Đề thi thử lần 1 môn Lý luận văn học | Đại học Sư Phạm Hà Nội

lOMoAR cPSD| 40703272 SV/HV không được viết vào Câu 1 cột này)
Các khái niệm của mô hình kinh doanh điện tử là: Điểm từng câu, diểm thưởng
Theo Timmers (1999), mô hình kinh doanh là một kiến trúc đối với các (nếu có) và điểm toàn bài
dòng hàng hóa, dịch vụ và thông tin, bao gồm việc mô tả các nhân tố kinh
doanh khác nhau và vai trò của chúng, mô tả các lợi ích tiểm năng đối với GV chấm 1: Câu 1: ………
các nhân tố kinh doanh khác nhau, và mô tả các nguồn doanh thu. Mô điểm
hình kinh doanh là bố trí các hoạt động kế hoạch hoá (trong một số Câu 2: ……… điểm
trường hợp được nói đến như các quá trình kinh doanh) nhằm mục đích
…………………. thu lợi nhuận trên một thị trường. Mô hình kinh doanh là trọng tâm của
…………………. một kế hoạch kinh doanh. Kế hoạch kinh doanh là tài liệu mô tả mô hình Cộng …… điểm
kinh doanh của một doanh nghiệp. Một mô hình kinh doanh thương mại GV chấm 2:
điện tử nhằm mục đích khai thác và tận dụng những đặc trưng riêng có Câu 1: ……… điểm của Internet và Web. Câu 2: ……… điểm
Các mô hình kinh doanh chủ yếu trong thương mại điện tử B2C là
…………………. Thương mại điện tử B2C là loại giao dịch trong đó khách hàng của các
…………………. doanh nghiệp kinh doanh trực tuyến là những người tiêu dùng cuối cùng, Cộng …… điểm
và mua hàng với mục đích phục vụ nhu cầu tiêu dùng cá nhân. Đây là loại giao dịch quen
thuộc và phổ biến nhất trong thương mại điện tử. Các loại mô hình kinh doanh chủ yếu
trong thương mại B2C được mô tả trong bảng sau
Các mô hình kinh doanh trong thương mại điện tử B2C lOMoAR cPSD| 40703272 lOMoAR cPSD| 40703272 lOMoAR cPSD| 40703272 Câu 2
Khái niệm và các loại hình thức tấn công kĩ thuật:
Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khi thực
hiệncác giao dịch thương mại điện tử, đó là hệ thống của khách hàng, máy chủ của doanh
nghiệp và đường dẫn thông tin Có bảy dạng tấn công nguy hiểm nhất đối với an toàn của
các websit và các giao dịch thương mại điện tử, bao gồm: các đoạn mã nguy hiểm, tin tặc
và các chương trình phá hoại, trộm cắp/ gian lận thẻ tín dụng, lừa đảo, khước từ phục vụ,
nghe trộm và sự tấn công từ bên trong doanh nghiệp.
* Các đoạn mã nguy hiểm (malicious code)
Các đoạn mã nguy hiểm bao gồm nhiều mối đe doạ khác nhau như các loại virus, worm,
những “con ngựa thành Tơ-roa”, “bad applets”. Một virus là một chương trình máy tính,
nó có khả năng nhân bản hoặc tự tạo các bản sao của chính mình và lây lan sang các
chương trình, các tệp dữ liệu khác trên máy tính. Bên cạnh khả năng nhân bản (tự tái
tạo), hầu hết các virus máy tính đều nhằm thực hiện một “mưu đồ” nào đó. Đây có thể là
những “mưu đồ nhân từ”, chẳng hạn như hiển thị một thông điệp hay một hình ảnh, hoặc
cũng có thể là những “mưu đồ hiểm độc” có tác hại ghê gớm như phá huỷ các chương
trình, các tệp dữ liệu, xoá sạch các thông tin hoặc định dạng lại ổ đĩa cứng của máy tính,
tác động và làm lệch lạc khả năng thực hiện của các chương trình, các phần mềm hệ
