Đồ án Các vấn đề bảo mật thông tin trong TMĐT và giải pháp - Phạm Minh Huyền

pdf 50 trang huongle 2700
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Các vấn đề bảo mật thông tin trong TMĐT và giải pháp - Phạm Minh Huyền", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfdo_an_cac_van_de_bao_mat_thong_tin_trong_tmdt_va_giai_phap_p.pdf

Nội dung text: Đồ án Các vấn đề bảo mật thông tin trong TMĐT và giải pháp - Phạm Minh Huyền

  1. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Lời cảm ơn Em xin được bày tỏ lòng biết ơn sâu sắc tới TS. Lê Phê Đô - giảng viên trường Đại học công nghệ - Đại học Quốc Gia Hà Nội đã tận tình hướng dẫn và tạo mọi điều kiện thuận lợi để em hoàn thành báo cáo thực tập tốt nghiệp của mình. Em xin chân thành cảm ơn tất cả các thầy cô giáo trong khoa Công nghệ thông tin - Trường Đại học dân lập Hải Phòng đã nhiệt tình giảng dạy và cung cấp những kiến thức quý báu để em có thể hoàn thành tốt đợt thực tập tốt nghiệp này. Cuối cùng, em xin cảm ơn tất cả các bạn đã động viên, góp ý và trao đổi hỗ trợ cho em trong suốt thời gian vừa qua. Vì thời gian thực tập có hạn, cho nên trong đề tài không tránh khỏi những thiếu sót, em rất mong được sự góp ý quý báu của tất cả các thầy cô giáo cũng như các bạn để đề tài của em được hoàn thiện hơn. Em xin chân thành cảm ơn! Hà Nội, tháng 03 năm 2009 Sinh viên Phạm Minh Huyền Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 1
  2. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp MỤC LỤC Lời mở đầu 4 I. Giới thiệu thƣơng mại điện tử 5 1.1 Hoạt động thương mại điện tử ở thế giới và Việt Nam hiện nay 5 1.1.1 Hoạt động thương mại điện tử trên thế giới hiện nay .5 1.1.2 Hoạt động thương mại điện tử ở Việt Nam hiện nay 7 1.1.3 Xu hướng phát triển của thương mại điện tử Việt Nam hiện nay 9 1.2 Ứng dụng công nghệ thông tin trong thương mại điện tử 10 II. Bảo mật thông tin trong thƣơng mại điện tử 12 2.1 12 2.1.1 .12 2.1.2 Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT 14 2.2 Các giải pháp đảm bảo an toàn thông tin trong thương mại điện tử 15 2.2.1 Chứng chỉ số 15 2.2.2 Chữ ký số (CKS) 19 2.2.3 Bảo mật Website 22 2.3 Thủ tục thanh toán qua mạng 23 2.3.1 Thẻ tín dụng 24 2.3.2 Ðịnh danh hay ID số hoá (Digital identificator) 26 2.3.3 Giỏ mua hàng điện tử 26 2.4 Firewall giải pháp .27 2.4.1 Định nghĩa 27 2.4.2 Chức năng 28 2.4.3 Cấu trúc 29 2.4.4 Các thành phần của Firewall và cơ chế hoạt động .29 2.4.5 Những hạn chế của Firewall 34 Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 2
  3. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp III. Tìm hiểu một số website của một số công ty thƣơng mại điện tử 35 3.1 Hoạt động website chợ điện tử ( ) 35 3.1.1 Cấu trúc website 35 3.1.2 Giao dịch 38 3.2 Hoạt động website ebay ( ) 41 3.2.1 Giới thiệu tập đoàn ebay 41 3.2.2 Ebay liên kết với chợdiệntử 42 3.2.3 Quy trình mua hàng và thanh toán như thế nào 44 Kết luận 49 Tài liệu tham khảo 50 Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 3
  4. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Sự phát triển nhanh chóng của khoa học công nghệ, đặc biệt là sự phát triển của công nghệ máy tính và kỹ thuật tính toán đã làm thay đổi rất nhiều các hoạt động xã hội trên thế giới. Thương mại điện tử đã ra đời trong bối cảnh đó, tính hiệu quả và thuận lợi của hoạt động thương mại điện tử ngày càng được khẳng định. Nhờ thế mà các hoạt động thương mại điện tử ngày càng được mở rộng và dần phổ biến ở nhiều nơi trên thế giới. Nền tảng công nghệ của thương mại điện tử chính là mạng toàn cầu - Internet. Song, Internet cũng chính là mối đe doạ đến an toàn của hoạt động thương mại điện tử. Đề tài này sẽ “ tìm hiểu về các vấn đề bảo mật thông tin trong thương mại điện tử và giải pháp ” .vn v .vn Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 4
  5. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Chƣơng I: GIỚI THIỆU THƢƠNG MẠI ĐIỆN TỬ 1.1 Hoạt động thƣơng mại điện tử ở thế giới và Việt Nam hiện nay: 1.1.1 Hoạt động thương mại điện tử trên thế giới hiện nay: "Thương mại điện tử đang dần chiếm vị trí chủ đạo", chuyên gia Jeffrey Grau của eMarketer thốt lên. "Ngày càng có nhiều người chuộng hình thức mua sắm này hơn. Số hàng họ mua và số tiền họ bỏ ra nhiều chưa từng có trong lịch sử". Đi xa hơn, hãng đầu tư Cowen dự đoán rằng doanh thu từ thương mại điện tử có thể đạt tới cột mốc 225 tỷ USD vào năm 2011. "Còn tại Mỹ, doanh thu cũng sẽ tăng trưởng 20% trong năm 2007, nhờ vào tác động của ba yếu tố: sự phổ cập của băng thông rộng, mức giá hời của các kênh bán hàng trực tuyến và sự tiện lợi ngày càng cao của thương mại điện tử". "Các hãng bán lẻ cần chú ý nghiêm túc đến xu hướng này, nếu như họ không muốn tụt lại phía sau", Cowen kết luận. "Thương mại điện tử đang ở giai đoạn hoàng kim và chưa hề có dấu hiệu ngừng lại. Nó sẽ tiếp tục vươn mình với tốc độ bỏ xa các hãng bán lẻ offline". Thời gian qua, các dịch vụ mua sắm qua mạng đã cải tiến và điều chỉnh rất nhiều để mang đến sự thoải mái, tiện lợi cao nhất cho khách hàng. Người tiêu dùng giờ đây có thể an tâm mua sắm đủ mọi hàng hóa từ Internet. Trên thế giới hiện nay có những hình thức hoạt động thương mại điện tử như sau: - Email: thực hiện các giao dịch mua bán ( quảng cáo, chào hàng ) bằng cách gửi thư điện tử tới khách hàng quen thuộc hoặc gửi thông tin quảng bá tới mọi người có sử dụng thư điện tử. - Thanh toán điện tử - Trao đổi dữ liệu tài chính điện tử: thực hiện trao đổi các thông tin về tài chính của doanh nghiệp theo một hình thức đặc biệt, các thông tin về tài chính của doanh Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 5
  6. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp nghiệp và khách hàng tham gia vào thương vụ TMĐT được trao đổi, kiểm tra và xác nhận dễ dàng mà không có bất kỳ sự xuất hiện của tiền mặt. - Tiền điện tử: là tiền mặt được chuyển đổi sang tiền điện tử. Quá trình này được thực hiện bằng kỹ thuật số hoá. Do đó, tiền này còn được gọi là tiền số hoá. Như vậy, tiền điện tử được mua bằng ngoại tệ sau đó trả cho người bán hàng hoá dịch vụ thông qua internet. Đặc điểm: có thể dùng thanh toán các món hàng giá trị nhở, tất cả các giao dịch là vô danh, chống được tiền giả. - Ví tiền điện tử: là thư mục hay tài khoản để người sử dụng lưu trữ tiền điện tử. - Giao dịch số hoá. - Trao đổi dữ liệu điện tử: là trao đổi thông tin từ máy tính này sang máy tính khác trong mạng bằng phương tiện điện tử và đó là một chuẩn để cấu trúc thông tin. Trao đổi điện tử gồm: Giao dịch đến kết nối, đặt hàng, gửi hàng, thanh toán. - Bán lẻ hàng hoá hữu hình: Người bán sẽ xây dựng cửa hàng ảo trên mạng. Để có thể thực hiện múa bán hàng hoá khách hàng phải tìm đến trang web của cửa hàng, xem thử mặt hàng mới mua rồi trả tiền mua bán bằng thanh toán điện tử. Internet phát triển mạnh mẽ sẽ là động lực để thúc đẩy sự tăng trưởng buôn bán trên phạm vi toàn cầu. Các nước trên thế giới đã và đang sẵn sàng nhập cuộc. Dự báo trong thời gian tới, thương mại điện tử sẽ đem lại cho các doanh nghiệp một nguồn lợi nhuận khổng lồ. Bán hàng qua mạng Internet không mất nhiều thời gian đã trở nên phổ biến giữa khách hàng và các nhà kinh doanh trong những năm gần đây, đặc biệt là trong kỷ nguyên tới. Thực tế cho thấy năm 1999, doanh thu bán hàng từ thương mại điện tử đã chiếm một phần quan trọng trong tổng doanh thu tại hầu hết các công ty trên thế giới. Qua đợt khảo sát gần đây, các giao dịch thương mại điện tử chiếm 9% doanh thu hằng năm tại 300 công ty. Con số này được thay đổi từ 6% tại các công ty có qui mô vừa và nhỏ tới 13% tại các công ty lớn. Cũng trong năm 1999, số người Mỹ đã tiến hành các thủ tục giao dịch, mua hàng trên mạng là 39 triệu người (tăng gấp đôi so với năm Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 6
