến khả năng đảm bảo rằng, ngo�i những ng−ời có quyền, không ai có thể xem các thông điệp v� truy cập những dữ liệu có giá trị. Trong một số tr−ờng hợp, ng−ời ta có thể dễ nhầm lẫm giữa tính tin cậy v� tính riêng t−. Thực chất, đây l� hai vấn đề ho�n to�n khác nhau. Tính riêng t− liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá nhân m� khách h�ng cung cấp về chính bản thân họ. Có hai vấn đề m� ng−ời bán h�ng phải chú ý đối với tính riêng t−: 1) Ng−ời bán h�ng cần thiết lập các chính sách nội bộ để có thể quản lý việc sử dụng các thông tin về khách h�ng; 2) Họ cần bảo vệ các thông tin đó tránh sử dụng v�o những mục đích không chính đáng hoặc tránh sử dụng trái phép các thông tin n�y. Thí dụ, khi tin tặc tấn công v�o các website th−ơng mại điện tử, truy nhập các thông tin về thẻ tín dụng v� các thông tin khác của khách h�ng, trong tr−ờng hợp đó, không chỉ xâm phạm đến tính tin cậy của dữ liệu m� còn vi phạm riêng t− của các cá nhân, những ng−ời đ� cung cấp các thông tin đó. 2.5. Tính ích lợi Tính ích lợi liên quan đến khả năng đảm bảo các chức năng của một website th−ơng mại điện tử đ−ợc thực hiện đúng nh− mong đợi. Đây cũng l� vấn đề m� các website hay gặp phải v� l� trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tuyến trên Internet. Có thể nói, vấn đề an to�n trong th−ơng mại điện tử đ−ợc xây dựng trên cơ sở bảo vệ sáu khía cạnh nói trên, khi n�o một trong số các khía cạnh n�y ch−a đ−ợc đảm bảo, sự an to�n trong th−ơng mại điện tử vẫn ch−a đ−ợc thực hiện triệt để. II. những nguy cơ đe doạ an to�n th−ơng mại điện tử 108
- Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công v� tổn th−ơng khi thực hiện các giao dịch th−ơng mại điện tử, đó l� hệ thống của khách h�ng, máy chủ của doanh nghiệp v� đ−ờng dẫn thông tin (communications pipeline) (hình 24). Hình 24: Những điểm yếu trong môi tr−ờng th−ơng mại điện tử. Có bảy dạng nguy hiểm nhất đối với an to�n của các website v� các giao dịch th−ơng mại điện tử, bao gồm: các đoạn m� nguy hiểm, tin tặc v� các ch−ơng trình phá hoại, trộm cắp/ gian lận thẻ tín dụng, lừa đảo, kh−ớc từ phục vụ, nghe trộm v� sự tấn công từ bên trong doanh nghiệp. 1. Các đoạn m� nguy hiểm (malicious code) Các đoạn m� nguy hiểm bao gồm nhiều mối đe doạ khác nhau nh− các loại virus, worm, những “con ngựa th�nh Tơ�roa”, “bad applets”. Một virus l� một ch−ơng trình máy tính, nó có khả năng nhân bản hoặc tự tạo các bản sao của chính mình v� lây lan sang các ch−ơng trình, các tệp dữ liệu khác trên máy tính. Bên cạnh khả năng nhân bản (tự tái tạo), hầu hết các virus máy tính đều nhằm thực hiện một “ m−u đồ ” n�o đó. Đây có thể l� những “ m−u đồ nhân từ ”, chẳng hạn nh− hiển thị một thông điệp hay một hình ảnh, hoặc cũng có thể l� những “ m−u đồ hiểm độc ” có tác hại ghê gớm nh− phá huỷ các ch−ơng trình, các tệp dữ liệu, xoá sạch các thông tin hoặc định dạng lại ổ đĩa cứng của máy 109
- tính, tác động v� l�m lệch lạc khả năng thực hiện của các ch−ơng trình, các phần mềm hệ thống. Loại virus phổ biến nhất hiện n�y l� virus macro (macro virus), chiếm từ 75% đến 80% trong tổng số các loại virus đ−ợc phát hiện 1. Đây l� loại virus đặc biệt, chỉ nhiễm v�o các tệp ứng dụng đ−ợc soạn thảo, chẳng hạn nh− các tệp văn bản của Microsoft Word, Excel v� PowerPoint. Khi ng−ời sử dụng mở các t�i liệu bị nhiễm virus trong các ch−ơng trình ứng dụng, virus n�y sẽ tự tạo ra các bản sao v� nhiễm v�o các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các t�i liệu khác. Virus macro cũng có thể dễ lây lan khi gửi th− điện tử có đính kèm tệp văn bản. Loại virus tệp (file�infecting virus) l� những virus th−ờng lây nhiễm v�o các tệp tin có thể thực thi, nh− các tệp tin có đuôi l� *.exe, *.com, *.drv v� *.dll. Virus n�y sẽ hoạt động khi chúng ta thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chính mình ở trong các tệp tin khác đang đ−ợc thực thi tại thời điểm đó trên hệ thống. Loại virus tệp n�y cũng dễ d�ng lây nhiễm qua con đ−ờng th− điện tử v� các hệ thống truyền tệp khác. Loại virus script (script virus) l� một tập các chỉ lệnh trong các ngôn ngữ lập trình chẳng hạn nh− VBScript (Visual Basic Script) v� JavaScript. Virus n�y sẽ hoạt động khi chúng ta chạy một tệp ch−ơng trình dạng *.vbs hay *.js có nhiễm virus. Virus “I LOVE YOU” (hay còn gọi l� virus tình yêu ), loại virus chuyên ghi đè lên các tệp *.jpg v� *.mp3, l� một ví dụ điển hình của loại virus n�y. Trong thực tế, các loại virus nh− virus macro, virus tệp, virus script th−ờng kết nối với một worm *. Thay vì chỉ lây nhiễm từ tệp tới tệp, worm l� một loại virus có khả năng lay nhiễm từ máy tính n�y sang máy tính khác. Một worm có khả năng tự nhân bản m� không cần ng−ời sử dụng hay các ch−ơng trình phải kích hoạt nó. Thí dụ, virus ILOVEYOU vừa l� một virus script, vừa l� một worm. Nó có khả năng lây nhiễm rất nhanh qua con đ−ờng th− điện tử bằng cách tự gửi bản 1 Xem: Study on Computer Crime, International Computer Security Association, 2000. * Còn gọi l� sâu máy tính , một loại vi rút máy tính chuyên tìm kiếm mọi dữ liệu trong bộ nhớ hoặc trong đĩa l�m thay đổi nội dung bất kỳ dữ liệu n�o m� nó gặp. H�nh động thay đổi n�y có thể l� chuyển các ký tự n�o đó th�nh các con số, hoặc l� tráo đổi các byte đ−ợc l−u trữ trong bộ nhớ. Một số ch−ơng trình vẫn còn có thể chạy đ−ợc, nh−ng th−ờng dữ liệu đ� bị hỏng (sai lệch) không phục hồi đ−ợc. 110
