ХАРАКТЕРИСТИКА ОСНОВНЫХ ПРИНЦИПОВ И СПОСОБОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ КОММЕРЦИИ

<

060214 0951 1 ХАРАКТЕРИСТИКА ОСНОВНЫХ ПРИНЦИПОВ И СПОСОБОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ КОММЕРЦИИ «Безопасность информации» – это состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.

Основные задачи при достижении безопасности информации заключаются в обеспечении ее доступности, конфиденциальности, целостности и юридической значимости. Каждая угроза должна рассматриваться с точки зрения того, насколько она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает все большую важность по мере создания нормативно-правовой базы безопасности информации в нашей стране.

Последнее актуально при необходимости обеспечения строгого учета платежных документов и любых информационных услуг. Например, наиболее важным (ценным) объектом защиты в автоматизированных банковских системах является электронный платежный документ, его информация или данные, о чем, в частности, говорится в приказе ЦБ РФ №02-144 от 3 апреля 1997 г.

Кроме прочего должна обеспечиваться строгая нотаризация (юридически значимая регистрация) информации, которая необходима при разборе любых конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.

Обеспечение безопасности ИТ невозможно без создания грамотной и качественной системы защиты информации. Это и определило деятельность мирового сообщества по систематизации и упорядочению основных требований и характеристик безопасности информации. Одним из главных результатов стала система международных и национальных стандартов безопасности информации, насчитывающая более сотни различных документов.

Это особенно актуально для так называемых открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну и стремительно развивающихся в нашей стране. Под открытыми системами понимают совокупность всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям стандартов, прежде всего международных.

Термин «открытые» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, соответствующей тем же стандартам. Это, в частности, относится и к криптографической защите информации или к защите от несанкционированного доступа (НСД) к информации.

SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications Corp. http://home.netscape.com/eng/ssl3/index.html как протокол, обеспечивающий защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.

Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия, которые в среде «клиент-сервер» интерпретируются следующим образом:

— при подключении пользователь и сервер должны быть взаимно уверены, что они обменивается информацией не с подставными абонентами, не ограничиваясь паролевой защитой;

— после установления соединения между сервером и клиентом весь информационный поток должен быть защищен от несанкционированного доступа;

— при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать или провести проверку подлинности друг друга (server/client authentication), согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (асимметричные) криптосистемы, в частности, RSA.

Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code — MAC), вычисляемых с помощью хэш-функций (в частности, MD5).

Последняя версия SSLeay v. 0.8.0, доступная в исходных текстах, поддерживает SSLv3. Этот пакет предназначен для создания и управления различного рода сертификатами. В его состав входит и библиотека для поддержки SSL различными программами.

Протокол SSL принят W3 консорциумом (W3 Consortium) на рассмотрение как основной защитный протокол для клиентов и серверов (WWW browsers and servers) в сети Интернет.

Наиболее распространенный зарубежный опыт решения вопросов управления криптографическими ключами электронного документооборота основывается на использовании Инфраструктуры открытых ключей (Public Key Infrastructure — PKI), названной так по способу защиты электронных документов — криптография с открытыми ключами. Этим термином описывается полный комплекс программно-аппаратных средств и организационно- технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления цифровыми ключами и сертификатами.

Эта инфраструктура подразумевает использование цифровых сертификатов, удовлетворяющих рекомендациям международного стандарта Х.509 ITU-T, и развернутой сети центров сертификации, обеспечивающих выдачу и сопровождение цифровых сертификатов для всех участников электронного обмена документами. По своим функциям цифровые сертификаты аналогичны обычной печати, которой удостоверяют подпись на бумажных документах.

Цифровые сертификаты содержат открытые криптографические ключи абонентов, заверенные электронной цифровой подписью центра сертификации, и обеспечивают однозначную аутентификацию участников обмена. Цифровой сертификат — это определенная последовательность битов, основанных на криптографии с открытым ключом, представляющая собой совокупность персональных данных владельца и открытого ключа его электронной подписи (при необходимости, и шифрования), связанных в единое неизменяемое целое электронной подписью центра сертификации. Цифровой сертификат оформляется в виде файла или области памяти и может быть записан на дискету, интеллектуальную карту, элемент touch-memory, любой другой носитель данных.

Цифровые сертификаты предотвращают возможность подделок, от которых не застрахованы существующие виртуальные системы. Сертификаты также дают уверенность держателю карты и продавцу в том, что их транзакции будут обработаны с таким же высоким уровнем защиты, что и традиционные транзакции.

По такой схеме развертываются многие современные международные системы обмена информацией в открытых сетях. Среди центров сертификации можно назвать американские компании Verisign, GTE.

Наиболее перспективный протокол или стандарт безопасных электронных транзакций в сети Интернет — SET (Security Electronics Transaction), предназначенный для организации электронной торговли через Интернет, также основан на использовании цифровых сертификатов по стандарту Х.509. Во многих странах мира уже насчитываются сотни государственных, ведомственных и корпоративных центров сертификации, обеспечивающих ключевое управление.