  7. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp 1998), 34% số hộ gia đình người Mỹ đã nối mạng Internet và 17% trong số đó đã tiến hành mua hàng qua mạng. Theo các chuyên gia trong lĩnh vực công nghệ thông tin, doanh thu từ bán hàng qua mạng Internet sẽ tiếp tục tăng trong năm tới và sẽ giữ mức ổn định trong vài năm tiếp theo. Mặc dù bán hàng qua mạng Internet đang phát triển một cách nhanh chóng nhưng cũng phải cần nhiều thời gian để có thể đạt được doanh thu cao của hầu hết các công ty. Ðã có những lo ngại về sự cạnh tranh với thương mại điện tử của các đối thủ trong thế giới kinh doanh truyền thống. Tùy từng ngành công nghiệp khác nhau sẽ phải đối đầu với những thách thức khác nhau trong năm 2000 trong ngành công nghiệp máy tính, 60% chuyên gia công nghệ thông tin lo lắng về các hoạt động thương mại điện tử của các đối thủ cạnh tranh hơn các phương thức kinh doanh truyền thống xưa nay. Tuy nhiên, các ngành sản xuất và dịch vụ khác thì chỉ có khoảng 30% lo ngại về dạng kinh doanh qua thương mại điện tử của đối thủ. Mặc dù bán hàng qua mạng Internet đang phát triển một cách nhanh chóng nhưng cũng phải cần nhiều thời gian để có thể đạt được doanh thu cao của hầu hết các công ty. Ðã có những lo ngại về sự cạnh tranh với thương mại điện tử của các đối thủ trong thế giới kinh doanh truyền thống. Tùy từng ngành công nghiệp khác nhau sẽ phải đối đầu với những thách thức khác nhau trong năm 2000 trong ngành công nghiệp máy tính, 60% chuyên gia công nghệ thông tin lo lắng về các hoạt động thương mại điện tử của các đối thủ cạnh tranh hơn các phương thức kinh doanh truyền thống xưa nay. Tuy nhiên, các ngành sản xuất và dịch vụ khác thì chỉ có khoảng 30% lo ngại về dạng kinh doanh qua thương mại điện tử của đối thủ. 1.1.2 Hoạt động thương mại điện tử ở Việt Nam hiện nay: Thương mại điện tử ở Việt Nam (TMĐT-VN) chỉ thực sự phát triển trong năm 2008. Song, so với nhu cầu cần thiết đối với các doanh nghiệp Việt Nam (DN-VN), Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 7
  8. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp hiện trạng TMĐT-VN còn rất khiêm tốn, cụ thể là sự hiện diện và hoạt động của các website thương mại. Cả Hiệp hội TMĐT-VN chỉ có trên 100 thành viên đủ nói lên điều này. Năm 2009, TMĐT-VN sẽ có cơ hội để cất cánh và đột phá về tốc độ tăng trưởng. Hiện DN bỏ chi phí quảng cáo trên truyền hình hay báo chí rất đắt, nhưng nếu có website riêng để quảng bá cho dịch vụ, sản phẩm của mình, chi phí sẽ rẻ hơn rất nhiều. Trong bối cảnh thị trường tụt giảm do khủng hoảng kinh tế toàn cầu, chi phí cho một website DN hoạt động tại VN từ 5 triệu - 20 triệu đồng/tháng, trong khi 30 giây quảng cáo trên truyền hình có thể tới vài chục triệu đồng. Đặt logo và banner trên một website thương mại thuần túy chỉ mất vài triệu đồng/tháng, nhưng hiệu quả quảng bá không hề thấp. Thống kê từ các nước phát triển cho thấy tốc độ tăng trưởng doanh thu quảng cáo TMĐT tăng rất nhanh so với các hình thức khác. Bên cạnh đó, VN đã gần như hoàn chỉnh hệ thống pháp lý và cơ quan quản lý Nhà nước về TMĐT. Việt Nam chính thức mở cửa thị trường bán lẻ cũng là tiền đề để TMĐT phát triển. Nắm bắt được điều đó, hiện nay ở Việt Nam, các công ty TMĐT đang tăng lên về số lượng. Nghĩa là các công ty này chủ yếu là các công ty nhỏ, bán lẻ hàng hoá với các hình thức thanh toán vẫn còn đơn giản và chủ yếu bằng tiền mặt. Khách hàng của họ không ở phạm vi lớn, chủ yếu trong nội thành phố hay đến 1 vài tỉnh lân cận. Hàng hóa của họ để đển tay các khách hàng ở tỉnh khác thường thông qua đường bưu điện chứ số ít các công ty này có dịch vụ vận chuyển riêng. Điều đó dẫn đến khách hàng phải chịu phí vận chuyển của bưu điện, làm giảm đi lợi ích của khách hàng. Song, nhờ sự phát triển của các công ty này mà người tiêu dùng Việt Nam làm quen dần với việc mua hàng qua mạng và tăng số lượng sử dụng hình thức thanh toán qua thẻ, góp phần xây dựng lên nền móng cho sự phát triển của TMĐT ở nước ta trong tương lai. Mặt khác, các công ty như thế cũng chỉ tập trung ở một số tỉnh, thành phố lớn như : Hà Nội, thành phố Hồ Chí Minh Tuy số lượng có tăng lên, nhưng nhìn chung là TMĐT ở Việt Nam đến giờ vẫn chỉ ở giai đoạn tiếp cận với TMĐT. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 8
  9. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Một trong những phương tiện để phát triển thương mại điện tử đó là: website thương mại (website-TM). Website thương mại là nơi để các doanh nghiệp quảng cáo hàng hoá đến khách hàng mà khách hàng của họ không nhất thiết phải đển tận nơi trưng bày mới tiếp cận được với sản phẩm. Điều này cũng nhờ việc mạng internet ngày càng được mở rộng hơn ở Việt Nam. Có nhiều nguyên nhân dẫn đến tình trạng èo uột về số lượng và chất lượng của website-TM . Trước hết, DN-VN còn thiếu cơ sở hạ tầng, con người để đầu tư TMĐT. Thứ hai, chưa đánh giá hết tính hiệu quả của TMĐT trong sản xuất kinh doanh. Ngoài ra, DN-VN cũng khó nhìn nhận, hay nói một cách chính xác là sự hiệu quả từ TMĐT chưa thể hiện rõ rệt để các DN nhận biết. Để một website DN đến được với người tiêu dùng (NTD) và có được niềm tin của họ thì bản thân nó cũng phải được quảng bá. Đây cũng là bài toán mà DN cần nghiên cứu một cách nghiêm túc. Ngoài ra, còn một rào cản quan trọng đối với TMĐT là thói quen thanh toán bằng tiền mặt của NTD và hệ thống thanh toán giao dịch TMĐT chưa thực sự thuận tiện. Do vậy, để phần đông DN tự xoay xở làm website thì sẽ rất khó khăn và khó thực hiện trên diện rộng. Hiện Hiệp hội TMĐT VN đã cố gắng vận động các nguồn tài trợ để hỗ trợ kinh phí đào tạo đội ngũ nhân lực xây dựng và quản lý website cho các DN. 1.1.3 Xu hướng phát triển của thương mại điện tử Việt Nam hiện nay: Xu hướng phát triển TMĐT-VN hiện nay là mở rộng TMĐT trong nước cả về số lượng và chất lượng. Ngày 9/12/2005, Vụ trưởng Vụ Thương mại Điện tử (Bộ Thương mại) Nguyễn Thanh Hưng cho biết, bản Kế hoạch phát triển tổng thể thương mại điện tử giai đoạn 2006-2010 vừa được chính thức phê duyệt theo Quyết định 222/QĐ-TTg của Thủ tướng Chính phủ. Theo đó, 4 mục tiêu lớn cho phát triển thương mại điện tử đến năm 2010 phải đạt được là: 60% doanh nghiệp lớn bao gồm các tập đoàn kinh tế, hệ thống các Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 9
  10. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp tổng công ty ứng dụng thương mại điện tử, cụ thể là hình thức giao dịch B2B (giữa doanh nghiệp với doanh nghiệp); 80% các doanh nghiệp nhỏ và vừa ứng dụng thương mại điển tử theo hai hình thức B2B và B2C (doanh nghiệp với khách hàng); 10% số hộ gia đình tham gia các loại hình thương mại điện tử mua bán lẻ như B2C và C2C (khách hàng với khách hàng); mục tiêu thứ 4 là đưa các loại hình dịch vụ công như khai báo hải quan, thuế, hạn ngạch vào giao dịch điển tử. Ông Trần Thanh Hải, Phó Vụ trưởng Vụ Thương mại Điện tử cho biết, mặc dù 4 mục tiêu trên không thật sự cao bởi hiện một số nước trong khu vực như Thái Lan, Singapo, Brunei, Malaixia hiện cũng đang hoặc đã vượt qua mức này, song để đạt được các mục tiêu đó phải cần sự nỗ lực rất cao. Các giải pháp được tập trung nhằm đưa 4 mục tiêu trên thành hiện thực là công tác tuyên truyền và đào tạo, hoàn thiện hệ thống văn bản pháp quy, cung cấp các dịch vụ công và mua sắm công trực tuyến, phát triển công nghệ, tăng cường hợp tác quốc tế và hỗ trợ doanh nghiệp dưới nhiều hình thức. 1.2 Ứng dụng công nghệ thông tin trong thƣơng mại điện tử: Trong thương mại điện tử không thể thiếu những ứng dụng của công nghệ thông tin. Từ khâu quảng cáo sản phẩm cho đến thanh toán và bảo mật thông tin của thương mại điện tử luôn có những ứng dụng của công nghệ thông tin. Quảng cáo là ý định phân phát thông tin để tác động lên các giao dịch mua bán. Về giá cả, quảng cáo trực tuyến rẻ hơn quảng cáo trên phương tiện khác. Quảng cáo trực tuyến có thể cập nhật nội dung liên tục với chi phí thấp. Về hình thức dữ liệu phong phú: có thể sử dụng văn bản, âm thanh, đồ hoạ, hình ảnh, video. Ngoài ra, có thể kết hợp trò chơi giải trí với quảng cáo trực tuyến. Để quảng cáo sản phẩm đến với người tiêu dùng, các công ty thương mại điện tử xây dựng các website thương mại. Các website này như những tủ trưng bày sản phẩm của doanh nghiệp. Trên đó, các hình ảnh, tính năng, công dụng, giá cả của sản phẩm được trình bày chi tiết. Ngoài ra, còn có mục hỗ trợ online để giải đáp những thắc mắc của khách hàng. Mặt khác, để khách Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 10
  11. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp hàng có thể biết và tiếp cận các website quảng cáo này thì còn cần những ứng dụng khác của công nghệ thông tin như: email. Các email có thông tin về website quảng cáo được gửi tới tận email của khách hàng. Hay, thiết lập các đường dẫn tới các các website tương thích với website của doanh nghiệp. Chẳng hạn những website về cùng một thị trường định hướng giống như doanh nghiệp và không cạnh tranh với website của doanh nghiệp. Cũng có thể là các website có tên tuổi, có số lượng người truy cập lớn. Các website thương mại không chỉ để quảng cáo sản phẩm, mà tại đây khách hàng có thể đặt mua hàng ( với hình thức bán lẻ hàng hoá – giao dịch giữa khách hàng với doanh nghiệp ), ký hợp đồng ( với hình thức giao dịch giữa doanh nghiệp với doanh nghiệp ). Tới khâu thanh toán trong thương mại điện tử cũng ko thể tách rời ứng dụng công nghệ thông tin. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 11
