Thuong mai dien tu 3
Chia sẻ bởi Trương Hương |
Ngày 23/10/2018 |
34
Chia sẻ tài liệu: thuong mai dien tu 3 thuộc Bài giảng khác
Nội dung tài liệu:
PHẦN III :
CƠ SỞ VÀ MÔI TRƯỜNG
CHO SỰ PHÁT TRIỂN
THƯƠNG MẠI ĐIỆN TỬ
I. Hạ tầng cơ sở nhân lực
II. Môi trường khách hàng
III. Môi trường xã hội - pháp luật
Hiểm họa và biện pháp phòng chống
I. HẠ TẦNG CƠ SỞ NHÂN LỰC
CHUYÊN VIÊN CNTT :
Nhân lực Hợp đồng hỗ trợ :
- Chuyên viên Lập trình: Thiết kế website, Đồ họa, lập trình mạng, thiết kế website lần đầu và định kỳ/đột xuất hỗ trợ thay đổi
- Quản trị mạng: Định kỳ/đột xuất hỗ trợ giải quyết sự cố nếu có
- An ninh mạng: Hợp đồng, thuê tư vấn
- Chuyên viên viễn thông - tin học: Thiết kê, lắp đặt, vận hành bảo trì ( phần cứng )
I. HẠ TẦNG CƠ SỞ NHÂN LỰC
Nhân lực cơ hữu:
Do đặc điểm mua bán trực tuyến xuyên quốc gia - quốc tế, phải có nhân viên thường trực xử lý thông tin giao tiếp trên mạng, xử lý/báo cáo để xử lý các sự cố đột xuất
Nhân viên kỹ thuật tin học: vận hành, cập nhật thông tin.
Mọi nhân viên kinh doanh khác đều yêu cầu có kiến thức tối thiểu về Tin học văn phòng, sử dụng Internet
HẠ TẦNG CƠ SỞ NHÂN LỰC
* CHUYÊN VIÊN QUẢN LÝ TMĐT :
Netmanager, Admin, Giám đốc “cửa hàng ảo”(Cybermall), Người quản lý “siêu thị ảo” (MarketSpace)-Quan hệ với “Giám đốc thực”
Cấp quản trị website cao nhất, có quyền:
Quyết định nội dung, cấu trúc, thiết kế của website
Thâm nhập, can thiệp, xem, sửa nội dung tòan bộ website
Phân quyền cho các moderators các trang cấp dưới
HẠ TẦNG CƠ SỞ NHÂN LỰC
Moderators – Quan hệ với các Phòng, Ban hỗ trợ kinh doanh:
Quảng cáo, tiếp thị
Hỗ trợ khách hàng
Kế tóan, tài chính, thanh tóan điện tử
Phụ trách “Diễn đàn giao dịch”
Quản lý “kho ảo”,
Giao tiếp với các nhà cung cấp
Chịu sự quản lý tuyệt đối của Admin
Được phân quyền quản lý các trang thứ cấp, đề xuất ý kiến thay đổi với admin
HẠ TẦNG CƠ SỞ NHÂN LỰC
GIÁM ĐỐC
TÁC NGHIỆP QUẢN LÝ-HỖ TRỢ
Các quầy bán hàng Sales-Marketing, Kế tóan,…Kho
Nhân viên ảo Nhân viên thực và công cụ ảo
Thí dụ về : Form bán hàng, thanh tóan, thư chào hàng…
4
“Nhân viên” hướng dẫn khách hàng
Chào đón khách hàng
Form đăng ký khách hàng
Form giao dịch đặt mua hàng
“Nhân viên” thương lượng giá cả
II. MÔI TRƯỜNG KHÁCH HÀNG
Năng suất lao động xã hội
Nhu cầu tiết kiệm thời gian( để sản xuất hoặc để nghỉ ngơi, tái sản xuất sức lao động )
*Thói quen trong việc xác định chất lượng hàng hóa theo tiêu chí công nghiệp
*Thói quen thanh tóan điện tử
II. MÔI TRƯỜNG KHÁCH HÀNG
Mức sống, năng lực mua sắm ( khu vực, quốc gia )
GDP : Gross Domestic Product – Tổng sản phẩm quốc nội
GDP/per capita – TSP quốc nội theo đầu người
Việt Nam : -1995 = $260, 2000 = $460 – 2006 = 640 $, 2007 = 809$
II. MÔI TRƯỜNG KHÁCH HÀNG
PPP : Purchasing Power Parity – Sức mua tương đương. PPP/capita
Cách tính : Do nhiều tổ chức quốc tế IMF, World Bank, University of Pensylvania… trên cơ sở so sánh “trị giá một gói hàng”
2006 : Trung quốc = 7722 $( 87/181;1$=1,8JMP <7,8 JMP>) Việt Nam = 3393 $ (123/181)
List of countries by PPP : 1/ Luxembourg = 81.511$, 2/ Ireland = 44.676 3/ Norway = 44.648, 4/ USA = 41,333…180/ Tanzania = 723, 181/ Malawi = 596
II. MÔI TRƯỜNG KHÁCH HÀNG
Kiến thức sử dụng PC và dịch vụ Internet (ban đầu có thể trong tra cứu thông tin – giải trí)
Tri thức, tâm lý và thói quen sử dụng dịch vụ điện tử ( thiếu tin tưởng, ngại tiết lộ thông tin, ngại lừa đảo…)
Biết chút ít ngoại ngữ (Tiếng Anh ? )
III. MÔI TRƯỜNG XÃ HỘI
III.1.Đặc điểm của giao dịch TMĐT
Không mặt đối mặt
Không trực tiếp với hàng hóa trước khi giao dịch thành công
Nói chung : Thông tin không đầy đủ ( về dối tác, về hàng hóa…)
Thông tin, giao dịch trên môi trường “mở” dễ bị xâm nhập
Giao dịch xuyên quốc gia, quốc tế
III. MÔI TRƯỜNG XÃ HỘI
III.2.Yêu cầu trong giao dịch Mua và Bán
* Tính trung thực – Loyalty
* Tính an tòan – Security
* Tính hợp pháp – Legitimacy
* Tính riêng tư – Privacy
Khó khăn thực hiện các yêu cầu trên trong TMĐT so với TM truyền thống
III. MÔI TRƯỜNG XÃ HỘI
III.3. Hiểm họa trong Giao dịch điện tử
Các loại tội phạm điện tử :
Spam,Phishing, Pharming, DoS..
Virus máy tính : Worm, Spyware, Trojan horses
Hacker
Cracker
III. MÔI TRƯỜNG XÃ HỘI
SPAM
* SPAM = Simultaneous Posted Advertising Mails. Thư rác = Thư quảng cáo không được phép người nhận ( Unsollicited Mail ):
- Thư vô hại/đùa nghịch ( ranh giới ?)
- Thư quấy nhiễu
- Thư quảng cáo tùy tiện ( Unsollicited Commercial Mail )
- Forum Spam
III. MÔI TRƯỜNG XÃ HỘI
Thiệt hại do SPAM
Thống kê của ngành tư pháp California 2004: Mỹ thiệt hại 10 tỷ$ cho các tổ chức
Xem chi tiết :
http://www.mxlogic.com/resources/spam_calculator/index.html
Thiệt hại (vô hình về thời gian dọn rác)
Thiệt hại tinh thần cho người bị quấy nhiễu
III. MÔI TRƯỜNG XÃ HỘI
DoS ( Denial of Service )
Làm cho một hòm thư, một cổng thông tin quá tải không làm việc được bằng cách gửi dồn dập spam vào hòm thư hoặc chiếm đường truy cập website: mailbombing – đánh sập
Thí dụ :Usenet Meow Wars (1996) - Đóng dịch vụ UseNet hàng tháng
SPORGERY = spam + forgery : phần mềm sản xuất spam hàng loạt tấn công một địa chỉ.
