Файл: Контрольная работа По предмету Основы электронной коммерции.doc

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 26.10.2023

Просмотров: 120

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ТОРГОВО-ЭКОНОМИЧЕСКИЙ

Три дороги

Посмотрим в будущее

Практика - критерий истины


Основное преимущество SET перед многими существующими системами обеспечения информационной безопасности заключается в использовании цифровых сертификатов (стандарт X509, версия 3), которые ассоциируют держателя карточки, продавца и банк продавца с рядом банковских учреждений платежных систем VISA и MasterCard.

SET позволяет сохранить существующие отношения между банком, держателями карточек и продавцами, и интегрируется с существующими системами, опираясь на следующие качества:

  • открытый, полностью документированный стандарт для финансовой индустрии;

  • основан на международных стандартах платежных систем;

  • опирается на существующие в финансовой отрасли технологии и правовые механизмы.

Кстати, совместный проект, реализованный компаниями IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard и Wal-Mart позволяет владельцам карточек Wal-Mart MasterCard, выпущенных банком Chase, приобретать товары на сайте Wal-Mart Online, который является одним из крупнейших узлов электронной коммерции США.

Рассмотрим более детально процесс взаимодействия участников платежной операции в соответствии со спецификацией SET, представленный на рисунке с сайта компании IBM (см. рисунок).

Схема взаимодействия участников платежной системы по стандарту SET

  • Владелец карточки - покупатель делающий заказ.

  • Банк покупателя - финансовая структура, которая выпустила кредитную карточку для покупателя.

  • Продавец - электронный магазин, предлагающий товары и услуги.

  • Банк продавца - финансовая структура, занимающаяся обслуживанием операций продавца.

  • Платежный шлюз - система, контролируемая обычно банком продавца, которая обрабатывает запросы от продавца и взаимодействует с банком покупателя.

  • Сертифицирующая организация - доверительная структура, выдающая и проверяющая сертификаты.

Взаимоотношения участников операции показаны на рисунке непрерывными линиями (взаимодействия описанные стандартом или протоколом SET) и пунктирными линиями (некоторые возможные операции).

Динамика взаимоотношений и информационных потоков в соответствии со спецификацией стандарта SET включает следующие действия :

  1. Участники запрашивают и получают сертификаты от сертифицирующей организации.

  2. Владелец пластиковой карточки просматривает электронный каталог, выбирает товары и посылает заказ продавцу.

  3. Продавец предъявляет свой сертификат владельцу карточки в качестве удостоверения.

  4. Владелец карточки предъявляет свой сертификат продавцу.

  5. Продавец запрашивает у платежного шлюза выполнение операции проверки. Шлюз сверяет предоставленную информацию с информацией банка, выпустившего электронную карточку.

  6. После проверки платежный шлюз возвращает результаты продавцу.

  7. Некоторое время спустя, продавец требует у платежного шлюза выполнить одну или более финансовых операций. Шлюз посылает запрос на перевод определенной суммы из банка покупателя в банк продавца.

Представленная схема взаимодействия подкрепляется в части информационной безопасности спецификацией Chip Electronic Commerce, созданной для использования смарт-карточек стандарта EMV в Интернете (www.emvco.com). Ее разработали Europay, MasterCard и VISA. Сочетание стандарта на микропроцессор EMV и протокола SET дает беспрецедентный уровень безопасности на всех этапах транзакции.

Компания "Росбизнесконсалтинг" 20 июня 2000 г. поместила на своем сайте сообщение о том, что одна из крупнейших мировых платежных систем VISA обнародовала 19 июня 2000 г. свои инициативы в области безопасности электронной коммерции. По словам представителей системы, эти шаги призваны сделать покупки в Интернете безопаснее для покупателей и продавцов. VISA полагает, что внедрение новых инициатив позволит сократить количество споров по транзакциям в Интернете на 50%. Инициатива состоит из двух основных частей. Первая часть -- это Программа аутентификации платежей (Payment Authentication Program), которая разработана для снижения риска неавторизованного использования счета держателя карточки и улучшения сервиса для покупателей и продавцов в Интернете. Вторая -- это Глобальная программа защиты данных (Global Data Security Program), цель которой -- создать стандарты безопасности для компаний электронной коммерции по защите данных о карточках и их держателях.

