Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Лекція 1 Електронна комерція: суть, принципи, сфери застосування

Лекція 1 Електронна комерція: суть, принципи, сфери застосування




Сторінка6/11
Дата конвертації10.03.2017
Розмір2.12 Mb.
ТипЛекція
1   2   3   4   5   6   7   8   9   10   11

Безпека інформаційної системи поділяється на зовнішню і внутрішню.

Зовнішня безпека включає:



  • захист від втрати або модифікації системи інформації при стихійних лихах.

  • захист системи від проникнення зловмисників.

Внутрішня безпека включає:

  • забезпечення надійної і коректної роботи, цілісності інформації і компонентів системи;

  • створення механізмів регламентації діяльності всіх користувачів та обслуговуючого персоналу;

  • підтримка дисципліни доступу до системи.

Існує два підходи забезпечення безпеки системи – фрагментарний та комплексний.

Фрагментарний орієнтується на протидію чітко визначеним загрозам при визначених умовах функціонування системи, має міцний захист щодо конкретної загрози безпеки.

Комплексний - створює захищене середовище для обробки інформації в системі, яке об'єднує різноманітні правові, організаційні, програмно-технічні засоби протидії будь-яким загрозам.
Обробка інформації́ - вся сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних [6.


Захист інформації - це сукупність заходів, які забезпечують перевірку цілісності інформації, виключають або зменшують несанкціонований доступ до інформації, дають змогу відновити інформацію з мінімальними витратами.

Всі заходи та засоби по захисту інформації можна поділити на декілька груп:

1. Юридичні заходи передбачають наявність законів, які визначають відповідальність осіб, що знищують, пошкоджують інформацію, використовують її без належного дозволу, або сприяють цьому.

До правових заходів відносяться закони про авторські права, статті у кримінальному кодексі, в яких йде мова про пошкодження інформаційних систем.

Кримінальний кодекс - систематизований законодавчий акт, що врегульовує питання виключного переліку діянь, які є кримінальними правопорушеннями, встановлює підстави кримінальної відповідальності та передбачає види покарань та/або заходів безпеки до осіб, котрі вчинили заборонену дію чи бездіяльність.
(закон України про "Захист інформації в автоматизованих системах").
Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.



2. Адміністративні (організаційні) - це заходи, що регламентують процес функціонування системи, використання її ресурсів, діяльність персоналу, тощо.

До них відносяться : розробка правил обробки інформації, проектування будівель для обробки інформації з урахування впливу зовнішнього середовища, відбір персоналу, організація пропускної системи, організація обліку, зберігання і знищення документів та носіїв конфіденційної інформації, організація розподілу зберігання паролів, криптографічних ключів, сертифікація технічних і програмних засобів.



3. Фізичні заходи захисту включають охорону приміщень, техніки та персоналу, встановлення на дверях приміщень шифрувальних замків, тощо.
Примі́щення - частина внутрішнього об'єму будівлі, обмежена будівельними елементами, з можливістю входу і виходу.


4. Технічні засоби передбачають використання пристроїв, які зменшують ймовірність руйнування та викрадання інформації.

Серед найбільш відомих можна назвати блоки безперебійного живлення (UPS), які дозволяють працювати на ЕОМ деякий час після виключення електричного струму, ключі запирання клавіатури, спеціальні комп'ютери разом із специфічним програмним забезпеченням (брандмауери), які обмежують або фільтрують доступ до інформаційної системи із глобальних мереж, електронні картки.

Ймові́рність (лат. probabilitas, англ. probability) - числова характеристика можливості того, що випадкова подія відбудеться в умовах, які можуть бути відтворені необмежену кількість разів. Імовірність є основним поняттям розділу математики, що називається теорія імовірностей.
Еле́ктрика (від грец. ήλεκτρον - бурштин; раніше також громови́на ) - розділ фізики, що вивчає електричні явища: взаємодію між зарядженими тілами, явища поляризації та проходження електричного струму.
Електри́чний струм (англ. electric current) - упорядкований, спрямований рух електрично заряджених частинок у просторі.



5. Програмні засоби використовуються для визначення та обмеження прав користувачів по доступу до системи, шифрування та розшифровки інформації, що зберігається, фіксування дій користувачів по доступу до системи або інформації, відновлення знищеної інформації на носіях, якщо знищення відбулось на логічному, а не фізичному рівні, тощо.
Шифрува́ння - оборотне перетворення даних, з метою приховання інформації. Шифрування з'явилось близько 4 тис. років назад. Першим відомим зразком шифру вважається єгипетський текст, створений приблизно в 1900 р.

