Marketing điện tử - Phần 1: E - Marketing một số vấn đề cơ bản

pdf 44 trang vanle 3380
Bạn đang xem 20 trang mẫu của tài liệu "Marketing điện tử - Phần 1: E - Marketing một số vấn đề cơ bản", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfmarketing_dien_tu_phan_1_e_marketing_mot_so_van_de_co_ban.pdf

Nội dung text: Marketing điện tử - Phần 1: E - Marketing một số vấn đề cơ bản

  1. Phần 1. E-MARKETING CHUYấN ĐỀ Một số vấn đề cơ bản MARKETING ĐIỆN TỬ Giảng viờn: ThS. Nguyễn Văn Thoan Trưởng Bộ mụn Thương mại điện tử Trường Đại học Ngoại thương E-MarketinMarketingg E-MarketinMarketingg Một số vấn đề cơ bản Một số vấn đề cơ bản 1
  2. E-Marketing E-MarketinMarketingg Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 1. Xỏc định mục tiờu website E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 1. Mục tiờu & Khỏch hàng Bài tập 2. Đỏnh giỏ website của bạn 2
  3. E-MarketinMarketingg E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 3
  4. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 4
  5. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 3. Quảng cỏo website ntn? Bước 3. Quảng bỏ website thế nào? 5
  6. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 6
  7. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 7
  8. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? Bước 3. Quảng bỏ website thế nào? 8
  9. E-Marketing E-MarketinMarketingg Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 3. Quảng bỏ website thế nào? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 4. Khỏch ặ Khỏch hàng Bước 4. Khỏch ặ Khỏch hàng 9
  10. E-MarketinMarketingg E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 5. Đỏnh giỏ hiệu quả website E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 4. Thiết kế website ntn? Bài tập 4. Thiết kế website ntn? 10
  11. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 4. Thiết kế website ntn? Bài tập 4. Thiết kế website ntn? E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bài tập 4. Thiết kế website ntn? Bước 6. Lợi ớch dành cho khỏch hàng 11
  12. E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 7. Sử dụng cụng cụ mạnh Bước 7. Sử dụng cụng cụ mạnh E-Marketing E-Marketing Một số vấn đề cơ bản Một số vấn đề cơ bản Bước 8. Giỏ trị gia tăng – added value Bước 9. Sẵn sàng giao tiếp 12
  13. E-Marketing Một số vấn đề cơ bản Bước 10. Measure – Change - Measure CHUYấN ĐỀ MARKETING ĐIỆN TỬ Giảng viờn: ThS. Nguyễn Văn Thoan Trưởng Bộ mụn Thương mại điện tử Trường Đại học Ngoại thương 13
  14. Ch−ơng bốn an ton trong th−ơng mại điện tử I. vấn đề An ton cho các hệ thống th−ơng mại điện tử Th−ơng mại điện tử giúp thực hiện các giao dịch, thanh toán, marketing v gia tăng giá trị của các sản phẩm hng hoá hữu hình hoặc truyền những cơ sở dữ liệu liên quan tới thẻ tín dụng, các ph−ơng tiện thanh toán khác của khách hng. Việc đảm bảo an ton cho các thông tin trên l rất quan trọng, song đang phải đối diện với một vấn đề: lm thế no để tìm ra đ−ợc một trạng thái cân bằng hợp lý giữa một bên l an ton v một bên l tiện dụng (gồm các chức năng, các đặc tính dễ thao tác của hệ thống ny). Một hệ thống cng an ton thì khả năng xử lý, thực thi thao tác cng phức tạp. Còn ng−ợc lại, có thể sẽ không đảm bảo an ton. Ch−ơng ny sẽ nghiên cứu những vấn đề cơ bản nhất về an ton th−ơng mại điện tử v các công nghệ có thể áp dụng để đảm bảo an ton. 1. Định nghĩa an ton th−ơng mại điện tử Trong th−ơng mại truyền thống, khi đi mua hng, ng−ời mua có thể gặp những rủi ro nh− không nhận đ−ợc những hng hoá m mình đ mua v thanh toán. Nguy hiểm hơn, khách hng có thể bị những kẻ xấu lấy cắp tiền trong lúc mua sắm. Nếu l ng−ời bán hng, thì có thể không nhận đ−ợc tiền thanh toán. Thậm chí, kẻ xấu có thể lấy trộm hng hoá, hoặc có những hnh vi lừa đảo nh− thanh toán bằng thẻ tín dụng ăn cắp đ−ợc hoặc bằng tiền giả, v.v Nhìn chung, tất cả các loại tội phạm diễn ra trong môi tr−ờng th−ơng mại truyền thống đều xuất hiện trong th−ơng mại điện tử d−ới nhiều hình thức tinh vi v phức tạp hơn. Trong khi đó, việc giảm các rủi ro trong th−ơng mại điện tử l một quá trình phức tạp liên quan đến nhiều công nghệ mới, nhiều thủ tục v các chính sách tổ chức, liên quan đến những đạo luật mới v những tiêu chuẩn công nghệ mới (hình 23). Để đạt đ−ợc mức độ an ton cao trong th−ơng mại điện tử, chúng ta phải sử dụng nhiều công nghệ mới. Song, bản thân các công nghệ mới ny không thể giải quyết đ−ợc tất cả mọi vấn đề. Cần có các thủ tục v 104
  15. chính sách, tổ chức để bảo đảm cho các công nghệ trên không bị phá hỏng. Các tiêu chuẩn công nghệ v các đạo luật mới, phù hợp của chính phủ cũng cần đ−ợc áp dụng để tăng hiệu quả hoạt động của các kỹ thuật thanh toán v để theo dõi, đ−a ra xét xử những vi phạm luật pháp trong th−ơng mại điện tử. Hình 23: Môi tr−ờng an ton th−ơng mại điện tử. An ton luôn mang tính t−ơng đối . Lịch sử an ton giao dịch th−ơng mại đ chứng minh rằng, bất cứ hệ thống an ton no cũng có thể bị phá vỡ nếu không đủ sức để chống lại các cuộc tấn công. Hơn nữa, một sự an ton vĩnh viễn l không cần thiết trong thời đại thông tin . Thông tin đôi khi chỉ có giá trị trong một vi giờ, một vi ngy hoặc một vi năm v cũng chỉ cần bảo vệ chúng trong khoảng thời gian đó l đủ. An ton luôn đi liền với chi phí, cng an ton thì chi phí sẽ cng cao, vì vậy, cần cân nhắc các khoản chi phí an ton cho những đối t−ợng cần bảo vệ. V, đ an ton l cả một chuỗi liên kết v nó th−ờng đứt ở những điểm yếu nhất . Cũng giống với việc chúng ta sử dụng khoá, ổ khoá bao giờ cũng chắc chắn v có độ an ton cao hơn việc quản lý các chìa khoá. 2. Các khía cạnh của an ton th−ơng mại điện tử Bản chất của an ton l một vấn đề phức tạp, liên quan đến nhiều khía cạnh khác nhau. Đối với an ton th−ơng mại điện tử, có sáu khía cạnh cơ bản cần phải giải quyết, bao gồm: tính ton vẹn, chống phủ 105
  16. định, tính xác thực của thông tin, tính tin cậy, tính riêng t− v tính ích lợi (bảng 10). 2.1. Tính ton vẹn Tính ton vẹn đề cập đến khả năng đảm bảo an ton cho các thông tin đ−ợc hiển thị trên một website hoặc chuyển hay nhận các thông tin trên Internet. Các thông tin ny không bị thay đổi nội dung bằng bất cứ cách no bởi ng−ời không đ−ợc phép. Thí dụ, nếu một kẻ cố tình xâm nhập trái phép, chặn v thay đổi nội dung các thông tin truyền trên mạng, nh− thay đổi địa chỉ nhận đối với một chuyển khoản điện tử của ngân hng v do vậy chuyển khoản ny đ−ợc chuyển tới một ti khoản khác. Trong những tr−ờng hợp nh− vậy, tính ton vẹn của thông điệp đ bị xâm hại bởi việc truyền thông diễn ra không đúng với những gì ng−ời gửi mong muốn. Trong th−ơng mại điện tử, nếu khách hng có bất cứ nghi ngờ no về nội dung thông điệp hoặc sự trung thực của ng−ời gửi, họ có quyền đặt câu hỏi chất vấn, v các quản trị viên hệ thống sẽ l những ng−ời đầu tiên chịu trách nhiệm về các vấn đề ny. Chính vì vậy, để đảm bảo tính ton vẹn thông tin, tr−ớc tiên, các quản trị viên hệ thống phải xác định chính xác danh sách những ng−ời đ−ợc phép thay đổi dữ liệu trên website của doanh nghiệp. Cng có nhiều ng−ời đ−ợc phép lm điều ny cũng nghĩa l cng có nhiều mối đe dọa đối với tính ton vẹn thông tin từ cả bên trong v bên ngoi doanh nghiệp. Bảng 10: Những băn khoăn của khách hng v ng−ời bán hng về các khía cạnh khác nhau của an ton th−ơng mại điện tử 106
