1.Современные угрозы для E-commerce.
Всемирная сеть Интернет охватила все отрасли деятельности человека. Огромными темпами развивается сектор бизнес-услуг, предоставляемых посредством Интернета. Среди развивающихся направлений важную роль играют системы Интернет-торговли Business to Consumer. Этот сектор бизнеса связан с предоставлением услуг или продукции конечному потребителю. Основной тип данных систем – электронный магазин – автоматизированная система электронной торговли в сети Интернет.
Система электронной торговли представляет собой характерный пример распределенной вычислительной системы. В ней несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Мы видим, что оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания.
Кроме информационных атак и угроз, в электронной коммерции существуют еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами в экономической деятельности фирмы в целом. Поэтому, нужно отметить, что только технических средств для решения задачи построения комплексной системы защиты недостаточно. Необходим целый комплекс организационных, законодательных, физических и технических мер.
Что касается законодательства, остановимся на одном выступлении.
Н.Н. Соловьев, зам. Председателя Правления АКБ РОСБАНК (г. Москва), в своем выступлении на IV Научно-практической конференции «Право и Интернет: теория и практика» на тему: «О рисках электронной коммерции. Законодательное регулирование» отмечает, что регулирование отрасли электронного информационного обмена, защиты информации в электронных системах ее обработки осуществляется незначительным числом законов. К их числу можно отнести Гражданский кодекс, неоднозначно трактуемый пресловутый Указ президента РФ №334 от 03 апреля 1995 г., Закон №24-ФЗ от 20 февраля 1995 г. "Об информации, информатизации и защите информации", зарегистрированный Минюстом приказ ФАПСИ № 152 от 13 июня 2001 г. Следует отметить также последнюю редакцию Закона №128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" с внесенными в него дополнениями в соответствии с Законом №28-ФЗ от 13 марта 2002 года и Закон №1-ФЗ от 10 января 2002 г. "Об электронной цифровой подписи". Ответственность за неисполнение отдельных положений законодательства определена во вступившем в силу с 1 июля этого года "Кодексе Российской федерации об административных правонарушениях" №195-ФЗ, принятом 30 декабря 2001 г.
Так в чем же причина торможения роста электронной коммерции? На наш взгляд, она кроется в недостатках законодательного регулирования и, как следствие, в рисках, обусловленных проблемами обеспечения необходимого уровня безопасности.
Впрочем, существуют и иные - это, может быть, и необходимость лицензионного оформления деятельности для конечных потребителей технологий, а также необходимость приобретения сертифицированных средств защиты информации и ряд других. С другой стороны нужно обратить внимание, что компьютерные технологии очень молоды, но при этом развиваются стремительными темпами. И очень сложно успеть продумать все тонкости защиты и реализовать их должным образом.
Всем специалистам, постоянно работающим в сфере электронной торговли хорошо известно понятие ЭЦП. Аутентификация электронного документа осуществляется посредством проверки электронно-цифровой подписи (ЭЦП). При проверке ЭЦП файла проверяется, применялся ли при выработке данной цифровой подписи конкретный ключ, принадлежащий отправителю документа, и не претерпел ли файл изменений в процессе пересылки адресату. Если программа проверки подписи формирует запись “ЭЦП верна”, то файл “аутентифицирован”. При аутентификации файла не имеет значения, какую полезную информацию он содержит и содержит ли вообще. Для последующей идентификации файла – документа требуется механизм перевода бинарной информации, составляющей файл, в читаемую человеком форму и определенным образом трактующего содержимое данной формы. Очевидно, что только при наличии подобного механизма может быть обеспечена доказательная сила электронного документа. Закон "Об электронной цифровой подписи" является основанием доказательной силы цифровой подписи.
Доказательная же сила электронных документов зиждется на фиксации языка их прочтения или, иными словами, механизма идентификации цифр - нулей и единиц, образующих документ. Зачастую язык идентификации электронных документов в договорных отношениях не регламентирован. Поэтому, при отсутствии каких-либо правил, норм и требований, ситуация необременительного хаоса в этом вопросе порождает дополнительные риски, являющиеся принципиальным тормозом развития технологий электронной коммерции.
Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие - адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов - технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности.
Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак - оценка подозрительных действий, которые происходят в корпоративной сети.
Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы e-Commerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных. Рассмотрим, какие угрозы подстерегают фирму на разных этапах осуществления покупки через Интернет (см. табл. 1).
Таблица №1
Угрозы на различных этапах совершения покупки через Интернет
| Действия заказчика или компании | Возможная угроза |
| Заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ. | Подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Проводится путем замены записей в таблицах DNS-серверов или в таблицах маршрутизаторов. (Особенно это опасно, когда заказчик вводит номер своей кредитной карты). |
| Заказ заносится в базу данных заказов магазина. | Проникновение в базу данных и изменение процедур обработки заказов позволяет незаконно манипулировать с базой данных. |
| Проверяется доступность продукта или услуги через центральную базу данных. Если продукт не доступен, то заказчик получает об этом уведомление. В зависимости от типа магазина, запрос на продукт может быть перенаправлен на другой склад. | Реализация атак типа "отказ в обслуживании" и нарушение функционирования или выведение из строя узла электронной коммерции. |
| В случае наличия продукта или услуги заказчик подтверждает оплату и заказ помещается в базу данных.* | Создание ложных заказов со стороны сотрудников электронного магазина. |
| Электронный магазин посылает заказчику подтверждение заказа. | Перехват данных, передаваемых в системе электронной коммерции. |
| Клиент в режиме on-line оплачивает заказ. | Особую опасность представляет собой перехват информации о кредитной карте заказчика. |
| Товар доставляется заказчику. | Мошенничество со стороны сотрудников электронного магазина. |
___________________________________________
* в большинстве случаев существует единая база данных для заказов и проверки наличия товаров.
На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри».
Каковы же последствия в случае осуществления этих угроз?
В результате всех этих угроз компания теряет:
a) доверие клиентов; б) деньги от несовершенных сделок.
В некоторых случаях этой компании можно предъявить иск за раскрытие номеров кредитных карт. В случае реализации атак типа "отказ в обслуживании" на восстановление работоспособности тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого программного и аппаратного обеспечения. Это связано с незащищенностью версии протокола IP (v4). Решение проблемы - использование криптографических средств или переход на шестую версию протокола IP (v6).
Помимо всего сказанного, может произойти:
1) нарушение доступности узлов электронной коммерции;
2) неправильная настройка программного и аппаратного обеспечения электронного магазина.
2. Арсенал средств защиты в E-commerce.
Все перечисленные ранее угрозы не страшны, если против них существуют действенные средства защиты. Какой же арсенал средств сегодня существует и почему все же и его не всегда достаточно? Для ответа на этот вопрос нужно рассмотреть все четыре уровня, имеющиеся у любой информационной системы.
1 и 2-й уровни
(нижние) – уровень операционной системы и уровень сети.
Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware.
Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.
Эти уровни важны особенно. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Это очень опасно, нужны такие средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа "отказ в обслуживании", а также атаки на операционную систему.
В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС - встроенные средства разграничения доступа. Одним из примеров средств обнаружения атак является система RealSecure, разработанная компанией Internet Security Systems, Inc.
Следующий уровень – третий уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer.
Четвертый уровень
системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Примером элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access.
Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности.
Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т.ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях - Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности eCommerce. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг. Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.
Из истории создания SAFEsuite…
Разработанный одним из экспертов по компьютерным системам защиты Кристофером Клаусом, этот пакет должен выявлять "дыры" в системах безопасности Web-серверов, брандмауэров, серверов и рабочих станций на базе ОС Unix, Windows 95 и NT и сообщать о них пользователю. Эти "дыры" SAFEsuite обнаруживает путем имитации всех известных способов, используемых "взломщиками" для проникновения в сеть. Отличительной особенностью пакета SAFEsuite, состоящего из программ Intranet Scanner, Firewall Scanner, Web Security Scanner и System Security Scanner, является его ориентация исключительно на оценку состояния компьютерных систем защиты. В отличие от известных программ, например SATAN, которая тестирует сеть только "снаружи", или COBS, проверяющей сеть только "внутри", пакет SAFEsuite призван объединить все функции этих программ в единое целое.
Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства SecretNet, разработанные предприятием "Информзащита". Нельзя забывать также и о шифровании и ЭЦП (электронной цифровой подписи). Степень защищенности напрямую зависит от алгоритма шифрования и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислений надо провести для шифрования и дешифрования данных.