- sao của mình tới 50 địa chỉ th− điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook của ng−ời sử dụng. Khác với các loại khác, virus Con ngựa th�nh Tơ�roa ban đầu d−ờng nh− vô hại nh−ng sau đó có thể mang đến nhiều tai hoạ không ngờ. Bản thân nó không phải l� một loại virus bởi không có khả năng tự nhân bản, nh−ng chính nó lại tạo cơ hội để các loại virus nguy hiểm khác xâm nhập v�o các hệ thống máy tính. Chính bởi vậy nó mới có tên l� Con ngựa th�nh Tơ�roa *. Nó xuất hiện v�o cuối năm 1989, đ−ợc ngụy trang d−ới những thông tin về AIDS. Hơn 10.000 bản sao trên đĩa máy tính, từ một địa chỉ ở Luân Đôn đ� đ−ợc gửi cho những công ty, các h�ng bảo hiểm, v� các chuyên gia bảo vệ sức khỏe trên khắp châu Âu v� Bắc Mỹ. Những ng−ời nhận đ� nạp đĩa v�o máy tính, ngay sau đó họ phát hiện ra đó l� một “con ngựa th�nh Tơ�roa” ác hiểm, đ� xóa sạch các dữ liệu trên đĩa cứng của họ. Những con ngựa th�nh Tơ�roa cũng có thể giả dạng các ch−ơng trình trò chơi, nh−ng thực chất giấu bên trong một đoạn ch−ơng trình có khả năng đánh cắp mật khẩu th− điện tử của một ng−ời v� gửi nó cho một ng−ời khác. Applet l� một ch−ơng trình ứng dụng nhỏ đ−ợc nhúng trong một phần mềm thực hiện một nhiệm vụ cụ thể, thí dụ nh− Cardfile v� Calculator có sẵn trong Microsoft Windows hay các Java applet v� các trình điều khiển ActiveX chạy trong các ch−ơng trình duyệt Web l�m tăng khả năng t−ơng tác của các website Các bad applet có thể coi l� những đoạn m� di động nguy hiểm (malicious mobile code), bởi khi ng−ời sử dụng tìm kiếm thông tin hoặc tải các ch−ơng trình từ một website có chứa bad applet, nó sẽ lây sang hệ thống của ng−ời sử dụng v� ảnh h−ởng tới các ch−ơng trình hoạt động trên hệ thống n�y. Tóm lại, các loại m� nguy hiểm nêu trên l� mối đe doạ không chỉ đối với hệ thống của ng−ời sử dụng m� cả các hệ thống của tổ chức, cho dù các hệ thống n�y luôn đ−ợc bảo vệ kỹ l−ỡng. Các loại m� nguy hiểm đang v� sẽ còn gây ra những tác hại nghiêm trọng, đe doạ tính to�n vẹn v� khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi nội dung dữ liệu hoặc đôi khi l�m ng−ng trệ to�n bộ hoạt động của nhiều hệ * Theo thần thoại Hy Lạp, các chiến binh công phá th�nh Tơ�roa đ� l�m một con ngựa gỗ khổng lồ v� chui v�o trong chờ sẵn. Trong một cuộc giao chiến, họ vờ bỏ lại con ngựa. Quân giữ th�nh coi nó nh− một chiến lợi phẩm v� kéo ngựa v�o th�nh. Đêm đến, các chiến binh từ bụng ngựa chui ra, mở cổng cho quân bên ngo�i tấn công. Th�nh Tơ�roa bị thất thủ vì m−u kế n�y. Tục ngữ “Con ngựa th�nh Tơ�roa”, giống với tục ngữ của Việt Nam “Nuôi ong tay áo”. 111
- thống V�, nó cũng chính l� một trong những mối đe doạ lớn nhất đối với an to�n của các giao dịch th−ơng mại điện tử hiện nay. Bảng 11: Một số loại m� nguy hiểm (malicious code) Tên Kiểu Mô tả Melissa Virus macro/ Bị phát hiện lần đầu tiên v�o năm 1999. Tại thời điểm đó, worm Melisa đ� lây nhiễm v�o các ch−ơng trình trong phạm vi rộng lớn tr−ớc khi bị phát hiện. Loại m� n�y tấn công v�o tệp khuôn mẫu chung (normal.dot) của Microsoft Word v� nhiễm v�o tất cả các t�i liệu mới đ−ợc tạo ra. Một th− điện tử dạng tệp t�i liệu Word nếu nhiễm loại m� n�y sẽ lây sang 50 ng−ời khác trong sổ địa chỉ Microsoft Outlook của ng−ời sử dụng. ILOVEYOU Virus script/ ILOVEYOU tấn công v�o tháng 5�2000. Nó v−ợt qua worm Melisa v� trở th�nh một loại virus lây nhiễm nhanh nhất. Nó sử dụng Microsoft Outlook để gửi đi các thông điệp có đính kèm tệp “Love�Letter�For�You.TXT.vbs”. Khi mở tệp n�y, virus sẽ xoá to�n bộ các tệp .mp3 v� .jpg. Loại virus n�y sử dụng Microsoft Outlook v� ch−ơng trình mIRC để tự nhân bản v� thâm nhập v�o các hệ thống khác. ExploreZip Con ngựa ExploreZip bị phát hiện lần đầu tiên v�o tháng 6�1999 v� th�nh Tơ�roa/ sử dụng Microsoft Outlook để tự nhân bản. Khi mở ra, loại worm virus n�y tự tìm kiếm một số tệp v� l�m giảm dung l−ợng của các tệp n�y xuống 0 (zero), l�m cho các tệp n�y không thể sử dụng v� không thể khôi phục đ−ợc. Chernobyl Virus tệp Loại virus n�y bị phát hiện lần đầu năm 1998 v� vô cùng nguy hiểm. V�o ng�y 26�4 h�ng năm, ng�y kỷ niệm vụ nổ nh� máy điện nguyên tử Chernobyl, nó sẽ xoá sạch 1Mb dữ liệu đầu tiên trên đĩa cứng khiến cho các phần còn lại không thể hoạt động đ−ợc. 2. Tin tặc (hacker) v� các ch−ơng trình phá hoại (cybervandalism) Tin tặc (hay tội phạm máy tính ) l� thuật ngữ dùng để chỉ những ng−ời truy nhập trái phép v�o một website hay hệ thống máy tính. Thực chất, đây l� những ng−ời quá say mê máy tính, thích tìm hiểu mọi điều về máy tính thông qua việc lập trình thông minh. Để đùa nghịch, họ đ� lợi dụng những điểm yếu trong hệ thống bảo vệ các website hoặc lợi dụng một trong những −u điểm của Internet � đó l� một hệ thống mở, dễ 112
- sử dụng � tấn công nhằm phá hỏng những hệ thống bảo vệ các website hay các hệ máy tính của các tổ chức, các chính phủ v� tìm mọi biện pháp để đột nhập v�o những hệ thống đó. Luật pháp coi các h�nh vi n�y l� tội phạm. Mục tiêu của các tội phạm loại n�y rất đa dạng, đó có thể l� hệ thống dữ liệu của các website th−ơng mại điện tử, hoặc với ý đồ nguy hiểm hơn, chúng có thể sử dụng các ch−ơng trình phá hoại (cybervandalism) nhằm gây ra các sự cố, l�m mất uy tín hoặc phá huỷ các website trên phạm vi to�n cầu. Thí dụ, v�o ng�y 01�4�2001, tin tặc đ� sử dụng các ch−ơng trình phá hoại tấn công v�o các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm l�m giảm uy tín của phần mềm n�y v� rất nhiều “nạn nhân” nh− H�ng hoạt hình Walt Disney, Nhật báo Phố Wall, H�ng xiếc Ringling Brothers and Barnum & Bailey thuộc Tập đo�n giải trí Feld Entertainment, Inc., Hội chống ng−ợc đ�i động vật Hoa Kỳ (ASPCA � The American Society for the Prevention of Cruelty to Animals) đ� phải gánh chịu hậu quả. Đặc biệt, một số tổ chức tội phạm đ� sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc t−ơng tự nh− vậy. Điển hình l� vụ tấn công của tin tặc H�n Quốc v�o các website của Bộ Giáo dục Nhật Bản (tháng 4�2001), nhằm phản đối những cuốn sách giáo khoa phản ánh sai lệch lịch sử do Nhật Bản xuất bản. Tuy nhiên, bên cạnh những tên tội phạm máy tính nguy hiểm, cũng có nhiều “hacker tốt bụng”. Bằng việc xâm nhập qua h�ng r�o an to�n của các hệ thống máy tính, những ng−ời n�y giúp phát hiện v� sửa chữa những điểm yếu, những kẽ hở trong một hệ thống an to�n. Tất nhiên, các tin tặc loại n�y không bị truy tố vì những thiện chí của họ. 3. Gian lận thẻ tín dụng Trong th−ơng mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong tr−ờng hợp thẻ tín dụng bị mất, bị đánh cắp; các thông tin về số thẻ, m� số định danh cá nhân (PIN), các thông tin về khách h�ng bị tiết lộ v� sử dụng bất hợp pháp; hoặc trong tr−ờng hợp xảy ra những rủi ro nh− trình b�y trong phần Các rủi ro trong thanh toán thẻ (Ch−ơng ba � Thanh toán trong th−ơng mại điện tử ). Trong th−ơng mại điện tử, các h�nh vi gian lận thẻ tín dụng xảy ra đa dạng v� phức tạp hơn nhiều so với trong th−ơng mại truyền thống. Nếu nh− trong th−ơng mại truyền thống, việc mất thẻ hoặc thẻ bị đánh 113
