Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Тема 9. Безпека електронної комерції



Читайте также:
  1. Воєнна безпека
  2. Екологічна безпека
  3. Економічна безпека
  4. Експертна безпека.
  5. Імпортна безпека.
  6. Імпортна безпека.
  7. Імпортна безпека.

1 Довіра споживачів у Web

2 Безпека електронного бізнесу

3 Правові аспекти ведення електронного бізнесу

4 Страхування електронного бізнесу

5 Сертифікація учасників електронного бізнесу

 

В основі успіху будь-якої комерційної діяльності лежить довіра споживачів. Стрімкий зліт електронної комерції за останні кілька років загострив цю проблему, виявивши недовіру користу­вачів до перенесення бізнесу у сферу Інтернет.

Саме у взаємодії перерахованих компонентів формується довіра споживачів до підприємств електронної комерції. Основ­ним користувачі вважають безпеку проведення платіжних трансакцій і конфіденційність їхньої персональної інформації. На захист інтересів користувачів спрямовані законодавчі акти, технологічні й організаційні заходи, процедури страхування і контролю. Не менш важливим користувачі вважають гаранту­вання послідовності та цілісності трансакцій і правомочність їх проведення всіма сторонами.

На думку експертів, розвиток електронного бізнесу багато в чому визначається прогресом у галузі інформаційної безпеки, під якою розуміється стан стійкості інформації до випадкових чи навмисних впливів, що виключає неприпустимий ризик ЇЇ знищення, спотворення і розкриття, які призводять до ма­теріальних збитків власника чи користувача інформації Для одержання доступу до інформації користувач повинен пройти процедури аутєнтифікації (встановлення особистості) і авторизації (визначення прав доступу). Крім того, сам сервер також повинен бути аутентифікований користувачем.

Основні завдання при досягненні безпеки інформації поляга­ють у забезпеченні її доступності, конфіденційності, цілісності і юридичній значимості. Кожна загроза повинна розглядатися з по­гляду того, наскільки вона може торкнутися цих чотирьох влас­тивостей або якості безпечної інформації. Конфіденційність оз­начає, що інформація обмеженого доступу повинна бути доступ­на тільки тому, кому вона призначена. Під цілісністю інформації розуміється її властивість існування в неспотвореному вигляді. Доступність інформації визначається здатністю системи забез­печувати своєчасний безперешкодний доступ до інформації для суб'єктів, які мають на це належні повноваження. Юридична зна­чимість інформації здобуває дедалі більшу важливість у резуль­таті створення нормативно-правової бази безпеки інформації в нашій країні.

Безпека будь-якої системи електронного бізнесу полягає в захисті від різного роду втручань у її дані. Усі ці втручання мож­на умовно розділити на кілька категорій:

- розкрадання даних (наприклад, розкрадання номерів кредитних карт із бази даних);

- втручання (наприклад, перевантаження даними сайта, не призначеного для такого великого обсягу інформації);

- перекручування даних (наприклад, зміна сум у файлах платежів і рахунків-фактур чи створення неіснуючих сер­тифікатів);

- - руйнування даних (наприклад, при передачі користува­чу і назад);

- відмова від виконаних дій (наприклад, від факту оформ­лення замовлення чи одержання товару);

- ненавмисне неправильне використання засобів сайта ко­ристувачем;

- несанкціонований доступ до інформації (несанкціонова­не копіювання, відновлення або інше використання даних, про­ведення несанкціонованих трансакцій, несанкціонований пере­гляд чи передача даних). При цьому необхідно враховувати, що при забезпеченні без­пеки електронного бізнесу є ряд об'єктивних проблем - приско­рений розвиток технологій стосовно удосконалювання законо­давчої бази, складність піймання зловмисників на місці злочи­ну, можливість безслідного знищення доказів і слідів злочинів і т.п. Усе це обумовлює необхідність ретельної розробки ком­паніями політики захисту свого електронного бізнесу.

Для захисту від зовнішнього вторгнення сьогодні існує безліч систем, які є різного роду фільтрами, що допомагають ви­явити спроби несанкціонованого втручання на ранніх етапах і по можливості не допустити зловмисників у систему через зовнішні мережі. До таких засобів належать:

- маршрутизатори - пристрої керування трафіком мережі, розташовані між мережами другого порядку і керують вхідним та вихідним трафіком приєднаних до нього сегментів мережі;

- брандмауери - засоби ізоляції приватних мереж від ме­реж загального користування, що використовують програмне забезпечення, яке відслідковує і припиняє зовнішні атаки на сайт за допомогою певного контролю типів запитів;

- шлюзи додатків - засоби, за допомогою яких адміністра­тор мережі реалізує політику захисту, якою керуються маршру­тизатори, що здійснюють пакетну фільтрацію;

- системи відстеження вторгнень - системи, які виявля­ють навмисні атаки і ненавмисне неправильне використання си­стемних ресурсів користувачами;

- засоби оцінки захищеності (спеціальні сканери та ін.) -програми, які регулярно сканують мережу на предмет наявності проблем і тестують ефективність реалізованої політики безпеки.