  12. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Chƣơng II: BẢO MẬT THÔNG TIN TRONG THƢƠNG MẠI ĐIỆN TỬ 2.1 Vấn đề bảo mật, an ninh trên mạng là một trong những vấn đề nóng hổi trong hoạt động thực tiễn của Thương mại điện tử. Liệu khách hàng có tin tưởng khi thực hiện các giao dịch trên mạng không? Và liệu những nhà cung cấp dịch vụ giao dịch trực tuyến cũng như các ISP có bảo đảm đuợc những thông tin của khách hàng giao dịch trên mạng được an toàn không? Chúng ta sẽ làm sáng tỏ một số vấn đề sau để trả lời cho các câu hỏi trên 2.1.1 Các loại tội phạm trên mạng Trên mạng máy tính internet hiện nay hàng ngày có rất nhiều vấn đề tội phạm tin học đã và đang xảy ra. Có một số loại tội phạm chính sau: Gian lận trên mạng là hành vi gian lận, làm giả để thu nhập bất chính. Ví dụ sử dụng số thẻ VISA giả để mua bán trên mạng. Tấn công Cyber là một cuộc tấn công điện tử để xâm nhập trái phép trên internet vào mạng mục tiêu để làm hỏng dữ liệu, chương trình, và phần cứng của các website hoặc máy trạm. Hackers (tin tặc): Hackers nguyên thuỷ là tiện ích trong hệ điều hành Unix giúp xây dựng Usenet, và World Wide Web Nhưng, dần dần thuật ngữ hacker để chỉ người lập trình tìm cách xâm nhập trái phép vào các máy tính và mạng máy tính Crackers: Là người tìm cách bẻ khoá để xâm nhập trái phép vào máy tính hay các chương trình Các loại tấn công trên mạng: 1, Tấn công kỹ thuật là tấn công bằng phần mềm do các chuyên gia có kiến thức hệ thông giỏi thực hiện 2, Tấn công không kỹ thuật là việc tìm cách lừa để lấy được thông tin nhạy cảm 3, Tấn công làm từ chối phục vụ (Denial-of-service (DoS) attack) là sử dụng phần mềm đặc biệt liên tục gửi đến máy tính mục tiêu làm nó bị quá tải, không thể phục vụ được Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 12
  13. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp 4, Phân tán cuộc tấn công làm từ chối phục vụ (Distributed denial of service (DDoS) attack) là sự tấn công làm từ chối phục vụ trong đó kẻ tấn công có quyền truy cập bất hợp pháp vào vào nhiều máy trên mạng để gửi số liệu giả đến mục tiêu 5, Virus là đoạn mã chương trình chèn vào máy chủ sau đó lây lan. Nó không chạy độc lập 6, Sâu Worm là một chương trình chạy độc lập. Sử dụng tài nguyên của máy chủ để lam truyền thông tin đi các máy khác Các cuộc tấn công tin tặc trên mạng ngày càng tăng trên mạng Internet và ngày càng đa dạng vi trên mạng hiện giờ là thông tin và tiền. Các nhân tố tác động đến sự ra tăng tin tặc là sự phat triển mạnh của TMĐT và nhiều lỗ hổng công nghệ của các website. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 13
  14. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp 2.1.2 Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT Từ góc độ người sử dụng: làm sao biết được Web server được sở hữu bởi một doanh nghiệp hợp pháp? Làm sao biêt được trang web này không chứa đựng những nội dung hay mã chương trình nguy hiểm? Làm sao biết được Web server không lấy thông tin của mình cung cấp cho bên thứ 3 Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web hoặc website? Làm sao biết được làm gián doạn hoạt động của server. Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi? Một số khái niệm về an toàn bảo mật hay dùng trong TMĐT Quyền được phép (Authorization): Quá trình đảm bảo cho người có quyền này được truy cập vào một số tài nguyên của mạng Xác thực(Authentication): Quá trình xác thưc một thực thể xem họ khai báo với cơ quan xác thực họ là ai Auditing: Qua trình thu thập thông tin về các ý đồ muốn truy cập vào một tài nguyên nào đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động ATBM khác Sự riêng tư: (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi Không thoái thác (Nonrepudiation): Khả năng không thể từ chối các giao dịch đã thực hiện Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 14
  15. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp : Các vấn đề an toàn bảo mật của một website TMĐT Có rất nhiều giải pháp công nghệ và không công nghệ để đảm bảo an toàn bảo mật trên mạng. Một trong giải pháp quan trong ứng dụng trong TMĐT là sử dụng kỹ thuật mật mã và các giao thức bảo mật. 2.2 Các giải pháp đảm bảo an toàn thông tin trong thƣơng mại điện tử: Để bảo mật thông tin trong thương mại điện tử, hiện nay ta có những công cụ như: Chứng chỉ số (digital certificate), chữ ký số (digital sign), xác thực (authentication), bảo mật web (web security), vùng an ninh (DMZ) và Firewall. Các công cụ bảo mật này được sử dụng kết hợp, bổ sung cho nhau trong quá trình diễn ra các giao dịch của thương mại điện tử. 2.2.1 Chứng chỉ số : Vì sao phải dùng chứng chỉ số? Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 15
  16. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu cầu cấp thiết. Các thông tin truyền trên mạng đều rất quan trọng, như mã số tài khoản, thông tin mật Tuy nhiên, với các thủ đoạn tinh vi, nguy cơ bị ăn cắp thông tin qua mạng cũng ngày càng gia tăng. Hiện giao tiếp qua Internet chủ yếu sử dụng giao thức TCP/IP. Đây là giao thức cho phép các thông tin được gửi từ máy tính này tới máy tính khác thông qua một loạt các máy trung gian hoặc các mạng riêng biệt. Chính điều này đã tạo cơ hội cho những ''kẻ trộm''công nghệ cao có thể thực hiện các hành động phi pháp. Các thông tin truyền trên mạng đều có thể bị nghe trộm (Eavesdropping), giả mạo (Tampering), mạo danh (Impersonation) .v.v. Các biện pháp bảo mật hiện nay, chẳng hạn như dùng mật khẩu, đều không đảm bảo vì có thể bị nghe trộm hoặc bị dò ra nhanh chóng. Do vậy, để bảo mật, các thông tin truyền trên Internet ngày nay đều có xu hướng được mã hoá. Trước khi truyền qua mạng Internet, người gửi mã hoá thông tin, trong quá trình truyền, dù có ''chặn'' được các thông tin này, kẻ trộm cũng không thể đọc được vì bị mã hoá. Khi tới đích, người nhận sẽ sử dụng một công cụ đặc biệt để giải mã. Phương pháp mã hoá và bảo mật phổ biến nhất đang được thế giới áp dụng là chứng chỉ số (Digital Certificate). Với chứng chỉ số, người sử dụng có thể mã hoá thông tin một cách hiệu quả, chống giả mạo (cho phép người nhận kiểm tra thông tin có bị thay đổi không), xác thực danh tính của người gửi. Ngoài ra chứng chỉ số còn là bằng chứng giúp chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã gửi. Chứng chỉ số là gì? Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân, một máy chủ, một công ty trên Internet. Nó giống như bằng lái xe, hộ chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân. Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp. Chứng chỉ số cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chính xác, được gọi là Nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA). CA phải đảm bảo về độ tin cậy, chịu trách nhiệm Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 16
  17. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp về độ chính xác của chứng chỉ số mà mình cấp. Trong chứng chỉ số có ba thành phần chính: Thông tin cá nhân của người được cấp Khoá công khai (Public key) của người được cấp Chữ ký số của CA cấp chứng chỉ Thông tin cá nhân: Đây là các thông tin của đối tượng được cấp chứng chỉ số, gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức .v.v. Phần này giống như các thông tin trên chứng minh thư của mỗi người. Khoá công khai Trong khái niệm mật mã, khoá công khai là một giá trị được nhà cung cấp chứng thực đưa ra như một khóa mã hoá, kết hợp cùng với một khoá cá nhân duy nhất được tạo ra từ khoá công khai để tạo thành cặp mã khoá bất đối xứng. Nguyên lý hoạt động của khoá công khai trong chứng chỉ số là hai bên giao dịch phải biết khoá công khai của nhau. Bên A muốn gửi cho bên B thì phải dùng khoá công khai của bên B để mã hoá thông tin. Bên B sẽ dùng khoá cá nhân của mình để mở thông tin đó ra. Tính bất đối xứng trong mã hoá thể hiện ở chỗ khoá cá nhân có thể giải mã dữ liệu được mã hoá bằng khóa công khai (trong cùng một cặp khoá duy nhất mà một cá nhân sở hữu), nhưng khoá công khai không có khả năng giải mã lại thông tin, kể cả những thông tin do chính khoá công khai đó đã mã hoá. Đây là đặc tính cần thiết vì có thể nhiều cá nhân B,C, D cùng thực hiện giao dịch và có khoá công khai của A, nhưng C,D không thể giải mã được các thông tin mà B gửi cho A dù cho đã chặn bắt được các gói thông tin gửi đi trên mạng. Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thư nhân dân, thì khoá công khai đóng vai trò như danh tính của bạn trên giấy chứng minh thư (gồm tên địa chỉ, ảnh ), còn khoá cá nhân là gương mặt và dấu vân tay của bạn. Nếu coi một bưu phẩm là thông tin truyền đi, được "mã hoá" bằng địa chỉ và tên người nhận của bạn, thì Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 17
