Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Лекція 11 Основні поняття електронної комерції. Платіжні інструменти в Інтернеті

Тема 8 Організація електронної комерції

  1. Основні поняття електронної комерції
  2. Платіжні інструменти в Інтернеті
  3. Безпека і захист інформації при електронної комерції

 

1 Основні поняття електронної комерції

Електронній комерції дано багато визначень. Онлайновий технічний словник Webopedia визначає е-комерцію (загально прийняте скорочення терміну "електронна комерція"), як "ведення інтерактивного бізнесу". Визначення е-комерції змінюється в залежності від сфери прикладання і зі швидкістю, що і сучасні технології. В даному підручнику електронна комерція визначається, як використання електронних комп'ютерних технологій в наступних цілях:

^поставки на ринок нових товарів, послуг або рішень (ідей) ;

^підтримки і розширення спектру бізнес операцій (включаючи продаж товарів, послуг через WEB).

При цьому можуть бути забезпечені:

· он-лайнове надання інформації про товари та послуги;

· он-лайнове оформлення замовлення і видача рахунка;

· он-лайнова оплата й обробка трансакцій.

Не дивлячись на те, як підприємства завжди використовують різні види електронної технології, е-комерція, як правило, ідентифікується з використанням Інтернету, в якості засобу забезпечення бізнесу (покупки, продажу товарів і послуг). Оскільки Інтернет і WEB (глобальна мережа) відіграють таку важливу роль в становленні і розвитку е-комерції є посилання до того, що е-комерцію можна називати Інтернет - комер­цією (І - комерція).

Зовнішня ознака участі будь-якого підприємства в е-комерції -наявність Web-сайту. Web-сайт може бути простим, який складається з декількох статичних сторінок, в яких наводиться перелік (лінійка) товарів і контактна інформація, або складним, з повним оперативним, заснованим на базі даних, каталогом товарів з можливістю оперативного замовлення і оплати за допомогою кредитних карт.

Е-комерція в даний час рахується самим простим джерелом доходу. Якщо помістити якийсь товар (або товари) підприємства на ринку Мережі, він (вони) стануть доступними мільйонам покупців. Підпри­ємства конкурують за ресурси мережного ринку засобами реклами своїх Web-сайтів. Але робити це не так просто, оскільки багато підприємств стають учасниками Мережі і конкуренція на мережному ринку дуже складна і не обмежується лише створенням і використанням Web-сайту. В цьому змісті е-комерція це один з каналів збуту продукції, де е-комерція представляє собою ядро нової моделі бізнесу, ціль якого - швидке представлення товарів, ідей (рішень) і послуг на величезний ринок (яким є весь світ), відносно недорогим способом за допомогою Інтернет-технологій. Е-комерція не є самоціллю. Скоріше це шлях до успішної конкуренції і виживання бізнесу в XXI столітті. На цьому шляху Інтернет-технології зіграли і продовжують відігравати найважливішу роль.

Слід розрізняти поняття «електронна комерція» та «електронний бізнес».

Так, електронний бізнес (e-business) — будь-яка ділова активність, що використовує можливості глобальних інформаційних мереж для перетворення внутрішніх і зовнішніх зв’язків компанії з метою створення прибутку.

Таким чином, «електронна комерція» відповідає процесам здійснення продажів, а «електронний бізнес» — бізнесу взагалі.

Виділяють 4 основні групи суб’єктів електронної комерції:

1. Споживачі (С-consumer) — фізичні особи.

2. Бізнесові організації (В-business).

3. Державні органи (G-government, деколи A-administ­ration).

4. Фінансові установи, що забезпечують розрахунки між іншими суб’єктами електронної комерції.

Відповідно до того, як здійснюється взаємодія суб’єктів, виділяють різні напрями електронної комерції (рис. 1.1):

Рис. 1.1. Напрями електронної комерції

В2С (business-to-consumer) — передбачає надання компаніями товарів та послуг кінцевим споживачам, яскравий приклад реалізації цього напряму — електронні магазини в мережі Інтернет;

В2В (business-to-business) — продаж товарів та послуг через Інтернет між компаніями — прикладом є різноманітні товарні біржі, торгові майданчики в Інтернет.

