Париматч букмекерская контора вход компьютерная. Пари-Матч - адреса букмекерской конторы (Пункты приема ставок)

В результате изучения материала данной главы студент должен: знать

• правовые основы информационной безопасности;
• стандарты безопасности платежей пластиковыми картами;
• правила работы с электронными счетами-фактурами; уметь
• произвести безопасный платеж с использованием пластиковой карты;
• осуществлять безопасные покупки с использованием пластиковых карт; владеть
• знаниями по современным информационным атакам и классификации АРТ- атак;
• знаниями по повышению безопасности ЭДО и электронных платежей.

Безопасность предприятий электронной коммерции

Под безопасностью предприятия ЭК понимают состояние защищенности его от внешних и внутренних угроз. Понятие безопасности предприятия включает:

• правовую защиту безопасности;
• защиту персональных данных;
• физическую безопасность;
• экономическую и финансовую безопасность;
• информационную безопасность.

Наиболее распространенными киберпреступлениями в 2014 г. и начале 2015 г. были целенаправленные атаки на информационные системы предприятий (APT - advanced persistent threat), попытки использования уязвимостей в приложениях с открытым кодом, динамические техники обхода защиты (АЕТ - advanced evasion techniques), угрозы в финансовой сфере, сфере мобильных платежей, дистанционном банковском обслуживании, онлайн-банкинге. К вредоносному банковскому ПО относятся банкеры, клавиатурные шпионы, программы для кражи виртуальных кошельков. Банкер (bankers) - особый вид системных ставок в букмекерских конторах, где выбирается одно (или несколько) событий с предполагаемым успешным исходом. В 2014 г. экспертами зафиксировано 16 млн заражений Windows-компьютеров вредоносным банковским ПО, обнаружено 12 тыс. мобильных банковских троянцев.

К угрозам физической безопасности относятся посягательства на жизнь и личные интересы сотрудников предприятия, такие действия в отношении сотрудников предприятия, как психологический террор, запугивание, вымогательства, грабеж с целью завладения материальными ценностями или документами, похищение сотрудников, угроза жизни, кражи, а также пожар и стихийные бедствия.

К экономической и финансовой безопасности относятся защита экономических и финансовых интересов предприятия и субъектов предприятия. Угрозами экономической и финансовой безопасности являются неплатежеспособность предприятия, компрометация и подрыв доверия к предприятию, использование фальшивых документов, утечка коммерческой информации, подделка финансовых документов для получения кредита, нарушение сроков платежей, разглашение конфиденциальной финансовой информации, условий предоставления кредитов, подделка товаров и их торговых марок и др.

Правовая защита достигается путем соблюдения каждым субъектом электронной торговли законодательства РФ, нормативных и правовых актов, соглашений сторон электронных сделок, прав и обязанностей в соответствии с правовым статусом субъекта, прав и обязательств по порядку оформления электронной сделки. Участниками электронных сделок являются субъекты и посредники электронной торговли. Они обязаны предпринимать действия по снижению рисков, предотвращению угроз и конфликтов в процессах электронной торговли. Для этого им следует использовать средства профилактики и предупреждения правонарушений, мониторинг правового обеспечения своей деятельности. В модельном Законе "Об электронной торговле", принятом Постановлением Межпарламентской Ассамблеи государств - участников СНГ № 31-12 от 2008 г. прописаны основные мероприятия по обеспечению безопасности электронной торговли.

При ведении ЭК важно соблюдение положений Федерального закона от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне". Закон дает следующее определение: "Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду".

В соответствии с п. 2 ст. 3 Закона "О коммерческой тайне", информация, составляющая коммерческую тайну - это сведения любого характера, которые имеют действительную или потенциальную коммерческую ценность. Она неизвестна третьим лицам на законном основании либо к ней обладателем сведений введен режим коммерческой тайны. Информация может носить производственный, технический, экономический, организационный и другой характер. Статья 15 ч. 1 ГК РФ, предусматривает возмещение убытков, нанесенных нарушением режима коммерческой тайны. Под убытками понимаются расходы, необходимые для восстановления нарушенного права. Их несет лицо, чьи права были нарушены.

Для обеспечения режима сохранности коммерческой тайны на предприятии работодатель обязан издать "Положение об использовании корпоративной электронной почты" и "Приказ о вводе режима коммерческой тайны". В приказе оговаривается информация, которая на данном предприятии представляет коммерческую тайну. Положение и Приказ доводятся до сведения всех сотрудников предприятия под личную подпись. Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты этой информации. Также он может применять другие, не противоречащие законодательству РФ, меры защиты. Это следует из ст. 34 п. 1 Конституции РФ.

Примечание. Соблюдение положений Закона "О коммерческой тайне" необходимо студентам, проходящим производственную практику на государственных или коммерческих предприятиях. Сведения, помещаемые в отчеты о прохождении практики и выпускные квалификационные работы, не должны раскрывать коммерческую тайну этих предприятий.

1.Современные угрозы для E-commerce.

Всемирная сеть Интернет охватила все отрасли деятельности человека. Огромными темпами развивается сектор бизнес-услуг, предоставляемых посредством Интернета. Среди развивающихся направлений важную роль играют системы Интернет-торговли Business to Consumer. Этот сектор бизнеса связан с предоставлением услуг или продукции конечному потребителю. Основной тип данных систем – электронный магазин – автоматизированная система электронной торговли в сети Интернет.
Система электронной торговли представляет собой характерный пример распределенной вычислительной системы. В ней несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Мы видим, что оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания.

Кроме информационных атак и угроз, в электронной коммерции существуют еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами в экономической деятельности фирмы в целом. Поэтому, нужно отметить, что только технических средств для решения задачи построения комплексной системы защиты недостаточно. Необходим целый комплекс организационных, законодательных, физических и технических мер.
Что касается законодательства, остановимся на одном выступлении.
Н.Н. Соловьев, зам. Председателя Правления АКБ РОСБАНК (г. Москва), в своем выступлении на IV Научно-практической конференции «Право и Интернет: теория и практика» на тему: «О рисках электронной коммерции. Законодательное регулирование» отмечает, что регулирование отрасли электронного информационного обмена, защиты информации в электронных системах ее обработки осуществляется незначительным числом законов. К их числу можно отнести Гражданский кодекс, неоднозначно трактуемый пресловутый Указ президента РФ №334 от 03 апреля 1995 г., Закон №24-ФЗ от 20 февраля 1995 г. "Об информации, информатизации и защите информации", зарегистрированный Минюстом приказ ФАПСИ № 152 от 13 июня 2001 г. Следует отметить также последнюю редакцию Закона №128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" с внесенными в него дополнениями в соответствии с Законом №28-ФЗ от 13 марта 2002 года и Закон №1-ФЗ от 10 января 2002 г. "Об электронной цифровой подписи". Ответственность за неисполнение отдельных положений законодательства определена во вступившем в силу с 1 июля этого года "Кодексе Российской федерации об административных правонарушениях" №195-ФЗ, принятом 30 декабря 2001 г.