  17. Khía cạnh Băn khoăn của khách hng Băn khoăn của ng−ời bán hng Tính ton vẹn Thông tin truyền hoặc nhận đ−ợc Dữ liệu trên máy chủ (site) có bị thay có bị thay đổi không? đổi trái phép không? Các dữ liệu nhận đ−ợc từ khách hng có chắc chắn v có giá trị không? Chống phủ định Một đối tác có thể: thực hiện một Một khách hng có thể từ chối đ đặt hnh động v sau đó lại từ chối mua các sản phẩm không? các hnh động đ thực hiện đ−ợc không? Tính xác thực Ng−ời giao dịch với tôi l ai? Lm Lm thế no để nhận biết chính xác sao có thể đảm bảo đối tác đó l một khách hng của doanh nghiệp l đích thực? ai? Tính tin cậy Một ng−ời khác (ngoi những Một ai đó, ngoi những ng−ời đ−ợc ng−ời đ−ợc phép) có thể đọc các phép, có thể xem các thông điệp thông điệp của tôi đ−ợc không? hoặc tiếp cận với các thông tin bí mật của doanh nghiệp không? Tính riêng t− Có thể kiểm soát đ−ợc các thông Sử dụng các thông tin cá nhân m tin cá nhân khi gửi nó cho ng−ời khách hng cung cấp nh− thế no? bán hng trong các giao dịch Lm thế no để ngăn chặn việc sử th−ơng mại điện tử hay không? dụng trái phép các thông tin đó? Tính ích lợi Tôi có thể truy cập vo website Các website của doanh nghiệp hoạt của doanh nghiệp hay không? động tốt không? 2.2. Chống phủ định Chống phủ định liên quan đến khả năng đảm bảo rằng các bên tham gia th−ơng mại điện tử không phủ định các hnh động trực tuyến m họ đ thực hiện. Thí dụ, một ng−ời có thể dễ dng tạo lập một hộp th− điện tử qua một dịch vụ miễn phí, từ đó gửi đi những lời phê bình, chỉ trích hoặc các thông điệp v sau đó lại từ chối những việc lm ny. Thậm chí, một khách hng với tên v địa chỉ th− điện tử có thể dễ dng đặt hng trực tuyến v sau đó từ chối hnh động m mình đ thực hiện. Trong hầu hết các tr−ờng hợp nh− vậy, thông th−ờng ng−ời phát hnh thẻ tín dụng sẽ đứng về phía khách hng vì ng−ời bán hng không có trong tay bản sao chữ ký của khách hng cũng nh− không có bất cứ bằng chứng hợp pháp no chứng tỏ khách hng đ đặt hng mình. V tất nhiên, rủi ro sẽ thuộc về ng−ời bán hng. 2.3. Tính xác thực 107
  18. Tính xác thực liên quan đến khả năng nhận biết các đối tác tham gia giao dịch trực tuyến trên Internet, nh− lm thế no để khách hng chắc chắn rằng, các doanh nghiệp bán hng trực tuyến l những ng−ời có thể khiếu nại đ−ợc; hay những gì khách hng nói l sự thật; lm thế no để biết đ−ợc một ng−ời khi khiếu nại có nói đúng sự thật, có mô tả đúng sự việc hay không? 2.4. Tính tin cậy (confidentiality) v tính riêng t− Tính tin cậy liên quan đến khả năng đảm bảo rằng, ngoi những ng−ời có quyền, không ai có thể xem các thông điệp v truy cập những dữ liệu có giá trị. Trong một số tr−ờng hợp, ng−ời ta có thể dễ nhầm lẫm giữa tính tin cậy v tính riêng t−. Thực chất, đây l hai vấn đề hon ton khác nhau. Tính riêng t− liên quan đến khả năng kiểm soát việc sử dụng các thông tin cá nhân m khách hng cung cấp về chính bản thân họ. Có hai vấn đề m ng−ời bán hng phải chú ý đối với tính riêng t−: 1) Ng−ời bán hng cần thiết lập các chính sách nội bộ để có thể quản lý việc sử dụng các thông tin về khách hng; 2) Họ cần bảo vệ các thông tin đó tránh sử dụng vo những mục đích không chính đáng hoặc tránh sử dụng trái phép các thông tin ny. Thí dụ, khi tin tặc tấn công vo các website th−ơng mại điện tử, truy nhập các thông tin về thẻ tín dụng v các thông tin khác của khách hng, trong tr−ờng hợp đó, không chỉ xâm phạm đến tính tin cậy của dữ liệu m còn vi phạm riêng t− của các cá nhân, những ng−ời đ cung cấp các thông tin đó. 2.5. Tính ích lợi Tính ích lợi liên quan đến khả năng đảm bảo các chức năng của một website th−ơng mại điện tử đ−ợc thực hiện đúng nh− mong đợi. Đây cũng l vấn đề m các website hay gặp phải v l trở ngại không nhỏ đối với việc thực hiện các giao dịch trực tuyến trên Internet. Có thể nói, vấn đề an ton trong th−ơng mại điện tử đ−ợc xây dựng trên cơ sở bảo vệ sáu khía cạnh nói trên, khi no một trong số các khía cạnh ny ch−a đ−ợc đảm bảo, sự an ton trong th−ơng mại điện tử vẫn ch−a đ−ợc thực hiện triệt để. II. những nguy cơ đe doạ an ton th−ơng mại điện tử 108
  19. Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công v tổn th−ơng khi thực hiện các giao dịch th−ơng mại điện tử, đó l hệ thống của khách hng, máy chủ của doanh nghiệp v đ−ờng dẫn thông tin (communications pipeline) (hình 24). Hình 24: Những điểm yếu trong môi tr−ờng th−ơng mại điện tử. Có bảy dạng nguy hiểm nhất đối với an ton của các website v các giao dịch th−ơng mại điện tử, bao gồm: các đoạn m nguy hiểm, tin tặc v các ch−ơng trình phá hoại, trộm cắp/ gian lận thẻ tín dụng, lừa đảo, kh−ớc từ phục vụ, nghe trộm v sự tấn công từ bên trong doanh nghiệp. 1. Các đoạn m nguy hiểm (malicious code) Các đoạn m nguy hiểm bao gồm nhiều mối đe doạ khác nhau nh− các loại virus, worm, những “con ngựa thnh Tơroa”, “bad applets”. Một virus l một ch−ơng trình máy tính, nó có khả năng nhân bản hoặc tự tạo các bản sao của chính mình v lây lan sang các ch−ơng trình, các tệp dữ liệu khác trên máy tính. Bên cạnh khả năng nhân bản (tự tái tạo), hầu hết các virus máy tính đều nhằm thực hiện một “ m−u đồ ” no đó. Đây có thể l những “ m−u đồ nhân từ ”, chẳng hạn nh− hiển thị một thông điệp hay một hình ảnh, hoặc cũng có thể l những “ m−u đồ hiểm độc ” có tác hại ghê gớm nh− phá huỷ các ch−ơng trình, các tệp dữ liệu, xoá sạch các thông tin hoặc định dạng lại ổ đĩa cứng của máy 109
  20. tính, tác động v lm lệch lạc khả năng thực hiện của các ch−ơng trình, các phần mềm hệ thống. Loại virus phổ biến nhất hiện ny l virus macro (macro virus), chiếm từ 75% đến 80% trong tổng số các loại virus đ−ợc phát hiện 1. Đây l loại virus đặc biệt, chỉ nhiễm vo các tệp ứng dụng đ−ợc soạn thảo, chẳng hạn nh− các tệp văn bản của Microsoft Word, Excel v PowerPoint. Khi ng−ời sử dụng mở các ti liệu bị nhiễm virus trong các ch−ơng trình ứng dụng, virus ny sẽ tự tạo ra các bản sao v nhiễm vo các tệp chứa đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các ti liệu khác. Virus macro cũng có thể dễ lây lan khi gửi th− điện tử có đính kèm tệp văn bản. Loại virus tệp (fileinfecting virus) l những virus th−ờng lây nhiễm vo các tệp tin có thể thực thi, nh− các tệp tin có đuôi l *.exe, *.com, *.drv v *.dll. Virus ny sẽ hoạt động khi chúng ta thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chính mình ở trong các tệp tin khác đang đ−ợc thực thi tại thời điểm đó trên hệ thống. Loại virus tệp ny cũng dễ dng lây nhiễm qua con đ−ờng th− điện tử v các hệ thống truyền tệp khác. Loại virus script (script virus) l một tập các chỉ lệnh trong các ngôn ngữ lập trình chẳng hạn nh− VBScript (Visual Basic Script) v JavaScript. Virus ny sẽ hoạt động khi chúng ta chạy một tệp ch−ơng trình dạng *.vbs hay *.js có nhiễm virus. Virus “I LOVE YOU” (hay còn gọi l virus tình yêu ), loại virus chuyên ghi đè lên các tệp *.jpg v *.mp3, l một ví dụ điển hình của loại virus ny. Trong thực tế, các loại virus nh− virus macro, virus tệp, virus script th−ờng kết nối với một worm *. Thay vì chỉ lây nhiễm từ tệp tới tệp, worm l một loại virus có khả năng lay nhiễm từ máy tính ny sang máy tính khác. Một worm có khả năng tự nhân bản m không cần ng−ời sử dụng hay các ch−ơng trình phải kích hoạt nó. Thí dụ, virus ILOVEYOU vừa l một virus script, vừa l một worm. Nó có khả năng lây nhiễm rất nhanh qua con đ−ờng th− điện tử bằng cách tự gửi bản 1 Xem: Study on Computer Crime, International Computer Security Association, 2000. * Còn gọi l sâu máy tính , một loại vi rút máy tính chuyên tìm kiếm mọi dữ liệu trong bộ nhớ hoặc trong đĩa lm thay đổi nội dung bất kỳ dữ liệu no m nó gặp. Hnh động thay đổi ny có thể l chuyển các ký tự no đó thnh các con số, hoặc l tráo đổi các byte đ−ợc l−u trữ trong bộ nhớ. Một số ch−ơng trình vẫn còn có thể chạy đ−ợc, nh−ng th−ờng dữ liệu đ bị hỏng (sai lệch) không phục hồi đ−ợc. 110