  18. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp dù ai đó có dùng chứng minh thư của bạn với mục đich lấy bưu phẩm này, họ cũng không được nhân viên bưu điện giao bưu kiện vì ảnh mặt và dấu vân tay không giống. Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc. Đây chính là sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ của chứng chỉ. Muốn kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp lệ hay không. Trên chứng minh thư, đây chính là con dấu xác nhận của Công An Tỉnh hoặc Thành phố mà bạn trực thuộc. Về nguyên tắc, khi kiểm tra chứng minh thư, đúng ra đầu tiên phải là xem con dấu này, để biết chứng minh thư có bị làm giả hay không. Lợi ích của chứng chỉ số Mã hoá Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới giải mã được thông tin để đọc. Trong quá trình truyền thông tin qua Internet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói tin có thông tin gì. Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin. Những trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn. Chống giả mạo Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sử dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị thay đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều sẽ bị phát hiện. Địa chỉ mail của bạn, tên domain đều có thể bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quan trọng. Tuy nhiên, chứng chỉ số thì không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm bảo an toàn. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 18
  19. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Xác thực Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận - có thể là đối tác kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ được danh tính của bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ thống chứng chỉ số mà bạn và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó là bạn chứ không phải là một người khác. Xác thực là một tính năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền. Các hoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân. Đây chính là nền tảng của một Chính phủ điện tử, môi trường cho phép công dân có thể giao tiếp, thực hiện các công việc hành chính với cơ quan nhà nước hoàn toàn qua mạng. Có thể nói, chứng chỉ số là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử. Chống chối cãi nguồn gốc. Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt hàng qua mạng), chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định người gửi là tác giả của thông tin đó. Trong trường hợp chối cãi, CA cung cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin được gửi. 2.1.2 Chữ ký số (CKS) CKS được phát triển và ứng dụng rộng rãi hiện nay dựa trên thuật toán RSA (Tên viết tắt của ba tác giả: Rivest, Shamir và Adleman), là cơ sở quan trọng để hình thành hạ tầng khóa công khai (PublicKey Infrastructure) cho phép người sử dụng của một mạng công cộng không bảo mật như Internet trao đổi dữ liệu và tiền một cách an toàn, thông qua việc sử dụng một cặp mã khóa công khai và bí mật được cấp phát, sử dụng qua một nhà cung cấp chứng thực CA (Certificate Authority) được tín nhiệm. Việc thừa nhận CKS thuộc quyền sở hữu của một cá nhân nào đó, cần phải được một tổ chức CA chứng thực. Và CA chứng nhận phải được thừa nhận về tính pháp lý và kỹ thuật. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 19
  20. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Tính pháp lý của “Chữ ký số”? Theo quyết định số 25/2006/QĐ-BTM về quy chế sử dụng CKS của bộ Thương Mại, mọi văn bản điện tử được ký bằng CKS có giá trị pháp lý tương đương văn bản giấy được ký và đóng dấu. Ngoài ra, nghị định 26 về CKS và dịch vụ chứng thực CKS đã được Thủ Tướng Chính Phủ ban hành ngày 15/2/2007, qua đó công nhận CKS và chứng thực số có giá trị pháp lý trong giao dịch điện tử, bước đầu thúc đẩy sự phát triển của thương mại điện tử tại Việt Nam. Đơn vị nào cung cấp giải pháp “chữ ký số”? Cung cấp chứng chỉ số tại Việt Nam hiện nay có VASC-CA với các giải pháp: - Chứng chỉ số cá nhân VASC-CA: Giúp mã hóa thông tin, bảo mật e-mail, sử dụng chữ ký điện tử cá nhân, chứng thực với một web server thông qua giao thức bảo mật SSL. - Chứng chỉ số SSL Server VASC-CA: Giúp bảo mật hoạt động trao đổi thông tin trên website, xác thực người dùng bằng SSL, xác minh tính chính thống, chống giả mạo, cho phép thanh toán bằng thẻ tín dụng, ngăn chặn hacker dò mật khẩu. - Chứng chỉ số nhà phát triển phần mềm VASC-CA: Cho phép nhà phát triển phần mềm ký vào các chương trình applet, script, Java software, ActiveX control, EXE, CAB và DLL, đảm bảo tính hợp pháp của sản phẩm, cho phép người sử dụng nhận diện được nhà cung cấp, phát hiện được sự thay đổi của chương trình (do hỏng, bị hacker hay virus phá hoại). Tương tự như vậy, số lượng đơn vị cung cấp giải pháp ứng dụng có dùng CKS ở Việt Nam hiện nay cũng chưa nhiều. Các công ty như Giải Pháp Thẻ Minh Thông (www.tomica.vn), MI-SOFT(www.misoft.com.vn) là những công ty cung cấp tích hợp giải pháp chữ ký số HSM (Hardware Security Module) vào thẻ thông minh và USB Token vào các ứng dụng và giao dịch cần bảo mật như: Internet Banking, Money Tranfer, VPN hay e-Signing. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 20
  21. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Để CKS được sử dụng rộng rãi tại Việt Nam, việc quan trọng là cần có một tổ chức cấp CA được thừa nhận, và được sự ủng hộ mạnh mẽ của Nhà Nước trong việc ứng dụng thương mại điện tử và hành chính điện tử. Ứng dụng “Chữ ký số” tại Việt Nam Khả năng ứng dụng của CKS khá lớn, do có tác dụng tương tự như chữ ký tay, nhưng dùng cho môi trường điện tử. Thường CKS được sử dụng trong giao dịch cần an toàn qua mạng Internet, như giao dịch thương mại điện tử, tài chính, ngân hàng. Thứ 2 là dùng để ký lên eMail, văn bản tài liệu Soft-Copy, phần mềm module phần mềm và việc chuyển chúng thông qua Internet hay mạng công cộng. Tuy nhiên, sử dụng hay không sử dụng CKS vẫn còn tùy vào sự lựa chọn của người dùng. Hiện nay nhiều ngân hàng Việt Nam đã ứng dụng CKS trong các hệ thống như Internet Banking, Home Banking hay hệ thống bảo mật nội bộ. Ngoài ra các website của các ngân hàng, công ty cần bảo mật giao dịch trên đường truyền, mạng riêng ảo VPN đã áp dụng CKS. Có thể nói, càng ngày càng nhiều sự hiện diện của CKS trong các hệ thống, ứng dụng CNTT bảo mật của DN, tổ chức ở Việt Nam. Lợi ích “Chữ ký số” Ứng dụng CKS giúp giải quyết tốt hơn các giải pháp xác thực và bảo mật. CKS giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các tổ chức, cá nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet. Đối với lĩnh vực trao đổi thông tin, với sự phổ biến hiện nay của e-mail nhờ tính nhanh chóng linh hoạt, việc sử dụng CKS sẽ giúp cho việc trao đổi văn bản nội dung trở nên dễ dàng và đảm bảo. Ví dụ: Hệ thống quản lý văn bản, hợp đồng số sẽ được lưu trữ, tìm kiếm bằng hệ thống máy tính. Các giao dịch, trao đổi văn bản giữa cá nhân - tổ chức nhà nước (C2G), DN - Nhà Nước(B-G), DN-DN(B2B) hay giữa các tổ chức cơ quan Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 21
  22. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp nhà nước với nhau sẽ nhanh chóng và đảm bảo tính pháp lý, tiết kiệm rất nhiều thời gian, chi phí giấy tờ và vận chuyển, đi lại. Đặc biệt, tăng cường ứng dụng CKS sẽ thúc đẩy việc ứng dụng thương mại điện tử, chính phủ điện tử, hành chính điện tử và kinh doanh điện tử, đồng thời cũng bảo vệ bản quyền các tài sản số hóa. 2.2.3 Bảo mật Website Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị lộ. Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL Server để bảo mật cho Website của mình. Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer). Loại chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website. Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các tính năng: + Thực hiện mua bán bằng thẻ tín dụng + Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng + Đảm bảo hacker không thể dò tìm được mật khẩu Đảm bảo phần mềm Nếu bạn là một nhà sản xuất phần mềm, chắc chắn bạn sẽ cần những ''con tem chống hàng giả'' cho sản phẩm của mình. Đây là một công cụ không thể thiếu trong việc áp dụng hình thức sở hữu bản quyền. Chứng chỉ số Nhà phát triển phần mềm sẽ cho phép bạn ký vào các applet, script, Java software, ActiveX control, các file dạng EXE, CAB, DLL Như vậy, thông qua chứng chỉ số, bạn sẽ đảm bảo tính hợp pháp cũng như nguồn gốc xuất xứ của sản phẩm. Hơn nữa người dùng sản phẩm có thể xác thực được bạn là nhà cung cấp, phát hiện được sự thay đổi của chương trình (do vô tình hỏng hay do virus phá, bị crack và bán lậu ) Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 22