III. MÔI TRƯỜNG XÃ HỘI
CÁC DẠNG PHISING PHỔ BIẾN
Nigeria 419 : Lừa thừa kế tài sản ( trong tài khỏan vô chủ, tài sản đen ), thường có nguồn gốc từ các quốc gia có biến động chính trị, đảo chính, từ thông tin tai nạn …
Lừa đảo trúng xổ số trên mạng
Mời hợp tác rửa tiền ( có thể có thực )
Thông báo kiểm tra lại thông tin tài khỏan-pharming ( Lấy thông tin để lấy trộm tiền, chi trả trực tuyến…)
III. MÔI TRƯỜNG XÃ HỘI
VIRUS MÁY TÍNH
* Virus máy tính do con người tạo ra và gửi đi
* Virus máy tính là một đoạn mã được cài giấu trong một phần mềm, sau khi xâm nhập vào một “cơ thể máy tính”, có khả năng lưu trú, nhân bản rất nhanh, phá hoại máy tính đó và lây lan sang các máy tính khác kết nối với nó
* Tác hại : xóa dũ liệu, sao chép và trộm gửi dữ liệu, thay đổi làm sai lệch dữ liệu, chiếm bộ nhớ làm chậm hoạt dộng của MT, gây DoS…
III. MÔI TRƯỜNG XÃ HỘI
Các loại virus
1.Sâu MT (worm): Một đoạn phần mềm có khả năng tự tái tạo những bản sao của nó. Các bản sao lan sang mọi máy tính khác sử dụng cùng cơ chế an ninh và xóa dũ liệu trong các MT đó (file txt, exe…)
2.Gián điệp MT (Trojan horses): phần mềm được gửi lưu trú vào trong một số files, khi khởi động thì xóa files đó/sao chép files gửi đến địa chỉ mặc định - không tự động tái tạo
III. MÔI TRƯỜNG XÃ HỘI
Các loại virus
*3. Logic bombs: được gửi lưu trú trong một MT và chỉ bột phát hoạt động theo một lệnh mặc định nào đó : hẹn ngày giờ, số lần khởi động máy, khi sử dụng một lệnh mặc định…(có thể dùng bảo vệ sở hữu trí tuệ, chống sao chép)
* E-mail virus: dùng các e-mail message làm phương tiện truyền lan, tự sao chép và gửi đến các địa chỉ trong address book – lây lan rộng và nhanh
*Virus truyền lan qua các phần cứng : Đĩa mềm, USB, đĩa CD v..v..
III. MÔI TRƯỜNG XÃ HỘI
Virus máy tính
Lịch sử : 1982 xuất hiện virus MT đầu tiên được biết. “El Cloner”- chú hề - trên Apple DOS 3.3 do Rich Skrenta cài vào đĩa mềm trò chơi.
Từ giữa thập kỷ 1990 xuất hiện Trojan đánh cắp dữ liệu trên Microsoft Office và Mac OS
Tháng 3/1999 : virus MELISA – năm 2000: virus ILOVEYOU làm tê liệt hệ thống E-mail của Microsoft và nhiều hãng khác nhiều ngày
Trong một ngày tháng 01/2004:virus MYDOOM lan ra hon 2.500.000 MT trên thế giới.
III. MÔI TRƯỜNG XÃ HỘI
Mục đích tạo virus
* Thoạt đâu: Trò chơi tinh nghịch xuất phát từ học sinh sinh viên gây rối…
* Sử dụng để bảo vệ bản quyền phần mềm, bảo mật dữ liệu
* Sử dụng vào mục đích ăn cắp bản quyền, gián điệp kinh tế /chính trị, phá hoại trong cạnh tranh kinh tế, thương mại
III. MÔI TRƯỜNG XÃ HỘI
PHARMING
- Pharming: Cách viết gần giống từ Farming- gặt hái – dùng để chỉ việc trộm cắp trên mạng:
* Trộm thông tin, dữ liệu, trộm mật khẩu
* Trộm tài khoản
* Trộm tiền
- Phương thức:
* Dùng địa chỉ Email, trang web giả mạo
* Cài chip gián điệp vào ATM
III. MÔI TRƯỜNG XÃ HỘI
HACKER
* Hacker : tên gọi chung những kẻ có hành vi phá hoại trên MT và mạng MTT, tạo và phát tán virus
Xâm nhập trái phép CSDL của người khác
Xâm nhập, phá phách ( mọi hình thức và mức độ) các website
Phát tán các thông tin, tư liệu không được phép (của cá nhân, tổ chức)
Cracker ( bẻ khóa bảo vệ an ninh )
* Tội danh và chế tài tùy theo hệ thống pháp lý quốc gia, địa phương
III. MÔI TRƯỜNG XÃ HỘI
Hệ thống văn bản pháp lý
Tháng 10/2005 Quốc hội VN thông qua luật Giao dịch điện tử, hiệu lực từ 01/03/2006
Tháng 03/2006 Thủ tướng ban hành Nghị định về chứng thư điện tử, chữ ký điện tử, các cơ quan chứng thực chữ ký điện tử
Hiện nay vẫn chưa có các thông tư, văn bản hướng dẫn thực hiện, chưa có hệ thống hoàn chỉnh các tổ chức thực hiện
III. MÔI TRƯỜNG XÃ HỘI
NGHỊ ĐỊNH CHỐNG SPAM –
Tháng 8/2008
+ Thư rác (spam) là thư điện tử, tin nhắn được gửi đến người nhận mà người nhận đó không mong muốn hoặc không có trách nhiệm phải tiếp nhận theo quy định của pháp luật. Thư rác gồm thư điện tử rác và tin nhắn rác.
+ Tổ chức, cá nhân ngoại trừ nhà cung cấp dịch vụ quảng cáo chỉ được phép gửi thư điện tử quảng cáo, tin nhắn quảng cáo khi có sự đồng ý trước đó của người nhận.
+ Trong vòng 24 giờ kể từ khi nhận được yêu cầu từ chối, người quảng cáo hoặc nhà cung cấp dịch vụ quảng cáo phải chấm dứt việc gửi đến người nhận các thư điện tử quảng cáo hay tin nhắn quảng cáo đã bị người nhận từ chối trước đó trừ trường hợp bất khả kháng.
+ Chỉ được thu thập địa chỉ điện tử cho mục đích quảng cáo khi được sự đồng ý của người sở hữu địa chỉ điện tử đó.
(theo Vnexpress)
III. MÔI TRƯỜNG XÃ HỘI
III.4. QUẢN LÝ XÃ HỘI
* Mọi hoạt động xã hội đều phải có hệ thống tổ chức, cơ quan quản lý.
* Quản lý thương mại truyền thống có : Thưong mại, Kế hoạch đầu tư, Tài chính (Thuế, Hải quan..), Công an, Biên phòng..các tùy viên thương mại..các tổ chức phi chính phủ : Phòng Thương mại, các Hội nghề nghiệp, Hiệp hội, nghiệp đoàn…
* Quản lý TMĐT : ???
III. MÔI TRƯỜNG XÃ HỘI
Ở Việt nam hiện nay :
Ủy ban quốc gia về TMĐT (?)
Bộ Thương mại
Bộ Bưu chính viễn thông
đều có các chức năng xem xét một số vấn đề liên quan đến TMĐT ( chưa có cơ quan quản lý nhà nước ). Còn thiếu nhiều lĩnh vực : Tài chính (bán vé máy bay trực tuyến ?), Văn hóa thông tin…
Nhiều vấn đề chưa xác định được có là hành động phạm tội hay không, chế tài xử lý ? ( Quảng cáo, thông tin nhiễu…)
III. MÔI TRƯỜNG XÃ HỘI
TOÀN CẦU HOÁ VÀ MÔI TRƯỜNG QUỐC TẾ
KHUNG TMĐT TÒAN CẦU
LUẬT GIAO DỊCH ĐIỆN TỬ
Bảo hộ quyền sở hữu, chế tài đối với vi phạm trong giao dịch quốc tế
Các văn bản ký kết quốc tế và khu vực : Khung TMĐT toàn cầu
Luật chống Spam, chống hacker, v/đ Thuế quan..
Luật giao dịch ĐT của từng quốc gia..
IV. BẢO VỆ AN NINH TRONG
GIAO DỊCH TMĐT
IV.1. CÁC HIỂM HỌA
Rò rỉ thông tin trong giao dịch
Trộm cắp tài khỏan, tiền nong
Mạng thông tin nội bộ bị thâm nhập (vào, ra)
Văn bản không được thừa nhận
Virus
Hacker…
Bảo vệ sở hữu trí tuệ
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
Bảo vệ mạng nội bộ :
“Tường lửa” (FireWall)
- Là cơ chế ngăn chặn bảo vệ CSDL chống truy nhập trái phép
- Lọc bỏ địa chỉ không hợp lệ, tiêu chí mặc định khác, từ khóa..