Основные виды алгоритмов шифрования – симметричные и асимметричные. Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи.
Приведу обзор некоторых алгоритмов симметричного шифрования.
1) DES (Data Encryption Standard).
Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа.
2) Triple DES.
Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES. Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии. Skipjack.
Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла). IDEA.
Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций. RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам.
Электронная цифровая подпись
(ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности. При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый - для дешифрования.
Алгоритм применения ЭЦП состоит из ряда операций:
1) Генерируется пара ключей - открытый и закрытый.
2) Открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи).
3) Отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи.
4) Получатель дешифрует сообщение открытым ключом отправителя.
3. Современные подходы применения мер информационной безопасности в сфере электронной коммерции.
Принципиально новый подход к осуществлению электронных платежей сегодня заключается в немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием протоколов SSL (Seсure Sockets Layer) и SET (Secure Electronic Transaction). Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, MasterCard и др., - шифрование исключительно финансовой информации. Поскольку сеть Интернет рассчитана на одновременную работу миллионов пользователей, то в коммерческих приложениях "в чистом виде" невозможно использовать ни традиционные системы, основанные исключительно на "закрытых ключах" (DES, ГОСТ 28147-89 и др.), ни методы шифрования только на "открытых ключах", в том числе и российский стандарт электронной подписи.
Применение одних закрытых ключей невозможно в связи с тем, что раскрытие (перехват) даже одного ключа сразу же приведет к "взлому" всей системы защиты. Поэтому при реализации электронной коммерции в Интернет вместе с системами шифрования с помощью закрытых ключей используются системы шифрования с помощью открытых ключей. Это связано с тем, что шифрование только открытыми ключами требует больших затрат вычислительных ресурсов. Поэтому лучше всего шифровать информацию, передаваемую по сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным с помощью открытого ключа.
Такая система шифрования будет работать и быстрее, и надежнее.
В приложениях, основанных на использовании алгоритма SET, покупатель, не расшифровывая платежных реквизитов продавца, расшифровывает все данные заказа, а банк, не имея данных о структуре заказа, имеет доступ к платежным реквизитам и продавца и покупателя. Это достигается благодаря использованию двойной (слепой) электронной подписи, и в данной ситуации банку посылается одна часть сообщения, а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками. При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель обладают общим ключом, который они используют для шифрования/дешифрования информации. В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель имеют по два ключа: один - "открытый", который может быть известен любой третьей стороне, а другой - "частный", всегда известный только одной стороне - его владельцу. При этом по одному ключу невозможно восстановить другой.
Каков вывод на сегодня? Как защитить сделку от несанкционированного доступа?
Для защиты сделок в Интернет в настоящее время организованы специальные центры сертификации. Они следят за тем, чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время. Чтобы его получить, в центр сертификации необходимо предоставить документ, удостоверяющий личность участников сделки (для юридических лиц таким документом является свидетельство о регистрации). Каждый участник, имея "на руках" открытый ключ центра сертификации, может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки.
С самого начала внедрения электронной коммерции было очевидно, что методы идентификации владельца карты, применяемых в обычных транзакциях, являются неудовлетворительными для транзакций электронной коммерции. Действительно, при совершении операции покупки в физическом магазине продавец имеет право рассмотреть предъявляемую для расчета пластиковую карту на предмет ее соответствия требованиям платежным системам (в частности проверить наличие голограммы, специальных секретных символов, сверить подписи на панели и торговом чеке и т. п.). Кроме того, продавец может потребовать от покупателя документ, удостоверяющий его личность. Все это делает мошенничество по поддельной карте достаточно дорогим предприятием.
В случае транзакции в электронной коммерции все, что требуется от мошенника - знание реквизитов карты. Затраты, связанные с изготовлением поддельной физической карты, в этом случае не требуется. В мире пластиковых карт с магнитной полосой самым надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. PIN-код применяется всегда при проведении транзакции повышенного риска, например при выдаче владельцу карты наличных в банкоматах. Выдача наличных в банкоматах происходит без присутствия представителя обслуживающего банка (ситуация похожа на транзакцию электронной коммерции). Поэтому обычных реквизитов карты для защиты операции "снятия наличных в банкомате" недостаточно и используется секретная дополнительная информация - PIN-код. Владельцы карт, эмитенты которых держат свою базу данных карточек на хосте STB CARD, могут получить дополнительный PIN-код, называемый PIN2. Этот код представляет собой последовательность из 16 шестнадцатеричных цифр, которая распечатывается в PIN-конверте, передаваемом владельцу карты, и вычисляется эмитентом с помощью симметричного алгоритма шифрования, примененного к номеру карты и использующего секретный ключ, известный только эмитенту карты.
Возвращаясь к схеме STB CARD, отметим, что, конечно же, в заполненной клиентом форме PIN2 не содержится, а в действительности все выглядит следующим образом: торговая точка (точнее, сервер Assist), определив, что имеет дело с картой банка STB CARD, передает владельцу карты форму, содержащую подписанный javа-апплет, реализующий некоторый симметричный алгоритм шифрования. При этом PIN2 играет роль секретного ключа этого алгоритма шифрования, а шифруемые данные получаются в результате применения хэш-функции к номеру карты, сумме и дате транзакции, а также случайному числу Nn генерируемому торговой точкой. Таким образом, в заполненной владельцем карты форме присутствует только результат шифрования перечисленных выше данных о транзакции на ключе PIN2.
Таким образом, технология проверки PIN-кода, принятая в системе STB CARD, в действительности обеспечивает не только динамическую аутентификацию клиента, но еще и гарантирует "сквозную" целостность некоторых данных о транзакции (сумма транзакции, номер карты). Под "сквозной" целостностью здесь понимается защита от модификации данных на всем протяжении от их передачи от клиента до банка-эмитента. А как же другие карты? В других системах нет пока такой высокой степени защиты. Придется держателям других карт держать в строжайшей тайне свой PIN-код и стараться не терять карту. До тех пор, пока их система не будет должным способом защищена от мошенничества.
Из всего вышесказанного видно, что работа по проведению защитных мероприятий ведется, но сложности еще остаются. Эта деятельность предполагает создание большого числа все более сложных алгоритмов шифрования, специальных программ для перехвата и нейтрализации атак. Специалисты в этой области, как в нашей стране, так и за рубежом много полезного уже осуществили в сфере разработок новых программных средств для «отслеживания» и «улавливания» атак, чего нельзя не заметить. Однако у систем электронной коммерции всё еще остаются много неустраненных уязвимостей. Поэтому их необходимо тщательно изучать и стараться быстрее устранять. От этого зависит как-никак объем продаж, а значит, и доходность данного сектора коммерции.
Литература :
1. Д.В. Кривопалов. Безопасность электронной коммерции. http://www.klerk.ru/soft/all/?6795
2. Соловьев Н.Н. О рисках электронной коммерции. Законодательное регулирование. Доклад на IV Научно-практической конференции «Право и Интернет: теория и практика», 2004 г.
3. Х. М. Дейтел, П. Дж. Дейтел, Т. Р. Нието "Как программировать для Internet и WWW"
4. А.А. Теренин.ИНФОРМАЦИОННЫЕ УЯЗВИМОСТИ ИНТЕРНЕТ-ПРОЕКТОВ ЭЛЕКТРОННОЙ ТОРГОВЛИ. http://www.juragent.ru/publ/zi/uyaz_e_com.htm
5. Кадощук И. Защищенная открытость. Сетевой журнал №9.2000.
6. В. Горшков, А. Соловьев Электронная коммерция и национальная безопасность.Защита информации. Конфидент № 6, 2003
7. Б.И. Скородумов. Стандарты для безопасности электронной коммерции в сети Интернет.http://www.bre.ru/security/21627.html
8. А. Баутов. Эффективность защиты информации. http://www.bre.ru/security/19165.html
9. Березин А.С. Информационная безопасность и интересы бизнеса. http://www.bre.ru/security/19565.html
10. Столяров Н. В.Организация системы защиты информации в западной Европе. http://www.security.meganet.md
11. Деднев М. А., Дыльнов Д. В., Иванов М. А.Защита информации в банковском деле и электронном бизнесе.Серия: СКБ - Специалисту по компьютерной безопасности. 2004 г.