Так в чем же причина торможения роста электронной коммерции? На наш взгляд, она кроется в недостатках законодательного регулирования и, как следствие, в рисках, обусловленных проблемами обеспечения необходимого уровня безопасности.
Впрочем, существуют и иные - это, может быть, и необходимость лицензионного оформления деятельности для конечных потребителей технологий, а также необходимость приобретения сертифицированных средств защиты информации и ряд других. С другой стороны нужно обратить внимание, что компьютерные технологии очень молоды, но при этом развиваются стремительными темпами. И очень сложно успеть продумать все тонкости защиты и реализовать их должным образом.

Всем специалистам, постоянно работающим в сфере электронной торговли хорошо известно понятие ЭЦП. Аутентификация электронного документа осуществляется посредством проверки электронно-цифровой подписи (ЭЦП). При проверке ЭЦП файла проверяется, применялся ли при выработке данной цифровой подписи конкретный ключ, принадлежащий отправителю документа, и не претерпел ли файл изменений в процессе пересылки адресату. Если программа проверки подписи формирует запись “ЭЦП верна”, то файл “аутентифицирован”. При аутентификации файла не имеет значения, какую полезную информацию он содержит и содержит ли вообще. Для последующей идентификации файла – документа требуется механизм перевода бинарной информации, составляющей файл, в читаемую человеком форму и определенным образом трактующего содержимое данной формы. Очевидно, что только при наличии подобного механизма может быть обеспечена доказательная сила электронного документа. Закон "Об электронной цифровой подписи" является основанием доказательной силы цифровой подписи.

Доказательная же сила электронных документов зиждется на фиксации языка их прочтения или, иными словами, механизма идентификации цифр - нулей и единиц, образующих документ. Зачастую язык идентификации электронных документов в договорных отношениях не регламентирован. Поэтому, при отсутствии каких-либо правил, норм и требований, ситуация необременительного хаоса в этом вопросе порождает дополнительные риски, являющиеся принципиальным тормозом развития технологий электронной коммерции.
Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие - адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов - технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак - оценка подозрительных действий, которые происходят в корпоративной сети.

Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы e-Commerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных. Рассмотрим, какие угрозы подстерегают фирму на разных этапах осуществления покупки через Интернет (см. табл. 1).

Таблица №1
Угрозы на различных этапах совершения покупки через Интернет

Действия заказчика или компании	Возможная угроза
Заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ.	Подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. (Особенно это опасно, когда заказчик вводит номер своей кредитной карты).
Заказ заносится в базу данных заказов магазина.	Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных.
Проверяется доступность продукта или услуги через центральную базу данных. Если продукт не доступен, то заказчик получает об этом уведомление. В зависимости от типа магазина, запрос на продукт может быть перенаправлен на другой склад.	Реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции.
В случае наличия продукта или услуги заказчик подтверждает оплату и заказ помещается в базу данных.*	Создание ложных заказов со стороны сотрудников электронного магазина.
Электронный магазин посылает заказчику подтверждение заказа.	Перехват данных, передаваемых в системе электронной коммерции.
Клиент в режиме on-line оплачивает заказ.	Особую опасность представляет собой перехват информации о кредитной карте заказчика.
Товар доставляется заказчику.	Мошенничество со стороны сотрудников электронного магазина.

___________________________________________
* в большинстве случаев существует единая база данных для заказов и проверки наличия товаров.

На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри».

Каковы же последствия в случае осуществления этих угроз?
В результате всех этих угроз компания теряет:
a) доверие клиентов; б) деньги от несовершенных сделок.
В некоторых случаях этой компании можно предъявить иск за раскрытие номеров кредитных карт. В случае реализации атак типа "отказ в обслуживании" на восстановление работоспособности тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого программного и аппаратного обеспечения. Это связано с незащищенностью версии протокола IP (v4). Решение проблемы - использование криптографических средств или переход на шестую версию протокола IP (v6).

Помимо всего сказанного, может произойти:
1) нарушение доступности узлов электронной коммерции;
2) неправильная настройка программного и аппаратного обеспечения электронного магазина.

2. Арсенал средств защиты в E-commerce.

Все перечисленные ранее угрозы не страшны, если против них существуют действенные средства защиты. Какой же арсенал средств сегодня существует и почему все же и его не всегда достаточно? Для ответа на этот вопрос нужно рассмотреть все четыре уровня, имеющиеся у любой информационной системы.

1 и 2-й уровни (нижние) – уровень операционной системы и уровень сети.
Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware.
Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.
Эти уровни важны особенно. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Это очень опасно, нужны такие средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа "отказ в обслуживании", а также атаки на операционную систему.
В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС - встроенные средства разграничения доступа. Одним из примеров средств обнаружения атак является система RealSecure, разработанная компанией Internet Security Systems, Inc.

Следующий уровень – третий уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer.

Четвертый уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Примером элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access.
Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности.
Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т.ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях - Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности eCommerce. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг. Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.

Из истории создания SAFEsuite…
Разработанный одним из экспертов по компьютерным системам защиты Кристофером Клаусом, этот пакет должен выявлять "дыры" в системах безопасности Web-серверов, брандмауэров, серверов и рабочих станций на базе ОС Unix, Windows 95 и NT и сообщать о них пользователю. Эти "дыры" SAFEsuite обнаруживает путем имитации всех известных способов, используемых "взломщиками" для проникновения в сеть. Отличительной особенностью пакета SAFEsuite, состоящего из программ Intranet Scanner, Firewall Scanner, Web Security Scanner и System Security Scanner, является его ориентация исключительно на оценку состояния компьютерных систем защиты. В отличие от известных программ, например SATAN, которая тестирует сеть только "снаружи", или COBS, проверяющей сеть только "внутри", пакет SAFEsuite призван объединить все функции этих программ в единое целое.
Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства SecretNet, разработанные предприятием "Информзащита". Нельзя забывать также и о шифровании и ЭЦП (электронной цифровой подписи). Степень защищенности напрямую зависит от алгоритма шифрования и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислений надо провести для шифрования и дешифрования данных.
Основные виды алгоритмов шифрования – симметричные и асимметричные. Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи.

Приведу обзор некоторых алгоритмов симметричного шифрования.
1) DES (Data Encryption Standard).
Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа.
2) Triple DES.
Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES. Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии. Skipjack.
Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла). IDEA.
Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций. RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.
Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности. При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый - для дешифрования.

Алгоритм применения ЭЦП состоит из ряда операций:
1) Генерируется пара ключей - открытый и закрытый.
2) Открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи).
3) Отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи.
4) Получатель дешифрует сообщение открытым ключом отправителя.

3. Современные подходы применения мер информационной безопасности в сфере электронной коммерции.

Принципиально новый подход к осуществлению электронных платежей сегодня заключается в немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием протоколов SSL (Seсure Sockets Layer) и SET (Secure Electronic Transaction). Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, MasterCard и др., - шифрование исключительно финансовой информации. Поскольку сеть Интернет рассчитана на одновременную работу миллионов пользователей, то в коммерческих приложениях "в чистом виде" невозможно использовать ни традиционные системы, основанные исключительно на "закрытых ключах" (DES, ГОСТ 28147-89 и др.), ни методы шифрования только на "открытых ключах", в том числе и российский стандарт электронной подписи.