Подібні програми можуть входити у стандартний комплект поставки того чи іншого програмного продукту загального призначення, або розроблятися під конкретне робоче місце проектувальниками інформаційних систем.



6. Технологічні засоби передбачають включення у технологічний процес спеціальних операцій, які будуть перешкоджати та запобігати пошкодженню, руйнуванню та витоку інформації.
Технологічність (рос. технологичность, англ. adaptability to manufacture, нім. Fertigungsgerechtheit f) - відповідність продукції вимогам економічної технології її використання. Технологічність забезпечується при розробці конструкції виробу.
Спеціальна операція військ (сил) - загальновживане поняття, що набуло широкого вжитку у різних сферах діяльності силових структур та правоохоронних органів світу з другої половини 20 століття.

Такі засоби повинні надавати можливість відновити інформацію і програмні засоби з мінімальними витратами часу і праці. Технологічні засоби тісно пов'язані із програмними. Більшість технологічних операцій по захисту інформації вимагають роботи спеціальних програм.

Більшість - велика частина чого-небудь, або кількісне переважання прихильників якоїсь ідеї чи рішення над їхніми противниками. Вважається найпершою засадою демократичного способу прийняття спільних рішень, головною й необхідною умовою обрання кандидата на виборну посаду.
Опера́ція технологі́чна (рос. операция технологическая, англ. production operation, нім. technologische Operation f) - окрема частина технологічного процесу, сукупність робочих дій (прийомів), що характеризується однорідністю технологічного змісту і єдністю предмету праці, застосовуваного інструмента (устаткування) і робочих пристосувань.


Основні механізми інформаційної безпеки такі:

- управління доступом до інформації;

- ідентифікація та аутентифікація;

Автентифікáція (з грец. αυθεντικός ; реальний або істинний) - процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора. .

- криптографія;

- екранування;

- забезпечення цілісності і доступності даних;

- підтримка працездатності системи електронної комерції при збоях, аваріях, НС;

- відстеження подій, які можуть загрожувати ІБ;

- управління доступом у системах електронної комерції;

- протоколювання дій і подій.

Якщо використовується опис вимог за підсистемами, повинні бути сформульовані додаткові вимоги, регламентовані у вимогах вибраного профілю захисту (класу захищеності системи електронної комерції від несанкціонованого доступу). Можливе використання змішаного підходу, за якого додаткові вимоги описуються в термінах функцій (сервісів) безпеки
2. Технологія захисту інформації при роботі у мережі.

Ризики, що виникають у наслідок помилок у програмному забезпеченні залежать від міри відкритості системи, наявності помилок у операційній системі, швидкості їх виправлення.


Засоби захисту інформаційних ресурсів

1) перевірка системних установок (або її незмінність з часу останньої перевірки здійснюється за допомогою програм класу "сканер безпеки". Такі програмні продукти існують для більшості ОС. До них відносяться :

- ASET (компонент ОС Solaris);

- KSA (для платформ NetWare и NT);

- SSS (System Security Scanner) (Unix-платформи ).

Ці програми аналізують стан безпеки як зовні, так і всередині мережі.

При аналізі зовнішніх загроз тестування проводиться по глобальній мережі з використання спеціальної програми (наприклад Internet Scanner, що входить до складу System Security Scanner).

Тестування застосовується для визначення відповідності предмета випробування заданим специфікаціям. До завдань тестування не належить визначення причин невідповідності заданим вимогам (специфікаціям). Тестування - один з розділів діагностики.
Загроза - можлива небезпека . Будь-які обставини або події, що виникають у зовнішньому середовищі, які можуть бути причиною порушення політики безпеки інформації і (або) нанесення збитків автоматизованій системі.
При аналізі внутрішні загроз тестування проводиться з самої ОС комп'ютера,а саме здійснюється:

1. перевірка прав доступу;

2. перевірка прав власності файлів;

Пра́во вла́сності (в об'єктивному розумінні) - це сукупність правових норм, які регулюють відносини, пов'язані з володінням, користуванням і розпорядженням власником належним йому майном на свій розсуд і у своїх інтересах, усуненням усіх третіх осіб від протиправного втручання у сферу його володіння цим майном, а також обов'язки власника не порушувати прав та законних інтересів інших осіб.

3. конфігурація мережевих сервісів;

4. перевіряються програми аутентифікації, (наприклад, паролі);

5. перевіряється поточна конфігурація (до неї відносяться файли конфігурації, версії ПЗ, незвичайні файли перевірка небезпечних змін у системі)

2) перевірка небезпечних змін у системі (перевіряються сліди несанкціонованого доступу до системи:

1. зміна розмірів файлів;

2. зміна прав доступу до файлів;

3. зміна змісту окремих файлів;

4. зміна в установках ресурсів користувача;

5. переключення мережевого інтерфейсу в режими робота, що дозволяють передавати дані на зовнішні комп'ютери.

