Vene Föderatsiooni haridus- ja teadusministeerium

Föderaalne osariigi autonoomne õppeasutus

Erialane kõrgharidus

Taganrogi Lõuna föderaalülikooli inseneri- ja tehnoloogiaakadeemia

Majandus-, Keskkonna- ja Sotsiaalsüsteemide Juhtimise Instituut

erialal "Elektrooniline kaubandus"

"E-kaubanduse turvalisus"

Lõpetatud:

õpilased gr. WEBO4-6

Lesik A.A.

Nikolskaja T.S.

Kontrollitud:

Makarova I.V.

Taganrog 2014

SISSEJUHATUS 3

1. ELEKTROONIKASÜSTEEMIDE OHTUDE LIIGID JA ALLIKAD 4

KAUBANDUS 4

2. SÜSTEEMI LOOMISE PÕHIMÕTTED JA EHITAMISE METOODIKA 9

E-KAUBANDUSE TURVALISUS 9

3. RISKID E-KAUBANDUSES 15

KOKKUVÕTE 18

Sissejuhatus

Viimaste aastate kaasaegsete infosüsteemide ja rahvusvaheliste sidesüsteemide arenguga on tekkinud praktiline võimalus eemalduda traditsioonilisest paberdokumentatsioonist kui peamisest infokandjast, mis kajastab äritehingu teostamise kõiki etappe. Paberdokumentatsiooni kasutamine, aga ka tavapärased töötlemise ja saatmise meetodid praktikas, toovad väga sageli kaasa suuri tootmis- ja kaubanduskulusid. Tänaseks välja töötatud e-kaubanduse tehnoloogiad võimaldavad ettevõtjatel tehingute tegemisel edastada infot kaasaegsete info- ja sidesüsteemide abil, saavutades äritehingute (lepingute) sõlmimisel, kinnitamisel ja täitmisel suurema täpsuse, kiiruse ja efektiivsuse. E-kaubandus koondab seega kõik äritehingute vormid ja elektrooniliselt tehtavad tehingud.

Käesoleva töö eesmärgiks on anda kontseptsioon ja paljastada mõistete "Elektrooniline kaubandus", "Elektrooniline kaubandus", "Elektroonilise kaubanduse turvalisus", "Elektroonilise kaubanduse tõhusus" kontseptsioon ja sisu, samuti kirjeldada kaitseobjekte. elektroonilise kaubanduse turvalisuse tagamise süsteemis potentsiaalse sissetungija mudel.

1. E-kaubanduse süsteemide ohtude liigid ja allikad

Vaatleme mõnda terminit ja määratlust.

kontseptsioon "ohutus" vene keeles tõlgendatakse seisundina, kus ohtu pole, selle eest on kaitse.

Selles mõttes iseloomustab see mis tahes süsteemi (sotsiaalse, tehnilise või muu), protsessi või nähtuse teatud seisundit.

Sellel viisil "ohutus"- see on seisund, kus puudub võimalus kahjustada suhete subjektide vajadusi ja huve.

"Oht" vene keele seletava sõnaraamatu järgi on määratletud vahetu ohuna. Oht on üldist, potentsiaalset laadi, kuid kuna vastuolud suhete subjektide vahel tekivad pidevalt, võib oht huvidele pidevalt eksisteerida.

Üks aktsepteeritud määratlustest on järgmine:

Oht turvalisusele- see on tingimuste ja tegurite kogum, mis ohustab elulisi huve, see tähendab, et ohtu esindavad teatud asjaolude (tingimuste) ja põhjuste (tegurite) kogum. Juriidilisest vaatenurgast mõiste "ähvardus" defineeritud kui kavatsus teha kurja (kahju).

Seega võib julgeolekuohtu defineerida kui "tegevust, mida peetakse huvivaenulikuks".

Erinevate ohtude puhul on need kõik omavahel seotud ja mõjutavad huve reeglina kompleksselt. Seetõttu luuakse turvasüsteem nende nõrgestamiseks, neutraliseerimiseks ja pareerimiseks.

Turvalisus- see on spetsiaalselt organiseeritud tegevus, mille eesmärk on säilitada objekti sisemine stabiilsus, selle võime taluda erinevate tegurite hävitavat, agressiivset mõju, samuti aktiivselt võidelda olemasolevate ohtude vastu.

Ohutussüsteem eesmärk on tuvastada huve ähvardavaid ohte, hoida jõudude valmisolekut ja turvalisuse tagamise vahendeid ning juhtida neid, korraldada turvarajatiste tavapärast toimimist.

Seoses e-kaubandusega saab turvalisuse definitsiooni sõnastada järgmiselt.

E-kaubanduse turvalisus- see on e-kaubanduse tehnoloogiate abil äritehinguid (tehinguid) tegevate suhete subjektide huvide kaitstuse seisund materiaalsete ja muude kahjude ohu eest.

Turvalisuse tagamine olenemata omandiõigusest on oluline ettevõtetele ja asutustele alates valitsusasutustest kuni väikeste jaemüügiputkadeni.

Erinevused seisnevad vaid selles, milliseid vahendeid ja meetodeid ning mil määral on vaja nende ohutuse tagamiseks.

Turusuhted koos nende lahutamatu osaga – konkurents põhinevad "ellujäämise" põhimõttel ja nõuavad seetõttu tingimata kaitset ohtude eest.

Väljakujunenud rahvusvahelise julgeolekupraktika kohaselt on kaitseobjektid nende prioriteete arvestades:

Isik;

Teave;

Materiaalsed väärtused.

Turvalisuse kontseptsiooni ja ülaltoodud kaitseobjektide põhjal võime öelda, et mis tahes ettevõtte või organisatsiooni "turvalisuse" mõiste hõlmab järgmist. koostisosad:

- füüsiline turvalisus, mille all mõistetakse kaitset töötajate ellu ja isiklikesse huvidesse sekkumise eest.

- majanduslik turvalisus, mille all mõistetakse suhete subjektide majanduslike huvide kaitset. Majandusjulgeoleku raames käsitletakse ka materiaalsete varade kaitse tagamist tulekahjude, loodusõnnetuste, varguste ja muude riivamiste eest.

- Infoturbe, mis viitab teabe kaitsmisele muutmise (moonutamise, hävitamise) ja volitamata kasutamise eest.

Igapäevane praktika näitab, et peamine füüsilise julgeoleku ohud sisaldab:

Psühholoogiline terror, hirmutamine, väljapressimine, väljapressimine;

Röövimine materiaalsete väärtuste või dokumentide omamise eesmärgil;

Ettevõtte töötajate või nende pereliikmete röövimine;

Firma töötaja mõrv.

Praegu ei saa keegi end turvaliselt tunda. Füüsilise turvalisuse tagamise konkreetseid küsimusi puudutamata võib öelda, et kuriteo toimepanemiseks koguvad kurjategijad esmalt ohvri kohta teavet ja uurivad tema “nõrkusi”. Ilma vajaliku teabeta ründeobjekti kohta suureneb kurjategijate risk oluliselt. Seetõttu on füüsilise turvalisuse tagamise üheks peamiseks põhimõtteks ettevõtte töötajate kohta igasuguse teabe varjamine, mida kurjategijad saavad kuriteo ettevalmistamisel kasutada.

Üldiselt saame sõnastada järgmised tüübid ohud majanduslikule julgeolekule:

Üldine maksejõuetus;

Raha kaotamine valedokumentidega toimingute eest;

Ettevõtte usaldusväärsuse kahjustamine.

Praktika näitab, et nende ohtude esinemine on peamiselt tingitud järgmistest peamistest põhjustest:

Äriteabe lekkimine, hävitamine või muutmine (näiteks moonutamine);

Täieliku ja objektiivse teabe puudumine ettevõtte töötajate, partnerite ja klientide kohta;

Konkurentide poolne kallutatud teabe levitamine, mis kompromiteerib ettevõtet.

Turvalisus infoturbe on üks võtmepunkte ettevõtte turvalisuse tagamisel. Lääne ekspertide hinnangul viib 20% kommertsinfo lekkimine 60 juhul sajast ettevõtte pankrotti.

Seetõttu on füüsiline, majanduslik ja infoturve omavahel väga tihedalt seotud.

Infoturbe põhiobjekt on äriteave- sellel on erinevad esitlusvormid, võib-olla:

Suuliselt edastatav teave;

Erinevatele andmekandjatele (paber, diskett jne) salvestatud dokumenteeritud teave;

Erinevate sideliinide või arvutivõrkude kaudu edastatav teave.

Infosfääris ründajad kasutavad info hankimiseks erinevaid meetodeid. See sisaldab:

Klassikalised spionaažimeetodid (väljapressimine, altkäemaksu andmine jne);

Tööstusspionaaži meetodid;

Arvutiseadmete omavoliline kasutamine;

Analüütilised meetodid.

Seetõttu on infoturbe ohtude ring äärmiselt lai.

Arvutitehnoloogia ja e-kaubanduse tehnoloogiate laialdane kasutamine avab tööstusspionaaži ja mitmesuguste muude õigusrikkumiste jaoks uue valdkonna.

Tööstusspionaaži tehniliste vahendite abil nad mitte ainult ei kuula ja luuravad erinevatel viisidel konkurentide tegevust, vaid saavad ka teavet, mida arvutitehnoloogias otseselt töödeldakse. Sellest sündis uus kuritegevuse liik - arvutikuriteod ehk loata juurdepääs arvutis töödeldavale teabele, sealhulgas e-kaubanduse tehnoloogiate abil.

Arvutikuritegevuse vastu võitlemine on keeruline, mis on peamiselt tingitud:

probleemi uudsus ja keerukus;

arvutikuriteo õigeaegse avastamise ja sissetungija tuvastamise keerukus;

Võimalus kuritegu toime panna kaugjuurdepääsu abil, see tähendab, et ründaja ei pruugi üldse kuriteopaigas viibida;

Raskused arvutikuriteo tõendite kogumisel ja legaliseerimisel.

Ülaltoodud turvaohtude tüübid kokku võttes võib eristada turvaprobleemi kolme komponenti:

1) õiguskaitse;

2) organisatsiooniline kaitse;

3) insener-tehniline kaitse.

Tähendus õiguskaitse tuleneb nimest endast.

Organisatsiooniline kaitse hõlmab turvalisuse ja rajatise käitamise korraldamist.

Under inseneri- ja tehniline kaitse viitab inseneri-, tarkvara- ja muude vahendite kogumile, mille eesmärk on turvaohtude kõrvaldamine.

Saada oma head tööd teadmistebaasi on lihtne. Kasutage allolevat vormi

Üliõpilased, magistrandid, noored teadlased, kes kasutavad teadmistebaasi oma õpingutes ja töös, on teile väga tänulikud.

Majutatud aadressil http://www.allbest.ru/

MINISTEERIUMHARIDUSJATEADUSEDVENEFÖDERATSIOON

Föderaalne riigieelarveline kõrgharidusasutus

VENEMAJANDUSLIKÜLIKOOLNIMELINEG.V.PLEHANOV

OMSKINSTITUUT(haru)

osakond"Humanitaarteadused,loodusteadusedjaseaduslikdistsipliinid»

KONTROLLTÖÖ

pealdistsipliini"Põhialusedelektroonilinekaubandus»

õpilased Sereda M.A.

5 kaugõppekursust

Retsensent: Ph.D., dotsent

Zahharenkov V.V.

Omsk-201 4

Informatiivneohutuselektroonilinekaubandus(EÜ)

Internetikasutajate arv on jõudnud mitmesaja miljonini ja uus kvaliteet on ilmunud "virtuaalmajanduse" näol. Selles ostetakse ostusaitide kaudu, kasutades uusi ärimudeleid, oma turundusstrateegiat jne.

Elektrooniline kaubandus (EC) on äritegevus, mille eesmärk on kaupade müük Interneti kaudu. Reeglina eristatakse kahte EÜ vormi:

1. ettevõtetevaheline kaubandus (business to business, B2B);

2. ettevõtete ja eraisikute vaheline kaubandus, s.o. tarbijad (ettevõttelt tarbijale, B2С).

EÜ tõi kaasa sellised uued mõisted nagu:

· E-pood - vitriin ja kauplemissüsteemid, mida kasutavad tootjad või edasimüüjad, kui kauba järele on nõudlus.