CSDL nôị bộ Tường lửa Internet
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
FIREWALL-1:
* Sử dụng router có tích hợp tính năng lọc gói tin, kiểm sóat IP address (nguồn) cho phép kết nối hoặc từ chối
* Chống việc sử dụng địa chỉ giả : Tăng cường lọc bằng thông tin định danh khác : thời gian, giao thức, cổng..
* Thủ thuật dùng dịch vụ Remote Procedure Call –RPC - gán cổng ngẫu nhiên, sử dụng giao thức UDP –User Datagram Protocol – khó lọc !
FIREWALL-1:
Tiêu chí lọc: - Địa chỉ nguồn, Cổng
- Từ khóa mặc định
Input Tiêu chí lọc Cho qua
Chặn
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
FIREWWALL 2
Thay đổi địa chỉ
* Địa chỉ IP công cộng : Do ISP cung cấp cho người sử dụng khi kết nối Internet
*Địa chỉ riêng : Địa chỉ nội bộ, kết nối Internet thông qua NAT Server hoặc NAT/PAT để dùng địa chỉ công cộng ( của LAN )
Có 3 khối địa chỉ riêng do Hiệp hội Internet phân bố, phổ biến nhất là khối lớp B : 192.168.xxx.yyy
Kỹ thuật dịch địa chỉ trong mạng : Network Address Translation –NAT- và dịch địa chỉ cổng : Port Address Translation – PAT –
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
FIREWALL-2
* Các kết nối từ thành phần trong LAN ( có địa chỉ riêng được giấu kín ) ra Internet đều có IP address chung : giả dạng – masquerade
* Ngăn vào : từ ngoài truy cập từng máy trong LAN phải qua cấu trúc DMZ (Demilitarized Zone ) với các lệnh : Accept, Deny, Reject
* Giới hạn ra : Firewall chỉ cho phép kết nối với cổng/địa chỉ không bị cấm
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
THÍ DỤ : FIREWALL-2. NAT
Public : Data = 219.192.1.1, Post 1234
Private : Data = 192.168.1.123, Post 80
1/ Kg có NAT : loại 2/ Nối qua địa chỉ công 3/ Nhận qua địa chỉ công 4/ Xóa NAT
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
Hiện nay đã sản xuất các Router tích hợp dịch vụ tường lửa :
* Cisco 1800, 2800 : bảo vệ mạng, ngăn xâm nhập, bảo mật IP Address. Tích hợp khả năng xử lý giọng nói
* FortiGate ( Đài loan )
* CheckPointSafe@Office225
* Jupiter Netscreen-5GT Wireless
* Sonicwall PRO 2040
Thích hợp cho sử dụng gia đình, doanh nghiệp nhỏ
BẢO VỆ AN NINH TRONGGIAO DỊCH TMĐT
Sử dụng Firewall :
- Xây dựng Firewall ( tự làm, thuê )
- Dùng router tích hợp…
- Khó khăn khi sử dụng :
Thay đổi đối sách của địch
Đường vòng trên mạng
Khó khăn cho người sử dụng
Bảo vệ an ninh trong giao dịch TMĐT
IV.3. Mã hóa và giải mã :
Định nghĩa toán học:
Cho tập ký tự gốc: S =
tập ký tự mã: C = Luật mã hóa: Ánh xạ một đối một từ S vào tập các dãy (từ mã) {ci1, ci2,…cili },
li là độ dài từ mã:
E(si) {ci1, ci2,…cili}
Bảo vệ an ninh trong giao dịch TMĐT
IV.3.Mã hóa và giải mã
Thí dụ 1: Mã nhị phân: 0 0
1 1
2 10
3 11
4 100 …
Thí dụ 2: Mã Morse: e .
a .-
m - -
l . - . .
Bảo vệ an ninh trong giao dịch TMĐT
IV.3.Mã hóa và giải mã :
- Mật mã ( Cryptography)
- Có lịch sử từ La mã ( Caesar ): truyền thông điệp quân sự bí mật đến các đơn vị quân đội:
Thí dụ : VINH (khóa +3 cyclic) ZLQK (chìa khóa -3) VINH
Văn bản gốcmã hóavăn bản mật
(Plaintext) (Cyphertext) giải mãvăn bản gốc
V E(V) V’ ( gửi đi ) D( V’ ) = V
MÃ ĐỐI XỨNG
Khóa E, - chìa khóa D = E-1 , gọi là mã hóa đối xứng, là một từ điển 2 chiều : xuôi = mã hóa; ngược = giải mã.
Mã hóa đối xứng, tốc độ lập mã, giải mã cao. tính bảo mật khá cao, do khả năng khó dò tìm chìa khóa
WE(W)…….truyền….D[E(W)] W
Khó khăn khi chuyển giao chìa khóa từ xa bằng phương tiện thông tin công cộng: không được bảo mật
Chí thuận tiện cho việc tự bảo mật dữ liệu / có điều kiện chuyển giao chìa khóa trực tiếp ( Caesar )
Bảo vệ an ninh trong giao dịch TMĐT
Bảo vệ an ninh trong giao dịch TMĐT
Thuật tóan lập mã đối xứng DES
DES – Data Encryption Standard dùng mô tả phần mềm lập mã đối xứng : DEA – Data Encryption Algorithm ( khoảng 1970) độ bảo mật khá cao
DES dùng block 64 bit = 56 bit khóa + 8 bit parity
DEA là thuật tóan mã hóa đối xứng
Tốc độ giải mã nhanh
Thường dùng cho single user.
Dùng cho multiple user khó chuyển giao, kém bảo mật
FISP sau 5 năm xác nhận lại một lần
Trong 10 năm gần đây xuất hiện AES – Advanced Encryption Standard – độ bảo mật cao hơn
Bảo vệ an ninh trong giao dịch TMĐT
DES
* Nếu không lộ khóa, độ bảo mật khá cao, trung bình phải thực hiện 255 plaintext để dò (thám mã) trong thuật tóan crack
Biham & Shamir dùng thuật tóan phân tích mã vi sai, phải có 244 plaintexts
Matsui dùng thuật tóan phân tích mã tuyến tính, chỉ cần 243 plaintexts
Gần đây tạo được các máy chuyên dụng giải mã có thể tìm ra khóa mã trong 22 giờ làm việc ( sử dụng trong an ninh, quốc phòng)
Bảo vệ an ninh trong giao dịch TMĐT
Mã hóa khóa chung ( Public key Encryption)
Sơ đồ :
A tạo E và D, gửi E-khóa công khai – public key - cho B, giữ D - khóa riêng- private key
B dùng E mã hóa E(V) = V’ gửi cho A
A dùng D giải D(V’) = V
+ Chỉ có A (có D) mới giải mã được
+ Phải có E mới mã hóa được
+ D dùng để giải E, nhưng biết nếu chỉ biết E không thể tìm được D.
+ E và D không phải là từ điển 2 chiều mà là những phép tóan riêng.
Bảo vệ an ninh trong giao dịch TMĐT
Thuật tóan mã công khai : MÃ RSA
Mã RSA, Ron Rivest, Adi Shamir, Leonard Adleman, thuật tóan lập mã công khai, độ bảo mật cao, tốc độ giải mã chậm.
Thuật tóan :
* Chọn 2 số nguyên tố khá lớn (>1024bit) P và Q
Chọn 1< E < PQ, E và (P-1)(Q-1) nguyên tố cùng nhau. E là số lẻ.
