Các chuẩn được trình bày ở đây được chia thành hai loại:
- Chuẩn bảo đảm an toàn kết nối;
- Chuẩn bảo đảm an toàn ứng dụng.
Hình 6-5: Ba cách sử dụng chuẩn an toàn trên mạng
Các chuẩn như SSL và S/WAM được thiết kế để bảo đảm truyền thông an toàn trên Internet, mặc dù SSL chủ yếu được dùng với các ứng dụng Web. Trong khi đó các chuẩn S-HTTP và S/MIME chủ yếu được dùng để hỗ trợ đặc tính xác thực và bí mật cho các ứng dụng (S-HTTP đối với ứng dụng Web, S- MIME đối với e-mail và các ứng dụng cho phép gửi e-mail). SET chủ yếu hỗ trợ giao dịch TMĐT.
An toàn cho các ứng dụng: S-HTTP và SSL
- An toàn cho các ứng dụng mạng xoay quanh hai giao thức S-HTTP và SSL, nó hỗ trợ tính xác thực cho các server và các trình duyệt cũng như độ tin cậy và tính toàn vẹn dữ liệu cho truyền thông giữa Web server và trình duyệt, S- HTTP được thiết kế đặc biệt chuyên hỗ trợ cho giao thức truyền siêu văn bản (HTTP), để xác nhận và bảo đảm an toàn cho tài liệu. Với HTTP cũng tương tự nhưng nó bảo đảm an toàn cho các kênh truyền thông do được thiết kế để họat động thấp hơn trong chồng giao thức mạng, cụ thể là giữa tầng ứng dụng và các tầng vận tải TCP/IP, tầng mạng.
- SSL cũng có thể được sử dụng cho các giao dịch khác trên Web nhưng nó không được thiết kế để xử lý các quyết định an toàn dựa trên sự xác nhận tại tầng ứng dụng. Điều này muốn nói rằng chúng ta nên dùng các phương pháp khác nhau để điều khiển truy nhập các tệp khác nhau.
An toàn cho e-mail: PEM, S/MIME và PGP
- Nhiều giao thức an toàn đã được đề xuất cho thư tín điện tử trên Internet, nhưng chỉ có một hoặc hai giao thức được sử dụng rộng rãi. PEM (Privacy – enhancel Mail) là một chuẩn Internet đảm bảo an toàn cho e-mail sử dụng hoặc khóa không đối xứng hoặc khóa đối xứng. PEM đang dần dần ít được sử dụng
TCP AH ESP H T T P F T P S M T P Cách 1 SSL H T T P F T P S M T P TCP IP Cách 2 S H T P H T T P F T P S M T P SET PGP TCP IP S H T P Cách 3 Tầng ứng dụng Tầng phiên Tầng vận tải Tầng mạng
do nó không được thiết kế để xử lý các thư điện tử mới, đa phương tiện được hỗ trợ bởi MIME và nó yêu cầu một trật tự chặt chẽ của các cơ quan xác nhận đối với việc phát hành khóa. S/MIME là một chuẩn mới được đưa ra sử dụng gần đây, nó dùng nhiều thuật toán mã hóa được cấp bằng sáng chế và quyền sở hữu bởi công ty an toàn dữ liệu RSA, S/MIME phụ thuộc vào chứng nhận điện tử, và vì vậy nó cũng phụ thuộc vào một vài loại cơ quan xác nhận, có thể là cơ quan hợp tác hoặc cơ quan chuyên trách để đảm bảo tính xác thực.
- Một ứng dụng phổ biến được triển khai để bảo đảm an toàn cho thư tín và các tệp là PGP (Pretty Good Privacy). Có lẽ đây là một ứng dụng an toàn được sử dụng rộng rãi nhất cho e-mail và dùng nhiều chuẩn mã hóa. Các ứng dụng mã hóa và giải mã PGP có thể được mã hóa trước khi sử dụng một chương e-mail; một vài chương trình e-mail, ví dụ Edora Pro (của Qualcomm) hoặc OnNET (FPT PGP được thiết kế dựa trên ý tưởng của Web tin cậy, trong đó cho phép người dùng dùng chung khóa của họ mà không yêu cầu một trật tự của các cơ quan xác nhận.
An toàn mạng: các bức tường lửa (firewall)
- Việc kết nối mình mạng nội bộ vào Internet cũng có nghĩa là đặt dữ liệu và hệ thống máy tính của mạng đó vào trong một tình trạng nhiều rủi ro hơn. Thiếu bức tường lửa, cả tính bí mật và sự toàn vẹn của dữ liệu đều có thể bị xâm nhập bất hợp pháp. Hay nói cách khác, bức tường lửa là phương tiện để bảo vệ dữ liệu và chính hệ thống máy tính.