· Elektrooniline kataloog – suure kaubavalikuga erinevatelt tootjatelt.

· Elektrooniline oksjon on Interneti-tehnoloogiaid kasutava klassikalise oksjoni analoog, millel on iseloomulik seos multimeediumiliidese, Interneti-juurdepääsukanaliga ja toote omaduste kuvamine.

· Elektrooniline kaubamaja on analoog tavapärasele kaubamajale, kus tavafirmad oma kaupu eksponeerivad, tõhusa tootemargiga (Gostiny Dvor, GUM jne).

· Virtuaalsed kogukonnad (communities), millesse ostjaid organiseerivad huvigrupid (fänniklubid, ühendused jne).

InternetvaladEÜtoobmärkimisväärnekasu:

· Suurte eraettevõtete kokkuhoid tooraine ja komponentide ostude üleviimiselt Interneti-börsidele ulatub 25 - 30%ni;

Osalemine konkureerivate tarnijate oksjonil üle kogu maailma reaalajas toob kaasa nende poolt programmeeritud kaupade tarnimise või teenuste osutamise hindade languse;

kaupade või teenuste hinnatõus kogu maailmast pärit ostjate konkurentsi tõttu;

Kokkuhoid vajalike töötajate arvu ja paberimajanduse vähendamise kaudu

Lääneriikides on EK-s domineerivaks positsiooniks saanud B2B sektor, mis 2007. aastaks ulatub erinevatel hinnangutel 3–6 triljonini. dollareid. Riist- ja tarkvara müüvad ning arvuti- ja telekommunikatsiooniteenuseid pakkuvad ettevõtted said oma äritegevuse üleviimisest Internetti esimestena kasu.

Iga veebipood sisaldab kahte peamist koostisosad: elektroonilinevitriinjakaubandussüsteem.

Elektrooniline vitriin sisaldab teavet veebisaidil müüdavate kaupade kohta, võimaldab juurdepääsu kaupluse andmebaasile, registreerib kliente, töötab kliendi elektroonilise "korviga", vormistab tellimusi, kogub turundusteavet, edastab teavet kauplemissüsteemi.

Kauplemissüsteem tarnib kaubad ja töötleb nende eest tasumist. Kauplemissüsteem on erinevatele ettevõtetele kuuluvate kaupluste kogum, mis rendivad ruumi ühele ettevõttele kuuluvas veebiserveris.

Tehnoloogiatoimivonline pood järgnevalt:

1. Ostja kaupade ja hindade kataloogiga elektroonilisel poes (Koduleht) valib välja soovitud toote ja täidab ankeedi isikuandmetega (nimi, posti- ja meiliaadress, eelistatud tarne- ja makseviis). Kui tasumine toimub interneti kaudu, siis erilist tähelepanu pööratakse infoturbele.

2. Väljastatud kauba ülekandmine veebipoe kauplemissüsteemi,

kus tellimuste komplekteerimine toimub. Kauplemissüsteem toimib käsitsi või automatiseeritud viisil. Manuaalne süsteem toimib postikaubanduse põhimõttel, kui reeglina väikese kaubakogusega ei ole võimalik automaatset süsteemi osta ja seadistada.

Kohaletoimetaminejamaksekaubad.

Kauba tarnimine ostjale toimub ühel võimalikest viisidest:

· kaupluse kuller linnas ja selle lähiümbruses;

· spetsialiseeritud kullerteenus (sh välismaalt);

mail

ise kohaletoimetamine;

Selline konkreetne sõnum edastatakse telekommunikatsioonivõrkude kaudu

kaup kui teave.

Kauba eest saab tasuda järgmistel viisidel:

enne kauba kättesaamist või selle kättesaamise ajal;

sularaha kullerile või päris poodi külastades;

postiülekanne;

· Pangatehing;

· sularahas kättesaamisel;

Krediitkaartide abil (VISA, MASTER CARD jne);

elektrooniliste maksesüsteemide kaudu eraldi reklaami kaudu

pangad (TELEBANK, ASSIST jne).

Viimasel ajal on maailmas e-kaubandus ehk kaubandus Interneti kaudu üsna kiiresti arenenud. Loomulikult viiakse see protsess läbi finantsasutuste otsesel osalusel. Ja selline kauplemisviis on muutumas üha populaarsemaks, vähemalt seal, kus märkimisväärne osa ettevõtetest ja elanikkonnast saab uut elektroonilist turgu kasutada.

Äritegevus elektroonilistes võrkudes eemaldab mõned füüsilised piirangud. Ettevõtted, ühendades oma arvutisüsteemid Internetti, suudavad pakkuda klientidele tuge 24 tundi ööpäevas, ilma pühade ja nädalavahetusteta. Toodete tellimusi saab vastu võtta igal ajal ja kõikjal.

Sellel "medalil" on aga oma tagakülg. Välismaal, kus e-kaubandus on kõige laiemalt arenenud, on tehingud või kaupade maksumus sageli piiratud 300-400 dollariga. Selle põhjuseks on infoturbe probleemide ebapiisav lahendamine arvutivõrkudes. ÜRO kuritegevuse ennetamise ja kontrolli komitee hinnangul on arvutikuritegevus jõudnud ühe rahvusvahelise probleemi tasemele. Ameerika Ühendriikides on seda tüüpi kuritegelik tegevus kasumlikkuse poolest relva- ja narkokaubanduse järel kolmandal kohal.

Interneti kaudu toimuva elektroonilise kaubanduse maailmakäibe maht 2006. aastal võib ettevõtte Forrester Tech. prognooside kohaselt olla 1,8-2 triljonit. dollarit Nii laia prognoosivahemiku määrab e-kaubanduse majandusliku turvalisuse tagamise probleem. Kui turvalisuse tase jääb tänasele tasemele, siis võib e-kaubanduse globaalne käive olla veelgi väiksem. Sellest järeldub, et just e-kaubanduse süsteemi madal turvalisus on e-äri arengut pärssiv tegur.

E-kaubanduse majandusliku turvalisuse tagamise probleemi lahendamine on seotud eelkõige selles kasutatavate infotehnoloogiate kaitse küsimuste lahendamise ehk infoturbe tagamisega.

Äriprotsesside integreerimine internetikeskkonda toob kaasa põhimõttelise muutuse olukorrast turvalisusega. Õiguste ja kohustuste genereerimine elektroonilise dokumendi alusel eeldab igakülgset kaitset nii dokumendi saatja kui ka saaja ohtude terviku vastu. Kahjuks on e-kaubanduse ettevõtete juhid infoohtude tõsidusest ja oma ressursside kaitse korraldamise tähtsusest täielikult teadlikud alles pärast seda, kui on sattunud inforünnete alla. Nagu näete, on kõik need takistused seotud infoturbe valdkonnaga.

Äritehingute tegemise põhinõuete hulgas on konfidentsiaalsus, terviklikkus, autentimine, autoriseerimine, garantiid ja salastatus.

Infoturbe saavutamisel on tagatud selle kättesaadavus, konfidentsiaalsus, terviklikkus ja õiguslik tähendus põhilised ülesandeid. Iga ohtu tuleb arvesse võtta selle seisukohast, kuidas see võib mõjutada neid nelja turvalise teabe omadust või omadust.

Konfidentsiaalsus tähendab, et piiranguga teave peaks olema kättesaadav ainult isikule, kellele see on mõeldud. Teabe terviklikkust mõistetakse kui selle omadust eksisteerida moonutamata kujul. Teabe kättesaadavuse määrab süsteemi võime tagada õigeaegne ja takistamatu juurdepääs teabele subjektidele, kellel on selleks vastavad volitused. Info juriidiline tähendus on viimasel ajal üha olulisemaks muutumas koos infoturbe regulatiivse raamistiku loomisega meie riigis.

Kui esimesed neli nõuet on tehniliste vahenditega täidetud, siis kahe viimase täitmine sõltub nii tehnilistest võimalustest kui ka üksikisikute ja organisatsioonide vastutusest ning tarbijat müüja võimaliku pettuse eest kaitsvate seaduste järgimisest.

Igakülgse infoturbe tagamise osana tuleb eelkõige esile tuua võti Probleemidvaladturvalisuselektrooniline äri mis sisaldavad:

teabe kaitse selle edastamisel sidekanalite kaudu; arvutisüsteemide, andmebaaside ja elektroonilise dokumendihalduse kaitse;

Elektroonilisel kujul teabe pikaajalise säilitamise tagamine;

Tehingute turvalisuse tagamine, äriteabe saladus, autentimine, intellektuaalomandi kaitse jne.

Olemasmituliigidähvardusedelektroonilinekaubandus:

· Tungimine süsteemi väljastpoolt.

· Volitamata juurdepääs ettevõtte sees.

· Teabe tahtlik pealtkuulamine ja lugemine.

· Andmete või võrkude tahtlik rikkumine.

· Kasutaja vale (pettuse eesmärgil) tuvastamine.

· Häkkimise tarkvara ja riistvara kaitse.

· Kasutaja volitamata juurdepääs ühest võrgust teise.

Viiruse rünnakud.

· Teenusest keeldumine.

· Finantspettus.

Nende ohtude vastu võitlemiseks kasutatakse mitmeid erinevatel tehnoloogiatel põhinevaid meetodeid, nimelt: krüpteerimine – andmete kodeerimine, mis takistab nende lugemist või moonutamist; digitaalallkirjad, mis kontrollivad saatja ja saaja identiteeti; elektroonilisi võtmeid kasutavad vargsi tehnoloogiad; tulemüürid; virtuaalsed ja privaatvõrgud.

Ükski kaitsemeetod pole universaalne, näiteks ei kontrolli tulemüürid viiruste olemasolu ega suuda tagada andmete terviklikkust. Automaatse kaitse rikkumise vastu võitlemiseks pole absoluutselt usaldusväärset viisi ja see on ainult aja küsimus, millal see rikutakse. Kuid aeg, mis kulub sellise kaitse purustamiseks, sõltub omakorda selle kvaliteedist. Pean ütlema, et tarkvara ja riistvara Interneti-ühenduste ja -rakenduste kaitsmiseks on välja töötatud pikka aega, kuigi uusi tehnoloogiaid võetakse kasutusele mõnevõrra ebaühtlaselt.

Milline ähvardused varitsema e-kaubandusega tegelevat ettevõtet pealkõiketapp:

· e-poe serveri veebilehe asendamine (päringute suunamine teisele serverile), kliendi, eelkõige tema krediitkaartide kohta teabe kättesaadavaks tegemine kolmandatele isikutele;

võltstellimuste loomine ja mitmesugused pettused elektroonikapoe töötajate poolt, näiteks manipuleerimine andmebaasidega (statistika näitab, et üle poole arvutiintsidentidest on seotud nende enda töötajate tegevusega);

e-kaubanduse võrkude kaudu edastatavate andmete pealtkuulamine;

Sissetungijate tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine;

teenuse keelamise rünnakute rakendamine ja e-kaubanduse saidi häirimine või häirimine. Taoliste ohtude realiseerimise tulemusena kaotab ettevõte klientide usalduse, kaotab raha võimalikest ja/või mittetäielikest tehingutest, häirib elektroonikapoe tegevust, kulutab aega, raha ja inimressurssi toimimise taastamiseks.

Loomulikult ei ole Interneti kaudu edastatava teabe pealtkuulamisega seotud ohud e-kaubanduse valdkonnale ainuomased. Viimasega seoses on eriti oluline asjaolu, et selle süsteemides liigub suure majandusliku tähtsusega info: krediitkaartide numbrid, kontonumbrid, lepingute sisu jne.

Esmapilgul võib tunduda, et iga selline juhtum pole midagi muud kui konkreetse e-äriüksuse siseasi. Mõelgem aga 2000. aastale, mida iseloomustasid juhtivate, tõeliselt üleriigiliste e-äri serverite massilised tõrked: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek ja E*Trade. FBI uurimine tuvastas, et need serverid läksid alla, kuna neile saadetud teenusetaotluste arv suurenes rakendatud DoS-rünnakute tõttu. Näiteks ostuserveri päringuvood ületasid u1089 keskmist 24 korda ja limiidi 8 korda. Erinevatel hinnangutel kõigub nende tegudega Ameerika majandusele kantud majanduslik kahju poolteise miljardi piiri ümber.