  23. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp 2.3 Thủ tục thanh toán qua mạng Để tìm hiểu thủ tục thanh toán qua m ạng trước hết ta xem các công đoạn của một giao dịch mua bán trên mạng: Gồm có 6 công đoạn sau: 1. Khách hàng, từ một máy tính tại một nơi nào đó, điền những thông tin thanh toán và điạ chỉ liên hệ vào đơn đặt hàng (Order Form) của Website bán hàng (còn gọi là Website thương mại điện tử). Doanh nghiệp nhận được yêu cầu mua hàng hoá hay dịch vụ của khách hàng và phản hồi xác nhận tóm tắt lại những thông tin cần thiết nh mặt hàng đã chọn, địa chỉ giao nhận và số phiếu đặt hàng 2. Khách hàng kiểm tra lại các thông tin và kích (click) vào nút (button) "đặt hàng", từ bàn phím hay chuột (mouse) của máy tính, để gởi thông tin trả về cho doanh nghiệp. 3. Doanh nghiệp nhận và lưu trữ thông tin đặt hàng đồng thời chuyển tiếp thông tin thanh toán (số thẻ tín dụng, ngày đáo hạn, chủ thẻ ) đã được mã hoá đến máy chủ (Server, thiết bị xử lý dữ liệu) của Trung tâm cung cấp dịch vụ xử lý thẻ trên mạng Internet. Với quá trình mã hóa các thông tin thanh toán của khách hàng được bảo mật an toàn nhằm chống gian lận trong các giao dịch (chẳng hạn doanh nghiệp sẽ không biết được thông tin về thẻ tín dụng của khách hàng). 4. Khi Trung tâm Xử lý thẻ tín dụng nhận được thông tin thanh toán, sẽ giải mã thông tin và xử lý giao dịch đằng sau bức tường lửa (FireWall) và tách rời mạng Internet (off the Internet), nhằm mục đích bảo mật tuyệt đối cho các giao dịch thương mại, định dạng lại giao dịch và chuyển tiếp thông tin thanh toán đến ngân hàng của doanh nghiệp (Acquirer) theo một đường dây thuê bao riêng (một đường truyền số liệu riêng biệt). 5. Ngân hàng của doanh nghiệp gởi thông điệp điện tử yêu cầu thanh toán (authorization request) đến ngân hàng hoặc công ty cung cấp thẻ tín dụng của Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 23
  24. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp khách hàng (Issuer). Và tổ chức tài chính này sẽ phản hồi là đồng ý hoặc từ chối thanh toán đến trung tâm xử lý thẻ tín dụng trên mạng Internet. 6. Trung tâm xử lý thẻ tín dụng trên Internet sẽ tiếp tục chuyển tiếp những thông tin phản hồi trên đến doanh nghiệp, và tùy theo đó doanh nghiệp thông báo cho khách hàng được rõ là đơn đặt hàng sẽ được thực hiện hay không. 7. Toàn bộ thời gian thực hiện một giao dịch qua mạng từ bước 1 -> bước 6 được xử lý trong khoảng 15 - 20 giây. Vấn đề quan trọng của một hệ thống thương mại điện tử là có một cách nào đó để người mua kích vào phím mua hàng và chập nhận thanh toán. Thực tế đang dùng 3 cách thanh toán: bằng tiền mặt, bằng séc và bằng thẻ tín dụng. Các cơ chế tương tự cũng được sử dụng cho kinh doanh trực tuyến. Chúng ta sẽ lần lượt xem xét từng hình thức thanh toán trên và bắt đầu bằng hình thức dễ nhất để thực hiện thanh toán trực tuyến là thẻ tín dụng. 2.3.1 Thẻ tín dụng Thẻ tín dụng đã được xử lý điện tử hàng thập kỷ nay. Chúng được sử dụng đầu tiên trong các nhà hàng khách sạn, sau đó là các cửa hàng bách hoá. Cả một ngành công nghiệp lớn đang tồn tại trong lĩnh vực xử lý các giao dịch thẻ tín dụng trực tuyến với các công ty như: First Data Corp, Total System Corp, và National Data Corp, chi tiết hoá các giao dịch phía sau mối quan hệ giữa nhà hàng, người bán hàng và người sử dụng thẻ tín dụng. Hàng triệu các cửa hàng bách hoá trên toàn nước Mỹ được trang bị các trạm đầu cuối ( Hewlett-Package Verifone là nhà sản xuất hàng đầu của thiết bị này ) thông qua đó thẻ tín dụng được kiểm tra, nhập số thẻ và biên lai này để xác thực việc mua hàng. Trước khi nhận số thẻ tín dụng của người mua qua Internet ta cần có một chứng nhận người bán. Nếu ta đã hoạt động kinh doanh thì đơn giản là yêu cầu cung cấp chứng nhận. Nếu chưa có bất cứ cái gì thì ta có thể thực hiện việc này nhanh chóng tại một nhà băng nào đó hoặc truy nhập vào một WEB site có các mẫu đăng ký trực tuyến. Sử Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 24
  25. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp dụng thẻ tín dụng trực tuyến ngày hôm nay, tuy nhiên, giống như việc sử dụng chúng với một \"operating standing by\". Số thẻ và chi tiết của giao dịch được lưu lại và xử lý, nhưng không có sự xuất hiện của người mua và khi có một vụ thanh toán bị lỡ thì nó vẫn được lưu lại trên hệ thống. Bởi lý do này các chi phí xử lý thẻ tín dụng trực tuyến nhiều ngang bằng với chi phí để xử lý một giao dịch chứ không ngang bằng với một mức phí như điện thoại và thông thường là vào khoảng 50 xen. (Các giao dịch được xử lý thông qua các trạm đầu cuối đã được hợp đồng chỉ mất khoảng từ 3 đến 5 xen). Ngoài các khoản trên, phí được giảm nhờ việc sử dụng các dịch vụ của Visa và MasterCard, là các tổ hợp của các nhà băng, hoặc American Express Co. Và Discover là các công ty riêng rẽ xử lý và quản lý các giao dịch thẻ tín dụng. Ðiều đó có nghĩa là ta sẽ phải trả từ 2 đến 3 xen cho một đô la khi sử dụng Visa hay MasterCard, và ít hơn một chút với Discover, đối với American Express phí này vào khoảng 5 xen cho một đô la. Các thoả ước giữa các công ty cung cấp thẻ và các chủ doanh nghiệp giúp cho khách hàng không phải trả các chi phí này. Việc chiết khấu cũng khác giữa người sử dụng tại trạm đầu cuối nơi mà thẻ tín dụng tồn tại một cách vật lý, và môi trường WEB nơi mà thẻ không hiện diện. Trong quá trình chuyển đổi để chiết khấu người bán được đảm bảo thanh toán. Người mua được đảm bảo về việc sẽ nhận được hàng hoá và một số đảm bảo có giới hạn khác chống lại việc bị lừa hoặc mất thẻ. (Bảo hiểm thẻ được bán bởi các nhà băng phát hành thẻ và các rủi ro sẽ được thanh toán). Cửa hàng trên WEB cần phần mềm nào để có thể xử lý thẻ tín dụng? ở mức đơn giản nhất, phải có sẵn một số biểu mẫu có khả năng mã hoá bảo mật, thông thường là Sercure Socket Layer (SSL), một tiêu chuẩn đối với cả các trình duyệt của Microsoft và Netscape, và điều đó cũng có nghĩa là máy chủ phải có một khoá mã hoá. Tiếp theo ta phải có một chương trình đóng vai trò là một giỏ mua hàng, cho phép người sử dụng thu thập các mặt hàng cần mua, tính giá và thuế sau đó đưa ra một hoá đơn cuối cùng để phê chuẩn. Cuối cùng nếu như không muốn xử lý các tệp giao dịch bằng tay hoặc xử lý một gói các tệp thì phải cần một cơ chế giao dịch điện tử. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 25
  26. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp 2.3.2 Ðịnh danh hay ID số hoá (Digital identificator) Các khoá mã bảo mật trên máy chủ, được biết đến như là các ID số hoá, được cung cấp bởi một số các cơ quan chứng nhận thẩm quyền, là nơi cấp phép và bảo dưỡng các bản ghi diễn biến trên các ID số hoá này. Tổ chức chứng thực thẩm quyền lớn nhất được điều hành bởi VeriSign Inc., một công ty được thành lập vào năm 1995 chuyên về lĩnh vực quản lý các chứng nhận số hoá. Công ty xử lý các yêu cầu ID số hoá cho các công ty như American Online, Microsoft, Netscape, tuy nhiên ta cũng có thể trực tiếp có các ID số hoá trên WEB site của công ty. Vào mùa hè năm 1998, VeriSign thu phí 349 USD cho máy chủ ID đầu tiên mà một công ty mua và 249 USD cho thêm mỗi máy chủ ID tiếp theo. Một Máy chủ ID toàn cục - Global Server ID, 128 bit có mức chi phí 695 USD. Công nghệ nền tảng cho các ID số hoá của VeriSign là SSL được xây dựng đầu tiên bởi RSA Technologies inc., nay là một đơn vị của Sercurity Dynamics. Mỗi thông điệp, được mã hoá bằng hai mã hoặc khoá là một chuỗi các bit làm thay đổi giá trị đã được số hoá các của dữ liệu được đưa vào hay lấy ra khỏi chương trình. Một khoá công cộng được dùng để mã hoá các thông điệp, trong khi khoá riêng thứ hai được dùng để giải mã nó. Tính thống nhất và xác thực của các khoá riêng được đảm bảo bởi một cơ quan chứng nhận thẩm quyền như VeriSign. Một máy chủ ID số hoá cho phép ta ký vào các văn bản điện tử và chứng thực chữ ký của mình với một cơ quan chứng nhận thẩm quyền. 2.3.3 Giỏ mua hàng điện tử Mercantea SoftCart Version 3.0 là một chương trình có chức năng của một giỏ mua hàng điện tử trực tuyến hiện đang sẵn có trên thị trường. Sau khi một phần mềm như trên được cài đặt trên máy chủ WEB thì ta chỉ cần đặt một kết nối HTML trên trang WEB mô tả sản phẩm đến vị trí của chương trình này với các biểu mẫu để người mua có thể điền các thông tin về sản phẩm, thay đổi số lượng và chủng loại mặt hàng rồi hoàn thành giao dịch đó và chuyển đến một cơ chế xử lý giao dịch để thực hiện hoàn tất một quá trình mua hàng. Nếu như kho hàng nằm trong một cơ sỡ dữ liệu thì cần có Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 26