- cắp l� mối đe doạ lớn nhất đối với khách h�ng, thì trong th−ơng mại điện tử mối đe doạ lớn nhất l� bị “mất” các thông tin liên quan đến thẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ra giao dịch. Các tệp chứa dữ liệu thẻ tín dụng của khách h�ng th−ờng l� những mục tiêu hấp dẫn đối với tin tặc khi tấn công v�o các website. Hơn thế nữa, những tên tội phạm có thể đột nhập v�o các website th−ơng mại điện tử, lấy cắp các thông tin cá nhân của khách h�ng nh− tên, địa chỉ, điện thoại Với những thông tin n�y, chúng có thể mạo danh khách h�ng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích đen tối. V� cuối cùng, đối với ng−ời bán h�ng, một trong những đe doạ lớn nhất có thể xảy ra đó l� sự phủ định đối với các đơn đặt h�ng quốc tế. Trong tr−ờng hợp một khách h�ng quốc tế đặt h�ng v� sau đó từ chối h�nh động n�y, ng−ời bán h�ng trực tuyến th−ờng không có cách n�o để xác định rằng thực chất h�ng hoá đ� đ−ợc giao tới tay khách h�ng hay ch−a v� chủ thẻ tín dụng có thực sự l� ng−ời đ� thực hiện đơn đặt h�ng hay không. Để giải quyết các vấn đề nêu trên, rất nhiều biện pháp v� công nghệ đ� đ−ợc triển khai v� áp dụng (một số biện pháp cơ bản sẽ đ−ợc trình b�y ở phần sau), nh−ng cho đến nay, nhiều doanh nghiệp th−ơng mại điện tử vẫn đang phải gánh chịu những hậu quả nghiêm trọng do những h�nh vi gian lận n�y gây ra. 4. Sự lừa đảo Lừa đảo trong th−ơng mại điện tử l� việc tin tặc sử dụng các địa chỉ th− điện tử giả hoặc mạo danh một ng−ời n�o đó thực hiện những m−u đồ bất chính. Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc l�m chệch h−ớng các liên kết Web tới một địa chỉ khác với địa chỉ thực hoặc tới một website giả mạo website thực cần liên kết. Những liên kết n�y có thể sẽ h−ớng ng−ời sử dụng tới những website vô bổ, ngo�i mong muốn nhằm thực hiện những m−u đồ của tin tặc. Cho dù các h�nh vi lừa đảo không l�m nguy hại trực tiếp các tệp dữ liệu hoặc các máy chủ mạng nh−ng nó đe doạ tính to�n vẹn của một website. Nếu những kẻ tin tặc l�m chệch h−ớng khách h�ng tới một website giả mạo, giống hệt website m� khách h�ng dự định giao dịch, chúng có thể thu thập các thông tin về đơn đặt h�ng v� thực hiện các đơn đặt h�ng ăn cắp đ−ợc, những đơn đặt h�ng m� lẽ ra phải thuộc về 114
- chủ nhân của những website thật. Hoặc, với mục đích l�m mất thanh danh hoặc uy tín của các doanh nghiệp, tin tặc có thể l�m thay đổi nội dung các đơn đặt h�ng, nh− thay đổi số l−ợng hay tên các mặt h�ng cần mua, sau đó gửi các đơn h�ng đ� bị thay đổi tới các website thật. Tất nhiên, khi nhận đ−ợc những h�ng hoá không phù hợp, khách h�ng sẽ không thể chấp nhận những sai sót n�y. V� trong những tr−ờng hợp nh− vậy, doanh nghiệp sẽ l� ng−ời gánh chịu tất cả, vừa mất uy tín, vừa phải chịu to�n bộ các chi phí của quá trình thực hiện đơn đặt h�ng. Các h�nh vi lừa đảo không những đe doạ tính to�n vẹn, m� còn đe doạ tính xác thực của các giao dịch th−ơng mại điện tử. Với những trò ranh ma của mình, tin tặc có thể l�m cho các giao dịch th−ơng mại điện tử trở th�nh “trắng đen lẫn lộn” v� cả doanh nghiệp lẫn khách h�ng khó đều có thể xác định đ−ợc đâu l� thật, đâu l� giả. 5. Sự kh−ớc từ phục vụ (DoS � Denial of Service) Sự kh−ớc từ phục vụ (DoS � Denial of Service) của một website l� hậu quả của việc tin tặc sử dụng những giao thông vô ích l�m tr�n ngập v� dẫn tới tắc nghẽn mạng truyền thông, hoặc sử dụng số l−ợng lớn máy tính tấn công v�o một mạng (d−ới dạng các yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ. Những cuộc tấn công DoS có thể l� nguyên nhân khiến cho mạng máy tính ngừng hoạt động v� trong thời gian đó, ng−ời sử dụng sẽ không thể truy cập v�o các website. Đối với những website th−ơng mại điện tử náo nhiệt nh− eBay.com hay Buy.com, những tấn công n�y cũng đồng nghĩa với những khoản chi phí vô cùng lớn, vì trong thời gian website ngừng hoạt động, khách h�ng không thể thực hiện các giao dịch mua bán. V� sự gián đoạn hoạt động n�y sẽ ảnh h−ởng tới uy tín v� tiếng tăm của doanh nghiệp, những điều không dễ d�ng gì lấy lại đ−ợc. Mặc dù những cuộc tấn công n�y không phá huỷ thông tin hay truy cập v�o những vùng cấm của máy chủ nh−ng tạo ra nhiều phiền toái, ngây trở ngại cho hoạt động của nhiều doanh nghiệp. Thí dụ, tháng 2�2000, các vụ tấn công DoS từ bọn tin tặc l� nguyên nhân dẫn tới ngừng hoạt động của h�ng loạt website trên thế giới trong nhiều giờ: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3,5 giờ, E�Trade gần 3 giờ, Yahoo, Buy.com v� ZDNet cũng ngừng hoạt động từ 3�4 giờ 1; ngay 1 Xem: Mike McConnell, Security and the Internet , Wall Street Journal, 17�2�2000. 115
- cả ng−ời khổng lồ Microsoft cũng đ� từng phải gánh chịu hậu quả của những cuộc tấn công n�y. Cho đến nay, cả thế giới đang hy vọng tìm ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công t−ơng tự trong t−ơng lai. 6. Kẻ trộm trên mạng Kẻ trộm trên mạng (sniffer) l� một dạng của ch−ơng trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng v�o những mục đích hợp pháp, nó có thể giúp phát hiện các yếu điểm của mạng, nh−ng ng−ợc lại, nếu sử dụng v�o các mục đích phạm tội, nó sẽ trở th�nh những mối hiểm hoạ lớn v� rất khó có thể phát hiện. Kẻ trộm cũng có thể l� chính những tên tin tặc, chuyên ăn cắp các thông tin có giá trị nh− thông điệp th− điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật từ bất cứ nơi n�o trên mạng. Xem lén th− tín điện tử l� một dạng mới của h�nh vi trộm cắp trên mạng. Kỹ thuật xem lén th− điện tử sử dụng một đoạn m� ẩn bí mật gắn v�o một thông điệp th− điện tử, cho phép ng−ời n�o đó có thể giám sát to�n bộ các thông điệp chuyển tiếp đ−ợc gửi đi cùng với thông điệp ban đầu. Chẳng hạn, một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo cho cấp trên thông báo phát hiện của mình. Ng−ời n�y, sau đó, sẽ tiếp tục gửi thông báo tới tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ n�o đó, sử dụng kỹ thuật xem lén th− điện tử, có thể theo dõi v� biết đ−ợc to�n bộ thông tin trong các bức th− điện tử gửi tiếp sau đó b�n về vấn đề n�y. V� sẽ rất nguy hiểm nếu nh− các thông tin bí mật trong nội bộ doanh nghiệp bị kẻ xấu biết đ−ợc v� sử dụng v� những mục đích bất chính. Đối với th−ơng mại điện tử, trộm cắp trên mạng đang l� một mối nguy hại lớn đe doạ tính bảo mật của các các dữ liệu kinh doanh quan trọng. Nạn nhân của nó không chỉ l� các doanh nghiệp m� cả những cá nhân, những ng−ời có tham gia th−ơng mại điện tử. 7. Sự tấn công từ bên trong doanh nghiệp Trong kinh doanh, chúng ta th−ờng cho rằng những mối đe doạ an to�n có nguồn gốc từ những yếu tố bên ngo�i doanh nghiệp, nh−ng thực chất những đe doạ n�y không chỉ đến từ bên ngo�i m� có thể bắt nguồn từ chính những th�nh viên l�m việc trong doanh nghiệp. Trong th−ơng 116