По результатам сканування створюється звіт.

3)аналіз захисту мережних сервісів. Прикладом таких засобів захисту є:

1. пакет програм SATAN, автор F.Venema) програма розповсюджується безкоштовно. До складу системи входять більш ніж 20 тестів для перевірки вразливості системи.

2. пакет Internet Scanner SAFEsuite. Цей пакет надає можливість ідентифікувати та корегувати більш ніж 140 відомих вразливих місць та постійно спостерігати за станом безпеки  мережевих технічних засобів, що працюють з TCP/IP.

Сканер (англ. scanner) - пристрій, призначений для створення зображень певних об'єктів шляхом обробки променів, які відбиваються від поверхні об'єкта або проходять крізь об'єкт. В більш вузькому значенні - пристрій для отримання комп'ютерного цифрового зображення.
Спостере́ження (англ. observation, рос. наблюдение) - метод наукового дослідження, що полягає в активному (систематичному, цілеспрямованому, планомірному) та навмисному сприйнятті об'єкта, в ході якого здобувається знання про зовнішні сторони, властивості й відносини досліджуваного об'єкта.


4) засоби автоматичного реагування на спроби несанкціонованого доступу. Прикладом такого засобу є продукт RealSecure компании Internet Security Systems (США).

Цей інструментальний засіб призначений адміністративного управління великими обсягами мережної інформації:

1) відслідковує події, що порушують безпеку системи цілодобово;

2) реєструє спроби несанкціонованого доступу;

3) організовує комплекс активних засобів захисту.

Пакет працює під ОС SunOS, Solaris и Linux.


Вимоги до захисту інформації, що передається по мережі

З метою захисту інформації, що передається по мережі необхідного забезпечити виконання наступних вимог:

1. Інформація, що передається по мережі повинна бути закритою, тобто повідомлення може бути прочитане тільки тим кому воно адресоване;

2. Цілісність, випадкове чи навмисне пошкодження повідомлення повинно бути виявлене при його прийомі;

3. Необхідно встановлювати аутентичність відправника (при прийомі повідомлення одночасно виявляти хто його відправив);
3. Види загроз безпеки інформаційної системи. Методи захисту.

У реальному світі ми багато уваги приділяємо фізичній безпеці, а у світі електронної комерції доводиться піклуватися про засоби захисту даних, комунікацій і транзакцій. Маючи справу з мережевими системами Internet та Intranet, треба пам’ятати про існування декількох можливих загроз:

- дані навмисно перехоплюються, читаються чи змінюються;

- користувачі навмисно ідентифікують себе неправильно;

- користувач одержує несанкціонований доступ з однієї мережі до іншої.

Вказані загрози реалізуються через такі уразливі місця:

1. Уразливості сервісів ТСР/ІР – ряд сервісів ТСР/ІР є небезпечними і можуть бути скомпрометовані розумними зловмисниками. Особливо вразливі сервіси, що використовуються в локальних обчислювальних мережах (ЛОМ) для поліпшення управління мережею;

2. Легкість спостереження за каналами та перехоплення інформації – більшість трафіку Інтернет не зашифровано. Електронна пошта, паролі та файли, що передаються, можуть бути перехоплені при використанні легкодоступних програм. Потім зловмисники можуть використати паролі для проникнення в системи електронної комерції;

3. Відсутність політики – багато мереж можуть бути сконфігуровані через незнання так, що даватимуть можливість доступу до них з Інтернету, не враховуючи можливих зловживань. Значна кількість мереж допускає використання більшої кількості сервісів ТСР/ІР, ніж це потрібно для діяльності їх організації. Адміністратори таких мереж не намагаються обмежити доступ до інформації з комп’ютерів. Це може допомогти зловмисникам проникнути до мережі;

4. Складність конфігурування – ресурси управління доступом до мереж у хостах часто є складними в налаштуванні та контролі за ними. Неправильно сконфігуровані засоби часто призводять до неавторизованого доступу;

5. Помилки при конфігуруванні хоста або ресурсів управління доступом, які або погано встановлені, або настільки складні, що важко адмініструються;

6. Роль та важливість адміністрування системи, які часто не враховуються під час опису посадових обов’язків співробітників (більшість адміністраторів наймаються на неповний робочий день є низькокваліфікованими);

Поса́да - формально, адміністративно закріплене місце працівника в трудовому колективі, яке передбачає виконання логічно посадових обов'язків, посадові виконання і характер взаємовідносин.