С2С (consumer-to-consumer) — можливість здійснення угод через Інтернет між фізичними особами — прикладом є електронні аукціони типу www.ebay.com.

С2В (consumer-to-business) — надання послуг фізичними особами бізнесовим структурам.

G2C (government-to-consumer) — надання урядовими установами послуг кінцевим споживачам через Інтернет. Особливістю даного напряму електронної комерції є те, що оплату послуг урядових установ ми здійснюємо наперед (сплачуючи податки). Даний напрям електронної комерції на сьогоднішній день найменш розвинутий, однак має досить високий потенціал, особливо в соціальній та податковій сфері. Серед послуг, що можуть надаватися державою громадянам через Інтернет, можна назвати: заповнення податкових декларацій та збір податків; реєстрація транс­порту; оплата квитанцій за комунальні послуги та штрафів; надання інформації з питань законодавства і права (правові бази даних) та ін.

C2G (consumer-to-government) — напрям, що передбачає надання громадянами послуг державі. Як приклади можна навести: електронні голосування; опитування громадської думки та ін.

G2G (government-to-government) — автоматизація відносин і документообігу між державними відомствами та між відомствами різних держав.

В2G (business-to-government) — надання комерційними компаніями товарів та послуг державним установам. Даний напрямок проявляється останнім часом у використанні урядами розвинутих країн Інтернет для проведення закупівель — від публікації оголошень до опублікування результатів угод. Реалізація даного напряму може здійснюватися за допомогою B2G-торговельних майданчиків, на яких проводяться тендери чи аукціони.

G2В (government-to-business) — цей напрямок передбачає надання послуг державними органами бізнес-організаціям і включає: автоматизацію розрахунків за податками, сертифікацію, надання інформації з питань законодавства і права та ін.

 

2 Платіжні інструменти в Інтернеті

 

Для того щоб здійснювати оплату через Інтернет, електронний магазин має бути підключений до однієї або кількох платіжних Інтернет-систем.

В Україні при платежах через Інтернет використовуються:

3 Системи на основі кредитних карток. При підключенні до певної платіжної системи на основі кредитних карток, магазин зможе отримувати платежі через Інтернет від тих своїх клієнтів, які мають кредитні картки, підтримувані даною платіжною системою. Наприклад, система Портмоне — www.portmone.com.ua — підтримує платежі кредитними картками Visa і MasterCard/Europay таких банків: АКБ «Надра», АППБ «Аваль», «ПриватБанк», «Укрексімбанк», КБ «Фінанси і Кредит» та ін. Щоправда, ця система орієнтована в основному на оплату через Інтернет комунальних послуг. Ознайомитись з роботою української системи «Портмоне» можна самостійно, переглянувши на вищевказаному сайті демо-режим.

4 Системи на основі смарт-карток. Для роботи з системами на основі смарт-карток, клієнтам необхідно мати сматр-картку, емітовану банком, підключеним до системи, а для платежів через Інтернет ще й додатково використовувати спеціальний пристрій — смарт-карт-рідер та спеціальне програмне забезпечення. Українською системою на основі смарт-карток є «Інтерплат» — www.interplat.com.ua).

5 Системи Інтернет-банкінгу. Призначені для надання послуг з управління банківськими рахунками через Інтернет (з отриманням виписок за здійсненими операціями). При використанні клієнтами систем Інтернет-банкінгу магазин не обов’яз­ково має бути підключений до цих систем, достатньо й того, що ним прийматимуться безготівкові платежі. Клієнт же, для того щоб користуватися послугами Інтернет-банкінгу, має укласти відповідний договір з банком після чого матиме можливість доступу до свого рахунка та здійснювати платежі через Інтернет, використовуючи звичайний броузер та передбачені системою Інтернет-банкінгу процедури. Як приклади українських систем, що дозволяють клієнту керувати своїм рахунком через Інтернет, можна назвати такі: «Приват-24» Приватбанку www.pbank.com.ua; «HomeBanking» ВАТ «Міжнародний Комер­ційний Банк» www.icbua.com/interbanking/; «Internet-banking» УкрСіббанку https://ib.ukrsibbank.com та ін.