- mại điện tử cũng vậy. Có nhiều website th−ơng mại điện tử bị phá huỷ, nhiều doanh nghiệp th−ơng mại điện tử phải gánh chịu hậu quả do dịch vụ bị ng−ng trệ, do bị lộ các thông tin cá nhân hay các dữ liệu tín dụng của khách h�ng m� thủ phạm chính l� những nhân viên l�m việc trong doanh nghiệp, những ng−ời đ� từng đ−ợc tin t−ởng v� trọng dụng. Những nhân viên l�m việc trong doanh nghiệp có thể truy cập các thông tin bí mật, hoặc xâm nhập tới mọi nơi trong hệ thống thông tin của tổ chức nếu nh− những biện pháp bảo mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy, trong nhiều tr−ờng hợp, hậu quả của những đe doạ loại n�y còn nghiêm trọng hơn những vụ tấn công từ bên ngo�i doanh nghiệp. Thí dụ nh− tr−ờng hợp của Joe Oquendo. Joe Oquendo l� một chuyên gia bảo mật máy tính của Collegeboardwalk.com, ng−ời đ−ợc phép l�m việc cùng văn phòng v� chia sẻ thông tin trên mạng máy tính của h�ng Five Partners Asset Management, một nh� đầu t− của Collegeboardwalk.com. Lợi dụng quyền hạn của mình, Oquendo đ� thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống n�y tự động gửi các tệp mật khẩu tới một t�i khoản th− điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. Sau khi Collegeboardwalk.com phá sản, Oquendo đ� bí mật c�i đặt một ch−ơng trình nghe trộm nhằm ngăn chặn v� ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không m� hoá. Oquendo bị bắt khi đang sử dụng ch−ơng trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá to�n bộ cơ sở dữ liệu của công ty n�y. III. Một số giải pháp công nghệ đảm bảo an to�n trong th−ơng mại điện tử An to�n đang trở th�nh một trong những vấn đề đ−ợc quan tâm nhất khi tiến h�nh th−ơng mại điện tử. D−ới đây l� một số công cụ v� kỹ thuật cơ bản đảm bảo an to�n cho các hệ thống, các website v� các hoạt động th−ơng mại điện tử. 1. Kỹ thuật m� hoá thông tin M� hoá thông tin l� quá trình chuyển các văn bản hay các t�i liệu gốc th�nh các văn bản d−ới dạng mật m� để bất cứ ai, ngo�i ng−ời gửi v� ng−ời nhận, đều không thể đọc đ−ợc. Mục đích của kỹ thuật m� hoá l�: đảm bảo an to�n cho các thông tin đ−ợc l−u giữ, v� đảm bảo an to�n 117
- cho thông tin khi truyền phát. M� hoá l� một kỹ thuật khá phổ biến, có khả năng đảm bảo bốn trong sáu khía cạnh an to�n của th−ơng mại điện tử gồm có: � Đảm bảo tính to�n vẹn của thông điệp; � Chống phủ định; � Đảm bảo tính xác thực; � Đảm bảo tính bí mật của thông tin. Quá trình m� hoá thông tin đ−ợc thực hiện trên cơ sở sử dụng một khoá (hay còn gọi l� m� ). Khoá (m�) chính l� ph−ơng pháp để chuyển văn bản gốc th�nh văn bản m� hoá. M� hoá thông tin l� một kỹ thuật đ−ợc sử dụng rất sớm trong các t�i liệu viết tay cũng nh− trong các giao dịch th−ơng mại. Ng−ời Ai Cập cổ đại v� ng−ời Phê�ni�xi đ� từng m� hoá các văn bản th−ơng mại của họ bằng ph−ơng pháp thay thế v� hoán vị. Trong ph−ơng pháp m� hoá thay thế, các ký tự đ−ợc thay thế có hệ thống bằng các ký tự khác. Thí dụ, nếu chúng ta sử dụng m� thay thế l� “ký tự cộng thêm hai”, nghĩa l� thay thế một ký tự bằng một ký tự đứng sau nó hai vị trí trong bảng chữ cái, nh− vậy từ “echop” ở dạng văn bản gốc sẽ đ−ợc viết th�nh “gejqr” d−ới dạng m� hoá. Trong ph−ơng pháp m� hoá hoán vị, trật tự các ký tự trong từ đ−ợc thay đổi theo một cách thức nhất định. Thí dụ, Leonardo De Vinci đ� từ ghi lại các thông báo ở cửa h�ng của ông theo một trật tự đảo ng−ợc, nghĩa l� chỉ có thể đọc đ−ợc nếu nhìn trong g−ơng, theo đó từ “echop” ở dạng văn bản gốc sẽ đ−ợc m� hoá th�nh “pohce”. Ngo�i ra, có thể dùng nhiều ph−ơng pháp m� hoá đơn giản khác nh− ngắt có hệ thống các ký tự của một từ hoặc giữ nguyên một ký tự nhất định (ký tự đầu tiên trong từ chẳng hạn) v� đảo vị trí hoặc thay đổi các ký tự còn lại Trong thời đại ng�y nay, hai kỹ thuật cơ bản th−ờng đ−ợc sử dụng để m� hoá thông tin trên Internet l� m� hoá “khoá đơn” hay m� hoá “khoá bí mật” v� m� hoá “khoá công cộng”. 1.1. M� hoá khoá bí mật M� hoá khoá bí mật , còn gọi l� m� hoá đối xứng hay m� hoá khoá riêng , l� sử dụng một khoá cho cả quá trình m� hoá (đ−ợc thực hiện bởi ng−ời gửi thông tin) v� quá trình giải m� (đ−ợc thực hiện bởi ng−ời 118
- nhận). Quá trình m� hoá khoá bí mật đ−ợc thực hiện nh− sau: Một khách h�ng (Anne) muốn gửi tới ng−ời bán h�ng (Bob) một đơn đặt h�ng, nh−ng chỉ muốn một mình Bob có thể đọc đ−ợc. Anne m� hoá đơn đặt h�ng (d−ới dạng văn bản gốc) của mình bằng một m� khoá rồi gửi đơn đặt h�ng đ� m� hoá đó cho Bob. Tất nhiên, ngo�i Bob v� Anne ra, không ai có thể đọc đ−ợc nội dung thông điệp lộn xộn đ� m� hoá. Khi nhận đ−ợc thông điệp m� hoá, Bob giải m� thông điệp n�y bằng khoá giải m� v� đọc các thông tin của đơn đặt h�ng. Điều đáng chú ý l� trong kỹ thuật m� hoá khoá bí mật, khoá để m� hoá thông điệp v� khoá để giải m� thông điệp giống nh− nhau (hình 25). Ng−ời gửi thông điệp sử dụng một khoá mật m� để m� hoá thông điệp v� ng−ời nhận thông điệp cũng sử dụng một khoá nh− vậy để đọc mật m� hoặc giải m� thông điệp. Kỹ thuật m� hoá khoá bí mật n�y đ� đ−ợc IBM phát triển, áp dụng cho các cơ quan của Chính phủ Mỹ năm 1977 đ−ợc gọi l� Tiêu chuẩn m� hoá dữ liệu (DES � Data encryption standard). Hình 25: Ph−ơng pháp m� hoá khoá riêng. Kỹ thuật m� hoá khoá bí mật l� một ph−ơng pháp m� hoá thông tin hữu dụng trong nhiều tr−ờng hợp. Tuy nhiên, nó cũng có những hạn chế: Các bên tham gia trong quá trình m� hoá cần phải tin t−ởng nhau v� phải chắc chắn rằng, bản sao của m� hoá đang đ−ợc các đối tác bảo vệ cẩn mật. Thêm v�o đó, nếu ng−ời gửi v� ng−ời nhận thông điệp ở hai nơi khác nhau, họ phải đảm bảo rằng, khi họ gặp mặt hoặc sử dụng một ph−ơng tiện thông tin liên tác chung (hệ thống điện thoại, dịch vụ b−u chính ) để trao m� khoá cho nhau không bị ng−ời khác nghe trộm hay bị lộ m� khoá, bởi vì nếu nh− vậy, những ng−ời n�y sau đó có thể sử dụng m� khoá để đọc lén các thông điệp m� các bên gửi cho nhau. Điều n�y l�m xuất hiện những trở ngại lớn trong việc quản lý (tạo, phân phối v� l−u giữ) các m� khoá. 119