Применение одних закрытых ключей невозможно в связи с тем, что раскрытие (перехват) даже одного ключа сразу же приведет к "взлому" всей системы защиты. Поэтому при реализации электронной коммерции в Интернет вместе с системами шифрования с помощью закрытых ключей используются системы шифрования с помощью открытых ключей. Это связано с тем, что шифрование только открытыми ключами требует больших затрат вычислительных ресурсов. Поэтому лучше всего шифровать информацию, передаваемую по сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным с помощью открытого ключа.
Такая система шифрования будет работать и быстрее, и надежнее.

В приложениях, основанных на использовании алгоритма SET, покупатель, не расшифровывая платежных реквизитов продавца, расшифровывает все данные заказа, а банк, не имея данных о структуре заказа, имеет доступ к платежным реквизитам и продавца и покупателя. Это достигается благодаря использованию двойной (слепой) электронной подписи, и в данной ситуации банку посылается одна часть сообщения, а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками. При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель обладают общим ключом, который они используют для шифрования/дешифрования информации. В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель имеют по два ключа: один - "открытый", который может быть известен любой третьей стороне, а другой - "частный", всегда известный только одной стороне - его владельцу. При этом по одному ключу невозможно восстановить другой.

Каков вывод на сегодня? Как защитить сделку от несанкционированного доступа?
Для защиты сделок в Интернет в настоящее время организованы специальные центры сертификации. Они следят за тем, чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время. Чтобы его получить, в центр сертификации необходимо предоставить документ, удостоверяющий личность участников сделки (для юридических лиц таким документом является свидетельство о регистрации). Каждый участник, имея "на руках" открытый ключ центра сертификации, может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки.

С самого начала внедрения электронной коммерции было очевидно, что методы идентификации владельца карты, применяемых в обычных транзакциях, являются неудовлетворительными для транзакций электронной коммерции. Действительно, при совершении операции покупки в физическом магазине продавец имеет право рассмотреть предъявляемую для расчета пластиковую карту на предмет ее соответствия требованиям платежным системам (в частности проверить наличие голограммы, специальных секретных символов, сверить подписи на панели и торговом чеке и т. п.). Кроме того, продавец может потребовать от покупателя документ, удостоверяющий его личность. Все это делает мошенничество по поддельной карте достаточно дорогим предприятием.

В случае транзакции в электронной коммерции все, что требуется от мошенника - знание реквизитов карты. Затраты, связанные с изготовлением поддельной физической карты, в этом случае не требуется. В мире пластиковых карт с магнитной полосой самым надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. PIN-код применяется всегда при проведении транзакции повышенного риска, например при выдаче владельцу карты наличных в банкоматах. Выдача наличных в банкоматах происходит без присутствия представителя обслуживающего банка (ситуация похожа на транзакцию электронной коммерции). Поэтому обычных реквизитов карты для защиты операции "снятия наличных в банкомате" недостаточно и используется секретная дополнительная информация - PIN-код. Владельцы карт, эмитенты которых держат свою базу данных карточек на хосте STB CARD, могут получить дополнительный PIN-код, называемый PIN2. Этот код представляет собой последовательность из 16 шестнадцатеричных цифр, которая распечатывается в PIN-конверте, передаваемом владельцу карты, и вычисляется эмитентом с помощью симметричного алгоритма шифрования, примененного к номеру карты и использующего секретный ключ, известный только эмитенту карты.
Возвращаясь к схеме STB CARD, отметим, что, конечно же, в заполненной клиентом форме PIN2 не содержится, а в действительности все выглядит следующим образом: торговая точка (точнее, сервер Assist), определив, что имеет дело с картой банка STB CARD, передает владельцу карты форму, содержащую подписанный javа-апплет, реализующий некоторый симметричный алгоритм шифрования. При этом PIN2 играет роль секретного ключа этого алгоритма шифрования, а шифруемые данные получаются в результате применения хэш-функции к номеру карты, сумме и дате транзакции, а также случайному числу Nn генерируемому торговой точкой. Таким образом, в заполненной владельцем карты форме присутствует только результат шифрования перечисленных выше данных о транзакции на ключе PIN2.

Таким образом, технология проверки PIN-кода, принятая в системе STB CARD, в действительности обеспечивает не только динамическую аутентификацию клиента, но еще и гарантирует "сквозную" целостность некоторых данных о транзакции (сумма транзакции, номер карты). Под "сквозной" целостностью здесь понимается защита от модификации данных на всем протяжении от их передачи от клиента до банка-эмитента. А как же другие карты? В других системах нет пока такой высокой степени защиты. Придется держателям других карт держать в строжайшей тайне свой PIN-код и стараться не терять карту. До тех пор, пока их система не будет должным способом защищена от мошенничества.

Из всего вышесказанного видно, что работа по проведению защитных мероприятий ведется, но сложности еще остаются. Эта деятельность предполагает создание большого числа все более сложных алгоритмов шифрования, специальных программ для перехвата и нейтрализации атак. Специалисты в этой области, как в нашей стране, так и за рубежом много полезного уже осуществили в сфере разработок новых программных средств для «отслеживания» и «улавливания» атак, чего нельзя не заметить. Однако у систем электронной коммерции всё еще остаются много неустраненных уязвимостей. Поэтому их необходимо тщательно изучать и стараться быстрее устранять. От этого зависит как-никак объем продаж, а значит, и доходность данного сектора коммерции.

Литература :

1. Д.В. Кривопалов. Безопасность электронной коммерции. http://www.klerk.ru/soft/all/?6795
2. Соловьев Н.Н. О рисках электронной коммерции. Законодательное регулирование. Доклад на IV Научно-практической конференции «Право и Интернет: теория и практика», 2004 г.
3. Х. М. Дейтел, П. Дж. Дейтел, Т. Р. Нието "Как программировать для Internet и WWW"
4. А.А. Теренин.ИНФОРМАЦИОННЫЕ УЯЗВИМОСТИ ИНТЕРНЕТ-ПРОЕКТОВ ЭЛЕКТРОННОЙ ТОРГОВЛИ. http://www.juragent.ru/publ/zi/uyaz_e_com.htm
5. Кадощук И. Защищенная открытость. Сетевой журнал №9.2000.
6. В. Горшков, А. Соловьев Электронная коммерция и национальная безопасность.Защита информации. Конфидент № 6, 2003
7. Б.И. Скородумов. Стандарты для безопасности электронной коммерции в сети Интернет.http://www.bre.ru/security/21627.html
8. А. Баутов. Эффективность защиты информации. http://www.bre.ru/security/19165.html
9. Березин А.С. Информационная безопасность и интересы бизнеса. http://www.bre.ru/security/19565.html
10. Столяров Н. В.Организация системы защиты информации в западной Европе. http://www.security.meganet.md
11. Деднев М. А., Дыльнов Д. В., Иванов М. А.Защита информации в банковском деле и электронном бизнесе.Серия: СКБ - Специалисту по компьютерной безопасности. 2004 г.
12. С.Потапкин. Безопасность электронных платежей. http://www.ifin.ru
13. А.Друк. Электронные деньги и безопасность http://www.emoney.ru
14. Дмитрий Тимофеев. SAFEsuite оценивает защищенность сети. http://www.osp.ru/nets/1997/02/142218/
15. Е.Н. Тищенко, О.А. Строкачева. Проблематика оценки защищенности информационных ресурсов на примере систем электронной коммерции. 2007 г.
16. Д. Никсов, П.Рудель. Cравнение сетевых сканеров безопасности. http://av5.com/journals-magazines-online/1/25/166
17. И. Р. Конеев, А. В. Беляев. Защита данных. Криптография.
http://www.winix.ru/informatsionnaya-bezopasnost/kri...
18. Пит Лошин. Обнаружение атак. http://www.osp.ru/cw/2001/17/40355/
______________________________
© Нельзина Ольга Геннадьевна