12. С.Потапкин. Безопасность электронных платежей. http://www.ifin.ru
13. А.Друк. Электронные деньги и безопасность http://www.emoney.ru
14. Дмитрий Тимофеев. SAFEsuite оценивает защищенность сети. http://www.osp.ru/nets/1997/02/142218/
15. Е.Н. Тищенко, О.А. Строкачева. Проблематика оценки защищенности информационных ресурсов на примере систем электронной коммерции. 2007 г.
16. Д. Никсов, П.Рудель. Cравнение сетевых сканеров безопасности. http://av5.com/journals-magazines-online/1/25/166
17. И. Р. Конеев, А. В. Беляев. Защита данных. Криптография.
http://www.winix.ru/informatsionnaya-bezopasnost/kri...
18. Пит Лошин. Обнаружение атак. http://www.osp.ru/cw/2001/17/40355/
______________________________
© Нельзина Ольга Геннадьевна
В статье рассмотрена защита систем электронной коммерции, основные уязвимости, угрозы и методы защиты.
- Сущность электронной коммерции и особенности ее развития в России
- Современный рынок Интернет-торговли (на примере сегмента автомобильных товаров)
- Совершенствование формирования фонда капитального ремонта в многоквартирных домах
- Нормативно-правовое регулирование вопросов оценки качества предоставляемых государственных (муниципальных) услуг в России
Проблем и вопросов в российском секторе электронной коммерции пока что больше, чем ответов и готовых схем и решений, работающих на практике. Можно сказать, что электронная коммерция в России описывается и выявляется через свою проблематичность, тогда как на Западе, в частности в США, описание идет в контексте опыта и достижений.
Система электронной торговли – это комплексная информационно-расчетная система, основанная на технологиях информационной безопасности и сертифицированных организационных, программных и технических решениях, которые обеспечивают взаимодействие участников электронных сделок на всех этапах торгово-закупочной и другой коммерческой деятельности.
Электронная торговля – это торговля через сеть помощи компьютеров покупателя и продавца товара, предметом электронной торговли может быть услуга, недвижимость, банковский продукт и т.п. Электронная торговля создает новую форму организации торговых предприятий – виртуальные магазины – и постоянно под воздействием конкуренции предлагает новые товары и услуги для реализации в виртуальном магазине.
Электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания.
Кроме информационных атак и угроз, в электронной коммерции существуют еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами в экономической деятельности фирмы в целом. Поэтому для решения задачи построения комплексной системы защиты необходим целый комплекс организационных, законодательных, физических и технических мер.
Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает, появляются новые неучтенные угрозы и уязвимости системы. Адаптивная безопасность сети позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Она состоит из трех основных элементов - технологии анализа защищенности, технологии обнаружения атак и технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, наращивая число проверок и исследуя все ее уровни.
Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы e-Commerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных. К примеру, заказчик выбирает продукт или услугу через сервер электронного магазина и оформляет заказ - возможна подмена страницы Web-сервера электронного магазина. Основной способ реализации - переадресация запросов пользователя на другой сервер. Особенно опасно если клиент в режиме on-line оплачивает заказ - особую опасность представляет собой перехват информации о кредитной карте заказчика.
На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри».
Для каждого уровня, имеющегося у любой информационной системы, необходима своя защита.
Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения.
Уровень сети – уровень, отвечающий за взаимодействие узлов информационной системы.
Эти уровни важны особенно. Очень опасно если злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Необходимы средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа "отказ в обслуживании", а также атаки на операционную систему.
В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС - встроенные средства разграничения доступа.
Уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Система защиты должна эффективно работать на всех уровнях, иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности: эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т.ч. и удаленных на значительные расстояния.
Технологией, обеспечивающей безопасность электронной торговли, является криптография. Криптография – это наука о методах, алгоритмах, программных и аппаратных средствах преобразования информации в целях сокрытия ее содержания, предотвращения видоизменения или несанкционированного использования. Современные криптографические алгоритмы в совокупности с мощными персональными компьютерами позволяют реализовать надежные методы шифрования, аутентификации и проверки целостности информации.
Шифрование или кодирование информации с целью ее защиты от несанкционированного прочтения является главной задачей криптографии. Шифрование обеспечивает конфиденциальность информации, используется в электронной коммерции для сохранения в тайне содержание передаваемого сообщения.
В основе шифрования лежат два понятия: алгоритм и ключ. Криптографический алгоритм – это математическая процедура, с помощью которой открытый текст превращается в зашифрованный. Сам криптографический алгоритм не является тайным и известен всем участникам процесса, тайным является некий параметр алгоритма, называемый ключом.
Проблему аутентификации позволяет решить криптография с открытым ключом – асимметричное шифрование. В этом случае используют пары ключей: открытый и личный. Открытый распространяется среди всех корреспондентов, личный известен только владельцу. Послания, зашифрованные любым из ключей, могут быть расшифрованы только другим ключом из этой же пары.
В основе практически всех шифровальных систем лежат два криптографических алгоритма: DES (Data Encryption Standard), разработанный IBM еще вначале 70-х годов прошлого века, и являющийся мировым стандартом для шифрования с закрытым ключом и RSA (названный по фамилиям авторов - Rivest, Shamur, Adleman), представленный в конце 70-х, ставший стандартом для шифрования с открытом ключом, особенно популярным в банковских технологиях.
Электронная цифровая подпись - набор символов, вырабатываемый средствами электронной цифровой подписи и являющийся неотъемлемой частью электронного документа. Таким образом, ЭЦП является аналогом собственноручной подписи физического лица, представленным как последовательность символов, полученная в результате криптографического преобразования электронных данных с использованием закрытого ключа ЭЦП, позволяющая пользователю открытого ключа установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП.
Несомненно, у электронной торговли в России есть будущее. Более того, у современного бизнеса без активного использования Интернет будущего просто нет.
Список литературы
- Горшков, В., Соловьев, А. Электронная коммерция и национальная безопасность.Защита информации [Текст] / В. Горшков, А. Соловьев // Конфидент № 6.- 2003.
- Зубаирова Л.А., Шарафутдинов А.Г. Защита информации и информационных систем [Текст] / Л. А. Зубаирова, А. Г..- 2016. - Т. 1. № 46. С. 12-15.
- Муратова, В.Л., Шарафутдинов, А.Г. Информационная безопасность в сфере экономики. [Текст] / В. Л. Муратова, А. Г. Шарафутдинов // Экономика и социум. - 2015.- № 6-1(19). С. 916-918.
- Шарафутдинов, А.Г Информационные технологии как обыденность функционирования современных компаний // Информационные технологии в жизни современного человека. Материалы IV международной научно-практической конференции. Ответственный редактор: Зарайский А. А.,- 2014. - С. 90-92.
Введение
Термин «электронная коммерция» объединяет в себе множество различных технологий, в числе которых – EDI (Electronic Data Interchange – электронный обмен данными), электронная почта, Интернет, интранет (обмен информацией внутри компании), экстранет (обмен информацией с внешним миром).
Сферы применения системы электронной коммерции достаточно разнообразны. Они включают в себя широкий спектр деловых операций (бизнес-операций) и сделок, в частности:
установление контакта между потенциальным заказчиком и поставщиком;
электронный обмен необходимой информацией;
предпродажную и послепродажную поддержку клиента, купившего товар в электронном магазине (обеспечение подробной информацией о продукте или услуге, передача инструкций по использованию продукта, оперативные ответы на возникающие у покупателя вопросы);
осуществление непосредственно акта продажи товара или услуги;
электронную оплату покупки (с использованием электронного перевода денег, кредитных карточек, электронных денег, электронных чеков);
поставку покупателю продукта, включая как управление доставкой и его отслеживанием для физических товаров, так и непосредственную доставку товаров, которые могут распространяться электронным путем;
создание виртуального предприятия, представляющего собой группу независимых компаний, которые объединяют свои различные виды ресурсов для получения возможностей предоставления продуктов и услуг, недоступных для самостоятельно функционирующих фирм;
реализацию самостоятельных бизнес-процессов (совокупность связанных между собой операций, процедур, с помощью которых реализуется конкретная коммерческая цель деятельности компании в рамках определенной организационной структуры), совместно осуществляемых фирмой-производителем и ее торговыми партнерами.