Turvalisuse tagamine pole mitte ainult eduka e-äri eeldus, vaid ka osapooltevahelise usaldusliku suhte alus. E-äri põhiolemus on aktiivne infovahetus, tehingud läbi turvamata avaliku võrgu, mis on lihtsalt võimatud ilma äriüksuste vahelise usaldusliku suhteta. Seetõttu on turvalisus keeruline, hõlmates selliseid ülesandeid nagu juurdepääs veebiserveritele ja veebirakendustele, kasutajate autentimine ja autoriseerimine, andmete terviklikkuse ja konfidentsiaalsuse tagamine, elektroonilise digitaalallkirja rakendamine jne.

Interneti kasvava kommertsialiseerumisega pööratakse üha enam tähelepanu võrgu kaudu edastatava teabe kaitsele. Spetsiaalsed protokollid, mis on loodud turvalise suhtluse korraldamiseks Interneti kaudu (näiteks SET, SOCKS5, SSL, SHTTP jne), on laialdaselt tunnustatud kogu maailmas ja neid kasutavad edukalt välismaised arendajad Interneti-põhiste pangandus- ja kauplemissüsteemide loomiseks. Elektroonilise äri infoturbe probleemidega tegeleb sõltumatu konsortsium - Internet Security Task Force (ISTF) - avalik-õiguslik organisatsioon, mis koosneb ettevõtete - infoturbevahendite tarnijate, elektroonilise äri ja Interneti-teenuse pakkujate - esindajatest ja ekspertidest.

ISTF konsortsium tõstab esile kaksteistpiirkondadesinformatiivneturvalisus, mis peaks eelkõige suunama elektroonilise äri korraldajate tähelepanu:

mehhanism tuvastava teabe objektiivseks kinnitamiseks

õigus isiklikule, privaatsele teabele;

turvasündmuste määratlemine;

ettevõtte perimeetri kaitse;

rünnakute määratlus;

· potentsiaalselt ohtliku sisu kontroll u1086;

· juurdepääsu kontroll;

· asjaajamine;

reaktsioon sündmustele.

On teada, et elektroonilise digitaalallkirja (EDS) algoritmide kasutamine võimaldab usaldusväärselt kaitsta paljude ohtude eest, kuid see kehtib ainult siis, kui need algoritmid on põimitud põhjendatud interaktsiooniprotokollideks, juriidiliselt korrektseks suhete ülesehituseks ja loogiliselt suletud. usaldussüsteem.

Infokaitse aluseks on digiallkirja arvutamise protsesside lihtne loogika ja selle vastava võtmepaariga kontrollimine, aga matemaatilistel fundamentaaluuringutel põhinev loogika. Digiallkirja saab arvutada ainult privaatvõtme omanik ja seda saab kontrollida igaüks, kellel on privaatvõtmele vastav avalik võti.

Loomulikult tuleks infoturbe tagamisse kaasata selle ala spetsialiste, kuid riigiasutuste, ettevõtete ja asutuste juhid, sõltumata omandist, kes vastutavad teatud majandusüksuste majandusliku turvalisuse eest, peavad neid küsimusi pidevalt oma valdkonnas hoidma. nägemisest. Nende jaoks on allpool peaminefunktsionaalneKomponendidorganisatsioonidintegreeritudsüsteemid informatiivneturvalisus:

· sideprotokollid;

krüptograafia vahendid;

· vahendid töökohtadele juurdepääsu kontrollimiseks avalikest võrkudest;

· viirusevastased kompleksid;

Sissetungi tuvastamise ja auditi programmid;

· tööriistad kasutaja juurdepääsu juhtimise tsentraliseeritud haldamiseks, samuti andmepakettide ja mis tahes rakenduste sõnumite turvaliseks vahetamiseks avatud võrkude kaudu.

Internetis on pikka aega olnud mitmeid komiteesid, peamiselt vabatahtlikke organisatsioone, mis juhivad pakutavaid tehnoloogiaid hoolikalt läbi standardimisprotsessi. Need komiteed, mis moodustavad suurema osa IETF-ist (Internet Engineering Task Force), on standardiseerinud mitu olulist protokolli, mis kiirendab nende kasutuselevõttu Internetis.

Protokollid, nagu TCP/IP-perekond andmeedastuseks, SMTP (Simple Mail Transport Protocol) ja POP (Post Office Protocol) e-posti jaoks ning SNMP (Simple Network Management Protocol) võrguhalduseks, on IETF-i jõupingutuste otsesed tulemused. Kasutatava kaitsevahendi tüüp sõltub ettevõtte vajadustest.

Internetis on populaarsed turvalised andmeedastusprotokollid, nimelt SSL, SET, IP v.6. Loetletud protokollid ilmusid Internetti suhteliselt hiljuti, kui vajadus kaitsta väärtuslikku teavet, ja muutusid kohe de facto standarditeks.

Tuletage meelde, et Internet loodi mitu aastakümmet tagasi väikese väärtusega teaduslikuks teabevahetuseks. Kahjuks suhtub Venemaa endiselt väga ettevaatlikult võimalusesse tuua Internet nendesse tegevusvaldkondadesse, mis on seotud konfidentsiaalse teabe edastamise, töötlemise ja säilitamisega. Sellist ettevaatlikkust ei seleta mitte ainult kodumaiste finantsstruktuuride konservatiivsus, mis pelgavad interneti avatust ja ligipääsetavust, vaid osaliselt ka asjaolu, et enamik Lääne tootjate infoturbetarkvarast siseneb meie turule ekspordipiirangutega. mis puudutab neis rakendatud krüptoalgoritme. Näiteks selliste tootjate nagu Microsoft ja Netscape Communications WWW-serveritele ja brauseritele mõeldud tarkvara ekspordiversioonides on SSL-protokolli kasutatavate ühe- ja kahevõtmeliste krüpteerimisalgoritmide võtme pikkusele piirangud, mis ei paku täielikku. kaitse Internetis töötamisel.

E-kaubanduse rakendused puutuvad aga lisaks sisemistele ohtudele kokku ka internetist tulevate väliste ohtudega. Ja kuna igale anonüümsele külastajale ei ole otstarbekas eraldi sisselogimise ID-d määrata (kuna rakendus ei kasva), peavad ettevõtted kasutama teistsugust autentimist. Lisaks on vaja serverid ette valmistada rünnakute tõrjumiseks. Lõpuks tuleb kriitiliste andmete, näiteks krediitkaardinumbrite puhul olla äärmiselt ettevaatlik. Andmete krüptimine Ettevõtte sait käsitleb tundlikku teavet (nt tarbijakrediitkaardinumbreid). Sellise teabe edastamine Interneti kaudu ilma igasuguse kaitseta võib põhjustada korvamatuid tagajärgi. Igaüks võib edastust pealt kuulata ja seega pääseda ligi konfidentsiaalsele teabele. Seetõttu tuleb andmed krüpteerida ja edastada turvalise kanali kaudu. Turvalise andmeedastuse rakendamiseks kasutatakse SecureSockets Layer (SSL) protokolli. Selle funktsiooni rakendamiseks peate ostma digitaalse sertifikaadi ja installima selle serverisse. Digisertifikaadi saamiseks võite pöörduda mõne sertifitseerimisasutuse poole. Tuntud kaubanduslike shulka kuuluvad: VerySign, CyberTrust, GTE. SSL on skeem sellistele protokollidele nagu HTTP (nn HTTPS, kui see on turvaline), FTP ja NNTP. Kui kasutate andmeedastuseks SSL-i:

Andmed on krüpteeritud

lähteserveri ja sihtserveri vahel

turvaline ühendus;

· Serveri autentimine on lubatud.

Kui kasutaja esitab SSL-i kasutades krediitkaardi numbri, krüpteeritakse andmed kohe, nii et häkker ei näe nende sisu. SSL on võrguprotokollist sõltumatu. Netscape'i serveritarkvara pakub ka autentimist – sertifikaate ja digitaalallkirju –, et kontrollida kasutaja identiteeti ja sõnumi terviklikkust ning veenduda, et sõnum ei ole oma marsruuti muutnud. Autentimine hõlmab kasutaja identiteedi kinnitamist ja digitaalallkirja, et kontrollida teabevahetuse ja finantstehingutega seotud dokumentide autentsust. Digiallkiri on andmed, mida saab võltsimise vältimiseks lisada dokumendile.

Paljastavinvasioonid

Sissetungituvastussüsteemid (IDS) suudavad tuvastada rünnete mustreid või jälgi, genereerida häireid operaatorite hoiatamiseks ja paluda ruuteritel katkestada ühendused ebaseaduslike sissetungi allikatega. Need süsteemid võivad takistada ka teenuse keelamise katseid.

Kaitseandmeidsait

Saidiandmete kaitsmiseks peate analüüsima saidi kasutatavaid andmeid ja määratlema turbepoliitika. Need andmed võivad olla HTML-kood, andmebaasi salvestatud kliendi- ja tooteandmed, kataloogid, paroolid ja muu autentimisteave. Siin on mõned põhiprintsiibid, mida saab andmeturbepoliitika määratlemisel kasutada.

· Hoidke tundlikke andmeid sisemise tulemüüri taga turvalises sisevõrgus. Tundlike andmete jaoks tuleks ette näha minimaalne arv juurdepääsupunkte. Samas tuleb meeles pidada, et turvakihtide lisamine ja süsteemile juurdepääsu raskendamine mõjutab süsteemi kui terviku tööd.

· Andmebaase, mis salvestavad madala tundlikkusega andmeid, saab majutada DMZ-serverites.

· Paroole saab pärast teisendamist salvestada ühesuunaliste algoritmide abil. See muudab aga võimatuks rakendada levinud (ja populaarset) võimalust käsitleda sõnumeid nagu "Unustasin oma parooli, palun saatke see mulle", kuigi on võimalik luua uus parool ja saata see alternatiivina.

· Tundlikku teavet – näiteks krediitkaardinumbreid – saab pärast krüptimist andmebaasidesse salvestada. Ainult volitatud kasutajad ja rakendused saavad selle dekrüpteerida iga kord, kui vajadus tekib. See aga mõjutab ka kogu süsteemi kiirust.

Saidiandmeid saate kaitsta ka keskmise astme komponentide abil. Neid komponente saab programmeerida kasutajate autentimiseks, võimaldades ainult volitatud kasutajatel juurdepääsu andmebaasile ja selle komponentidele ning kaitsta neid väliste ohtude eest. Saate rakendada täiendavaid turvafunktsioone süsteemi serveri poolel. Näiteks saate kasutada SQLServeri kohandatud turvafunktsioone, et vältida volitamata sisemist juurdepääsu andmebaasile. Pange tähele, et sama oluline on kaitsta tarbijateavet sisaldavaid varukoopiaid.

Olukorda raskendab asjaolu, et iga nädalaga avastatakse üha uusi andmeisse imbumise või kahjustamise viise, mida suudavad jälgida vaid infoturbele spetsialiseerunud erialaorganisatsioonid.

Kaubanduse integreerimine internetti tõotab julgeolekuolukorras põhimõttelist muutust. Interneti kasvava kommertsialiseerumisega pööratakse üha enam tähelepanu võrgu kaudu edastatava teabe kaitsele. Seetõttu määravad edusammud infoturbe vallas suuresti e-kaubanduse protsessi arengu.

