Thương Mại Điện Tử (Electronic Commerce – Ec Hay E.commerce).Pdf

Thương mại điện tử Electronic commerce – EC hay E.Commerce là một khái niệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm, dịch vụ và thông tin thông qua mạng máy tính,

Thương mại điện tử (Electronic commerce – EC hay E.Commerce) là một khái niệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm, dịch vụ và thông tin thông qua mạng máy tính, kể cả Internet

B2C là mô hình giữa DN và KH.Mô hình bán hàng trực tuyến

Mô hình TMĐT B2C

– Doanh nghiệp sử dụng các phương tiện điện tử để bán hàng hóa và cung cấp dịch

vụ tới người tiêu dùng

– Người tiêu dùng thông qua các phương tiện điện tử để lựa chọn, mặc cả, đặt hàng, thanh toán và nhận hàng

C2C là mô hình giữa KH và người tiêu dùng

– Là mô hình thương mại điện tử giữa các cá nhân với nhau

– Một cá nhân có thể tự thiết lập website để kinh doanh những mặt hàng do mình làm ra hoặc sử dụng một website có sẵn để đấu giá món hàng của mình có

Các thành phần trong hệ thống TMĐT bao gồm:

– Máy chủ web, có chứa Website TMĐT

– Trung tâm xử lý thanh toán

– Ngân hàng

– Ngoài ra, hệ thống mạng đóng vai trò truyền dữ liệu là trong suốt với quá trình hoạt động của hệ thống

Phân chia theo chủ sở hữu thì hệ thống TMĐT gồm 05 đối tượng:

– Máy khách, PC của người mua

– Máy chủ web, làm dịch vụ hosting website TMĐT Đối tượng này có chủ sở hữu

– Các ngân hàng: bắt buộc phải bao gồm ngân hàng

• Trên phương diện kỹ thuật, an toàn TMĐT chia làm 3 lĩnh vực:

– An toàn dịch vụ thanh toán

– An toàn Web

– An toàn liên lạc

CHƯƠNG 2

Marketing điện tử hay tiếp thị qua mạng, tiếp thị trực tuyến, tiếng anh là

Emarketing (Internet marketing hay online marketing):

– Là quá trình lập kế hoạch về sản phẩm, giá, phân phối và xúc tiến đối với sản phẩm, dịch vụ và ý tưởng để đáp ứng nhu cầu của tổ chức và cá nhân dựa trên các phương tiện điện tử và Internet

– Bao gồm tất cả các hoạt động để thỏa mãn nhu cầu và mong muốn của khách hàng thông qua Internet và các phương tiện điện tử

• Marketing điện tử trải qua 3 giai đoạn phát triển:

• Lợi ích của Marketing ĐT với DN và KH:

• Phương tiện điện tử là phương tiện hoạt động dựa trên công nghệ điện, điện tử,

kỹ thuật số, từ tính, truyền dẫn không dây , quang học, điện tử hoặc công nghệ tương tự

• Một số loại hình hợp đồng điện tử:

– Hợp đồng truyền thống được đưa lên web

– Hợp đồng điện tử hình thành qua giao dịch tự động

– Hợp đồng điện tử hình thành qua thư điện tử

– Hợp đồng điện tử có sử dụng chữ ký số

– Hợp đồng truyền thống được đưa lên web

+ HĐ đk sử dụng Internet

+ HĐ du lịch,

– Hợp đồng điện tử hình thành qua giao dịch tự động– Hợp đồng điện tử hình thành qua thư điện tử– Hợp đồng điện tử có sử dụng chữ ký số

• Đặc điểm của hợp đồng điện tử:

– Thể hiện bằng thông điệp dữ liệu

– Tạo, truyền gửi và lưu trữ bằng phương tiện điện tử– Phạm vi ký kết rộng

– Kỹ thuật

– Luật điều chỉnh chưa hệ thống và chi tiết

• Lợi ích của hợp đồng điện tử:

– Tiết kiệm chi phí, thời gian

– Môi trường GDAT

– Thuận tiện trong lưu trữ, trao đổi và chia sẻ thông tin.– XD HT các kho lưu trữ tạo thuận lợi cho quản lý

Quy trình thực hiện hợp đồng điện tử B2C– Bước 1: Kiểm tra thanh toán;

– Bước 2: Kiểm tra tình trạng hàng trong kho;– Bước 3: Tổ chức vận tải;

– Bước 4: Mua bảo hiểm;

– Bước 5: Sản xuất hàng;

– Bước 6: Dịch vụ;

– Bước 7: Mua sắm và kho vận;

– Bước 8: Liên hệ với khách hàng;

– Bước 9: Xử lý hàng trả lại

Bước 1 Đăng ký thành viên;

• Bước 2 Tìm kiếm sản phẩm;

• Bước 3 Lựa chọn cách thức mua hàng: Đấu giá,

đặt hàng qua Ebay hoặc mua hàng trực tiếp từ Ebay;

• Bước 4 Lựa chọn phương thức thanh toán;

• Bước 5 Sử dụng My Ebay;

• Bước 6 Liên hệ với các thành viên

THANH TOÁN ĐIỆN TỬ

Thanh toán điện tử cần được định nghĩa theo nghĩa rộng là việc thanh toán tiền thông qua các thông điệp điện tử thay cho việc trả tiền mặt trực tiếp

• Hệ thống thanh toán điện tử được phát triển từ hệ thống thanh toán truyền thống,

và do vậy hai hệ thống này vẫn có những điểm chung

Yêu cầu của hệ thống thanh toán truyền thống là tin cậy , toàn vẹn và xác thực

• Yêu cầu của HTTTĐT là tính sẵn sàng, tin cậy , xác thực, toàn vẹn, bí mật, mở rộng.

Các bên tham gia thanh toán điện tử

• Người bán/ Cơ sở chấp nhận thẻ (Merchant)

• Người mua/Chủ sở hữu thẻ (Card holder)

• Ngân hàng của người bán/Ngân hàng thanh toán(Acquirer bank)

• Ngân hàng của người mua/Ngân hàng phát hành (Issuer bank)

Thẻ ghi nợ (Debit card):

– Loại thẻ này có quan hệ trực tiếp và gắn liền với tài khoản tiền gửi hoặc tài khoản séc

– Khi mua hàng hoá, dịch vụ, giá trị giao dịch sẽ được khấu trừ ngay lập tức vào tài khoản của chủ thẻ thông qua các thiết bị điện tử đặt tại nơi tiếp nhận thẻ

• Thẻ ATM: Là loại thẻ rút tiền mặt từ TK chủ thẻ tạinmáy ATM hoặc sử dụng các dịch vụ máy cung cấp

– Tiền số được quy định bởi nhà trung gian đầu cơ – broker

- Ví số hay ví điện tử: là một thuật ngữ dùng trong giao dịch thương mại điện tử

- Một ví điện tử hoạt động giống như một ví thông thường

- Ví điện tử ban đầu được coi là một phương pháp lưu trữ nhiều dạng tiền điện tử (e-cash) khác nhau

=> không mang lại nhiều thành công, nên nó đã phát triển thành một dạng dịch vụ cho phép người dùng Internet lưu trữ và sử dụng thông tin trong mua bán

4 Thư điện tử

Phương thức thanh toán P2P (Person-to-Person) cho phép các cá nhân có thể sử dụng thẻ tín dụng hoặc tài khoản của họ tại ngân hàng để thanh toán qua thư điện tử

– Để đảm bảo tính toàn vẹn, hệ thống phải xác định rõ quyền hạn của những người được phép truy cập vào hệ thống như: website, máy chủ nhằm hạn chế mối nguy hiểm từ cả bên ngoài về bên trong hệ thống