thống. Loại virus phổ biến nhất hiện này là virus macro (macro virus), chiếm từ 75% đến
80% trong tổng số các loại virus được phát hiện Đây là loại virus đặc biệt, chỉ nhiễm
vàocác tệp ứng dụng được soạn thảo, chẳng hạn như các tệp văn bản của Microsoft
Word, Excel và PowerPoint. Khi người sử dụng mở các tài liệu bị nhiễm virus trong các
chương trình ứng dụng, virus này sẽ tự tạo ra các bản sao và nhiễm vào các tệp chứa
đựng các khuôn mẫu của ứng dụng, để từ đó lây sang các tài liệu khác. Virus macro cũng
có thể dễ lây lan khi gửi thư điện tử có đính kèm tệp văn bản. Loại virus tệp
(fileinfecting virus) là những virus thường lây nhiễm vào các tệp tin có thể thực thi, như
các tệp tin có đuôi là *.exe, *.com, *.drv và *.dll. Virus này sẽ hoạt động khi chúng ta lOMoAR cPSD| 40703272
thực thi các tệp tin bị lây nhiễm bằng cách tự tạo các bản sao của chính mình ở trong các
tệp tin khác đang được thực thi tại thời điểm đó trên hệ thống. Loại virus tệp này cũng dễ
dàng lây nhiễm qua con đường thư điện tử và các hệ thống truyền tệp khác. Loại virus
script (script virus) là một tập các chỉ lệnh trong các ngôn ngữ lập trình chẳng hạn như
VBScript (Visual Basic Script) và JavaScript. Virus này sẽ hoạt động khi chúng ta chạy
một tệp chương trình dạng *.vbs hay *.js có nhiễm virus. Virus “I LOVE YOU” (hay còn
gọi là virus tình yêu), loại virus chuyên ghi đè lên các tệp *.jpg và *.mp3, là một ví dụ
điển hình của loại virus này. Trong thực tế, các loại virus như virus macro, virus tệp,
virus script thường kết nối với một worm Thay vì chỉ lây nhiễm từ tệp tới tệp, worm là
một loại virus có khả năng lay nhiễm từ máy tính này sang máy tính khác. Một worm có
khả năng tự nhân bản mà không cần người sử dụng hay các chương trình phải kích hoạt
nó. Thí dụ, virus ILOVEYOU vừa là một virus script, vừa là một worm. Nó có khả năng
lây nhiễm rất nhanh qua con đường thư điện tử bằng cách tự gửi bản sao của mình tới 50
địa chỉ thư điện tử đầu tiên trong sổ địa chỉ Microsoft Outlook của người sử dụng. Khác
với các loại khác, virus Con ngựa thành Tơ-roa ban đầu dường như vô hại nhưng sau đó
có thể mang đến nhiều tai hoạ không ngờ. Bản thân nó không phải là một loại virus bởi
không có khả năng tự nhân bản, nhưng chính nó lại tạo cơ hội để các loại virus nguy
hiểm khác xâm nhập vào các hệ thống máy tính. Chính bởi vậy nó mới có tên là Con
ngựa thành Tơ-roa. Nó xuất hiện vào cuối năm 1989, được ngụy trang dưới những thông
tin về AIDS. Hơn 10.000 bản sao trên đĩa máy tính, từ một địa chỉ ở Luân Đôn đã được
gửi cho những công ty, các hãng bảo hiểm, và các chuyên gia bảo vệ sức khỏe trên khắp
châu Âu và Bắc Mỹ. Những người nhận đã nạp đĩa vào máy tính, ngay sau đó họ phát
hiện ra đó là một “con ngựa thành Tơ-roa” ác hiểm, đã xóa sạch các dữ liệu trên đĩa cứng
của họ. Những con ngựa thành Tơ-roa cũng có thể giả dạng các chương trình trò chơi,
nhưng thực chất giấu bên trong một đoạn chương trình có khả năng đánh cắp mật khẩu
thư điện tử của một người và gửi nó cho một người khác.