- Sử dụng ph−ơng pháp m� hoá khoá bí mật, một doanh nghiệp rất khó có thể thực hiện việc phân phối an to�n các m� khoá bí mật với h�ng ng�n khách h�ng trực tuyến của mình trên những mạng thông tin rộng lớn. V�, doanh nghiệp sẽ phải bỏ ra những chi phí không nhỏ cho việc tạo một m� khoá riêng v� chuyển m� khoá đó tới một khách h�ng bất kỳ trên Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Với những hạn chế trên, kỹ thuật m� hoá khoá bí mật khó có thể trở th�nh ph−ơng pháp m� hoá thuận tiện sử dụng trong các giao dịch th−ơng mại điện tử. Để có thể dễ d�ng đảm bảo an to�n cho các giao dịch trên Internet cần có những kỹ thuật m� hoá khác thuận tiện v� hiệu quả hơn, v� kỹ thuật m� hoá khoá công cộng đ� ra đời. 1.2. M� hoá khoá công cộng Khác với khoá bí mật, m� hoá khoá công cộng (còn gọi l� m� hoá không đối xứng) sử dụng hai m� khoá trong quá trình m� hoá: một m� khoá dùng để m� hoá thông điệp v� một m� khoá khác dùng để giải m�. Hai m� khoá n�y có quan hệ với nhau về mặt thuật toán sao cho dữ liệu đ−ợc m� hoá bằng khoá n�y sẽ đ−ợc giải m� bằng khoá kia (hình 26). Nh− vậy thực chất, ph−ơng pháp m� hoá n�y dùng một cặp m� khoá cho quá trình m� hoá: một m� khoá gọi l� m� khoá công cộng v� một l� m� khoá riêng. M� khoá công cộng l� m� khoá có thể công khai cho nhiều ng−ời biết, còn m� khoá riêng đ−ợc giữ bí mật v� chỉ mình chủ nhân của nó đ−ợc biết. Tất nhiên, cả hai m� khoá n�y đều đ−ợc bảo vệ tránh bị đánh cắp hoặc thay đổi. Hình 26: Ph−ơng pháp m� hoá khoá công cộng. Thuật toán m� hoá công cộng phổ biến nhất đó l� thuật toán RSA, chữ cái đầu tên của ba nh� phát minh l� R. Rivest, A. Shamir v� L. Adleman (Viện Công nghệ Massachusetts). Theo ph−ơng pháp RSA, mỗi 120
- bên đối tác sẽ tạo ra một cặp m� khoá duy nhất, một m� khoá công cộng đ−ợc sắp xếp, l−u giữ công khai ở một th− mục công cộng; v� một m� khoá riêng, đ−ợc cất giữ cẩn mật. Cặp m� khoá n�y sẽ hoạt động cùng nhau, các dữ liệu đ−ợc “khoá” bằng m� khoá n�y chỉ có thể “mở” bằng m� khoá kia. Thí dụ, một cô gái muốn gửi một thông điệp th− điện tử cho bạn trai mình, việc đầu tiên, cô sẽ tìm m� khoá công cộng của anh ta v� sử dụng m� khoá đó để m� hoá bức th− của mình. Khi bạn trai của cô nhận đ−ợc bức th−, anh ta sẽ dùng m� khoá riêng (do anh ta cất giữ) để chuyển đổi bức th− m� hoá v� nội dung của bức th− đó sẽ đ−ợc hiện lên trên m�n hình máy tính d−ới dạng văn bản gốc, ho�n to�n có thể đọc đ−ợc. Trong tr−ờng hợp n�y, cô gái có thể tin t−ởng thông điệp m� mình đ� gửi chỉ có thể đ−ợc giải m� bằng m� khoá riêng duy nhất của bạn trai cô. Điều n�y giúp đảm bảo tính to�n vẹn thông điệp vì cho dù nó bị những kẻ tội phạm chặn lại trên đ−ờng truyền, chúng cũng không thể đọc đ−ợc nội dung thông điệp vì không có m� khoá riêng do chủ nhân đích thực của cặp khoá cất giữ. So sánh ph−ơng pháp m� hoá khoá công cộng với ph−ơng pháp m� hoá khoá bí mật, cả hai ph−ơng pháp n�y đều có những −u v� nh−ợc điểm riêng (bảng 12). Việc sử dụng ph−ơng pháp n�o sẽ do chính các bên quyết định căn cứ v�o mức độ cần bảo mật v� môi tr−ờng hoạt động giao dịch. Tuy nhiên, ph−ơng pháp m� hoá khoá công cộng rất phù hợp khi có nhiều bên cùng tham gia v�o quá trình truyền thông trên mạng bởi vì trong những tr−ờng hợp nh− vậy, các bên rất khó có thể tin t−ởng lẫn nhau cũng nh− khó có thể chia xẻ cùng một m� khoá bí mật. Đây chính l� các đặc điểm cơ bản của các giao dịch th−ơng mại điện tử trên Internet. Bảng 12: So sánh ph−ơng pháp m� hoá khoá riêng v� m� hoá khoá công cộng Đặc điểm M� hoá khoá riêng M� hoá khoá công cộng Số khoá Một khoá đơn Một cặp khoá Loại khoá Khoá bí mật Một khoá riêng v� một khoá chung Quản lý khoá Đơn giản, nh−ng khó quản lý Yêu cầu các chứng thực điện tử v� bên tin cậy thứ ba Tốc độ giao dịch Nhanh Chậm Sử dụng Sử dụng để m� hoá những Sử dụng đối với những ứng dụng có nhu 121
- dữ liệu lớn (h�ng loạt) cầu m� hoá nhỏ hơn nh− m� hoá các t�i liệu nhỏ hoặc để ký các thông điệp Một ph−ơng pháp m� khoá công cộng khác, đ−ợc sử dụng phổ biến trong các giao dịch trực tuyến đó l� chữ ký điện tử. Trong môi tr−ờng số hoá, các t�i liệu nói chung v� các văn bản nói riêng khi gửi đi, trong nhiều tr−ờng hợp, gắn liền với trách nhiệm của ng−ời ban h�nh v� đòi hỏi đảm bảo an to�n ở một mức độ nhất định. Cũng giống nh− trong truyền thống, ở những tr−ờng hợp nh− vậy ng−ời ta sẽ sử dụng chữ ký điện tử (Electronic signature) hay chữ ký số hoá (Digital signature). Về mối quan hệ giữa văn bản điện tử v� chữ ký điện tử, Điều 7, Ch−ơng II, Đạo luật mẫu về th−ơng mại điện tử (do Uỷ ban Liên hợp quốc về Luật Th−ơng mại quốc tế ) quy định: “Trong tr−ờng hợp pháp luật đòi hỏi phải có chữ ký (điện tử) của một ng−ời n�o đó, thì thông điệp dữ liệu (văn bản) đ−ợc coi l� đáp ứng đòi hỏi đó nếu: a) Có sử dụng một ph−ơng pháp n�o đó để xác minh đ−ợc ng−ời ấy v� chứng tỏ đ−ợc sự phê chuẩn của ng−ời ấy đối với thông tin h�m chứa trong thông điệp đó; v� b) Ph−ơng pháp ấy l� đủ tin cậy theo nghĩa l� thích hợp cho mục đích m� theo đó thông điệp dữ liệu ấy đ� đ−ợc tạo ra v� truyền đi, tính đến tất cả các tình huống, bao gồm cả các thỏa thuận bất kỳ có liên quan.” 1 Nh− vậy, chữ ký điện tử thực hiện chức năng giống nh− chữ ký viết thông th−ờng: l� điều kiện cần v� đủ để quy định tính duy nhất của văn bản điện tử cụ thể xác định rõ ai l� ng−ời chịu trách nhiệm trong việc tạo ra văn bản đó; v� bất kỳ thay đổi n�o (về nội dung, hình thức ) của văn bản trong quá trình l−u chuyển đều l�m thay đổi t−ơng quan giữa phần bị thay đổi với chữ ký. Về mặt công nghệ, chữ ký điện tử l� một dạng của m� hoá khoá công cộng, đ−ợc tiến h�nh trên cơ sở một kỹ thuật m� hoá (hình 27). 1 Xem: Bộ Th−ơng mại: Th−ơng mại điện tử , Nxb. Thống kê, H� Nội, 1999. 122