  21. sao của mình tới 50 địa chỉ th− điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook của ng−ời sử dụng. Khác với các loại khác, virus Con ngựa thnh Tơroa ban đầu d−ờng nh− vô hại nh−ng sau đó có thể mang đến nhiều tai hoạ không ngờ. Bản thân nó không phải l một loại virus bởi không có khả năng tự nhân bản, nh−ng chính nó lại tạo cơ hội để các loại virus nguy hiểm khác xâm nhập vo các hệ thống máy tính. Chính bởi vậy nó mới có tên l Con ngựa thnh Tơroa *. Nó xuất hiện vo cuối năm 1989, đ−ợc ngụy trang d−ới những thông tin về AIDS. Hơn 10.000 bản sao trên đĩa máy tính, từ một địa chỉ ở Luân Đôn đ đ−ợc gửi cho những công ty, các hng bảo hiểm, v các chuyên gia bảo vệ sức khỏe trên khắp châu Âu v Bắc Mỹ. Những ng−ời nhận đ nạp đĩa vo máy tính, ngay sau đó họ phát hiện ra đó l một “con ngựa thnh Tơroa” ác hiểm, đ xóa sạch các dữ liệu trên đĩa cứng của họ. Những con ngựa thnh Tơroa cũng có thể giả dạng các ch−ơng trình trò chơi, nh−ng thực chất giấu bên trong một đoạn ch−ơng trình có khả năng đánh cắp mật khẩu th− điện tử của một ng−ời v gửi nó cho một ng−ời khác. Applet l một ch−ơng trình ứng dụng nhỏ đ−ợc nhúng trong một phần mềm thực hiện một nhiệm vụ cụ thể, thí dụ nh− Cardfile v Calculator có sẵn trong Microsoft Windows hay các Java applet v các trình điều khiển ActiveX chạy trong các ch−ơng trình duyệt Web lm tăng khả năng t−ơng tác của các website Các bad applet có thể coi l những đoạn m di động nguy hiểm (malicious mobile code), bởi khi ng−ời sử dụng tìm kiếm thông tin hoặc tải các ch−ơng trình từ một website có chứa bad applet, nó sẽ lây sang hệ thống của ng−ời sử dụng v ảnh h−ởng tới các ch−ơng trình hoạt động trên hệ thống ny. Tóm lại, các loại m nguy hiểm nêu trên l mối đe doạ không chỉ đối với hệ thống của ng−ời sử dụng m cả các hệ thống của tổ chức, cho dù các hệ thống ny luôn đ−ợc bảo vệ kỹ l−ỡng. Các loại m nguy hiểm đang v sẽ còn gây ra những tác hại nghiêm trọng, đe doạ tính ton vẹn v khả năng hoạt động liên tục, thay đổi các chức năng, thay đổi nội dung dữ liệu hoặc đôi khi lm ng−ng trệ ton bộ hoạt động của nhiều hệ * Theo thần thoại Hy Lạp, các chiến binh công phá thnh Tơroa đ lm một con ngựa gỗ khổng lồ v chui vo trong chờ sẵn. Trong một cuộc giao chiến, họ vờ bỏ lại con ngựa. Quân giữ thnh coi nó nh− một chiến lợi phẩm v kéo ngựa vo thnh. Đêm đến, các chiến binh từ bụng ngựa chui ra, mở cổng cho quân bên ngoi tấn công. Thnh Tơroa bị thất thủ vì m−u kế ny. Tục ngữ “Con ngựa thnh Tơroa”, giống với tục ngữ của Việt Nam “Nuôi ong tay áo”. 111
  22. thống V, nó cũng chính l một trong những mối đe doạ lớn nhất đối với an ton của các giao dịch th−ơng mại điện tử hiện nay. Bảng 11: Một số loại m nguy hiểm (malicious code) Tên Kiểu Mô tả Melissa Virus macro/ Bị phát hiện lần đầu tiên vo năm 1999. Tại thời điểm đó, worm Melisa đ lây nhiễm vo các ch−ơng trình trong phạm vi rộng lớn tr−ớc khi bị phát hiện. Loại m ny tấn công vo tệp khuôn mẫu chung (normal.dot) của Microsoft Word v nhiễm vo tất cả các ti liệu mới đ−ợc tạo ra. Một th− điện tử dạng tệp ti liệu Word nếu nhiễm loại m ny sẽ lây sang 50 ng−ời khác trong sổ địa chỉ Microsoft Outlook của ng−ời sử dụng. ILOVEYOU Virus script/ ILOVEYOU tấn công vo tháng 52000. Nó v−ợt qua worm Melisa v trở thnh một loại virus lây nhiễm nhanh nhất. Nó sử dụng Microsoft Outlook để gửi đi các thông điệp có đính kèm tệp “LoveLetterForYou.TXT.vbs”. Khi mở tệp ny, virus sẽ xoá ton bộ các tệp .mp3 v .jpg. Loại virus ny sử dụng Microsoft Outlook v ch−ơng trình mIRC để tự nhân bản v thâm nhập vo các hệ thống khác. ExploreZip Con ngựa ExploreZip bị phát hiện lần đầu tiên vo tháng 61999 v thnh Tơroa/ sử dụng Microsoft Outlook để tự nhân bản. Khi mở ra, loại worm virus ny tự tìm kiếm một số tệp v lm giảm dung l−ợng của các tệp ny xuống 0 (zero), lm cho các tệp ny không thể sử dụng v không thể khôi phục đ−ợc. Chernobyl Virus tệp Loại virus ny bị phát hiện lần đầu năm 1998 v vô cùng nguy hiểm. Vo ngy 264 hng năm, ngy kỷ niệm vụ nổ nh máy điện nguyên tử Chernobyl, nó sẽ xoá sạch 1Mb dữ liệu đầu tiên trên đĩa cứng khiến cho các phần còn lại không thể hoạt động đ−ợc. 2. Tin tặc (hacker) v các ch−ơng trình phá hoại (cybervandalism) Tin tặc (hay tội phạm máy tính ) l thuật ngữ dùng để chỉ những ng−ời truy nhập trái phép vo một website hay hệ thống máy tính. Thực chất, đây l những ng−ời quá say mê máy tính, thích tìm hiểu mọi điều về máy tính thông qua việc lập trình thông minh. Để đùa nghịch, họ đ lợi dụng những điểm yếu trong hệ thống bảo vệ các website hoặc lợi dụng một trong những −u điểm của Internet đó l một hệ thống mở, dễ 112
  23. sử dụng tấn công nhằm phá hỏng những hệ thống bảo vệ các website hay các hệ máy tính của các tổ chức, các chính phủ v tìm mọi biện pháp để đột nhập vo những hệ thống đó. Luật pháp coi các hnh vi ny l tội phạm. Mục tiêu của các tội phạm loại ny rất đa dạng, đó có thể l hệ thống dữ liệu của các website th−ơng mại điện tử, hoặc với ý đồ nguy hiểm hơn, chúng có thể sử dụng các ch−ơng trình phá hoại (cybervandalism) nhằm gây ra các sự cố, lm mất uy tín hoặc phá huỷ các website trên phạm vi ton cầu. Thí dụ, vo ngy 0142001, tin tặc đ sử dụng các ch−ơng trình phá hoại tấn công vo các máy chủ có sử dụng phần mềm Internet Information Server của Microsoft nhằm lm giảm uy tín của phần mềm ny v rất nhiều “nạn nhân” nh− Hng hoạt hình Walt Disney, Nhật báo Phố Wall, Hng xiếc Ringling Brothers and Barnum & Bailey thuộc Tập đon giải trí Feld Entertainment, Inc., Hội chống ng−ợc đi động vật Hoa Kỳ (ASPCA The American Society for the Prevention of Cruelty to Animals) đ phải gánh chịu hậu quả. Đặc biệt, một số tổ chức tội phạm đ sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị hoặc t−ơng tự nh− vậy. Điển hình l vụ tấn công của tin tặc Hn Quốc vo các website của Bộ Giáo dục Nhật Bản (tháng 42001), nhằm phản đối những cuốn sách giáo khoa phản ánh sai lệch lịch sử do Nhật Bản xuất bản. Tuy nhiên, bên cạnh những tên tội phạm máy tính nguy hiểm, cũng có nhiều “hacker tốt bụng”. Bằng việc xâm nhập qua hng ro an ton của các hệ thống máy tính, những ng−ời ny giúp phát hiện v sửa chữa những điểm yếu, những kẽ hở trong một hệ thống an ton. Tất nhiên, các tin tặc loại ny không bị truy tố vì những thiện chí của họ. 3. Gian lận thẻ tín dụng Trong th−ơng mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong tr−ờng hợp thẻ tín dụng bị mất, bị đánh cắp; các thông tin về số thẻ, m số định danh cá nhân (PIN), các thông tin về khách hng bị tiết lộ v sử dụng bất hợp pháp; hoặc trong tr−ờng hợp xảy ra những rủi ro nh− trình by trong phần Các rủi ro trong thanh toán thẻ (Ch−ơng ba Thanh toán trong th−ơng mại điện tử ). Trong th−ơng mại điện tử, các hnh vi gian lận thẻ tín dụng xảy ra đa dạng v phức tạp hơn nhiều so với trong th−ơng mại truyền thống. Nếu nh− trong th−ơng mại truyền thống, việc mất thẻ hoặc thẻ bị đánh 113