Количество пользователей Интернета достигло несколько сот миллионов и появилось новое качество в виде «виртуальной экономики». В ней покупки совершаются через торговые сайты, с использованием новых моделей ведения бизнеса, своей стратегией маркетинга и пр.

Электронная коммерция (ЭК) – это предпринимательская деятельность по продаже товаров через Интернет.

Как правило выделяются две формы ЭК: *

торговля между предприятиями (business to business, B2B); *

торговля между предприятиями и физическими лицами, т.е. потребителями (business to consumer, B2С).

ЭК породила такие новые понятия как: *

Электронный магазин – витрина и торговые системы, которые используются производителями или дилерами при наличии спроса на товары. *

Электронный каталог – с большим ассортиментом товаров от различных производителей. *

Электронный аукцион – аналог классического аукциона с использованием Интернет-технологий, с характерной привязкой к мультимедийному интерфейсу, каналу доступа в Интернет и показом особенностей товара. *

Электронный универмаг – аналог обычного универмага, где обычные фирмы выставляют свой товар, с эффективным товарным брендом (Гостиный двор, ГУМ и т.д.). *

Виртуальные комъюнити (сообщества), в которых покупатели организуются по группам интересов (клубы болельщиков, ассоциации и т.д.).

Интернет в области ЭК приносит существенные выгоды: *

экономия крупных частных компаний от перевода закупок сырья и комплектующих на Интернет-биржи достигает 25 - 30%; *

участие в аукционе конкурирующих поставщиков со всего мира в реальном масштабе времени приводит к снижению запрограммированных ими за поставку товаров или услуг цен; *

повышение цен за товары или услуги в результате конкуренции покупателей со всего мира; *

экономия за счет сокращения числа необходимых сотрудников и объема бумажного делопроизводства.

Доминирующее положение в ЭК в западных странах стал сектор В2В, который к 2007 году по разным оценкам достигнет от 3 до 6 трлн. долларов.

Первыми получили преимущества от перевода своего бизнеса в Интернет компании, продающие аппаратно-программные средства и представляющие компьютерные и телекоммуникационные услуги.

Каждый интернет-магазин включает две основных составляющих: электронную витрину и торговую систему.

Электронная витрина содержит на Web-сайте информацию о продаваемых товарах, обеспечивает доступ к базе данных магазина, регистрирует покупателей, работает с электронной «корзиной» покупателя, оформляет заказы, собирает маркетинговую информацию, передает сведения в торговую систему.

Торговая система доставляет товар и оформляет платеж за него. Торговая система - это совокупность магазинов, владельцами которых являются разные фирмы, берущие в аренду место на Web-сервере, который принадлежит отдельной компании.

Технология функционирования интернет-магазина выглядит следующим образом:

Покупатель на электронной витрине с каталогом товаров и цен (Web-сайт) выбирает нужный товар и заполняет форму с личными данными (ФИО, почтовый и электронный адреса, предпочитаемый способ доставки и оплаты). Если происходит оплата через Интернет, то особое внимание уделяется информационной безопасности.

Передача оформленного товара в торговую систему интернет-магазина, где происходит комплектация заказа. Торговая система функционирует ручным или автоматизированным способом. Ручная система функционирует по принципу Посылторга, при невозможности приобретения и наладки автоматизированной системы, как правило, при незначительном объеме товаров.

Доставка и оплата товара. Доставка товара покупателю осуществляется одним из возможных способов: *

курьером магазина в пределах города и окрестностей; *

специализированной курьерской службой (в том числе из-за границы); *

почтой; *

самовывозом; *

по телекоммуникационным сетям доставляется такой специфический товар как информация.

Оплата товара может осуществляться следующими способами: *

предварительной или в момент получения товара; *

наличными курьеру или при визите в реальный магазин; *

почтовым переводом; *

банковским переводом; *

наложенным платежом; *

при помощи кредитных карт (VISA, MASTER CARD и др);

посредством электронных платежных систем через отдельные коммерческие банки (ТЕЛЕБАНК, ASSIST и др.).

В последнее время электронная коммерция или торговля посредством сети Интернет в мире развивается достаточно бурно. Естественно, что этот процесс осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.

Коммерческая деятельность в электронных сетях снимает некоторые физические ограничения. Компании, подключая свои компьютерные системы к Интернет, способны предоставить клиентам поддержку 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места.

Однако у этой «медали» есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.

Объем мирового оборота электронной коммерции через Интернет в 2006 году, по прогнозам компании Forrester Tech., может составить от 1,8 до,2 трлн. долл. Столь широкий диапазон прогноза определяется проблемой обеспечения экономической безопасности электронной коммерции. Если уровень безопасности сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность системы электронной коммерции является сдерживающим фактором развития электронного бизнеса.

Решение проблемы обеспечения экономической безопасности электронной коммерции в первую очередь связано с решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.

Интеграция бизнес-процессов в среду Интернет приводит к кардинальному изменению положения с обеспечением безопасности. Порождение прав и ответственности на основании электронного документа требует всесторонней защиты от всей совокупности угроз, как отправителя документа, так и его получателя.

К сожалению, руководители предприятий электронной коммерции в должной степени осознают серьезность информационных угроз и важность организации защиты своих ресурсов только после того, как последние подвергнуться информационным атакам. Как видно, все перечисленные препятствия относятся к сфере информационной безопасности.

Среди основных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны.

При достижении безопасности информации обеспечение ее доступности, конфиденциальности, целостности и юридической значимости являются базовыми задачами. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.

Если первые четыре требования можно обеспечить техническими средствами, то выполнение двух последних зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.

В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронного бизнеса, которые включают: защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота; обеспечение долгосрочного хранения информации в электронном виде; обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.

Существует несколько видов угроз электронной коммерции: *

Проникновение в систему извне. *

Несанкционированный доступ внутри компании. *

Преднамеренный перехват и чтение информации. *

Преднамеренное нарушение данных или сетей. *

Неправильная (с мошенническими целями) идентификация пользователя. *

Взлом программно-аппаратной защиты. *

Несанкционированный доступ пользователя из одной сети в другую. *

Вирусные атаки. *

Отказ в обслуживании. *

Финансовое мошенничество.

Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование – кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.

Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом – это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.

Какие угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе: *

подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам; *

создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников); *

перехват данных, передаваемых по сетям электронной коммерции; *

проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина; *

реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.

В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

На первый взгляд, может показаться, что каждый подобный инцидент – не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак.

Например, потоки запросов на сервер Buy превысили средние показатели в 24 раза, а предельные – в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.

Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

За рубежом решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представителей и экспертов компаний-поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.

Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса: *

механизм объективного подтверждения идентифицирующей информации; *

право на персональную, частную информацию; *

определение событий безопасности; *

защита корпоративного периметра; *

определение атак; *

контроль потенциально опасного содержимого; *

контроль доступа; *

администрирование; *

реакция на события.

Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.

В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить – каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.

Безусловно, обеспечением информационной безопасности должны заниматься специалисты в данной области, но руководители органов государственной власти, предприятий и учреждений независимо от форм собственности, отвечающие за экономическую безопасность тех или иных хозяйственных субъектов, должны постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены основные функциональные компоненты организации комплексной системы информационной безопасности: *

коммуникационные протоколы; *

средства криптографии; *

средства контроля доступа к рабочим местам из сетей общего пользования; *

антивирусные комплексы; *

программы обнаружения атак и аудита; *

средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью – непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто. Напомним, что Интернет создавалась несколько десятилетий назад для научного обмена информацией не имеющей большой стоимости.

К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с передачей, обработкой и хранением конфиденциальной информации. Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.

Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным – например, таким, как номера кредитных карт.

Шифрование данных

На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол Secure Sockets Layer (SSL).

Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно обратиться в один из органов сертификации. К общеизвестным коммерческим сертификационным организациям относятся: VerySign, CyberTrust, GTE.

SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных: *

данные зашифрованы; *

между сервером-источником и сервером назначения установлено защищенное соединение; *

активирована аутентификация сервера.

Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола.

Программное обеспечение сервера Netscape обеспечивает также аутентификацию – сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута.

Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога.

Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут идентифицировать схемы или следы атак, генерировать аварийные сигналы для предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания.

Защита данных сайта

Для защиты данных сайта необходимо проанализировать данные, используемые сайтом, и определить политику безопасности. Эти данные могут представлять собой HTML-код, подробности о клиентах и продуктах, хранящиеся в базе данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно использовать при определении политики безопасности данных: *

Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К чувствительным данным должно быть обеспечено минимальное число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение доступа в систему влияет на работу системы в целом. *

Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ. *

Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию общепринятой (и популярной) возможности обрабатывать сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте", хотя при этом можно создать новый пароль и высылать его в качестве альтернативы. *

Чувствительная информация – такая, как номера кредитных карт – может храниться в базах данных и после шифрования. Расшифровывать ее каждый раз при возникновении такой необходимости могут только авторизованные пользователи и приложения. Однако это также влияет на скорость работы системы в целом.

Можно защитить данные сайта и с помощью компонент среднего яруса. Эти компоненты могут быть запрограммированы для аутентификации пользователей, разрешая доступ к базе данных и ее компонентам только авторизованным пользователям и защищая их от внешних угроз.

Можно реализовать дополнительные функции безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQL Server.

Заметьте, что не менее важно защищать и резервные копии, содержащие информацию о потребителях.

Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения или повреждения данных, следить за появлением которых в состоянии только профессиональные организации, специализирующиеся на информационной безопасности.

Интеграция коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс в области безопасности информации во многом определяет развитие процесса электронной коммерции.

В России развитие электронной коммерции сдерживается: *

Отсутствием или слабым развитием инфраструктуры ЭК, в частности, надежной и повсеместной инфраструктуры доставки товара покупателю (курьерские службы и т.п.), особенно через «электронный магазин», находящийся в другом городе. *

Отставанием государственной правоприменительной практики и, как следствие, отсутствие или слабые гарантии исполнения сделок, заключенных в электронной форме. *

Наличием объективных и субъективных предпосылок для развития мошенничества, связанных с использованием Интернета для коммерции. *

Слабой маркетинговой проработкой проектов ЭК. *

Трудностями в отплате товаров, в частности, отсутствие доверия населения к коммерческим банкам.

Низкий уровень доходов большинства населения России делает деньги более весомым богатством, чем время, поэтому многие Россияне не согласны оплачивать наряду со стоимостью товара расходы на его доставку, и предпочитают делать покупки в обычных магазинах. Поэтому ЭК может широко распространиться в России только после существенного улучшения экономической обстановки в стране.

Безопасность электронной коммерции

Безопасность на сегодняшний день является ключевым вопросом при внедрении и использовании систем электронной коммерции (ЭК). Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций.

Пользователи и специалисты до сих пор не рассматривают Интернет как безопасную среду. Опросы показывают, что наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. По данным разработчиков платежной системы VISA около 23% транзакций ЭК так и не производится из-за боязни клиента ввести собственную персональную информацию при работе, например, с электронным магазином персональную информацию о клиенте. Анализ литературных источников показывает, что для обеспечения необходимо выполнить следующие три условия:

Исключить возможность перехвата персональной или банковской информации во время транзакции;

Исключить возможность извлечения этой информации из баз данных;

Исключить возможность использовать "украденную" информацию в собственных целях.

Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные криптоалгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.

Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.

При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.

Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым.

Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

Эффективность электронной коммерции

В настоящее время используется множество разнообразных систем электронного бизнеса. Это вызывает проблемы при выборе системы ЭК для решения конкретной задачи, стоящей перед пользователем. Предлагается использовать метод анализа иерархий для оценки параметров, по которым сравниваются системы ЭК.

Эффективность систем ЭК обозначает меру соответствия используемых в ней технологий, приемов и правил коммерческим потребностям ее субъектов.

Сейчас многие методики оценки эффективности Interntet-проектов, к которым относятся и системы ЭК, базируются на таких показателях работы, как частота посещаемости сайта и время, которое проводит посетитель на сайте. Например, для электронного магазина важным фактором оценки эффективности его функционирования является количество посетителей.

Существуют такие направления оценки эффективности систем ЭК:

экономическое;

организационное;

маркетинговое.

Эти три направления взаимосвязаны.

Экономическая эффективность может быть определена как отношение прибыли P, полученной вследствие применения системы, к затратам Z, связанным с ее разработкой и эксплуатацией: . Затраты при этом определяются как сумма капитальных вложений в проектирование, приобретение компонент и реализацию системы и эксплуатационных затрат. Но получить эти оценки можно только после внедрения системы. Пользователю же необходимо иметь средства выбора системы для реализации конкретной задачи, стоящей перед ним.

Чтобы сравнивать системы ЭК, можно использовать методы, применяемые для анализа открытых систем, которые предоставляют средства выявления приоритетов лица, принимающего решение (ЛПР), и измерения интенсивности взаимодействия компонент, описывающих структуру системы иерархии.