Majandusobjektide infoturbe probleem on mitmetahuline ja vajab edasist uurimist. Kaasaegses maailmas on informatiseerimisest saamas strateegiline riiklik ressurss, majanduslikult arenenud riigi üks peamisi rikkusi. Informatiseerimise kiire paranemine Venemaal, selle tungimine kõigisse üksikisiku, ühiskonna ja riigi eluliste huvide sfääridesse, lisaks vaieldamatutele eelistele, tõi kaasa mitmete oluliste probleemide ilmnemise. Üks neist oli teabe kaitsmise vajadus. Arvestades, et praegu määrab majanduspotentsiaali üha enam infotaristu arengutase, siis proportsionaalselt kasvab ka majanduse potentsiaalne haavatavus infomõjude suhtes. Infoturbeohtude realiseerimine on teabe konfidentsiaalsuse, terviklikkuse ja kättesaadavuse rikkumine. Infokaitse süstemaatilise lähenemise seisukohalt on majandusobjekti kõigis struktuurielementides ja teabetöötluse tehnoloogilise tsükli kõikides etappides vaja kasutada kogu olemasolevate kaitsevahendite arsenali. Kaitsemeetodid ja -vahendid peaksid usaldusväärselt blokeerima kaitstud saladustele ebaseadusliku juurdepääsu võimalikud viisid. Infoturbe tõhusus tähendab, et selle rakendamise kulud ei tohiks ületada infoohtude realiseerimisest tulenevaid võimalikke kahjusid. Infoturbe planeerimine toimub iga teenuse poolt üksikasjalike infoturbeplaanide väljatöötamise kaudu. Vaja on selgust kasutajate volituste ja õiguste kasutamisel teatud tüüpi teabele juurdepääsuks, kaitsevahendite kontrolli tagamisel ja nende rikke korral viivitamatul reageerimisel.

2. AnalüüsmaksesüsteemidQIWI

ajaloolineviide.

QIWI Walleti süsteemi töötas välja ja reklaamis samanimeline Moskva ettevõte Mobile Wallet LLC. LLC "Mobile Wallet" strateegiline partner on United System of Instant Payments (OSMP). Tänu kahe maksesüsteemi koostööle saavad QIWI Walleti kliendid teha makseid suurimate mobiilioperaatorite, IP-telefoni ja Interneti-teenuse pakkujate kasuks.

Ametlikult käivitati maksesüsteem Mobile Wallet 2006. aasta juunis, kuid selle äritegevuse periood algas alles sama aasta septembris. Süsteem kuulub samasse ettevõtete gruppi nagu OSMP, MultiKassa, X-PAY, UPAY jne. Jutt käib Master Management Companyst.

2010. aastal vormistati programm lõpuks QIWI Walleti maksesüsteemiks - universaalteenuseks kaupade ja teenuste mugavaks ostmiseks. QIWI Walleti maksesüsteem areneb aktiivselt. Selle makseteenuse teenuseid kasutab juba üle 400 000 abonendi. Iga päev läbib Mobile Walleti süsteemi umbes 50 000 makset, päevas registreeritakse üle 1000 unikaalse kasutaja.

Riik.seaduslikruumi

QIWI Walleti süsteemi õigusruum on Venemaa Föderatsioon.

Valuuta

Süsteemis arveldamiseks kasutatakse elektroonilist valuutat Mobile Wallet RUB (lühend: MWRUB, kood: 130), mis on samaväärne Vene rubladega.

Iseärasusedsüsteemid.eesmärk.

Sõltumatu maksesüsteem "QIWI Wallet" on spetsialiseerunud mobiilimaksete tarkvaratoodete arendamisele ja toele. Ettevõtte tänane põhitoode on samanimeline makseplatvorm, mis võimaldab kasutajatel teha makseid rohkem kui 200 pakkujale, kasutades mobiiltelefoni installitud JAVA rakendust või isiklikult veebisaidi kontolt. Lisaks on QIWI Walletil oma mobiilipanga lahendus.

Süsteem koosneb kolmest põhikomponendist:

· Klienditerminal on Java-rakendus, mis on intuitiivne menüü, mille abil saate eelinstallitud käskude komplekti kasutades teha erinevaid toiminguid, et kontrollida oma virtuaalse konto olekut ja hallata sellel olevaid rahalisi vahendeid.

· Virtuaalne konto on kasutajakonto töötlemiskeskuses, mis asub QIWI Purse ettevõtte serverites. Virtuaalkonto toimib tehingu ajal vahendajana klienditerminali ja pakkuja (teenusepakkuja) vahel.

· Operatiivne arveldushaldusüksus on riistvara-tarkvara kompleks, mis seob kokku kõik "QIWI rahakoti" elemendid.

Süsteemi peamised omadused:

mobiilioperaatorite teenuste eest tasumine;

Interneti-juurdepääsu, erinevate Interneti-teenuste eest tasumine;

makse satelliidi, digitaaltelevisiooni eest;

rahaülekanded teiste maksesüsteemide kontodele (näiteks WebMoney);

· Kommunaalteenuste, tavatelefoniteenuste jms eest tasumine;

raha ülekandmine teie "mobiilsest rahakotist" teisele ilma vahendustasuta;

sularaha väljavõtmine pangasüsteemi kaudu KONTAKT.

Turvalisusrahalinerahalised vahendid.

QIWI Walleti süsteemi kasutajate rahalised vahendid on tagatud Mobile Wallet LLC arvelduskontodele paigutatud vahenditega. Tegelikult on need vahendid kasutajate ettemaksed tulevaste tellimuste eest.

Maksesüsteemi kasutajate ja Mobile Wallet LLC, samuti selle süsteemi jaoks arveldus-, tehnoloogilisi ja infoteenuseid pakkuvate ettevõtete vahelisi suhteid reguleerivad kehtivad Vene Föderatsiooni õigusaktid ja “QIWI Walleti makseteenuse kasutamise leping ”, mis on sõlmitud artikli lõike 2 kohaselt. Vene Föderatsiooni tsiviilseadustiku artikli 437 kohaselt, nõustudes registreerimisel avaliku pakkumise tingimustega.

Vastavalt avaliku pakkumise tingimustele võtab Mobile Wallet LLC kasutajatelt vastu ettemakseid Vene rublades ja käsutab neid vahendeid kasutaja maksekorralduste täitmiseks, mis tagab nende ohutuse. Süsteemi kasutaja võib igal ajal vastavalt kehtestatud korrale keelduda tasumisest ja tagastada ettemaksuraha

registreeriminevsüsteem.

QIWI Walleti süsteemis registreerimine on võimalik alles pärast teenuselepingu sõlmimist, mis toimub avaliku pakkumise vastuvõtmisega süsteemi veebisaidil. Pärast seda peab tulevane maksesüsteemi kasutaja tegema järgmised toimingud:

· Installige oma mobiilseadmesse QIWI Walleti Java rakendus, mille levipakett asub aadressil wap.qiwi.ru/, pda.qiwi.ru/

· Kinnitage oma nõusolekut Pakkumise tingimustega, valides QIWI Wallet Java rakenduses sobiva üksuse.

· Märkige oma mobiilsideoperaatori SIM-kaardile kuuluva mobiilseadme number. Edaspidi kasutatakse määratud numbrit (mis sisaldab riigikoodi, operaatori def-koodi ja isiku tegelikku telefoninumbrit) püsiva kasutaja sisselogimisena süsteemis.

· Saate määratud abonendinumbrile SMS-i ja sisestage saadud registreerimise kinnituskood Java rakendusse.

· Määrata iseseisvalt pin-kood, mida kasutatakse tulevikus Java rakenduse käivitamiseks ja süsteemis oluliste toimingute tegemiseks. PIN-kood peab koosnema numbritest vahemikus 0 kuni 9 ja olema vähemalt nelja tähemärgi pikkune.

Pärast kõigi loetletud toimingute sooritamist registreerib QIWI Walleti maksesüsteem ta määratud autentimisandmetega. Registreerimise tulemuste põhjal määratakse kasutajale konto. Kasutajakonto number on unikaalne 10-kohaline kombinatsioon, mis kuvatakse tarkvara kliendiliidese vasakus ülanurgas.

Enne süsteemi teenuste kasutamist peate tegema paar sammu. Nimelt: laadige telefoni rakendusse teenusepakkujate seadistus ja täiendage oma virtuaalse konto saldot süsteemis.

Peale registreerimist ja ettemaksu tasumist loetakse leping maksesüsteemi ja kasutaja vahel sõlmituks. See tähendab, et kasutaja on täielikult tutvunud teenuste osutamise tingimuste ja süsteemi toimimisega ning ühtlasi tunnistab selle tingimusteta sobivust oma maksekohustuste täitmiseks.

Anonüümsus.

QIWI Walleti süsteemis registreerumisel ei pea märkima passiandmeid, vaid ainult mobiiltelefoni numbrit.

Kasutaja peab iseseisvalt võtma kõik vajalikud meetmed, et säilitada konfidentsiaalsus, vältida volitamata kasutamist ja kaitsta autentimisandmeid kolmandate isikute volitamata juurdepääsu eest.

Süsteem omakorda kohustub hoidma konfidentsiaalsust kasutaja isikuandmete, samuti muu kasutaja kohta makseteenuse kasutamisega seoses süsteemile teatavaks saanud teabe osas, välja arvatud juhul, kui:

selline teave on avalikult kättesaadav;

avaldatakse kasutaja nõudmisel või loal;

kuulub kasutaja vastaspooltele pakkumisele summas, mis on vajalik Pakkumise tingimuste täitmiseks;

· nõuab avalikustamist seaduses sätestatud alustel või kahtlaste tehingute korral või vastavate taotluste saamisel kohtult või volitatud riigiorganitelt;

muudel juhtudel, mis on ette nähtud kasutaja ja süsteemi vahelises lepingus.

Krüptograafiajaohutus.

QIWI Walleti süsteemis on kasutajatehingute teabe kaitsmise funktsioon määratud andmete krüpteerimisalgoritmile, mis põhineb DES3 (Data Encryption Standard 3) standardil. Lisaks saab kasutaja oma "Mobiilse rahakoti" kaitsmiseks mobiiltelefoni kaotamise või varguse korral iseseisvalt määrata täiendava PIN-koodi, et siseneda oma seadmesse JAVA rakendusse. Mis puutub veebiliidese kaudu süsteemiga töötamisse, siis siin on täiendavaks turvavõimaluseks võimalus piirata juurdepääsu isiklikule kontole IP-aadressi järgi.

Sisendjajäreldusraha.

QIWI Walleti süsteemis konto täiendamiseks on mitu võimalust:

Ettevõtte OSMP maksete vastuvõtupunktide ja iseteenindusmasinate kaudu www.osmp.ru

· Saate oma QIWI rahakotti täiendada oma QIWI isikliku konto kaudu OSMP iseteenindusseadmetes. "QIWI rahakoti" ja "Isikliku konto QIWI" saldod on samad. Täiendades “QIWI isikliku konto” saldot, täiendab kasutaja automaatselt oma “QIWI rahakoti” saldot.

· E-sadama ettevõtte arvete maksepunktides ja iseteenindusmakseterminalides www.e-port.ru

· Rahvusvahelise rahaülekandesüsteemi Unistream www.unistream.ru töötavates kassades.

· WebMoney WMR ja WMZ omandiühikute, e-kulda, Yandex Money, Money Maili ja muude elektrooniliste valuutade vahetamine teenuses ROBOXchange, www.roboxchange.com.

· Mis tahes 600 CONTACT maksepunktist, mis asuvad Vene Föderatsiooni territooriumil. www.contact-sys.com.

· SprintNet, X-plat, Novoplat ettevõtete iseteenindusterminalid.

Saate QIWI Walleti süsteemis oma kontolt sularaha välja võtta, kasutades süsteemi CONTACT mis tahes 1600 teeninduspunktist, mis asuvad peaaegu kogu Vene Föderatsioonis.

Hinnad.komisjonsüsteemid.

Komisjonitasu "QIWI isikliku konto" täiendamise eest summas 500 rubla. ja rohkem on 0%, väiksema summa puhul 3%, kuid mitte vähem kui 3 rubla. QIWI Walleti süsteemi poolt võetav väljamaksetasu on vähemalt 4% ülekande summast. Minimaalne summa on 1000 rubla. Vahetusteenuse vahendustasu WebMoney WMR ja WMZ, e-kulda, Yandex Money, Money Maili ja muude elektrooniliste valuutade vahetamisel QIWI rahakoti täiendamise eest on 1–1,5%, väljavõtmisega - 0,5%.

Panga "Unistream" kassades "QIWI rahakoti" täiendamiseks raha vastuvõtmisel on vahendustasu 1% maksesummast, mis võetakse lisaks maksesummale.

JSC CB UNISTREAM partnerpankade teeninduspunktides raha vastuvõtmisel on vahendustasu 2% makse summast, mille võtab partnerpank lisaks maksesummale. Kommunaalteenuste eest tasumisel võtab QIWI Walleti süsteem vahendustasu 1%. Kõigi muude süsteemis kasutajale saadaolevate toimingute eest, sealhulgas rahaülekannete eest QIWI Walleti süsteemi kasutajate kontode vahel, komisjonitasu ei võeta.

