Безопасность электронной коммерции.
Одной из основных проблем электронной коммерции на сегодняшний день остается проблема безопасности, т.е. сведение к минимуму рисков и защита информации.
Причинами нарушения нормального функционирования компании в сети Интернет могут быть: компьютерные вирусы; мошенничество, приводящее к финансовым убыткам; кража конфиденциальной информации; незаконное вмешательство в файлы с конфиденциальной информацией о потребителях и т.п.
Степень защиты веб-сайта электронной компании зависит от уровня секретности его информации и потребностей в ее соблюдении. Так, например, если на сайте вводятся номера кредитных карточек, то необходимо обеспечить наиболее высокую степень зашиты веб-сервера.
Задачи соблюдения безопасности в электронной коммерции сводятся к аутентификации пользователей, соблюдению конфиденциальности и целостности информации: аутентификация — проверка подлинности пользователя; конфиденциальность — обеспечение сохранения частной информации, предоставленной пользователем; целостность информации — отсутствие искажений в передаваемой информации.
Угрозой нарушения целостности информации на веб-сервере могут выступать хакеры и вирусы.
Хакер проникает на слабо защищенные компьютеры и серверы и устанавливает специальные программы-невидимки, которые достаточно трудно обнаруживаются. Обычно такая программа-невидимка не наносит вреда веб-сайту, но создает большую перегруженность в сети. Хакер определяет цель своего нападения и активизирует заранее установленную программу, посылая команду через Интернет на несколько компьютеров. С этого начинается атака, которая приводит к перегруженности сети коммерческого предприятия.
Еще одним серьезным видом нарушения безопасности компьютеров и серверов в Интернете является вирус. Вирусы нарушают целостность системы и вводят в заблуждение средства защиты информации. Наилучшим средством защиты от вирусов является установка и периодическое обновление антивирусных программ, а также использование брандмауэров. Брандмауэр (firewall) — это фильтр, устанавливаемый между корпоративной сетью и сетью Интернет для защиты информации и файлов от несанкционированного доступа и для разрешения доступа только уполномоченным лицам. Таким образом, брандмауэр препятствует проникновению компьютерных вирусов и доступу хакеров в сеть предприятия и защищает ее от внешнего воздействия при подключении к Интернету.
При внедрении электронной коммерции одним из важнейших вопросов становится конфиденциальность информации. Информация, предоставляемая пользователем компании, должна быть надежно защищена. Одним из способов обеспечения безопасной и конфиденциальной передачи данных по компьютерным сетям является криптография, т.е. шифрование или кодирование данных таким образом, чтобы прочитать их могли только стороны, участвующие в конкретной операции.
При шифровании отправитель сообщения преобразует текст в набор символов, который невозможно прочитать без применения специального ключа, известного получателю. Ключ к шифру представляет собой последовательность символов, сохраненных на жестком диске компьютера или на дискете. Степень защищенности информации зависит от алгоритма шифрования и дайны ключа, измеряемой в битах.
Существуют два вида алгоритмов шифрования:
симметричные, в которых один и тот же ключ, известный обеим сторонам, используется и для шифрования, и для дешифрования информации;
асимметричные, в которых используются два ключа, один — для шифрования, другой — для дешифрования. Один из таких ключей является закрытым (секретным), другой — открытым (общедоступным).
Одним из наиболее известных и перспективных способов аутентификации отправителя сообщений является электронная цифровая подпись (ЭЦП) — электронный эквивалент собственноручной подписи. Впервые ЭЦП была предложена в 1976 г. Уитфилдом Диффи из Станфордского университета. Федеральный закон Российской Федерации «Об электронной цифровой подписи» принят 10 января 2002 г. В законе сказано, что электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Процесс применения электронной цифровой подписи выглядит следующим образом:
отправитель создает сообщение и шифрует его своим закрытым ключом, который в то же время является электронной цифровой подписью отправителя. При этом шифруется как сам текст сообщения, так и ЭЦП, присоединенная в конце документа;
отправитель передает зашифрованное письмо и свой открытый ключ по каналам связи получателю;
получатель дешифрует сообщение открытым ключом отправителя.
Совместно с ЭЦП обычно применяют одну из существующих хэш-функций. Хэш-функция формирует строку символов, называемую сводкой сообщения, в процессе обработки сообщения. Отправитель создает сводку сообщения, шифрует ее и также пересылает получателю. Получатель обрабатывает сообщение той же хэш-функцией и тоже получает сводку сообщения. Если обе сводки сообщения совпадают, то сообщение было получено без искажений.
Для подтверждения принадлежности открытого ключа какому-либо конкретному лицу или коммерческому предприятию служат цифровые сертификаты. Цифровой сертификат — документ, выдаваемый центром сертификации, для подтверждения подлинности конкретного лица или предприятия путем проверки его имени и открытого ключа. Для получения цифрового сертификата надо обратиться в центр сертификации и предоставить необходимые сведения. Каждый центр сертификации устанавливает свои цены и, как правило, выдает цифровой сертификат на год с возможностью продления после оплаты за следующий год.
Наиболее известными центрами сертификации являются компании VerlSign (www.verisign.com) и Thawte (wwwJhawte.com).
Для решения вопросов безопасности в компаниях электронной коммерции используются протокол SSL .
Протокол SSL (Secure Socket Layer— протокол защищенных сокетов) — основной протокол, используемый для защиты данных, передаваемых по сети Интернет. Этот протокол основан на комбинации алгоритмов асимметричного и симметричного шифрования. Он обеспечивает три основные функции: аутентификацию сервера, аутентификацию клиента и шифрованное соединение по протоколу SSL.