Tính D sao cho DE = 1[mod(P-1)(Q-1)]: Gọi D là nghịch đảo của E. (Thử dần - số nguyên X để cho: D = [X(P-1)(Q-1) +1]/E là số nguyên )
Mã hóa: C = (T.expE) modPQ: T = văn bản gốc,C = văn bản mã hóa
Giải mã: T = (C.expD)modPQ
Khóa công khai : (PQ,E), khóa riêng : D-số mũ mật; E- số mũ công khai
Bảo vệ an ninh trong giao dịch TMĐT
MÃ RSA
Thí dụ :
p = 61; q = 53 ( hủy ngay sau khi tạo khóa )
n = pq = 3233 - modulo
e = 17 - số mũ mã hóa ( công bố công khai )
Khóa công khai A gửi đi cho B: ( 3233, 17 )
d = 2753 – số mũ giải mã ( A giữ riêng )
Văn bản gốc : 123
B dùng khóa công khai mã hóa :
12317 mod 3233 = 855
Văn bản mã được gửi đi : 855
A dùng khóa riêng giải mã : 8552753 mod 3233 = 123
Bảo vệ an ninh trong giao dịch TMĐT
MÃ RSA
* RSA operation: một dãy phép tính lũy thừa modulo khá lớn
Độ phức tạp :
khóa công khai = O(k2) bước tính tóan, khóa riêng = O(k3), tổng quát khóa = O(k4) – k là số bit của modulo
Giải mã rất chậm
Độ bảo mật cao : hầu như không có thuật tóan giải tổng quát mà phải dò thử dần – P,Q lớn thì kết qủa tìm thuật tóan ngược rất phức tạp
Nguy cơ : B gửi tin, chắc chắn chỉ A đọc được – A nhận tin, chưa chắc do B gửi ( Khóa công khai có thể lộ )
Bảo vệ an ninh trong giao dịch TMĐT
TRAO ĐỔI KHÓA CÔNG KHAI
A gửi E1 cho B, giữ D1 cho mình :
- B dùng E1 mã hóa văn bản E1(V) = V’ gửi cho A : chắc chắn không ai đọc được ngoài A
- A nhận được V’, dùng D1 giải D1(V’) = V : Chưa chắc có phải do B gửi không ? ( Khóa E1 có thể bị lộ ! )
Xử lý : Trao đổi khóa đảm bảo an tòan và tin cậy
A gửi E1 cho B giữ D1 cho mình,
B tạo khóa riêng D2, khóa công khai E2 - Dùng E1gửi E2 cho A, giữ D2: Chỉ có A đọc được E2
- A : E2(V) = V’, gửi cho B chắc chắn chỉ có B đọc
- B : nhận V’ chắc chắn do A gửi, đọc: D2(V’) = V
Bảo vệ an ninh trong giao dịch TMĐT
TRAO ĐỔI KHÓA CÔNG KHAI
* A dùng E2 mã hóa văn bản V thành E2(V) = V’ gửi cho B:
- chắc chắn chỉ có B ( có D2 mới đọc được )
* B nhận được V’ , tin chắc là do A gửi vì chỉ có A (có D1) mới giải mã E1(E2’) để sử dụng
* Văn bản từ A gửi cho B được tin cậy cả hai phía, người gửi và người nhận
Bảo vệ an ninh trong giao dịch TMĐT
PHONG BÌ SỐ
. Việc trao đổi thông điệp sử dụng sơ đồ trao đổi khóa công khai đảm bảo tin cậy trong giao dịch nhưng làm tăng độ phức tạp và giảm tốc độ trao đổi thông tin đáng kể.
. Để khắc phục, ta sử dụng khóa công khai, kết hợp khóa riêng để trao đổi khóa đối xứng gọi là phong bì số (digital envelop)
. Từ đó về sau A và B dùng khóa đối xứng K để mã hóa các thông điệp trao đổi.
Bảo vệ an ninh trong giao dịch TMĐT
PHONG BÌ SỐ
* Bước 1: Tạo phong bì số
A tạo E1 gửi cho B, giữ D1
B tạo D2 giữ riêng, tạo E2, dùng E1 ( nhận từ A) mã hóa: E1(E2) = E’2 gửi cho A
Bước 2: Chuyển giao khóa dối xứng
A tạo khóa đối xứng K dùng E2 mã hóa: E2(K) = K’ gửi cho B
B dùng D2 giải mã: D2(K’) = K
Chỉ có A và B cùng biết khóa K, từ đó giao dịch bằng khóa đối xứng K
IV.4. CHỮ KÝ ĐIỆN TỬ
Tốc độ mã hóa và giải mã khóa công khai rất chậm :
Không cần thiết mã hóa 2 lần tòan bộ văn bản!
Chữ ký điện tử : Một đoạn văn bản mã hóa theo qui ước riêng giữa hai đối tác được gửi kèm / gửi riêng với văn bản chính
Thường sử dụng hàm băm để lấy một mẫu văn bản, dùng khóa công khai đã trao đổi, mã hóa để làm chữ ký : văn bản khác nhau có thể có chữ ký khác nhau
Chữ ký điện tử / văn bản chính
CHỮ KÝ SỐ
Người ta có thể mã hóa (sử dụng khóa công khai) một nội dung duy nhất, gắn vào mọi thông điệp của mình phát hành để xác nhận trách nhiệm: đấy là chữ ký số
Nội dung chữ ký số có thể là: văn bản, hình ảnh, âm thanh hoặc video
Nhiều văn bản do một tổ chức phát hành có thể gắn một biểu tượng của tổ chức đó được mã hóa để đánh dấu nhận biết
Chữ ký số có thể xem là một chữ ký điện tử có nội dung xác định
CHỮ KÝ ĐIỆN TỬ
Trao đổi khóa công khai và chữ ký điện tử chỉ là giao dịch riêng tư giữa 2 đối tác có nguy cơ chốí bỏ văn bản đã phát hành :
Phát sinh nhu cầu đăng ký bảo lãnh ( chứng thực chữ ký điện tử ) : cần có bên thứ ba (trent) xác nhận chữ ký ĐT của một pháp nhân, thể nhân
Cơ quan chứng thực chữ ký ĐT ( chứng thực khóa công khai ) : CA – Certification Authority- có thể là thuộc chính phủ / phi chính phủ
VN hiện nay mới có CA: e-MOT: Vụ TMĐT
CHỮ KÝ ĐIỆN TỬ
Xác nhận chữ ký điện tử :
Cơ quan cấp chứng nhận chữ ký điện tử CA.
Chứng nhận số (Digital certificate) – Tiêu chuẩn quốc tế X.509
Hệ thống quan hệ giữa các CA :
Hệ thống CA gốc ( Root CA ) : Hàn quốc..
Hệ thống CA lưới (Network CA ) Mỹ, EU, Tquốc..
Về mặt công nghệ có thể xem tại:
www.verisign.com, www.vasc.com.vn
CHỮ KÝ ĐIỆN TỬ
Văn bản pháp luật
Hoa kỳ : Uniform Electronic Transaction Act – 48 bang
The Uniform Commercial Code ( UCC)
Digital Signature and Electronic Authentication Law
Mexico : E-Commerce Act -2000
Costa Rica : Digital Signature Law 8454 - 2005
Singapore : Electronic Transaction Law-2001
EU : Electronic Signature Directive - 1999
Liên hiệp Anh : Electronic Communications Act – 2000
Việt Nam : Luật Giao dịch điện tử - 2006
Nghị định về Chữ ký điện tử - MOT- 2007
CON DẤU SỐ
Trong các văn bản thông thường, dùng con dấu của tổ chức để xác nhận chữ ký: chữ ký ( thực ) dễ giả mạo trong khi con dấu được lưu mẫu tại cơ quan có thẩm quyền.
Hoàn toàn có thể tạo ra con dấu số - là chữ ký điện tử dùng chung của một tổ chức, gửi kèm với chữ ký số. Không sử dụng vì các nhược điểm:
Nhược điểm :
Độ bảo mật thấp hơn chữ ký số ( nhiều người được quyền sử dụng)
Người quản lý con dấu thường có mức trách nhiệm thấp hơn người có chữ ký
CON DẤU SỐ
Trong một số trường hợp, để tăng độ bảo mật, tổ chức vẫn có thể tạo thêm một lớp bảo mật
( như là đóng dấu sau khi ký ).