Mikrojamakro-maksed.

Minimaalne makse süsteemis on 100 rubla. Raha krediteerimisel ja väljavõtmisel QIWI rahakotti ja sealt süsteemi "KONTAKT" kaudu on minimaalne makse 1000 rubla.

Raamatupidaminejamaksud.

Kogu dokumendivoog kasutaja ja QIWI Walleti süsteemi vahel toimub elektrooniliselt. Poolte vastastikuste kohustuste hetkeseisu kajastab maksesüsteemi QIWI Wallet veebisaidil spetsiaalne tarkvara- ja riistvarakompleks. Maksesüsteem "QIWI Wallet" on elektrooniline register kasutaja ja süsteemi vastastikuste õiguste ja kohustuste tekkimise, muutumise või lõppemise kohta. Autentimisandmed juurdepääsuks spetsiaalsele kasutajaliidesele on määratletud kui vajalikud ja piisavad kasutaja sisselogimise ja parooli näol. Makseteenus "QIWI Wallet" pakub analüütiliste kontode teenuseid nende operaatorite raamatupidamissüsteemides, mille maksjaks või tellijaks on süsteemi kasutaja. Analüütiline konto kajastab kasutajale teenuse osutamise, tööde tegemise või kauba müügiga seotud tehinguid. Sularahas otsearveldust süsteemi kasutaja ja Mobile Wallet LLC vahel ei pakuta.

Laenamine.

Laenamist süsteemis "QIWI Wallet" ei pakuta.

patroonikstehinguid(kahefaasilinemaksed).

Kahefaasilisi makseid tehingukaitsega QIWI Walleti maksesüsteemis ei rakendata.

Taastuminerahakott.

Kui süsteemi "Mobiilne rahakott" kasutaja on parooli unustanud või kaotanud, tuleb tal saata SMS numbrile 7015 tekstiga MP (ladina keeles). Vastuseks saadab süsteem SMS-i uue parooliga. Kui kinnituskood läks kaduma, tuleb samale numbrile saata SMS tekstiga MC (ladina keeles). Süsteem genereerib uue kinnituskoodi ja saadab selle SMS-i teel kasutaja telefoninumbrile.

turvaline e-kaubanduse internet

Bibliograafilinenimekirja

1. Sibirskaja E.V. E-kaubandus: õpik. Posorbie / E.V. Sibirskaja, O.A. Startseva. - M.: INFRA-M, 2008. - 288s.

2. Aleksunin V.A. E-kaubandus ja turundus Internetis: Proc. toetus./ V.A. Aleksunin. - Dashkov ja K, 2005. - 216s.

3. Eeldus I. Interneti-äri entsüklopeedia / I. Uspensky .- Peterburi: Peter, 2001. - 432lk.

6.roboxchange.com

Majutatud saidil Allbest.ru

...

Sarnased dokumendid

e-kaubanduse turg. E-kaubanduse funktsionaalsuse ja tööriistade analüüs. Kauba tagastamine ja mahakandmine. Tehniline tugi ja kasutajatugi. Veebipoe äriprotsesside juurutamine ja arendamine.

lõputöö, lisatud 11.06.2013

Internetis toimuva elektroonilise kaubanduse kontseptsioon ja olemus. Tema poolt veebipoest tellitud kaubaartiklite ostjale kohaletoimetamise reeglid ja viisid. Kaupade kohaletoimetamise korraldamise peamised tüübid. Turunduspoliitika probleem e-kaubanduses.

abstraktne, lisatud 01.09.2011

Elektroonilise kaubanduse arendamise kontseptsioon ja efektiivsus. Peamised sissetulekute liigid Internetis. Maksesüsteemide omadused. Kaitseobjektid e-kaubanduse turvasüsteemis. Ettevõtlusvormide kogum.

kursusetöö, lisatud 07.12.2013

E-kaubanduse tekkimine ja areng, selle liigid, omadused, eelised, peamised probleemid. Veebipoe eelised müüja ja ostja positsioonilt. Maksesüsteemid ja kauba kohaletoimetamise viisid. Ettevõtte Delivery Club omadused ja analüüs.

kursusetöö, lisatud 08.02.2016

Mobiilse ja e-kaubanduse turu-uuring. Andmete kogumise metoodika. Mobiilseadmete, rakenduste ja teenuste kasutamine veebikaubanduses. Mobiilirakendusi kasutavate e-kaubanduse ärimudelite tunnused.

lõputöö, lisatud 31.08.2016

E-kaubanduse plussid ja miinused. E-kaubanduse tehnikate rakendamine. Veebipoe skeem, tarbijapublik. Lehekülje korraldus ja paigutus. Hinnake ressursi loomise maksumust. Määrake saidi sissetulekuvõimalused.

lõputöö, lisatud 24.06.2012

E-kaubanduse ja kaubanduse mõiste, nende efektiivsuse mõiste. Kaitseobjektid e-kaubanduse turvasüsteemis. Potentsiaalse sissetungija mudeli loomine. Internetist infootsingu põhimõtted ja vahendid.

kursusetöö, lisatud 02.07.2012

Kauba edendamise mõiste, ülesanded ja liigid. E-kaubanduse atraktiivsuse analüüs Venemaal, selle rakendamise meetodid Internetis. Lasteriiete veebipoe tootevalik, selle turundustegevus ja reklaamiprogramm.

kursusetöö, lisatud 12.12.2013

Ettevõtete kategoriseerimine e-kaubanduses. Saidi struktuuri moodustamine. Toote üksikasjade väljatöötamine. Saidi autoriteetsus ja otsingumootorite usaldus. Interneti-turunduse reklaamivahendite spetsiifilisus, individuaalsed omadused ja kasutamise meetodid.

lõputöö, lisatud 30.11.2016

Elektroonilise kaubanduse kontseptsioon ja Interneti mõju globaalsele teenindussektorile. E-kaubanduse hetkeseis ja väljavaated Venemaal, pakkujaturu areng. Veebipoest kaupade ostmise tehnoloogia. Välismaa autoturg.

Elektroonilise kaubanduse infoturve (EÜ)

E-kaubandus (EC) on äritegevus, mille eesmärk on kaupade müük Interneti kaudu. Reeglina eristatakse kahte EÜ vormi:

* ettevõtetevaheline kaubandus (business to business, B2B);

* kaubandus ettevõtete ja eraisikute vahel, s.o. tarbijad (ettevõttelt tarbijale, B2C).

EÜ tõi kaasa sellised uued mõisted nagu:

* E-pood - vitriin ja kauplemissüsteemid, mida kasutavad tootjad või edasimüüjad, kui kauba järele on nõudlus.

* Elektrooniline kataloog - suure tootevalikuga erinevatelt tootjatelt.

* Elektrooniline oksjon on Interneti-tehnoloogiaid kasutava klassikalise oksjoni analoog, millel on iseloomulik sidumine multimeediumiliidese, Interneti-juurdepääsukanaliga ja kauba omaduste kuvamine.

* Elektrooniline kaubamaja on analoog tavapärasele kaubamajale, kus tavafirmad oma kaupu eksponeerivad, tõhusa tootemargiga (Gostiny Dvor, GUM jne).

* Virtuaalsed kogukonnad (kogukonnad), milles ostjaid korraldavad huvigrupid (fänniklubid, ühendused jne).

Internet toob CI valdkonnas märkimisväärset kasu:

* suurte eraettevõtete kokkuhoid tooraine ja komponentide ostude üleviimiselt Interneti-börsidele ulatub 25 - 30%ni;

* reaalajas osalemine konkureerivate tarnijate oksjonil üle kogu maailma toob kaasa nende poolt programmeeritud kaupade tarnimise või teenuste osutamise hindade languse;

* kaupade või teenuste hinnatõus üle maailma ostjate konkurentsi tõttu;

* Kokkuhoid vajalike töötajate arvu ja paberimajanduse vähendamise kaudu.

Iga veebipood sisaldab kahte peamist koostisosad:

elektrooniline kauplus ja kauplemissüsteem.

Veebipoe töötehnoloogia järgnevalt:

Ostja kaupade ja hindade kataloogiga elektroonilisel poel (veebisaidil) valib välja soovitud toote ja täidab ankeedi isikuandmetega (nimi, posti- ja e-posti aadress, eelistatud tarne- ja makseviis). Kui tasumine toimub interneti kaudu, siis erilist tähelepanu pööratakse infoturbele.

Väljastatud kauba ülekandmine veebipoe kauplemissüsteemi,

Kauba kohaletoimetamine ja tasumine. Toimub kauba üleandmine ostjale

üks võimalikest viisidest:

* kaupluse kuller linnas ja selle lähiümbruses;

* spetsialiseeritud kullerteenus (ka välismaalt);

* ise kohaletoimetamine;

* telekommunikatsioonivõrgud pakuvad sellist spetsiifilist

kaup kui teave.

Kauba eest saab tasuda järgmistel viisidel:

* enne kauba kättesaamist või kauba kättesaamisel;

* sularahas kullerile või päris poodi külastades;

* postiülekanne;

* Pangatehing;

* kohapeal sularahas;

* krediitkaartide kasutamine (VISA, MASTER CARD jne);

elektrooniliste maksesüsteemide kaudu eraldi reklaami kaudu

pangad (TELEBANK, ASSIST jne).

Viimasel ajal on maailmas e-kaubandus ehk kaubandus Interneti kaudu üsna kiiresti arenenud. Loomulikult on see protsess

toimub finantsasutuste otsesel osalusel. Ja selline kauplemisviis on muutumas üha populaarsemaks, vähemalt seal, kus märkimisväärne osa ettevõtetest ja elanikkonnast saab uut elektroonilist turgu kasutada.

Äritegevus elektroonilistes võrkudes eemaldab mõned füüsilised piirangud. Ettevõtted, ühendades oma arvutisüsteemid

Internet, suudavad pakkuda klientidele tuge 24 tundi ööpäevas, ilma pühade ja nädalavahetusteta. Toodete tellimusi saab vastu võtta igal ajal ja kõikjal.

Interneti kaudu toimuva e-kaubanduse maailmakäibe maht 2006. a.

Forrester Tech. prognooside kohaselt võib see olla 1,8–2 triljonit. dollarit Nii laia prognoosivahemiku määrab e-kaubanduse majandusliku turvalisuse tagamise probleem. Kui turvalisuse tase jääb tänasele tasemele, siis võib e-kaubanduse globaalne käive olla veelgi väiksem. Sellest järeldub, et just e-kaubanduse süsteemi madal turvalisus on e-äri arengut pärssiv tegur.

E-kaubanduse majandusliku turvalisuse tagamise probleemi lahendamine on seotud eelkõige selles kasutatavate infotehnoloogiate kaitse küsimuste lahendamise ehk infoturbe tagamisega.

Äritehingute tegemise põhinõuete hulgas on konfidentsiaalsus, terviklikkus, autentimine, autoriseerimine, garantiid ja salastatus.

Infoturbe saavutamisel on tagatud selle kättesaadavus, konfidentsiaalsus, terviklikkus ja õiguslik tähendus põhilised ülesandeid . Iga ohtu tuleb arvesse võtta selle seisukohast, kuidas see võib mõjutada neid nelja turvalise teabe omadust või omadust.

Konfidentsiaalsus tähendab, et piiratud juurdepääsuga teave peaks olema kättesaadav ainult isikule, kellele see on mõeldud. Under terviklikkus informatsiooni mõistetakse kui selle omadust eksisteerida moonutamata kujul. Kättesaadavus teabe määrab süsteemi võime tagada õigeaegne ja takistamatu juurdepääs teabele subjektidele, kellel on selleks vastavad volitused. Õiguslik tähendus teave muutub viimasel ajal üha olulisemaks koos infoturbe reguleeriva raamistiku loomisega meie riigis.

Igakülgse infoturbe tagamise osana tuleb eelkõige esile tuua võti probleeme elektroonilise turvalisuse valdkonnas äri mis sisaldavad:

teabe kaitse selle edastamisel sidekanalite kaudu; arvutisüsteemide, andmebaaside ja elektroonilise dokumendihalduse kaitse;

teabe pikaajalise säilitamise tagamine elektroonilisel kujul; tehingute turvalisuse tagamine, äriteabe saladus, autentimine, intellektuaalomandi kaitse jne.