  27. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp thêm các kỹ năng cần thiết để viết các hàm gọi đến cơ sở dữ liệu này dưới dạng .dll đối với môi trường Windows . Nói chung các phần mềm dạng này sẽ cung cấp một số tính năng căn bản sau đây: Liên kết các yêu cầu bán hàng đến một biểu mẫu đặt hàng mà khách hàng có thể − truy nhập qua WEB. Hoàn thành biểu mẫu đặt hàng sau khi đã lựa chọn hàng hoá và số lượng, rồi cập − nhật thêm các thông tin về thẻ tín dụng. Xử lý các biểu mẫu đặt hàng, thông thường là chuyển đổi các dữ liệu ở đó thành − dạng một tệp để xử lý theo gói (sẽ cần thêm một chương trình riêng rẽ nếu như có nhu cầu xử lý các giao dịch một cách trực tuyến). Gửi thư biên lai hoàn chỉnh đến khách hàng qua thư điện tử và kiểm tra xác thực − việc mua bán. Hỗ trợ khả năng mềm dẻo trong xử lý đơn đặt hàng sao cho hàng hoá có thể được − giao nhanh nhất, việc xử lý có thể được thực hiện bởi bộ phận bán hàng hoặc bất kỳ một người nào đó được uỷ quyền. Một số chương trinh còn cung cấp thêm các tính năng bổ trợ sau: Có sẵn một cơ chế tìm kiếm cho các sản phẩm trong cơ sở dữ liệu. − Hỗ trợ các đối tượng HTML động sao cho giá cả có thể thay đổi nhanh chóng phụ − thuộc vào số lượng đặt hàng. Hỗ trợ các biểu mẫu thu thập thông tin bổ trợ như thông tin tìm hiểu về khách − hàng, danh sách địa chỉ e- mail của các khách hàng được xắp xếp theo nhóm quan tâm đến một sản phẩm hoặc một dịch vụ mới nào đó. Hỗ trợ EDI cho việc xử lý các đơn đặt hàng điện tử trong môi trường doanh − nghiệp-tới-doanh nghiệp (B2B). Các công việc này được xử lý trong một môi trường an toàn bảo mật (SSL). Phần mềm giỏ mua hàng điện tử được liên kết với một khoá mã bảo mật SSL sao cho tất cả các dữ liệu được truyền giữa máy chủ và trình duyệt WEB của khách hàng (giả sử là trình duyệt này hỗ trợ bảo mật SSL) được mã hoá bảo mật khỏi những tay rình trộm trên mạng. 2.4 Firewall giải pháp 2.4.1 Định nghĩa Thuật ngữ Firewall có nguồn gốc từ một thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 27
  28. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp tích hợp vào hệ thống mạng để chống sự truy nhập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Internet Firewall là một thiết bị ( phần cứng + phần mểm) giữa mạng của một tổ chức, một công ty hay một quốc gia ( Internet ) và Internet. Nó thực hiện vai trò bảo mật các thông tin Internet từ thế giới Internet bên ngoài. 2.4.2 Chức năng Internet Firewall ( gọi tắt là Firewall ) là một thành phần đặt giữa Internet và Internet để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với nhau bao gồm: Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Để Firewall làm việc hiệu quả, tất cả trao đổỉ thông tin từ trong ra ngoài và ngược lại đều phải thực hiện thông qua Firewall. Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. Sơ đồ chức năng hệ thống của Firewall được mô tả như trong hình 1. Intranet firewall Internet Hình 1: Sơ đồ chức năng hệ thống của Firewall. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 28
  29. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp 2.4.3 Cấu trúc Firewall bao gồm: Một hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến ( router ) hoặc có chức năng router. Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ. Thông thường là các hệ quản trị xác thực ( Authentication ), cấp quyền ( Authorization) và kế toán ( Accounting ). Chúng ta sẽ đề cập kỹ hơn các hoạt động của nhữn hệ này ở phần sau. 2.4.4 Các thành phần của Firewall và cơ chế hoạt động Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây: Bộ lọc gói tin ( packet-filtering router ) Cổng ứng dụng ( application-level gateway hay proxy server ) Cổng mạch ( circuite level gateway ) Bộ lọc gói tin ( packet-filtering router ) a, Nguyên lý Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP. Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng hay nói chính xác hơn là các dịch vụ chạy trên các giao thức ( Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu ( data packets ) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet ( packet header ), dung để cho phép truyền các packet đó ở trên mạng. Đó là: Địa chỉ IP nơi xuất phát ( IP Source address ) Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 29
  30. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Địa chỉ IP nơi nhận ( IP Destination address ) Những thủ tục truyền tin ( TCP, UDP, ICMP, IP tunnel ) Cổng TCP/UDP nơi xuất phát ( TCP/UDP source port ) Cổng TCP/UDP nơi nhận (TCP/UDP destination port ) Dạng thông báo ICMP ( ICMP messenger type ) Giao diện packet đến ( incomming interface of packet ) Giao diện packet đi ( outcomming interface of packet ) Nếu packet thoả mãn các yêu cầu của luật lọc thì packet được chuyển qua firewall. Nếu không, packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó hoặc chỉ có những dịch vụ nào đó được phép mới chạy được trên hệ thống mạng cục bộ. b, Ưu điểm Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong số những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả. c, Hạn chế Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các luật về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. Do làm việc dựa trên header của các packet, rõ rang là bộ lọc packet không kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý dồ ăn cắp thông tin hay phá hoại của kẻ xấu. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 30
  31. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Cổng ứng dụng ( application-level gateway ) a, Nguyên lý Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service ( dịch vụ đại diện ). Proxy service là các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt chương trình proxy cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó dược thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn ( secure version ) của các phần mềm hệ thống ( Operating system ). Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall. Chỉ những dịch vụ mà người quan trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host. Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card. Mỗi proxy được đặt cầu hình để cho phép truy nhập chỉ một số các máy chủ nhất định. Điều này có nghĩ rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 31
  32. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại. Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho phép dễ dàng cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề. Ví dụ: Telnet Proxy Ví dụ một người ( gọi là outside client ) muốn sử dụng dịch vụ Telnet để kết nối vào hệ thống mạng qua một bastion host có Telnet proxy. Quá trình xảy ra như sau: Outside client telnet đến bastion host. Bastion host kiểm tra password, nếu hợp lệ thì outside client được phép vào giao diện của Telnet proxy. Telnet proxy cho phép một tập nhỏ những lệnh của Telnet và quyết định những máy chủ nội bộ nào outside client được phép truy nhập. Outside client chỉ ra máy chủ đích và Telnet proxy tạo một kết nối của riêng nó tới máy chủ bên trong và chuyển các lệnh tới máy chủ dưới sự uỷ quyền của outside client. Outside client thì tin rằng Telnet proxy là máy chủ thật ở bên trong, trong khi máy chủ ở bên trong thì tin rằng Telnet proxy là client thật. b, Ưu điểm Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập được bởi các dịch vụ. Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá. Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Luật lệ filtering ( lọc ) cho cổng ứng dụng là dễ dàng cầu hình và kiểm tra hơn so với bộ lọc packet. c, Hạn chế Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 32
  33. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Yêu cầu các user biến đổi ( modify ) thao tác hoặc modify phần mềm đã cài trên máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước. Tuy nhiên, nó cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet. Cổng vòng ( circuit-Level Gateway ) Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp ( relay ) các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Hình 2 minh hoạ một hành động sử dụng nối Telnet qua cổng vòng. Cổng vòng đơn giản chuyển tiếp kết nối Telnet qua Firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào. Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong ( inside connection ) và các kết nối bên ngoài ( outside connection ). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho những kêt nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng dụng cho những kết nối đến và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bực tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 33