  24. cắp l mối đe doạ lớn nhất đối với khách hng, thì trong th−ơng mại điện tử mối đe doạ lớn nhất l bị “mất” các thông tin liên quan đến thẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ra giao dịch. Các tệp chứa dữ liệu thẻ tín dụng của khách hng th−ờng l những mục tiêu hấp dẫn đối với tin tặc khi tấn công vo các website. Hơn thế nữa, những tên tội phạm có thể đột nhập vo các website th−ơng mại điện tử, lấy cắp các thông tin cá nhân của khách hng nh− tên, địa chỉ, điện thoại Với những thông tin ny, chúng có thể mạo danh khách hng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích đen tối. V cuối cùng, đối với ng−ời bán hng, một trong những đe doạ lớn nhất có thể xảy ra đó l sự phủ định đối với các đơn đặt hng quốc tế. Trong tr−ờng hợp một khách hng quốc tế đặt hng v sau đó từ chối hnh động ny, ng−ời bán hng trực tuyến th−ờng không có cách no để xác định rằng thực chất hng hoá đ đ−ợc giao tới tay khách hng hay ch−a v chủ thẻ tín dụng có thực sự l ng−ời đ thực hiện đơn đặt hng hay không. Để giải quyết các vấn đề nêu trên, rất nhiều biện pháp v công nghệ đ đ−ợc triển khai v áp dụng (một số biện pháp cơ bản sẽ đ−ợc trình by ở phần sau), nh−ng cho đến nay, nhiều doanh nghiệp th−ơng mại điện tử vẫn đang phải gánh chịu những hậu quả nghiêm trọng do những hnh vi gian lận ny gây ra. 4. Sự lừa đảo Lừa đảo trong th−ơng mại điện tử l việc tin tặc sử dụng các địa chỉ th− điện tử giả hoặc mạo danh một ng−ời no đó thực hiện những m−u đồ bất chính. Sự lừa đảo cũng có thể liên quan đến việc thay đổi hoặc lm chệch h−ớng các liên kết Web tới một địa chỉ khác với địa chỉ thực hoặc tới một website giả mạo website thực cần liên kết. Những liên kết ny có thể sẽ h−ớng ng−ời sử dụng tới những website vô bổ, ngoi mong muốn nhằm thực hiện những m−u đồ của tin tặc. Cho dù các hnh vi lừa đảo không lm nguy hại trực tiếp các tệp dữ liệu hoặc các máy chủ mạng nh−ng nó đe doạ tính ton vẹn của một website. Nếu những kẻ tin tặc lm chệch h−ớng khách hng tới một website giả mạo, giống hệt website m khách hng dự định giao dịch, chúng có thể thu thập các thông tin về đơn đặt hng v thực hiện các đơn đặt hng ăn cắp đ−ợc, những đơn đặt hng m lẽ ra phải thuộc về 114
  25. chủ nhân của những website thật. Hoặc, với mục đích lm mất thanh danh hoặc uy tín của các doanh nghiệp, tin tặc có thể lm thay đổi nội dung các đơn đặt hng, nh− thay đổi số l−ợng hay tên các mặt hng cần mua, sau đó gửi các đơn hng đ bị thay đổi tới các website thật. Tất nhiên, khi nhận đ−ợc những hng hoá không phù hợp, khách hng sẽ không thể chấp nhận những sai sót ny. V trong những tr−ờng hợp nh− vậy, doanh nghiệp sẽ l ng−ời gánh chịu tất cả, vừa mất uy tín, vừa phải chịu ton bộ các chi phí của quá trình thực hiện đơn đặt hng. Các hnh vi lừa đảo không những đe doạ tính ton vẹn, m còn đe doạ tính xác thực của các giao dịch th−ơng mại điện tử. Với những trò ranh ma của mình, tin tặc có thể lm cho các giao dịch th−ơng mại điện tử trở thnh “trắng đen lẫn lộn” v cả doanh nghiệp lẫn khách hng khó đều có thể xác định đ−ợc đâu l thật, đâu l giả. 5. Sự kh−ớc từ phục vụ (DoS Denial of Service) Sự kh−ớc từ phục vụ (DoS Denial of Service) của một website l hậu quả của việc tin tặc sử dụng những giao thông vô ích lm trn ngập v dẫn tới tắc nghẽn mạng truyền thông, hoặc sử dụng số l−ợng lớn máy tính tấn công vo một mạng (d−ới dạng các yêu cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ. Những cuộc tấn công DoS có thể l nguyên nhân khiến cho mạng máy tính ngừng hoạt động v trong thời gian đó, ng−ời sử dụng sẽ không thể truy cập vo các website. Đối với những website th−ơng mại điện tử náo nhiệt nh− eBay.com hay Buy.com, những tấn công ny cũng đồng nghĩa với những khoản chi phí vô cùng lớn, vì trong thời gian website ngừng hoạt động, khách hng không thể thực hiện các giao dịch mua bán. V sự gián đoạn hoạt động ny sẽ ảnh h−ởng tới uy tín v tiếng tăm của doanh nghiệp, những điều không dễ dng gì lấy lại đ−ợc. Mặc dù những cuộc tấn công ny không phá huỷ thông tin hay truy cập vo những vùng cấm của máy chủ nh−ng tạo ra nhiều phiền toái, ngây trở ngại cho hoạt động của nhiều doanh nghiệp. Thí dụ, tháng 22000, các vụ tấn công DoS từ bọn tin tặc l nguyên nhân dẫn tới ngừng hoạt động của hng loạt website trên thế giới trong nhiều giờ: eBay ngừng hoạt động trong 5 giờ, Amazon gần 4 giờ, CNN gần 3,5 giờ, ETrade gần 3 giờ, Yahoo, Buy.com v ZDNet cũng ngừng hoạt động từ 34 giờ 1; ngay 1 Xem: Mike McConnell, Security and the Internet , Wall Street Journal, 1722000. 115
  26. cả ng−ời khổng lồ Microsoft cũng đ từng phải gánh chịu hậu quả của những cuộc tấn công ny. Cho đến nay, cả thế giới đang hy vọng tìm ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công t−ơng tự trong t−ơng lai. 6. Kẻ trộm trên mạng Kẻ trộm trên mạng (sniffer) l một dạng của ch−ơng trình nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Khi sử dụng vo những mục đích hợp pháp, nó có thể giúp phát hiện các yếu điểm của mạng, nh−ng ng−ợc lại, nếu sử dụng vo các mục đích phạm tội, nó sẽ trở thnh những mối hiểm hoạ lớn v rất khó có thể phát hiện. Kẻ trộm cũng có thể l chính những tên tin tặc, chuyên ăn cắp các thông tin có giá trị nh− thông điệp th− điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật từ bất cứ nơi no trên mạng. Xem lén th− tín điện tử l một dạng mới của hnh vi trộm cắp trên mạng. Kỹ thuật xem lén th− điện tử sử dụng một đoạn m ẩn bí mật gắn vo một thông điệp th− điện tử, cho phép ng−ời no đó có thể giám sát ton bộ các thông điệp chuyển tiếp đ−ợc gửi đi cùng với thông điệp ban đầu. Chẳng hạn, một nhân viên phát hiện thấy lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo cho cấp trên thông báo phát hiện của mình. Ng−ời ny, sau đó, sẽ tiếp tục gửi thông báo tới tất cả các bộ phận có liên quan trong doanh nghiệp. Một kẻ no đó, sử dụng kỹ thuật xem lén th− điện tử, có thể theo dõi v biết đ−ợc ton bộ thông tin trong các bức th− điện tử gửi tiếp sau đó bn về vấn đề ny. V sẽ rất nguy hiểm nếu nh− các thông tin bí mật trong nội bộ doanh nghiệp bị kẻ xấu biết đ−ợc v sử dụng v những mục đích bất chính. Đối với th−ơng mại điện tử, trộm cắp trên mạng đang l một mối nguy hại lớn đe doạ tính bảo mật của các các dữ liệu kinh doanh quan trọng. Nạn nhân của nó không chỉ l các doanh nghiệp m cả những cá nhân, những ng−ời có tham gia th−ơng mại điện tử. 7. Sự tấn công từ bên trong doanh nghiệp Trong kinh doanh, chúng ta th−ờng cho rằng những mối đe doạ an ton có nguồn gốc từ những yếu tố bên ngoi doanh nghiệp, nh−ng thực chất những đe doạ ny không chỉ đến từ bên ngoi m có thể bắt nguồn từ chính những thnh viên lm việc trong doanh nghiệp. Trong th−ơng 116