Tuy nhiên thường không gọi là con dấu số vì tác dụng chỉ như một phong bì thông thường có tiêu đề và logo của tổ chức
KẾT LUẬN
* THƯƠNG MẠI ĐIỆN TỬ ĐỒNG BỘ:
Hàng loạt vấn đề cần giải quyết ở mức vĩ mô
Không thể đốt cháy giai đoạn, có thể gây tổn thất kinh tế và xã hội khó lường
* ĐỊNH HƯỚNG HIỆN TẠI :
Tích cực phát triên các chức năng đơn lẻ : quảng cáo, marketing, giao dịch, bán hàng qua mạng ( kết hợp với các biện pháp truyền thống)
Tổ chức những chức năng thiếu trợ giúp (thanh toán, bảo vệ…)
Kết hợp với TM truyền thống
end
THƯƠNG MẠI ĐIỆN TỬ
CƠ SỞ VÀ MÔI TRƯỜNG
CHO SỰ PHÁT TRIỂN
THƯƠNG MẠI ĐIỆN TỬ
I. Hạ tầng cơ sở nhân lực
II. Môi trường khách hàng
III. Môi trường xã hội - pháp luật
Hiểm họa và biện pháp phòng chống
I. HẠ TẦNG CƠ SỞ NHÂN LỰC
CHUYÊN VIÊN CNTT :
Nhân lực Hợp đồng hỗ trợ :
- Chuyên viên Lập trình: Thiết kế website, Đồ họa, lập trình mạng, thiết kế website lần đầu và định kỳ/đột xuất hỗ trợ thay đổi
- Quản trị mạng: Định kỳ/đột xuất hỗ trợ giải quyết sự cố nếu có
- An ninh mạng: Hợp đồng, thuê tư vấn
- Chuyên viên viễn thông - tin học: Thiết kê, lắp đặt, vận hành bảo trì ( phần cứng )
I. HẠ TẦNG CƠ SỞ NHÂN LỰC
Nhân lực cơ hữu:
Do đặc điểm mua bán trực tuyến xuyên quốc gia - quốc tế, phải có nhân viên thường trực xử lý thông tin giao tiếp trên mạng, xử lý/báo cáo để xử lý các sự cố đột xuất
Nhân viên kỹ thuật tin học: vận hành, cập nhật thông tin.
Mọi nhân viên kinh doanh khác đều yêu cầu có kiến thức tối thiểu về Tin học văn phòng, sử dụng Internet
HẠ TẦNG CƠ SỞ NHÂN LỰC
* CHUYÊN VIÊN QUẢN LÝ TMĐT :
Netmanager, Admin, Giám đốc “cửa hàng ảo”(Cybermall), Người quản lý “siêu thị ảo” (MarketSpace)-Quan hệ với “Giám đốc thực”
Cấp quản trị website cao nhất, có quyền:
Quyết định nội dung, cấu trúc, thiết kế của website
Thâm nhập, can thiệp, xem, sửa nội dung tòan bộ website
Phân quyền cho các moderators các trang cấp dưới
HẠ TẦNG CƠ SỞ NHÂN LỰC
Moderators – Quan hệ với các Phòng, Ban hỗ trợ kinh doanh:
Quảng cáo, tiếp thị
Hỗ trợ khách hàng
Kế tóan, tài chính, thanh tóan điện tử
Phụ trách “Diễn đàn giao dịch”
Quản lý “kho ảo”,
Giao tiếp với các nhà cung cấp
Chịu sự quản lý tuyệt đối của Admin
Được phân quyền quản lý các trang thứ cấp, đề xuất ý kiến thay đổi với admin
HẠ TẦNG CƠ SỞ NHÂN LỰC
GIÁM ĐỐC
TÁC NGHIỆP QUẢN LÝ-HỖ TRỢ
Các quầy bán hàng Sales-Marketing, Kế tóan,…Kho
Nhân viên ảo Nhân viên thực và công cụ ảo
Thí dụ về : Form bán hàng, thanh tóan, thư chào hàng…
4
“Nhân viên” hướng dẫn khách hàng
Chào đón khách hàng
Form đăng ký khách hàng
Form giao dịch đặt mua hàng
“Nhân viên” thương lượng giá cả
II. MÔI TRƯỜNG KHÁCH HÀNG
Năng suất lao động xã hội
Nhu cầu tiết kiệm thời gian( để sản xuất hoặc để nghỉ ngơi, tái sản xuất sức lao động )
*Thói quen trong việc xác định chất lượng hàng hóa theo tiêu chí công nghiệp
*Thói quen thanh tóan điện tử
II. MÔI TRƯỜNG KHÁCH HÀNG
Mức sống, năng lực mua sắm ( khu vực, quốc gia )
GDP : Gross Domestic Product – Tổng sản phẩm quốc nội
GDP/per capita – TSP quốc nội theo đầu người
Việt Nam : -1995 = $260, 2000 = $460 – 2006 = 640 $, 2007 = 809$
II. MÔI TRƯỜNG KHÁCH HÀNG
PPP : Purchasing Power Parity – Sức mua tương đương. PPP/capita
Cách tính : Do nhiều tổ chức quốc tế IMF, World Bank, University of Pensylvania… trên cơ sở so sánh “trị giá một gói hàng”
2006 : Trung quốc = 7722 $( 87/181;1$=1,8JMP <7,8 JMP>) Việt Nam = 3393 $ (123/181)
List of countries by PPP : 1/ Luxembourg = 81.511$, 2/ Ireland = 44.676 3/ Norway = 44.648, 4/ USA = 41,333…180/ Tanzania = 723, 181/ Malawi = 596
II. MÔI TRƯỜNG KHÁCH HÀNG
Kiến thức sử dụng PC và dịch vụ Internet (ban đầu có thể trong tra cứu thông tin – giải trí)
Tri thức, tâm lý và thói quen sử dụng dịch vụ điện tử ( thiếu tin tưởng, ngại tiết lộ thông tin, ngại lừa đảo…)
Biết chút ít ngoại ngữ (Tiếng Anh ? )
III. MÔI TRƯỜNG XÃ HỘI
III.1.Đặc điểm của giao dịch TMĐT
Không mặt đối mặt
Không trực tiếp với hàng hóa trước khi giao dịch thành công
Nói chung : Thông tin không đầy đủ ( về dối tác, về hàng hóa…)
Thông tin, giao dịch trên môi trường “mở” dễ bị xâm nhập
Giao dịch xuyên quốc gia, quốc tế
III. MÔI TRƯỜNG XÃ HỘI
III.2.Yêu cầu trong giao dịch Mua và Bán
* Tính trung thực – Loyalty
* Tính an tòan – Security
* Tính hợp pháp – Legitimacy
* Tính riêng tư – Privacy
Khó khăn thực hiện các yêu cầu trên trong TMĐT so với TM truyền thống
III. MÔI TRƯỜNG XÃ HỘI
III.3. Hiểm họa trong Giao dịch điện tử
Các loại tội phạm điện tử :
Spam,Phishing, Pharming, DoS..
Virus máy tính : Worm, Spyware, Trojan horses
Hacker
Cracker
III. MÔI TRƯỜNG XÃ HỘI
SPAM
* SPAM = Simultaneous Posted Advertising Mails. Thư rác = Thư quảng cáo không được phép người nhận ( Unsollicited Mail ):
- Thư vô hại/đùa nghịch ( ranh giới ?)
- Thư quấy nhiễu
- Thư quảng cáo tùy tiện ( Unsollicited Commercial Mail )
- Forum Spam
III. MÔI TRƯỜNG XÃ HỘI
Thiệt hại do SPAM
Thống kê của ngành tư pháp California 2004: Mỹ thiệt hại 10 tỷ$ cho các tổ chức
Xem chi tiết :
http://www.mxlogic.com/resources/spam_calculator/index.html
Thiệt hại (vô hình về thời gian dọn rác)
Thiệt hại tinh thần cho người bị quấy nhiễu
III. MÔI TRƯỜNG XÃ HỘI
DoS ( Denial of Service )
Làm cho một hòm thư, một cổng thông tin quá tải không làm việc được bằng cách gửi dồn dập spam vào hòm thư hoặc chiếm đường truy cập website: mailbombing – đánh sập
Thí dụ :Usenet Meow Wars (1996) - Đóng dịch vụ UseNet hàng tháng
SPORGERY = spam + forgery : phần mềm sản xuất spam hàng loạt tấn công một địa chỉ.