Базовий набір інструментів для забезпечення інформаційної безпеки Web-вузлів, що користується довірою споживачів, ста­новлять технології SSL1 і SET2. Для аутентифікації використо­вується метод SSL, для шифрування даних - SET. Існує безліч альтернативних стандартів, однак вони вимагають узгодженості програмного забезпечення партнерів і застосовуваних процедур, що призводить до підвищення складності і зростання витрат.

Протокол SSL, розроблений американською компанією Netscape Communications Corp., дозволяє серверу і клієнту пе­ред початком інформаційної взаємодії аутентифікувати чи про­вести перевірку дійсності один одного. Він призначений для розв'язання традиційних завдань забезпечення захисту інфор­маційної взаємодії, які у середовищі «клієнт-сервер» інтерпре­туються таким чином:

- при підключенні користувач і сервер повинні бути взаємно впевнені, що вони обмінюються інформацією не з підставними абонентами, не обмежуючись паролевим захистом; після встановлення з'єднання між сервером і клієнтом весь інформаційний потік повинен бути захищений від не­санкціонованого доступу;

- при обміні інформацією сторони повинні бути впевнені у відсутності випадкових чи навмисних спотворень при її пере­дачі.

Широке розповсюдження протоколу SSL пояснюється в першу чергу тим, що не є складовою частиною усіх відомих браузерів і Web-серверів.

Найрозповсюдженіший закордонний досвід вирішення пи­тань керування криптографічними ключами електронного доку­ментообігу ґрунтується на використанні інфраструктури відкритих ключів.. Цим терміном описується повний комплекс програмно-апаратних засобів і організаційно-технічних заходів, необхідних для використання технології з відкритими ключами.

Ця інфраструктура передбачає використання цифрових сертифікатів і розгорнутої мережі центрів сертифікації, які за­безпечують видачу і супровід цифрових сертифікатів для всіх учасників електронного обміну документами. За своїми функціями цифрові сертифікати аналогічні звичайній печатці, яка засвідчує підпис на паперових документах.

Цифрові сертифікати містять відкриті криптографічні ключі абонентів, завірені електронним цифровим підписом центру сер­тифікації, і забезпечують однозначну аутентифікацію учасників обміну. Цифровий сертифікат - це певна послідовність бітів, за­снованих па криптографії з відкритим ключем, що представляє собою сукупність персональних даних власника і відкритого ключа його електронного підпису (при необхідності, і шифрування), зв'язаних у єдине незмінне ціле електронним підписом центру сертифікації. Цифровий сертифікат оформляється у ви­гляді файла або ділянки пам'яті і може бути записаний на диске­ту, інтелектуальну карту, елемент touch-memory, будь-який інший носій даних.

Цифрові сертифікати запобігають можливості підробок, від яких не застраховані існуючі віртуальні системи. Сертифікати також дають впевненість власнику карти і продавцю в тому, що їхні трансакції будуть оброблені з таким же високим рівнем за­хисту, що й традиційні трансакції.

За такою схемою розгортаються багато сучасних міжнародних систем обміну інформацією у відкритих мережах. Серед центрів сертифікації - відомі американські компанії Verisign і GTE.

Найбільш перспективний протокол чи стандарт безпечних електронних трансакцій у мережі Інтернет SET, призначений для організації електронної торгівлі через Інтернет. У багатьох країнах світу вже існує безліч державних, відомчих і корпоратив­них центрів сертифікації, які забезпечують ключове керування.

Відкритий стандартний багатосторонній протокол SET роз­роблений компаніями MasterCard і Visa за участю IBM, GlobeSet та інших партнерів. Він дозволяє покупцям здобувати товари через Інтернет за допомогою пластикових карток, використовуючи найзахищеніший нині механізм виконання платежів. SET забезпечує крос-аутентифікацію рахунка власника карти, продавця і банку продавця для перевірки готовності оп­лати, цілісність і таємність повідомлення, шифрування цінних і уразливих даних. Тому SET правильніше називати стандартною технологією чи системою протоколів виконання безпечних пла­тежів з використанням пластикових карт через Інтернет.

Обсяг потенційних продажів у галузі електронної комерції обмежується досягненням необхідного рівня безпеки інфор­мації, який забезпечують спільно покупці, продавці і фінансові інститути. На відміну від інших протоколів, SET дозволяє вирішувати базові завдання захисту інформації в цілому.