- Hình 27. Chữ ký điện tử. Một yêu cầu khác đối với chữ ký l� khả năng giúp phân biệt rõ sự khác biệt giữa bản gốc v� bản sao. Với chữ ký thông th−ờng, đơn giản l� chỉ cần nhìn trực tiếp v�o chữ ký ta cũng có thể phân biệt đ−ợc. Nh−ng với văn bản điện tử, vấn đề không đơn giản nh− vậy. Biện pháp để giải quyết vấn đề n�y l� gắn cho chữ ký điện tử một “nh�n” thời gian: sau một thời gian nhất định qui định bởi nh�n đó, chữ ký điện tử gốc sẽ không còn hiệu lực. Đồng thời để chống giả mạo chữ ký điện tử, cần thiết phải có một cơ quan chứng nhận v� một cơ chế xác nhận theo kiểu truyền thống (xem phần Chứng thực điện tử ). Qua phần phân tích trên, có thể đ−a ra định nghĩa về chữ ký điện tử nh− sau: Chữ ký điện tử l� bất cứ âm thanh điện tử, ký hiệu hay quá trình điện tử gắn với hoặc liên quan một cách lôgích với một văn bản điện tử khác theo một nguyên tắc nhất định v� đ−ợc ng−ời ký (hay có ý định ký) văn bản đó thực thi hoặc áp dụng. Chữ ký điện tử l� bằng chứng hợp pháp dùng để v� đủ để khẳng định trách nhiệm của ng−ời ký văn bản điện tử về nội dung của nó v� tính nguyên gốc của văn bản điện tử sau khi rời khỏi ng−ời ký nó. Để hiểu rõ hơn về việc tạo v� sử dụng chữ ký điện tử, chúng ta cùng nghiên cứu ví dụ sau: 123
- Anne, một khách h�ng trên Internet, sau khi tìm kiếm v� tham khảo, quyết định mua h�ng của Bob, một nh� bán lẻ h�ng hoá trên Internet. Khi gửi đơn đặt h�ng tới Bob, Anne sử dụng m� khoá công cộng của Bob để m� hoá các thông tin bí mật của mình. Bob sử dụng m� khoá riêng để giải m� các thông tin đó (chỉ có m� khoá riêng n�y mới có thể giải m� v� đọc thông điệp của Anne) v� Anne biết rằng, Bob l� ng−ời duy nhất biết đ−ợc các dữ liệu bí mật của mình. Để đảm bảo chắc chắn hơn, Anne có thể gửi kèm chữ ký điện tử của mình, đ−ợc m� hoá bằng m� khoá riêng của cô. Bob có thể giải m� đ−ợc chữ ký n�y bằng m� khoá công cộng của Anne v� chắc chắn rằng Anne chính l� ng−ời đ� gửi nó v� cô chính l� ng−ời đ� đặt h�ng mình. Ng−ợc lại, Bob cũng có thể gửi các thông tin bí mật tới Anne sử dụng m� khoá công cộng của cô v� cũng chỉ có Anne, bằng m� khoá riêng của mình, mới có thể giải m� các thông tin đó. Trên đây l� một thí dụ điển hình của việc phối hợp chữ ký điện tử với kỹ thuật m� hoá khoá công cộng nhằm đảm bảo tính xác thực v� tính riêng t− của các bên trong th−ơng mại điện tử. 1.3. Chứng thực điện tử ở thí dụ trên, tr−ớc khi các bên tham gia, Bob v� Anne, sử dụng m� khoá công cộng trong việc thực thi các giao dịch, mỗi bên đều muốn chắc chắn rằng, đối tác của mình l� xác thực. Cụ thể, tr−ớc khi chấp nhận thông điệp với chữ ký điện tử của Anne, Bob muốn đ−ợc đảm bảo rằng m� khoá công cộng anh ta sử dụng l� thuộc về Anne v� dù môi tr−ờng kinh doanh l� một mạng máy tính mở, cũng không có một ai khác có thể giả danh Anne thực hiện các giao dịch. Cách chắc chắn nhất để có thể đảm bảo điều n�y l� Anne sử dụng một kênh truyền thông bảo mật, trực tiếp chuyển m� khoá công cộng của mình cho Bob. Song, trong các giao dịch th−ơng mại điện tử, giải pháp n�y l� không khả thi. Thay v�o đó, có thể sử dụng một bên tin cậy thứ ba, ng−ời đứng ra xác thực rằng m� khoá công cộng đó thuộc về Anne. Bên tin cậy thứ ba n�y chính l� các cơ quan chứng nhận (CA � Certificate Authority). Để sử dụng dịch vụ n�y, tr−ớc tiên, Anne phải cung cấp cho cơ quan chứng nhận chứng cớ định danh của mình. Cơ quan chứng nhận sẽ căn cứ v�o đó tạo ra một thông điệp, đúng hơn l� một chứng thực số hoá (Digital authentication) hay chứng thực điện tử (Electronic authentication), bao gồm tên, m� khoá công cộng của Anne, số thứ tự của chứng thực điện tử, thời hạn hiệu lực, 124
- chữ ký của cơ quan chứng nhận (tên của cơ quan chứng nhận có thể đ−ợc m� hoá bằng m� khoá riêng của cơ quan chứng nhận) v� các thông tin nhận dạng khác (hình 28). Chứng thực điện tử do cơ quan chứng nhận (hay bên tin cậy thứ ba) cấp l� căn cứ để xác thực các bên tham gia giao dịch; l� cơ sở đảm bảo tin cậy đối với các giao dịch th−ơng mại điện tử. Hình 28: Chứng thực điện tử. Đối với nhiều giao dịch th−ơng mại điện tử, các chứng thực điện tử chính l� cơ sở, l� cốt lõi của giao thức an to�n giao dịch điện tử (xem phần An to�n các giao dịch điện tử ). Việc sử dụng bên tin cậy thứ ba, cùng với các chứng thực điện tử l� cách đơn giản v� thuận tiện để các bên có thể tin cậy lẫn nhau. Tuy vậy, trong một số tr−ờng hợp, bản thân các cơ quan chứng nhận cũng cần có những cơ quan chứng nhận lớn hơn, có uy tín v� độ tin cậy cao hơn, chứng thực cho mình. Tập hợp hệ thống các cơ quan chứng nhận các cấp v� các thủ tục chứng thực điện tử đ−ợc tất cả các đối t−ợng tham gia th−ơng mại điện tử chấp nhận hình th�nh hạ tầng m� khoá công cộng (PKI � Public�key infrastructure). Đây chính l� điều kiện, hỗ trợ các cá nhân tham gia v�o cộng đồng những ng−ời sử dụng m� khoá, tạo v� quản lý các cặp khoá, phổ biến/thu hồi 125
- các m� khoá công cộng, một trong những điều kiện cần thiết để tham gia th−ơng mại điện tử. 2. An to�n các kênh truyền thông v� lớp ổ cắm an to�n Trong th−ơng mại điện tử, các giao dịch đ−ợc thực hiện chủ yếu thông qua mạng Internet, một mạng truyền thông mở, vì vậy, thông tin th−ơng mại giữa các bên rất dễ bị kẻ xấu lấy trộm v� sử dụng v�o những mục đích bất chính. Giải pháp cơ bản giải quyết vấn đề n�y l� sử dụng giao thức lớp ổ cắm an to�n (SSL � Secure Sockets Layer). Lớp ổ cắm an to�n l� một ch−ơng trình an to�n cho việc truyền thông trên Web, đ−ợc h�ng Netscape Communication phát triển. Ch−ơng trình n�y bảo vệ các kênh thông tin trong quá trình trao đổi dữ liệu giữa máy chủ v� các trình duyệt Web thay vì phải bảo vệ từng mẩu tin. Trong một tiêu chuẩn trao đổi th− từ giữa các bên trên Internet, thông điệp của ng−ời gửi đ−ợc chuyển tới lớp ổ cắm (socket) (thiết bị đóng vai trò truyền thông tin trong một mạng); lớp ổ cắm có nhiệm vụ dịch thông điệp sang dạng phù hợp với giao thức điều khiển truyền dẫn v� giao thức Internet (TCP/IP), bộ giao thức cơ bản cho việc truyền thông