Открытый стандартный многосторонний протокол SET разработан компаниями MasterCard и Visa при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет с помощью пластиковых карточек, используя самый защищенный на данный момент механизм выполнения платежей. SET обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET правильнее называть стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карт через Интернет.

Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают совместно покупатели, продавцы и финансовые институты, обеспокоенные этими вопросами. В отличие от других протоколов, SET позволяет решать базовые задачи защиты информации в целом.

В частности, SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

секретность данных оплаты и конфиденциальность информации заказа, переданной наряду с данными об оплате;

сохранение целостности данных платежей, что обеспечивается с помощью цифровой подписи;

<

специальную криптографию с открытым ключом для проведения аутентификации;

аутентификацию держателя по кредитной карточке с применением цифровой подписи и сертификатов держателя карт;

аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;

аутентификацию банка продавца как действующей организации, которая может принимать платежи по пластиковым карточкам через связь с процессинговой карточной системой. Аутентификация осуществляется с использованием цифровой подписи и сертификатов банка продавца;

готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;

безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET заключается в применении цифровых сертификатов (стандарт X509, версия 3), которые ассоциируют держателя карты, продавца и банк продавца с рядом банковских учреждений, входящих в платежные системы Visa и Mastercard.

Кроме того, протокол SET позволяет сохранить существующие отношения между банком, держателями карт и продавцами, и может быть интегрирован в существующие системы.

Протоколы TCP/IP нового поколения (IPv6) обладают следующими новшествами: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.

 

Дополнительно введенная в стандарт IPv6 спецификация Ipsec разрабатывается Рабочей группой IP Security IETF. IPsec включает в себя 3 базовых спецификаций, независимых по алгоритмам и опубликованных в качестве следующих RFC-документов.

Протокол IPsec предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет вне зависимости от приложения. Это позволяет организации создавать в Интернете виртуальные частные сети. IPsec поддерживает DES, MD, а также ряд других криптографических алгоритмов и предназначен для работы поверх связных протоколов.

С помощью IPsec создается ряд преимуществ при обеспечении информационной безопасности на сетевом уровне:

поддержка немодифицированных конечных систем;

поддержка иных протоколов, чем ТСР;

поддержка виртуальных сетей в незащищенных сетях;

защита заголовка транспортного уровня от перехвата, то есть более надежная защита от анализа трафика;

защита от атак типа «отказ в обслуживании».

Кроме того, IPsec не требует замены промежуточных устройств в сети, а также обязательной поддержки рабочими местами и серверами.

Для обеспечения комплексной информационной безопасности в IPsec используется несколько различных методов:

обмен ключами через открытую сеть на основе криптографического алгоритма Диффи-Хеллмана;

применение цифровой подписи с применением открытого ключа;

алгоритм шифрования, подобный DES, для шифрования передаваемых данных;

использование хэш-алгоритма для определения подлинности пакетов.

 

Протокол IPsec был разработан в рамках программ по созданию средств защищенной передачи пакетов для IPv6, протокола IP следующего поколения сети Интернет. Их спецификация продолжает совершенствоваться по мере выхода на рынок все новых и новых программных продуктов.

Среди различных отечественных стандартов по безопасности информационных технологий отметим несколько современных стандартов и документов, регламентирующих защиту взаимосвязи открытых систем (ВОС):

— ГОСТ Р ИСО 7498-2—99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации;

— ГОСТ Р ИСО/МЭК 9594-8—98. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации;

— ГОСТ Р ИСО/МЭК 9594-9—95. Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование.

К ним можно добавить нормативные документы, посвященные средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем:

— руководящий документ «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997);

— ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;

— ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

— ГОСТ Р 34.10—94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;

— ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.

для защиты интересов субъектов информационных отношений необходимо сочетать меры 4-х уровней:

законодательного;

административного;

процедурного;

программно-технического.

В современном мире национальная нормативно-правовая база должна быть согласована с международной практикой. Назрела необходимость привести российские стандарты и сертификационные нормативы в соответствие с общим международным уровнем развития ИТ и, в частности, с критериями оценки безопасности информационных технологий. Приведем основные причины своевременности такого шага. Во-первых, существует потребность в защищенном взаимодействии с иностранными организациями и зарубежными филиалами российских организаций. Во-вторых, на рынке реально доминируют аппаратно-программные продукты зарубежного производства.

 

 

 

 

 

 

 

 

 

 

 

2. ТЕСТЫ

 

1.    Возможные направления оценки эффективности электронной коммерции:

а)    экономическое

б)    организационное

в) маркетинговое

г) все перечисленные

2.    Прямые убытки субъектов электронной коммерции, возникающие в результате нарушения безопасности выражаются в:

а)    стоимости восстановления поврежденной или физически утраченной информации;

б) стоимости незаконных операции с денежными средствами и ценными бумагами, проведенных в электронной форме;

в)    стоимости текущих расходов, возникающих при вынужденной приостановке коммерческой деятельности;

г)    стоимости возмещения причиненного физического и/или имущественного ущерба третьи лицам.