  34. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp out in out in out in outside host Inside host Circuit-level Gateway Hình 2: Cổng vòng 2.4.5 Những hạn chế của Firewall Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “ đi qua “ nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-driven attack). Khi có một chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hoá dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 34
  35. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Chƣơng III: TÌM HIỂU MỘT SỐ WEBSITE CỦA MỘT SỐ CÔNG TY THƢƠNG MẠI ĐIỆN TỬ 3.1 Hoạt động website chợ điện tử ( ) 3.1.1 Cấu trúc website: Phần đầu: Trợ giúp online Tìm kiếm Đăng nhập, đăng ký tài Menu Trợ giúp online: Trong đó có 2 nick chat để khách có thể đặt các câu hỏi và được trả lời trực tiếp -chodientu_vn: các vấn đề liên quan đến chodientu -cai_tien_chodientu: là những đóng góp của khách hàng để cải tiến chodientu được tốt hơn. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 35
  36. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp -Email: Khách có thể gửi email khi muốn khiếu nại hoặc hỏi han thắc mắc Toàn bộ danh mục thì được để ở dạng thu gọn, khi click vào mũi tên toàn bộ danh mục sẽ được đưa ra. Sàn đấu giá Coupon Sàn Ebay Giao dịch bảo mật & an toàn Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 36
  37. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp -Coupon: là chương trình đặc biệt giảm giá dành cho khách hàng của chợđiệntử. Nó là một hình thức cộng điểm cho hoạt động của khách hàng trên website của chợđiệntử. Mỗi thẻ Coupon có hiệu lực giảm giá cho 01 sản phẩm. Chợđiện tử đã liên kết với Ebay, ta sẽ nói rõ hơn vấn đề này trong phần sau. -Giao dịch bảo mật & an toàn: là mục hướng dẫn khách hàng giao dịch an toàn, đảm bảo quyền lợi cho khách hàng. Đồng thời tạo lòng tin nơi khách hàng. Danh mục yêu thích được chợđiệntử thể hiện ngay trên trang chính Còn lại là quảng cáo các sản phẩm. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 37
  38. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Phần cuối: Danh mục các loại mặt hàng trên chợđiệntử Các thông tin về giấy phép, địa chỉ của công ty chợđiệntử và các tổ chức, công ty liên kết với chợđiệntử. 3.1.3 Giao dịch: Hỗ trợ khách hàng Nếu khách hàng có bất kỳ thắc mắc hay gặp phải sự số khi giao dịch tại ChợĐiệnTử, sẽ liên hệ trực tiếp với bộ phận hỗ trợ trực tuyến của chợđiệntử theo các cách thức dưới đây: Hotline: 1900 585 888 Điện thoại: (HN) 04.6251 2484 hoặc (Tp.HCM) 08.6292 0945 Email: support@chodientu.vn Y!M & Skype: chodientu_vn Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 38
  39. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Giao dịch an toàn An toàn khi mua bán trực tuyến là một trong những mối quan tâm hàng đầu của người dùng. Vì vậy, chợđiêntử cam kết không ngừng nổ lực xây dựng một môi trường giao dịch thật sự an toàn, tiện ích và bình đẳng đối với mọi thành viên. Hầu hết các giao dịch tại ChợĐiệnTử đều thành công tốt đẹp. Tuy nhiên, vẫn có nhiều rủi ro tiềm ẩn và để đảm bảo quyền lợi của mình khi giao dịch tại ChợĐiệnTử, khách hàng cần tuân thủ các hướng dẫn giao dịch an toàn của chợđiệntử. A. Giao dịch qua NgânLƣợng.vn NgânLượng.vn là cổng thanh toán mặc định được áp dụng đối với các giao dịch thông qua ChợĐiệnTử. Là người Mua, bạn được bảo vệ hoàn toàn với Chính sách “Bảo hiểm ngƣời mua”. Đây là chương trình bồi hoàn lại toàn bộ số tiền (100% số tiền) mà bạn đã thanh toán cho người Bán thỏa mãn các điều kiện sau: 1. Chọn chế độ thanh toán với phương thức “Thanh toán tạm giữ” 2. Người mua không nhận được sản phẩm hoặc sản phẩm không đúng như mô tả có biên bản mở hàng và xác nhận của bưu điện hoặc đơn vị chuyển phát. 3. Tài khoản NgânLượng.vn của người Mua phải đã được NgânLượng.vn chứng thực. B. Giao dịch trực tiếp Giao dịch trực tiếp với người Bán là phương thức giao dịch nhanh chóng và tiện lợi nhưng ẩn chứa nhiều rủi ro về gian lận, lừa đảo xuất phát từ cả người mua lẫn người bán. Trong trường hợp khách hàng gặp phải sự cố hay thiệt hại khi giao dịch với đối tác, khách hàng phải nhanh chóng liên lạc với đội ngũ hỗ trợ của chợđiệntử để nhận được sự trợ giúp cần thiết. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 39
  40. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Để có thể giảm thiểu các sự cố tiềm ẩn khi giao dịch trực tiếp, chợđiệntử khuyến cáo: 1. Đối với người mua: Đảm bảo người mua đã tìm hiểu kỹ thông tin người bán. Hãy xem xét điểm uy tín, tham khảo các đánh giá mà những người mua trước đó đã đánh giá người bán này. Ngoài ra, những danh hiệu người bán này đã đạt trước đó (như người bán Danh tín, người bán tiêu biểu của tháng ) cũng thể hiện mức độ uy tín của người bán. Trước khi đặt lệnh mua hoặc đấu giá, khách hàng cần cẩn trọng và tham thảo kỹ các điều khoản bán hàng, tình trạng sản phẩm, điều khoản thanh toán và vận chuyển do người bán đưa ra. Nếu cần thiết hãy đặt câu hỏi hoặc liên lạc trực tiếp với người bán để có thông tin đầy đủ và tin cậy hơn. Hãy cẩn trọng nếu người mua nhận được yêu cầu từ người bán yêu cầu người mua chuyển tiền trước, trước khi người bán chuyển hàng, đặc biệt khi người mua và người bán này ở 2 địa phương cách xa nhau. Không nên giao dịch với những người bán chưa có hoặc có phần trăm điểm uy tín thấp ngoại trừ đó là Người bán đã được chứng nhận Đảm bảo từ ChợĐiệnTử hoặc người mua đã giao dịch nhiều lần với người bán này trước đó. Chỉ nên giao dịch trực tiếp khi người mua và người bán có thể gặp nhau trực tiếp, xem kỹ món hàng giao dịch trước khi thanh toán tiền mua hàng. 2. Đối với người bán: Hiểu rõ người mua: điểm uy tín, tiểu sử giao dịch, các hoạt động cộng đồng tham gia đã và đang tham gia tại ChợĐiệnTử. Các thông tin này sẽ giúp người bán xác định được mức độ tin cậy khi giao dịch với thành viên này. Sử dụng hình thức Chuyển phát nhanh có khai giá (sản phẩm được đơn vị chuyển phát nhanh xác nhận) nhằm tránh trường hợp người mua đã nhận hàng nhưng phủ nhận sản phẩm đó không đúng sản phẩm mà người bán đã chuyển đi. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 40
  41. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Hãy mô tả chi tiết và chính xác các đặc tính, hiện trạng thực tế của sản phẩm cùng những điều khoản về thanh toán, vận chuyển, hoàn trả hàng kèm theo. Đây là nền tảng giúp người bán giảm thiểu mọi sự cố tiềm tàng khi giao dịch với người mua đồng thời cũng là cơ sở quan trọng giúp người bán khắc phục sự cố khi bị người mua gian lận. 3.2 Hoạt động website ebay ( ) 3.2.1 Giới thiệu tập đoàn ebay: Tập đoàn eBay là một công ty của Hoa Kỳ, quản lý website: eBay.com , một website đấu giá trực tuyến, nơi mà mọi người khắp nơi trên thế giới có thể mua hoặc bán hàng hóa và dịch vụ. Ngoài trụ sở tại Mỹ, eBay còn có chi nhánh tại một số quốc gia khác. Tập đoàn eBay cũng sở hữu hai thương hiệu nổi tiếng khác là Paypal là Skype. Lợi nhuận Nguồn thu của eBay đến từ nhiều phía. Đầu tiên là phí đăng tải đấu giá thu của người bán dù sản phẩm có bán được hay không. Sau đó, eBay thu phí khi sản phẩm được giao dịch thành công, cộng thêm một số loại phí phụ khác. Thêm vào đó, eBay thu lợi từ hệ thống trả tiền Paypal mỗi khi có một thanh toán được thông qua bởi dịch vụ này. Chiến lược thương mại của eBay là mở rộng giao dịch quốc tế trong hệ thống của mình. Hiện nay eBay đã mở rộng đến hầu hết các nước Bắc Mỹ, Tây Âu, Úc và một số nước châu Á như Trung Quốc và Ấn Độ. Hàng triệu các dụng cụ, thiết bị, máy tính, đồ gỗ, và hàng triệu mặt hàng khác được đưa lên, mua và bán mỗi ngày. Một số mặt hàng rất hiếm và có giá trị, tuy nhiên cũng có rất nhiều mặt hàng mà chúng ta không thể tưởng tượng nổi, một cái răng giả chẳng hạn, cũng được hàng ngàn dân cư trên mạng trả giá rất sôi nổi. Điều đó chứng tỏ eBay là một cái chợ rất lớn, nơi mà ta thấy mọi người cố gắng bán bất cứ thứ gì. Công bằng mà nói, eBay đã làm một cuộc cách mạng về chợ mua bán, tập trung người mua và người Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 41
