Место и роль информационной безопасности в системе обеспечения безопасности ЭК

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ 
 
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

 

РОССИЙСКИЙ  ГОСУДАРСТВЕННЫЙ ТОРГОВО-ЭКОНОМИЧЕСКИЙ  УНИВЕРСИТЕТ

 

 

Факультет  управления

 

Кафедра «Кафедра организации и технологии коммерции»

 

 

 

Курсовая работа

 

по дисциплине «Основы электронной коммерции»

 

 

 

Вариант №17

 

 

 

 

 

 

 

                                                                                               

 

 

                                                                                                 

                                                                                                Выполнена: студенткой 5 курса,

факультет управления

группа 51 заочного отделения

ФУ-2008313

Сидоровой О.В.

 

Преподаватель:

                                                                                           Проф. Гаврилов Л.П.

 

 

 

 

 

 

 

 

Москва 2012

 

Содержание

 

 

 

1.

 

 

 

 

 

 

 

 

 

 

 

1. Место и роль информационной безопасности в системе обеспечения безопасности ЭК

 

 

Вопрос безопасности электронной коммерции является одним из наиболее обсуждаемых.

 

Системы можно защитить только от известных угроз (уменьшение связанных с этим рисков). Сейчас в мире активно развивается электронная коммерция (торговля по сети Интернет). Поэтому основным вопросом безопасности в ЭК – становится безопасность передаваемой информации по средствам сети – Интернет. По оценке Комитета ООН компьютерная преступность является одной из международных проблем (в США этот вид преступ. деятельности занимает 3 место).

 

Развитие ЭК – определяется прогрессом в информационной безопасности. Информационную безопасность можно определить как устойчивость информации к воздействиям (случайным или намеренным); исключаются возможности уничтожения, искажения или раскрытия информации. Для достижения информационной безопасности необходимо выполнить следующие задачи:

• Доступность
• Конфиденциальность
• Целостность
• Юридическая Значимость

 

Угрозы, которые рассматриваются  при обеспечении безопасности информации, должны быть рассмотрены с точки  зрения того, как они могут повлиять на каждую из вышеперечисленных задач. Доступность информации – способность системы обеспечивать своевременный и беспрепятственный доступ к информации, для субъектов, имеющих соответствующие полномочия. Задача конфиденциальности информации, в том, что она должна быть доступна, тому, кому предназначена. Задача целостности информации – предоставление (и существование) информации в неискаженном виде. Юридическая значимость – в последнее время становиться особенно важной в последнее время, так же как вопрос создания нормативно-правовой базы о информационной безопасности в нашей стране.

 

Последнее необходимо для  обеспечения учета платежных документов и информационных услуг. Такой учет является основой работы информационной системы и служит для соблюдения регламентации и регистрации доступа к информации, при использовании информационных ресурсов системы. Так же должна обеспечиваться юридически значимая регистрация информации, что необходимо при рассмотрении конфликтов между заказчиками и исполнителями работ по информац. обеспечению.

 

В нашей стране торговые операции (торговля) через Интернет  является все еще новым видом коммерческой деятельности и пока не получила широкого распространения. Такие системы как Интернет-банкинг и Интернет-трейдинг активно начали развиваться на финансовом рынке РФ. Различные законно проекты, связанные с использованием Интернет-технологий стали обсуждаться в Государственной Думе РФ.

 

В такой ситуации интересен  опыт  (как зарубежный, так и  отечественный) решения вопросов информационной безопасности электронной коммерции в Интранет и Интернет сетях (указанные сети отличаются масштабностью и открытостью). Проблемы и вопросы обеспечению данной ИБ достаточно объемны и технологии насыщены, и могут стать программой ни одной конференции.

Для обеспечения безопасности в информационных технологиях необходимо создать системы защиты информации (грамотно и качественно). С их помощью можно определить работы  по упорядовачиванию основных требований и характеристик инофрм.систем в аспекте безопасности. Результат таких работ – система международных стандартов по информационной безопасности (более ста документов). Этот подход направлен на установку единой системы для технический средств и программ, которые используются в выч. ситемах и сетях.

 

Для более продуктивной функциональности система должна быть “открытой”. Под открытостью понимается то, что система открыта для взаимодействия с другими аналогичными системами, с такими же стандартами. Данное в частности относиться и к принципам криптографической защиты информации.