Не менее разнообразны и сферы деятельности, в рамках которых может осуществляться электронная коммерция. К основным сферам деятельности, где может протекать электронная коммерция, относятся:
электронный маркетинг (Интернет-маркетинг);
финансирование создания электронных магазинов, а также их страхование;
коммерческие операции, включающие в себя заказ, получение товара и оплату;
совместная разработка несколькими компаниями нового продукта или услуги;
организация распределенного совместного производства продукции;
администрирование бизнеса (налоги, таможня, разрешения, концессии и т. д.);
транспортное обслуживание, техника перевозок и способы снабжения;
ведение бухгалтерского учета;
разрешение конфликтных ситуаций и спорных вопросов.
Электронная коммерция может осуществляться на разных уровнях:
национальном;
интернациональном (международном).
Безопасность электронной коммерции.
Безопасность - это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.
Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.
Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.
Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.
Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.
С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений - компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.
Противодействовать компьютерной преступности сложно, что главным образом объясняется:
Новизной и сложностью проблемы;
Сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
Возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;
Трудностями сбора и юридического оформления доказательств компьютерного преступления.
Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты.
К общим принципам обеспечения защиты относятся:
1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты;
2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности;
3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени;
4)принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.
К организационным принципам относят:
1)принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые - «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна;
2)принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована;
3)принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей;
4)принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.
Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.
Принято выделять следующие категории электронной коммерции: бизнес-бизнес, бизнес-потребитель, бизнес-администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации.
Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры.
Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:
Доступность (возможность за приемлемое время получить требуемую услугу);
Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);
Конфиденциальность (защита информации от несанкционированного ознакомления).
Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.
Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.
Основные угрозы информационной безопасности электронной коммерции связаны:
С умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);
Неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);
Воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);
Воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.).
Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией.
При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.
Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции.
Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные.
Прямые убытки могут быть выражены в стоимости:
Восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов;
Ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.;
Возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции - клиентам, пользователям).
Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия.
Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе.
Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты:
Отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности;
Отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.
Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными.
2. Витрина интернет-магазина.
Список литературы
1. Мэйволд Э. Электронная коммерция: требования к безопасности http://www.intuit.ru/department/security/netsec/ Электронный бизнес и безопасность / В.А.Быков.-М.:Радио и связь, 2013.
2. Авдошин С.М., Савельева А.А., Сердюк В.А., Технологии и продукты Microsoft в обеспечении информационной безопасности – электронный ресурсhttp://www.intuit.ru/department/security/mssec/
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
РОССИЙСКИЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ Г.В. ПЛЕХАНОВА
ОМСКИЙ ИНСТИТУТ (ФИЛИАЛ)
Кафедра «Гуманитарные, естественнонаучные и правовые дисциплины »
КОНТРОЛЬНАЯ РАБОТА
по дисциплине «Основы электронной коммерции »
студентки Середа М.А.
5 курса заочной формы обучения
Рецензент: к.т.н., доцент
Захаренков В.В.
Омск -201 4
Информационная безопасность электронной коммерции (ЭК)
Количество пользователей Интернета достигло несколько сот миллионов и появилось новое качество в виде «виртуальной экономики». В ней покупки совершаются через торговые сайты, с использованием новых моделей ведения бизнеса, своей стратегией маркетинга и пр.
Электронная коммерция (ЭК) - это предпринимательская деятельность по продаже товаров через Интернет. Как правило выделяются две формы ЭК:
1. торговля между предприятиями (business to business, B2B);
2. торговля между предприятиями и физическими лицами, т.е. потребителями (business to consumer,B2С).
ЭК породила такие новые понятия как:
· Электронный магазин - витрина и торговые системы, которые используются производителями или дилерами при наличии спроса на товары.
· Электронный каталог - с большим ассортиментом товаров от различных производителей.
· Электронный аукцион - аналог классического аукциона с использованием Интернет-технологий, с характерной привязкой к мультимедийному интерфейсу, каналу доступа в Интернет и показом особенностей товара.
· Электронный универмаг - аналог обычного универмага, где обычные фирмы выставляют свой товар, с эффективным товарным брендом (Гостиный двор, ГУМ и т.д.).
· Виртуальные комъюнити (сообщества), в которых покупатели организуются по группам интересов (клубы болельщиков, ассоциации и т.д.).
Интернет в области ЭК приносит существенные выгоды :
· экономия крупных частных компаний от перевода закупок сырья и комплектующих на Интернет-биржи достигает 25 - 30%;
· участие в аукционе конкурирующих поставщиков со всего мира в реальном масштабе времени приводит к снижению запрограммированных ими за поставку товаров или услуг цен;
· повышение цен за товары или услуги в результате конкуренции покупателей со всего мира;
· экономия за счет сокращения числа необходимых сотрудников и объема бумажного делопроизводства
Доминирующее положение в ЭК в западных странах стал сектор В2В, который к 2007 году по разным оценкам достигнет от 3 до 6 трлн. долларов. Первыми получили преимущества от перевода своего бизнеса в Интернет компании, продающие аппаратно-программные средства и представляющие компьютерные и телекоммуникационные услуги.
Каждый интернет-магазин включает две основных составляющих : электронную витрину и торговую систему .
Электронная витрина содержит на Web-сайте информацию о продаваемых товарах, обеспечивает доступ к базе данных магазина, регистрирует покупателей, работает с электронной «корзиной» покупателя, оформляет заказы, собирает маркетинговую информацию, передает сведения в торговую систему.
Торговая система доставляет товар и оформляет платеж за него. Торговая система - это совокупность магазинов, владельцами которых являются разные фирмы, берущие в аренду место на Web-сервере, который принадлежит отдельной компании.
Технология функционирования интернет-магазина выглядит следующим образом:
1. Покупатель на электронной витрине с каталогом товаров и цен (Web-сайт) выбирает нужный товар и заполняет форму с личными данными (ФИО, почтовый и электронный адреса, предпочитаемый способ доставки и оплаты). Если происходит оплата через Интернет, то особое внимание уделяется информационной безопасности.
2.Передача оформленного товара в торговую систему интернет-магазина,
где происходит комплектация заказа. Торговая система функционирует ручным или автоматизированным способом. Ручная система функционирует по принципу Посылторга, при невозможности приобретения и наладки автоматизированной системы, как правило, при незначительном объеме товаров.
Доставка и оплата товара .
Доставка товара покупателю осуществляется одним из возможных способов:
· курьером магазина в пределах города и окрестностей;
· специализированной курьерской службой (в том числе из-за границы);
· почтой;
· самовывозом;
· по телекоммуникационным сетям доставляется такой специфический
· товар как информация.
Оплата товара может осуществляться следующими способами:
· предварительной или в момент получения товара;
· наличными курьеру или при визите в реальный магазин;
· почтовым переводом;
· банковским переводом;
· наложенным платежом;
· при помощи кредитных карт (VISA, MASTER CARD и др.);
· посредством электронных платежных систем через отдельные коммерческие
· банки (ТЕЛЕБАНК, ASSIST и др.).
В последнее время электронная коммерция или торговля посредством сети Интернет в мире развивается достаточно бурно. Естественно, что этот процесс осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.
Коммерческая деятельность в электронных сетях снимает некоторые физические ограничения. Компании, подключая свои компьютерные системы к Интернет, способны предоставить клиентам поддержку 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места.
Однако у этой «медали» есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.
Объем мирового оборота электронной коммерции через Интернет в 2006 году, по прогнозам компании Forrester Tech., может составить от 1,8 до,2 трлн. долл. Столь широкий диапазон прогноза определяется проблемой обеспечения экономической безопасности электронной коммерции. Если уровень безопасности сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность системы электронной коммерции является сдерживающим фактором развития электронного бизнеса.
Решение проблемы обеспечения экономической безопасности электронной коммерции в первую очередь связано с решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.
Интеграция бизнес-процессов в среду Интернет приводит к кардинальному изменению положения с обеспечением безопасности. Порождение прав и ответственности на основании электронного документа требует всесторонней защиты от всей совокупности угроз, как отправителя документа, так и его получателя. К сожалению, руководители предприятий электронной коммерции в должной степени осознают серьезность информационных угроз и важность организации защиты своих ресурсов только после того, как последние подвергнуться информационным атакам. Как видно, все перечисленные препятствия относятся к сфере информационной безопасности.
Среди основных требований к проведению коммерческих операций - конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны.
При достижении безопасности информации обеспечение ее доступности, конфиденциальности, целостности и юридической значимости являются базовыми задачами . Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации.
Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.