• Tính tin cậy và tính riêng tư

– Tính tin cậy và tính riêng tư là hai khía cạnh hoàn toàn khác nhau

– Tính tin cậy liên quan đến việc đảm bảo rằng các thông tin, dữ liệu có giá trị và nhạy cảm (như thông tin cá nhân, thông tin thẻ của khách hàng) được truy cập bởi những người có đủ quyền hạn

– Tính riêng tư lại đảm bảo việc thông tin cá nhân của khách hàng được kiểm soát

Bảy dạng nguy hiểm nhất đối với an toàn của các website và các giao dịch TMĐT:

– Mã độc hại (malicious code): Mã độc ( Malicious code) là mã được chèn vào hệ thống phần mềm hoặc tập lệnh web nhằm mục đích gây ra các hiệu ứng không mong muốn, vi phạm bảo mật hoặc thiệt hại cho hệ thống

Mã độc cần có vật chủ: Logic boom 5, Trojan, backdoor, exploit, virus

Mã độc là phần mềm độc lập: worm, zoombie

Các con đường lây nhiễm mã độc:

Qua thư điện tử

Remote Desktop Protocol

– Tin tặc và các chương trình phá hoại (hacking and cybervandalism):

Tin tặc (hacker) là những người sử dụng kỹ năng công nghệ thông tin để xâm nhập vào các hệ thống máytính, mạng, tài khoản trực tuyến hoặc các thiết bị điện tử khác mà không có sự cho phép của chủ sở hữu,với mục đích lợi ích cá nhân hoặc tội phạm Các tin tặc có thể làm việc đơn lẻ hoặc thuộc

về một nhóm,tổ chức

Các chương trình phá hoại (malware) là các phần mềm có chức năng gây hạicho máy tính hoặc thiết bịđiện tử khác Chúng có thể được sử dụng để truy cập vào thông tin cá nhân của người dùng, xóa hoặcthay đổi dữ liệu, cài đặt các phần mềm độc hại khác, hoặc gây ra các hành động khác nhằm phá hủy hoặclàm hỏng hệ thống

– Trộm cắp/ gian lận thẻ tín dụng (credit card fraud/theft): Gian lận thẻ tín dụng là hành vi lừa đảo nhằm chiếm đoạt thông tin thẻ tín dụng của người khác để sử dụngcho các giao dịch trái phép Thông tin thẻ tín dụng bao gồm số thẻ, ngày hết hạn,

mã bảo mật (CVV/CVC) và tên chủ thẻ

.Các phương thức gian lận thẻ tín dụng thường gặp nhất là:

Skimming: Kẻ gian sử dụng các thiết bị như máy đọc thẻ để đánh cắp thông tin thẻ tín dụng khi người dùng sử dụng thẻ tín dụng tại các điểm bán hàng, ATM hoặc các kênh thanh toán khác

Phishing: Kẻ gian tạo ra các trang web giả mạo của các tổ chức tài chính hoặc các nhà cung cấp dịch vụ thanh toán để lừa đảo người dùng cung cấp thông tin thẻ tín dụng.- Thẻ tín dụng giả: Kẻ gian tạo ra các thẻ tín dụng giả

để sử dụng cho các giao dịch trái phép

– Lừa đảo (Spoofing): Spoofing là một hình thức giả mạo các nguồn đáng tin cậy như địa chỉ email, tên, số điện thoại, SMS hoặc URL trang web Kẻ tấn công sẽ thay đổi một số yếu tố cơ bản như chữ cái, số hoặc biểu tượng của đối tượng mà họmuốn thực hiện Spoofing.