 

Как пример криптографической  защиты информации – цифровая подпись. Данную технологию использует практически  все системы Интернет-Банкинга (Банк-Клиент). Функции подписи состоит из трех компонет:

 

• авторизация (удостоверяемся что подписавшейся является тем. За кого его принимаем)
• подписавшийся, не может отказаться от подписанного им документа
• отправитель подписал отправленный документ (а не другой)

 

Первый две компоненты обеспечивают защиту интересов лица. Которому предназначается документ. Третий – того, кто отправляет. Аутентификация – проверка подлинности документа, использовалась в описанных компонентах цифровой подписи. Методы аутентификации базируются на различных криптографических алгоритмах.

 

Одно из направлений криптографии – системы с открытым ключом. В 1978 год появилась одна из таких систем, сейчас она называеться RSA (авторы R. Rivest, A. Shamir, L. Adleman ).

 

Некоторые понятия и  принципы систем с открытыми ключами:

Криптография с открытыми  ключами:  у каждого участника систем есть два ключа, связанные друг с другом (один секретный, а второй открытый и доступный всем.). Сообщение шифрованное отрытым ключом м.б. открыто только закрытым и наоборот.

Цифровая подпись: Пускай некоторый пользователь N, собирается подписать какое-либо сообщение. С помощью хеш-функции он создает слепок этого сообщения и зашифровывает его секретным ключом. Зашифрованный слепок – прикрепляется к сообщению и является его подписью. Каждый пользователь систем, получивший сообщение – может проверить подпись пользователя N. Но для этого ему нужно создать свой вариант слепка сообщения и затем расшифровать прикрепленный слепок с помощью открытого ключа пользователя N и сравнить свой вариант слепка с расшифрованным. Если они совпадут – подпись считается верной, если нет, то сообщение отторгается.

Сертификация открытых ключей: Открытые ключи заверяются цифровой подписью центра сертификации.

 

Так же существуют защищенные протоколы для передачи информации по сети Интернет, самые известные  это SSL, SET, IP и т.д. Они появились не так давно, но необходимы для защиты ценной информации.

Протокол SSL (Secure Socket Layer):

• Разработан американской компанией Netscape Communications Corp.
• Обеспечивает защиту данных между сервисными протоколами (такими как HTTP, NNTP, FTP и т.д.) и транспортными протоколами (TCP/IP) с помощью современной криптографии.
• В протоколе используются асимметричные криптосистемы, в частности, RSA.
• Контроль целостности передаваемых блоков данных производится за счет использования так называемых кодов аутентификации сообщений (Message Autentification Code - MAC)

 

Протокол SET (Security Electronics Transaction):

• Предназначенный для организации электронной торговли через сеть Интернет
• Основан на использовании цифровых сертификатов по стандарту Х.509
• Стандарт, разработанным компаниями MasterCard и Visa

 

 

 

Чтобы защитить интересы участников систем электронной коммерции  необходимо выполнить это на следующих  уровнях:

• законодательном;
• административном;
• процедурном;
• программно-техническом.

 

Нормативно-правовую базу необходимо согласовывать с международной  практикой. Стандартны РФ должны приводиться в соответствие к нормам международных (в этом есть необходимость). Обеспечение информационной безопасности возможно только при разработке нормативно-технических документов и законодательных актов.

 

2. Анализ платёжной системы  Assist.

 

ASSIST - это мультибанковская  система платежей по пластиковым  и виртуальным картам через интернет.

 

 

1. История создания  платёжной системы

 

ASSIST создан петербургской компанией Reksoft (www.reksoft.ru), ведущей российской компанией в области системной интеграции, консалтинга в области информационных технологий и разработки программных решений. ASSIST был запущен в эксплуатацию в апреле 1998 г. в качестве платежного интернет-шлюза. Одной из основных задач ASSIST было обеспечение платежей по кредитным картам для лучшего российского интернет-магазина о3он (www.ozon.ru). О3он и в настоящее время один из ключевых клиентов ASSIST.

