Обеспечение безопасности электронных сделок и электронных платежей

Автор: Пользователь скрыл имя, 04 Ноября 2012 в 10:08, контрольная работа

Описание работы

Обычные сделки основаны на физических аспектах. В супермаркетах клиенты охотнее используют свои кредитные карты, так как они сами могут рассмотреть и пощупать товар и, таким образом, судить о магазине. В связи с отсутствием этих аспектов в Интернете, в нём гораздо труднее обеспечить безопасность нашего предприятия

Работа содержит 1 файл

ЭЦП.doc

— 73.00 Кб (Скачать)

1. Обеспечение безопасности электронных сделок.

  Обычные сделки  основаны на физических аспектах. В супермаркетах клиенты охотнее используют свои кредитные карты, так как они сами могут рассмотреть и пощупать товар и, таким образом, судить о магазине. В связи с отсутствием этих аспектов в Интернете, в нём гораздо труднее обеспечить безопасность нашего предприятия. Зная о рисках, связанных с электронными сделками, предприятия могут приобрести решения, которые исключают эти риски:

  • Spoofing (имитация) – «дешёвые» веб-сайты и лёгкость имитации уже существующих страниц предельно упрощают создание подделок. Мошенники часто перехватывают номера кредитных карт посредством искусно сделанных копий настоящих сайтов.
  • Несанкционированное раскрытие (unauthorized disclosure) – когда информация о сделке предаётся «напрямую», хакеры могут свободно перехватить передачу и извлечь из неё конфиденциальные сведения о покупателе.
  • Несанкционированные действия – конкуренты или неудовлетворённый покупатели могут взломать наш сайт, так, что это приведёт к неполадкам или невозможности дальнейшего оказания услуг.
  • Подлог данных – содержимое сделки можно перехватить и изменить, пока оно находится в пути, как случайно, так и нарочно. Имена пользователей, номера кредитных карт и числовые значения посылаемых денежных сумм при этом обладают наибольшей уязвимостью.

 

 

 

 

2. Безопасность электронных платежей.

 

Рассмотрим особенности подхода к защите электронных банковских систем. Специфической чертой этих систем является специальная форма обмена электронными данными - электронных платежей, без которых ни один современный банк не может существовать.

 

Обмен электронными данными (ОЭД) — это межкомпьютерный обмен  деловыми, коммерческими, финансовыми  электронными документами. Например, заказами, платежными инструкциями, контрактными предложениями, накладными, квитанциями и т.п.

 

ОЭД обеспечивает оперативное  взаимодействие торговых партнеров (клиентов, поставщиков,торговых посредников  и др.) на всех этапах подготовки торговой сделки, заключения контракта и реализации поставки. На этапе оплаты контракта и перевода денежных средств ОЭД может приводить к электронному обмену финансовыми документами. При этом создается эффективная среда для торгово-платежных операций:

 

* Возможно ознакомление  торговых партнеров с предложениями товаров и услуг, выбор необходимого товара/услуги, уточнение коммерческих условий (стоимости и сроков поставки, торговых скидок, гарантийных и сервисных обязательств) в реальном масштабе времени;

 

* Заказ товара/услуг  или запрос контрактного предложения в реальном масштабе времени;

 

* Оперативный контроль  поставки товара, получение по  электронной почте сопроводительных  документов (накладных, фактур, комплектующих  ведомостей и т.д.);

 

* Подтверждение завершения поставки  товара/услуги, выставление и оплата счетов;

* Выполнение банковских кредитных  и платежных операций. К достоинствам  ОЭД следует отнести:

* Уменьшение стоимости операций  за счет перехода на безбумажную  технологию. Эксперты оценивают  стоимость обработки и ведения  бумажной документации в 3-8% от общей стоимости коммерческих операций и доставки товаров. Выигрыш от применения ОЭД оценивается, например, в автомобильной промышленности США более чем в $200 на один изготовленный автомобиль

 

* Повышение скорости  расчета и оборота денег;

* Повышение удобства  расчетов.

 

Существует две ключевые стратегии развития ОЭД:

 

1. ОЭД используется  как преимущество в конкурентной  борьбе, позволяющее осуществлять  более тесное взаимодействие  с партнерами. Такая стратегия  принята в крупных организациях и получила название «Подхода Расширенного Предприятия» (Extended Enterprise).

2. ОЭД используется  в некоторых специфических индустриальных  проектах или в инициативах  объединений коммерческих и других  организаций для повышения эффективности  их взаимодействия.