- Crypto API và CDSA
+ Hiện tại có hai nỗ lực chính để đơn giản hóa các tác vụ của nhà phát triển phần mềm nhằm tích hợp các phương pháp mã hoá vào trong các ứng dụng trên PC: Crypto API của Microsoft và CDSA (Common Data Security Architecture) của Intel.
• Microsoft đã triển khai công cụ an toàn dữ liệu Internet của mình để dùng với Microsoft Windows 95 và Microsoft và Windows NT. Một trong những thành phần ý nghĩa của công cụ này là CryptoAIP, nó là một giao diệp lập trình ứng dụng (API) ở mức hệ điều hành. CryptoAPI cung cấp cho các nhà phát triển Windows một phương tiện được gọi là các chức năng mã hoá, ví dụ các thuật toán mã hoá, dựa trên một giao diện chuẩn hóa. Do đó là một module nên CryptoAIP cho phép nhà phát triển thay thế một thuật toán mã hoá bằng một thuật toán khác, tùy theo nhu cầu của họ, CryptoAIP cũng bao gồm các khả năng xử lý và quản lý các chứng nhận điện tử.
nó được thiết kế phức tạp ngay từ đầu, hơi khác đối với Windows. Một số các công ty đang thực thi CDSA trong các sản phẩm của họ bao gồm Netscape, Datakey, VASCO Data Security và Verisign.
- Các bức tường lửa đề phòng sự tấn công vào các giao thức và các ứng dụng, đồng thời rất hiệu quả trong việc chống lại sự gian dối. Bức tường lửa điều khiển sự truy cập dựa vào chính nội dung của các gói dữ liệu được truyền giữa hai mạng nội bộ hoặc giữa hai thiết bị trên mạng.
- Các bức tường lửa quy định một điểm kiểm soát đơn giản đối với an toàn mạng, đây là một ưu điểm của nó. Tất nhiên, điều đó cũng kèm theo mặt trái của vấn đề là bức tường lửa dễ bị vô hiệu hóa và chính vì vậy nên nó tập trung sự chú ý đặc biệt của các tặc tin.
- Các bức tường lửa không hỗ trợ tính bí mật và tính xác thực cũng như không bảo vệ mạng trước sự tấn công của vi rút, chính vì vậy bức tường lửa không được xem là một giải pháp toàn diện đối với an toàn mạng. Tuy nhiên, các giao thức mới đang được phát triển để xử lý tính xác thực và độ tin cậy của các gói dữ liệu trên mạng.
- Mặc dù các bức tường lửa có thể hỗ trợ bảo vệ dữ liệu và các hệ thống, các mạng cộng tác thường phụ thuộc vào kết nối giữa các văn phòng nằm rải rác trong một thành phố, một bang, một quốc gia hoặc trên toàn thế giới. Hoạt động bên dưới bảo vệ các mạng dựa trên giao thức IP, chính là cái tạo nên Internet tại mức mạng, cho phép các doanh nghiệp tạo ra các mạng ảo – VPN dùng riêng của họ bằng cách dùng Internet thay cho việc dùng các đường truyền thuê bao rất tốn kém.
- Giao thức S/WAN đối với việc xác nhận và mã hoá các gói dữ liệu sẽ giúp bảo đảm sự tương thích giữa các bộ chọn đường và các bức tường lửa.
Một nhóm các nhà sản xuất bức tường lửa và bộ chọn đường đã thỏa thuận thành lập chuẩn W/WAN (Secure Wide Area Network). Họ dùng nó để thực thi và kiểm tra các giao thức (được đưa ra bởi IETF - Internet Engiceering Task Force) nhằm đảm bảo an toàn cho các gói số liệu IP. Các giao thức này bao gồm các phương thức xác nhận và mã hoá gói số liệu, cùng một phương thức trao đổi và quản lý các khóa cần cho các tiến trình xác nhận và mã hoá. Các giao thức này sẽ giúp đảm bảo khả năng thao tác đồng bộ giữa các bộ chọn đường và các bức tường lửa, khiến nó trở nên tiện lợi hơn đối với các văn phòng hợp tác nằm tách biệt về mặt địa lý cũng như các thành viên trong công ty ảo trong việc truyền thông an toàn trên Internet.