Платежные системы являются наиболее критичной частью электронной коммерции и будущее их присутствия в сети во многом зависит от возможностей обеспечения информационной безопасности и других сервисных функций в Интернете. SSL и SET -- это два широко известных протокола передачи данных, каждый из которых используется в платежных системах Интернета. Мы попытаемся сравнить SSL и SET и оценить их некоторые важнейшие характеристики. Более подробную техническую информацию о этих протоколах пытливый читатель может получить из виртуальных представительств ранее упомянутых компаний, а также на сайте www.SETco.org.

Итак, рассмотрим важнейшую функцию аутентификации (проверки подлинности) в виртуальном мире, где отсутствуют привычные физические контакты. SSL обеспечивает только двухточечное взаимодействие. Мы помним, что, в процесс транзакции кредитной карточки вовлечены, по крайней мере, четыре стороны: потребитель, продавец, банк-эмитент и банк-получатель. SET требует аутентификации от всех участвующих в транзакции сторон.

SET предотвращает доступ продавца к информации о пластиковой карточке и доступ банка-эмитента к частной информации заказчика, касающейся его заказов. В SSL разрешается контролируемый доступ к серверам, директориям, файлам и другой информации.


Оба протокола используют современную криптографию и системы цифровых сертификатов, удостоверяющих цифровые подписи взаимодействующих сторон. SSL предназначен преимущественно для защиты коммуникаций в Интернете. SET обеспечивает защиту транзакций электронной коммерции в целом, что обеспечивает юридическую значимость защищаемой ценной информации. При этом через SET транзакция происходит медленней, чем в SSL, и ее стоимость намного выше. Последняя характеристика весьма актуальна для сегодняшнего российского рынка, на котором пока не считают риски и эксплуатационные расходы.

Следует добавить, что, используя SSL, потребители подвергаются риску раскрытия реквизитов своих пластиковых карточек продавцу.

Внедрение и эксплуатация SET осуществляется много лет в нескольких десятках проектов во всем мире. Например, первая транзакция SET была проведена 30-го декабря 1996 в PBS (Датский банк) в совместном проекте IBM и MasterCard. Аналогичная работа проведена в 1997 г. в крупнейшем японском банке Fuji Bank, где пришлось адаптировать протокол к специфическому японскому законодательству. За прошедшее время подобные внедренческие проекты позволили отработать функции протокола и соответствующую документацию.

Кстати, IBM имеет полный набор продуктов, который охватывают все ключевые аспекты комплексного использования SET в целом и обеспечивают развитую инфраструктуру:

  • IBM Net.commerce Suite для продавцов, организующих интернет-магазины;

  • IBM Consumer Wallet для держателей карточек;

  • IBM Payment Gateway - шлюз платежей для банков;

  • IBM Net. Payment Registry -- продукт для аутентификации и сертификации.

SET функционирует на разных вычислительных платформах таких компаний, как IBM, Hewlett Packard, Sun Microsystems и Microsoft.

В свою очередь SSL используется в основном в Веб-приложениях и для защиты коммуникаций в Интернете. Например, SSL протокол сейчас реализован в Netscape-навигаторах и Netscape-серверах. Существует также свободно распространяемая версия SSL, называемая SSLeay. Она содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP. Благодаря этим качествам SSL получил широкое распространение в корпоративных интранет-сетях и в системах с небольшим количеством пользователей.

SET и SSL будут развиваться, находя своих новых пользователей, в то время как другие протоколы будут заполнять белые пятна в секторе протоколов безопасной передачи данных в Интернет/интранет-сетях, оставленные первыми участниками.

Посмотрим в будущее


Широко используемое в настоящее время при построении распределенных открытых систем и интрасетей семейство протоколов TCP/IP разрабатывалось в качестве основы информационного взаимодействия более четверти века назад. Основные механизмы TCP/IP были в целом сформированы к началу 80-х гг. XX в. и предназначались для обеспечения доставки пакетов данных между различными операционными системами с использованием разнородных (и ненадежных) каналов связи. Как следствие, основные концепции протоколов TCP/IP по ряду требований противоречат современным представлениям о компьютерной безопасности. Это находит свое отражение в получающих все большее распространение атаках на доступность информации, использующих уязвимости базовых протоколов Интернета. Кроме этого, имеются типичные слабости реализации протоколов TCP/IP, наследуемые современными сетевыми операционными системами. Только в 1997 г. фирма Microsoft выпустила семь официальных исправлений стека TCP/IP операционной системы Windows NT, направленных на ликвидацию возможности проведения атак, использующих уязвимости базовых протоколов информационного обмена.