 

Банки в США и Западной Европе уже осознали свою ключевую роль в распространении ОЭД и  поняли те значительные преимущества, которые дает более тесное взаимодействие с деловыми и личными партнерами. ОЭД помогает банкам в предоставлении услуг клиентам, особенно мелким, тем, которые ранее не могли позволить себе ими воспользоваться из-за их высокой стоимости.

 

Частным случаем ОЭД  являются электронные платежи - обмен  финансовыми документами между  клиентами и банками, между банками  и другими финансовыми и коммерческими организациями.

 

Суть концепции электронных  платежей заключается в том, что  пересылаемые по линиям связи сообщения, должным образом оформленные  и переданные, являются основанием для выполнения одной или нескольких банковских операций. Никаких бумажных документов для выполнения этих операций в принципе не требуется (хотя они могут быть выданы). Другими словами, пересылаемое по линиям связи сообщение несет информацию о том, что отправитель выполнил некоторые операции над своим счетом, в частности над корреспондентским счетом банка-получателя (в роли которого может выступать клиринговый центр), и что получатель должен выполнить определенные в сообщении операции. На основании такого сообщения можно переслать или получить деньги, открыть кредит, оплатить покупку или услугу и выполнить любую другую банковскую операцию. Такие сообщения называются электронными деньгами, а выполнение банковских операций на основании посылки или получения таких сообщений - электронными платежами. Естественно, весь процесс осуществления электронных платежей нуждается в надежной защите. Иначе банк и его клиентов ожидают серьезные неприятности.

Методы обеспечения  безопасности в сети Интернет

 

Одним из важнейших условий  широкого применения Интернета было и остается обеспечение адекватного уровня безопасности для всех транзакций, проводимых через него. Это касается информации, передаваемой между пользователями, информации сохраняемой в базах данных торговых систем, информации, сопровождающей финансовые транзакции.

 

Понятие безопасность информации можно определить как состояние устойчивости информации к случайным или преднамеренным воздействиям, исключающее недопустимые риски ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации. Поскольку Сеть полностью открыта для внешнего доступа, то роль этих методов очень велика. Большая значимость фактора безопасности также отмечается многочисленными исследованиями, проводимыми в Интернете.

Решить проблемы безопасности призвана криптография — наука об обеспечении безопасности данных. Криптография и построенные на ее основе системы призваны решать следующие задачи.

 

·  Конфиденциальность. Информация должна быть защищена от несанкционированного доступа как при хранении, так  и при передаче. Доступ к информации может получить только тот, для кого она предназначена. Обеспечивается шифрованием.

·  Аутентификация. Необходимо однозначно идентифицировать отправителя, при однозначной идентификации  отправитель не может отказаться от послания. Обеспечивается электронной цифровой подписью и сертификатом.

·  Целостность. Информация должна быть защищена от несанкционированного изменения как при хранении, так  и при передаче. Обеспечивается электронной  цифровой подписью.

 

В соответствии с названными задачами основными методами обеспечения безопасности выступают шифрование, цифровая подпись и сертификаты.

 

 

3. Методы Шифрования

Осуществляя сделки в  Сети, в первую очередь необходимо убедиться, что важная информация надежно  скрыта от посторонних лиц. Этому служат технологии шифрования, преобразующие простой текст в форму, которую невозможно прочитать, не обладая специальным шифровальным ключом. Благодаря данным технологиям можно организовать безопасную связь по общедоступным незащищенным каналам Интернета.

 

Любая система шифрования работает по определенной методологии, включая  в себя один или более алгоритмов шифрования (математических формул), ключи, используемые этими алгоритмами, а  также систему управления ключами.

Согласно методологии  шифрования сначала к тексту применяются алгоритм шифрования и ключ для получения из него шифрованного текста. Затем шифрованный текст передается к месту назначения, где тот же самый алгоритм и ключ используются для его расшифровки, чтобы получить первоначальный текст. В методологию шифрования также входят процедуры создания ключей и их распространения.

 

Наиболее распространены алгоритмы шифрования, которые объединяют ключ с текстом. Безопасность систем такого типа зависит от конфиденциальности ключа, используемого в алгоритме шифрования, а не от конфиденциальности самого алгоритма, который может быть общедоступен и благодаря этому хорошо проверен. Но основная проблема, связанная с этими методами, состоит в безопасной процедуре генерации и передачи ключей участникам взаимодействия.

 

В настоящее время  существует два основных типа криптографических  алгоритмов:

 

1.  классические, или симметричные алгоритмы, основанные на использовании закрытых, секретных ключей, когда и шифрование, и дешифрирование производятся с помощью одного и того же ключа;

 

2.  алгоритмы с открытым  ключом, в которых используются  один открытый и один закрытый ключ, то есть операции шифрования производятся с помощью разных ключей. Эти алгоритмы называются также асимметричными.