Trên mạng máy tính Internet hiện nay hàng ngày có rất nhiều vấn đề tội phạm tin học đã và đang xảy ra. Có một số loại tội phạm chính sau như là Gian lận trên mạng; Tấn công Cyber; Hackers; Crackers. Tuỳ theo mức độ kỹ thuật sử dụng và tác hại, những tội phạm này tấn công vào mạng theo các hình thức: Tấn công kỹ thuật; Tấn công không kỹ thuật; Tấn công làm từ chối phục vụ; Phân tán cuộc tấn công làm từ chối phục vụ; Virus; Sâu Worm .
Có rất nhiều giải pháp công nghệ và không công nghệ để đảm bảo an toàn bảo mật trên mạng. một trong những giải pháp quan trọng ứng dụng trong TMĐT là sử dụng kỹ thuật mã hoá và các giao thức bảo mật.
Bảo mật dựa trên hai thành phần chính: thuật toán mã hoá và khoá. Thuật toán mã hoá là một hàm toán học cho phép tích hợp một văn bản đọc được hoặc các thông tin có thể hiểu được, gọi là văn bản rõ, với một xâu chữ số, được gọi là khoá, thành một văn bản mã hoá không hiểu được.
Thuật toán mã hoá có đặc điểm là khó thiết kế, tuy nhiên có thể được dùng cho nhiều khoá khác nhau. Số bit trong khoá xác định tổng số tổ hợp khóa có thể có, càng nhiều tổ hợp khoá càng khó giải mã dữ liệu. Các khoá mã hoá càng dài, độ an toàn (truyền thông) càng cao.
Mã hoá thông tin là chuyển thông tin sang một dạng mới khác dạng ban đầu, dạng mới này được gọi chung là văn bản mã hoá. Mã hoá có lợi cho việc bảo vệ và xác nhận và cung cấp các công cụ để nhận dạng người gửi, xác nhận nội dung thư tín, ngăn chặn tình trạng phủ nhận quyền sở hữu thư tín và bảo đảm bí mật.
Có hai phương pháp mã hoá. Phương pháp Mật mã đối xứng được sử dụng khi hai người gửi và nhận thông tin quy ước dùng chung một khoá để mã hoá và giải dữ liệu. Mật mã đối xứng có một số hạn chế là đòi hỏi cả hai bên tham gia truyền thông phải đồng ý dùng chung khoá bí mật, và không bảo đảm tính xác thực hoặc tính không phủ nhận.
Mã hoá với khoá không đối xứng (kỹ thuật mã hoá dùng khoá công khai) cơ bản dựa trên khái niệm về một cặp khoá. Một khoá trong cặp có thể được dùng để mã hoá thông tin và khoá kia được dùng để giải mã.
Để có thể lựa chọn các phương pháp mã hoá cần Xác định rõ mức độ cần thiết của dữ liệu và sự cần thiết đó kéo dài trong bao lâu, đồng thời lưu ý là có thể dùng nhiều hơn một phương pháp mã hoá
Sau đó tiến hành phân phát khóa công khai cho những người cần trao đổi. cách phân phát này không hỗ trợ ngăn chặn tình trạng mạo danh.
Chứng nhận điện tử đóng vai trò quan trọng trong việc xác nhận chủ sở hữu. Các cơ quan xác nhận chịu trách nhiệm kiểm tra các đặc điểm nhận dạng của người dùng, phát hành chứng nhận điện tử và xác nhận sự lưu hành hợp pháp của chứng nhận số.
Chứng nhận điện tử có thể được phát hành theo một trong bốn loại, mỗi loại bao gồm lượng thông tin nhận dạng khác nhau về người nắm giữ khóa và vì vậy nó chỉ rõ mức độ chính xác trong việc xác nhận đối với người nắm giữ. Các chứng nhận loại cao bao gồm các kiểm tra nhận dạng phức tạp nên các chứng nhận loại cao mặc dù tốn chi phí nhiều hơn nhưng bù lại có tác dụng khẳng định chính xác hơn.
Ngày càng có nhiều phương pháp an toàn được thực thi trên Internet
Các thuật toánkhóa chung có thể kể đến là: DES, Triple DES, RC2 và RC4, IDEA, RSA, Diffie – Hellman, DSA . Các thuật toán này dựa trên các giao thức và các chuẩn an toàn để bảo vệ dữ liệu trong quá trình kết nối và ứng dụng.
Câu hỏi ôn tập
Q6.1. Những vấn đề an ninh chính nào ảnh hưởng đến an ninh thông tin trên mạng?