6 Системи на основі електронних грошей. Для того щоб використовувати ці системи для платежів через Інтернет, потрібно підключитись до якоїсь з них. Тобто встановити на своєму комп’ютері клієнтське програмне забезпечення, необхідне для роботи з системою; відкрити за допомогою цього ПЗ у системі свій рахунок; та ввести на нього гроші (наприклад,
з передоплаченої картки). В Україні функціонують такі системи на основі електронних грошей, як: «Інтернет.Гроші» — www.imoney.com.ua; Webmoney — www.webmoney.com.ua. На сайтах цих систем є перелік магазинів та компаній, що підключені до них, тобто можуть отримувати оплату за товари та послуги електронними грошима. Дана лабораторна робота має на меті ознайомити студентів із основними принципами використання систем на основі електронних грошей (на прикладі україн­ської системи «Інтернет.Гроші»).

 

3 Безпека і захист інформації при електронної комерції

Особливу увагу слід приділити вивченню можливих загроз безпеці систем електронної комерції, а також конкретних механізмів усунення цих загроз.

Згідно зі стандартами ISO 15408 та ІSО17799 виділяють такі типи програмного забезпечення, призначеного для захисту інформації в локальних та корпоративних мережах і в мережі Інтернет:

1. Міжмережеві екрани (firewalls) — найважливіший засіб захисту мережі організації. Вони контролюють мережевий трафік, що входить в мережу і що виходить з неї. Використовуючи інтерфейс настройок профілю доступу міжмережевого екрану, є можливість для кожного користувача створити свій профіль, який буде визначати не тільки права доступу цього користувача до мережі Інтернет, але і права доступу до цього користувача з Інтернет. Міжмережевий екран може блокувати передачу в мережу несанкціонованого трафіка та виконувати перевірки трафіка. Добре сконфігурований міжмережевий екран спроможний зупинити більшість відомих комп’ютерних атак.

2. SKIPBridge — система, яка встановлюється на інтерфейсі внутрішня / зовнішня мережа (локальна мережа або комунікаційний провайдер). Забезпечує захист (шифрування) трафіка, що направляється з внутрішньої мережі у зовнішню на основі протоколу SKIP, а також фільтрацію і дешифрування трафіка, який поступає із зовнішньої мережі у внутрішню. IP-пакети, що приймаються із зовнішньої мережі, обробляються протоколом SKIP (розшифровуються, фільтруються відкриті пакети в режимі тільки захищеного трафіка, контролюється і забезпечується імітозахист). Пакети, які пройшли фільтрацію SKIP, за допомогою протоколу IP передаються програмному забезпеченню SKIP-Bridge. Програмне забезпечення вирішує завдання адміністративної безпеки (забезпечуючи пакетну фільтрацію), і потім системи SKIPBridge, який маршрутизує пакети на адаптер локальної мережі.

3. SunScreen — апаратна система захисту локальних мереж. SunScreen — це спеціалізована система захисту, що вирішує зав­дання розвиненої фільтрації пакетів, аутентифікації і забезпечення конфіденційності трафіка. SunScreen не має IP-адреси, тому він «невидимий» із зовнішньої мережі і тому не може бути безпосередньо атакований. Пристрій SunScreen містить п’ять Ethernet-адаптерів, до яких можуть приєднуватися чотири незалежних сегменти локальної мережі і комунікаційний провайдер. Для кожного сегмента забезпечується настройка індивідуальної політики безпеки шляхом встановлення складного набору правил фільтрації пакетів (у напрямі поширення, за адресами відправника / одержувача, за протоколами і додатками, за часом доби і т. д.). Іншою важливою рисою SunScreen є підтримка протоколу SKIP, який, з одного боку, використовується для забезпечення безпеки роботи, управління і конфігурування систем SunScreen, а з іншого — дозволяє організовувати SKIP-захист користувацького трафіка. Використання протоколу SKIP в Screen-системах дає кілька додаткових можливостей. Screen-пристрої можуть інкапсулювати весь зовнішній трафік локальних мереж, які захищаються в SKIP (проводити SKIP-тунелювання). При цьому початкові IP-пакети можуть вміщуватися в блоки даних SKIP-пакетів, а мережеві адреси всіх вузлів внутрішніх мереж можуть бути замінені на певні віртуальні адреси, що відповідають у зовнішній мережі Screen-пристроям (адресна векторизація). В результаті весь трафік між локальними мережами, які захищаються, може виглядати ззовні тільки як повністю шифрований трафік між вузлами Screen-пристроями. Вся інформація, яка може бути в цьому випадку доступна зовнішньому спостерігачеві динаміка і оцінка інтенсивності трафіка, яка, зазначимо, може маскуватися шляхом використання стиснення даних і видачі «пустого» трафіка.