Если первые четыре требования можно обеспечить техническими средствами, то выполнение двух последних зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.
В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронного бизнеса , которые включают:
· защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота;
· обеспечение долгосрочного хранения информации в электронном виде;
· обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.
Существует несколько видов угроз электронной коммерции:
· Проникновение в систему извне.
· Несанкционированный доступ внутри компании.
· Преднамеренный перехват и чтение информации.
· Преднамеренное нарушение данных или сетей.
· Неправильная (с мошенническими целями) идентификация пользователя.
· Взлом программно-аппаратной защиты.
· Несанкционированный доступ пользователя из одной сети в другую.
· Вирусные атаки.
· Отказ в обслуживании.
· Финансовое мошенничество.
Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование - кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.
Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом - это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.
Какие угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе :
· подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;
· создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);
· перехват данных, передаваемых по сетям электронной коммерции;
· проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;
· реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции. В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.
Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.
На первый взгляд, может показаться, что каждый подобный инцидент - не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак. Например, потоки запросов на сервер Buy превысили u1089 средние показатели в 24 раза, а предельные - в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.
Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.
С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.За рубежом решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум - Internet Security Task Force (ISTF) - общественная организация, состоящая из представителей и экспертов компаний- поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.
Консорциум ISTF выделяет двенадцать областей информационной безопасности , на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса:
· механизм объективного подтверждения идентифицирующей информации
· право на персональную, частную информацию;
· определение событий безопасности;
· защита корпоративного периметра;
· определение атак;
· контроль потенциально u1086 опасного содержимого;
· контроль доступа;
· администрирование;
· реакция на события.
Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.
В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить - каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.
Безусловно, обеспечением информационной безопасности должны заниматься специалисты в данной области, но руководители органов государственной власти, предприятий и учреждений независимо от форм собственности, отвечающие за экономическую безопасность тех или иных хозяйственных субъектов, должны постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены основные функциональные компоненты организации комплексной системы информационной безопасности:
· коммуникационные протоколы;
· средства криптографии;
· средства контроля доступа к рабочим местам из сетей общего пользования;
· антивирусные комплексы;
· программы обнаружения атак и аудита;
· средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.
В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.
Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью - непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.
В Интернет популярны протоколы безопасной передачи данных, а именно SSL, SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.
Напомним, что Интернет создавалась несколько десятилетий назад для научного обмена информацией не имеющей большой стоимости. К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с передачей, обработкой и хранением конфиденциальной информации. Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров таких производителей, как Microsoft и Netscape Communications, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.
Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным - например, таким, как номера кредитных карт. Шифрование данных На бизнес-сайте обрабатывается чувствительная информация (например, номера кредитных карточек потребителей). Передача такой информации по Интернет без какой-либо защиты может привести к непоправимым последствиям. Любой может подслушать передачу и получить таким образом доступ к конфиденциальной информации. Поэтому данные необходимо шифровать и передавать по защищенному каналу. Для реализации защищенной передачи данных используют протокол SecureSockets Layer (SSL). Для реализации этой функциональности необходимо приобрести цифровой сертификат и установить его на сервер. За цифровым сертификатом можно обратиться в один из органов сертификации. К общеизвестным коммерческим сертификационным организациям относятся: VerySign, CyberTrust, GTE. SSL представляет собой схему для таких протоколов, как HTTP (называемого HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для передачи данных:
· данные зашифрованы;
· между сервером-источником и сервером назначения установлено
· защищенное соединение;
· активирована аутентификация сервера.
Когда пользователь отправляет номер кредитной карточки с применением протокола SSL, данные немедленно шифруются, так что хакер не может видеть их содержание. SSL не зависит от сетевого протокола. Программное обеспечение сервера Netscape обеспечивает также аутентификацию - сертификаты и цифровую подпись, удостоверяя личность пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего маршрута. Аутентификация подразумевает подтверждение личности пользователя и цифровой подписи для проверки подлинности документов, участвующих в обмене информацией и финансовых операциях. Цифровая подпись представляет собой данные, которые могут быть приложены к документу во избежание подлога.
Выявление вторжений
Системы выявления вторжений (Intrusion Detection Systems, IDS) могут идентифицировать схемы или следы атак, генерировать аварийные сигналы для предупреждения операторов и побуждать маршрутизаторы прерывать соединение с источниками незаконного вторжения. Эти системы могут также предотвращать попытки вызвать отказ от обслуживания.
Защита данных сайта
Для защиты данных сайта необходимо проанализировать данные, используемые сайтом, и определить политику безопасности. Эти данные могут представлять собой HTML-код, подробности о клиентах и продуктах, хранящиеся в базе данных, каталоги, пароли и другую аутентификационную информацию. Вот несколько основных принципов, которые можно использовать при определении политики безопасности данных:
· Необходимо держать чувствительные данные за внутренним брандмауэром, в защищенной внутренней сети. К чувствительным данным должно быть обеспечено минимальное число точек доступа. При этом необходимо помнить, что добавление уровней безопасности и усложнение доступа в систему влияет на работу системы в целом.
· Базы данных, хранящие низко чувствительные данные, могут располагаться на серверах DMZ.
· Пароли могут храниться после преобразования с помощью односторонних алгоритмов. Однако это делает невозможным реализацию общепринятой (и популярной) возможности обрабатывать сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по электронной почте", хотя при этом можно создать новый пароль и высылать его в качестве альтернативы.
· Чувствительная информация - такая, как номера кредитных карт -может храниться в базах данных и после шифрования. Расшифровывать ее каждый раз при возникновении такой необходимости могут только авторизованные пользователи и приложения. Однако это также влияет на скорость работы системы в целом.
Можно защитить данные сайта и с помощью компонент среднего яруса. Эти компоненты могут быть запрограммированы для аутентификации пользователей, разрешая доступ к базе данных и ее компонентам только авторизованным пользователям и защищая их от внешних угроз. Можно реализовать дополнительные функции безопасности серверной части системы. Например, для предотвращения несанкционированного внутреннего доступа к базе данных можно использовать пользовательские функции безопасности SQLServer. Заметьте, что не менее важно защищать и резервные копии, содержащие информацию о потребителях.
Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все новые и новые способы проникновения или повреждения данных, следить за появлением которых в состоянии только профессиональные организации, специализирующиеся на информационной безопасности.
Интеграция коммерции в Интернет сулит кардинальное изменение положения с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс в области безопасности информации во многом определяет развитие процесса электронной коммерции.
Проблема информационной безопасности экономических объектов многоаспектна и нуждается в дальнейшей проработке. В современном мире информатизация становится стратегическим национальным ресурсом, одним из основных богатств экономически развитого государства. Быстрое совершенствование информатизации в России, проникновение ее во все сферы жизненно важных интересов личности, общества и государства повлекли помимо несомненных преимуществ и появление ряда существенных проблем. Одной из них стала необходимость защиты информации. Учитывая, что в настоящее время экономический потенциал все в большей степени определяется уровнем развития информационной инфраструктуры, пропорционально растет потенциальная уязвимость экономики по отношению к информационным воздействиям. Реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. С позиций системного подхода к защите информации необходимо использовать весь арсенал имеющихся средств защиты во всех структурных элементах экономического объекта и на всех этапах технологического цикла обработки информации. Методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам. Эффективность информационной безопасности означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз. Планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации. Необходима четкость в осуществлении полномочий и прав пользователей на доступ к определенным видам информации, в обеспечении контроля средств защиты и немедленного реагирования на их выход из строя.
2. Анализ платежной системы QIWI
Историческая справка.
Cистему «QIWI Кошелек» разработала и продвигает московская компания с одноименным названием ООО «Мобильный кошелек». Стратегическим партнером ООО «Мобильный кошелек» является Объединенная Система Моментальных Платежей («ОСМП»). Благодаря сотрудничеству между двумя платежными системами, клиенты «QIWI Кошелька» могут осуществлять платежи в пользу крупнейших операторов сотовой связи, IP телефонии и Интернет провайдеров.
Официально платежная система «Мобильный Кошелек» была запущена в июне 2006 г, однако, период ее коммерческой эксплуатации начался только в сентябре того же года. Система входит в одну и ту же группу компаний, что и ОСМП, "МультиКасса", X-PAY, UPAY и др. Речь идет об «Управляющей Компании Мастер».