III. MÔI TRƯỜNG XÃ HỘI
CÁC DẠNG PHISING PHỔ BIẾN
Nigeria 419 : Lừa thừa kế tài sản ( trong tài khỏan vô chủ, tài sản đen ), thường có nguồn gốc từ các quốc gia có biến động chính trị, đảo chính, từ thông tin tai nạn …
Lừa đảo trúng xổ số trên mạng
Mời hợp tác rửa tiền ( có thể có thực )
Thông báo kiểm tra lại thông tin tài khỏan-pharming ( Lấy thông tin để lấy trộm tiền, chi trả trực tuyến…)
III. MÔI TRƯỜNG XÃ HỘI
VIRUS MÁY TÍNH
* Virus máy tính do con người tạo ra và gửi đi
* Virus máy tính là một đoạn mã được cài giấu trong một phần mềm, sau khi xâm nhập vào một “cơ thể máy tính”, có khả năng lưu trú, nhân bản rất nhanh, phá hoại máy tính đó và lây lan sang các máy tính khác kết nối với nó
* Tác hại : xóa dũ liệu, sao chép và trộm gửi dữ liệu, thay đổi làm sai lệch dữ liệu, chiếm bộ nhớ làm chậm hoạt dộng của MT, gây DoS…
III. MÔI TRƯỜNG XÃ HỘI
Các loại virus
1.Sâu MT (worm): Một đoạn phần mềm có khả năng tự tái tạo những bản sao của nó. Các bản sao lan sang mọi máy tính khác sử dụng cùng cơ chế an ninh và xóa dũ liệu trong các MT đó (file txt, exe…)
2.Gián điệp MT (Trojan horses): phần mềm được gửi lưu trú vào trong một số files, khi khởi động thì xóa files đó/sao chép files gửi đến địa chỉ mặc định - không tự động tái tạo
III. MÔI TRƯỜNG XÃ HỘI
Các loại virus
*3. Logic bombs: được gửi lưu trú trong một MT và chỉ bột phát hoạt động theo một lệnh mặc định nào đó : hẹn ngày giờ, số lần khởi động máy, khi sử dụng một lệnh mặc định…(có thể dùng bảo vệ sở hữu trí tuệ, chống sao chép)
* E-mail virus: dùng các e-mail message làm phương tiện truyền lan, tự sao chép và gửi đến các địa chỉ trong address book – lây lan rộng và nhanh
*Virus truyền lan qua các phần cứng : Đĩa mềm, USB, đĩa CD v..v..
III. MÔI TRƯỜNG XÃ HỘI
Virus máy tính
Lịch sử : 1982 xuất hiện virus MT đầu tiên được biết. “El Cloner”- chú hề - trên Apple DOS 3.3 do Rich Skrenta cài vào đĩa mềm trò chơi.
Từ giữa thập kỷ 1990 xuất hiện Trojan đánh cắp dữ liệu trên Microsoft Office và Mac OS
Tháng 3/1999 : virus MELISA – năm 2000: virus ILOVEYOU làm tê liệt hệ thống E-mail của Microsoft và nhiều hãng khác nhiều ngày
Trong một ngày tháng 01/2004:virus MYDOOM lan ra hon 2.500.000 MT trên thế giới.
III. MÔI TRƯỜNG XÃ HỘI
Mục đích tạo virus
* Thoạt đâu: Trò chơi tinh nghịch xuất phát từ học sinh sinh viên gây rối…
* Sử dụng để bảo vệ bản quyền phần mềm, bảo mật dữ liệu
* Sử dụng vào mục đích ăn cắp bản quyền, gián điệp kinh tế /chính trị, phá hoại trong cạnh tranh kinh tế, thương mại
III. MÔI TRƯỜNG XÃ HỘI
PHARMING
- Pharming: Cách viết gần giống từ Farming- gặt hái – dùng để chỉ việc trộm cắp trên mạng:
* Trộm thông tin, dữ liệu, trộm mật khẩu
* Trộm tài khoản
* Trộm tiền
- Phương thức:
* Dùng địa chỉ Email, trang web giả mạo
* Cài chip gián điệp vào ATM
III. MÔI TRƯỜNG XÃ HỘI
HACKER
* Hacker : tên gọi chung những kẻ có hành vi phá hoại trên MT và mạng MTT, tạo và phát tán virus
Xâm nhập trái phép CSDL của người khác
Xâm nhập, phá phách ( mọi hình thức và mức độ) các website
Phát tán các thông tin, tư liệu không được phép (của cá nhân, tổ chức)
Cracker ( bẻ khóa bảo vệ an ninh )
* Tội danh và chế tài tùy theo hệ thống pháp lý quốc gia, địa phương
III. MÔI TRƯỜNG XÃ HỘI
Hệ thống văn bản pháp lý
Tháng 10/2005 Quốc hội VN thông qua luật Giao dịch điện tử, hiệu lực từ 01/03/2006
Tháng 03/2006 Thủ tướng ban hành Nghị định về chứng thư điện tử, chữ ký điện tử, các cơ quan chứng thực chữ ký điện tử
Hiện nay vẫn chưa có các thông tư, văn bản hướng dẫn thực hiện, chưa có hệ thống hoàn chỉnh các tổ chức thực hiện
III. MÔI TRƯỜNG XÃ HỘI
NGHỊ ĐỊNH CHỐNG SPAM –
Tháng 8/2008
+ Thư rác (spam) là thư điện tử, tin nhắn được gửi đến người nhận mà người nhận đó không mong muốn hoặc không có trách nhiệm phải tiếp nhận theo quy định của pháp luật. Thư rác gồm thư điện tử rác và tin nhắn rác.
+ Tổ chức, cá nhân ngoại trừ nhà cung cấp dịch vụ quảng cáo chỉ được phép gửi thư điện tử quảng cáo, tin nhắn quảng cáo khi có sự đồng ý trước đó của người nhận.
+ Trong vòng 24 giờ kể từ khi nhận được yêu cầu từ chối, người quảng cáo hoặc nhà cung cấp dịch vụ quảng cáo phải chấm dứt việc gửi đến người nhận các thư điện tử quảng cáo hay tin nhắn quảng cáo đã bị người nhận từ chối trước đó trừ trường hợp bất khả kháng.
+ Chỉ được thu thập địa chỉ điện tử cho mục đích quảng cáo khi được sự đồng ý của người sở hữu địa chỉ điện tử đó.
(theo Vnexpress)
III. MÔI TRƯỜNG XÃ HỘI
III.4. QUẢN LÝ XÃ HỘI
* Mọi hoạt động xã hội đều phải có hệ thống tổ chức, cơ quan quản lý.
* Quản lý thương mại truyền thống có : Thưong mại, Kế hoạch đầu tư, Tài chính (Thuế, Hải quan..), Công an, Biên phòng..các tùy viên thương mại..các tổ chức phi chính phủ : Phòng Thương mại, các Hội nghề nghiệp, Hiệp hội, nghiệp đoàn…
* Quản lý TMĐT : ???
III. MÔI TRƯỜNG XÃ HỘI
Ở Việt nam hiện nay :
Ủy ban quốc gia về TMĐT (?)
Bộ Thương mại
Bộ Bưu chính viễn thông
đều có các chức năng xem xét một số vấn đề liên quan đến TMĐT ( chưa có cơ quan quản lý nhà nước ). Còn thiếu nhiều lĩnh vực : Tài chính (bán vé máy bay trực tuyến ?), Văn hóa thông tin…
Nhiều vấn đề chưa xác định được có là hành động phạm tội hay không, chế tài xử lý ? ( Quảng cáo, thông tin nhiễu…)
III. MÔI TRƯỜNG XÃ HỘI
TOÀN CẦU HOÁ VÀ MÔI TRƯỜNG QUỐC TẾ
KHUNG TMĐT TÒAN CẦU
LUẬT GIAO DỊCH ĐIỆN TỬ
Bảo hộ quyền sở hữu, chế tài đối với vi phạm trong giao dịch quốc tế
Các văn bản ký kết quốc tế và khu vực : Khung TMĐT toàn cầu
Luật chống Spam, chống hacker, v/đ Thuế quan..
Luật giao dịch ĐT của từng quốc gia..
IV. BẢO VỆ AN NINH TRONG
GIAO DỊCH TMĐT
IV.1. CÁC HIỂM HỌA
Rò rỉ thông tin trong giao dịch
Trộm cắp tài khỏan, tiền nong
Mạng thông tin nội bộ bị thâm nhập (vào, ra)
Văn bản không được thừa nhận
Virus
Hacker…
Bảo vệ sở hữu trí tuệ
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
Bảo vệ mạng nội bộ :
“Tường lửa” (FireWall)
- Là cơ chế ngăn chặn bảo vệ CSDL chống truy nhập trái phép
- Lọc bỏ địa chỉ không hợp lệ, tiêu chí mặc định khác, từ khóa..
