Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
42 trang |
Chia sẻ: thanhlam12 | Lượt xem: 816 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng Thương mại điện tử - Chương 4 An ninh thương mại và cơ sở dữ liệu thương mại điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
CHƯƠNG 4
AN NINH THƯƠNG MẠI VÀ CƠ SỞ
DỮ LIỆU THƯƠNG MẠI ĐIỆN TỬ
9 April 2016
2Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong
thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
3Thương mại truyền thống
Rủi ro
Khi khách hàng mua hàng
Không nhận được hàng hóa mình đã mua và thanh toán
Bị kẻ xấu lấy cắp tiền trong lúc mua sắm
Người bán hàng
Không nhận được tiền thanh toán
Bị lấy trộm hàng hóa
Thanh toán bằng tiền giả
4Thương mại điện tử
Thương mại điện tử cho phép
Thực hiện các giao dịch
Thanh toán
Marketing
Gia tăng giá trị các sản phẩm hàng hóa
Truyền cơ sở dữ liệu liên quan tới thẻ tín dụng, các
phương tiện thanh toán
Cần phải đảm bảo an ninh cho các thông tin trên
5Thương mại điện tử
Người mua
Website có do một công ty hợp pháp quản lý và sở hữu?
Website có chứa các đoạn mã nguy hiểm, nội dung không
lành mạnh?
Website có cung cấp thông tin người sử dụng cho người
khác?
Công ty
Người sử dụng có xâm nhập vào trang web để thay đổi
các trang và nội dung bên trong?
Người sử dụng có phá hoại website để những người khác
không thể sử dụng được?
6Thương mại điện tử
Người sử dụng và công ty
Đường truyền có bị một bên thứ ba theo dõi hay không?
Thông tin lưu chuyển giữa hai bên có bị thay đổi hay
không?
7Vấn đề an ninh cho các hệ thống EC
Làm thế nào để tìm ra được một trạng thái cân bằng
hợp lý giữa
An ninh
Tiện dụng
Hệ thống càng an toàn xử lý, thực thi thao tác càng
phức tạp.
Ngược lại có thể không đảm bảo an toàn
8Vấn đề an ninh cho các hệ thống EC
Các yếu tố làm tăng số lượng tấn công trên mạng
Hệ thống an ninh luôn tồn tại các điểm yếu
Vấn đề an ninh và việc dễ dàng sử dụng là hai mặt đối lập
nhau
VD: Mật khẩu
Vấn đề an ninh thường chỉ xuất hiện sau khi có sức ép từ
thị trường. Các nhà cung cấp phần mềm TMĐT thường ít
chú trọng tới vấn đề an ninh.
Vấn đề an ninh của trang thương mại điện tử phụ thuộc
vào an ninh của internet, số lượng các trang web của các
trường, thư viện, cá nhân,
9Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện
tử
Một số giải pháp công nghệ bảo đảm an ninh trong
thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
10
Nguy cơ đe doạ an ninh thương mại điện tử
Các đoạn mã nguy hiểm
Các loại virus
worm
Tin tặc và các chương trình phá hoại
Tin tặc: thuật ngữ chỉ những người truy cập trái phép
vào website hay hệ thống máy tính
11
Nguy cơ đe doạ an ninh thương mại điện tử
Gian lận thẻ tín dụng
Mục tiêu của tin tặc khi tấn công các website
Lấy cắp các tệp dữ liệu thẻ tín dụng của khách hàng.
Lấy cắp các thông tin cá nhân của khách hàng: tên,
địa chỉ, điện thoại để mạo danh khách hàng
Khách hàng lo ngại mất thông tin liên quan đến thẻ
hoặc thông tin về giao dịch sử dụng thẻ.
Người bán lo ngại sự phủ định của các đơn hàng quốc
tế
12
Nguy cơ đe doạ an ninh thương mại điện tử
Sự lừa đảo
Sử dụng địa chỉ thư điện tử giả, mạo danh người khác.
Thay đổi, làm chệch hướng các liên kết web tới một địa
chỉ khác với địa chỉ thực.