В 2010 году программа была окончательно оформлена в платёжную систему «QIWI Кошелёк» - универсальный сервис для удобных покупок товаров и услуг. Платежная система «QIWI кошелек» активно развивается. Услугами этого платежного сервиса пользуется уже более 400 000 абонентов. Ежесуточно через систему «Мобильный кошелек» проходит около 50 000 платежей, регистрируется более 1 000 уникальных пользователей в сутки.
Страна. Правовое пространство
Правовым пространством системы «QIWI Кошелек» является Российская Федерация.
Валюта
Для расчетов в системе используется электронная валюта Mobile Wallet RUB (сокращение: MWRUB, код: 130) эквивалент российских рублей.
Особенности системы. Предназначение .
Независимая платежная система «QIWI Кошелек» специализируется на разработке и поддержке программных продуктов для осуществления мобильных платежей. Основным продуктом компании на сегодняшний день является одноименная платежная платформа, позволяющая пользователям осуществлять платежи в пользу более чем 200 провайдеров с помощью JAVA-приложения, установленного на сотовый телефон, или из личного кабинета на интернет-сайте. Кроме того, у «QIWI Кошелька» имеется собственное решение для организации мобильного банкинга.
Система состоит из 3 основных компонентов:
· Клиентский терминал - это Java приложение, представляющее собой интуитивное меню, с помощью которого можно выполнять различные операции по проверке состояния своего виртуального счета и управлению средствами на нем, используя предустановленный набор команд.
· Виртуальный счёт - это пользовательский счёт в процессинговом центре, который находится на серверах компании «QIWI Кошелек». Виртуальный счёт служит посредником между клиентским терминалом и провайдером (поставщиком услуги) при проведении транзакции.
· Операционный блок управления расчётами - это аппаратно-программный комплекс, который связывает воедино все элементы "QIWI Кошелька".
Основные возможности системы:
· оплата услуг операторов мобильной связи;
· оплата доступа в Интернет, различных интернет-сервисов;
· оплата спутникового, цифрового телевидения;
· денежные переводы на счета других платежных систем (например, WebMoney);
· оплата коммунальных услуг, услуг фиксированной связи и т.п.;
· перевод средств со своего «мобильного кошелька» на любой другой без комиссии;
· обналичивание средств с помощью банковской системы CONTACT.
Обеспечение денежных средств .
Средства пользователей системы «QIWI Кошелек» обеспечены денежными средствами, размещенными на расчетных счетах ООО «Мобильный кошелек». Фактически эти средства являются авансовыми платежами пользователей в счет будущих поручений.
Отношения между пользователями платежной системы и ООО «Мобильный кошелек», а также компаниями, осуществляющими расчетное, технологическое и информационное обслуживание этой системы, регламентированы действующим законодательством РФ и «Договором об использовании платежного сервиса «QIWI кошелек», заключаемым в соответствии с п. 2 ст. 437 ГК РФ посредством согласия с условиями Публичной Оферты при регистрации.
В соответствии с условиями Публичной Оферты ООО «Мобильный кошелек» принимает от пользователей авансовые платежи в рублях РФ и распоряжается этими средствами для исполнения пользовательских платежных поручений, что и гарантирует их сохранность. В любой момент пользователь системы может в установленном порядке отказаться от платежа и вернуть себе авансовые средства
Регистрация в системе .
Регистрация в системе «QIWI Кошелек» становится возможной только после заключения Договора об оказании услуг, который осуществляется акцептом Публичной Оферты на сайте системы. После этого, будущему пользователю платежной системы необходимо совершить следующие действия:
· Инсталлировать на свое мобильное устройство Java-приложение «QIWI кошелек», дистрибутив которого расположен по адресу wap.qiwi.ru/, pda.qiwi.ru/
· Подтвердить свое согласие с условиями Оферты путем выбора соответствующего пункта в Java-приложении «QIWI Кошелек».
· Указать свой номер мобильного устройства, принадлежащий SIM-карте сотового оператора. В дальнейшем указанный номер (содержащий код страны, def-код оператора и собственно телефонный номер физического лица) будет использоваться в качестве несменяемого логина пользователя в системе.
· Получить SMS-сообщение на указанный абонентский номер и ввести в Java-приложение полученный код подтверждения регистрации.
· Самостоятельно определить пин-код, который в дальнейшем будет использоваться для запуска Java-приложения и совершения существенных операций в системе. Пин-код должен состоять из цифр от 0 до 9 и иметь длину не менее четырех символов.
После совершения пользователем всех перечисленных действий платежная система «QIWI кошелек» осуществляет его регистрацию с указанными аутентификационными данными. По результатам регистрации пользователю присваивается учетная запись. Номером счета пользователя является уникальная комбинация из 10 цифр, которая в интерфейсе программного клиента отображается в верхнем левом углу.
Прежде, чем можно будет пользоваться услугами системы необходимо выполнить еще пару шагов. А именно: загрузить конфигурацию провайдеров услуг в приложение на телефоне и пополнить баланс своего виртуального счета в системе.
После регистрации и внесения авансового платежа Договор между платежной системой и пользователем считается заключенным. Это означает, что пользователь в полной мере ознакомился с условиями предоставления услуг и функционирования системы, а также признает ее безусловную пригодность для выполнения своих платежных обязательств.
Анонимность .
При регистрации в системе «QIWI Кошелек» нет необходимости указывать свои паспортные данные, только номер своего мобильного телефона.
Пользователь самостоятельно должен принимать все необходимые меры по сохранению конфиденциальности, предотвращению несанкционированного использования и защите аутентификационных данных от несанкционированного доступа со стороны третьих лиц.
Система, в свою очередь, обязуется соблюдать конфиденциальность в отношении персональных данных пользователя, а также иной информации о пользователе, ставшей известной системе в связи с использованием платежного сервиса, за исключением случаев, когда:
· такая информация является общедоступной;
· раскрыта по требованию или с разрешения пользователя;
· подлежит предоставлению контрагентам пользователя в объеме, необходимом для исполнения условий Оферты;
· требует раскрытия по основаниям, предусмотренным законодательством, или по вызывающим подозрение сделкам, или при поступлении соответствующих запросов суда или уполномоченных государственных органов;
· в иных случаях, предусмотренных соглашением пользователя и системы.
Криптография и безопасность .
В системе «QIWI Кошелек» функция по защите информации о транзакциях пользователей возложена на алгоритм шифрования данных на базе стандарта DES3 (Data Encryption Standard 3). Помимо этого, дабы обезопасить свой «Мобильный Кошелек» на случай пропажи или кражи сотового телефона, пользователь может самостоятельно установить дополнительный PIN-код для входа в JAVA-приложение на своем аппарате. Что касается работы с системой через веб-интерфейс, то дополнительной опцией безопасности здесь является возможность ограничения доступа к Личному Кабинету по IP-адресу.
Ввод и вывод денег .
Существует несколько способов пополнить счет в системе «QIWI Кошелек»:
· Через точки приёма платежей и автоматы самообслуживания компании «ОСМП», www.osmp.ru
· Пополнить «QIWI Кошелёк» можно через «Личный кабинет QIWI» на автоматах самообслуживания компании ОСМП. Балансы «QIWI кошелька» и «Личного кабинета QIWI» едины. Пополнив баланс «Личного кабинета QIWI» пользователь автоматически пополняет баланс своего «QIWI кошелька».
· В пунктах оплаты счетов и платежных терминалах самообслуживания компании «e-port», www.e-port.ru
· В операционных кассах международной системы денежных переводов «Юнистрим» www.unistream.ru.
· C помощью обмена титульных знаков WebMoney WMR и WMZ, e-gold, Яндекс Деньги, Money Mail и других электронных валют в сервисе ROBOXchange, www.roboxchange.com.
· В любом из 600 пунктов платежей «CONTACT», расположенных на территории РФ. www.contact-sys.com.
· Терминалы самообслуживания компаний «SprintNet», «X-plat», «Новоплат».
Вывести наличные деньги со счета в системе «QIWI Кошелек» можно с помощью системы «CONTACT» в любом из 1600 пунктов обслуживания, расположенных практически на всей территории РФ.
Тарифы. Комиссия системы.