  27. mại điện tử cũng vậy. Có nhiều website th−ơng mại điện tử bị phá huỷ, nhiều doanh nghiệp th−ơng mại điện tử phải gánh chịu hậu quả do dịch vụ bị ng−ng trệ, do bị lộ các thông tin cá nhân hay các dữ liệu tín dụng của khách hng m thủ phạm chính l những nhân viên lm việc trong doanh nghiệp, những ng−ời đ từng đ−ợc tin t−ởng v trọng dụng. Những nhân viên lm việc trong doanh nghiệp có thể truy cập các thông tin bí mật, hoặc xâm nhập tới mọi nơi trong hệ thống thông tin của tổ chức nếu nh− những biện pháp bảo mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy, trong nhiều tr−ờng hợp, hậu quả của những đe doạ loại ny còn nghiêm trọng hơn những vụ tấn công từ bên ngoi doanh nghiệp. Thí dụ nh− tr−ờng hợp của Joe Oquendo. Joe Oquendo l một chuyên gia bảo mật máy tính của Collegeboardwalk.com, ng−ời đ−ợc phép lm việc cùng văn phòng v chia sẻ thông tin trên mạng máy tính của hng Five Partners Asset Management, một nh đầu t− của Collegeboardwalk.com. Lợi dụng quyền hạn của mình, Oquendo đ thay đổi các câu lệnh khởi động mạng của Five Partners để hệ thống ny tự động gửi các tệp mật khẩu tới một ti khoản th− điện tử do anh ta kiểm soát mỗi khi hệ thống của Five Partners khởi động lại. Sau khi Collegeboardwalk.com phá sản, Oquendo đ bí mật ci đặt một ch−ơng trình nghe trộm nhằm ngăn chặn v ghi lại các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không m hoá. Oquendo bị bắt khi đang sử dụng ch−ơng trình nghe trộm để bẫy mật khẩu mạng máy tính của một công ty khác với mục đích xoá ton bộ cơ sở dữ liệu của công ty ny. III. Một số giải pháp công nghệ đảm bảo an ton trong th−ơng mại điện tử An ton đang trở thnh một trong những vấn đề đ−ợc quan tâm nhất khi tiến hnh th−ơng mại điện tử. D−ới đây l một số công cụ v kỹ thuật cơ bản đảm bảo an ton cho các hệ thống, các website v các hoạt động th−ơng mại điện tử. 1. Kỹ thuật m hoá thông tin M hoá thông tin l quá trình chuyển các văn bản hay các ti liệu gốc thnh các văn bản d−ới dạng mật m để bất cứ ai, ngoi ng−ời gửi v ng−ời nhận, đều không thể đọc đ−ợc. Mục đích của kỹ thuật m hoá l: đảm bảo an ton cho các thông tin đ−ợc l−u giữ, v đảm bảo an ton 117
  28. cho thông tin khi truyền phát. M hoá l một kỹ thuật khá phổ biến, có khả năng đảm bảo bốn trong sáu khía cạnh an ton của th−ơng mại điện tử gồm có: Đảm bảo tính ton vẹn của thông điệp; Chống phủ định; Đảm bảo tính xác thực; Đảm bảo tính bí mật của thông tin. Quá trình m hoá thông tin đ−ợc thực hiện trên cơ sở sử dụng một khoá (hay còn gọi l m ). Khoá (m) chính l ph−ơng pháp để chuyển văn bản gốc thnh văn bản m hoá. M hoá thông tin l một kỹ thuật đ−ợc sử dụng rất sớm trong các ti liệu viết tay cũng nh− trong các giao dịch th−ơng mại. Ng−ời Ai Cập cổ đại v ng−ời Phênixi đ từng m hoá các văn bản th−ơng mại của họ bằng ph−ơng pháp thay thế v hoán vị. Trong ph−ơng pháp m hoá thay thế, các ký tự đ−ợc thay thế có hệ thống bằng các ký tự khác. Thí dụ, nếu chúng ta sử dụng m thay thế l “ký tự cộng thêm hai”, nghĩa l thay thế một ký tự bằng một ký tự đứng sau nó hai vị trí trong bảng chữ cái, nh− vậy từ “echop” ở dạng văn bản gốc sẽ đ−ợc viết thnh “gejqr” d−ới dạng m hoá. Trong ph−ơng pháp m hoá hoán vị, trật tự các ký tự trong từ đ−ợc thay đổi theo một cách thức nhất định. Thí dụ, Leonardo De Vinci đ từ ghi lại các thông báo ở cửa hng của ông theo một trật tự đảo ng−ợc, nghĩa l chỉ có thể đọc đ−ợc nếu nhìn trong g−ơng, theo đó từ “echop” ở dạng văn bản gốc sẽ đ−ợc m hoá thnh “pohce”. Ngoi ra, có thể dùng nhiều ph−ơng pháp m hoá đơn giản khác nh− ngắt có hệ thống các ký tự của một từ hoặc giữ nguyên một ký tự nhất định (ký tự đầu tiên trong từ chẳng hạn) v đảo vị trí hoặc thay đổi các ký tự còn lại Trong thời đại ngy nay, hai kỹ thuật cơ bản th−ờng đ−ợc sử dụng để m hoá thông tin trên Internet l m hoá “khoá đơn” hay m hoá “khoá bí mật” v m hoá “khoá công cộng”. 1.1. M hoá khoá bí mật M hoá khoá bí mật , còn gọi l m hoá đối xứng hay m hoá khoá riêng , l sử dụng một khoá cho cả quá trình m hoá (đ−ợc thực hiện bởi ng−ời gửi thông tin) v quá trình giải m (đ−ợc thực hiện bởi ng−ời 118
  29. nhận). Quá trình m hoá khoá bí mật đ−ợc thực hiện nh− sau: Một khách hng (Anne) muốn gửi tới ng−ời bán hng (Bob) một đơn đặt hng, nh−ng chỉ muốn một mình Bob có thể đọc đ−ợc. Anne m hoá đơn đặt hng (d−ới dạng văn bản gốc) của mình bằng một m khoá rồi gửi đơn đặt hng đ m hoá đó cho Bob. Tất nhiên, ngoi Bob v Anne ra, không ai có thể đọc đ−ợc nội dung thông điệp lộn xộn đ m hoá. Khi nhận đ−ợc thông điệp m hoá, Bob giải m thông điệp ny bằng khoá giải m v đọc các thông tin của đơn đặt hng. Điều đáng chú ý l trong kỹ thuật m hoá khoá bí mật, khoá để m hoá thông điệp v khoá để giải m thông điệp giống nh− nhau (hình 25). Ng−ời gửi thông điệp sử dụng một khoá mật m để m hoá thông điệp v ng−ời nhận thông điệp cũng sử dụng một khoá nh− vậy để đọc mật m hoặc giải m thông điệp. Kỹ thuật m hoá khoá bí mật ny đ đ−ợc IBM phát triển, áp dụng cho các cơ quan của Chính phủ Mỹ năm 1977 đ−ợc gọi l Tiêu chuẩn m hoá dữ liệu (DES Data encryption standard). Hình 25: Ph−ơng pháp m hoá khoá riêng. Kỹ thuật m hoá khoá bí mật l một ph−ơng pháp m hoá thông tin hữu dụng trong nhiều tr−ờng hợp. Tuy nhiên, nó cũng có những hạn chế: Các bên tham gia trong quá trình m hoá cần phải tin t−ởng nhau v phải chắc chắn rằng, bản sao của m hoá đang đ−ợc các đối tác bảo vệ cẩn mật. Thêm vo đó, nếu ng−ời gửi v ng−ời nhận thông điệp ở hai nơi khác nhau, họ phải đảm bảo rằng, khi họ gặp mặt hoặc sử dụng một ph−ơng tiện thông tin liên tác chung (hệ thống điện thoại, dịch vụ b−u chính ) để trao m khoá cho nhau không bị ng−ời khác nghe trộm hay bị lộ m khoá, bởi vì nếu nh− vậy, những ng−ời ny sau đó có thể sử dụng m khoá để đọc lén các thông điệp m các bên gửi cho nhau. Điều ny lm xuất hiện những trở ngại lớn trong việc quản lý (tạo, phân phối v l−u giữ) các m khoá. 119
  30. Sử dụng ph−ơng pháp m hoá khoá bí mật, một doanh nghiệp rất khó có thể thực hiện việc phân phối an ton các m khoá bí mật với hng ngn khách hng trực tuyến của mình trên những mạng thông tin rộng lớn. V, doanh nghiệp sẽ phải bỏ ra những chi phí không nhỏ cho việc tạo một m khoá riêng v chuyển m khoá đó tới một khách hng bất kỳ trên Internet khi họ có nhu cầu giao dịch với doanh nghiệp. Với những hạn chế trên, kỹ thuật m hoá khoá bí mật khó có thể trở thnh ph−ơng pháp m hoá thuận tiện sử dụng trong các giao dịch th−ơng mại điện tử. Để có thể dễ dng đảm bảo an ton cho các giao dịch trên Internet cần có những kỹ thuật m hoá khác thuận tiện v hiệu quả hơn, v kỹ thuật m hoá khoá công cộng đ ra đời. 1.2. M hoá khoá công cộng Khác với khoá bí mật, m hoá khoá công cộng (còn gọi l m hoá không đối xứng) sử dụng hai m khoá trong quá trình m hoá: một m khoá dùng để m hoá thông điệp v một m khoá khác dùng để giải m. Hai m khoá ny có quan hệ với nhau về mặt thuật toán sao cho dữ liệu đ−ợc m hoá bằng khoá ny sẽ đ−ợc giải m bằng khoá kia (hình 26). Nh− vậy thực chất, ph−ơng pháp m hoá ny dùng một cặp m khoá cho quá trình m hoá: một m khoá gọi l m khoá công cộng v một l m khoá riêng. M khoá công cộng l m khoá có thể công khai cho nhiều ng−ời biết, còn m khoá riêng đ−ợc giữ bí mật v chỉ mình chủ nhân của nó đ−ợc biết. Tất nhiên, cả hai m khoá ny đều đ−ợc bảo vệ tránh bị đánh cắp hoặc thay đổi. Hình 26: Ph−ơng pháp m hoá khoá công cộng. Thuật toán m hoá công cộng phổ biến nhất đó l thuật toán RSA, chữ cái đầu tên của ba nh phát minh l R. Rivest, A. Shamir v L. Adleman (Viện Công nghệ Massachusetts). Theo ph−ơng pháp RSA, mỗi 120
