Đề cương thương mại điện tử

 TMĐT: mối đe dọa lớn nhất là bị “mất” các thông tin liên quan đếnthẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ragiao dịch Xem lén thư điện tử - Sự tấn công từ

Câu hỏi ôn tập Câu 1: Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT

Giai đoạn 1: Thương mại Thông tin (i-Commerce) Thông tin

(Information) lên mạng web Trao đổi, đàm phán, đặt hàng qua mạng (e-mail,

chat, forum ) Thanh toán, giao hàng truyền thống

- Mua máy tính, email, lập website

- Giao dịch với khách hàng, nhà cung cấp bằng email

- Tìm kiếm thông tin trên web

- Quảng bá doanh nghiệp trên web

- Hỗ trợ khách hàng về sản phẩm, dịch vụ

Giai đoạn 2: Thương mại Giao dịch (t-Commerce) Hợp đồng điện tử (ký kết qua mạng) Thanh toán điện tử (thực hiện qua mạng) (online transaction).

- Xây dựng mạng nội bộ doanh nghiệp

- Ứng dụng các phần mềm quản lý Nhân sự, Kế toán, Bán hàng, Sản xuất,Logistics

- Chia sẻ dữ liệu giữa các đơn vị trong nội bộ doanh nghiệp

Giai đoạn 3: Thương mại “cộng tác”(c-Business) Integrating /

Collaborating Nội bộ doanh nghiệp các bộ phận lkết (integrating) và kết nối với các đối tác kinh doanh (connecting)

- Liên kết doanh nghiệp với nhà cung cấp, khách hàng, ngân hàng, cơ

quan quản lý nhà nước

- Triển khai các hệ thống phần mềm Quản lý khách hàng (CRM), Quản lýnhà cung cấp (SCM), Quản trị nguồn lực doanh nghiệp (ERP)

Câu 2: Phân loại TMĐT

- B2B (Business to Business): Doanh nghiệp này bán hàng cho doanhnghiệp khác

Ví dụ: Wal-Mart, Siemens

- B2C (Business to Consumer): Doanh nghiệp bán hàng cho người tiêudùng

Ví dụ:Amazon.com, Pets.com, Merrill Lynch Online

- C2C (Consumer to Consumer): Khách hàng với khách hàng

Câu 4: Các rủi ro mất ATTT của Internet

- Virus và các mã độc hại trên Internet

 Liệt kê, tổng hợp các thông tin

 Tìm cách truy cập thông qua việc lợi dụng người sử dụng hệ thống

 Nâng cấp quyền

 Thu thập các mật khẩu và các bí mật hệ thống khác

 Cài đặt cổng hậu (backdoor)

 TMĐT: mối đe dọa lớn nhất là bị “mất” các thông tin liên quan đếnthẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ragiao dịch

 Xem lén thư điện tử

- Sự tấn công từ bên trong doanh nghiệp

- Đánh cắp định danh:

 Định danh số: sự thể hiện của một người trong hệ thống thông tin

o Danh tính của người sử dụng

o Các yếu tố đặc trưng

 Các trường hợp tội phạm đánh cắp định danh

o Sử dụng định danh ăn cắp để mở tài khoản mới kiếm lợi

o Sử dụng định danh ăn cắp được để lạm dụng tài khoản hiện

có của người chủ thật

o Ăn cắp định danh tội phạm: khi tội phạm đánh cắp định danhcủa 1 người khác và đưa định danh đó cho bộ phận luật phápthay thế cho định danh của mình

o A1: Dữ liệu đầu vào không được kiểm tra

o A2: Lỗi kiểm soát truy cập nguồn tài nguyên

o A3: Lỗi liên quan đến quá trình quản lý xác thực và phiêntruy cập

o A4: Lỗi Cross Site Scripting (XSS)

o A5: Lỗi tràn bộ đệm

- Tấn công trên máy chủ Web

 Các tấn công này dựa trên lỗ hổng của hệ điều hành máy chủ chứaứng dụng web

 Tấn công các lỗ hổng liên quan đến vấn đề quản trị Web

- Tấn công trên trình duyệt web

 Dữ liệu đầu vào không được kiểm tra

 Lỗi kiểm soát truy cập nguồn tài nguyên

 Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập

 Lỗi Cross Site Scripting (XSS)