 

Каждая методология  требует собственных способов распределения  ключей и собственных типов ключей, а также алгоритмов шифрования и расшифровки ключей.

 

Симметричные методы шифрования

 

Технология шифрования с секретным ключом (симметричный алгоритм) требует, чтобы оба участника  зашифрованной переписки имели  доступ к одному и тому же ключу. Это необходимо, так как отправитель  использует ключ для зашифровки сообщения, а получатель применяет его же для расшифровки. Как следствие, возникает проблема безопасной передачи этого ключа.

 

Алгоритмы симметричного  шифрования используют ключи не очень  большой длины и могут быстро шифровать большие объемы данных.

 

Порядок использования  систем с симметричными ключами  выглядит следующим образом:

1.  Безопасно создается,  распространяется и сохраняется  симметричный секретный ключ.

2.  Отправитель использует  симметричный алгоритм шифрования  вместе с секретным симметричным ключом для получения зашифрованного текста.

3.  Отправитель передает  зашифрованный текст. Симметричный  секретный ключ никогда не  передается по незащищенным каналам  связи.

4.  Для восстановления  исходного текста, получатель применяет к зашифрованному тексту тот же самый симметричный алгоритм шифрования вместе с тем же самым симметричным ключом, который уже есть у него.

 

Асимметричные методы шифрования

 

Для решения проблемы распространения ключей при использовании  симметричных методов шифрования на основе результатов, полученных классической и современной алгеброй, были предложены системы с открытым ключом, или асимметричные криптосистемы. Суть их состоит в том, что каждым адресатом генерируются два ключа, связанные между собой по определенному правилу. Хотя каждый из пары ключей подходит как для шифрования, так и для дешифрирования, данные, зашифрованные одним ключом, могут быть расшифрованы только другим.

 

Один ключ объявляется  открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение адресату. Секретный ключ сохраняется в тайне. Исходный текст шифруется открытым ключом адресата и передается ему. Зашифрованный текст не может быть расшифрован тем же открытым ключом. Дешифрирование сообщения возможно только с использованием закрытого ключа, известного лишь самому адресату.

 

Криптографические системы  с открытым ключом используют так  называемые необратимые или односторонние  функции.

 

Понятие односторонней  функции было введено в теоретическом исследовании о защите входа в вычислительные системы. Функция f(х) называется односторонней (one-way function), если для всех значений х из ее области определения легко вычислить значения y=f(x), но вычисление обратного значения практически неосуществимо. То есть по заданному значению у0 нельзя найти такое значение х0, для которого f(х0)=у0. «Практически неосуществимо» в данном случае означает, что требуется такой огромный объем вычислений, который при существующем уровне развития техники невозможно реализовать.

 

Множество классов необратимых  функций порождает все разнообразие систем с открытым ключом.

 

Алгоритмы шифрования с  открытым ключом получили широкое распространение  в современных информационных системах. Известно несколько криптосистем с  открытым ключом. Наиболее разработана на сегодня система RSA, предложенная еще в 1978 г. Алгоритм RSA назван по первым буквам фамилий его авторов: Р. Л. Райвеста (R. L. Rivest), А. Шамира (A. Shamir) и Л. Адлемана (L. Adieman). Этот алгоритм стал мировым фактически признанным стандартом для открытых систем и рекомендован МККТТ (Международный Консультативный Комитет по телефонии и телеграфии). Также используются алгоритмы: ECC (криптосистема на основе эллиптических кривых), Эль-Гамаль.

 

Следует отметить, что  алгоритмы систем шифрования с открытым ключом можно использовать в качестве следующих инструментов:

 ·  как самостоятельные  средства защиты передаваемых  и хранимых данных;

 ·  как средства  для распределения ключей (алгоритмы  систем шифрования с открытым  ключом более трудоемки, чем традиционные криптосистемы, поэтому на практике часто бывает рационально передать ключи, объем информации в которых незначителен с их помощью, а потом с помощью обычных алгоритмов осуществлять обмен большими информационными потоками);

 ·  как средства аутентификации пользователей (для создания электронной цифровой подписи).

 

Все асимметричные криптосистемы  являются объектом атак, в которых  применяется прямой перебор ключей, поэтому для обеспечения эквивалентного уровня защиты в них должны использоваться гораздо более длинные ключи, чем в симметричных криптосистемах. Для того чтобы избежать низкой скорости алгоритмов асимметричного шифрования, методы шифрования с открытым ключом часто используют для шифрования небольших объемов информации, например, для шифрования секретного ключа, на основе которого далее производится криптографическое закрытие информации симметричными методами.

Информация о работе Обеспечение безопасности электронных сделок и электронных платежей