  31. bên đối tác sẽ tạo ra một cặp m khoá duy nhất, một m khoá công cộng đ−ợc sắp xếp, l−u giữ công khai ở một th− mục công cộng; v một m khoá riêng, đ−ợc cất giữ cẩn mật. Cặp m khoá ny sẽ hoạt động cùng nhau, các dữ liệu đ−ợc “khoá” bằng m khoá ny chỉ có thể “mở” bằng m khoá kia. Thí dụ, một cô gái muốn gửi một thông điệp th− điện tử cho bạn trai mình, việc đầu tiên, cô sẽ tìm m khoá công cộng của anh ta v sử dụng m khoá đó để m hoá bức th− của mình. Khi bạn trai của cô nhận đ−ợc bức th−, anh ta sẽ dùng m khoá riêng (do anh ta cất giữ) để chuyển đổi bức th− m hoá v nội dung của bức th− đó sẽ đ−ợc hiện lên trên mn hình máy tính d−ới dạng văn bản gốc, hon ton có thể đọc đ−ợc. Trong tr−ờng hợp ny, cô gái có thể tin t−ởng thông điệp m mình đ gửi chỉ có thể đ−ợc giải m bằng m khoá riêng duy nhất của bạn trai cô. Điều ny giúp đảm bảo tính ton vẹn thông điệp vì cho dù nó bị những kẻ tội phạm chặn lại trên đ−ờng truyền, chúng cũng không thể đọc đ−ợc nội dung thông điệp vì không có m khoá riêng do chủ nhân đích thực của cặp khoá cất giữ. So sánh ph−ơng pháp m hoá khoá công cộng với ph−ơng pháp m hoá khoá bí mật, cả hai ph−ơng pháp ny đều có những −u v nh−ợc điểm riêng (bảng 12). Việc sử dụng ph−ơng pháp no sẽ do chính các bên quyết định căn cứ vo mức độ cần bảo mật v môi tr−ờng hoạt động giao dịch. Tuy nhiên, ph−ơng pháp m hoá khoá công cộng rất phù hợp khi có nhiều bên cùng tham gia vo quá trình truyền thông trên mạng bởi vì trong những tr−ờng hợp nh− vậy, các bên rất khó có thể tin t−ởng lẫn nhau cũng nh− khó có thể chia xẻ cùng một m khoá bí mật. Đây chính l các đặc điểm cơ bản của các giao dịch th−ơng mại điện tử trên Internet. Bảng 12: So sánh ph−ơng pháp m hoá khoá riêng v m hoá khoá công cộng Đặc điểm M hoá khoá riêng M hoá khoá công cộng Số khoá Một khoá đơn Một cặp khoá Loại khoá Khoá bí mật Một khoá riêng v một khoá chung Quản lý khoá Đơn giản, nh−ng khó quản lý Yêu cầu các chứng thực điện tử v bên tin cậy thứ ba Tốc độ giao dịch Nhanh Chậm Sử dụng Sử dụng để m hoá những Sử dụng đối với những ứng dụng có nhu 121
  32. dữ liệu lớn (hng loạt) cầu m hoá nhỏ hơn nh− m hoá các ti liệu nhỏ hoặc để ký các thông điệp Một ph−ơng pháp m khoá công cộng khác, đ−ợc sử dụng phổ biến trong các giao dịch trực tuyến đó l chữ ký điện tử. Trong môi tr−ờng số hoá, các ti liệu nói chung v các văn bản nói riêng khi gửi đi, trong nhiều tr−ờng hợp, gắn liền với trách nhiệm của ng−ời ban hnh v đòi hỏi đảm bảo an ton ở một mức độ nhất định. Cũng giống nh− trong truyền thống, ở những tr−ờng hợp nh− vậy ng−ời ta sẽ sử dụng chữ ký điện tử (Electronic signature) hay chữ ký số hoá (Digital signature). Về mối quan hệ giữa văn bản điện tử v chữ ký điện tử, Điều 7, Ch−ơng II, Đạo luật mẫu về th−ơng mại điện tử (do Uỷ ban Liên hợp quốc về Luật Th−ơng mại quốc tế ) quy định: “Trong tr−ờng hợp pháp luật đòi hỏi phải có chữ ký (điện tử) của một ng−ời no đó, thì thông điệp dữ liệu (văn bản) đ−ợc coi l đáp ứng đòi hỏi đó nếu: a) Có sử dụng một ph−ơng pháp no đó để xác minh đ−ợc ng−ời ấy v chứng tỏ đ−ợc sự phê chuẩn của ng−ời ấy đối với thông tin hm chứa trong thông điệp đó; v b) Ph−ơng pháp ấy l đủ tin cậy theo nghĩa l thích hợp cho mục đích m theo đó thông điệp dữ liệu ấy đ đ−ợc tạo ra v truyền đi, tính đến tất cả các tình huống, bao gồm cả các thỏa thuận bất kỳ có liên quan.” 1 Nh− vậy, chữ ký điện tử thực hiện chức năng giống nh− chữ ký viết thông th−ờng: l điều kiện cần v đủ để quy định tính duy nhất của văn bản điện tử cụ thể xác định rõ ai l ng−ời chịu trách nhiệm trong việc tạo ra văn bản đó; v bất kỳ thay đổi no (về nội dung, hình thức ) của văn bản trong quá trình l−u chuyển đều lm thay đổi t−ơng quan giữa phần bị thay đổi với chữ ký. Về mặt công nghệ, chữ ký điện tử l một dạng của m hoá khoá công cộng, đ−ợc tiến hnh trên cơ sở một kỹ thuật m hoá (hình 27). 1 Xem: Bộ Th−ơng mại: Th−ơng mại điện tử , Nxb. Thống kê, H Nội, 1999. 122
  33. Hình 27. Chữ ký điện tử. Một yêu cầu khác đối với chữ ký l khả năng giúp phân biệt rõ sự khác biệt giữa bản gốc v bản sao. Với chữ ký thông th−ờng, đơn giản l chỉ cần nhìn trực tiếp vo chữ ký ta cũng có thể phân biệt đ−ợc. Nh−ng với văn bản điện tử, vấn đề không đơn giản nh− vậy. Biện pháp để giải quyết vấn đề ny l gắn cho chữ ký điện tử một “nhn” thời gian: sau một thời gian nhất định qui định bởi nhn đó, chữ ký điện tử gốc sẽ không còn hiệu lực. Đồng thời để chống giả mạo chữ ký điện tử, cần thiết phải có một cơ quan chứng nhận v một cơ chế xác nhận theo kiểu truyền thống (xem phần Chứng thực điện tử ). Qua phần phân tích trên, có thể đ−a ra định nghĩa về chữ ký điện tử nh− sau: Chữ ký điện tử l bất cứ âm thanh điện tử, ký hiệu hay quá trình điện tử gắn với hoặc liên quan một cách lôgích với một văn bản điện tử khác theo một nguyên tắc nhất định v đ−ợc ng−ời ký (hay có ý định ký) văn bản đó thực thi hoặc áp dụng. Chữ ký điện tử l bằng chứng hợp pháp dùng để v đủ để khẳng định trách nhiệm của ng−ời ký văn bản điện tử về nội dung của nó v tính nguyên gốc của văn bản điện tử sau khi rời khỏi ng−ời ký nó. Để hiểu rõ hơn về việc tạo v sử dụng chữ ký điện tử, chúng ta cùng nghiên cứu ví dụ sau: 123
  34. Anne, một khách hng trên Internet, sau khi tìm kiếm v tham khảo, quyết định mua hng của Bob, một nh bán lẻ hng hoá trên Internet. Khi gửi đơn đặt hng tới Bob, Anne sử dụng m khoá công cộng của Bob để m hoá các thông tin bí mật của mình. Bob sử dụng m khoá riêng để giải m các thông tin đó (chỉ có m khoá riêng ny mới có thể giải m v đọc thông điệp của Anne) v Anne biết rằng, Bob l ng−ời duy nhất biết đ−ợc các dữ liệu bí mật của mình. Để đảm bảo chắc chắn hơn, Anne có thể gửi kèm chữ ký điện tử của mình, đ−ợc m hoá bằng m khoá riêng của cô. Bob có thể giải m đ−ợc chữ ký ny bằng m khoá công cộng của Anne v chắc chắn rằng Anne chính l ng−ời đ gửi nó v cô chính l ng−ời đ đặt hng mình. Ng−ợc lại, Bob cũng có thể gửi các thông tin bí mật tới Anne sử dụng m khoá công cộng của cô v cũng chỉ có Anne, bằng m khoá riêng của mình, mới có thể giải m các thông tin đó. Trên đây l một thí dụ điển hình của việc phối hợp chữ ký điện tử với kỹ thuật m hoá khoá công cộng nhằm đảm bảo tính xác thực v tính riêng t− của các bên trong th−ơng mại điện tử. 1.3. Chứng thực điện tử ở thí dụ trên, tr−ớc khi các bên tham gia, Bob v Anne, sử dụng m khoá công cộng trong việc thực thi các giao dịch, mỗi bên đều muốn chắc chắn rằng, đối tác của mình l xác thực. Cụ thể, tr−ớc khi chấp nhận thông điệp với chữ ký điện tử của Anne, Bob muốn đ−ợc đảm bảo rằng m khoá công cộng anh ta sử dụng l thuộc về Anne v dù môi tr−ờng kinh doanh l một mạng máy tính mở, cũng không có một ai khác có thể giả danh Anne thực hiện các giao dịch. Cách chắc chắn nhất để có thể đảm bảo điều ny l Anne sử dụng một kênh truyền thông bảo mật, trực tiếp chuyển m khoá công cộng của mình cho Bob. Song, trong các giao dịch th−ơng mại điện tử, giải pháp ny l không khả thi. Thay vo đó, có thể sử dụng một bên tin cậy thứ ba, ng−ời đứng ra xác thực rằng m khoá công cộng đó thuộc về Anne. Bên tin cậy thứ ba ny chính l các cơ quan chứng nhận (CA Certificate Authority). Để sử dụng dịch vụ ny, tr−ớc tiên, Anne phải cung cấp cho cơ quan chứng nhận chứng cớ định danh của mình. Cơ quan chứng nhận sẽ căn cứ vo đó tạo ra một thông điệp, đúng hơn l một chứng thực số hoá (Digital authentication) hay chứng thực điện tử (Electronic authentication), bao gồm tên, m khoá công cộng của Anne, số thứ tự của chứng thực điện tử, thời hạn hiệu lực, 124