3.    Одним из требований, предъявляемых к системе электронных платежей, является аутентификация:

а) верно;

б)    неверно.

4.    Основное преимущество электронной коммерции состоит в:

а) удобстве и комфортности для пользователей;

б) быстроте совершения сделок;

в)    значительном сокращении транзакций иных издержек;

г)    отсутствии необходимости личного общения при совершении сделки.

5.    НТТР – это:

а) язык для создания web-сайта;

б) аппаратно-независимый объектно-ориентированный язык для создания распределенных прикладных web-систем;

в) протокол для обмена гипертекстовой информацией в сети Интернет.

6.    Интернет-банкинг — это:

а) возможность совершать стандартные банковские операции через Интернет;

б)    создание виртуального банка в Интернете;

в)    получение банковского кредита через Интернет.

7.    Признает ли гражданское законодательство допустимость использования при оформлении договоров электронных форм документов

а) нет, не признает;

б) признает при условии наличия электронно-цифровой подписи;

в)    признает только в части правд распоряжения денежными средствами, находящимися на счете при использовании аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом;

г)    да, признает.

8.    Электронная цифровая подпись — это:

а) аналог собственноручной подписи, реализованный в электронном виде;

б) признак того, что полученный файл отправлен именно владельцем электронной цифровой подписи и в том виде, как он был составлен отправителем;

в) специальным образом подготовленное электронное сообщение, подтверждающее его целостность и авторство отправителя.

9.    При создании систем электронной коммерции предпочтительно использовать классификаторы:

а)    локальные, специально созданные для систем электронной коммерции;

б)    общероссийские;

в)    международные;

г)    все перечисленные.

10.    Система Hotlog -это

а)    сеть обмена баннерами

б)    счетчик посетителей сайта

в) сбора и анализа статистики Интернет-проекта.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. ПРАКТИЧЕСКОЕ ЗАДАНИЕ

 

1. Войти на выбранный в соответствии с вариантом Web-сайт (http://www.auction.nn.ru).

2. Определить принадлежность к той или иной модели взаимодействия субъектов систем электронной коммерции.

3. Определить:

– основные структурные элементы в построении Web-сайта,

– способы регистрации пользователей,

– используемые платежные системы,

– способы доставки товаров.

 

 

1) Система аукционных торгов auctions.org.ru использует B2C — бизнес для потребителя в качестве модели электронной коммерции

Основными структурными элементами являются:

а) Каталог аукционов, разбитый на тематические разделы по типу товаров, выложенных на аукцион.

б) Каталог объявлений, представляющий собой объявления пользователей о покупке/продаже товаров, разбиты на тематические категории

в) Поиск по сайту представляет собой средство для удобного поиска нужного товара для пользователей

г) Моя секция и Мои заявки являются частью интерфейса для пользователей сервиса, которые позволяют выкладывать товары на аукцион и выкупать их

в) В разделе Правила находятся Правила пользования системой аукционных торгов Auctions.org.ru

Для регистрации в системе необходимо ввести желаемые логин и пароль для доступа, а также полные ФИО, город и страну проживания, а также необходимо согласиться с терминами и условиями, изложенными в Правилах проведения аукциона.

060214 0951 2 ХАРАКТЕРИСТИКА ОСНОВНЫХ ПРИНЦИПОВ И СПОСОБОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ КОММЕРЦИИ

Система аукционных торгов не использует платежные системы для внутренней оплаты сервисов (они бесплатны) и для оплаты товаров между пользователями (предоставляется только контактная информация, продавец и покупатель договариваются о способе оплаты самостоятельно.

О доставке товара договариваются непосредственно продавец и покупатель

 

 

 

 

 

 

 

СПИСОК ЛИТЕРАТУРЫ

 

 

  1. Алексунин В.А., Родигина В.В. Электронная коммерция. М., 2005.
  2. Гаврилов О. Курс правовой информатики. М., 2004.
  3. Информатика. В 2-х кн./Под ред. Н.В. Макаровой. М., 2003.
  4. Информатика для юристов и экономистов / Симонович С.В. и др. СПб, 2004.
  5. Козье Д. Электронная коммерция. М., 1999.
  6. Климченя Л.С. Электронная коммерция. М., 2004.
  7. Львов И.Б., Казеев Г.Г., Морев И.А. Информатика. Владивосток, 2004.
  8. Фигурнов В.Э.. IBM РС для пользователя. М., 2001.
  9. Юрасов А.В. Электронная коммерция. М., 2003

     

     

     

     

     

     


     

<

Комментирование закрыто.

MAXCACHE: 0.94MB/0.00140 sec

WordPress: 22.46MB | MySQL:121 | 1,659sec