7. Слабка аутентифікація;

8. Можливість легкого спостереження за даними, що передаються;

9. Можливість легкого маскування під інших

10. Недоліки служб ЛОМ та взаємної довіри хостів один до одного;

11. Складність конфігурування і заходів захисту;

12. Слабкий захист на рівні хостів.
При здійсненні комерційних операцій (купівлі товарів в електронних магазинах) в електронній комерції для користувача існують наступні загрози:


  • Підміна сторінки Web-сервера електронного магазину. Основний спосіб реалізації - переадресація запитів користувача на інший сервер. Проводиться шляхом заміни записів в таблицях DNS-серверів або в таблицях маршрутизаторів. Особливо це небезпечно, коли замовник вводить номер своєї кредитної картки.
    Маршрутиза́тор, або ро́утер (англ. router) - електронний пристрій, що використовується для поєднання двох або більше мереж і керує процесом маршрутизації, тобто на підставі інформації про топологію мережі та певних правил приймає рішення про пересилання пакетів мережевого рівня (рівень 3 моделі OSI) між різними сегментами мережі.
    Креди́тна ка́ртка - іменний платіжно-розрахунковий документ, який видають банки або торговельні фірми своїм клієнтам для оплати необхідних для них товарів і послуг, придбаних у кредит. На відміну від дебетової картки кредитна картка може бути не пов'язана з реальним банківським рахунком.


  • Створення помилкових замовлень і шахрайство з боку співробітників електронного магазину.
    Шахрайство - заволодіння чужим майном або придбання права на майно шляхом обману чи зловживання довірою.
    Проникнення в базу даних і зміна процедур обробки замовлень дозволяє незаконно маніпулювати з базою даних. За статистикою більше половини всіх комп'ютерних інцидентів пов'язано з власними співробітниками.
    Інцидент (від лат. incidentis) - неприємна подія, непорозуміння, випадок, зіткнення. Також, зважаючи на політкоректність, і, з мотивів обережності щодо попередніх неекспертних висновків, інцидентом можуть позначати збройні конфлікти [джерело не вказане 1306 днів].


  • Перехоплення даних, переданих в системі електронної комерції. Особливу небезпеку являє собою перехоплення інформації про кредитну карту замовника.

  • Проникнення у внутрішню мережу компанії і компрометація компонентів електронного магазину. Реалізація атак типу "відмова в обслуговуванні" і порушення функціонування або виведення з ладу вузла електронної комерції.

  • Порушення доступності вузлів електронної комерції і неправильне налаштування програмного і апаратного забезпечення електронного магазину.

У результаті всіх цих загроз компанія втрачає довіру клієнтів і втрачає гроші від недосконалих угод. У деяких випадках цієї компанії можна пред'явити позов за розкриття номерів кредитних карт. У разі реалізації атак типу "відмова в обслуговуванні" на відновлення працездатності витрачаються тимчасові і матеріальні ресурси на заміну обладнання. Перехоплення даних не залежить від використовуваного програмного і апаратного забезпечення. Це пов'язано з незахищеністю версії протоколу IP. Рішення проблеми - використання криптографічних засобів або перехід на шосту версію протоколу IP. В обох випадках існують свої проблеми. У першому випадку застосування криптографії має бути ліцензоване у відповідному відомстві.

Ві́домство (від «відати») - установа виконавчої влади держави або самоврядної території, яка відає певною галуззю або сферою суспільного життя і здійснює державне управління в цій сфері.
У другому випадку виникають організаційні проблеми.

Все це говорить про необхідність комплексного захисту.

Реально захист часто обмежується використанням криптографії (40-бітової версії протоколу SSL) для захисту інформації між браузером клієнта і сервером електронного магазину і фільтром на маршрутизаторі.



Комплексна система захисту повинна будуватися з урахуванням чотирьох рівнів будь-якої інформаційної системи:

  • Рівень прикладного програмного забезпечення (ПО), що відповідає за взаємодію з користувачем.
    Застосунок, застосовна програма, прикладна програма (англ. application, application software; пол. aplikacja; рос. приложение, прикладная программа) - користувацька комп'ютерна програма, що дає змогу вирішувати конкретні прикладні задачі користувача.
    Прикладом елементів цього рівня - текстовий редактор WinWord, редактор електронних таблиць Excel, поштова програма Outlook, браузер Internet Explorer.
    Текстовий редактор - комп'ютерна програма-застосунок, призначена для створення й зміни текстових файлів (вставки, видалення та копіювання тексту, заміни змісту, сортування рядків), а також їх перегляду на моніторі, виводу на друк, пошуку фрагментів тексту тощо.