  35. chữ ký của cơ quan chứng nhận (tên của cơ quan chứng nhận có thể đ−ợc m hoá bằng m khoá riêng của cơ quan chứng nhận) v các thông tin nhận dạng khác (hình 28). Chứng thực điện tử do cơ quan chứng nhận (hay bên tin cậy thứ ba) cấp l căn cứ để xác thực các bên tham gia giao dịch; l cơ sở đảm bảo tin cậy đối với các giao dịch th−ơng mại điện tử. Hình 28: Chứng thực điện tử. Đối với nhiều giao dịch th−ơng mại điện tử, các chứng thực điện tử chính l cơ sở, l cốt lõi của giao thức an ton giao dịch điện tử (xem phần An ton các giao dịch điện tử ). Việc sử dụng bên tin cậy thứ ba, cùng với các chứng thực điện tử l cách đơn giản v thuận tiện để các bên có thể tin cậy lẫn nhau. Tuy vậy, trong một số tr−ờng hợp, bản thân các cơ quan chứng nhận cũng cần có những cơ quan chứng nhận lớn hơn, có uy tín v độ tin cậy cao hơn, chứng thực cho mình. Tập hợp hệ thống các cơ quan chứng nhận các cấp v các thủ tục chứng thực điện tử đ−ợc tất cả các đối t−ợng tham gia th−ơng mại điện tử chấp nhận hình thnh hạ tầng m khoá công cộng (PKI Publickey infrastructure). Đây chính l điều kiện, hỗ trợ các cá nhân tham gia vo cộng đồng những ng−ời sử dụng m khoá, tạo v quản lý các cặp khoá, phổ biến/thu hồi 125
  36. các m khoá công cộng, một trong những điều kiện cần thiết để tham gia th−ơng mại điện tử. 2. An ton các kênh truyền thông v lớp ổ cắm an ton Trong th−ơng mại điện tử, các giao dịch đ−ợc thực hiện chủ yếu thông qua mạng Internet, một mạng truyền thông mở, vì vậy, thông tin th−ơng mại giữa các bên rất dễ bị kẻ xấu lấy trộm v sử dụng vo những mục đích bất chính. Giải pháp cơ bản giải quyết vấn đề ny l sử dụng giao thức lớp ổ cắm an ton (SSL Secure Sockets Layer). Lớp ổ cắm an ton l một ch−ơng trình an ton cho việc truyền thông trên Web, đ−ợc hng Netscape Communication phát triển. Ch−ơng trình ny bảo vệ các kênh thông tin trong quá trình trao đổi dữ liệu giữa máy chủ v các trình duyệt Web thay vì phải bảo vệ từng mẩu tin. Trong một tiêu chuẩn trao đổi th− từ giữa các bên trên Internet, thông điệp của ng−ời gửi đ−ợc chuyển tới lớp ổ cắm (socket) (thiết bị đóng vai trò truyền thông tin trong một mạng); lớp ổ cắm có nhiệm vụ dịch thông điệp sang dạng phù hợp với giao thức điều khiển truyền dẫn v giao thức Internet (TCP/IP), bộ giao thức cơ bản cho việc truyền thông giữa các máy tính trên Internet. TCP/IP thực hiện việc truyền các mẩu thông điệp tới hệ thống của ng−ời nhận d−ới dạng các gói tin theo một cách thức nhất định. Tại hệ thống của ng−ời nhận, các gói tin đ−ợc kiểm tra kỹ l−ỡng. (Nếu các gói tin bị thay đổi trong quá trình truyền thông, TCP/IP sẽ gửi trả chúng về vị trí ban đầu). Sau đó, TCP/IP chuyển thông điệp nhận đ−ợc tới lớp ổ cắm trong hệ thống của ng−ời nhận. ổ cắm sẽ dịch ng−ợc thông điệp về dạng m các ch−ơng trình ứng dụng của ng−ời nhận có thể đọc đ−ợc. Trong các giao dịch có sử dụng SSL, các lớp ổ cắm đ−ợc bảo đảm an ton bằng ph−ơng pháp m hoá khoá công cộng. Với việc sử dụng ph−ơng pháp m hoá khoá công cộng v các chứng thực điện tử, SSL yêu cầu xác thực máy chủ dịch vụ trong các giao dịch v bảo vệ các thông tin cá nhân gửi từ đối tác ny tới đối tác khác. Song, nó không đòi hỏi xác thực khách hng. Điểm hạn chế của kỹ thuật ny l mặc dù SSL có thể bảo vệ các thông tin khi chúng đ−ợc chuyển trên Internet, nh−ng không thể bảo vệ đ−ợc các thông tin cá nhân (nh− số thẻ tín dụng, các thông tin về cá nhân khách hng ) khi các thông tin ny đ−ợc l−u giữ trên máy chủ của ng−ời bán hng. Khi ng−ời bán hng nhận đ−ợc các thông tin nh− 126
  37. số thẻ tín dụng của khách hng, các thông tin ny sẽ đ−ợc giải m v l−u giữ trên máy chủ của ng−ời bán hng cho tới khi đơn đặt hng đ−ợc thực hiện xong. Nếu máy chủ của ng−ời bán hng không đ−ợc bảo đảm an ton, v các thông tin nói trên không đ−ợc m hoá, những kẻ không đ−ợc phép có thể sẽ truy nhập v lấy đi các thông tin quan trọng đó. Điều ny có thể gây nên những hậu quả nghiêm trọng đối với ng−ời mua v ng−ời bán hng. 3. Các giao dịch điện tử an ton Giao thức SSL có khả năng m hoá thông tin (nh− số thẻ tín dụng của khách hng) v đảm bảo an ton khi gửi nó từ trình duyệt của ng−ời mua tới website của ng−ời bán hng. Tuy nhiên, các giao dịch mua bán trên Web không chỉ đơn thuần nh− vậy. Số thẻ tín dụng ny cần phải đ−ợc ngân hng của ng−ời mua kiểm tra để khẳng định tính hợp lệ v giá trị của thẻ tín dụng, tiếp đó, các giao dịch mua bán phải đ−ợc thực hiện. SSL không giải quyết đ−ợc các vấn đề ny. Một giao thức đ−ợc thiết kế để hon tất các b−ớc tiếp theo của một giao dịch mua bán trên Internet đó l giao thức giao dịch điện tử an ton (SET Secure Electronic Transaction). Giao dịch điện tử an ton (SET), do Visa International, MasterCard, Netscape v Microsoft phát triển, đ−ợc thiết kế đặc biệt để bảo vệ các giao dịch thanh toán trong th−ơng mại điện tử. SET sử dụng các chứng thực điện tử để xác thực mỗi bên tham gia trong một giao dịch th−ơng mại điện tử bao gồm ng−ời mua, ng−ời bán, v ngân hng của ng−ời bán. Kỹ thuật m hoá khoá công cộng đ−ợc sử dụng trong việc đảm bảo an ton các thông tin khi chuyển nó trên Web. Để tiến hnh các giao dịch, ng−ời bán hng cần phải có một chứng thực điện tử v một phần mềm SET đặc biệt. Ng−ời mua cũng cần phải có chứng thực điện tử v một phần mềm ví tiền số hoá. Khi khách hng muốn đặt mua hng trên Internet, phần mềm SET của ng−ời bán hng sẽ gửi mẫu đơn đặt hng v chứng thực điện tử của ng−ời bán hng tới ví tiền số hoá của khách hng. Tiếp đó, khách hng (ng−ời mua hng) phải cung cấp các thông tin về thẻ tín dụng m mình sẽ sử dụng để thanh toán. Các thông tin thẻ tín dụng v đơn đặt hng sau đó đ−ợc m hoá bằng khoá công cộng của ngân hng ng−ời mua v gửi tới ng−ời bán cùng với chứng thực điện tử của khách hng. Ng−ời 127
  38. bán hng chuyển tiếp các thông tin ny tới ngân hng của mình để thực hiện quá trình thanh toán; v chỉ ngân hng của ng−ời bán mới có khả năng giải m các thông tin đó. B−ớc tiếp theo, ngân hng của ng−ời bán gửi tổng số tiền của giao dịch cùng với chứng thực điện tử của mình tới ngân hng của ng−ời mua để phê chuẩn. Nếu yêu cầu của ng−ời mua đ−ợc phê chuẩn, ngân hng của ng−ời mua sẽ gửi thông báo cấp phép cho ngân hng của ng−ời bán. Ngân hng của ng−ời bán chuyển thông báo cấp phép thẻ tín dụng ny cho ng−ời bán để ng−ời bán xác nhận đơn đặt hng v thực hiện quá trình bán hng (xem hình 29). Ưu điểm lớn nhất của giao thức SET l trong ton bộ quá trình giao dịch ng−ời bán hng không trực tiếp xem đ−ợc các thông tin về thẻ tín dụng của khách hng v các thông tin ny cũng không đ−ợc l−u giữ trên máy chủ của ng−ời bán. Điều ny giúp ngăn chặn các hnh vi gian lận từ phía ng−ời bán. Song, bên cạnh việc cung cấp khả năng bảo mật cao, giao thức SET đòi hỏi các bên tham gia giao dịch phải trang bị những phần mềm đặc biệt, lm tăng chi phí của các giao dịch mua bán. V mặc dù cả Visa v MasterCard đều rất cố gắng giảm bớt gánh nặng về ti chính đối với những ng−ời bán hng, nhằm khuyến khích họ sử dụng SET, nh−ng với mức phí giao dịch cao v nhiều sức ép từ phía khách hng, nhiều doanh nghiệp kinh doanh điện tử vẫn cảm thấy miễn c−ỡng khi sử dụng giao thức ny. Hình 29: Qui trình giao dịch của SET. 128