  42. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp bán trên toàn cầu lại với nhau, thành một cái chợ khổng lồ, nơi buôn bán và đấu giá không bao giờ kết thúc. Các vấn đề gây tranh cãi bắt đầu xuất hiện và lan rộng trên eBay khi số mặt hàng được rao bán ngày càng nhiều. Vào cuối năm 1999, một người đàn ông đăng tin bán đấu giá 1 quả thận của mình trên eBay mong tìm được một khách hàng từ thị trường nước ngoài do hành vi này là bất hợp pháp tại Mỹ. Vào năm 2004, eBay phát hiện có những mẫu tin nghiêm túc rao báo các cô gái Việt đến Đài Loan. Điều này làm bùng lên tranh cãi về tính hợp pháp của các thương vụ đấu giá trên eBay. Thông thường, eBay chỉ bỏ đi các đấu giá vi phạm các điều khoản sử dụng sau khi nghe được tố cáo hay phàn nàn từ một phía thứ 3, còn bản thân công ty không có nhiều biện pháp cụ thể để kiểm soát tất cả thương vụ trên hệ thống của mình. Lợi dụng sơ hở này, rất nhiều bọn xấu đã sử dụng eBay để kinh doanh hàng nhái, hàng giả, hoặc lừa đảo người mua lẫn người bán. Rất khó khăn để phát hiện và ngăn chặn bọn chúng vì đa số đều xuất phát từ những nước có hệ thống an ninh thương mại điện tử kém phát triển. 3.2.2 Ebay liên kết với chợdiệntử: Một năm sau ngày ra mắt rầm rộ thị trƣờng trong nƣớc, eBay.vn vẫn không giải quyết đƣợc công cụ thanh toán hợp lý cho ngƣời Việt Thương vụ giữa eBay.vn với ChợĐiệnTử.vn chứng tỏ thương mại điện tử ở Việt Nam có nhiều tiềm năng. Tuy nhiên, nó cũng phần nào khẳng định sự “bất lực” của “già làng” eBay với các thương nhân mạng bản xứ. PayPal vẫn lắc đầu - Con số 18 triệu người sử dụng Internet tại Việt Nam, chiếm 21% tổng dân số đang khiến cho những đơn vị kinh doanh trên mạng đánh giá rất cao tiềm năng của thị trường trực tuyến này. Liên tục các “ông lớn”, từ eBay, Yahoo! đến mới đây nhất là Friendster hoạch định Việt Nam là địa bàn chiến lược. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 42
  43. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Một năm trước, sự hiện diện của eBay tại Việt Nam thông qua việc ra mắt eBay.vn đã khiến người tham gia ngỡ rằng thương nhân mạng Internet ở Việt Nam sẽ được hưởng lợi từ sàn thương mại trực tuyến toàn cầu này. Vậy mà, ngoài việc bình đẳng trong tự do tham khảo, đấu giá và mua hơn 115 triệu hàng hóa trưng bày tại bất cứ thời điểm nào trên eBay, khả năng bán hàng ra nước ngoài của người Việt vô cùng hạn chế. PayPal, công cụ thanh toán trên eBay, chỉ chấp nhận thanh toán chiều đi tại Việt Nam. Điều này đồng nghĩa với việc người Việt có thể trả tiền cho người bán ở các nước nhưng khách hàng của họ, dù có trả tiền đầy đủ, họ cũng không thể nhận lại tiền từ PayPal tại Việt Nam. Thị trường toàn cầu eBay cũng chưa chấp nhận các giao dịch mang tính bản địa, diễn ra giữa những người thuộc các địa phương khác nhau trong phạm vi cả nước. Ngoài giới hạn này, phương tiện giao tiếp Skype mà eBay sử dụng cũng chưa phổ biến tại Việt Nam so với Yahoo! Messenger. Đây cũng là rào cản khiến cho việc người Việt tham gia thị trường eBay hạn hẹp hơn. Nhận định về thương mại điện tử tại nước ta, ông Dan Neary, Phó Chủ tịch Tập đoàn eBay, thừa nhận: “Quả thật, chúng tôi chưa giúp được người Việt giao dịch với nhau”. Ông cũng khẳng định, sứ vụ của eBay.vn chỉ là cánh cổng, tạo điều kiện cho người Việt tiếp cận hàng hóa và mua hàng với giá thấp chứ chưa thực sự là sàn giao dịch trực tuyến”. Khép lại “cửa ngõ” - Ngày 17-6, eBay chính thức thiết lập quan hệ đối tác với ChợĐiệnTử.vn. Theo thỏa thuận này, ChợĐiệnTử.vn sẽ chuyển đổi thành website đồng thương hiệu, giữ nguyên địa chỉ www.chodientu.vn. Trang web này có kết nạp thêm thương hiệu của eBay và được tăng cường các chức năng cho phép các cá nhân và doanh nghiệp trên toàn quốc thực hiện các giao dịch thương mại trong cũng như ngoài nước thông qua việc kết nối với các website toàn cầu của eBay. Các chuyên gia eBay chỉ làm nhiệm vụ tư vấn. Về số phận của “cánh cổng” eBay.vn, ông Nguyễn Hòa Bình, Tổng Giám đốc PeaceSoft, đơn vị chủ quản của ChợĐiệnTử.vn tiết lộ: “Chậm nhất là 3 tháng nữa, cổng thương Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 43
  44. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp mại xuyên biên giới, thành lập trong sự hợp tác giữa chúng tôi sẽ thay thế cho eBay.vn hiện nay”. Như vậy sau một năm hoạt động, eBay.vn sẽ chấm dứt sứ mạng của mình. Theo cam kết của hai đơn vị này, khi website đồng thương hiệu ra mắt, Việt Nam được xem là thị trường thứ 40 đánh dấu sự có mặt và vận hành chính thức của eBay. Vậy mà, “vấn đề thanh toán chưa nằm trong thỏa thuận. Chúng tôi sẽ xây dựng nhưng thời gian thì chưa thể xác định”- ông Dan Neary cho biết. Phía đối tác của eBay, ChợĐiệnTử.vn, trung tâm mua sắm trực tuyến nội địa được đánh giá là có lượng truy cập cũng như hàng hóa cao nhất nhì hiện nay, đến thời điểm này vẫn chưa thu phí các giao dịch của thành viên. Đây là điều khiến người tham gia thương mại điện tử trong nước khá hài lòng. Tuy nhiên, cái bắt tay này của eBay và ChợĐiệnTử.vn, mấu chốt là việc chia sẻ quyền lợi, lại đặt ra vấn đề phí giao dịch, vốn dĩ đã được áp dụng trên eBay khá lâu. Ông Nguyễn Hòa Bình khẳng định: “Thời gian tới, chúng tôi sẽ thu phí mỗi thương vụ thành công”. Dù rằng, theo ông Bình, khoản phí giao dịch này sẽ tương đối nhỏ nhưng vẫn khiến những người đang tham gia giao dịch điện tử không khỏi băn khoăn. “Ông lớn” nhiều kinh nghiệm eBay mạnh dạn bắt tay “chàng trai trẻ” ChợĐiệnTử.vn hiểu thị trường bản xứ. Sự hợp tác này có thể thúc đẩy thương mại điện tử và mang lại lợi ích cho thương nhân Việt Nam hay không? Câu trả lời ở phía trước. Khi mà cả hai xây dựng được công cụ thanh toán thống nhất, chứ không phải trật vuột, một chiều hay các thành viên tham gia mua bán trên mạng phải “tự xử” với nhau như bây giờ. 3.2.3 Quy trình mua hàng và thanh toán nhƣ thế nào? Bạn muốn mua hàng qua ChợĐiệnTử-eBay, trước hết bạn phải đăng ký thành viên của ChợĐiệnTử. Tại đây, trong quá trình đăng ký, bạn phải cung cấp một số thông tin cá nhân chính xác như địa chỉ, điện thoại Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 44
  45. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Bạn muốn mua hàng qua ChợĐiệnTử-eBay, trước hết bạn phải đăng ký thành viên của ChợĐiệnTử. Tại đây, trong quá trình đăng ký, bạn phải cung cấp một số thông tin cá nhân chính xác như địa chỉ, điện thoại để đảm bảo chúng tôi giao hàng được cho bạn. Nếu cung cấp thông tin sai, chúng tôi sẽ không có trách nhiệm giao hàng cho người mua có thông tin sai lệch đó. Sau khi hoàn tất việc đăng ký và trở thành thành viên của ChợĐiệnTử, bạn có thể thực hiện các bước tiếp theo như sau: Tìm hàng: Bạn có thể thực hiện việc tìm kiếm những món hàng mà bạn muốn mua bằng hai cách: + Dùng công cụ tìm kiếm (search sản phẩm) + Hoặc duyệt sản phẩm qua danh mục Nếu ưng ý sản phẩm nào, bạn Click vào để xem thông tin về sản phẩm đó, đồng thời biết được giá sản phẩm mà bạn phải trả khi nhập hàng đến Việt nam (bao gồm các loại thuế cộng với phí trả cho chúng tôi). Trả tiền: Sau khi bạn đã quyết định mua, bạn Click vào nút "Mua hàng", xem nội dung hóa đơn. Lưu ý: Hóa đơn này có giá trị trong 24 giờ, chúng tôi không có trách nhiệm lưu hóa đơn nếu quá 24 giờ, do vậy nếu không thanh toán trong thời hạn đó, bạn sẽ không mua được hàng do người khác đã mua hoặc sản phẩm đã hết hạn. Trên hóa đơn, sẽ cho phép bạn thanh toán bằng cách: + Thanh toán qua NgânLượng.vn, tài khoản NgânLượng bắt buộc bạn phải có số dư trong tài khoản lớn hơn giá trị hóa đơn bạn mua hàng; Ghi chú: Để mua hàng trên ChợĐiệnTử-eBay, chúng tôi khuyên bạn có tài khoản NgânLượng và có số dư trong đó, cụ thể bạn xem Nganluong.vn Nhận hàng: Sau khi đã thanh toán, các khâu còn lại như mua hàng, thanh toán quốc tế, chuyển hàng đến tay người mua là trách nhiệm của chúng tôi. Bạn chỉ cần ngồi ở nhà và chờ đợi trong một khoảng thời gian hợp lý. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 45
  46. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 46
  47. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 47
  48. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 48
  49. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp Qua quá trình thực Đại học công nghệ - Đại học quốc gia Hà Nội, em đã tìm hiểu đựợc những cơ sở lý thuyết phục vụ cho đề tài. Trong thời gian tại trường Đại học công nghệ em đã được trang bị thêm nhiều kiến thức bổ ích bổ sung cho những kiến thức tiếp thu được trong nhà trường mà em đã được trang bị. Báo cáo của em đã đưa ra được: - Các vấn đề về bảo mật thông tin trong thương mại điện tử - . Em xin chân thành cảm ơn thầy giáo TS. Lê Phi Đô cùng các bạn học đã bảo ban giúp đỡ tận tình em trong thời gian thực tập này. Hà Nội, tháng 6 năm 2009. SINH VIÊN. Phạm Minh Huyền. Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 49
  50. Báo cáo tốt nghiêp Các vấn đề bảo mật thông tin trong TMĐT và giải pháp CÁC TÀI LIỆU THAM KHẢO [1] Giáo trình thương mại điện tử - thầy Trần Ngọc Thái ( Giảng viên trường Đại học dân lập Hải Phòng ). [2] Trang web [3] Trang web [4] Sinh viên: Phạm Minh Huyền Khoa CNTT-ĐHDLHP Trang 50