giữa các máy tính trên Internet. TCP/IP thực hiện việc truyền các mẩu thông điệp tới hệ thống của ng−ời nhận d−ới dạng các gói tin theo một cách thức nhất định. Tại hệ thống của ng−ời nhận, các gói tin đ−ợc kiểm tra kỹ l−ỡng. (Nếu các gói tin bị thay đổi trong quá trình truyền thông, TCP/IP sẽ gửi trả chúng về vị trí ban đầu). Sau đó, TCP/IP chuyển thông điệp nhận đ−ợc tới lớp ổ cắm trong hệ thống của ng−ời nhận. ổ cắm sẽ dịch ng−ợc thông điệp về dạng m� các ch−ơng trình ứng dụng của ng−ời nhận có thể đọc đ−ợc. Trong các giao dịch có sử dụng SSL, các lớp ổ cắm đ−ợc bảo đảm an to�n bằng ph−ơng pháp m� hoá khoá công cộng. Với việc sử dụng ph−ơng pháp m� hoá khoá công cộng v� các chứng thực điện tử, SSL yêu cầu xác thực máy chủ dịch vụ trong các giao dịch v� bảo vệ các thông tin cá nhân gửi từ đối tác n�y tới đối tác khác. Song, nó không đòi hỏi xác thực khách h�ng. Điểm hạn chế của kỹ thuật n�y l� mặc dù SSL có thể bảo vệ các thông tin khi chúng đ−ợc chuyển trên Internet, nh−ng không thể bảo vệ đ−ợc các thông tin cá nhân (nh− số thẻ tín dụng, các thông tin về cá nhân khách h�ng ) khi các thông tin n�y đ−ợc l−u giữ trên máy chủ của ng−ời bán h�ng. Khi ng−ời bán h�ng nhận đ−ợc các thông tin nh− 126
- số thẻ tín dụng của khách h�ng, các thông tin n�y sẽ đ−ợc giải m� v� l−u giữ trên máy chủ của ng−ời bán h�ng cho tới khi đơn đặt h�ng đ−ợc thực hiện xong. Nếu máy chủ của ng−ời bán h�ng không đ−ợc bảo đảm an to�n, v� các thông tin nói trên không đ−ợc m� hoá, những kẻ không đ−ợc phép có thể sẽ truy nhập v� lấy đi các thông tin quan trọng đó. Điều n�y có thể gây nên những hậu quả nghiêm trọng đối với ng−ời mua v� ng−ời bán h�ng. 3. Các giao dịch điện tử an to�n Giao thức SSL có khả năng m� hoá thông tin (nh− số thẻ tín dụng của khách h�ng) v� đảm bảo an to�n khi gửi nó từ trình duyệt của ng−ời mua tới website của ng−ời bán h�ng. Tuy nhiên, các giao dịch mua bán trên Web không chỉ đơn thuần nh− vậy. Số thẻ tín dụng n�y cần phải đ−ợc ngân h�ng của ng−ời mua kiểm tra để khẳng định tính hợp lệ v� giá trị của thẻ tín dụng, tiếp đó, các giao dịch mua bán phải đ−ợc thực hiện. SSL không giải quyết đ−ợc các vấn đề n�y. Một giao thức đ−ợc thiết kế để ho�n tất các b−ớc tiếp theo của một giao dịch mua bán trên Internet đó l� giao thức giao dịch điện tử an to�n (SET � Secure Electronic Transaction). Giao dịch điện tử an to�n (SET), do Visa International, MasterCard, Netscape v� Microsoft phát triển, đ−ợc thiết kế đặc biệt để bảo vệ các giao dịch thanh toán trong th−ơng mại điện tử. SET sử dụng các chứng thực điện tử để xác thực mỗi bên tham gia trong một giao dịch th−ơng mại điện tử bao gồm ng−ời mua, ng−ời bán, v� ngân h�ng của ng−ời bán. Kỹ thuật m� hoá khoá công cộng đ−ợc sử dụng trong việc đảm bảo an to�n các thông tin khi chuyển nó trên Web. Để tiến h�nh các giao dịch, ng−ời bán h�ng cần phải có một chứng thực điện tử v� một phần mềm SET đặc biệt. Ng−ời mua cũng cần phải có chứng thực điện tử v� một phần mềm ví tiền số hoá. Khi khách h�ng muốn đặt mua h�ng trên Internet, phần mềm SET của ng−ời bán h�ng sẽ gửi mẫu đơn đặt h�ng v� chứng thực điện tử của ng−ời bán h�ng tới ví tiền số hoá của khách h�ng. Tiếp đó, khách h�ng (ng−ời mua h�ng) phải cung cấp các thông tin về thẻ tín dụng m� mình sẽ sử dụng để thanh toán. Các thông tin thẻ tín dụng v� đơn đặt h�ng sau đó đ−ợc m� hoá bằng khoá công cộng của ngân h�ng ng−ời mua v� gửi tới ng−ời bán cùng với chứng thực điện tử của khách h�ng. Ng−ời 127
- bán h�ng chuyển tiếp các thông tin n�y tới ngân h�ng của mình để thực hiện quá trình thanh toán; v� chỉ ngân h�ng của ng−ời bán mới có khả năng giải m� các thông tin đó. B−ớc tiếp theo, ngân h�ng của ng−ời bán gửi tổng số tiền của giao dịch cùng với chứng thực điện tử của mình tới ngân h�ng của ng−ời mua để phê chuẩn. Nếu yêu cầu của ng−ời mua đ−ợc phê chuẩn, ngân h�ng của ng−ời mua sẽ gửi thông báo cấp phép cho ngân h�ng của ng−ời bán. Ngân h�ng của ng−ời bán chuyển thông báo cấp phép thẻ tín dụng n�y cho ng−ời bán để ng−ời bán xác nhận đơn đặt h�ng v� thực hiện quá trình bán h�ng (xem hình 29). Ưu điểm lớn nhất của giao thức SET l� trong to�n bộ quá trình giao dịch ng−ời bán h�ng không trực tiếp xem đ−ợc các thông tin về thẻ tín dụng của khách h�ng v� các thông tin n�y cũng không đ−ợc l−u giữ trên máy chủ của ng−ời bán. Điều n�y giúp ngăn chặn các h�nh vi gian lận từ phía ng−ời bán. Song, bên cạnh việc cung cấp khả năng bảo mật cao, giao thức SET đòi hỏi các bên tham gia giao dịch phải trang bị những phần mềm đặc biệt, l�m tăng chi phí của các giao dịch mua bán. V� mặc dù cả Visa v� MasterCard đều rất cố gắng giảm bớt gánh nặng về t�i chính đối với những ng−ời bán h�ng, nhằm khuyến khích họ sử dụng SET, nh−ng với mức phí giao dịch cao v� nhiều sức ép từ phía khách h�ng, nhiều doanh nghiệp kinh doanh điện tử vẫn cảm thấy miễn c−ỡng khi sử dụng giao thức n�y. Hình 29: Qui trình giao dịch của SET. 128
- 4. An to�n mạng Trong th−ơng mại điện tử, khi chúng ta liên kết mạng máy tính của tổ chức với một mạng riêng hoặc mạng công cộng khác, cũng đồng nghĩa với việc đặt t�i nguyên trên hệ thống mạng của chúng ta tr−ớc nguy cơ rủi ro cao. Do vậy, việc đảm bảo an to�n mạng máy tính của tổ chức l� vấn đề quan trọng trong th−ơng mại điện tử. Một trong các công cụ cơ bản đảm bảo an to�n mạng máy tính đó l� bức t−ờng lửa (firewall). Bức t−ờng lửa (firewall) l� một phần mềm hoặc phần cứng cho phép những ng−ời sử dụng mạng máy tính của một tổ chức có thể truy cập t�i nguyên của các mạng khác (thí dụ, mạng Internet), nh−ng đồng thời ngăn cấm những ng−ời sử dụng khác, không đ−ợc phép, từ bên ngo�i truy cập v�o mạng máy tính của tổ chức. Một bức t−ờng lửa sẽ có những đặc điểm sau: + Tất cả giao thông từ bên trong mạng máy tính của tổ chức v� ng−ợc lại đều phải đi qua đó; + Chỉ các giao thông đ−ợc phép, theo qui định về an to�n mạng máy tính của tổ chức, mới đ−ợc phép đi qua; + Không đ−ợc phép thâm nhập v�o chính hệ thống n�y. Về cơ bản, bức t−ờng lửa cho phép những ng−ời sử dụng mạng máy tính (mạng đ−ợc bức t−ờng lửa bảo vệ) truy cập to�n bộ các dịch vụ của mạng bên ngo�i trong khi cho phép có lựa chọn các truy cập từ bên ngo�i v�o mạng trên cơ sở kiểm tra tên v� mật khẩu của ng−ời sử dụng, địa chỉ IP hoặc tên vùng (domain name) Thí dụ, một nh� sản xuất chỉ cho phép những ng−ời sử dụng có tên vùng (domain name) thuộc các công ty đối tác l� khách h�ng lâu năm, truy cập v�o website của họ để mua h�ng. Nh− vậy, công việc của bức t−ờng lửa l� thiết lập một r�o chắn giữa mạng máy tính của tổ chức v� bên ngo�i (những ng−ời truy cập từ xa v� các mạng máy tính bên ngo�i). Nó bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn th−ơng do những kẻ tin tặc, những ng−ời tò mò từ bên ngo�i tấn công. Tất cả mọi thông điệp đ−ợc gửi đến v� gửi đi đều đ−ợc kiểm tra đối chiếu với những quy định về an to�n do tổ chức xác lập. Nếu thông điệp đảm bảo đ−ợc các yêu cầu về an to�n, chúng sẽ đ−ợc tiếp tục phân phối, nếu không sẽ bị chặn đứng lại (hình 30). 129