4. Мережеві антивірусивикористовують для захисту від вірусів однієї або кількох OS DOS, Windows, Win98/2000/NT/XP, OS/2 і т.д., протоколів та команди комп’ютерних мереж і електронної пошти (див. ftp://10.1.1.66/GCIS/ Security/NetworkSecurity), (ftp://10.1.1.66/Antivirus/, ftp://10.1.1.66/Avp_nt.ser/, ftp://10.1.1.66/
AVP35/).

5. Засоби захисту VPN — це інтегровані з віртуальними мережами засоби захисту мережі (див. Термінологічний словник), в цілому, її сегментів та кожного клієнта мережі окремо (захист TCP/IP трафіку, створюваного будь-якими додатками і програмами; захист робочих станцій, серверів WWW, баз даних і додатків; автопроцесингу, трансакцій для фінансових та банківських додатків і платіжних систем). Реалізуються в рамках програмно-апаратних рішень VVPN-шлюзів. Серед основних функцій VPN-шлюзів: автентифікація (MD5, SHA1), шифрування (DES, 3DES, AES), тунелювання пакетів даних через IP. Певні шлюзи підтримують також функції firewall.

6. Системи аналізу захищеності (Securiy Scanners) передбачають:

· сканування портів сервера з використанням ICMP-еха, TCP-портів функцією connect(), TCP-портів прапорцем SYN, TCP-портів прапорцем FIN, TCP-портів прапорцями SYN|FIN з використанням IP-фрагментації, TCP-портів методом reverse-iden, TCP-портів з використанням атаки «Прорив через FTP», UDP-портів перевіркою ICMP-сповіщення «Порт не має доступу», UDP-портів з використанням функції recvfrom() та write() та виявлення працюючих служб та їхньої конфігурації. Якщо є потенційна загроза портам, сповіщають про це адміністратора / користувача системи. Наприклад, Advanced Port Scanner — маленький, швидкий, багатопотоковий сканер портів. Дозволяє сканувати діапазон портів або визначений список портів. Результати відображаються в графічному вигляді (див. http://securitylab.ru/tools/34138.html);

· попередній аналіз захищених продуктів і первинна локалізація (СЗПО) програмного забезпечення на основі перегляду атрибутів файлів (тип, дата створення/модифікації, розмір, прапорець доступу та ін.), підрахунку їхньої кількості та загального обсягу в каталозі, перегляду файлів і т. п.Прикладом подібного використання може бути порівняння дат створення всіх файлів в каталозі встановленого додатка (або системному каталозі). У разі використання системою захисту яких-небудь динамічних бібліотек різниця в датах їхнього створення дозволить легко локалізувати файли СЗПО (як правило, дати створення «робочих» файлів пакета співпадають, дата створення модулів СЗПО відрізняється від них, оскільки СЗПО часто поставляються окремо як зовнішня бібліотека). Аналогічним же чином локалізуються і файли, що зберігають лічильники кількості запусків ПЗ, дати цих файлів постійно оновлюються. За допомогою звичайного текстового пере­гляду об’єктного модуля є можливість визначити тип і виробника СЗПО, оскільки ця інформація включається в захищений модуль СЗПО;

· пошук заданої послідовності (маски пошуку) в одному або кількох файлах з видачею результатів у вигляді списку зміщень відносно початку файла, по яких був знайдений необхідний фрагмент; а також усіх файлів, що задовольняють певному критерію або містять задану послідовність. За допомогою вказаних засобів реалізується повторний аналіз СЗПО та локалізація ключових фрагментів СЗПО. Засоби файлового пошуку використовуються для наступних цілей: пошуку відомих сигнатур СЗПО в об’єктних модулях; пошуку рядків з повідомленнями СЗПО (наприклад, «Програма не зареєстрована!» або «Спасибі за реєстрацію!»), пошуку файлів СЗПО з відомими іменами/сигнатурами;