CSDL nôị bộ Tường lửa Internet
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
FIREWALL-1:
* Sử dụng router có tích hợp tính năng lọc gói tin, kiểm sóat IP address (nguồn) cho phép kết nối hoặc từ chối
* Chống việc sử dụng địa chỉ giả : Tăng cường lọc bằng thông tin định danh khác : thời gian, giao thức, cổng..
* Thủ thuật dùng dịch vụ Remote Procedure Call –RPC - gán cổng ngẫu nhiên, sử dụng giao thức UDP –User Datagram Protocol – khó lọc !
FIREWALL-1:
Tiêu chí lọc: - Địa chỉ nguồn, Cổng
- Từ khóa mặc định
Input Tiêu chí lọc Cho qua
Chặn
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
FIREWWALL 2
Thay đổi địa chỉ
* Địa chỉ IP công cộng : Do ISP cung cấp cho người sử dụng khi kết nối Internet
*Địa chỉ riêng : Địa chỉ nội bộ, kết nối Internet thông qua NAT Server hoặc NAT/PAT để dùng địa chỉ công cộng ( của LAN )
Có 3 khối địa chỉ riêng do Hiệp hội Internet phân bố, phổ biến nhất là khối lớp B : 192.168.xxx.yyy
Kỹ thuật dịch địa chỉ trong mạng : Network Address Translation –NAT- và dịch địa chỉ cổng : Port Address Translation – PAT –
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
FIREWALL-2
* Các kết nối từ thành phần trong LAN ( có địa chỉ riêng được giấu kín ) ra Internet đều có IP address chung : giả dạng – masquerade
* Ngăn vào : từ ngoài truy cập từng máy trong LAN phải qua cấu trúc DMZ (Demilitarized Zone ) với các lệnh : Accept, Deny, Reject
* Giới hạn ra : Firewall chỉ cho phép kết nối với cổng/địa chỉ không bị cấm
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
THÍ DỤ : FIREWALL-2. NAT
Public : Data = 219.192.1.1, Post 1234
Private : Data = 192.168.1.123, Post 80
1/ Kg có NAT : loại 2/ Nối qua địa chỉ công 3/ Nhận qua địa chỉ công 4/ Xóa NAT
BẢO VỆ AN NINH TRONG GIAO DỊCH TMĐT
IV.2. TƯỜNG LỬA
Hiện nay đã sản xuất các Router tích hợp dịch vụ tường lửa :
* Cisco 1800, 2800 : bảo vệ mạng, ngăn xâm nhập, bảo mật IP Address. Tích hợp khả năng xử lý giọng nói
* FortiGate ( Đài loan )
* CheckPointSafe@Office225
* Jupiter Netscreen-5GT Wireless
* Sonicwall PRO 2040
Thích hợp cho sử dụng gia đình, doanh nghiệp nhỏ
BẢO VỆ AN NINH TRONGGIAO DỊCH TMĐT
Sử dụng Firewall :
- Xây dựng Firewall ( tự làm, thuê )
- Dùng router tích hợp…
- Khó khăn khi sử dụng :
Thay đổi đối sách của địch
Đường vòng trên mạng
Khó khăn cho người sử dụng
Bảo vệ an ninh trong giao dịch TMĐT
IV.3. Mã hóa và giải mã :
Định nghĩa toán học:
Cho tập ký tự gốc: S =
tập ký tự mã: C =
li là độ dài từ mã:
E(si) {ci1, ci2,…cili}
Bảo vệ an ninh trong giao dịch TMĐT
IV.3.Mã hóa và giải mã
Thí dụ 1: Mã nhị phân: 0 0
1 1
2 10
3 11
4 100 …
Thí dụ 2: Mã Morse: e .
a .-
m - -
l . - . .
Bảo vệ an ninh trong giao dịch TMĐT
IV.3.Mã hóa và giải mã :
- Mật mã ( Cryptography)
- Có lịch sử từ La mã ( Caesar ): truyền thông điệp quân sự bí mật đến các đơn vị quân đội:
Thí dụ : VINH (khóa +3 cyclic) ZLQK (chìa khóa -3) VINH
Văn bản gốcmã hóavăn bản mật
(Plaintext) (Cyphertext) giải mãvăn bản gốc
V E(V) V’ ( gửi đi ) D( V’ ) = V
MÃ ĐỐI XỨNG
Khóa E, - chìa khóa D = E-1 , gọi là mã hóa đối xứng, là một từ điển 2 chiều : xuôi = mã hóa; ngược = giải mã.
Mã hóa đối xứng, tốc độ lập mã, giải mã cao. tính bảo mật khá cao, do khả năng khó dò tìm chìa khóa
WE(W)…….truyền….D[E(W)] W
Khó khăn khi chuyển giao chìa khóa từ xa bằng phương tiện thông tin công cộng: không được bảo mật
Chí thuận tiện cho việc tự bảo mật dữ liệu / có điều kiện chuyển giao chìa khóa trực tiếp ( Caesar )
Bảo vệ an ninh trong giao dịch TMĐT
Bảo vệ an ninh trong giao dịch TMĐT
Thuật tóan lập mã đối xứng DES
DES – Data Encryption Standard dùng mô tả phần mềm lập mã đối xứng : DEA – Data Encryption Algorithm ( khoảng 1970) độ bảo mật khá cao
DES dùng block 64 bit = 56 bit khóa + 8 bit parity
DEA là thuật tóan mã hóa đối xứng
Tốc độ giải mã nhanh
Thường dùng cho single user.
Dùng cho multiple user khó chuyển giao, kém bảo mật
FISP sau 5 năm xác nhận lại một lần
Trong 10 năm gần đây xuất hiện AES – Advanced Encryption Standard – độ bảo mật cao hơn
Bảo vệ an ninh trong giao dịch TMĐT
DES
* Nếu không lộ khóa, độ bảo mật khá cao, trung bình phải thực hiện 255 plaintext để dò (thám mã) trong thuật tóan crack
Biham & Shamir dùng thuật tóan phân tích mã vi sai, phải có 244 plaintexts
Matsui dùng thuật tóan phân tích mã tuyến tính, chỉ cần 243 plaintexts
Gần đây tạo được các máy chuyên dụng giải mã có thể tìm ra khóa mã trong 22 giờ làm việc ( sử dụng trong an ninh, quốc phòng)
Bảo vệ an ninh trong giao dịch TMĐT
Mã hóa khóa chung ( Public key Encryption)
Sơ đồ :
A tạo E và D, gửi E-khóa công khai – public key - cho B, giữ D - khóa riêng- private key
B dùng E mã hóa E(V) = V’ gửi cho A
A dùng D giải D(V’) = V
+ Chỉ có A (có D) mới giải mã được
+ Phải có E mới mã hóa được
+ D dùng để giải E, nhưng biết nếu chỉ biết E không thể tìm được D.
+ E và D không phải là từ điển 2 chiều mà là những phép tóan riêng.
Bảo vệ an ninh trong giao dịch TMĐT
Thuật tóan mã công khai : MÃ RSA
Mã RSA, Ron Rivest, Adi Shamir, Leonard Adleman, thuật tóan lập mã công khai, độ bảo mật cao, tốc độ giải mã chậm.
Thuật tóan :
* Chọn 2 số nguyên tố khá lớn (>1024bit) P và Q
Chọn 1< E < PQ, E và (P-1)(Q-1) nguyên tố cùng nhau. E là số lẻ.