Комиссия за пополнение "Личного кабинета QIWI" на сумму 500 руб. и более составялет 0%, на меньшую сумму 3%, но не менее 3 руб. Комиссия при выводе денег, взимаемая системой «QIWI кошелек», составляет не менее 4% от суммы перевода. Минимальная сумма - 1000 руб. Комиссия обменного сервиса при обмена титульных знаков WebMoney WMR и WMZ, e-gold, Яндекс Деньги, Money Mail и других электронных валют за пополнение «QIWI кошелька» составляет 1-1,5%, при выводе - 0,5%.
При приеме денежных средств для пополнения «QIWI кошелька» в кассах «Юнистрим» банка, комиссия составляет 1% от суммы платежа, которая взимается дополнительно от суммы платежа.
При приеме денежных средств в пунктах обслуживания банков-партнеров ОАО КБ «ЮНИСТРИМ», комиссия составляет 2% от суммы платежа, которая взимается банком-партнером дополнительно от суммы платежа. При оплате услуг ЖКХ система «QIWI Кошелек» взимает комиссию в размере 1%. За все остальные операции, доступные пользователю в системе, в том числе и денежные переводы между счетами пользователей системы «QIWI Кошелек» комиссия не взимается.
Микро и макро- платежи .
Минимальный платеж в системе составляет 100 рублей. При зачислении и выводе средств на и из «QIWI Кошелька» через систему «CONTACT» минимальный платеж составляет 1000 рублей.
Бухгалтерия и налоги .
Весь документооборот между пользователем и системой «QIWI Кошелек» происходит в электронном виде. Актуальное состояние взаимных обязательств сторон отражается специальным программно-аппаратным комплексом на Сайте платежной системы «QIWI Кошелек». Платежная система «QIWI Кошелек» является электронным регистром учета возникновения, изменения или прекращения взаимных прав и обязательств пользователя и системы. Аутентификационные данные для доступа к специальному пользовательскому интерфейсу определены необходимыми и достаточными в виде пользовательского логина и пароля. Платежный сервис «QIWI Кошелек» оказывает услуги аналитических счетов в системах бухгалтерского учета Операторов, для которых пользователь системы является плательщиком или абонентом. На аналитическом счете учитываются операции, связанные с предоставлением пользователю услуг, выполнением работ или реализацией товаров. Прямые денежные расчеты между пользователем системы и ООО «Мобильный Кошелек» не предусмотрены.
Кредитование .
Кредитование в системе «QIWI Кошелек» не предусмотрено.
Протекция сделки (двухфазные платежи) .
Двухфазные платежи путем протекции сделки в платежной системе «QIWI Кошелек» не реализованы.
Восстановление кошелька .
Если пользователь системы «Мобильный Кошелек» забыл или потерял свой пароль, ему необходимо отправить SMS на номер 7015 с текстом MP (на латинице). В ответ системой будет выслано SMS-сообщение с новым паролем. Если был утерян код подтверждения, на этот же номер нужно отправить SMS c текстом MC (на латинице). Системой будет сгенерирован новый код подтверждения и выслан SMS-сообщением на номер телефона пользователя.
безопасность электронный коммерция интернет
Библиографический список
1. Сибирская Е.В. Электронная коммерция: учеб. посорбие/Е.В.Сибирская, О.А.Старцева. - М.:ИНФРА-М, 2008. - 288с.
2. Алексунин В.А. Электронная коммерция и маркетинг в интернете: Учеб. пособие./ В.А. Алексунин. - Дашков и К, 2005. - 216с.
3. Успенский И. Энциклопедия Интернет-бизнеса/ И. успенский.- СПб: Питер, 2001. - 432с.
6. roboxchange.com
Размещено на Allbest.ru
...Подобные документы
Рынок электронной коммерции. Анализ функциональных возможностей и инструментов для ведения электронной коммерции. Возврат и списание товара. Техническое обеспечение и поддержка пользователей. Внедрение и развитие бизнес-процессов Интернет-магазина.
дипломная работа , добавлен 11.06.2013
Понятие и сущность электронной торговли в сети Интернет. Правила и способы доставки покупателю заказанных им в интернет-магазине предметов торговли. Основные виды организации доставки товаров. Проблема сбытовой политики в электронной коммерции.
реферат , добавлен 09.01.2011
Понятие и эффективность развития электронной коммерции. Основные виды заработка в сети Интернет. Особенности платежных систем. Объекты защиты в системе обеспечения безопасности электронной коммерции. Совокупность форм ведения коммерческой деятельности.
курсовая работа , добавлен 07.12.2013
Возникновение и развитие электронной коммерции, ее виды, особенности, преимущества, основные проблемы. Достоинства Интернет-магазина с позиции продавца и покупателя. Системы оплаты и способы доставки товаров. Характеристика и анализ фирмы Delivery Club.
курсовая работа , добавлен 08.02.2016
Исследование рынка мобильной и электронной коммерции. Методология сбора данных. Использование мобильных устройств, приложений и сервисов в интернет-торговле. Характеристика бизнес-моделей электронной коммерции, использующих мобильные приложения.
дипломная работа , добавлен 31.08.2016
Преимущества и недостатки электронной торговли. Применение методик электронной коммерции. Схема интернет-магазина, потребительская аудитория. Организация страницы и оформления. Оценка расходов на создание ресурса. Определение возможностей дохода сайта.
дипломная работа , добавлен 24.06.2012
Определение электронной коммерции и торговли, понятие их эффективности. Объекты защиты в системе обеспечения безопасности электронной коммерции. Создание модели потенциального нарушителя. Принципы и инструменты информационного поиска в сети Интернет.
курсовая работа , добавлен 07.02.2012
Понятие, задачи и виды продвижения товаров. Анализ отраслевой привлекательности электронной коммерции в России, методы ее реализации в Интернете. Ассортимент товаров интернет-магазина детской одежды, его маркетинговая деятельность и программа продвижения.
курсовая работа , добавлен 12.12.2013
Категоризация компаний в электронной коммерции. Формирование структуры сайта. Проработка деталей товара. Авторитетность сайта и доверие поисковиков. Специфика, индивидуальные характеристики и методы применения рекламных инструментов интернет-маркетинга.
дипломная работа , добавлен 30.11.2016
Понятие электронной торговли и влияние интернета на мировую сферу услуг. Текущее состояние и перспективы электронной коммерции в России, развитие рынка провайдерства. Технология покупки товаров в интернет-магазине. Рынок зарубежных легковых автомобилей.
Безопасность - состояние защищенности от возможного нанесения ущерба, способность к сдерживанию или парированию опасных воздействий, а также к быстрой компенсации нанесенного ущерба. Безопасность означает сохранение системой стабильности, устойчивости и возможности саморазвития. Одной из популярнейших тем для обсуждения является безопасность электронной коммерции.
Но до сих пор, несмотря на все ценные мнения и высказывания, не существует практичного, "земного" пособия к тому, что же все-таки является предметом безопасности электронной коммерции. В этой статье приводятся некоторые точки зрения на этот вопрос, и делается попытка отделить мифы от реальной действительности. Давайте попробуем ответить на некоторые базовые вопросы, очевидные для специалистов.
Системы можно сделать защищенными. Системы могут быть защищены только от известных угроз, с уменьшением количества связанных с ними рисков до приемлемого уровня. Только вы сами можете определить правильный баланс между желаемым уровнем снижения рисков и стоимостью решения. Безопасность вообще представляет собой один из аспектов риск-менеджмента. А информационная безопасность является совокупностью здравого смысла, риск-менеджмента бизнеса и базовых технических навыков под управлением достойного менеджмента, разумного использования специализированных продуктов, возможностей и экспертиз и правильных технологий разработки. При этом web-cайт - это всего лишь средство доставки информации потребителю.
Безопасность сайтов - это исключительно технический вопрос. Слишком часто безопасность в большей степени относится к области соответствующего контроля процесса разработки, правильного управления конфигурацией операционной системы и в целом последовательного управления сайтом. Настоящая безопасность находится под вашим прямым контролем - то, что приемлемо при разработке внутренних систем, может оказаться неподходящим для сервисов, к которым предоставляется полный общий доступ. Неполадки в системах, затрагивающие внутри предприятия только нескольких доверенных сотрудников, становятся очевидными при перемещении в среды общего доступа.
СМИ регулярно сообщают обо всех слабых местах и рисках в области безопасности. Часто СМИ сообщают только о тех неполадках, которые могут привлечь всеобщее внимание и не требуют специальных навыков для понимания заложенной в них проблемы. Такие сообщения редко отражают реальные угрозы бизнесу с точки зрения безопасности и часто вообще не связаны с безопасностью.