E-kaubanduse ohte on mitut tüüpi:

 Tungimine süsteemi väljastpoolt.

 Volitamata juurdepääs ettevõtte sees.

 Teabe tahtlik pealtkuulamine ja lugemine.

 Andmete või võrkude tahtlik rikkumine.

 Vale (pettuse eesmärgil) tuvastamine

kasutaja.

 Tarkvara- ja riistvarakaitse häkkimise eest.

 Kasutaja volitamata juurdepääs ühest võrgust teise.

 Viiruste rünnakud.

 Teenusest keeldumine.

 Finantspettus.

Milline ähvardused varitsema e-kaubandusega tegelevat ettevõtet igal etapil :

 e-poe serveri veebilehe asendamine (päringute ümbersuunamine teise serverisse), kliendi, eelkõige tema krediitkaartide kohta käiva teabe kolmandatele isikutele kättesaadavaks tegemine;

 võltstellimuste loomine ja mitmesugused pettused elektroonikapoe töötajate poolt, näiteks manipuleerimine andmebaasidega (statistika näitab, et üle poole arvutiintsidentidest on seotud nende enda töötajate tegevusega);

 e-kaubanduse võrkude kaudu edastatavate andmete pealtkuulamine;

 Sissetungijate tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine;

Suurim potentsiaalne oht on avatud Interneti-suhtluskanalite kasutamisel isikuandmete volitamata kättesaamine. Vajaliku turvalisuse tagamiseks peavad järgmised kolm tingimust täitma:

- välistada tehingu ajal isiku- või pangaandmete pealtkuulamise võimalus;
- välistada selle teabe andmebaasidest väljavõtmise võimalus;
- välistavad võimaluse kasutada "varastatud" teavet oma eesmärkidel.

Pealtkuulamise eest kaitsmiseks, teabe kaitsmiseks tehingu ajal kasutatakse nii sümmeetrilisi kui ka asümmeetrilisi krüptoalgoritme. Samas kasutatakse lisaks internetikanalitele ka muid suhtluskanaleid: faks, telefon, tavapost jne.

Arvestades, et välis- ja Venemaa seadusandlus võrdsustab digitaalallkirja käsitsi kirjutatud allkirjaga, on laialt levinud digiallkirja kontseptsioonil põhinev tehingute autentimine.

Huvipakkuva teabe pealtkuulamise võimaluse kaalumisel ei saa välistada "inimtegurit", seetõttu on vaja koos tarkvara ja riistvaraga kasutada organisatsioonilisi, mis tagavad teaberessursside kaitse, väljapressimise välistamise, paroolikontrolli, jne.

Teabe kaitsmiseks pealtkuulamise eest kasutatakse SSL-i (Secure Sockets Layer) ja SET-i (Secure Electronic Transaction) krüpteerimisprotokolle. SSL põhineb aga asümmeetrilisel avaliku võtmega krüpteerimisskeemil, krüpteerimisskeemina kasutatakse RSA algoritmi, tehniliste omaduste tõttu peetakse seda algoritmi vähem töökindlaks. SET on turvalisem protokoll, kuid tehnoloogiliselt keerukas ja kallis. Seetõttu selle laialdast rakendamist ei teostata ja turvalisuse küsimus jääb lahtiseks. Ettevõtte inforiskide hindamine on ettevõtte süsteemide kui Interneti segmendi infoturbe auditi üks olulisemaid ülesandeid. See lahendatakse ressursside väljaselgitamise, ressursside olulisuse näitajate, ohtude, infoturbesüsteemi ja infoturbe tööriistade haavatavuste hindamisega.

Laiaulatusliku infoturbe tagamise osana on eelkõige vaja välja tuua e-kaubanduse turvalisuse valdkonna põhiprobleemid, mille hulka kuuluvad:

- teabe kaitse selle edastamisel sidekanalite kaudu; arvutisüsteemide, andmebaaside ja elektroonilise dokumendihalduse kaitse;
- Info pikaajalise säilitamise tagamine elektroonilisel kujul;
- Tehingute turvalisuse tagamine, äriteabe saladus, autentimine, intellektuaalomandi kaitse jne.

E-kaubanduse ohte on mitut tüüpi:

- Tungimine süsteemi väljastpoolt.
- Volitamata juurdepääs ettevõtte sees.
- Teabe tahtlik pealtkuulamine ja lugemine.
- Andmete või võrkude tahtlik rikkumine.
- Kasutaja vale (pettuse eesmärgil) tuvastamine.
- Tarkvara ja riistvara häkkimise kaitse.
- Kasutaja volitamata juurdepääs ühest võrgust teise.
- Viiruste rünnakud.
- Teenusest keeldumine.
- Finantspettus.

Nende ohtude vastu võitlemiseks kasutatakse mitmeid erinevatel tehnoloogiatel põhinevaid meetodeid, nimelt: krüpteerimine – andmete kodeerimine, mis takistab nende lugemist või moonutamist; digitaalallkirjad, mis kontrollivad saatja ja saaja identiteeti; elektroonilisi võtmeid kasutavad tehnoloogiad; tulemüürid; virtuaalsed ja privaatvõrgud.

Ohud varitsevad e-kaubanduse ettevõtet igal etapil:

- E-poe serveri veebilehe asendamine (päringute ümbersuunamine teisele serverile), kliendi, eriti tema krediitkaartide kohta teabe kättesaadavaks tegemine kolmandatele isikutele;
- E-poe töötajate poolt valetellimuste loomine ja mitmesugused pettused, näiteks manipuleerimine andmebaasidega (statistika näitab, et üle poole arvutiintsidentidest on seotud nende enda töötajate tegevusega);
- e-kaubanduse võrkude kaudu edastatavate andmete pealtkuulamine;
- Sissetungijate tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine;
- Teenuse keelamise rünnakute rakendamine ja e-kaubandussaidi häirimine või häirimine.

Integreeritud infoturbesüsteemi organisatsiooni peamised funktsionaalsed komponendid:

- sideprotokollid;
- krüptograafia vahendid;
- autoriseerimis- ja autentimismehhanismid;
- vahendid töökohtadele juurdepääsu kontrollimiseks avalikest võrkudest;
- viirusevastased kompleksid;
- sissetungimise tuvastamise ja auditi programmid;
- tööriistad kasutajate juurdepääsu juhtimise tsentraliseeritud haldamiseks, samuti andmepakettide ja mis tahes rakenduste sõnumite turvaliseks vahetamiseks avatud võrkude kaudu.

Internetis on pikka aega olnud mitmeid komiteesid, peamiselt vabatahtlikke organisatsioone, mis juhivad pakutavaid tehnoloogiaid hoolikalt läbi standardimisprotsessi. Need komiteed, mis moodustavad suurema osa Interneti-tehnoloogia töörühmast, standardisid mitu olulist protokolli, kiirendades nende kasutuselevõttu Internetis.

Turvalised andmeedastusprotokollid, SSL,SET, IP v.6 on Internetis populaarsed. Loetletud protokollid ilmusid Internetti suhteliselt hiljuti, kui vajadus kaitsta väärtuslikku teavet, ja muutusid kohe de facto standarditeks.

Sellist ettevaatlikkust ei seleta mitte ainult kodumaiste finantsstruktuuride konservatiivsus, mis pelgavad interneti avatust ja ligipääsetavust, vaid osaliselt ka asjaolu, et enamik Lääne tootjate infoturbetarkvarast siseneb meie turule ekspordipiirangutega. mis puudutab neis rakendatud krüptoalgoritme. Näiteks WWW-serverite ja brauserite tarkvara ekspordiversioonides on SSL-protokolli kasutatavate ühe- ja kahevõtmeliste krüpteerimisalgoritmide võtme pikkusele seatud piirangud, mis ei paku Internetis töötamisel täielikku kaitset.

E-kaubandus(inglise keelest e-commerce) on majandussfäär, mis hõlmab kõiki arvutivõrke kasutades tehtavaid finants- ja äritehinguid ning nende tehingutega seotud äriprotsesse.
Veebikaubandus on äri, kus ellu viidud paljutõotav idee annab võimsa rahalise tulu, see on protsess, mis nõuab suhteliselt väikest spetsialistide koosseisu, kuid mida on lihtne skaleerida ja juhtida kogu Venemaal, tuua teistesse riikidesse, maailmaturule. .
TO pood sisaldab:
elektrooniline teabevahetus (Electronic Data Interchange, EDI),
elektrooniline kapitali liikumine (elektrooniline rahaülekanne, EFS),
e-kaubandus (e-kaubandus),
elektrooniline raha (e-sula),
elektrooniline turundus (e-turundus),
elektrooniline pangandus (e-pangandus),
elektroonilised kindlustusteenused (e-kindlustus).
E-kaubanduse turvalisus
Interneti laialdane kasutuselevõtt ei saanud muud kui mõjutada elektroonilise äri arengut. Üks e-äri liike on e-kaubandus. Vastavalt ÜRO dokumentidele loetakse ettevõte elektrooniliseks, kui selle neljast komponendist (kaupade või teenuste tootmine, turundus, tarnimine ja arveldused) vähemalt kaks toimub Interneti kaudu. Seetõttu eeldatakse sellises tõlgenduses tavaliselt, et ost on seotud elektroonilise kaubandusega, kui vähemalt turundus (nõudluse korraldamine) ja arveldused toimuvad Interneti kaudu. Plastkaartidel põhinevaid sularahata maksete süsteeme iseloomustab mõiste "elektrooniline kaubandus" kitsam tõlgendus.
E-kaubanduse juurutamise võtmeküsimuseks on turvalisus.
Pettuste kõrge tase Internetis takistab e-kaubanduse arengut. Tarbijad, kaupmehed ja pangad kardavad seda tehnoloogiat kasutada rahalise kahju ohu tõttu. Inimesed kasutavad Internetti peamiselt teabekanalina, et saada endale huvipakkuvat teavet. Vaid veidi üle 2% kõigist interneti kataloogides ja andmebaasides tehtud otsingutest lõpeb ostuga.
Vaatame lühidalt Interneti kaudu toodete ja teenuste hankimise etappe.
Klient valib e-poe serveri kaudu toote või teenuse ja esitab tellimuse. Tellimus sisestatakse kaupluse tellimuste andmebaasi. Toote või teenuse saadavust kontrollitakse keskse andmebaasi kaudu. Kui toode pole saadaval, teavitatakse klienti sellest. Olenevalt kaupluse tüübist võidakse tootepäring suunata teise lattu. Kui toode või teenus on saadaval, kinnitab klient makse ja tellimus sisestatakse andmebaasi. E-pood saadab kliendile tellimuse kinnituse. Enamasti on tellimuste ja kaupade saadavuse kontrollimiseks üks andmebaas. Klient tasub tellimuse eest internetis. Kaup toimetatakse kliendini.
Mõelge peamistele ohtudele, mis varitsevad ettevõtet igal etapil. Elektroonikapoe veebiserveri lehe asendamine. Peamine rakendusmeetod on kasutajate päringute ümbersuunamine teise serverisse. See viiakse läbi DNS-serverite tabelite või ruuterite tabelite kirjete asendamisega. See on eriti ohtlik, kui klient sisestab oma krediitkaardi numbri. E-poe töötajate valetellimuste loomine ja pettused. Andmebaasi tungimine ja tellimuste töötlemise protseduuride muutmine võimaldab andmebaasiga ebaseaduslikku manipuleerimist. Statistika järgi on üle poole arvutijuhtumitest seotud nende enda töötajatega. E-kaubanduse süsteemis edastatavate andmete pealtkuulamine. Eriti ohtlik on kliendi krediitkaarti puudutava teabe pealtkuulamine. Tungimine ettevõtte sisevõrku ja elektroonikapoe komponentide kompromiteerimine. Teenuse keelamise rünnakute rakendamine ja e-kaubandussaidi häirimine või keelamine.
Kõikide nende ohtude tagajärjel kaotab ettevõte klientide usalduse ja raha ebatäiuslikest tehingutest. Mõnel juhul võib selle ettevõtte krediitkaardinumbrite avaldamise eest kohtusse kaevata. Teenuse keelamise rünnakute korral kulutatakse ajutisi ja materiaalseid ressursse töövõime taastamiseks, et seadmeid välja vahetada. Andmete pealtkuulamine ei sõltu kasutatavast tarkvarast ja riistvarast, selle põhjuseks on IP-protokolli versiooni (v4) ebaturvalisus. Probleemi lahenduseks on krüptograafiliste tööriistade kasutamine või üleminek IP-protokolli kuuendale versioonile. Mõlemal juhul on omad probleemid. Esimesel juhul peab krüptograafia kasutamiseks olema vastava asutuse litsents. Teisel juhul tekivad organisatsioonilised probleemid. Võimalikud on veel mitmed ohud. E-kaubanduse sõlmede kättesaadavuse rikkumine ning elektroonikapoe tarkvara ja riistvara vale konfiguratsioon.
Siin on võimalike e-kaubanduse pettuste tüüpide klassifikatsioon:

petturite poolt õigeid kaardiandmeid (kaardi number, aegumiskuupäev jne) kasutades sooritatud tehingud (toimingud ilma sularahata);

kliendi kohta andmete hankimine läbi kaubandusettevõtete andmebaasi häkkimise või ostja isikuandmeid sisaldavate sõnumite pealtkuulamise;

Butterfly poed, mis ilmuvad reeglina lühikeseks ajaks, et kaduda pärast klientidelt raha saamist olematute teenuste või kaupade eest;

kauba maksumuse suurenemine võrreldes ostjale pakutud hinnaga või korduvad debiteerimised kliendi kontolt;

kauplused või müügiesindajad, mille eesmärk on koguda teavet kaardiandmete ja muude ostja isikuandmete kohta.