Tính D sao cho DE = 1[mod(P-1)(Q-1)]: Gọi D là nghịch đảo của E. (Thử dần - số nguyên X để cho: D = [X(P-1)(Q-1) +1]/E là số nguyên )
Mã hóa: C = (T.expE) modPQ: T = văn bản gốc,C = văn bản mã hóa
Giải mã: T = (C.expD)modPQ
Khóa công khai : (PQ,E), khóa riêng : D-số mũ mật; E- số mũ công khai
Bảo vệ an ninh trong giao dịch TMĐT
MÃ RSA
Thí dụ :
p = 61; q = 53 ( hủy ngay sau khi tạo khóa )
n = pq = 3233 - modulo
e = 17 - số mũ mã hóa ( công bố công khai )
Khóa công khai A gửi đi cho B: ( 3233, 17 )
d = 2753 – số mũ giải mã ( A giữ riêng )
Văn bản gốc : 123
B dùng khóa công khai mã hóa :
12317 mod 3233 = 855
Văn bản mã được gửi đi : 855
A dùng khóa riêng giải mã : 8552753 mod 3233 = 123
Bảo vệ an ninh trong giao dịch TMĐT
MÃ RSA
* RSA operation: một dãy phép tính lũy thừa modulo khá lớn
Độ phức tạp :
khóa công khai = O(k2) bước tính tóan, khóa riêng = O(k3), tổng quát khóa = O(k4) – k là số bit của modulo
Giải mã rất chậm
Độ bảo mật cao : hầu như không có thuật tóan giải tổng quát mà phải dò thử dần – P,Q lớn thì kết qủa tìm thuật tóan ngược rất phức tạp
Nguy cơ : B gửi tin, chắc chắn chỉ A đọc được – A nhận tin, chưa chắc do B gửi ( Khóa công khai có thể lộ )
Bảo vệ an ninh trong giao dịch TMĐT
TRAO ĐỔI KHÓA CÔNG KHAI
A gửi E1 cho B, giữ D1 cho mình :
- B dùng E1 mã hóa văn bản E1(V) = V’ gửi cho A : chắc chắn không ai đọc được ngoài A
- A nhận được V’, dùng D1 giải D1(V’) = V : Chưa chắc có phải do B gửi không ? ( Khóa E1 có thể bị lộ ! )
Xử lý : Trao đổi khóa đảm bảo an tòan và tin cậy
A gửi E1 cho B giữ D1 cho mình,
B tạo khóa riêng D2, khóa công khai E2 - Dùng E1gửi E2 cho A, giữ D2: Chỉ có A đọc được E2
- A : E2(V) = V’, gửi cho B chắc chắn chỉ có B đọc
- B : nhận V’ chắc chắn do A gửi, đọc: D2(V’) = V
Bảo vệ an ninh trong giao dịch TMĐT
TRAO ĐỔI KHÓA CÔNG KHAI
* A dùng E2 mã hóa văn bản V thành E2(V) = V’ gửi cho B:
- chắc chắn chỉ có B ( có D2 mới đọc được )
* B nhận được V’ , tin chắc là do A gửi vì chỉ có A (có D1) mới giải mã E1(E2’) để sử dụng
* Văn bản từ A gửi cho B được tin cậy cả hai phía, người gửi và người nhận
Bảo vệ an ninh trong giao dịch TMĐT
PHONG BÌ SỐ
. Việc trao đổi thông điệp sử dụng sơ đồ trao đổi khóa công khai đảm bảo tin cậy trong giao dịch nhưng làm tăng độ phức tạp và giảm tốc độ trao đổi thông tin đáng kể.
. Để khắc phục, ta sử dụng khóa công khai, kết hợp khóa riêng để trao đổi khóa đối xứng gọi là phong bì số (digital envelop)
. Từ đó về sau A và B dùng khóa đối xứng K để mã hóa các thông điệp trao đổi.
Bảo vệ an ninh trong giao dịch TMĐT
PHONG BÌ SỐ
* Bước 1: Tạo phong bì số
A tạo E1 gửi cho B, giữ D1
B tạo D2 giữ riêng, tạo E2, dùng E1 ( nhận từ A) mã hóa: E1(E2) = E’2 gửi cho A
Bước 2: Chuyển giao khóa dối xứng
A tạo khóa đối xứng K dùng E2 mã hóa: E2(K) = K’ gửi cho B
B dùng D2 giải mã: D2(K’) = K
Chỉ có A và B cùng biết khóa K, từ đó giao dịch bằng khóa đối xứng K
IV.4. CHỮ KÝ ĐIỆN TỬ
Tốc độ mã hóa và giải mã khóa công khai rất chậm :
Không cần thiết mã hóa 2 lần tòan bộ văn bản!
Chữ ký điện tử : Một đoạn văn bản mã hóa theo qui ước riêng giữa hai đối tác được gửi kèm / gửi riêng với văn bản chính
Thường sử dụng hàm băm để lấy một mẫu văn bản, dùng khóa công khai đã trao đổi, mã hóa để làm chữ ký : văn bản khác nhau có thể có chữ ký khác nhau
Chữ ký điện tử / văn bản chính
CHỮ KÝ SỐ
Người ta có thể mã hóa (sử dụng khóa công khai) một nội dung duy nhất, gắn vào mọi thông điệp của mình phát hành để xác nhận trách nhiệm: đấy là chữ ký số
Nội dung chữ ký số có thể là: văn bản, hình ảnh, âm thanh hoặc video
Nhiều văn bản do một tổ chức phát hành có thể gắn một biểu tượng của tổ chức đó được mã hóa để đánh dấu nhận biết
Chữ ký số có thể xem là một chữ ký điện tử có nội dung xác định
CHỮ KÝ ĐIỆN TỬ
Trao đổi khóa công khai và chữ ký điện tử chỉ là giao dịch riêng tư giữa 2 đối tác có nguy cơ chốí bỏ văn bản đã phát hành :
Phát sinh nhu cầu đăng ký bảo lãnh ( chứng thực chữ ký điện tử ) : cần có bên thứ ba (trent) xác nhận chữ ký ĐT của một pháp nhân, thể nhân
Cơ quan chứng thực chữ ký ĐT ( chứng thực khóa công khai ) : CA – Certification Authority- có thể là thuộc chính phủ / phi chính phủ
VN hiện nay mới có CA: e-MOT: Vụ TMĐT
CHỮ KÝ ĐIỆN TỬ
Xác nhận chữ ký điện tử :
Cơ quan cấp chứng nhận chữ ký điện tử CA.
Chứng nhận số (Digital certificate) – Tiêu chuẩn quốc tế X.509
Hệ thống quan hệ giữa các CA :
Hệ thống CA gốc ( Root CA ) : Hàn quốc..
Hệ thống CA lưới (Network CA ) Mỹ, EU, Tquốc..
Về mặt công nghệ có thể xem tại:
www.verisign.com, www.vasc.com.vn
CHỮ KÝ ĐIỆN TỬ
Văn bản pháp luật
Hoa kỳ : Uniform Electronic Transaction Act – 48 bang
The Uniform Commercial Code ( UCC)
Digital Signature and Electronic Authentication Law
Mexico : E-Commerce Act -2000
Costa Rica : Digital Signature Law 8454 - 2005
Singapore : Electronic Transaction Law-2001
EU : Electronic Signature Directive - 1999
Liên hiệp Anh : Electronic Communications Act – 2000
Việt Nam : Luật Giao dịch điện tử - 2006
Nghị định về Chữ ký điện tử - MOT- 2007
CON DẤU SỐ
Trong các văn bản thông thường, dùng con dấu của tổ chức để xác nhận chữ ký: chữ ký ( thực ) dễ giả mạo trong khi con dấu được lưu mẫu tại cơ quan có thẩm quyền.
Hoàn toàn có thể tạo ra con dấu số - là chữ ký điện tử dùng chung của một tổ chức, gửi kèm với chữ ký số. Không sử dụng vì các nhược điểm:
Nhược điểm :
Độ bảo mật thấp hơn chữ ký số ( nhiều người được quyền sử dụng)
Người quản lý con dấu thường có mức trách nhiệm thấp hơn người có chữ ký
CON DẤU SỐ
Trong một số trường hợp, để tăng độ bảo mật, tổ chức vẫn có thể tạo thêm một lớp bảo mật
( như là đóng dấu sau khi ký ).
Tuy nhiên thường không gọi là con dấu số vì tác dụng chỉ như một phong bì thông thường có tiêu đề và logo của tổ chức
KẾT LUẬN
* THƯƠNG MẠI ĐIỆN TỬ ĐỒNG BỘ:
Hàng loạt vấn đề cần giải quyết ở mức vĩ mô
Không thể đốt cháy giai đoạn, có thể gây tổn thất kinh tế và xã hội khó lường
* ĐỊNH HƯỚNG HIỆN TẠI :
Tích cực phát triên các chức năng đơn lẻ : quảng cáo, marketing, giao dịch, bán hàng qua mạng ( kết hợp với các biện pháp truyền thống)
Tổ chức những chức năng thiếu trợ giúp (thanh toán, bảo vệ…)
Kết hợp với TM truyền thống
end
THƯƠNG MẠI ĐIỆN TỬ
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Trương Hương
Dung lượng: |
Lượt tài: 0
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)