Q6.2. Tính xác thực ảnh hưởng đến TMĐT như thế nào? Có thể xác minh tính xác thực của thông điệp trên Internet bằng cách nào?
Q6.3. Chính sách của Chính phủ về an ninh thông tin quan trọng như thế nào? Tại sao? Tất cả các Chính phủ đều nên nỗ lực phát triển thoả thuận quốc tế về luật thông tin không? Tại sao?
Q6.4. Phân tích sự khác nhau về đặc điểm và ứng dụng của mã hoá đối xứng và mã hóa bất đối xứng?
Q6.5. Phân tích lợi ích của Chứng nhận điện tử cho sự phát triển an toàn của TMĐT?
Q6.6. Tường lửa quan trọng như thế nào với TMĐT? Tại sao?
Q6.7. Vi rút ảnh hưởng như thế nào đến an ninh và toàn vẹn thông tin trong thương mại và giao dịch điện tử? Các doanh nghiệp cần làm gì để bảo vệ chính họ khỏi sự xâm nhập và phá hoại của vi rút?
Chapter 6
KHÁCH HÀNG TRÊN MẠNG Giới thiệu
Mạng Internet và Web đã tạo ra những thử thách rất lớn cho những ai muốn tìm kiếm, phát triển và tương tác với khách hàng. Khách hàng trên mạng có những đặc tính rất khác so với khách hàng truyền thống. Họ có khả năng tiếp cận thông tin về sản phẩm, dịch vụ từ rất nhiều nhà cung cấp trên khắp thế giới. “Tìm kiếm khách hàng” là tên một trò chơi trên Internet và các công ty phải thích nghi bằng cách tìm mọi cách để cung cấp các dịch vụ ở mức độ ngày càng cao hơn. Chương 7 giúp sinh viên tìm hiểu về đặc tính, cách thức tiếp cận và xây dựng mối quan hệ với khách hàng trên mạng. Sau khi học xong, sinh viên có thể:
- Định nghĩa khách hàng trên mạng
- Đưa ra ví dụ về cách tiếp cận marketing trên mạng khác nhau - Hiểu các cách tiếp cận khách hàng trên mạng
- Hiểu cách marketing khách hàng trên mạng - Hiểu cách marketing cơ sở dữ liệu
- Phân biệt marketing trực tiếp và marketing cơ sở dữ liệu - Hiểu rõ giá trị của vấn đề quản trị mối quan hệ khách hàng
1.8 KHÁI NIỆM 1.8.1 Định nghĩa
giản: Khách hàng trên mạng là bất cứ người nào liên quan đến Internet .
Từ nhận thức này thì khách hàng trên mạng là những ai tìm kiếm thông tin trên Internet, tiến hành các giao dịch với người bán. Điều này cũng đồng nghĩa khách hàng trên mạng là những người tiêu dùng tài nguyên Internet, đó có thể là hàng hoá hữu hình, dịch vụ hay là thông tin. Như vậy, khái niệm khách hàng đã được mở rộng từ những người mua hàng ra thành cộng đồng những người sử dụng Internet, sử dụng WWW, đó là:
- Những người đến tham quan trang Web của công ty; - Những người nhận được thư điện tử từ công ty;
- Những người đăng ký nhận bản tin trực tuyến của công ty;
- Mua hàng trực tiếp (hàng hoá có thể được chuyển giao ngay trên Internet); - Mua hàng gián tiếp (hàng hoá phải được vận chuyển).
Những khách hàng trên mạng được mở rộng không chỉ là khách hàng bên ngoài, mà còn là đội ngũ nhân lực của ngay chính website, công ty.
1.8.2 Đặc điểm
Các nghiên cứu đã chỉ ra khách hàng trên mạng thì: - Trung thành theo nhãn hiệu (nhưng trong giới hạn); - Dễ dàng chấp nhận cái mới;
- Chấp nhận rủi ro;
- Có thể chống đối các luật lệ; - Sẵn sàng chi trả;
- Muốn được phục vụ nhanh chóng và dễ dàng.
Như vậy, không phải bất cứ khách hàng nào cũng sẽ tiến hành mua hàng trên mạng, có một số lo lắng đã tạo thành rào cản:
- Lo lắng về an ninh;
- Quá trình, thủ tục mua hàng; - Vấn đề kỹ thuật và marketing;
- Vấn đề văn hoá. Đối với các giao dịch truyền thống, vấn đề văn hoá có thể dựa vào khu vực địa lý nhưng trên Internet, vấn đề đó không hề đơn giản, tất cả thông tin