* Tin tặc (hacker) và các chương trình phá hoại (cybervandalism) lOMoAR cPSD| 40703272
Tin tặc (hay tội phạm máy tính) là thuật ngữ dùng để chỉ những người truy nhập trái phép
vào một website hay hệ thống máy tính. Thực chất, đây là những người quá say mê máy
tính, thích tìm hiểu mọi điều về máy tính thông qua việc lập trình thông minh. Để đùa
nghịch, họ đã lợi dụng những điểm yếu trong hệ thống bảo vệ các website hoặc lợi dụng
một trong những ưu điểm của Internet - đó là một hệ thống mở, dễ sử dụng - tấn công
nhằm phá hỏng những hệ thống bảo vệ các website hay các hệ máy tính của các tổ chức,
các chính phủ và tìm mọi biện pháp để đột nhập vào những hệ thống đó. Luật pháp coi
các hành vi này là tội phạm. Mục tiêu của các tội phạm loại này rất đa dạng, đó có thể là
hệ thống dữ liệu của các website thương mại điện tử, hoặc với ý đồ nguy hiểm hơn,
chúng có thể sử dụng các chương trình phá hoại (cybervandalism) nhằm gây ra các sự
cố, làm mất uy tín hoặc phá huỷ các website trên phạm vi toàn cầu. Thí dụ, vào ngày 01-
42001, tin tặc đã sử dụng các chương trình phá hoại tấn công vào các máy chủ có sử
dụng phần mềm Internet Information Server của Microsoft nhằm làm giảm uy tín của
phần mềm này và rất nhiều “nạn nhân” như Hãng hoạt hình Walt Disney, Nhật báo Phố
Wall, Hãng xiếc Ringling Brothers and Barnum & Bailey thuộc Tập đoàn giải trí Feld
Entertainment, Inc., Hội chống ngược đãi động vật Hoa Kỳ (ASPCA - The American
Society for the Prevention of Cruelty to Animals) đã phải gánh chịu hậu quả. Đặc biệt,
một số tổ chức tội phạm đã sử dụng các tin tặc để phát động. các cuộc tấn công mang
tính chất chính trị hoặc tương tự như vậy. Điển hình là vụ tấn công của tin tặc Hàn Quốc
vào các website của Bộ Giáo dục Nhật Bản (tháng 4-2001), nhằm phản đối những cuốn
sách giáo khoa phản ánh sai lệch lịch sử do Nhật Bản xuất bản. Tuy nhiên, bên cạnh
những tên tội phạm máy tính nguy hiểm, cũng có nhiều “hacker tốt bụng”. Bằng việc
xâm nhập qua hàng rào an toàn của các hệ thống máy tính, những người này giúp phát
hiện và sửa chữa những điểm yếu, những kẽ hở trong một hệ thống an toàn. Tất nhiên,
các tin tặc loại này không bị truy tố vì những thiện chí của họ.
* Gian lận thẻ tín dụng lOMoAR cPSD| 40703272
Trong thương mại truyền thống, gian lận thẻ tín dụng có thể xảy ra trong trường hợp thẻ
tín dụng bị mất, bị đánh cắp; các thông tin về số thẻ, mã số định danh cá nhân (PIN), các
thông tin về khách hàng bị tiết lộ và sử dụng bất hợp pháp; hoặc trong trường hợp xảy ra
những rủi ro như trình bày trong phần Các rủi ro trong thanh toán thẻ (Chương 6 – Thanh
toán trong thương mại điện tử). Trong thương mại điện tử, các hành vi gian lận thẻ tín
dụng xảy ra đa dạng và phức tạp hơn nhiều so với trong thương mại truyền thống. Nếu
như trong thương mại truyền thống, việc mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn
nhất đối với khách hàng, thì trong thương mại điện tử mối đe doạ lớn nhất là bị “mất”
các thông tin liên quan đến thẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá
trình diễn ra giao dịch. Các tệp chứa dữ liệu thẻ tín dụng của khách hàng thường là
những mục tiêu hấp dẫn đối với tin tặc khi tấn công vào các website. Hơn thế nữa, những
tên tội phạm có thể đột nhập vào các website thương mại điện tử, lấy cắp các thông tin cá
nhân của khách hàng như tên, địa chỉ, điện thoại... Với những thông tin này, chúng có thể
mạo danh khách hàng thiết lập các khoản tín dụng mới nhằm phục vụ những mục đích
đen tối. Và cuối cùng, đối với người bán hàng, một trong những đe doạ lớn nhất có thể
xảy ra đó là sự phủ định đối với các đơn đặt hàng quốc tế. Trong trường hợp một khách
hàng quốc tế đặt hàng và sau đó từ chối hành động này, người bán hàng trực tuyến
thường không có cách nào để xác định rằng thực chất hàng hoá đã được giao tới tay
khách hàng hay chưa và chủ thẻ tín dụng có thực sự là người đã thực hiện đơn đặt hàng
hay không. Để giải quyết các vấn đề nêu trên, rất nhiều biện pháp và công nghệ đã được
triển khai và áp dụng (một số biện pháp cơ bản sẽ được trình bày ở phần sau), nhưng cho
đến nay, nhiều doanh nghiệp thương mại điện tử vẫn đang phải gánh chịu những hậu quả
nghiêm trọng do những hành vi gian lận này gây ra.