Sự khước từ dịch vụ
Quá tải về khả năng cung cấp dịch vụ của một website
Kẻ trộm trên mạng
Chương trình nghe trộm, giám sát sự di chuyển thông
tin trên mạng
Xem lén thư điện tử: sử dụng đoạn mã ẩn bí mật
13
Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh
trong thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
14
Một số giải pháp công nghệ bảo đảm an ninh
trong thương mại điện tử
Kỹ thuật mã hóa thông tin
Giao thức thỏa thuận mã khóa
Chữ ký điện tử
Chứng thực điện tử
An ninh mạng và bức tường lửa
15
Kỹ thuật mã hóa thông tin
Mã hóa thông tin là quá trình chuyển văn bản, tài liệu
gốc thành văn bản dưới dạng mật mã để ngoài người
gửi và người nhận, bất cứ ai đều không thể đọc được.
Mục đích mã hóa:
Đảm bảo an ninh thông tin khi truyền phát
Mã hóa có khả năng đảm bảo bốn trong sáu khía
cạnh của an ninh thương mại điện tử
Tính toàn vẹn của thông điệp
Chống phủ định
Đảm bảo tính xác thực
Đảm bảo tính bí mật của thông tin
16
Kỹ thuật mã hóa thông tin
Mã hóa bí mật
Mã hóa công cộng
17
Mã hóa bí mật
Tên gọi khác: Mã hóa “khóa bí mật”, mã hóa đối xứng,
mã hóa khóa riêng
Là mã khóa chỉ sử dụng một khóa cho cả quá trình
mã hóa (được thực hiện bởi người gửi) và quá trình
giải mã (được thực hiện bởi người nhận).
Thông
điệp
ban đầu
Thông
điệp đã
đổi mã
Thông
điệp
ban đầu
Thông
điệp đã
đổi mã
Internet
Người gửi Người nhận
Mật mã gửi Mật mã nhận
18
Mã hóa bí mật
Mật mã gửi = mật mã nhận
Cần gửi mật mã từ người gửi đến người nhận tính
toàn vẹn và bí mật của thông điệp có thể bị vi phạm
nếu mật mã bị lộ
Không thể xác định được bên nào đã tạo thông điệp.
Để mỗi thông điệp gửi cho một người nhận được an
toàn thì phải tạo ra các mật mã riêng cho từng người.
Thuật toán mã hóa bí mật được sử dụng phổ biến:
DES (Data Encryption Standard), 1950
19
Mã hóa công cộng
Sử dụng hai mã khóa trong quá trình mã hóa
Một mã dùng để mã hóa
Một mã dùng để giải mã
Hai mã có quan hệ với nhau về mặt thuật toán đảm
bảo dữ liệu mã hóa bằng khóa này sẽ được giải mã
bằng khóa kia
Thông
điệp
ban đầu
Thông
điệp đã
đổi mã
Thông
điệp
ban đầu
Thông
điệp đã
đổi mã
Internet
Người gửi Người nhận
Mật mã gửi Mật mã nhận
Mật mã gửi Mật mã nhận
20
Mã hóa công cộng
Thuật toán sử dụng phổ biến trong mã khóa công
cộng: RSA (chữ cái đầu tiên của ba nhà phát minh
Ron Rivest, Adi Shamir và Leonard Adleman), 1977
Hạn chế:
Không hiệu quả khi gửi số lượng lớn thông tin, dữ liệu
21
Giao thức thỏa thuận mã khóa
Là quá trình các bên tham gia giao dịch trao đổi mã
khóa.
Giao thức đặt ra quy tắc cho thông tin: loại thuật toán
nào sẽ được sử dụng trong liên lạc
Ví dụ: Phong bì số hóa
Thông điệp được mã hóa bằng mã khóa bí mật
Mã khóa bí mật được mã hóa bằng mã khóa công cộng
Gửi toàn bộ thông điệp và mã khóa bí mật đã được mã
hóa.
22
Chữ ký điện tử
Phương pháp mã khóa công cộng sử dụng phổ biến
trong TMĐT.
Chữ ký điện tử là bất cứ âm thanh điện tử, ký hiệu
hay quá trình điện tử gắn với hoặc liên quan một cách
logic với một văn bản điện tử khác theo một nguyên
tắc nhất định và được người ký (hay có ý định ký) văn
bản đó thực thi hoặc áp dụng.
Là bằng chứng hợp pháp về trách nhiệm của người
ký.