· аналіз роботи СЗПО з файлами. ПЗ даного класу дозволяє відстежувати зміни, що відбуваються у файловій системі при запуску певних програм. У більшості таких програм передбачена система фільтрів для формування протоколів роботи окремих додатків. Наприклад, подібні програми дозволяють з’ясувати, що саме і де змінюють розпізнані на етапах первинного і повторного аналізу модулі СЗПО, або визначити модуль, який утворює зміни в певному файлі. Ця інформація дозволяє точно локалізувати лічильники кількості запусків ПЗ, приховані файли систем «прив’язки» ПЗ, «ключові файли», файли з інформацією про функції ПЗ, а також модулі та конкретні процедури СЗПО, які працюють з цими даними;

· аналіз використання СЗПО системних функцій та відстеження виклику системних функцій одним або декількома додатками з можливістю фільтрації/виділення цих груп. Усі дії ПЗ та СЗПО, роботою пов’язані з файловою системою, конфігурацією ОС, реалізацією діалогу з користувачем, мережею та іншими ПЗ, реалізуються за допомогою виклику функцій ОС. Аналіз використання СЗПО системних функцій дозволяє детально вивчити механізми роботи систем захисту, знайти їхні слабкі місця і розробити шляхи їхнього обходу. Наприклад, практично всі сучасні системи захисту від копіювання оптичних дисків базуються на досить невеликому наборі системних функцій під час роботи з даним видом нагромаджувачів інформації, відстеження цих функцій дозволяє знайти і нейтралізувати механізми перевірки типу носія всередині СЗПО.

7. Системи виявлення атак (Intrusion Detection System, IDS) здійснюють:

· контроль пакетів у мережевому оточенні та виявлення спроб зловмисника проникнути в систему, що захищається (системи виявлення атак на мережевому рівні, Network IDS, NIDS). Наприклад, система, яка контролює велику кількість TCP-запитів на з’єднання (SYN), виявляє атаки на мережевому рівні (NIDS). Може запускатися або на окремому комп’ютері, який контролює свій власний трафік, або на спеціальному комп’ютері, що прозоро переглядає весь трафік у мережі (концентратор, маршрутизатор, зонд). Мережеві IDS контролюють багато комп’ютерів, тоді як інші системи виявлення атак контролюють тільки один комп’ютер, на якому вони встановлені (http://www.citforum.ru/ internet/securities/faq_ids401.shtml);

· контроль цілісності системних файлів (System integrity verifiers, SIV) — перевіряють системні файли для того, щоб визначити, коли зловмисник вніс у них зміни. Найвідомішою з таких систем є Tripwire (http://www.opennet.ru/docs /RUS/linuxsos/ch12_1.html);

· контроль реєстраційних файлів, які створені мережевими сервісами і службами (Log-file monitors, LFM). Аналогічно NIDS такі системи шукають відомі сигнатури, тільки у файлах реєстрації, а не в мережевому трафіку, які вказують на те, що зловмисник здійснив атаку. Типовим прикладом є синтаксичний аналізатор для log-файлов HTTP-сервера, який шукає хакерів, що намагаються використовувати добре відомі вразливості.

· відтворення відомих загроз псевдосервісів для того, щоб запобігти несанкціонованому втручанню. Наприклад, система The Deception Tool Kit.


Читайте також:

  1. II. Основні закономірності ходу і розгалуження судин великого і малого кіл кровообігу
  2. II. Поняття соціального процесу.
  3. V. Поняття та ознаки (характеристики) злочинності
  4. А/. Поняття про судовий процес.
  5. Адвокатура в Україні: основні завдання і функції
  6. Адміністративний проступок: поняття, ознаки, види.
  7. Адміністративні провадження: поняття, класифікація, стадії
  8. Адреси світових товарних бірж в інтернеті
  9. Акти застосування юридичних норм: поняття, ознаки, види.
  10. Амортизація основних засобів, основні методи амортизації
  11. Аналіз ступеня вільності механізму. Наведемо визначення механізму, враховуючи нові поняття.
  12. Аналітичні методи та інструменти підтримки прийняття управлінських рішень.




Переглядів: 2207

<== попередня сторінка | наступна сторінка ==>
Рахунок фактура (додаток 2). | Контрольні питания

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.011 сек.