  • Рівень системи управління базами даних (СКБД), що відповідає за зберігання і обробку даних інформаційної системи. Прикладом елементів цього рівня - СУБД Oracle, MS SQL Server, Sybase і MS Access.

  • Рівень операційної системи (ОС), що відповідає за обслуговування СУБД і прикладного програмного забезпечення. Приклади - ОС MS Windows NT, Sun Solaris, Novell Netware. Рівень мережі, що відповідає за взаємодію вузлів інформаційної системи. Приклади - протоколи TCP/IP, IPS/SPX і SMB/NetBIOS.

Система захисту повинна ефективно працювати на всіх рівнях. Інакше зловмисник зможе реалізувати атаку на ресурси електронного магазину.

Небезпечні і зовнішні і внутрішні атаки. За статистикою основна небезпека виходить від внутрішніх користувачів електронного магазину (операторів системи).

Для отримання несанкціонованого доступу до інформації про замовлення в базі даних є наступні можливості:



  • Прочитати записи БД з MS Query, який дозволяє отримувати доступ до записів багатьох СУБД за допомогою механізму ODBC або SQL-запитів.

  • Прочитати потрібні дані засобами самої СУБД (рівень СУБД).

  • Прочитати файли бази даних безпосередньо на рівні операційної системи.

  • Відправити по мережі пакети зі сформованими запитами на отримання необхідних даних від СУБД. Або перехопити ці дані в процесі їх передачі по каналах зв'язку (рівень мережі).

Зазвичай основна увага приділяється нижнім двом рівням - рівню мережі і операційної системи. На рівні мережі застосовуються маршрутизатори і міжмережеві екрани.
Міжмережевий екран, Мережевий екран, Фаєрво́л, файрво́л англ. Firewall, буквально «вогняна стіна» - пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.
На рівні ОС - вбудовані засоби розмежування доступу.

Взагалі, чисто технічними засобами вирішити завдання побудови комплексної системи захисту неможливо. Необхідний комплекс організаційних, законодавчих, фізичних і технічних заходів.

Безперервний розвиток мережних технологій при відсутності постійного аналізу безпеки призводить до того, що з плином часу захищеність мережі падає. З'являються нові невраховані загрози та уразливості системи.

Є поняття - адаптивна безпека мережі.

Безпе́ка мере́жі (Network security) - заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів.
Вона дозволяє забезпечувати захист у реальному режимі часу, адаптуючись до постійних змін в інформаційній інфраструктурі.
Інформаці́йна інфраструкту́ра (англ. information infrastructure) - комплекс програмно-технічних засобів, організаційних систем та нормативних баз, який забезпечує організацію взаємодії інформаційних потоків, функціонування та розвиток засобів інформаційної взаємодії та інформаційного простору країни або організації.
Складається з трьох основних елементів - технології аналізу захищеності, технології виявлення атак, технології управління ризиками.



Технології аналізу захищеності є дієвим методом, що дозволяє проаналізувати і реалізувати політику мережевої безпеки. Системи аналізу захищеності проводять пошук уразливостей, але нарощуючи число перевірок і досліджуючи всі її рівні. Уразливість – це деяка слабкість системи безпеки, яка може стати причиною нанесення пошкоджень системі електронної комерції.

Виявлення атак - оцінка підозрілих дій, які відбуваються в корпоративній мережі. Атакою називається дія деякого суб’єкта системи електронної комерції (користувача, програми, процесу і т.д.), що використовує вразливість комп’ютерної системи електронної комерції для досягнення цілей, які виходять за межі авторизації даного суб’єкта в комп’ютерній системі. Виявлення атак реалізується за допомогою аналізу журналів реєстрації операційної системи і прикладного ПЗ та мережного трафіку в реальному часі.
Реєстра́ція - запис, фіксація фактів або явищ з метою обліку та надання їм статусу офіційно визнаних актів (реєстрація народження або шлюбу); внесення в список, в книгу обліку.
Компоненти виявлення атак, розміщені на вузлах або сегментах мережі, оцінюють різні дії.

Управлінням у термінології безпеки називається захисний механізм (дія, пристрій, процедура, технологія тощо), що зменшує вразливість системи електронної комерції.
4. Шифрування та електронно-цифровий підпис.

