zaštita i sigurnost u elektronskom poslovanju
TRANSCRIPT
ZAŠTITA I SIGURNOST U ELEKTRONSKOM
POSLOVANJU
Učenik:Maja Todorovic
IV-1
Sigurnost elektronskih transakcija je preduslov za uspešno elektronsko poslovanje i obuhvata metode, tehnike i pravne norme kojima se kontroliše pristup podacima od strane programa i ljudi i štiti fizički integritet celokupnog sistema.
Sigurnost infrastrukture Da bi se obezbedila sigurna infrastruktura (mreža) potrebno je primeniti
sigurnosne mere za sve komponente sistema – mrežne komponenete, servere i aplikacije koje su uključene ili vezane u proces elektronske trgovine.
Mrežna barijera (firewall) predstavlja neizostavni element sistema zaštite za svaki sistem koji je namenjen elektronskom poslovanju, a dostupan je sa interneta.
Savremene mrežne barijere su hardverski uređaji koji podržavaju filtriranje paketa, SPI (Stateful Packet Inspection), DPI (Deep Packet Inspection), antivirusni softver, sigurnosne zone, VPN (Virtual Private Network), NAT (Network Address Translation), itd.
Za sigurnost mreže značajne su i instalacija ličnog zaštitnog softvera za svaki računar zaposlenog koji ima direktan pristup Internetu, a koji pristupaju mreži organizacije i instalacija zaštitnog zida između bilo koje bežične mreže i sistema.
Kontrola pristupa Efikasna zaštita sistema elektronske trgovine podrazumeva
automatizovanu kontrolu pristupa, bilo da se radi o fizičkoj kontroli (pristup prostoru, opremi), logičkoj kontroli (kontrola pristupa podacima, računarima, mreži bilo od strane osobe ili softvera) ili evidenciji pristupa.
Logička i fizička kontrola se zasnivaju na principu – svaki pristup je zabranjen osim onog koji je dozvoljen.
Logička kontrola se ostvaruje dodelom jedinstvenog identifikatora svakoj osobi ili aplikaciji koja ima pristup određenom resursu (npr. bazi podataka) sa odgovarajućim privilegijama.
Taj identifikator može biti nalog (korisničko ime i lozinka), biometrijska identifikacija, radio frekvencija - RF, ili pametna kartica (engl. smart card).
U slučaju da dođe do povrede sigurnosti sistema, evidencija pristupa može da pomogne u pronalaženju odgovornog lica ili aplikacije koja je izvršila neautorizovan pristup, i da pomogne u otklanjanju nastalih problema.
Kriptografske metode zaštite
Šifrovanje Digitalni potpis Digitalni sertifikat
Šifrovanje
Šifrovanje je transformacija originalne poruke pomoću odgovarajućeg postupka u nečitljivu formu za sve, sem za korisnika snabdevenog mehanizmom za dešifrovanje.
Simetrično šifrovanje – Podrazumeva da su ključ za šifrovanje i ključ za dešifrovanje isti. Tajnost se zasniva na tajnosti ključa. Ključni problem je distribucija ključeva. Za više korisnika mora postojati više ključeva. Ovo nije pogodno za Internet.
Asimetrično šifrovanje – Podrazumeva dva ključa: javni i tajni. Postoji relacija između njih. Javni ključ se šalje kroz mrežu. Tajni se unosi samo kod dešifrovanja. Postupak rada je sledeći: javni ključ se pošalje drugome i on sa njim kriptuje poruku koju vam šalje. Sa njim se ne može dekriptovati poruka. Poruku može dekriptovati samo vlasnik tajnog ključa.
Digitalni potpis
Poruka se može digitalno overiti tako što pošiljalac koristi svoj tajni ključ za overu – kako svog identiteta, tako i sadržaja poruke, čime se sprečava bilo kakva izmena poruke tokom prenosa.
Ako bi neko neovlašćeno dopisao ili izmenio sadržaj poruke, primalac bi uz pomoć javnog ključa pošiljaoca otkrio neregularnost u poruci, što znači da je došlo do neautorizovane izmene poruke.
Digitalni sertifikat
Digitalni sertifikat je lična karta u sajber (engl. cyber) prostoru. Sertifikat autoriteti (sertifikaciona tela – CA) dokazuju vaš identitet.
Sertifikat mora da sadrži: Naziv vaše organizacije Dodatne podatke za identifikaciju Vaš javni ključ Datum do kog važi vaš javni ključ Ime CA koji je izdao sertifikat Jedinstveni serijski broj. Ovi podaci se na kraju šifruju tajnim ključem CA.
Sigurnost podataka pri prenosu i skladištenju
Uobičajena komunikacija na Web-u zasnovana na HTTP protokolu ima više slabosti:
HTTP protokol nema mehanizam šifrovanja i vrlo je lako snifovati (engl. sniff - njuškati) saobraćaj između klijenta i servera,
HTTP protokol je bez stanja (Stateless protocol) jer ne čuva informacije korisnicima i ne može da verifikuje identitet korisnika,
Autentifikacija tekuće sesije nije obezbeđena HTTP protokolom, tako da je sesiju moguće oteti.
Svi elektronski sistemi plaćanja moraju da obezbede autentičnost učesnika u transakciji, integritet podataka, autorizaciju, tajnost podataka, raspoloživost i pouzdanost. Najrasprostranjeniji elektronski sistemi plaćanja se zasnivaju na kreditnim/debitnim karticama(Visa, Master Card, American Express, Diners kartice).
Kod većine "online" trgovačkih web sajtova za zaštitu podataka tipa sa "kraja na kraj" koriste se dve šeme elektronskog plaćanja: zasnovane na primeni SSL (Secure Sockets Layer) protokola i zasnovane na primeni SET (Secure Electronic Transaction) protokola.
SET protokol primenjuju VISA i Master Card, ali i druge kompanije kao sto su GTE, IBM, Microsoft, Netscape, RSA i VeriSign.
HVALA NA PAŽNJI!