Лекция №12. Безопасность электронной коммерции
Цель лекций: ознакомить студентов с классификацией возможных типов
мошенничества в электронной коммерции и основными протоколами
обеспечивающими безопасность в данной области.
Широкое внедрение интернета не могло не отразиться на развитии
электронного бизнеса.
Одним из видов электронного бизнеса считается электронная
коммерция. В соответствии с документами ООН, бизнес признается
электронным, если хотя бы две его составляющие из четырех (производство
товара или услуги, маркетинг, доставка и расчеты) осуществляются с
помощью Интернета. Поэтому в такой интерпретации обычно полагают, что
покупка относится к электронной коммерции, если, как минимум, маркетинг
(организация спроса) и расчеты производятся средствами Интернета. Более
узкая трактовка понятия «электронная коммерция» характеризует системы
безналичных расчетов на основе пластиковых карт.
Ключевым вопросом для внедрения электронной коммерции является
безопасность.
Высокий уровень мошенничества в интернете является сдерживающим
фактором развития электронной коммерции. Покупатели, торговля и банки
боятся пользоваться этой технологией из-за опасности понести финансовые
потери. Люди главным образом используют интернет в качестве
информационного канала для получения интересующей их информации.
Лишь немногим более 2% всех поисков по каталогам и БД в интернете
заканчиваются покупками.
Приведем классификацию возможных типов мошенничества в
электронной коммерции:
-
транзакции (операции безналичных расчетов), выполненные
мошенниками с использованием правильных реквизитов карточки (номер
карточки, срок ее действия и т.п.);
- получение данных о клиенте через взлом БД торговых предприятий
или путем перехвата сообщений покупателя, содержащих его персональные
данные;
- магазины-бабочки, возникающие, как правило, на непродолжительное
время, для того, чтобы исчезнуть после получения от покупателей средств за
несуществующие услуги или товары;
- увеличение стоимости товара по отношению к предлагавшейся
покупателю цене или повтор списаний со счета клиента;
- магазины или торговые агенты, презназначенные для сбора
информации о реквизитах карт и других персональных данных покупателя.
Протокол SSL.
Протокол SSL (Secure Socket Layer) был разработан американской
компанией Netscape Communications. SSL обеспечивает защиту данных между
сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и
транспортными протоколами (TCP/IP) с помощью современной криптографии
41
в соединениях «точка-точка». Ранее можно было без особых технических
ухищрений просматривать данные, которыми обмениваются между собой
клиенты и серверы. Был даже придуман специальный термин для этого –
«sniffer».
Протокол SSL предназначен для решения традиционных задач
обеспечения защиты информационного взаимодействия:
- пользователь и сервер должны быть взаимно уверены, что они
обмениваются информацией не с подставными абонентами, а именно с теми,
которые нужны, не ограничиваясь паролевой защитой;
- после установления соединения между сервером и клиентом весь
информационный поток между ними должен быть защищен от
несанкционированного доступа;
- при обмене информацией стороны должны быть уверены в отсутствии
случайных или умышленных искажений при ее передаче.
SSL на сегодня является наиболее распространенным протоколом,
используемым при построении систем электронной коммерции. С его
помощью осуществляется 99% всех транзакций. Широкое распространение
SSL объясняется в первую очередь тем, что он является составной частью
всех браузеров и Web-серверов. Другое достоинство SSL - простота протокола
и высокая скорость реализации транзакции.
В то же время, SSL обладает рядом существенных недостатков:
- покупатель не аутентифицируется;
- продавец аутентифицируется только по URL;
- цифровая подпись используется только при аутентификации в начале
установления SSL-сессии. Для доказательства проведения транзакции при
возникновении конфликтных ситуаций требуется либо хранить весь диалог
покупателя и продавца, что дорого с точки зрения ресурсов памяти и на
практике не используется, либо хранить бумажные копии, подтверждающие
получение товара покупателем;
- не обеспечивается конфиденциальность данных о реквизитах карты
для продавца.
Протокол SET.
Другой протокол безопасных транзакций в Интернете - SET (Security
Electronics Transaction). SET основан на использовании цифровых
сертификатов по стандарту Х.509.
Протокол выполнения защищенных транзакций SET является
стандартом, разработанным компаниями MasterCard и VISA при значительном
участии IBM, GlobeSet и других партнеров. Он позволяет покупателям
приобретать товары через Интернет, используя самый защищенный на
настоящее время механизм выполнения платежей. SET является открытым
стандартным многосторонним протоколом для проведения безопасных
платежей с использованием пластиковых карточек в Интернет. SET
обеспечивает кросс-аутентификацию счета держателя карточки, продавца и
банка продавца для проверки готовности оплаты товара, целостность и
секретность сообщения, шифрование ценных и уязвимых данных. Поэтому
SET можно назвать стандартной технологией или системой протоколов
42
выполнения безопасных платежей с использованием пластиковых карточек
через Интернет.
SET позволяет потребителям и продавцам подтвердить подлинность
всех участников сделки, происходящей в Интернет, с помощью криптографии,
применяя, в том числе, и цифровые сертификаты.
Объем потенциальных продаж в области электронной коммерции
ограничивается
достижением
необходимого
уровня
безопасности
информации, который обеспечивают вместе покупатели, продавцы и
финансовые институты, обеспокоенные вопросами обеспечения безопасности
платежей через Интернет. Как упоминалось ранее, базовыми задачами защиты
информации являются обеспечение ее доступности, конфиденциальности,
целостности и юридической значимости. SET, в отличии от других
протоколов, позволяет решать указанные задачи защиты информации.
Достарыңызбен бөлісу: |