Тематическая группа по технологии Интернета (Internet Engineering Task Force, IETF) в 1992 г. выступила с инициативой по разработке требований к протоколам семейства TCP/IP нового поколения. После обсуждения нескольких концепций, в начале 1995 года были опубликованы основные требования к архитектуре построения и указаны основные принципы функционирования средств обеспечения безопасности.

Протоколы TCP/IP нового поколения (IPv6) включают следующие новые черты: расширенное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; средства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования.

Спецификация IPsec, дополнительная по отношению к текущей версии протоколов TCP/IP и входящая в стандарт IPv6, разрабатывается Рабочей группой IP Security Тематической группы по технологии Интернет. В настоящее время IPsec включает 3 алгоритмо-независимых базовых спецификаций, опубликованных в качестве следующих RFC-документов.

Разработаный IETF протокол IPsec предусматривает стандартный способ шифрования трафика на сетевом (третьем) уровне IP и обеспечивает защиту на основе сквозного шифрования. IPsec шифрует каждый проходящий по каналу пакет независимо от приложения. Это позволяет организации создавать в Интернете виртуальные частные сети. IPsec поддерживает DES, MD5 и ряд других криптографических алгоритмов и предназначен для работы поверх связных протоколов.


Практические испытания на совместимость, проведенные в вычислительной системе биржи Automotive Network Exchange, сыграли важную роль в дальнейшем совершенствовании протокола IP следующего поколения сети Интернет. Исследовательские работы в этом направлении продолжаются.

Практика - критерий истины


Подводя итог данной публикации, автору, который вел пленарное заседание и секцию упомянутой в начале Международной конференции и выставки (E-COMMEX'2000), хотелось бы поделиться последними новостями рассматриваемой темы. Большой и активный интерес слушателей вызвал доклад Александра Скороходова "Создание интегральной сетевой инфраструктуры информационного и финансового взаимодействия подразделений корпорации и ее внешних торговых партнеров", посвященный успешной практике Банковского Производственного Центра (БПЦ) по внедрению SET в нашей стране.

Он сообщил, что в настоящее время БПЦ, по результатам тендера, объявленного Транскредитбанком, выбран в качестве исполнителя работ по проекту создания "Автоматизированной системы расчетов за грузовые перевозки на российских железных дорогах". Предложенное БПЦ решение основано на продуктах Payment Suite от компании IBM. Решение сертифицировано на соответствие международному стандарту безопасных транзакций SET и промышленно эксплуатируется рядом крупнейших финансовых институтов ( Europay, VISA, ) и корпораций в области логистики ( DHL, UPS ) и транспорта. Предложенное БПЦ решение обладает следующими преимуществами:

  • опирается на международные промышленные и финансовые стандарты (SET сертифицировано);

  • имеет промышленно эксплуатируемые прототипы на железных дорогах в США, Франции, Швейцарии, Австралии и др.;

  • создает инфраструктуру для решения задач по контролю за грузоперевозками и за состоянием подвижного состава при минимальных дополнительных инвестициях;

  • вписывается в действующую и планируемую инфраструктуру МПС, имеет стандартный интерфейс к SAP/ R3.

Реализация предложенного БПЦ решения создаст техническую и технологическую базу для планомерной реорганизации систем расчетов за грузовые и пассажирские перевозки, контроля за прохождением грузов и состоянием подвижного состава в рамках единой концепции, единой технической платформы и в строгом соответствии с современными принципами построения корпоративных систем "электронного бизнеса".

На этой оптимистичной ноте можно завершить краткий экскурс в проблему обеспечения безопасности коммерческой информации в Интернет/интранет-сетях. Будем надеяться на дальнейшие оперативные сводки о положительной практике интеграции лучших мировых решений электронной коммерции в российский сегмент новой цифровой экономики.

Смотрите также файлы