Электронная коммерция (от англ. e-commerce) - это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций.
Веб-коммерция - это бизнес, в котором реализованная перспективная идея дает мощную финансовую отдачу, это процесс, который требует относительно малого штата специалистов, но который можно легко масштабировать и вести по всей России, выводить в другие страны, на общемировой рынок.
К электронной коммерции относят:
электронный обмен информацией (Electroniс Data Interchange, EDI),
электронное движение капитала (Electronic Funds Transfer, EFS),
электронную торговлю (e-trade),
электронные деньги (e-cash),
электронный маркетинг (e-marketing),
электронный банкинг (e-banking),
электронные страховые услуги (e-insurance).
Безопасность электронной коммерции
Широкое внедрение Интернета не могло не отразиться на развитии электронного бизнеса. Одним из видов электронного бизнеса считается электронная коммерция. В соответствии с документами ООН, бизнес признается электронным, если хотя бы две его составляющие из четырех (производство товара или услуги, маркетинг, доставка и расчеты) осуществляются с помощью Интернета. Поэтому в такой интерпретации обычно полагают, что покупка относится к электронной коммерции, если, как минимум, маркетинг (организация спроса) и расчеты производятся средствами Интернета. Более узкая трактовка понятия "электронная коммерция" характеризует системы безналичных расчетов на основе пластиковых карт.
Ключевым вопросом для внедрения электронной коммерции является безопасность.
Высокий уровень мошенничества в Интернете является сдерживающим фактором развития электронной коммерции. Покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери. Люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации. Лишь немногим более 2% всех поисков по каталогам и БД в Интернете заканчиваются покупками.
Кратко рассмотрим этапы приобретения продуктов и услуг через Internet.
Заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ. Заказ заносится в базу данных заказов магазина. Проверяется доступность продукта или услуги через центральную базу данных. Если продукт не доступен, то заказчик получает об этом уведомление. В зависимости от типа магазина, запрос на продукт может быть перенаправлен на другой склад. В случае наличия продукта или услуги заказчик подтверждает оплату и заказ помещается в базу данных. Электронный магазин посылает заказчику подтверждение заказа. В большинстве случаев существует единая база данных для заказов и проверки наличия товаров. Клиент в режиме online оплачивает заказ. Товар доставляется заказчику.
Рассмотрим основные угрозы, которые подстерегают компанию на всех этапах. Подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. Особенно это опасно, когда заказчик вводит номер своей кредитной карты. Создание ложных заказов и мошенничество со стороны сотрудников электронного магазина. Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками. Перехват данных, передаваемых в системе электронной коммерции. Особую опасность представляет собой перехват информации о кредитной карте заказчика. Проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. Реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции.
В результате всех этих угроз компания теряет доверие клиентов и теряет деньги от несовершенных сделок. В некоторых случаях этой компании можно предъявить иск за раскрытие номеров кредитных карт. В случае реализации атак типа "отказ в обслуживании" на восстановление работоспособности тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого программного и аппаратного обеспечения.. Это связано с незащищенностью версии протокола IP (v4). Решение проблемы - использование криптографических средств или переход на шестую версию протокола IP. В обоих случаях существуют свои проблемы. В первом случае применение криптографии должно быть лицензировано в соответствующем ведомстве. Во втором случае возникают организационные проблемы. Еще возможны несколько угроз. Нарушение доступности узлов электронной коммерции и неправильная настройка программного и аппаратного обеспечения электронного магазина.
Приведем классификацию возможных типов мошенничества в электронной коммерции:

транзакции (операции без наличных расчетов), выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т.п.);
получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные;
магазины-бабочки, возникающие, как правило, на непродолжительное время, для того, чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;
увеличение стоимости товара по отношению к предлагавшейся покупателю цене или повтор списаний со счета клиента;
магазины или торговые агенты, предназначенные для сбора информации о реквизитах карт и других персональных данных покупателя.

Протокол SSL
Протокол SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications. SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии в соединениях "точка-точка". Ранее можно было без особых технических ухищрений просматривать данные, которыми обмениваются между собой клиенты и серверы. Был даже придуман специальный термин для этого - "sniffer".
Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия:

пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой;
после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа;
и наконец, при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче.

Протокол SSL позволяет серверу и клиенту перед началом информационного взаимодействия аутентифицировать друг друга, согласовать алгоритм шифрования и сформировать общие криптографические ключи. С этой целью в протоколе используются двухключевые (ассиметричные) криптосистемы, в частности, RSA.
Конфиденциальность информации, передаваемой по установленному защищенному соединению, обеспечивается путем шифрования потока данных на сформированном общем ключе с использованием симметричных криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40, DES40 и др.). Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code, или MAC), вычисляемых с помощью хэш-функций (например MD5).
Протокол SSL включает два этапа взаимодействия сторон защищаемого соединения:

установление SSL-сессии;
защита потока данных.

На этапе установления SSL-сессии осуществляется аутентификация сервера и (опционально) клиента, стороны договариваются об используемых криптографических алгоритмах и формируют общий "секрет", на основе которого создаются общие сеансовые ключи для последующей защиты соединения. Этот этап называют также "процедурой рукопожатия".
На втором этапе (защита потока данных) информационные сообщения прикладного уровня нарезаются на блоки, для каждого блока вычисляется код аутентификации сообщений, затем данные шифруются и отправляются приемной стороне. Приемная сторона производит обратные действия: расшифрование, проверку кода аутентификации сообщения, сборку сообщений, передачу на прикладной уровень.
Наиболее распространенным пакетом программ для поддержки SSL является SSLeay. Он содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP.
В SSL используется криптография с открытым (публичным) ключом, также известная как асимметричная криптография. Она использует два ключа: один - для шифрования, другой - для расшифровывания сообщения. Два ключа математически связаны таким образом, что данные, зашифрованные с использованием одного ключа, могут быть расшифрованы только с использованием другого, парного первому. Каждый пользователь имеет два ключа - открытый и секретный (приватный). Пользователь делает доступным открытый ключ любому корреспонденту сети. Пользователь и любой корреспондент, имеющий открытый ключ, могут быть уверены, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с использованием секретного ключа.
Если два пользователя хотят быть уверенными, что информацию, которой они обмениваются, не получит третий, то каждый из них, должен передать одну компоненту ключевой пары (а именно открытый ключ), другому и хранит другую компоненту (секретный ключ). Сообщения шифруются с помощью открытого, расшифровываются только с использованием секретного ключа. Именно так сообщения могут быть переданы по открытой сети без опасения, что кто-либо сможет прочитать их.
Целостность и аутентификация сообщения обеспечиваются использованием электронной цифровой подписи.
Теперь встает вопрос о том, каким образом распространять свои публичные ключи. Для этого (и не только) была придумана специальная форма - сертификат. Сертификат состоит из следующих частей:

имя человека/организации, выпускающей сертификат;
субъект сертификата (для кого был выпущен данный сертификат);
публичный ключ субъекта;
некоторые временные параметры (срок действия сертификата и т.п.).