23
Chữ ký điện tử
Thông điệp điện tử được coi là đáp ứng yêu cầu
chữ ký điện tử nếu
Có sử dụng một phương pháp nào đó để xác minh
được người ấy và chứng tỏ được sự phê chuẩn của
người ấy đối với thông tin hàm chứa trong thông điệp
đó.
Phương pháp ấy đủ tin cậy theo nghĩa là thích hợp cho
mục đích mà theo đó thông điệp dữ liệu ấy đã được tạo
ra và truyền đi, tính đến tất cả các tình huống, bao gồm
cả các thỏa thuận bất kỳ có liên quan.
24
Cách thức hoạt động của chữ ký điện tử
Người sử dụng kết hợp mã khóa bí mật của mình
với tài liệu và thực hiện tính toán ghép để tạo ra
một số duy nhất gọi là chữ ký điện tử.
25
Cách thức hoạt động của chữ ký điện tử
Ví dụ
Khi truyền một đơn hàng với mã số thẻ tín dụng, kết
quả là tạo ra một “vân tay” duy nhất cho văn bản đó.
“Vân tay” được đính kèm thông điệp gốc và tiếp tục
được mã hóa bằng mã khóa bí mật của người gửi.
Nếu người sử dụng giao dịch với ngân hàng thì sẽ gửi
kết quả cho ngân hàng, ngân hàng sẽ giải mã bằng mã
khóa công cộng và kiểm tra thông điệp gửi cùng có bị
người khác giả mạo, thay đổi không.
Sử dụng thông điệp ban đầu, chữ ký điện tử và mã hóa
công cộng của người gửi để kiểm tra.
26
Chứng thực điện tử
Sử dụng để nhận dạng đối tác giao dịch.
Là trung tâm của an ninh trong thương mại điện
tử.
Là công cụ dễ dàng và thuận tiện để các bên tham
gia giao dịch thương mại điện tử tin tưởng lẫn
nhau.
27
Chứng thực điện tử
Trước khi hai bên A và B tham gia giao dịch, mỗi
bên đều muốn nhận dạng chính xác bên kia.
A và B sử dụng phương pháp mã hóa công cộng
để liên lạc.
Khi A gửi thông điệp kèm chữ ký cho B
Trước khi chấp thuận, để đảm bảo mã khóa chắc chắn
của A, B cần kiểm tra mã khóa bằng cách
Nhờ một hệ thống an ninh truyền thẳng từ A tới B
khó xảy ra
Nhờ một bên thứ ba xác nhận mã khóa (Chứng
thực điện tử) đơn giản hơn
28
Chứng thực điện tử
Bên thứ 3 (cơ quan chứng thực) sau khi chứng
minh tư cách của A sẽ tạo một thông điệp có chứa
tên và mã khóa công cộng của A.
Thông điệp này gọi là chứng thực và được cơ
quan chứng thực “ký” vào theo phương pháp điện
tử.
Mã khóa công cộng của cơ quan chứng thực
chính là công cụ xác minh tư cách của A.
29
An ninh mạng và bức tường lửa
Mục tiêu của an ninh mạng
Chỉ cho phép người sử dụng được truy cập thông tin và
dịch vụ.
Ngăn cản những người sử dụng không được cấp phép có
thể truy cập vào hệ thống.
Bức tường lửa
Mạng nội bộ của các công ty cho phép nhân viên truy cập
và chia sẻ thông tin. Mạng LAN kết nối với internet qua
một cổng.
Tưởng lửa để bảo vệ mạng LAN khỏi những người xâm
nhập từ bên ngoài.
30
Bức tường lửa
Phần mềm hoặc phần cứng cho phép những
người sử dụng mạng máy tính của một tổ chức có
thể truy cập tài nguyên của các mạng khác, đồng
thời ngăn cấm những người sử dụng không được
phép truy cập từ bên ngoài vào mạng máy tính
của tổ chức.
Đặc điểm
Tất cả các giao thông từ bên trong mạng máy tính của
tổ chức ra ngoài và ngược lại đều phải đi qua.
Chỉ các giao thông được phép, theo qui định về an ninh
mạng máy tính của tổ chức, mới được phép đi qua.
Không được phép thâm nhập vào chính hệ thống này.
31
Các loại tường lửa
Tưởng lửa lọc gói
Cổng ứng dụng
Cổng mức mạch
Giải pháp tốt nhất để đảm bảo an ninh hệ thống
mạng là kết hợp các loại tường lửa một cách hợp
lý.