 Lỗi tràn bộ đệm

 Lỗi Injection

 Quy trình quản lý báo lỗi

 Lưu trữ thiếu an toàn

 Từ chối dịch vụ

 Quản lý cấu hình thiếu an toàn

Câu 5: Trình bày về các tấn công sau và cách phòng chống:

Phishing:

- Là một hình thức gian lận để có được những thông tin nhạy cảm như:username, password, creditcard bằng cách giả mạo một thực thể đángtin cậy trong quá trình giao tiếp trên mạng Sử dụng email, tin nhắn gửiđến người dùng yêu cầu cung cấp thông tin cần thiết

- Cách phòng chống:

+ Cảnh giác trước những thông tin lạ, lời quảng cáo, email mang tính chấtđánh vào tâm lí người dùng như nhận quà, tạo lại tài khoản

+ Sử dụng những công cụ phát hiện web không tin cậy

+ Dùng giao thức https khi truy cập những trang web chứa nhiều thôngtin mật như gmail

Sesion Hijacking:

- Tấn công lên phiên làm việc giữa client và server đánh cắp cookie ngườidùng sau khi họ bước qua phiên xác thực để chiếm lấy phiên làm việc.Chủ động tính toán các giá trị tuầ tự của gói tin trong tcp session Thụđộng thì thu thập thông tin truyền thông chiếm được cookie

+ Nâng cao nhận thức an toàn thông tin

+ Sử dụng thông tin truy cập khác nhau cho các tài khoản khác nhau

Từ chối dịch vu:

- Ngăn cản người dùng hợp pháp truy cập và sử dụng một dịch vụ nào đó.Làm tràn ngập mạng, gây mất kết nối tới dịch vụ mục đích làm serverkhông đáp ứng được yêu cầu của client Bản chất: kẻ tấn công chiếm mộtlượng lớn băng thông, bộ nhớ và làm mất khả năng xử lí các yêu cầu dịch

vụ từ các client

- Phòng chống: gia tăng tài nguyên(băng thông, CPU, disk space,memory) Tài nguyên phát tán rộng trên Internet.

- Giảm thiểu tác hại: cản lọc những đặc điểm cụ thể dựa trên thông tin từlogs hoặc từ packet điều này yêu cầu người quản trị phải am hiểu về logscũng như các gói tin Ấn định sô lần truy cập trong một khoảng thời giannhất định

Virus:

- Là một chương trình, đoạn mã tự nhân bản và sao chép Có thể thực hiệncác hành động như xóa dữ liệu, làm hỏng ổ cứng, làm cho chương trìnhhoạt động không đúng Nhằm mục đích lấy cắp dữ liệu người dùng,thông tin nhạy cảm, mở cổng sau cho tin tặc xâm nhập, tấn công chiếmquyền điều khiển

- Phòng chống: sử dụng antivirus, sao lưu ổ đĩa, sử dụng tường lửa, cậpnhật bản vá lỗi

6 Phân biệt các phần mềm độc hại: adware, spyware, Trojan horse, worm và cách phòng tránh

Các loại phần mềm độc hại:

 Spyware: đánh cắp thông tin.

 Adware: hiển thị popup quảng cáo không mong muốn.

 Trojan horse: tồn tại dưới dạng ẩn bên trong chương trình có ích, thực hiện hành vi

ác ý theo ý đồ người viết, không có khả năng tự nhân bản, không có tính chất lây lan.

 Back door: có tính chất giống trojan horse, mở một cửa hậu để kẻ tấn công kết nối

đến.

 Worrm: có tính chất phá hoại của virus và hoạt động âm thầm của trojan, tốc độ lây

lan nhanh, hoạt động độc lập Tự nhân bản chính nó, không cần chương trình chủ thể

để lây lan Tự tìm môi trường, tự tìm cách lây lan bằng cách dựa vào điểm yếu của hệ điều hành, hệ thống mạng mà không cần sự tác động của người dùng hoặc chương trình khác.