В апреле 1999 г. Произошел коммерческий запуск системы эек. Платежей – ASSIST.  К банка обслуживаемым процессингом «СТБ-Кард» (таким как «Алтфа-Банк») ASSSIST подключился в 2000 году. В конце 2001 г. - к процессинговому центру компании UCS.

Впервые в России была использована технология SET, для проведения платежей через интернет (использовалась «Альфа-Банком»). А в марте 2002 года ASSIST стал первой системой интернет-платежей в России, реализовавшей в интернете (руск.) услуги по предоставлению веб-сервисов для своих клиентов.

В апреле 2002 г. произошло отделение проекта ASSIST от компании Рексофт. В 2003 г. ASSIST осуществил подключение систем электронных платежей (WebMoney, Яндекс.Деньги, CreditPilot и E-Port). Добавились электронные кошельки, позволяющие решить вопрос микроплатежей (т.е. платежей на сумму 3 евро и менее).

В августе 2003 г. компанией  Ассист создана и запущена в действие технология более безопасных и удобных  платежей по банковским пластиковым  картам на базе идентификатора Assist®ID. Технология вызвала широкий интерес  у банков и держателей карт и получила широкое распространение среди покупателей магазинов системы ASSIST, как в России, так и по всему миру.

В декабре 2003 система ASSIST прошла сертификацию по технологии 3D-Secure (VISA) совместно с Балтийским Банком (Санкт-Петербург). Система электронных платежей ASSIST стала первым российским PSP (Payment Service Provider), поддерживающим программу аутентификации кардхолдера Verified by VISA.

В дальнейшем компания планирует расширение диапазона платежных средств для электронной коммерции, увеличение числа предоставляемых сервисов, расширение количества банков, реализация возможности приема к оплате дебетовых карт (Visa Electron, Cirrus/Maestro) и разработка телевизионной и мобильной коммерции, приложений для POS.

 

 

2. Принцип работы и технология функционирования.

 

ASSIST предоставляет возможность оплаты по картам VISA, MasterCard. А так же электронными  деньгами: WebMoney, Яндекс.Деньги, e-port, Kredit Pilot. И все это происходит  в едином пользовательском интерфейсе.

Система используется интернет-магазинами и покупателями. Интернет-Магазин имеет возможность принимать оплату как по банкоским картам, так и электронными деньгами. Покупатель получает надежный и безопасный способ оплаты интернет-покупок.

     Платежи  по банковским кредитным картам проводятся с использованием схемы      (Mail Order Telephone Order)  в соответствиями с правилами платежных систем.

   Одна из используемых технологий – SET. SET – семейство программных продуктов. SET – это первое отечественное семейство программных продуктов, замкнувшее весь контур управления торговым залом. SET – это вся отраслевая специфика торговли, реализованная на единой платформе: надежный кассовый модуль и интеллектуальная система видеоконтроля, доступная отчетность и оперативная аналитика, гибкие дисконтные инструменты и мобильные рабочие места. В SET есть все, что может понадобиться ритейлеру сегодня и завтра.

 

 

3. Область применения  ПС в ЭК

 

Для магазинов предлагаются услуги:

1. Приема платежей по кредитным картам
2. Приема платежей электронными деньгами (WebMoney, Яндекс.Деньги, e-port, Kredit Pilot ).
3. Приема платежей электронными деньгами для нерезидентов России (при условии открытия нерезидентом счета типа "К" в любом из уполномоченных банков РФ)
4. Возможность оплаты по кредитной карте с использованием Assist®ID;
5. Прием кредитных карт American Express (В настоящий момент карты American Express принимаются к оплате с помощью специальной программы V-POS).

 

Для покупателей предлагаются услуги:

1. Просмотр транзакций, которые были осуществлены в каком-либо магазине подключенном к системе ASSIST.
2. Получение идентификатора Assist®ID и использование его для ускоренной и безопасной оплаты по кредитной карте в магазинах, подключенных к ASSIST;
3. Получение SMS подтверждений успешных платежей, совершенных Вами в Интернет-магазинах системы.
4. Получение выписок по операциям с Вашей кредитной картой за определенный период времени (день, месяц, год...), просмотр определенного числа последних трансакций и т.д.;
5. Получение выписок по операциям по одному или более платежным средствам, зарегистрированным Вами в ASSIST, в магазинах, подключенных к нашей системе;