Шифрування - це спосіб зміни повідомлення або іншого документа, що забезпечує спотворення (приховування) його вмісту. Кодування - це перетворення звичайного, зрозумілого, тексту в код. При цьому мається на увазі, що існує взаємно однозначна відповідність між символами тексту (даних, чисел, слів) і символьного коду - в цьому принципова відмінність кодування від шифрування.
Си́мвол (англ. symbol символ) - знак, сутність, яка позначає іншу сутність.
Бієкція (бієктивна функція, бієктивне відображення, взаємно однозначна відповідність) - в математиці відображення, яке є одночасно сюр'єктивним та ін'єктивним.
Часто кодування і шифрування вважають одним і тим же, забуваючи про те, що для відновлення закодованого повідомлення, достатньо знати правило підстановки (заміни).
Пра́вило підстано́вки у логіці - це правило перетворення, що може застосовуватися до лише часткового сегменту виразу[en]. Логічну систему може бути побудовано таким чином, що вона використовує або аксіоми, правила виведення, або обидва як правила перетворення логічних виразів[en] у системі.
Для відновлення ж зашифрованого повідомлення крім знання правил шифрування, потрібно і ключ до шифру. Ключ - конкретний секретний стан параметрів алгоритмів шифрування і дешифрування . Знання ключа дає можливість прочитання секретного повідомлення.

Шифрувати можна не тільки текст, але і різні комп'ютерні файли - від файлів баз даних і текстових процесорів до файлів зображень.

Зазвичай алгоритми шифрування відомі і не є секретом. Конфіденційність передачі і зберігання зашифрованої інформації забезпечується за рахунок конфіденційності ключа.

Алгори́тм (латинізов. Algorithmi за араб. ім'ям узб. математика аль-Хорезмі) - набір інструкцій, які описують порядок дій виконавця, щоб досягти результату розв'язання задачі за скінченну кількість дій; система правил виконання дискретного процесу, яка досягає поставленої мети за скінченний час.
Конфіденційність (англ. confidentiality, privacy) - властивість не підлягати розголосові; довірливість, секретність, суто приватність.
Ступінь захищеності залежить від алгоритму шифрування і від довжини ключа, вимірюваної в бітах. Чим довший ключ, тим краще захист, але тим більше обчислень треба провести для шифрування і дешифрування даних.
Більшість з нас постійно використовують шифрування, хоча і не завжди знають про це. Якщо у вас встановлена операційна система Microsoft, то знайте, що Windows зберігає про вас (як мінімум) таку секретну інформацію:

• паролі для доступу до мережевих ресурсів (домен, принтер, комп'ютери в мережі);

• паролі для доступу в Інтернет за допомогою DialUр;

• кеш паролів (в браузері є така функція - кешувати паролі, і Windows зберігає всі коли-небудь вводяться вами в Інтернеті паролі);

• сертифікати для доступу до мережевих ресурсів і зашифрованих даних на самому комп'ютері.

Ці дані зберігаються або в рwl-файлі (в Windows 95), або в SAM-файлі (в Windows NT/2000/XР). Це файл Реєстру Windows, і томуопераційна система нікому не дасть до нього доступу навіть начитання. Зловмисник може скопіювати такі файли, тільки завантажившись в іншу ОС або з дискети. Утиліт для їх злому досить багато, найсучасніші з них здатні підібрати ключ за кілька годин.


Основні види алгоритмів шифрування - симетричні і асиметричні.

Симетричні методи шифрування зручні тим, що для забезпечення високого рівня безпеки передачі даних не потрібно створення ключів великої довжини. Це дозволяє швидко шифрувати і дешифрувати великі обсяги інформації. Разом з тим, і відправник, і одержувач інформації володіють одним і тим же ключем, що робить неможливим аутентифікацію відправника. Крім того, для початку роботи із застосуванням симетричного алгоритму сторонам необхідно безпечно обмінятися секретним ключем, що легко зробити при особистій зустрічі, але вельми скрутно при необхідності передати ключ через будь-які засоби зв'язку.

Прикладами алгоритмів симетричного шифрування є:

- DES (Data Encryption Standard).

Шифрування з симетричними ключами - схема шифрування, у якій ключ шифрування, та ключ дешифрування збігаються, або один легко обчислюється з іншого та навпаки, на відміну від асиметричного, де ключ дешифрування важко обчислити.
Розроблений фірмою IBM і широко використовується з 1977 року. В даний час трохи застарів, оскільки застосовувана в ньому довжина ключа недостатня для забезпечення стійкості до розтину методом повного перебору всіх можливих значень ключа.

- Triple DES. Це удосконалений варіант DES, що застосовує для шифрування алгоритм DES три рази з різними ключами. Він значно стійкіший до злому, ніж DES.

- Rijndael. Алгоритм розроблений в Бельгії. Працює з ключами довжиною 128, 192 і 256 біт. На даний момент до нього немає претензій у фахівців з криптографії.

- Skipjack. Алгоритм створений і використовується Агентством національної безпеки США. Довжина ключа 80 біт. Шифрування й дешифрування інформації проводиться циклічно (32 циклу).