Зокрема, SET забезпечує такі спеціальні вимоги захисту операцій електронної комерції:

- таємність даних оплати і конфіденційність інформації замовлення, переданої разом з даними про оплату;

- збереження цілісності даних платежів, що забезпе­чується за допомогою цифрового підпису;

- спеціальну криптографію з відкритим ключем для про­ведення аутентифікації;

- аутентифікацію власника по кредитній картці із застосу­ванням цифрового підпису і сертифікатів власника карт;

- аутентифікацію продавця і його можливості приймати платежі по пластикових картках із застосуванням цифрового підпису і сертифікатів продавця;

- аутентифікацію банку продавця як діючої організації, яка може приймати платежі по пластикових картках через зв'язок із процесинговою картковою системою. Аутентифікація здійснюється з використанням цифрового підпису і сер­тифікатів банку продавця;

- готовність оплати трансакцій у результаті аутен­тифікації сертифіката з відкритим ключем для всіх сторін;

- безпека передачі даних за допомогою переважного вико­ристання криптографії.

Основна перевага SET полягає в застосуванні цифрових сертифікатів, що асоціюють власника карти, продавця і банк продавця з рядом банківських установ, які входять до платіжних систем Visa і MasterCard.

Крім того, протокол SET дозволяє зберегти існуючі відно­сини між банком, власниками карт, продавцями і може бути інтегрований в існуючі системи.

Інформаційна безпека часто залежить від так званого людського фактору, пов'язаного з тим, що системи електрон­ного бізнесу створюються, модернізуються і керуються людьми, і від їхньої чесності, професійних якостей і майстерності зале­жить довіра споживачів та загальний успіх усього підприємства. Результати безлічі досліджень показують, що найбільше занепо­коєння в компаній викликає саме внутрішня загроза - навмисні чи ненавмисні дії власних працівників.

У проблемі захисту від внутрішніх загроз розрізняють два аспекти: технічний і організаційний. Технічний аспект полягає в прагненні виключити будь-яку імовірність несанкціонованого доступу до інформації. Для цього застосовуються такі засоби:

- підтримка системи паролів та їх регулярна зміна;

- надання мінімуму прав, необхідних для роботи в сис­темі;

- наявність стандартних процедур своєчасної зміни груп доступу при кадрових змінах і негайному знищенні доступу після звільнення працівника.

Організаційний аспект полягає в розробці раціональної політики внутрішнього захисту, яка перетворює в рутинні опе­рації такі способи захисту і запобігання зламування:

- введення загальної культури дотримання безпеки в ком­панії;

- створення системи розподілу повноважень і колективної

відповідальності;

- тестування програмного забезпечення на предмет не­санкціонованого втручання;

- відстеження спроб несанкціонованого втручання і їхнє ретельне розслідування;

- проведення періодичних тренінгів для персоналу з пи­тань безпеки і кіберзлочинності, які містять інформацію про конкретні ознаки зламувань для максимального розширення ко­ла працівників, які мають можливість виявити такі дії;

- введення чітких процедур відпрацьовування випадків ненавмисної зміни чи руйнування інформації.

Поява нової моделі ведення бізнесу, якою є електронна ко­мерція, ставить певні вимоги до існуючого бізнес-оточення. Ці вимоги стосуються створення законодавчої бази ведення елек­тронної комерції, у тому числі заснованої на міждержавній взаємодії, безпеці електронної комерції і т.д. Основною вимогою законодавства до електронної комерції є дійсність документів: документ повинен бути «написаний», «підписаний» і «мати походження». Це означає, що електрон­ний документ повинен мати таку ж силу, як і його паперовий аналог. «Інформація не може обходити законність і не піддава­тися правовим нормам тільки тому, що вона існує у вигляді еле­ктронних повідомлень».

Вимоги до інформації деталізуються таким чином:

- вимога про те, що інформація повинна бути записана, має силу в тому випадку, якщо вона доступна при кожному звертанні до неї;

- вимога про те, що інформація повинна бути підписана, має силу в тому випадку, якщо ідентичність цього підпису може бути перевірена відповідними методами;

- вимога про те, що інформація повинна вказувати своє походження, має силу в тому випадку, якщо її повноваження і цілісність можуть бути перевірені.

Інформація, яка відповідає перерахованим вище вимогам, може бути використана в судових процесах і має законність до­кумента, скріпленого підписом і печаткою.

В загальному випадку розвиток правового регулювання електронного бізнесу окремими країнами може проходити дво­ма шляхами. Перший означає тверду регламентованість більшості процесів і норм, другий - саморегулювання електрон­ної взаємодії самими учасниками. Так, сферами державної компетенцїї в США є захист прав неповнолітніх при здійсненні інтернет-купівель, захист власників авторських прав, надання податкових пільг і звільнень. При цьому держава концентрується на розв'язанні найважливіших питань конституційного й адміністративного права, залишаючи організаційні і менш значні питання на розгляд професійних асоціацій.