32
Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong
thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
33
Cơ sở dữ liệu
Dữ liệu điện tử là tất cả các mục thông tin, văn bản,
hình ảnh, âm thanh hoặc sự kết hợp giữa chúng được
lưu trữ bằng các phương tiện điện tử.
Các loại dữ liệu
Dữ liệu điện tử số và khoản mục xác định trước
Số thẻ tín dụng
Ngày giao dịch
Khối lượng mua hàng
Số ID của người bán hàng
Văn bản
Hình ảnh
Âm thanh
Video
34
Cơ sở dữ liệu
Dữ liệu được lưu trữ trên máy tính gọi là cơ sở dữ
liệu.
Là hệ thống dữ liệu điện tử có cấu trúc, được kiểm
soát và truy cập thông qua máy tính dựa vào những
mối quan hệ giữa các dữ liệu về kinh doanh, tình
huống và vấn đề đã được định nghĩa trước.
Ví dụ Cơ sở dữ liệu về:
Tồn kho
Đơn đặt hàng
Hóa đơn vận chuyển
Khách hàng
35
Các loại cơ sở dữ liệu
Cơ sở dữ liệu quan hệ
Gồm các bảng hai chiều trong đó có một hoặc nhiều
trường chính trong mỗi bảng được kết hợp với trường
tương ứng ở bảng khác.
Cơ sở dữ liệu đa chiều
Cơ sở dữ liệu sử dụng để phân tích dữ liệu được gọi là
cơ sở dữ liệu đa chiều
Gồm các tệp đơn, toàn bộ thông tin trong một cột được
xem như là các chiều dữ liệu khác nhau.
Giúp việc tính toán và tóm tắt dữ liệu hiệu quả hơn.
36
Các loại cơ sở dữ liệu
Kho cơ sở dữ liệu
Là sự kết hợp của cơ sở dữ liệu với phần mềm được
thiết kế để phục vụ cho phân tích kinh doanh và hỗ trợ
ra quyết định quản lý hơn là việc cung cấp thông tin
giao dịch kinh doanh liên tục.
Quá trình hình thành và duy trì Kho cơ sở dữ liệu
Trích dữ liệu
Hợp nhất dữ liệu
Lọc dữ liệu
Chuyển dữ liệu
Tập hợp dữ liệu
Cập nhật dữ liệu
37
Các loại cơ sở dữ liệu
Cơ sở dữ liệu văn bản và hình ảnh
Cơ sở dữ liệu văn bản
Là một loạt các cơ sở dữ liệu được lưu trữ trên máy
tính để người sử dụng có thể lấy văn bản đơn lẻ và
thông tin.
Có thể sử dụng từ hoặc nhóm từ để tìm kiếm thông
tin trong một văn bản
Cơ sở dữ liệu hình ảnh
Là cơ sở dữ liệu lưu trữ hình ảnh và mô tả về hình
ảnh hơn là dữ liệu được xác định trước hoặc văn
bản.
38
Các loại cơ sở dữ liệu
Cơ sở dữ liệu đa phương tiện
Cơ sở dữ liệu đa phương tiện là cơ sở dữ liệu lưu trữ
một hoặc nhiều loại tập tin phương tiện truyền thông
như văn bản, hình ảnh, video, audio,
39
Nội dung chi tiết
Vấn đề an ninh cho các hệ thống thương mại điện tử
Những nguy cơ đe doạ an ninh thương mại điện tử
Một số giải pháp công nghệ bảo đảm an ninh trong
thương mại điện tử
Cơ sở dữ liệu
Cơ sở dữ liệu khách hàng
40
Cơ sở dữ liệu khách hàng
Mục đích marketing:
Tăng khả năng bán hàng
Tăng lượng bán hàng
Duy trì quan hệ khách hàng
Cơ sở dữ liệu khách hàng là một cơ sở dữ liệu về
khách hàng hoặc những khách hàng tương lại được
sử dụng cho mục đích marketing.
41
Cơ sở dữ liệu khách hàng
Mục đích sử dụng cơ sở dữ liệu khách hàng của các
công ty
Nhận biết khách hàng tiềm năng
Xác định chương trình chào hàng đặc biệt cho một số đối
tượng khách hàng
Tăng cường uy tín khách hàng
Duy trì khách hàng
42