- IDEA. Алгоритм запатентований в США і низці європейських країн.

Державна безпека - стан захищеності державної влади, суверенітету, територіальної цілісності, обороноздатності, спокою людей (народу), громадської злагоди, довкілля, національної і релігійної рівності.
Євро́па (іноді Евро́па) - частина світу в Північній півкулі.
Власник патенту компанія Ascom-Tech. Алгоритм використовує циклічну обробку інформації (8 циклів) шляхом застосування до неї ряду математичних операцій. RC4. Алгоритм спеціально розроблений для швидкого шифрування великих об'ємів інформації. Він використовує ключ змінної довжини (в залежності від необхідного ступеня захисту інформації) і працює значно швидше інших алгоритмів. RC4 відноситься до так званих потоковим шифрів.

При асиметричному шифруванні використовуються два ключі - відкритий і закритий, які математично пов'язані один з одним. Інформація шифрується за допомогою відкритого ключа, що доступний усім бажаючим, а розшифровується за допомогою закритого ключа, відомого тільки одержувачу повідомлення.
Електронний цифровий підпис (ЕЦП) є електронним еквівалентом власноручного підпису. ЕЦП служить не тільки для аутентифікації відправника повідомлення, але і для перевірки його цілісності. При використанні ЕЦП для аутентифікації відправника повідомлення застосовуються відкритий і закритий ключі. Процедура схожа на здійснювану в асиметричному шифруванні, але в даному випадку закритий ключ служить для шифрування, а відкритий - для дешифрування.
Хакери, крекери, кардери – хто це?

Хакер (анг. hacker) - комп'ютерний фахівець, який займається активним і глибоким дослідженням, розвитком та вдосконаленням різних комп'ютерних систем; його цікавить, як працюють системи, і це не продиктовано особистою вигодою. В даний час більшість хакерів пов'язані з розвитком вільного програмного забезпечення.

Слово «Хакер» використовують в невірному контексті в ЗМІ, що спричиняє підміну понять. Програмісти, які беруть участь у руйнуванні системи, крадіжці паролів і іншої злочинної діяльності, називаються крекери (англ. crack - зломщик). Одна з відмінних особливостей крекерів - вони зберігають свої «позиції». При зломі вони ретельно замітають сліди, але в той же час залишають собі можливість знову зайти в систему (наприклад, створюють обліковий запис).

Обліковий запис (сленг. акаунт, обліковка або обліківка) у комп'ютерній системі - сукупність наданої інформації про користувача, засобів та прав користувача відносно багатокористувацької системи.



Типи хакерів:

крекери або кримінальні хакери (чорний капелюх). Якщо крекери зламують комп'ютерну систему, значить у них підступні плани. Їх цікавить особиста вигода: популярність, прибуток і навіть помста. Вони змінюють, видаляють і крадуть важливу інформацію і часто роблять цим життя інших людей жахливим. Крекери, безсумнівно, злочинці і вони повинні бути покарані відповідно до закону;

• етичні хакери (білий капелюх). Етичні хакери проникають в свої системи для того, щоб переконатися в їх безпеці і роблять це тими ж методами, які міг би використовувати кримінальний хакер. Завдяки їх діяльності поліпшується добробут звичайного комп'ютерного користувача. Коли хакер знаходить в сервері вразливе місце, він повідомляє про це власника сервера. У крайніх випадках деякі всесвітньо відомі компанії навіть наймали хакерів на роботу або влаштовували змагання хакерів, для контролю безпеки своїх систем.

•є також і хакери «сірі капелюхи», які можуть бути і тими і іншими.



Кардер - це людина, що проводить незаконні операції з кредитними картками інших осіб для використання грошей, знятих з картки, в особистих цілях.

Існує два види кардерів: інтернет-кардери, які працюють тільки з інформацією, і реальні кардери, які працюють з пластиковими клонами кредитних карт.



Лекція 5

Види електронного бізнесу

1. Електронна комерція.

2. Електронна банківська діяльність (Інтернет-банкинг).

3. Електронні брокерські послуги (Інтернет-трейдинг).

4. Електронні аукціони.

5. Електронна пошта.

6. Електронні бюро.

7. Електронні страхові послуги.

8. Дистанційне навчання.

Дистанційне навчання - сукупність сучасних технологій, що забезпечують доставку інформації в інтерактивному режимі за допомогою використання ІКТ (інформаційно-комунікаційних технологій) від тих, хто навчає (викладачів, визначних постатей у певних галузях науки, політиків), до тих, хто навчається (студентів чи слухачів).