- Hình 30: Bức t−ờng lửa. Một trong các loại bức t−ờng lửa phổ biến nhất l� phần mềm máy phục vụ uỷ quyền (proxy server*), gọi tắt l� proxy . Proxy l� phần mềm máy phục vụ, th−ờng đ−ợc đặt trên một máy tính chuyên dụng, kiểm soát to�n bộ các thông tin đ−ợc gửi đến từ một nơi n�o đó trên Internet v� ng−ợc lại. Nó cung cấp các dịch vụ trung gian, đóng vai ng−ời thông ngôn giữa mạng Internet v� mạng nội bộ của tổ chức. Khi một ng−ời sử dụng trên mạng máy tính của tổ chức muốn "nói chuyện" với một ng−ời sử dụng của tổ chức khác, tr−ớc tiên anh ta phải nói chuyện với ứng dụng proxy trên máy phục vụ, tiếp đó proxy sẽ nói chuyện với máy tính của ng−ời sử dụng kia. T−ơng tự nh− vậy, khi một máy tính ở bên ngo�i muốn nói chuyện với một máy tính trong mạng của tổ chức cũng phải nói thông qua proxy trên máy phục vụ (hình 31). * Trong một số t�i liệu, server đ−ợc dịch l� máy chủ theo nghĩa l� máy tính cung cấp các dịch vụ cho ng−ời dùng trên một mạng n�o đó. Máy tính n�y nhận các yêu cầu v� tìm cách đáp ứng các yêu cầu đó theo một trật tự tuần tự. 130
- Hình 31: Máy phục vụ uỷ quyền (Proxy server). Ưu điểm cơ bản của việc sử dụng proxy trong an to�n mạng đó l� các thông tin về mạng máy tính của tổ chức, các thông tin về ng−ời sử dụng (nh− tên, địa chỉ mạng máy tính của tổ chức) đ−ợc bảo mật, bởi thực tế, các hệ thống bên ngo�i chỉ giao tiếp với máy phục vụ proxy chứ không trực tiếp giao tiếp với máy tính của ng−ời sử dụng. Bằng việc ngăn chặn ng−ời sử dụng trực tiếp thông tin với Internet, thông qua proxy, các tổ chức có thể hạn chế việc truy cập v�o một số loại website có nội dung không tốt hoặc ảnh h−ởng đến lợi ích của tổ chức nh− khiêu dâm, bán đấu giá, hay giao dịch chứng khoán Sử dụng proxy còn tạo điều kiện tăng khả năng thực thi của Web bằng cách l−u trữ các thông tin, các trang web th−ờng đ−ợc yêu cầu, để giảm thời gian tải các thông tin lên mạng v� các chi phí cho việc truyền dữ liệu. Ngo�i ra, proxy còn đóng vai trò quan trọng trong việc quản trị mạng. Nó cho phép theo dõi hoạt động của các máy tính thông qua việc ghi chép địa chỉ IP của máy tính, ng�y giờ thực hiện giao dịch, thời gian giao dịch, dung l−ợng (số byte) của các giao dịch Các −u điểm n�y khẳng định vai trò không thể thiếu của proxy nói riêng v� các bức t−ờng lửa (firewall) nói chung trong an to�n mạng máy tính của các doanh nghiệp v� các tổ chức. 5. Bảo vệ các hệ thống của khách h�ng v� máy phục vụ Việc đảm bảo an to�n cho các hệ thống của khách h�ng v� máy phục vụ l� vấn đề quan trọng trong th−ơng mại điện tử. Có hai biện 131
- pháp cơ bản để bảo vệ các hệ thống n�y tr−ớc sự tấn công từ bên ngo�i, đó l� sử dụng các chức năng tự bảo vệ của các hệ điều h�nh v� sử dụng các phần mềm chống virus. 5.1. Các kiểm soát của hệ điều h�nh Một hệ điều h�nh hoạt động trên các máy khách v� máy phục vụ th−ờng gắn liền với một tên ng−ời sử dụng. Khi muốn truy cập v�o hệ thống, ng−ời sử dụng phải cung cấp đúng tên v� đúng mật khẩu để xác thực, nếu sai, hệ thống sẽ từ chối việc truy cập. Một số hệ điều h�nh có thể có chức năng kiểm soát truy cập thông qua việc tự động từ chối khi ng−ời sử dụng truy cập v�o các khu vực khác (không đ−ợc phép) của mạng máy tính. Ngo�i ra, các phần mềm ứng dụng, nh− Microsoft Office v� tất cả các phần mềm quản trị cơ sở dữ liệu dùng cho các máy phục vụ (server) trên các mạng máy tính, th−ờng có thêm các chức năng quản lý an to�n cho phép kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp cho việc đảm bảo an to�n cho cơ sở dữ liệu v� cho to�n bộ hệ thống. 5.2. Phần mềm chống virus Biện pháp đơn giản nhất v� ít tốn kém nhất chống lại các mối đe doạ tính to�n vẹn của các hệ thống, đó l� c�i đặt các phần mềm chống virus. Các ch−ơng trình chống virus do McAfee v� Symantec cung cấp có thể coi l� những công cụ khá rẻ tiền để nhận biết v� tiêu diệt hầu hết các loại virus thông th−ờng ngay khi chúng xâm nhập v�o máy tính hoặc ẩn nấp trên ổ đĩa cứng. Tuy nhiên, không phải bất cứ loại virus n�o cũng dễ d�ng bị tiêu diệt v� để hoạt động có hiệu quả, các phần mềm chống virus nói trên phải đ−ợc th−ờng xuyên cập nhật, mới có khả năng phát hiện v� tiêu diệt những loại virus mới liên tục xuất hiện. Một loại phần mềm khác, phức tạp v� đắt tiền hơn, l� hệ thống phát hiện xâm nhập. Các hệ thống n�y hoạt động tốt hơn nhiều các phần mềm chống virus bởi chúng có khả năng dò tìm v� nhận biết các công cụ m� những kẻ tin tặc th−ờng sử dụng hoặc phát hiện những h�nh động khả nghi. Ngay khi một h�nh động khả nghi n�o đó bị phát hiện, hệ thống báo động sẽ lập tức hoạt động, báo động cho các nhân viên an ninh mạng hoặc các dịch vụ chống xâm nhập để theo dõi, giám sát hoạt động đó. Ngay cả trong tr−ờng hợp các hệ thống báo động bị tấn 132
- công v� hỏng, các hệ thống phát hiện xâm nhập cũng sẽ l� tuyến phòng ngự đầu tiên chống lại sự tấn công của tin tặc. Trên đây l� những giải pháp cơ bản để đảm bảo an to�n cho các hệ thống mạng máy tính nói chung v� an to�n cho các giao dịch th−ơng mại điện tử nói riêng. Tuy nhiên, các mối đe doạ cũng ng�y c�ng tinh vi hơn, phức tạp hơn, độ nguy hiểm ng�y c�ng cao hơn v� các công nghệ mới cũng liên tục đ−ợc phát triển để đáp ứng nhu cầu an to�n các bên tham gia th−ơng mại điện tử. 133