Відповідно до Закону України про електронні документи й електронний документообіг, суб'єкти господарювання можуть укладати договори по електронній пошті за згодою між собою. Крім того, вони самостійно визначають порядок збереження еле­ктронних документів та їх захист.

Закон забороняє використовувати електронні документи при оформленні прав на спадщину й у випадках, при яких доку­мент може бути створений тільки в одному екземплярі.

Закон України про елек­тронний цифровий підпис надає право фізичним і юридичним осо­бам використовувати цифровий підпис для підтвердження ма­теріалів і документів, поданих в електронній формі. ЕЦП слу­жить підтвердженням вірогідності переданої за допомогою ЕОМ документації, а також свідченням того, що він складений і на­лежним чином підписаний уповноваженою особою. Забороняється використовувати цифровий підпис для складання за­повітів, а також документів на усиновлення.

Закон припускає створення центру сертифікації ключів для цифрового підпису, центрального свідоцького органу з цифрових підписів, а також контролюючого органу з використання цифро­вих підписів.

У 1990 році Міжнародна організація зі стандартизаціїІ по­чала створювати міжнародні стандарти за критеріями оцінки безпеки інформаційних технологій для загального використан­ня, названі «Common Criteria» або «Загальні критерії оцінки безпеки інформаційних технологій». У їх розробці брали участь Національний інститут стандартів і технології (NIST) і Агентст­во національної безпеки (США), Установа безпеки комунікацій (Канада), Агентство інформаційної безпеки (Німеччина), Агентство національної безпеки комунікацій (Нідерланди), Ор­гани виконання Програми безпеки і сертифікації IT (Велико­британія), Центр забезпечення безпеки систем (Франція).

Нові критерії адаптовані до потреб взаємного визнання ре­зультатів оцінки безпеки інформаційних технологій у світовому масштабі і покликані стати основою для такої оцінки. Розроб­лювані кращими фахівцями світу протягом десятиліття «За­гальні критерії» неодноразово редагувалися. У результаті був підготовлений і в 1999 році затверджений міжнародний стан­дарт ISO/IEC 15408 «Загальні критерії оцінки безпеки інфор­маційних технологій».

Страхування трансакцій у сфері електронної комерції здійснюється за такими ж правилами, як у фізичному світі. Йо­го метою є зміцнення довіри між бізнес-партнерами і скорочен­ня втрат у випадку шахрайства і невиконання зобов'язань.

Послуга Safeweb компанії Travelers забезпечує страхування банківських клієнтів, які використовують віддалене банківське обслуговування, від неавторизованого доступу до їхніх рахунків.

Багато фірм пропонують спеціальні засоби для зміцнення довіри споживачів до підприємств електронної комерції. Вони сертифікують Web-вузли на їх відповідність певним правилам ведення електронного бізнесу, наявність необхідних ресурсів і виконання норм оголошеної зовнішньої і внутрішньої політики. Ці засоби подібні до печаток якості на споживчі товари або бух­галтерського аудиту.

 

Питання для самоконтролю

1. Охарактеризуйте різновиди ймовірних загроз безпеці інформації в мережі Internet.

2. Які головні вимоги до здійснення комерційних операцій в Internet?

3. У чому відмінність між аутентифікацією й ідентифікацією користувача?

6. Які саме послуги забезпечують криптографічні технології для учасників електронної комерції?

7. Яке призначення криптографічного алгоритму? Із скількома ключами може використовуватися криптографічний алгоритм?

9. У чому полягає сутність схеми шифрування інформації з використанням особистого та секретного ключів?

10. Яка форма шифрування використовує асиметричні криптографічні алгоритми?

11. Назвіть приклад організаційного заходу, завдяки якому може стати відомою конфіденційна інформація в Internet.

12. Охарактеризуйте стандарти захисту сполучень і програм в Internet.

13. Чим відрізняються протоколи SSL і SET? Який із них більш придатний для захисту комерційних даних?

14. Назвіть та охарактеризуйте найбільш розповсюдженні механізми, що забезпечують безпеку здійснення електронних платежів в мережі Internet (протокол SSL, стандарт SET).

15. Які вимоги захисту операцій в електронній комерції забезпечує стандарт SET?

16. Вкажіть, у чому перевага застосування смарт - карток для платежів в Internet з точки зору безпеки інформації?


Дата добавления: 2015-07-11; просмотров: 374 | Нарушение авторских прав






mybiblioteka.su - 2015-2024 год. (0.015 сек.)