* Sự khước từ phục vụ (DoS - Denial of Service)
Sự khước từ phục vụ (DoS - Denial of Service) của một website là hậu quả của việc tin
tặc sử dụng những giao thông vô ích làm tràn ngập và dẫn tới tắc nghẽn mạng truyền
thông, hoặc sử dụng số lượng lớn máy tính tấn công vào một mạng (dưới dạng các yêu lOMoAR cPSD| 40703272
cầu phân bố dịch vụ) từ nhiều điểm khác nhau gây nên sự quá tải về khả năng cung cấp
dịch vụ. Những cuộc tấn công DoS có thể là nguyên nhân khiến cho mạng máy tính
ngừng hoạt động và trong thời gian đó, người sử dụng sẽ không thể truy cập vào các
website. Đối với những website thương mại điện tử sôi động như eBay.com hay
Buy.com, những tấn công này cũng đồng nghĩa với những khoản chi phí vô cùng lớn, vì
trong thời gian website ngừng hoạt động, khách hàng không thể thực hiện các giao dịch
mua bán. Và sự gián đoạn hoạt động này sẽ ảnh hưởng tới uy tín và tiếng tăm của doanh
nghiệp, những điều không dễ dàng gì lấy lại được. Mặc dù những cuộc tấn công này
không phá huỷ thông tin hay truy cập vào những vùng cấm của máy chủ nhưng tạo ra
nhiều phiền toái, ngây trở ngại cho hoạt động của nhiều doanh nghiệp. Thí dụ, tháng
22000, các vụ tấn công DoS từ bọn tin tặc là nguyên nhân dẫn tới ngừng hoạt động của
hàng loạt website trên thế giới trong nhiều giờ: eBay ngừng hoạt động trong 5 giờ,
Amazon gần 4 giờ, CNN gần 3,5 giờ, E-Trade gần 3 giờ, Yahoo, Buy.com và ZDNet
cũng ngừng hoạt động từ 3-4 giờ ngay cả người khổng lồ Microsoft cũng đã từng phải
gánh chịu hậu quả của những cuộc tấn công này. Cho đến nay, cả thế giới đang hy vọng
tìm ra biện pháp hữu hiệu nhằm ngăn chặn những cuộc tấn công tương tự trong tương lai. * Kẻ trộm trên mạng
Kẻ trộm trên mạng (sniffer) là một dạng của chương trình nghe trộm, giám sát sự di
chuyển của thông tin trên mạng. Khi sử dụng vào những mục đích hợp pháp, nó có thể
giúp phát hiện các yếu điểm của mạng, nhưng ngược lại, nếu sử dụng vào các mục đích
phạm tội, nó sẽ trở thành những mối hiểm hoạ lớn và rất khó có thể phát hiện. Kẻ trộm
cũng có thể là chính những tên tin tặc, chuyên ăn cắp các thông tin có giá trị như thông
điệp thư điện tử, dữ liệu kinh doanh của các doanh nghiệp, các báo cáo mật... từ bất cứ
nơi nào trên mạng. Xem lén thư tín điện tử là một dạng mới của hành vi trộm cắp trên
mạng. Kỹ thuật xem lén thư điện tử sử dụng một đoạn mã ẩn bí mật gắn vào một thông
điệp thư điện tử, cho phép người nào đó có thể giám sát toàn bộ các thông điệp chuyển lOMoAR cPSD| 40703272
tiếp được gửi đi cùng với thông điệp ban đầu. Chẳng hạn, một nhân viên phát hiện thấy
lỗi kỹ thuật trong khâu sản xuất, anh ta lập tức gửi một báo cáo cho cấp trên thông báo
phát hiện của mình. Người này, sau đó, sẽ tiếp tục gửi thông báo tới tất cả các bộ phận có
liên quan trong doanh nghiệp. Một kẻ nào đó, sử dụng kỹ thuật xem lén thư điện tử, có
thể theo dõi và biết được toàn bộ thông tin trong các bức thư điện tử gửi tiếp sau đó bàn
về vấn đề này. Và sẽ rất nguy hiểm nếu như các thông tin bí mật trong nội bộ doanh
nghiệp bị kẻ xấu biết được và sử dụng và những mục đích bất chính. Đối với thương mại
điện tử, trộm cắp trên mạng đang là một mối nguy hại lớn đe doạ tính bảo mật của các
các dữ liệu kinh doanh quan trọng. Nạn nhân của nó không chỉ là các doanh nghiệp mà
cả những cá nhân, những người có tham gia thương mại điện tử.