SSL-protokoll
Protokoll SSL (Secure Socket Layer) töötas välja Ameerika ettevõte Netscape Communications. SSL pakub andmekaitset teenindusprotokollide (nagu HTTP, NNTP, FTP jne) ja transpordiprotokollide (TCP/IP) vahel, kasutades punkt-punkti ühendustes tipptasemel krüptograafiat. Varem oli võimalik klientide ja serverite vahel vahetatud andmeid vaadata ilma eriliste tehniliste nippideta. Selle jaoks oli isegi spetsiaalne termin - "nuusutaja".
SSL-protokoll on mõeldud traditsiooniliste ülesannete lahendamiseks teabe interaktsiooni kaitse tagamisel:

kasutaja ja server peavad olema vastastikku kindlad, et nad ei vaheta teavet mitte võltstellijatega, vaid nendega, keda on vaja, mitte ainult paroolikaitsega;

pärast ühenduse loomist serveri ja kliendi vahel peab kogu nendevaheline infovoog olema kaitstud volitamata juurdepääsu eest;

ja lõpuks peavad pooled infot vahetades olema kindlad, et selle edastamisel ei esine juhuslikke või tahtlikke moonutusi.

SSL-protokoll võimaldab serveril ja kliendil üksteist autentida, kokku leppida krüpteerimisalgoritmis ja moodustada ühised krüptograafilised võtmed enne teabega suhtlemise alustamist. Sel eesmärgil kasutab protokoll kahe võtmega (asümmeetrilisi) krüptosüsteeme, eriti RSA-d.
Loodud turvalise ühenduse kaudu edastatava teabe konfidentsiaalsus tagatakse genereeritud ühisvõtmel andmevoo krüpteerimisega, kasutades sümmeetrilisi krüptoalgoritme (näiteks RC4_128, RC4_40, RC2_128, RC2_40, DES40 jne). Edastatavate andmeplokkide terviklikkust kontrollitakse nn sõnumi autentimiskoodide (Message Autentification Code ehk MAC) abil, mis arvutatakse räsifunktsioonide (näiteks MD5) abil.
SSL-protokoll sisaldab kaitstud ühenduse osapoolte vahelise suhtluse kahte etappi:

SSL-seansi loomine;

andmevoo kaitse.

SSL-seansi loomise etapis toimub serveri ja (valikuliselt) kliendi autentimine, osapooled lepivad kokku kasutatavates krüptoalgoritmides ja moodustavad ühise "saladuse", mille alusel luuakse ühised seansivõtmed järgnevaks ühenduse kaitseks. . Seda sammu nimetatakse ka käepigistuse protseduuriks.
Teises etapis (andmevoo kaitse) lõigatakse rakendustaseme infoteated plokkideks, igale plokile arvutatakse sõnumi autentimiskood, seejärel krüpteeritakse andmed ja saadetakse vastuvõtvale poolele. Vastuvõttev pool teostab vastupidiseid toiminguid: dekrüpteerimine, sõnumi autentimiskoodi kontrollimine, sõnumite kokkupanek, edastamine rakenduskihile.
Kõige tavalisem SSL-i toe tarkvarapakett on SSLeay. See sisaldab C-lähtekoodi, mida saab manustada sellistesse rakendustesse nagu Telnet ja FTP.
SSL kasutab avaliku võtme krüptograafiat, tuntud ka kui asümmeetriline krüptograafia. See kasutab kahte võtit: üks krüptib teist sõnumi dekrüpteerimiseks. Need kaks võtit on matemaatiliselt seotud nii, et ühe võtmega krüptitud andmeid saab dekrüpteerida ainult teise võtmega, mis on seotud esimesega. Igal kasutajal on kaks võtit – avalik ja salajane (privaatne). Kasutaja teeb avaliku võtme kättesaadavaks igale võrgukorrespondendile. Kasutaja ja iga korrespondent, kellel on avalik võti, võivad olla kindlad, et avaliku võtmega krüpteeritud andmeid saab dekrüpteerida ainult privaatvõtme abil.
Kui kaks kasutajat tahavad olla kindlad, et kolmas ei saa nende vahetatavat infot kätte, peab igaüks neist võtmepaari ühe komponendi (nimelt avaliku võtme) teisele edastama ja teise komponendi (saladuse) talletama. võti). Sõnumid krüpteeritakse avaliku võtmega, dekrüpteeritakse ainult privaatvõtmega. Nii saab sõnumeid üle avatud võrgu edastada, kartmata, et keegi neid lugeda jõuab.
Sõnumi terviklikkus ja autentimine tagatakse elektroonilise digitaalallkirja kasutamisega.
Nüüd on küsimus selles, kuidas oma avalikke võtmeid levitada. Selle (ja mitte ainult) jaoks leiutati spetsiaalne vorm - sertifikaat. Sertifikaat koosneb järgmistest osadest:

tunnistust väljastava isiku/organisatsiooni nimi;

tunnistuse teema (kellele tunnistus väljastati);

subjekti avalik võti;

mõned ajaparameetrid (sertifikaadi kehtivusaeg jne).

Sertifikaat "allkirjastatakse" sertifikaate väljastava isiku (või organisatsiooni) privaatvõtmega. Selliseid toiminguid tegevaid organisatsioone nimetatakse sertifitseerimisasutusteks (CA). Kui lähete standardses SSL-i toetavas veebibrauseris turbesektsiooni, näete seal loendit teadaolevatest organisatsioonidest, kes "allkirjastavad" sertifikaate. Oma CA-d on tehniliselt lihtne luua, kuid korda tuleb teha ka asjade juriidiline pool ja see võib olla tõsine probleem.
SSL on vaieldamatult kõige levinum e-kaubanduse süsteemide ehitamisel kasutatav protokoll. Tema abiga teostatakse 99% kõigist tehingutest. SSL-i laialdane kasutamine on tingitud eelkõige sellest, et see on kõigi brauserite ja veebiserverite lahutamatu osa. SSL-i eeliseks on ka protokolli lihtsus ja tehingu suur kiirus.
Samal ajal on SSL-il mitmeid olulisi puudusi:

ostja ei ole autentitud;

müüjat autentitakse ainult URL-iga;

digiallkirja kasutatakse ainult autentimiseks SSL-seansi loomise alguses. Tehingu tõendamiseks konfliktiolukordades on vajalik kas kogu ostja ja müüja vaheline dialoog, mis on mäluressursi poolest kulukas ja mida praktikas ei kasutata, või kviitungit kinnitavad paberkoopiad. kauba kohta ostja poolt;

ei ole tagatud kaupmehe jaoks kaardiandmetel olevate andmete konfidentsiaalsus.

Kirjeldame mitmeid ründeid, mida saab teha SSL-protokolli vastu. SSL on aga nende rünnakute suhtes vastupidav.

Salakirjade paljastamine

Nagu teate, sõltub SSL erinevatest krüptograafilistest parameetritest. Võtme edastamiseks ja serveri/kliendi autentimiseks on vaja RSA avaliku võtme krüptimist. Kuid šifrina kasutatakse erinevaid krüptoalgoritme. Seega, kui nende algoritmide vastu sooritatakse edukas rünnak, ei saa SSL-i enam turvaliseks pidada. Teatud suhtlusseansside vastu rünnatakse seansi salvestamisega ja seejärel valitakse aja jooksul seansivõti või RSA-võti. SSL muudab sellise rünnaku kahjumlikuks, kuna raiskab palju aega ja raha.

Keskel sissetungija

Tuntud ka kui MitM (Man-in-the-Middle) rünnak. See hõlmab kolme osapoole osalemist: server, klient ja nende vahele jääv ründaja. Sellises olukorras saab ründaja kinni püüda kõik mõlemas suunas järgnevad sõnumid ja need asendada. Ründaja näib olevat kliendi jaoks server ja klient serveri jaoks. Diffie-Hellmani võtmevahetuse korral on see rünnak tõhus, kuna saadud teabe ja selle allika terviklikkust ei saa kontrollida. See rünnak ei ole aga SSL-iga võimalik, kuna allikas (tavaliselt server) autentitakse serdiasutuse poolt autentitud sertifikaatide abil.

Rünnak on edukas, kui:

Serveril pole allkirjastatud sertifikaati.

Klient ei kontrolli serveri sertifikaati.

Kasutaja ignoreerib teadet, et sertifikaat ei ole sertifitseerimisasutuse poolt allkirjastatud või sertifikaat ei ühti vahemällu salvestatud sertifikaadiga.

Seda tüüpi rünnakuid võib leida suurtes organisatsioonides, mis kasutavad Microsofti Forefront TMG tulemüüri. Sel juhul asub "sissetungija" organisatsiooni võrgu servas ja asendab algse sertifikaadi enda omaga. See rünnak on võimalik tänu võimalusele määrata Forefront TMG ise usaldusväärse juur-CA-na. Tavaliselt on selline juurutusprotseduur kasutaja jaoks läbipaistev tänu ettevõtte kasutajate tööle Active Directory keskkonnas. Seda tööriista saab kasutada nii edastatava teabe juhtimiseks kui ka turvalist HTTPS-ühendust kasutades edastatavate isikuandmete varastamiseks.

Kõige vastuolulisem probleem on kasutaja teadlikkus andmete pealtkuulamise võimalusest, kuna kui juursertifikaat on võltsitud, siis turvateateid ei kuvata ja kasutaja eeldab edastatud andmete konfidentsiaalsust. Lisaks muutub Forefront TMG kasutamisel SSL-puhverserverina võimalikuks Interneti-poolel läbi viia teine MitM-rünnak, kuna algset sertifikaati kasutajale ei levitata ja Forefront TMG saab konfigureerida ise allkirjastatud või kehtetuks tunnistatud sertifikaate vastu võtma ja seejärel võltsima. Sellise rünnaku eest kaitsmiseks on vaja täielikult keelata töötamine veebiserveritega, mille sertifikaadid sisaldavad vigu, mis kindlasti toob kaasa suutmatuse töötada HTTPS-protokolliga paljude saitidega.

Ründaja salvestab serveri ja kliendi vahelise suhtlusseansi. Hiljem proovib see luua ühendust serveriga, taasesitades kliendi salvestatud sõnumeid. Kuid SSL tõrjub selle rünnaku spetsiaalse ainulaadse ühenduse identifikaatoriga (IC). Muidugi, teoreetiliselt ei saa kolmas osapool IS-i ennustada, sest see põhineb juhuslike sündmuste kogumil. Kuid suurte ressurssidega ründaja võib salvestada suure hulga seansse ja proovida leida "õiget" seanssi, tuginedes sellele, mille server saatis Server_Hello sõnumiga. Kuid SSL-i mitteavaldused on vähemalt 128 bitti pikad, mis tähendab, et ründaja peab kirjutama 264 mittevastavust, et saada 50% tõenäosus arvata. Kuid 264 on piisavalt suur arv, et muuta need rünnakud mõttetuks.