Cách phòng chống:

 sd phần mềm Antivirus;

 cập nhật hệ điều hành, ứng dụng thường xuyên để vá lỗi;

 sử dụng chữ ký số để bảo về file hệ thống và file điều khiển;

Câu 7: Trình bày về giao thức SSH

- SSH – Secure Shell: Là giao thức giúp thiết lập một kết nối đến tàinguyên một cách bảo mật

- Nằm ở tầng 4 (tầng ứng dụng) trong mô hình TCP/IP

a Chức năng

- Đảm bảo thực hiện các lệnh từ xa an toàn (Secure command shell,remote execution of commands)

- Đảm bảo truyền file an toàn

- Tạo các tunnel truyền dữ liệu cho các ứng dụng dựa trên TCP/IP

b Dịch vụ cung cấp

- Tính bí mật:

+ SSH cung cấp tính bí mật bằng việc mã hóa dữ liệu đi qua mạng

+ Hỗ trợ nhiều thuật toán mã hóa đối với phiên dữ liệu, đó là những thuậttoán mã hóa chuẩn như: AES, DES, 3DES,

- Tính toàn vẹn:

+ Giao thức SSH sử dụng phương pháp kiểm tra toàn vẹn mật mã Phương pháp này kiểm tra cả việc dữ liệu có bị biến đổi hay không và dữliệu đến có đúng là do đầu kia gửi không

+ Sử dụng thuật toán băm MD5, SHA1

- Tính xác thực:

+ Mỗi kết nối SSh gồm 2 việc xác thực: Client kiểm tra định danh củaSSH Server và Server kiểm tra định danh của người sử dụng yêu cầu truycập

+ SSH hỗ trợ xác thực bằng mật khẩu

+ Ngoài ra SSH còn cung cấp cơ chế mạnh hơn và dễ sử dụng hơn: Mỗiuser có nhiều chữ ký khóa công cộng và một cải tiến rlogin-style xácthực với định danh host đc kiểm tra bằng khóa công khai

c Kiến trúc bộ giao thức SSH

- Phía Server: Giao thức SSH transport layer protocol (TLP): Đảm bảotính xác thực, bí mật và toàn vẹn

- Phía Client: Giao thức xác thực người dùng UAP- user authenticationprotocol

- Giao thức kết nối: CP (SSH connection protocol )

+ Thiết lập các phiên đăng nhập, thực hiện các lệnh từ xa, chuyển hướngcác kết nối TCP/IP

+ Chạy trên cả hai giao thức dành cho Server và client

Câu 8: Trình bày về giao thức SSL:

a Chức năng: SSL/TLS đem lại các yếu tố sau cho truyền thông trên

- Thiết lập một phiên làm việc

 Đồng bộ thuật toán mã hoá

Thực hiện các quá trình đóng gói dữ liệu như: chia nhỏ dữ liệu, nén lại và

mã hóa kàm theo MAC và truyền đi dưới cấu trúc của một gói tin TCP

- Giao thức bắt tay: Pha bắt tay:

 Thoả thuận bộ thuật toán mã hoá gồm

o Thuật toán mã hoá đối xứng sử dụng

o Phương pháp trao đổi khoá

 Thiết lập và chia sẻ khoá bí mật

 Thông điệp Hello

 Thông điệp trao đổi khoá và chứng chỉ

 Thay đổi CiperSpec và gửi thông điệp kết thúc pha bắt tay và chuyểnsang quá trình truyền dữ liệu

Thông điệp hello:

 Client “Hello” - Khởi tạo phiên làm việc

o Gửi thông tin phiên bản giao thức

o Thông tin về bộ mã hoá sử dụng

o Server chọn giao thức và bộ mã hoá phù hợp

 Client có thể yêu cầu sử dụng các phiên làm việc đã có từ trước nằm ởtrong cache

o Server lựa chọn sao cho phù hợp

Trao đổi khóa:

 Server gửi chứng chỉ chứa khoá công khai (RSA) hoặc tham số củaDiffie-Hellman

 Client tạo ra 48-byte ngẫu nhiên gửi tới Server sử dụng khoá côngkhai của server

 Mầm khoá bí mật được tính toán

o Sử dụng các giá trị bí mật truyền trong thông điệp Hello giữaServer và Client

Chứng chỉ khóa công khai:

 Chứng chỉ X.509 đồng bộ khoá công khai với định danh người dùng

 Trung tâm CA tạo ra chứng chỉ

o Dựa vào các chính sách và các định danh được xác nhận

o Ký lên chứng chỉ

 Người sử dụng chứng chỉ phải đảm bảo là nó hợp lệ

Câu 9: Trình bày về giao thức SET:

a vai trò:

- Cung cấp tính bí mật của thông tin thanh toán và đặt hàng

- Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền

- Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệcủa tài khoản thẻ

- Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhậncác giao dịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính

- Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thốngtốt nhất để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịchthương mại điện tử

- Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch

vụ mạng

b.các thành phần:

- Chứng chỉ số: kiểm tra danh tính người dùng

- Mã hóa khóa công khai: đảm bảo thông tin giao dịch không thể bị đọcđược bởi người không phải là người nhận

- Chữ kí số: cùng chứng chỉ số, kiểm tra thông tin yêu cầu có đúng từngười

- Công ty thương mại sẽ gửi bản copy chứng thư của nó cho khách hàng

để thực hiện việc xác minh

- Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thươngmại sử dụng chứng thư số của khách hàng

 Đơn đặt hàng gồm có các mặt hàng được đặt mua

 Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng

 Thông tin thanh toán được được mã hóa sao cho nó không thể đượcđọc bởi công ty thương mại

 Chứng thư số của khách cho phép công ty thương mại xác minhđược khách hàng

- Công ty thương mại yêu cầu kiểm chứng thông tin thanh toán từ cổngthanh toán trước khi thực hiện chuyển hàng

- Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng

- Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng

- Công ty thương mại yêu cầu thanh toán từ cổng thanh toán

Câu 10: Các phương thức thanh toán điện tử

 Thẻ tín dụng

- Sử dụng cho việc thanh toán qua mạng internet

- Có hạn chế số lượng tiền khi thanh toán

- Hiện tại được sử dụng phổ biến nhất

- Là cách thức thanh toán điện tử đắt nhất

Vd: MasterCard: $0.29 + 2% giá trị thanh toán

- Không thanh toán với giá trị nhỏ

- Không thanh toán với giá trị thanh toán lớn

 Tiền điện tử

- Là thể hiện ở dạng điện tử của tiền truyền thống

- Được quy định bởi nhà trung gian đầu cơ (broker)

- Được mua bằng tiền thật từ người sử dụng

- Được thanh toán trên các trang bán hàng có chấp nhận tiền điện tử

 Séc điện tử

- Có giá trị và bản chất tương đương với séc giấy thông thường

- Một file séc điện tử là tài liệu điện tử có chứa các dữ liệu sau:

o Số séc

o Tên người trả tiền

o Tên ngân hàng và số tài khoản của người trả tiền

o Tên người nhận tiền

o Xác nhận của người nhận tiền

 Ví điện tử

- Là phần mềm hoặc thiết bị phần cứng lưu trữ.

- Nó lưu trữ tiền điện tử của người chủ ví dưới dạng chuỗi bit.

- Tiền điện tử có thể tải trực tuyến vào ví và dùng tại các điểm bán hàng

có chấp nhận ví

 Thẻ thông minh

- Là thẻ nhựa có chứa một microchip

- Được sử dụng cách đây hơn 10 năm

- Được sử dụng phổ biến tại Châu âu, Australia, và Nhật bản

- Đầu tiên thì không được phổ dụng ở mỹ, nhưng sau đó thì dần được sử

dụng nhiều do:

o Thẻ thông minh hỗ trợ nhiều ứng dụng

o Khả năng tương thích giữa thẻ thông minh, thiết bị đọc thẻ và cácứng dụng ngày càng tăng

 Thẻ tín dụng

- Sử dụng cho việc thanh toán qua mạng internet

- Có hạn chế số lượng tiền khi thanh toán

- Hiện tại được sử dụng phổ biến nhất

- Là cách thức thanh toán điện tử đắt nhất

- Vd:

 MasterCard: $0.29 + 2% giá trị thanh toán

- Không thanh toán với giá trị nhỏ

- Không thanh toán với giá trị thanh toán lớn

Câu 11: Trình bày ưu nhược điểm của tiền điện tử và phương pháp lưu trữ, các thuộc tính mong muốn và những vấn đề gặp phải.

