Обеспечение безопасности коммерческих и финансовых операций в Интернет

Развитие коммерческой деятельности в сети Интернет способствовало повышению спроса на комплексные системы информационной безопасности.

 Под термином «электронная коммерция» понимается предоставления товаров и услуг через глобальные информационные сети. Среди наиболее распространенных видов электронной коммерции следующие:

Ø продажа информации, например подписка на базы данных, функционирующие в режиме on-line, доступ к электронным учебникам и пособиям и т.п.;

Ø электронные магазины. Обычно электронный магазин представляет собой Web -сайт, в котором имеются:

МУИТКонспект14doc.docРаздел

ü каталоги обновляются по мере изменения наличия товаров на складе, либо при поступлении новых товаров;

ü виртуальная «тележка» (корзина) покупателя, в нее собираются отмеченные покупателем в каталоге товары, и подсчитывается сумма заказа;

ü страничка оплаты, на которой можно выбрать способ оплаты – карточкой, наложенным платежом или электронными платежными средствами – чеками или деньгами, и произвести оплату –предоставлением номера кредитной карточки через Интернет, по телефону и пр.

ü информация о способе отправки товара: по почте, или, в случае покупки информационных товаров (программное или информационное обеспечение, игры, музыка и т.д.), через Интернет.

Ø электронные банк, это Web -сайт, выполняющий различные финансовые услуги. Вначале крупные банки для своих клиентов открывали такой электронный сервис, затем появились банки, функционирующие только в сети. Достоинством организации электронного банка является низкая себестоимость деятельности, т.к. не нужно арендовать или поддерживать и платить налоги за престижную недвижимость, не нужны хранилища ценностей и обслуживающий их персонал и т.д. и широкие возможности для привлечения клиентов, т.к. клиентом может стать любой посетитель Интернет. Поэтому электронный банк может предоставить своим клиентам кредит на более выгодных условиях и предоставить различные банковские услуги за более низкую плату.

 Пока информация, связанная с обеспечением сделок, передавалась по открытым сетям, существовала почва для автоматизированного мошенничества (например фильтрация пакетов с целью извлечения номеров кредитных карт и т.п.). Для роста объемов сделок необходимо иметь надежный и отработанный механизм защиты передачи электронных платежей.

Этот механизм базирует на принципе немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием схем SSL и SET.

Протокол SSL (Secure Socket Layer) предполагает шифрование информации на канальном уровне.

Протокол «Безопасные электронные акции» SET (Secure Electronic Transactions), разработанный компаниями Visa и Master Card, предполагает шифрование  исключительно финансовой информации.

Для обеспечения полной безопасности и конфиденциальности сделок протокол SET гарантирует выполнение следующих условий:

ü абсолютная конфиденциальность информации. Владельцы счетов, карточек и других платежных средств должны быть уверены в том, что их платежная информация доступна только указанному адресату;

ü полная сохранность данных. Участники электронной торговли должны быть уверены в том, что при передаче от отправителя к адресату содержание сообщения останется неизменным Сообщения, отправляемые покупателями коммерсантам, содержат информацию о заказах, персональные данные и платежные инструкции. Если в процессе передачи изменится хотя один из компонентов, то данная транзакция далее не будет обработана надлежащим образом. Одним из средств гарантирующих сохранность и неизменность отправляемых сообщений, является механизм цифровых подписей;

ü аутентификация (установление подлинности) счета владельца карточки. Использование цифровых подписей и сертификатов владельца карточки гарантирует аутентификацию счета владельца карточки и подтверждение того, что владелец карточки является законным пользователем этого счета.

Владелец карточки тоже должен быть уверен, что коммерсант действительно имеет право проводить операции с финансовым учреждением. Использование цифровых подписей и сертификатов коммерсанта гарантирует владельцу карточки, что можно безопасно вести коммерческие отношения.

Технология взаимодействия участников системы расчетов в сети основана на участии третьей стороны.

Эквайером (получателем) является финансовое учреждение, которое открывает счет коммерсанту и обрабатывает авторизации и платежи его клиентов по кредитным картам. Финансовые учреждения создают ассоциации банковских кредитных карт, которые защищают и рекламируют данный тип карточек, создают и вводят в действие правила использования кредитных карточек, а также поддерживают сети для связи финансовых учреждений друг с другом.

Особенность использования кредитных карточек в Интернет заключается в том, что в соответствии со стандартом SET для защиты транзакций (операций передачи информации) электронной торговли применяются процедуры шифрования и цифровой подписи.

В коммерческих Интернет – приложениях для шифрования используются:

Ø Симметричные криптосистемы с секретными ключами;

Ø Ассиметричные криптосистемы с открытыми ключами

Шифрование с использованием открытых ключей предполагает, что у участников сделки имеются по два ключа:

ü Открытый, который может быть известен и другим лицам;

ü Частный (секретный), известный только получателю информации.

Правила SET предусматривают первоначальное шифрование сообщения с использованием случайным образом сгенерированного симметричного ключа, который следом шифруется открытым ключом получателя сообщения. В результате образуется так называемый электронный конверт. Получатель сообщения расшифровывает электронный конверт с помощью своего частного секретного ключа и получает симметричный ключ отправителя. С его помощью расшифровывается присланное сообщение.

Целостность информации обеспечивается использованием электронной цифровой подписи.

Кроме того, каждый участник коммерческой сделки должен подтвердить свои намерения электронным сертификатом. Суть ее в следующем. В сети Интернет для защиты участников сделок от мошенничества организованы специальные центры сертификации, которые следят за тем, чтобы каждый участник электронной коммерции идентифицировался оригинальным электронным сертификатом. Для получения сертификата надо представить в центр сертификации документ, подтверждающий личность участника (для юридических лиц – их регистрационный номер). Центр сертификации создает сообщение, содержащее имя владельца, его зашифрованный открытый ключ и дополнительную информацию. Такое сообщение называется электронным сертификатом и снабжается подписью центра сертификации.

Для разных участников сделок вид сертификата отличается. Выделяют:

ü Сертификат  владельцев кредитных карточек. Он снабжается цифровой подписью финансового учреждения и не может быть изменен третьей стороной;

ü Сертификат  коммерсанта является электронным аналогом фирменной картинки и выставляется на главной странице сайта электронного магазина;

ü Сертификат  платежных межсетевых интерфейсов выдаются эквайрам или их обработчикам для систем, которые обрабатывают авторизации и получают сообщения.