ạt traffic hoặc gửi thông tin có thể kích hoạt sự cố đến máy chủ, hệ thống hoặc mạng mục tiêu, từ đó khiến người dùng hợp pháp (nhân viên, thành viên, chủ tài khoản) không thể truy cập dịch vụ, tài nguyên họ mong đợi

Đây là những hậu quả điển hình mà DDoS và DoS gây ra:

Hệ thống, máy chủ bị DoS sẽ sập khiến người dùng không truy cập đượcDoanh nghiệp sở hữu máy chủ, hệ thống sẽ bị mất doanh thu, chưa kể đến khoản chi phí cần phải bỏ ra để khắc phục sự cố

Khi mạng sập, mọi công việc yêu cầu mạng đều không thể thực hiện, làm gián đoạn công việc, ảnh hưởng đến hiệu suất công việc

Nếu người dùng truy cập website khi nó bị sập sẽ ảnh hưởng đến danh tiếng của công ty, nếu website sập trong thời gian dài thì có thể người dùng sẽ bỏ đi, lựa chọn dịch vụ khác thay thế.

Đối với những vụ tấn công DDoS kỹ thuật cao có thể dẫn đến việc lấy trộm tiền bạc, dữ liệu khách hàng của công ty

DDoS (Distributed Denial of Service), nghĩa tiếng Việt là từ chối dịch vụ phân tán Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập

nó với traffic từ nhiều nguồn

DoS là viết tắt của Denial of

service. DDoS là viết tắt của Distributed Denial of service.

Trong cuộc tấn công DoS,

chỉ một hệ thống nhắm mục

tiêu vào hệ thống nạn nhân.

Trong DDos, nhiều hệ thống tấn công hệ thống nạn nhân.

Tấn công DoS chậm hơn so

với DDoS. Tấn công DDoS nhanh hơn tấn công DoS.

Có thể bị chặn dễ dàng vì chỉ

sử dụng một hệ thống.

Rất khó để ngăn chặn cuộc tấn công này vì nhiều thiết bị đang gửi gói tin và tấn công từ nhiều vị trí.

Trong cuộc tấn công DoS,

Các cuộc tấn công DoS rất

dễ theo dõi.

Các cuộc tấn công DDoS rất khó theo dõi.

Lưu lượng truy cập trong

cuộc tấn công DoS ít hơn so

với DDoS.

Các cuộc tấn công DDoS cho phép

kẻ tấn công gửi một lượng lớn lưu lượng truy cập đến mạng nạn nhân.

Các loại tấn công DoS là:

1 Tấn công tràn bộ đệm

2 Tấn công Ping of Death

hoặc ICMP flood

3 Tấn công Teardrop Attack

Các loại tấn công DDoS là:

1 Tấn công Volumetric (tấn công băng thông)

2 Tấn công Fragmentation Attack (phân mảnh dữ liệu)

3 Application Layer Attack (khai

DOS DDOS

thác lỗ hổng trong các ứng dụng)

– Nghe trộm (sniffing): Sniffing (nghe trộm) là quá trình sử dụng công cụ để quét

và quan sát những gói tin truyền trong hệ thống Quy trình được thực hiện bằng port hỗn tạp Kích hoạt trạng thái hỗn tạp sẽ giúp thu thập mọi loại giao thông Một khi đã thu thập được gói tin, kẻ tấn công sẽ dễ dàng thăm dò nội dung bên trong

– Sự tấn công từ bên trong doanh nghiệp (insider jobs): Tấn công mạng doanh nghiệp là sự xâm nhập trái phép vào hệ thống mạng, thiết bị, website… nhằm phá hủy, ăn cắp dữ liệu, tống tiền… Những kẻ tấn công mạng với mục đích không lành mạnh như trên được gọi là hacker mũ đen (black – hat hacker)

Biện pháp AT cho hệ thống TMĐT :

Tường lửa: Tường lửa hay còn được gọi với cái tên là FireWall thuật ngữ trong chuyên ngành mạng máy tính, nói nôm na có thể gọi là bức tường lửa một hệ thống an ninh mạng bảo mật an toàn thông tin mạng, Tường lửa tồn tại ở 2 loại phần cứng và phần mềm được tích hợp vào bên trong hệ thống và nó hoạt động như một rào chắn phân cách giữa truy cập an toàn và truy cập không an toàn, chống lại truy cập trái phép, ngăn chặn virus… đảm bảo thông tin nội bộ được an toàn không bị truy cập xấu đánh cắp

