Информационная безопасность электронной коммерции (ЭК)

· проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;

· реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции. 

В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

На первый взгляд, может показаться, что каждый подобный инцидент – не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако

вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак. Например, потоки запросов на сервер Buy превысили u1089 средние показатели в 24 раза, а предельные – в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.

Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети

информации  уделяется все больше внимания. Специализированные протоколы,

предназначенные для организации защищенного  взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

За рубежом  решением проблемы информационной безопасности электронного

бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представителей и экспертов компаний- поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.

Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса:

· механизм объективного подтверждения идентифицирующей информации;

· право на персональную, частную информацию;

· определение событий безопасности;

· защита корпоративного периметра;

· определение атак;

· контроль потенциально u1086 опасного содержимого;

· контроль доступа;

· администрирование;

· реакция на события. 

Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.

В основе защиты информации лежит простая  логика процессов вычисления

цифровой  подписи и ее проверки парой соответствующих ключей, впрочем, логика,

базирующаяся  на фундаментальных математических исследованиях. Вычислить

цифровую  подпись может только владелец закрытого  ключа, а проверить – каждый, у

кого  имеется открытый ключ, соответствующий  закрытому ключу.

Безусловно, обеспечением информационной безопасности должны заниматься

специалисты в данной области, но руководители органов  государственной власти,

предприятий и учреждений независимо от форм собственности, отвечающие за

экономическую безопасность тех или иных хозяйственных субъектов, должны

постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены

основные  функциональные компоненты организации комплексной  системы

информационной  безопасности:

· коммуникационные протоколы;

· средства криптографии;

· механизмы авторизации и аутентификации;

· средства контроля доступа к рабочим местам из сетей общего

пользования;

· антивирусные комплексы;

· программы обнаружения атак и аудита;

· средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и

сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд  комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии

через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью – непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL,

SET, IP v.6. Перечисленные протоколы появились  в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.

Напомним, что Интернет создавалась несколько  десятилетий назад для научного обмена информацией не имеющей большой стоимости.

К сожалению, в России пока еще с большой  осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с

передачей, обработкой и хранением конфиденциальной информации. Подобная

осторожность  объясняется не только консервативностью  отечественных финансовых

структур, опасающихся открытости и доступности  Интернет, но, отчасти, и тем, что

большинство программных средств защиты информации западных фирм-

производителей  поступают на наш рынок с экспортными  ограничениями, касающимися

реализованных в них криптографических алгоритмов. Например, в экспортных

вариантах программного обеспечения WWW-серверов и браузеров таких

производителей, как Microsoft и Netscape Communications, имеются ограничения  на

длину ключа для одноключевых и двухключевых алгоритмов шифрования,

используемых  протоколом SSL, что не обеспечивает полноценной защиты при работе в

Интернет.

Однако  приложения электронной коммерции, кроме внутренних угроз,

подвержены  также и внешней опасности, исходящей  от Интернет. И поскольку

нерационально присваивать каждому анонимному посетителю отдельный

идентификатор входа (так как приложение при этом не увеличивается), компаниям

необходимо  использовать другой вид аутентификации. Кроме того, необходимо

подготовить сервера к отражению атак. И, наконец, следует соблюдать

исключительную  осторожность по отношению к критическим  данным – например,

таким, как номера кредитных карт.

Шифрование  данных

На бизнес-сайте  обрабатывается чувствительная информация (например,

номера  кредитных карточек потребителей). Передача такой информации по Интернет

без какой-либо защиты может привести к непоправимым последствиям. Любой может

подслушать  передачу и получить таким образом  доступ к конфиденциальной

информации. Поэтому данные необходимо шифровать  и передавать по защищенному

каналу. Для реализации защищенной передачи данных используют протокол Secure

Sockets Layer (SSL).

Для реализации этой функциональности необходимо приобрести цифровой

сертификат  и установить его на ваш(и) сервер(а). За цифровым сертификатом можно

обратиться  в один из органов сертификации. К общеизвестным коммерческим

сертификационным  организациям относятся: VerySign, CyberTrust, GTE.

SSL представляет  собой схему для таких протоколов, как HTTP (называемого

HTTPS в  случае его защищенности), FTP и  NNTP. При использовании SSL для

передачи  данных:

· данные зашифрованы;

· между сервером-источником и сервером назначения установлено

защищенное  соединение;

· активирована аутентификация сервера.

Когда пользователь отправляет номер кредитной  карточки с применением

протокола SSL, данные немедленно шифруются, так  что хакер не может видеть их

содержание. SSL не зависит от сетевого протокола.

Программное обеспечение сервера Netscape обеспечивает также

аутентификацию  – сертификаты и цифровую подпись, удостоверяя личность

пользователя  и целостность сообщений и  гарантируя, что сообщение не меняло своего

маршрута.

Аутентификация  подразумевает подтверждение личности пользователя и

цифровой  подписи для проверки подлинности  документов, участвующих в обмене

информацией и финансовых операциях. Цифровая подпись  представляет собой данные,

которые могут быть приложены к документу во избежание подлога.

Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут

идентифицировать  схемы или следы атак, генерировать аварийные сигналы для

предупреждения  операторов и побуждать маршрутизаторы прерывать соединение с