 Ưu nhược điểm

- Ưu điểm

+ Hiệu quả, thuận tiện

+ Chi phí giao dịch thấp

+ Bất cứ ai cũng có thể sử dụng, không giống như thẻ tín dụng, không đòihỏi các yêu cầu đặc biệt

- Nhược điểm

+ Bị lợi dụng để rửa tiền

+ Khó khăn khi triển khai

 Hai phương pháp lưu trữ

- On-line

+ Cá nhân không phải lưu trữ thông tin về tiền điện tử+ Việc lưu trữ tiền được thực hiện bởi ngân hàng, ngân hàng sẽlưu trữ các tài khoản tiền của khách hàng

+ Không làm giả và không ăn trộm được

+ Bí mật (Không ai ngoài người sở hữu biết lượng tiền của mình)+ Vô danh (không ai có thể xác định được người trả tiền)

+ Làm việc được ở chế độ off-line (không cần xác thực online)

+ Hiện nay chưa có một hệ thống nào đáp ứng được tất cả các điều này

 Những vấn đề gặp phải:

- Tiền điện tử chỉ được tiêu một lần

- Phải được tiêu giống như các loại tiền tệ bình thường

+ Phải được bảo vệ chống lại sự giả mạo

+ Phải có tính chất độc lập và chuyển tự do không phân biệt quốc giahay cơ chế lưu trữ

+ Phải chia nhỏ được và thuận tiện trong sử dụng

+ Hạn chế sự phức tạp trọng giao dịch

Câu 12: Trình bày về Smart Card và các ứng dụng của nó

- Đặc điểm:

 Là thẻ nhựa có chứa một microchip

 Được sử dụng cách đây hơn 10 năm

 Được sử dụng phổ biến tại Châu âu, Australia, và Nhật bản

 Đầu tiên thì không được phổ dụng ở mỹ, nhưng sau đó thì dần được

sử dụng nhiều do:

o Thẻ thông minh hỗ trợ nhiều ứng dụng

o Khả năng tương thích giữa thẻ thông minh, thiết bị đọc thẻ và cácứng dụng ngày càng tăng

- Các loại:

 Thẻ từ : Bộ nhớ 140 bytes

 Thẻ nhớ : Bộ nhớ 1-4 KB memory, không có bộ chip xử lý

 Thẻ nhớ quang: 4 megabytes read-only (CD-like)

 Làm thẻ đăng nhập, ra vào cửa vv (Authentication, ID)

 Lưu trữ thông tin y tế

 Tiền điện tử (Ecash)

 Lưu trữ các chương trình bản quyền

 Lưu trữ hồ sơ cá nhân

- Ưu điểm:

 Nhỏ gọn, thuận tiện trong giao dịch

 Có thể thanh toán cả các giao dịch với giá trị thanh toán nhỏ

 Ẩn danh (Potentially)

 Lưu trữ an toàn

- Nhược điểm:

 Mức giao dịch bị hạn chế (không dùng được cho B2B)

 Chi phí xây dựng cơ sở hạ tầng cao

 Chỉ có một điểm đọc (dễ bị hỏng)

 Sử dụng chưa được phổ biến

Câu 13: Các dịch vụ bảo mật thanh toán

 Nhóm 1: bảo mật giao dịch thanh toán:

- người dùng nặc danh: bảo vệ không tiết lộ danh tính người dùng trong

mạng giao dịch

- Không theo dấu được địa điểm: bảo vệ chống tiết lộ địa điểm phát lệnh

giao dịch

- Người trả tiền nặc danh: bảo vệ không tiết lộ danh tính người trả tiền

- Không theo dấu được giao dịch thanh toán: bảo vệ không liên hệ 2 giao

dịch thanh toán khác nhau của cùng 1 khác hàng không liên kết vớinhau

- Bảo mật dữ liệu giao dịch bảo vệ chống tiết lộ các dữ liệu cụ thể trong

giao dịch

- Chống từ chối thông điệp giao dịch thanh toán: không cho phép từ chối

nguồn xuất phát thông điệp giao thức xuất phát giao dịch thanh toán

- Không lặp thông điệp giao dịch

 Nhóm 2: Bảo mật tiền điện tử

- Bảo vệ chống tiêu tiền nhiều lần: trên cùng 1 khối lượng tiền

- Chống giả mạo tiền: chống bên không phép tạo ra tiền điện tử giả

- Bảo vệ tiền không bị ăn trộm, sao chép

 Nhóm 3: Bảo mật séc điện tử

- Dịch vụ dựa trên công nghệ đặc thù của hệ thống thanh toán này.

- Có dịch vụ Trung gian chuyển & chứng nhận thanh toán:

o B1: bên xác thực hợp pháp đứng ra chứng nhận