Firewall giúp kiểm soát luồng thông tin giữa Intranet và Internet, chúng phát hiện

và phán xét những hành vi được truy cập và không được truy cập vào bên trong hệ thống, đảm bảo tối đa sự an toàn thông tin

Tính năng chính của dòng thiết bị này có thể được tóm tắt ở những gạch đầu dòng dưới đây:

- Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin chỉ có trong mạng nội bộ

- Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong

- Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài

- Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép)

- Kiểm soát truy cập của người dùng.

- Quản lý và kiểm soát luồng dữ liệu trên mạng

- Xác thực quyền truy cập

- Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng

- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng), giao thức mạng

- Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống mạng

- Firewall hoạt động như một Proxy trung gian

- Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật

- Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều

Mạng riêng ảo (VPN): VPN hay Mạng riêng ảo tạo ra kết nối mạng riêng tư giữa các thiết bị thông qua Internet VPN được sử dụng để truyền dữ liệu một cách an toàn và ẩn danh qua các mạng công cộng VPN hoạt động bằng cách ẩn địa chỉ IP của người dùng và mã hóa dữ liệu để chỉ người được cấp quyền nhận dữ liệu mới

Remote Access VPN: loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn Cũng có thể

áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server VPN hoạt động

nhờ vào sự kết hợp với các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.

Các dạng tấn công lên VPN:

Tấn công DDOS

Tấn công Brute Force

Tấn công Phising

Tấn công Main in the Middle ( MITM)

– Sử dụng mật khẩu mạnh: Mật khẩu mạnh là mật khẩu bạn không thể đoán hoặc

bẻ khóa bằng cách sử dụng một cuộc tấn công Brute Force Tin tặc sử dụng máy tính để thử các kết hợp chữ cái, số và ký hiệu khác nhau để tìm kiếm mật khẩu phù hợp Máy tính hiện đại có thể bẻ khóa mật khẩu ngắn chỉ gồm các chữ cái và số chỉtrong giây lát Như vậy, mật khẩu mạnh bao gồm sự kết hợp của chữ hoa và chữ thường, số và các ký hiệu đặc biệt, chẳng hạn như dấu chấm câu Chúng phải dài ít nhất 12 ký tự, thậm chí dài hơn càng tốt

– Phần mềm virus:Phần mềm diệt virus là một dạng phần mềm có khả năng bảo

vệ, phát hiện, cảnh báo và loại bỏ các virus máy tính đang xâm nhập và tấn công máy tính của người dụng, từ đó khắc phục một phần hoặc hoàn toàn các hậu quả

do virus tấn công máy tính Ngoài ra, ngày nay các phần mềm antivirus còn có khả năng nâng cấp qua internet để nhận diện và phòng chống các phần mềm độc hại, virus, trojan, spyware, mã độc tống tiền đang ngày càng tinh vi và nguy hiểm.– Nguồn nhân lực: Các doanh nghiệp cần lưu ý mọi nhân viên trong doanh nghiệpmình ý thức về vấn đề an ninh mạng và những nguy cơ tấn công doanh nghiệp có thể chịu trong trường hợp thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ phía các nhân viên Nhân viên cũng cần được lưu ý về các giải pháp an toàn mạng nên áp dụng như việc chọn mật khẩu, thay đổi mật khẩu, quét virus thường xuyên hay xóa bỏ những email lạ

– Thiết bị ANM: Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc như: các thẻ từ, mã điện tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân trắc như kiểm tra vân tay, võng mạc hoặc giọng nói Các biện pháp khác có thể là sao lưu

dữ liệu vào những nơi an toàn, đánh dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm như camera và chuông báo động

CHƯƠNG 4