На сьогодні можна виділити наступні основні форми проведення торгових операцій через Інтернет:

– електронна комерція;

– електронна банківська діяльність (Інтернет-банкинг);

– електронні брокерські послуги (Інтернет-трейдинг);

– електронні аукціони;

– електронна пошта;

– електронні бюро;

– електронні страхові послуги;

– дистанційне навчання.

Приналежність компанії до певного виду е-бізнесу визначається специфікою його діяльності, а не технологією, яка при цьому використовується.


1. Електронна комерція

Електронна комерція (е-commerce) – вид електронної комерційної діяльності – продаж, здача в оренду, надання ліцензій, постачання товарів, послуг або інформації і тому подібне з використанням інформаційних комунікаційних технологій. Поняття „е-комерція” ширше, ніж поняття „електрона торгівля” (ЕТ), оскільки воно охоплює всі види електронної і комерційної діяльності. Іншими словами це обмін матеріальних або віртуальних товарів/послуг на гроші (електронні) між об'єктами комерційної діяльності в мережі Iнтернет, при чому весь цикл комерційної трансакції або її частина здійснюється електронним способом.

Електронна комерція може відбуватися між суб'єктами підприємництва під час виробництва і продажу товарів (бізнес-бізнес), між суб'єктом підприємництва і споживачем, під час продажу і розповсюдження товарів (бізнес-споживач), між двома споживачами (споживач-споживач).
2. Електронна банківська діяльність (Інтернет-банкинг)

Електронна банківська діяльність (Інтернет-банкинг) – це операції, які здійснюються через комп'ютерні мережі (наприклад, в Україні, відома система „Банк-клієнт”), або з використанням спеціальних комп'ютерних мереж або з використанням мережі Iнтернет.

Електронний банк дозволяє клієнтам отримувати доступ до їх рахунків і здійснювати різні фінансові трансакції.



Транзакція – елементарна комерційна дія – переказ грошей, підтвердження про їх отримання, надання інформації про котирування певних цінних паперів і тому подібне. Разом з ідентифікатором і реєстраційним ім'ям з метою безпеки використовують списки номерів трансакцій, тобто набору одноразових паролів, використовуваних тільки для однієї банківської операції.

Електронний банк надає клієнтам повне самообслуговування, споживачі детально можуть проглянути стан своїх рахунків, включаючи історію (запис всіх виплат і надходжень), здійснювати переказ суми, замовляти чеки, оплачувати рахунки. Перші системи, в яких здійснено переказ грошей з рахунку на рахунок через Інтернет, з'явилися у 1995 році. Вже зараз можна говорити про формування у світі цього модельу ринку послуг. Близько 100 великих банків Європи надають послуги Інтернет-банкингу. У США набула поширення система Інтернет-банкингу Citibank Online, кількість користувачів якої на сьогодні понад 2 мільйони чоловік, дозволяє забезпечити проведення розрахунків і контролювати їх учасниками фінансових відносин.

Щоб стати клієнтом віртуального банку, споживач повинен підключатися до Інтернет й установити відповідне ПЗ на своєму комп’ютері. Відкривши рахунок у банку, користувач отримує можливість вести розрахунки з постачальниками послуг через Інтернет, здійснювати платежі за комунальні послуги, купувати товари у віртуальних магазинах і тому подібне.

Використання системи Інтернет-банкингу надає такі переваги: суттєво економиться час, тому що не потрібно відвідувати банк; клієнт має можливість 24 години на добу контролювати власні рахунки і відповідно до ситуації на фінансових ринках миттєво реагувати на ці зміни. Оскільки витрати на організацію банківського обслуговування через Інтернет достатньо малі, віртуальні банки більшості індустріально розвинених країн пропонують своїм клієнтам високі ставки по депозитах.

Фіна́нсовий ри́нок - це сукупність обмінно-перерозподільних відносин, пов'язаних з процесами купівлі-продажу фінансових ресурсів, необхідних для здійснення виробничої та фінансової діяльності. Відносини обміну пов'язані з переданням одним суб'єктом іншому за відповідну плату (проценти, дивіденди, дисконтні знижки тощо) права на тимчасове чи постійне використання фінансових ресурсів.
Комуна́льні по́слуги - включають житлово-комунальні послуги, благоустрій населених пунктів, побутове обслуговування населення та інше.
Розвинені країни Розвинені країни - країни з найбільшим розвитком економіки, в яких домінує третинний і четвертинний сектори. Цей рівень економічного розвитку зазвичай характеризується високим прибутком на душу населення і максимальним індексом розвитку людського потенціалу (ІРЛП).

1   2   3   4   5   6   7   8   9   10   11