Основы построения и технологии локальных компьютерных сетей
Лекция №12. Безопасность электронной коммерции
жүктеу/скачать 0,74 Mb. Pdf көрінісі
|
| Лекция №12. Безопасность электронной коммерции
Цель лекций: ознакомить студентов с классификацией возможных типов мошенничества в электронной коммерции и основными протоколами обеспечивающими безопасность в данной области.
Широкое внедрение интернета не могло не отразиться на развитии электронного бизнеса. Одним из видов электронного бизнеса считается электронная коммерция. В соответствии с документами ООН, бизнес признается электронным, если хотя бы две его составляющие из четырех (производство товара или услуги, маркетинг, доставка и расчеты) осуществляются с помощью Интернета. Поэтому в такой интерпретации обычно полагают, что покупка относится к электронной коммерции, если, как минимум, маркетинг (организация спроса) и расчеты производятся средствами Интернета. Более узкая трактовка понятия «электронная коммерция» характеризует системы безналичных расчетов на основе пластиковых карт. Ключевым вопросом для внедрения электронной коммерции является безопасность. Высокий уровень мошенничества в интернете является сдерживающим фактором развития электронной коммерции. Покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери. Люди главным образом используют интернет в качестве информационного канала для получения интересующей их информации. Лишь немногим более 2% всех поисков по каталогам и БД в интернете заканчиваются покупками. Приведем классификацию возможных типов мошенничества в электронной коммерции: - транзакции (операции безналичных расчетов), выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т.п.); - получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные; - магазины-бабочки, возникающие, как правило, на непродолжительное время, для того, чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары; - увеличение стоимости товара по отношению к предлагавшейся покупателю цене или повтор списаний со счета клиента; - магазины или торговые агенты, презназначенные для сбора информации о реквизитах карт и других персональных данных покупателя. Протокол SSL. Протокол SSL (Secure Socket Layer) был разработан американской компанией Netscape Communications. SSL обеспечивает защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии
41
в соединениях «точка-точка». Ранее можно было без особых технических ухищрений просматривать данные, которыми обмениваются между собой клиенты и серверы. Был даже придуман специальный термин для этого – «sniffer». Протокол SSL предназначен для решения традиционных задач обеспечения защиты информационного взаимодействия: - пользователь и сервер должны быть взаимно уверены, что они обмениваются информацией не с подставными абонентами, а именно с теми, которые нужны, не ограничиваясь паролевой защитой; - после установления соединения между сервером и клиентом весь информационный поток между ними должен быть защищен от несанкционированного доступа; - при обмене информацией стороны должны быть уверены в отсутствии случайных или умышленных искажений при ее передаче. SSL на сегодня является наиболее распространенным протоколом, используемым при построении систем электронной коммерции. С его помощью осуществляется 99% всех транзакций. Широкое распространение SSL объясняется в первую очередь тем, что он является составной частью всех браузеров и Web-серверов. Другое достоинство SSL - простота протокола и высокая скорость реализации транзакции. В то же время, SSL обладает рядом существенных недостатков: - покупатель не аутентифицируется; - продавец аутентифицируется только по URL; - цифровая подпись используется только при аутентификации в начале установления SSL-сессии. Для доказательства проведения транзакции при возникновении конфликтных ситуаций требуется либо хранить весь диалог покупателя и продавца, что дорого с точки зрения ресурсов памяти и на практике не используется, либо хранить бумажные копии, подтверждающие получение товара покупателем; - не обеспечивается конфиденциальность данных о реквизитах карты для продавца. Протокол SET. Другой протокол безопасных транзакций в Интернете - SET (Security Electronics Transaction). SET основан на использовании цифровых сертификатов по стандарту Х.509. Протокол выполнения защищенных транзакций SET является стандартом, разработанным компаниями MasterCard и VISA при значительном участии IBM, GlobeSet и других партнеров. Он позволяет покупателям приобретать товары через Интернет, используя самый защищенный на настоящее время механизм выполнения платежей. SET является открытым стандартным многосторонним протоколом для проведения безопасных платежей с использованием пластиковых карточек в Интернет. SET обеспечивает кросс-аутентификацию счета держателя карточки, продавца и банка продавца для проверки готовности оплаты товара, целостность и секретность сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать стандартной технологией или системой протоколов
42
выполнения безопасных платежей с использованием пластиковых карточек через Интернет. SET позволяет потребителям и продавцам подтвердить подлинность всех участников сделки, происходящей в Интернет, с помощью криптографии, применяя, в том числе, и цифровые сертификаты. Объем потенциальных продаж в области электронной коммерции ограничивается достижением необходимого уровня
безопасности информации, который обеспечивают вместе покупатели, продавцы и финансовые институты, обеспокоенные вопросами обеспечения безопасности платежей через Интернет. Как упоминалось ранее, базовыми задачами защиты информации являются обеспечение ее доступности, конфиденциальности, целостности и юридической значимости. SET, в отличии от других протоколов, позволяет решать указанные задачи защиты информации.
жүктеу/скачать 0,74 Mb. Достарыңызбен бөлісу:
|