  39. 4. An ton mạng Trong th−ơng mại điện tử, khi chúng ta liên kết mạng máy tính của tổ chức với một mạng riêng hoặc mạng công cộng khác, cũng đồng nghĩa với việc đặt ti nguyên trên hệ thống mạng của chúng ta tr−ớc nguy cơ rủi ro cao. Do vậy, việc đảm bảo an ton mạng máy tính của tổ chức l vấn đề quan trọng trong th−ơng mại điện tử. Một trong các công cụ cơ bản đảm bảo an ton mạng máy tính đó l bức t−ờng lửa (firewall). Bức t−ờng lửa (firewall) l một phần mềm hoặc phần cứng cho phép những ng−ời sử dụng mạng máy tính của một tổ chức có thể truy cập ti nguyên của các mạng khác (thí dụ, mạng Internet), nh−ng đồng thời ngăn cấm những ng−ời sử dụng khác, không đ−ợc phép, từ bên ngoi truy cập vo mạng máy tính của tổ chức. Một bức t−ờng lửa sẽ có những đặc điểm sau: + Tất cả giao thông từ bên trong mạng máy tính của tổ chức v ng−ợc lại đều phải đi qua đó; + Chỉ các giao thông đ−ợc phép, theo qui định về an ton mạng máy tính của tổ chức, mới đ−ợc phép đi qua; + Không đ−ợc phép thâm nhập vo chính hệ thống ny. Về cơ bản, bức t−ờng lửa cho phép những ng−ời sử dụng mạng máy tính (mạng đ−ợc bức t−ờng lửa bảo vệ) truy cập ton bộ các dịch vụ của mạng bên ngoi trong khi cho phép có lựa chọn các truy cập từ bên ngoi vo mạng trên cơ sở kiểm tra tên v mật khẩu của ng−ời sử dụng, địa chỉ IP hoặc tên vùng (domain name) Thí dụ, một nh sản xuất chỉ cho phép những ng−ời sử dụng có tên vùng (domain name) thuộc các công ty đối tác l khách hng lâu năm, truy cập vo website của họ để mua hng. Nh− vậy, công việc của bức t−ờng lửa l thiết lập một ro chắn giữa mạng máy tính của tổ chức v bên ngoi (những ng−ời truy cập từ xa v các mạng máy tính bên ngoi). Nó bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn th−ơng do những kẻ tin tặc, những ng−ời tò mò từ bên ngoi tấn công. Tất cả mọi thông điệp đ−ợc gửi đến v gửi đi đều đ−ợc kiểm tra đối chiếu với những quy định về an ton do tổ chức xác lập. Nếu thông điệp đảm bảo đ−ợc các yêu cầu về an ton, chúng sẽ đ−ợc tiếp tục phân phối, nếu không sẽ bị chặn đứng lại (hình 30). 129
  40. Hình 30: Bức t−ờng lửa. Một trong các loại bức t−ờng lửa phổ biến nhất l phần mềm máy phục vụ uỷ quyền (proxy server*), gọi tắt l proxy . Proxy l phần mềm máy phục vụ, th−ờng đ−ợc đặt trên một máy tính chuyên dụng, kiểm soát ton bộ các thông tin đ−ợc gửi đến từ một nơi no đó trên Internet v ng−ợc lại. Nó cung cấp các dịch vụ trung gian, đóng vai ng−ời thông ngôn giữa mạng Internet v mạng nội bộ của tổ chức. Khi một ng−ời sử dụng trên mạng máy tính của tổ chức muốn "nói chuyện" với một ng−ời sử dụng của tổ chức khác, tr−ớc tiên anh ta phải nói chuyện với ứng dụng proxy trên máy phục vụ, tiếp đó proxy sẽ nói chuyện với máy tính của ng−ời sử dụng kia. T−ơng tự nh− vậy, khi một máy tính ở bên ngoi muốn nói chuyện với một máy tính trong mạng của tổ chức cũng phải nói thông qua proxy trên máy phục vụ (hình 31). * Trong một số ti liệu, server đ−ợc dịch l máy chủ theo nghĩa l máy tính cung cấp các dịch vụ cho ng−ời dùng trên một mạng no đó. Máy tính ny nhận các yêu cầu v tìm cách đáp ứng các yêu cầu đó theo một trật tự tuần tự. 130
  41. Hình 31: Máy phục vụ uỷ quyền (Proxy server). Ưu điểm cơ bản của việc sử dụng proxy trong an ton mạng đó l các thông tin về mạng máy tính của tổ chức, các thông tin về ng−ời sử dụng (nh− tên, địa chỉ mạng máy tính của tổ chức) đ−ợc bảo mật, bởi thực tế, các hệ thống bên ngoi chỉ giao tiếp với máy phục vụ proxy chứ không trực tiếp giao tiếp với máy tính của ng−ời sử dụng. Bằng việc ngăn chặn ng−ời sử dụng trực tiếp thông tin với Internet, thông qua proxy, các tổ chức có thể hạn chế việc truy cập vo một số loại website có nội dung không tốt hoặc ảnh h−ởng đến lợi ích của tổ chức nh− khiêu dâm, bán đấu giá, hay giao dịch chứng khoán Sử dụng proxy còn tạo điều kiện tăng khả năng thực thi của Web bằng cách l−u trữ các thông tin, các trang web th−ờng đ−ợc yêu cầu, để giảm thời gian tải các thông tin lên mạng v các chi phí cho việc truyền dữ liệu. Ngoi ra, proxy còn đóng vai trò quan trọng trong việc quản trị mạng. Nó cho phép theo dõi hoạt động của các máy tính thông qua việc ghi chép địa chỉ IP của máy tính, ngy giờ thực hiện giao dịch, thời gian giao dịch, dung l−ợng (số byte) của các giao dịch Các −u điểm ny khẳng định vai trò không thể thiếu của proxy nói riêng v các bức t−ờng lửa (firewall) nói chung trong an ton mạng máy tính của các doanh nghiệp v các tổ chức. 5. Bảo vệ các hệ thống của khách hng v máy phục vụ Việc đảm bảo an ton cho các hệ thống của khách hng v máy phục vụ l vấn đề quan trọng trong th−ơng mại điện tử. Có hai biện 131
  42. pháp cơ bản để bảo vệ các hệ thống ny tr−ớc sự tấn công từ bên ngoi, đó l sử dụng các chức năng tự bảo vệ của các hệ điều hnh v sử dụng các phần mềm chống virus. 5.1. Các kiểm soát của hệ điều hnh Một hệ điều hnh hoạt động trên các máy khách v máy phục vụ th−ờng gắn liền với một tên ng−ời sử dụng. Khi muốn truy cập vo hệ thống, ng−ời sử dụng phải cung cấp đúng tên v đúng mật khẩu để xác thực, nếu sai, hệ thống sẽ từ chối việc truy cập. Một số hệ điều hnh có thể có chức năng kiểm soát truy cập thông qua việc tự động từ chối khi ng−ời sử dụng truy cập vo các khu vực khác (không đ−ợc phép) của mạng máy tính. Ngoi ra, các phần mềm ứng dụng, nh− Microsoft Office v tất cả các phần mềm quản trị cơ sở dữ liệu dùng cho các máy phục vụ (server) trên các mạng máy tính, th−ờng có thêm các chức năng quản lý an ton cho phép kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp cho việc đảm bảo an ton cho cơ sở dữ liệu v cho ton bộ hệ thống. 5.2. Phần mềm chống virus Biện pháp đơn giản nhất v ít tốn kém nhất chống lại các mối đe doạ tính ton vẹn của các hệ thống, đó l ci đặt các phần mềm chống virus. Các ch−ơng trình chống virus do McAfee v Symantec cung cấp có thể coi l những công cụ khá rẻ tiền để nhận biết v tiêu diệt hầu hết các loại virus thông th−ờng ngay khi chúng xâm nhập vo máy tính hoặc ẩn nấp trên ổ đĩa cứng. Tuy nhiên, không phải bất cứ loại virus no cũng dễ dng bị tiêu diệt v để hoạt động có hiệu quả, các phần mềm chống virus nói trên phải đ−ợc th−ờng xuyên cập nhật, mới có khả năng phát hiện v tiêu diệt những loại virus mới liên tục xuất hiện. Một loại phần mềm khác, phức tạp v đắt tiền hơn, l hệ thống phát hiện xâm nhập. Các hệ thống ny hoạt động tốt hơn nhiều các phần mềm chống virus bởi chúng có khả năng dò tìm v nhận biết các công cụ m những kẻ tin tặc th−ờng sử dụng hoặc phát hiện những hnh động khả nghi. Ngay khi một hnh động khả nghi no đó bị phát hiện, hệ thống báo động sẽ lập tức hoạt động, báo động cho các nhân viên an ninh mạng hoặc các dịch vụ chống xâm nhập để theo dõi, giám sát hoạt động đó. Ngay cả trong tr−ờng hợp các hệ thống báo động bị tấn 132
  43. công v hỏng, các hệ thống phát hiện xâm nhập cũng sẽ l tuyến phòng ngự đầu tiên chống lại sự tấn công của tin tặc. Trên đây l những giải pháp cơ bản để đảm bảo an ton cho các hệ thống mạng máy tính nói chung v an ton cho các giao dịch th−ơng mại điện tử nói riêng. Tuy nhiên, các mối đe doạ cũng ngy cng tinh vi hơn, phức tạp hơn, độ nguy hiểm ngy cng cao hơn v các công nghệ mới cũng liên tục đ−ợc phát triển để đáp ứng nhu cầu an ton các bên tham gia th−ơng mại điện tử. 133