Сертификат "подписывается" приватным ключом человека (или организации), который выпускает сертификаты. Организации, которые производят подобные операции называются Certificate authority (CA). Если в стандартном Web-браузере, который поддерживает SSL, зайти в раздел security, то там можно увидеть список известных организаций, которые "подписывают" сертификаты. Технически создать свою собственную CA достаточно просто, но также необходимо уладить юридическую сторону дела, и с этим могут возникнуть серьезные проблемы.
SSL на сегодня является наиболее распространенным протоколом, используемым при построении систем электронной коммерции. С его помощью осуществляется 99% всех транзакций. Широкое распространение SSL объясняется в первую очередь тем, что он является составной частью всех браузеров и Web- серверов. Другое достоинство SSL - простота протокола и высокая скорость реализации транзакции.
В то же время, SSL обладает рядом существенных недостатков:

покупатель не аутентифицируется;
продавец аутентифицируется только по URL;
цифровая подпись используется только при аутентификации в начале установления SSL-сессии. Для доказательства проведения транзакции при возникновении конфликтных ситуаций требуется либо хранить весь диалог покупателя и продавца, что дорого с точки зрения ресурсов памяти и на практике не используется, либо хранить бумажные копии, подтверждающие получение товара покупателем;
не обеспечивается конфиденциальность данных о реквизитах карты для продавца.

Опишем ряд атак, которые могут быть предприняты против протокола SSL. Однако, SSL устойчив к этим атакам.

Раскрытие шифров

Как известно, SSL зависит от различных криптографических параметров. Шифрование с открытым ключом RSA необходимо для пересылки ключей и аутентификации сервера/клиента. Однако в качестве шифра используются различные криптографические алгоритмы. Таким образом, если осуществить успешную атаку на эти алгоритмы, то SSL не может уже считаться безопасным. Атака на определенные коммуникационные сессии производится записью сессии, и потом, в течение долгого времени подбирается ключ сессии или ключ RSA. SSL же делает такую атаку невыгодной, так как тратится большое количество времени и денег.

Злоумышленник посередине

Также известна как MitM (Man-in-the-Middle) атака. Предполагает участие трех сторон: сервера, клиента и злоумышленника, находящегося между ними. В данной ситуации злоумышленник может перехватывать все сообщения, которые следуют в обоих направлениях, и подменять их. Злоумышленник представляется сервером для клиента и клиентом для сервера. В случае обмена ключами по алгоритму Диффи-Хелмана данная атака является эффективной, так как целостность принимаемой информации и ее источник проверить невозможно. Однако такая атака невозможна при использовании протокола SSL, так как для проверки подлинности источника (обычно сервера) используются сертификаты, заверенные центром сертификации.

Атака будет успешной, если:

Сервер не имеет подписанного сертификата.
Клиент не проверяет сертификат сервера.
Пользователь игнорирует сообщение об отсутствии подписи сертификата центром сертификации или о несовпадении сертификата с кэшированным.

Данный вид атаки можно встретить в крупных организациях, использующих межсетевой экран Forefront TMG компании Microsoft. В данном случае "злоумышленник" находится на границе сети организации и производит подмену оригинального сертификата своим. Данная атака становится возможной благодаря возможности указать в качестве доверенного корневого центра сертификации сам Forefront TMG. Обычно подобная процедура внедрения проходит прозрачно для пользователя за счет работы корпоративных пользователей в среде Active Directory. Данное средство может использоваться как для контроля за передаваемой информацией, так и в целях похищения личных данных, передаваемых с помощью защищенного соединения HTTPS.

Наиболее спорным становится вопрос информированности пользователя о возможности перехвата данных, т.к. в случае подмены корневого сертификата никаких сообщений безопасности выводиться не будет и пользователь будет ожидать конфиденциальности передаваемых данных. Кроме того, при использовании Forefront TMG в качестве SSL-прокси возникает возможность проведения второй MitM-атаки на стороне интернета, т.к. оригинальный сертификат не будет передан пользователю, а Forefront TMG может быть настроен на прием и последующую подмену самоподписанных или отозванных сертификатов. Для защиты от подобной атаки необходимо полностью запретить работу с веб-серверами, чьи сертификаты содержат какие-либо ошибки, что безусловно приведет к невозможности работы по протоколу HTTPS со множеством сайтов.

Атака отклика

Злоумышленник записывает коммуникационную сессию между сервером и клиентом. Позднее, он пытается установить соединение с сервером, воспроизводя записанные сообщения клиента. Но SSL отбивает эту атаку при помощи особого уникального идентификатора соединения (ИС). Конечно, теоретически третья сторона не в силах предсказать ИС, потому что он основан на наборе случайных событий. Однако, злоумышленник с большими ресурсами может записать большое количество сессий и попытаться подобрать «верную» сессию, основываясь на коде nonce, который послал сервер в сообщение Server_Hello. Но коды nonce SSL имеют, по меньшей мере, длину 128 бит, а значит, злоумышленнику необходимо записать 264 кодов nonce, чтобы получить вероятность угадывания 50 %. Но 264 достаточно большое число, чтобы сделать эти атаки бессмысленными.

Атака против протокола рукопожатия

Злоумышленник может попытаться повлиять на обмен рукопожатиями для того, чтобы стороны выбрали разные алгоритмы шифрования, а не те, что они выбирают обычно. Из-за того, что многие реализации поддерживают 40-битное экспортированное шифрование, а некоторые даже 0-шифрование или MAC-алгоритм, эти атаки представляют большой интерес.

Для такой атаки злоумышленнику необходимо быстро подменить одно или более сообщений рукопожатия. Если это происходит, то клиент и сервер вычислят различные значения хэшей сообщения рукопожатия. В результате чего стороны не примут друг от друга сообщения Finished. Без знания секрета злоумышленник не сможет исправить сообщение Finished, поэтому атака может быть обнаружена.

Протокол SET
Другой протокол безопасных транзакций в Интернете - SET (Security Electronics Transaction). SET основан на использовании цифровых сертификатов по стандарту Х.509.
Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и VISA при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя самый защищенный на настоящее время механизм выполнения платежей. SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернет. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать стандартной технологией или системой протоколов выполнения безопасных платежей с использованием пластиковых карточек через Интернет.
SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернет, с помощью криптографии, применяя, в том числе, и цифровые сертификаты.
Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня безопасности информации, который обеспечивают вместе покупатели, продавцы и финансовые институты, обеспокоенные вопросами обеспечения безопасности платежей через Интернет. Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличии от других протоколов, позволяет решать указанные задачи защиты информации.
В результате того, что многие компании занимаются разработкой собственного программного обеспечения для электронной коммерции, возникает еще одна проблема. В случае использования этого ПО все участники операции должны иметь одни и те же приложения, что практически неосуществимо. Следовательно, необходим способ обеспечения механизма взаимодействия между приложениями различных разработчиков.
В связи с перечисленными выше проблемами компании VISA и MasterCard вместе с другими компаниями, занимающимися техническими вопросами (например IBM, которая является ключевым разработчиком в развитии протокола SET), определили спецификацию и набор протоколов стандарта SET. Эта открытая спецификация очень быстро стала де-факто стандартом для электронной коммерции. В этой спецификации шифрование информации обеспечивает ее конфиденциальность. Цифровая подпись и сертификаты обеспечивают идентификацию и аутентификацию (проверку подлинности) участников транзакций. Цифровая подпись также используется для обеспечения целостности данных. Открытый набор протоколов используется для обеспечения взаимодействия между реализациями разных производителей.
SET обеспечивает следующие специальные требования защиты операций электронной коммерции:

секретность данных оплаты и конфиденциальность информации заказа, переданной вместе с данными об оплате;
сохранение целостности данных платежей; целостность обеспечивается при помощи цифровой подписи;
специальную криптографию с открытым ключом для проведения аутентификации;
аутентификацию держателя по кредитной карточке, которая обеспечивается применением цифровой подписи и сертификатов держателя карточек;
аутентификацию продавца и его возможности принимать платежи по пластиковым карточкам с применением цифровой подписи и сертификатов продавца;
подтверждение того, что банк продавца является действующей организацией, которая может принимать платежи по пластиковым карточкам через связь с процессинговой системой; это подтверждение обеспечивается с помощью цифровой подписи и сертификатов банка продавца;
готовность оплаты транзакций в результате аутентификации сертификата с открытым ключом для всех сторон;
безопасность передачи данных посредством преимущественного использования криптографии.

Основное преимущество SET перед многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт X.509, версия 3), которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений платежных систем VISA и MasterCard.
SET позволяет сохранить существующие отношения между банком, держателями карточек и продавцами, и интегрируется с существующими системами, опираясь на следующие качества:

открытый, полностью документированный стандарт для финансовой индустрии;
основан на международных стандартах платежных систем;
опирается на существующие в финансовой отрасли технологии и правовые механизмы.

Кстати, совместный проект, реализованный компаниями IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard и Wal-Mart позволяет владельцам карточек Wal-Mart MasterCard, выпущенных банком Chase, приобретать товары на сайте Wal-Mart Online, который является одним из крупнейших узлов электронной коммерции США.
Рассмотрим более детально процесс взаимодействия участников платежной операции в соответствии со спецификацией SET, представленный на рисунке с сайта компании IBM.
На рисунке:

Держатель карточки - покупатель делающий заказ.
Банк покупателя - финансовая структура, которая выпустила кредитную карточку для покупателя.
Продавец - электронный магазин, предлагающий товары и услуги.
Банк продавца - финансовая структура, занимающаяся обслуживанием операций продавца.
Платежный шлюз - система, контролируемая обычно банком продавца, которая обрабатывает запросы от продавца и взаимодействует с банком покупателя.
Сертифицирующая организация - доверительная структура, выдающая и проверяющая сертификаты.

Взаимоотношения участников операции показаны на рисунке непрерывными линиями (взаимодействия описанные стандартом или протоколом SET) и пунктирными линиями (некоторые возможные операции) .
Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия:

Участники запрашивают и получают сертификаты от сертифицирующей организации.
Владелец пластиковой карточки просматривает электронный каталог, выбирает товары и посылает заказ продавцу.
Продавец предъявляет свой сертификат владельцу карточки в качестве удостоверения.
Владелец карточки предъявляет свой сертификат продавцу.
Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившего электронную карточку.
После проверки платежный шлюз возвращает результаты продавцу.
Некоторое время спустя, продавец требует у платежного шлюза выполнить одну или более финансовых операций. Шлюз посылает запрос на перевод определенной суммы из банка покупателя в банк продавца.

Представленная схема взаимодействия подкрепляется в части информационной безопасности спецификацией Chip Electronic Commerce, созданной для использования смарт-карточек стандарта EMV в Интернете (www.emvco.com). Ее разработали Europay, MasterCard и VISA. Сочетание стандарта на микропроцессор EMV и протокола SET дает беспрецедентный уровень безопасности на всех этапах транзакции.
Компания "Росбизнесконсалтинг" 20 июня 2000 г. поместила на своем сайте сообщение о том, что одна из крупнейших мировых платежных систем VISA обнародовала 19 июня 2000 г. свои инициативы в области безопасности электронной коммерции. По словам представителей системы, эти шаги призваны сделать покупки в Интернете безопаснее для покупателей и продавцов. VISA полагает, что внедрение новых инициатив позволит сократить количество споров по транзакциям в Интернете на 50%. Инициатива состоит из двух основных частей. Первая часть - это Программа аутентификации платежей (Payment Authentication Program), которая разработана для снижения риска неавторизованного использования счета держателя карточки и улучшения сервиса для покупателей и продавцов в Интернете. Вторая - это Глобальная программа защиты данных (Global Data Security Program), цель которой - создать стандарты безопасности для компаний электронной коммерции по защите данных о карточках и их держателях.
Сравнительные характеристики протоколов SSL и SET
Платежные системы являются наиболее критичной частью электронной коммерции и будущее их присутствия в сети во многом зависит от возможностей обеспечения информационной безопасности и других сервисных функций в Интернете. SSL и SET - это два широко известных протокола передачи данных, каждый из которых используется в платежных системах Интернета. Мы попытаемся сравнить SSL и SET и оценить их некоторые важнейшие характеристики.
Итак, рассмотрим важнейшую функцию аутентификации (проверки подлинности) в виртуальном мире, где отсутствуют привычные физические контакты. SSL обеспечивает только двухточечное взаимодействие. Мы помним, что, в процесс транзакции кредитной карточки вовлечены, по крайней мере, четыре стороны: потребитель, продавец, банк-эмитент и банк- получатель. SET требует аутентификации от всех участвующих в транзакции сторон.
SET предотвращает доступ продавца к информации о пластиковой карточке и доступ банка-эмитента к частной информации заказчика, касающейся его заказов. В SSL разрешается контролируемый доступ к серверам, директориям, файлам и другой информации. Оба протокола используют современную криптографию и системы цифровых сертификатов, удостоверяющих цифровые подписи взаимодействующих сторон. SSL предназначен преимущественно для защиты коммуникаций в Интернете. SET обеспечивает защиту транзакций электронной коммерции в целом, что обеспечивает юридическую значимость защищаемой ценной информации. При этом через SET транзакция происходит медленней, чем в SSL, и ее стоимость намного выше. Последняя характеристика весьма актуальна для сегодняшнего российского рынка, на котором пока не считают риски и эксплуатационные расходы.
Следует добавить, что, используя SSL, потребители подвергаются риску раскрытия реквизитов своих пластиковых карточек продавцу.
Внедрение и эксплуатация SET осуществляется много лет в нескольких десятках проектов во всем мире. Например, первая транзакция SET была проведена 30-го декабря 1996 в PBS (Датский банк) в совместном проекте IBM и MasterCard. Аналогичная работа проведена в 1997 г. в крупнейшем японском банке Fuji Bank, где пришлось адаптировать протокол к специфическому японскому законодательству. За прошедшее время подобные внедренческие проекты позволили отработать функции протокола и соответствующую документацию.
и т.д.................