Rünnak käepigistuse protokolli vastu

Ründaja võib proovida mõjutada käepigistuse vahetust nii, et osapooled valivad erinevad krüpteerimisalgoritmid, mitte need, mida nad tavaliselt valivad. Kuna paljud rakendused toetavad 40-bitist eksporditud krüptimist ja mõned isegi 0-bitist krüptimist või MAC-algoritmi, pakuvad need rünnakud suurt huvi.

Sellise rünnaku jaoks peab ründaja kiiresti võltsima ühe või mitu käepigistuse sõnumit. Kui see juhtub, arvutavad klient ja server käepigistuse sõnumi jaoks erinevad räsiväärtused. Selle tulemusena ei võta pooled üksteiselt Valmis sõnumeid vastu. Ilma saladust teadmata ei saa ründaja lõpetatud sõnumit parandada, seega saab ründe tuvastada.

SET-protokoll
Teine turvaliste tehingute protokoll Internetis on SET (Turvaelektroonika tehing). SET põhineb X.509 digisertifikaatide kasutamisel.
SET Secure Transaction Protocol on MasterCardi ja VISA poolt välja töötatud standard, millele on panustanud olulisel määral IBM, GlobeSet ja teised partnerid. See võimaldab ostjatel osta kaupu veebist, kasutades tänapäeval kõige turvalisemat maksemehhanismi. SET on avatud standardne mitmepoolne protokoll Internetis plastkaartide abil turvaliste maksete tegemiseks. SET võimaldab kaardiomaniku, müüja ja müüja panga konto ristautentimist, et kontrollida kauba eest tasumise valmisolekut, sõnumi terviklikkust ja salastatust, väärtuslike ja tundlike andmete krüptimist. Seetõttu võib SET-i nimetada standardtehnoloogiaks või protokollisüsteemiks turvaliste maksete tegemiseks, kasutades plastkaarte Interneti kaudu.
SET võimaldab tarbijatel ja kaupmeestel krüptograafiat, sealhulgas digitaalsertifikaate kasutades autentida kõiki Interneti-tehingu osalejaid.
Potentsiaalset e-kaubanduse müüki piirab infoturbe tase, mida nõuavad ostjad, kaupmehed ja finantsasutused, kes on mures veebimaksete turvalisuse pärast. Nagu varem mainitud, on infoturbe põhieesmärkideks tagada selle kättesaadavus, konfidentsiaalsus, terviklikkus ja õiguslik tähendus. Erinevalt teistest protokollidest võimaldab SET neid infoturbe probleeme lahendada.
Tänu sellele, et paljud ettevõtted arendavad oma e-kaubanduse tarkvara, kerkib esile veel üks probleem. Selle tarkvara kasutamise korral peavad kõik operatsioonis osalejad omama ühesuguseid rakendusi, mis on praktiliselt võimatu. Seetõttu on vaja viisi, kuidas luua mehhanism erinevate arendajate rakenduste vahel.
Eelpool loetletud probleemidest tulenevalt määratlesid VISA ja MasterCard koos teiste tehniliste küsimustega seotud ettevõtetega (näiteks IBM, kes on SET-protokolli arendamise võtmearendaja) SET-standardi spetsifikatsiooni ja protokollide komplekti. . Sellest avatud spetsifikatsioonist sai kiiresti e-kaubanduse de facto standard. Selles spetsifikatsioonis tagab teabe krüpteerimine selle konfidentsiaalsuse. Digiallkiri ja sertifikaadid võimaldavad tehingutes osalejate tuvastamist ja autentimist (autentimist). Digitaalset allkirja kasutatakse ka andmete terviklikkuse tagamiseks. Kasutatakse avatud protokollide komplekti, et võimaldada koostalitlusvõimet erinevate tarnijate rakenduste vahel.
SET pakub e-kaubanduse tehingutele järgmised spetsiifilised turbenõuded:

makseandmete saladus ja koos makseandmetega edastatud tellimusteabe konfidentsiaalsus;

makseandmete terviklikkuse säilitamine; terviklikkus tagatakse digitaalallkirjaga;

spetsiaalne avaliku võtme krüptograafia autentimiseks;

krediitkaardi omaniku autentimine, mis toimub digitaalallkirja ja kaardiomaniku sertifikaatide kasutamisega;

kaupmehe autentimine ja tema võime vastu võtta plastkaartidega makseid, kasutades kaupmehe digiallkirja ja sertifikaate;

kinnitus, et müüja pank on tegutsev organisatsioon, mis saab töötlemissüsteemiga suhtlemise kaudu vastu võtta plastkaartidega makseid; selle kinnituse annab digitaalallkiri ja müüja panga sertifikaadid;

valmisolek kõigi osapoolte avaliku võtme sertifikaadi autentimise tulemusena tehingute eest maksta;

andmeedastuse turvalisus valdava krüptograafia kasutamise kaudu.

SET-i peamine eelis paljude olemasolevate infoturbesüsteemide ees on digitaalsete sertifikaatide kasutamine (X.509 standard, versioon 3), mis seovad kaardiomaniku, kaupmehe ja kaupmehe panga mitmete VISA ja MasterCard maksesüsteemide pangaasutustega.
SET võimaldab säilitada olemasolevat suhet panga, kaardiomanike ja kaupmeeste vahel ning integreerub olemasolevate süsteemidega, tuginedes järgmistele omadustele:

avatud, täielikult dokumenteeritud standard finantssektori jaoks;

põhinevad rahvusvahelistel maksesüsteemide standarditel;

tugineb finantssektoris olemasolevatele tehnoloogiatele ja õiguslikele mehhanismidele.

Muide, IBMi, Chase Manhattan Bank USA NA, First Data Corporationi, GlobeSeti, MasterCardi ja Wal-Marti ühisprojekt võimaldab Chase Banki väljastatud Wal-Mart MasterCardi kaartide omanikel osta Wal-Mart Online’is kaupu, mis on üks suurimaid USA e-kaubanduse sõlmpunkte.
Vaatleme üksikasjalikumalt maksetehingu osalejate vahelise suhtluse protsessi vastavalt SET-i spetsifikatsioonile, mis on näidatud IBM-i veebisaidi joonisel.
Pildil:

Kaardihoidja- tellimust esitav ostja.

Ostja pank- ostjale krediitkaardi väljastanud finantsasutus.

Müügimees- kaupu ja teenuseid pakkuv elektrooniline pood.

Müüja pank- müüja toimingute teenindamisega tegelev finantsstruktuur.

Maksevärav– süsteem, mida tavaliselt juhib müüja pank ja mis töötleb müüjalt päringuid ja suhtleb ostja pangaga.

Sertifitseeriv organisatsioon- usaldusstruktuur, mis väljastab ja kontrollib sertifikaate.

Operatsioonis osalejate vahelised suhted on joonisel näidatud pidevate joontega (SET-standardi või protokolliga kirjeldatud vastasmõjud) ja punktiirjoontega (mõned võimalikud toimingud).
Seoste ja teabevoogude dünaamika vastavalt SET-standardi spetsifikatsioonile sisaldab järgmisi toiminguid:

Osalejad taotlevad ja saavad sertifitseeriva organisatsiooni sertifikaate.

Plastkaardi omanik vaatab läbi elektroonilise kataloogi, valib kaubad ja saadab tellimuse müüjale.

Kaupmees esitab kaardiomanikule tõendiks oma sertifikaadi.

Kaardiomanik esitab kaupmehele oma sertifikaadi.

Kaupmees taotleb makselüüsi kinnitustoimingu tegemiseks. Lüüs kontrollib esitatud teavet elektroonilise kaardi väljastanud panga andmetega.

Pärast kontrollimist tagastab maksevärav tulemused kaupmehele.

Mõni aeg hiljem taotleb kaupmees makselüüsi ühe või mitme finantstehingu sooritamiseks. Gateway saadab nõude teatud summa ülekandmiseks ostja pangast müüja panka.

Esitatud interaktsiooniskeemi toetab infoturbe mõttes Chip Electronic Commerce spetsifikatsioon, mis on loodud EMV standardi kiipkaartide kasutamiseks Internetis (www.emvco.com). Selle töötasid välja Europay, MasterCard ja VISA. EMV mikroprotsessori standardi ja SET-protokolli kombinatsioon tagab enneolematu turvalisuse tehingu kõikides etappides.
20. juunil 2000 postitas RosBusinessConsulting oma veebisaidile teate, et VISA, üks maailma suurimaid maksesüsteeme, teatas 19. juunil 2000 oma algatustest elektroonilise kaubanduse turvalisuse valdkonnas. Süsteemi esindajate sõnul on need sammud mõeldud selleks, et muuta internetis ostlemine ostjate ja müüjate jaoks turvalisemaks. VISA usub, et uute algatuste kasutuselevõtt vähendab internetis tehingute üle tekkivate vaidluste arvu 50%. Algatus koosneb kahest põhiosast. Esimene osa on maksete autentimisprogramm, mille eesmärk on vähendada kaardiomaniku konto volitamata kasutamise ohtu ning parandada ostjate ja kaupmeeste kasutuskogemust Internetis. Teine on ülemaailmne andmeturbe programm, mille eesmärk on luua turvastandardid e-kaubandusega tegelevatele ettevõtetele, et kaitsta kaardi ja kaardiomaniku andmeid.
SSL- ja SET-protokollide võrdlusomadused
Maksesüsteemid on e-kaubanduse kõige kriitilisem osa ja nende veebis olemise tulevik sõltub suuresti Interneti infoturbe ja muude teenindusfunktsioonide võimalustest. SSL ja SET on kaks tuntud andmeedastusprotokolli, mida mõlemat kasutatakse Interneti-maksesüsteemides. Proovime võrrelda SSL-i ja SET-i ning hinnata nende mõningaid kõige olulisemaid omadusi.
Niisiis, vaatleme autentimise (autentimise) kõige olulisemat funktsiooni virtuaalmaailmas, kus puuduvad tuttavad füüsilised kontaktid. SSL pakub ainult punkt-punkti suhtlust. Peame meeles, et krediitkaarditehinguga on seotud vähemalt neli osapoolt: tarbija, kaupmees, väljastanud pank ja vastuvõttev pank. SET nõuab autentimist kõigilt tehinguga seotud osapooltelt.
SET takistab kaupmehe juurdepääsu plastkaardi teabele ja kaardi väljastanud pangale juurdepääsu kliendi privaatsele teabele tema tellimuste kohta. SSL võimaldab kontrollitud juurdepääsu serveritele, kataloogidele, failidele ja muule teabele. Mõlemad protokollid kasutavad kaasaegset krüptograafiat ja digitaalsete sertifikaatide süsteeme, mis tõendavad suhtlevate osapoolte digitaalallkirju. SSL on mõeldud peamiselt Interneti-suhtluse kaitsmiseks. SET pakub e-kaubanduse tehingutele üldiselt kaitset, mis tagab kaitstud väärtusliku teabe õigusliku tähenduse. Samal ajal on SET-i kaudu tehing aeglasem kui SSL-is ja selle maksumus on palju suurem. Viimane omadus on väga aktuaalne tänapäeva Venemaa turu jaoks, kus riske ja tegevuskulusid veel ei arvestata.
Olgu lisatud, et SSL-i kasutades on tarbijatel oht avaldada kaupmehele oma plastkaardi andmed.
SET-i juurutamist ja toimimist on aastaid teostatud mitmekümnes projektis üle maailma. Näiteks esimene SET-tehing tehti 30. detsembril 1996 PBS-is (Taani pank) IBMi ja MasterCardi ühisprojekti raames. Sarnane töö tehti 1997. aastal Jaapani suurimas pangas Fuji Bankis, kus protokolli tuli kohandada Jaapani konkreetsete seadusandlusega. Viimase aja jooksul on sellised rakendusprojektid võimaldanud välja töötada protokolli ja vastava dokumentatsiooni funktsioonid.
jne.................