Информация по кредитным карточкам в Интернет не защищена. На самом деле, информация по кредитным карточкам гораздо меньше подвержена хищениям при передаче по Интернет, чем в близлежащем магазине или ресторане. В несанкционированном использовании такой информации может быть заинтересован недобросовестный бизнес, а как вы с ним работаете - через Интернет или нет - уже не столь важно. Повысить же безопасность собственно передаваемой информации можно с помощью использования защищенных каналов передачи и надежных сайтов. Существенной составляющей множества систем электронной коммерции является потребность в надежной идентификации потребителей. Способ идентификации непосредственно влияет не только на степень риска, но даже на вид уголовного преследования.
Пароли идентифицируют людей. Пароли обеспечивают только базовую проверку - что подключается некто авторизованный для использования конкретной системы. Люди склонны не слишком скрывать свои пароли от других - особенно от близких родственников и коллег. Более сложная технология аутентификации может оказаться гораздо рентабельнее. Используемый уровень аутентификации должен отражать риск доступа к информации случайных лиц, независимо от согласия на это ее действительного владельца.
Однажды сконфигурированное и установленное решение по безопасности остается надежным с течением времени. Предприятия не всегда устанавливают системы как полагается, бизнес меняется, как и угрозы. Необходимо убедиться, что системы ведут профайлы безопасности, и что ваш профайл постоянно переоценивается с точки зрения развития бизнеса и внешней среды. Не менее важна и технология, однако она должна рассматриваться как составная часть более широкого спектра средств для контроля безопасности. Обычно в качестве решения для защиты содержимого электронно-коммерческих сайтов называют брандмауэры, однако даже они имеют свои слабые места.
Брандмауэры непроницаемы.
Реализовав брандмауэр, можно почивать на лаврах в уверенности, что злоумышленники никогда не проникнут через него. Проблема в том, что их необходимо конфигурировать так, чтобы через них все же шел некий трафик, причем в обоих направлениях. Необходимо тщательно обдумать, что вы пытаетесь защитить. Предотвращение атаки на главную страницу вашего сайта существенно отличается от предотвращения использования вашего web-сервера в качестве пути к вашим серверным системам, и требования к брандмауэру в обоих случая сильно отличаются. Многие системы нуждаются в сложной многослойной защите для обеспечения доступа к более чувствительным данным только авторизованных пользователей. Ключевую роль на любом электронно-коммерческом сайте играет, как правило, электронная почта. Тем не менее, она привносит с собой ряд проблем в области безопасности, игнорировать которые недопустимо.Эти проблемы распадаются на две основные категории:
Защита содержимого электронной почты - оно может быть искажено или прочитано.
Защита вашей системы от атак через входящую электронную почту.
Если предполагается работа с конфиденциальной или чувствительной к целостности почтовой информацией, существует масса продуктов для ее защиты.
Вирусы больше не являются проблемой. Вирусы до сих пор представляют серьезную опасность. Последнее увлечение создателей вирусов - вложенные в письма файлы, при открытии выполняющие макрос, производящий несанкционированные получателем действия. Но разрабатываются и другие средства распространения вирусов - например, через HTML web-страниц. Необходимо убедиться, что ваши антивирусные продукты сохраняют актуальность. Если они были предназначены для поиска вирусов, может оказаться, что они способны только выявлять вирусы, но не устранять их.
Компания, имеющая сертификат на открытый ключ от уважаемого Certification Authority (CA), сама по себе уже заслуживает доверия. Сертификат просто подразумевает нечто вроде: "На момент запроса сертификата, я, CA, произвел известные действия для проверки идентичности этой компании. Вас это может удовлетворить, а может и нет. Я не знаком с этой компанией и не знаю, можно ли ей доверять, и даже - в чем именно состоит ее бизнес. До тех пор, пока меня не известят, что открытый ключ дискредитирован, я даже не узнаю, что он, например, украден или передан кому-то еще, и это ваше дело - проверять, не аннулирован ли он. Моя ответственность ограничивается положениями документа, описывающего политику моей компании (Policy Statement), которое вам следует прочитать прежде, чем использовать ключи, связанные с данной компанией".
Цифровые подписи являются электронным эквивалентом рукописных.
Некоторое сходство имеется, однако есть множество очень существенных различий, поэтому неразумно считать эти два вида подписи равноценными. Их надежность также зависит от того, насколько строго установлено, чтобы закрытый ключ находился действительно в индивидуальном пользовании. Ключевые различия заключаются также в том, что:
- Рукописные подписи находятся полностью под контролем подписывающего лица, цифровые же создаются с использованием компьютера и программного обеспечения, которые могут работать, а могут и не работать так, чтобы выполняемым ими действиям можно было доверять.
- Рукописные подписи, в отличие от цифровых, имеют оригинал, который можно копировать.
- Рукописные подписи не слишком тесно связаны с тем, что ими подписывается, содержание подписанных бумаг может быть изменено после подписания. Цифровые подписи сложным образом связаны с конкретным содержимым данных, которые ими подписаны.
- Способность выполнять рукописную подпись не может быть предметом хищения, в отличие от закрытого ключа.
- Рукописные подписи могут копироваться с разной долей сходства, а копии цифровых подписей могут создаваться только путем использования похищенных ключей и имеют при этом стопроцентную идентичность подписи реального владельца ключа.
- Некоторые протоколы аутентификации требуют подписи данных цифровой подписью от вашего имени, и при этом вы никогда не узнаете, что именно было подписано. Вас могут заставить подписывать цифровой подписью практически что угодно.
Продукты в области безопасности можно оценивать согласно их функциональности, как и бизнес-пакеты. Они требуют также оценки безопасности их реализации и тех угроз, от которых они не могут защитить (которые могут быть и не задокументированы). В целом бизнес-приложения выбираются исходя из их функциональных возможностей и простоты использования. Часто считается само собой разумеющимся, что функции выполняются как полагается (например, пакет для исчисления налогообложения верно рассчитывает налоги). Но это несправедливо в отношении продуктов, обеспечивающих безопасность. Самым большим вопросом здесь становится то, как реализованы в них функции защиты. Например, пакет может предлагать мощную парольную аутентификацию пользователей, но при этом хранить пароли в простом текстовом файле, который может прочитать практически кто угодно. И это было бы совсем не очевидно и могло бы создать ложное чувство защищенности.
Продукты в области безопасности легко устанавливаются. Большинство продуктов поставляются с заданными по умолчанию установочными параметрами. Однако, организации имеют различную политику и безопасности и конфигурации всех систем и рабочих станций редко соответствуют друг другу. На практике, установка должна быть подстроена под политику безопасности организации и каждую из специфических конфигураций платформ. Проверка механизмов обслуживания быстро растущего числа пользователей и других атрибутов создания защищенной среды для сотен имеющихся пользователей может оказаться весьма сложным и длительным процессом.
PKI-продукты защищают электронную коммерцию без дополнительной настройки. PKI-продукты представляют собой базовый инструментарий, помогающий реализовывать решения в области безопасности, однако только как часть всего пакета, включающего также юридические, процедурные, а также прочие технические элементы. На практике это часто гораздо сложнее и дороже, чем установка базовой PKI.
Консультанты по безопасности заслуживают абсолютного доверия. Помните, что консультанты по безопасности будут иметь доступ ко всем вашим наиболее чувствительным процессам и данным. Если приглашаемые консультанты не работают в какой-либо пользующейся уважением фирме, необходимо получить сведения из незаинтересованного источника об их компетентности и опыте - например, поговорить с их прежними заказчиками. Существует масса консультантов, заявляющих о себе как о профессионалах в области информационной безопасности, но на самом деле практически не имеющих представления о том, что это такое. Они могут даже создать ложное чувство безопасности, убеждая вас, что ваши системы более защищены, чем на самом деле.
Выводы.
Таким образом, прежде чем листать самые современные брошюры по вопросам безопасности, разложите по полочкам основное:
- Тщательно рассчитайте типы рисков, угрожающих вашему электронно-коммерческому бизнесу и во что они вам обошлись бы, и не тратьте на защиту больше, чем эта предполагаемая цена риска.
- Соблюдайте баланс между процедурными и техническими средствами контроля безопасности.
- Разработайте полностью проект, в котором безопасность была бы одним из основополагающих компонентов, а не вносилась бы пост-фактум, после некоторых раздумий.
- Выберите продукты безопасности, соответствующие этому проекту.