* Sự tấn công từ bên trong doanh nghiệp
Trong kinh doanh, chúng ta thường cho rằng những mối đe doạ an toàn có nguồn gốc từ
những yếu tố bên ngoài doanh nghiệp, nhưng thực chất những đe doạ này không chỉ đến
từ bên ngoài mà có thể bắt nguồn từ chính những thành viên làm việc trong doanh
nghiệp. Trong thương mại điện tử cũng vậy. Có nhiều website thương mại điện tử bị phá
huỷ, nhiều doanh nghiệp thương mại điện tử phải gánh chịu hậu quả do dịch vụ bị ngưng
trệ, do bị lộ các thông tin cá nhân hay các dữ liệu tín dụng của khách hàng mà thủ phạm
chính là những nhân viên làm việc trong doanh nghiệp, những người đã từng được tin
tưởng và trọng dụng. Những nhân viên làm việc trong doanh nghiệp có thể truy cập các
thông tin bí mật, hoặc xâm nhập tới mọi nơi trong hệ thống thông tin của tổ chức nếu
như những biện pháp bảo mật thông tin của doanh nghiệp thiếu thận trọng. Chính vì vậy,
trong nhiều trường hợp, hậu quả của những đe doạ loại này còn nghiêm trọng hơn những
vụ tấn công từ bên ngoài doanh nghiệp. Thí dụ như trường hợp của Joe Oquendo. Joe
Oquendo là một chuyên gia bảo mật máy tính của Collegeboardwalk.com, người được
phép làm việc cùng văn phòng và chia sẻ thông tin trên mạng máy tính của hãng Five
Partners Asset Management, một nhà đầu tư của Collegeboardwalk.com. Lợi dụng quyền
hạn của mình, Oquendo đã thay đổi các câu lệnh khởi động mạng của Five Partners để hệ lOMoAR cPSD| 40703272
thống này tự động gửi các tệp mật khẩu tới một tài khoản thư điện tử do anh ta kiểm soát
mỗi khi hệ thống của Five Partners khởi động lại. Sau khi Collegeboardwalk.com phá
sản, Oquendo đã bí mật cài đặt một chương trình nghe trộm nhằm ngăn chặn và ghi lại
các giao thông điện tử trên mạng của Five Partners trong đó có cả những mật khẩu không
mã hoá. Oquendo bị bắt khi đang sử dụng chương trình nghe trộm để bẫy mật khẩu mạng
máy tính của một công ty khác với mục đích xoá toàn bộ cơ sở dữ liệu của công ty này.
Đề xuất một số giải pháp phòng chống tấn công kĩ thuật:
Đánh giá rủi ro. Một khi các tài sản chủ yếu đã được xác định, ta cần đánh giá rủi
ro đối với các tài sản đó. Việc này bao gồm xác định các mối đe dọa. Rủi ro bao
gồm các vấn đề như các tai họa thiên nhiên, các trục trặc kỹ thuật của thiết bị, các
hoạt động của cán bộ nhân viên, các kẻ xâm nhập, hacker, các cuộc tấn công
khủng bố, v.v. Tính dễ tổn thương của tài sản thông tin là việc tài sản có thể bị phá
hoại bởi các mối đe dọa tiềm tàng, cũng như các tổn thất về tài chính có thể xảy ra
do các phá hoại này. Một cách để đánh gía các rủi ro và tính dễ tổn thương là sử
dụng hiểu biết của đội ngũ cán bộ CNTT hoặc sự trợ giúp của các tổ chức tư vấn.
Một cách khác là sử dụng các phần mềm phát hiện các vị trí dễ tổn thương, kiểm
tra xâm nhập, giúp công ty quan sát và nghiên cứu các cuộc tấn công có thể xẩy ra.
Kiểm soát truy cập và xác thực thuộc loại những vấn đề đơn giản nhất của an toàn
mạng. Kiểm soát truy cập xác định ai (người hoặc máy) được sử dụng hợp pháp
các tài nguyên mạng và những tài nguyên nào họ được sử dụng. Còn tài nguyên có
thể là bất kỳ cái gì: các trang Web, các file văn bản, cơ sở dữ liệu, các ứng dụng,
các máy chủ, máy in, hoặc các nguồn thông tin, các thành phần mạng khác.
Sử dụng mật khẩu: một khi người dùng đã được xác định, người dùng cần được
xác thực. Xác thực là quá trình kiểm tra xem người dùng có đúng là người xưng
danh hay không. Việc kiểm tra thường dựa trên một hoặc nhiều đặc điểm phân biệt
người đó với những người khác. Các đặc điểm có thể dựa trên một cái gì đó mà
chỉ một người biết (ví dụ như mật khẩu), hoặc một cái gì đó người đó có (ví dụ lOMoAR cPSD| 40703272
chiếc thẻ), hoặc cái gì đó là đặc tính vốn có (ví dụ vân tay). Theo truyền thống,
việc xác thực dựa trên các mật khẩu, tuy nhiên, sử dụng mật khẩu có độ an toàn
không cao vì nhiều người dùng có thói quen ghi mật khẩu vào các vị trí dễ nhìn thấy, lựa
chọn các giá trị dễ đoán biết, hoặc sẵn lòng cho những người khác biết mật khẩu
của mình khi được yêu cầu.
Sử dụng các phần mềm bảo mật, diệt virus…