Основные аспекты безопасности и современные средства защиты электронных торговых площадок и интернет-магазинов Текст научной статьи по специальности «Компьютерные и информационные науки»

Тищенко Е.Н., Деревяшко В.В.

ОСНОВНЫЕ АСПЕКТЫ БЕЗОПАСНОСТИ И СОВРЕМЕННЫЕ СРЕДСТВА ЗАЩИТЫ ЭЛЕКТРОННЫХ ТОРГОВЫХ ПЛОЩАДОК И ИНТЕРНЕТ-МАГАЗИНОВ Аннотация

Рассмотрены современные угрозы, возникающие при работе с ЭТП и интернет-магазинами. Проблемы, возникающие на разных этапах работы с данными электронными ресурсами. Описаны факторы, которые могут негативно повлиять на работу ЭТП как со стороны владельца площадки, так и со стороны заказчика (покупателя). Предложены и описаны современные средства защиты ЭТП, их варианты и способы применения для устранения возможных угроз при работе c интернет-ресурсами в открытых сетях.

Annotation

The modern threats arising at work with ETP and internet-stores are considered. The problems arising at different stages of work with the given electronic resources. Described factors which negatively can affect on work of ETP both on the part of the owner of a platform and on the part of the customer (buyer). Their variants and ways of application for elimination of possible threats are offered and described modern means of protection of ETP, at work with internet resources in open networks.

Ключевые слова

Электронная торговая площадка, угрозы безопасности, электронная цифровая подпись, электронный ключ, лицензионное программное обеспечение, средства защиты ЭТП

Key words

Electronic trading platform, threats of safety, electronic digital signature, electronic key, license software, means of protection ETP

Электронная торговля в мировой практике является одним из основных средств поддержки малого и среднего бизнеса. Традиционно малый бизнес в торговле и оказании посреднических услуг считается самым популярным видом малого бизнеса в нашей стране, на

их долю приходится более 67% от общего оборота малых предприятий.

Среди различных видов деятельности в Интернете покупка товаров онлайн занимает заметное место. На сегодняшний день доля пользователей, совершающих покупки в Интернете, ко-

2012 № 2

Вестник Ростовского государственного экономического университета (РИНХ)

леблется в пределах 17-20%, причем 23% совершают покупки практически ежедневно. Количество желающих совершать покупки онлайн превышает количество уже освоивших данные возможности, что свидетельствует о наличии перспектив для дальнейшего развития электронной торговли.

По оценкам J’son & Partners Consulting , в 2011 году объем рынка интернет-магазинов и каталожной торговли составил 420 млрд. рублей, что на 37% больше, чем в 2010 году, при этом на рынок интернет-магазинов приходится более 70% (рисунок 1).

О боро і рынка к<11 «шожін і

cptici наї ллимоп

Ы Общий обмм рынка каталожной торговли, млрд руб.

■ Общий обмм рынка интори«т>мага>ино*, млрдруб.

Ы Общий обмм рынка каталожной торговли и инт«рн«т-мага>инос, млрд руб.

Рис. 1. Оборот рынка электронной торговли

Понятие ЭТП и их основные свойства

Электронная торговая площадка (ЭТП) - комплекс информационных и технических решений, обеспечивающий взаимодействие покупателя (заказчика) с продавцом (поставщиком) через элек-

тронные каналы связи на всех этапах заключения сделки. Любая ЭТП должна обладать рядом свойств, которые обеспечат приток заказчиков на данный ресурс, смогут удержать своих клиентов и дадут им возможность качественной и безопасной работы (рисунок 2).

Рис.2 Основные свойства электронных торговых площадок

- Доступность. ЭТП доступна через Интернет из любой точки мира. Площадка функционирует 24 часа в сутки, 7 дней в неделю. Для использования площадки не требуется устанавливать дополнительное программное обеспечение, достаточно иметь один из общедоступных интернет-браузеров.

- Открытость и прозрачность. Регистрация на площадке проста и бесплатна. От пользователя требуется лишь минимальный, определенный законодательством объем данных. Пользователь, не зарегистрированный в системе, имеет возможность ознакомиться с полным набором материалов о торгах, разглашение которых не противоречит законодательству об открытых торгах.

- Дружественность и простота в освоении. Интерфейс системы эргономичен и интуитивно понятен. Для удобства пользователя разработаны специальные механизмы: частичное автозаполнение заявок на участие в торгах, упрощенный процесс подачи повторной заявки на регистрацию, возможности персональной настройки отображения информации. Система уведомлений информирует пользователей о приближающихся событиях (начало и окончание торгов, перекрытие ставок)

- Поддержка пользователей. В системе предусмотрена развернутая контекстная справка, механизм контроля обращений пользователей. Пользователям предлагаются подробные руководства по работе с электронной площадкой. Круглосуточно функционирует служба технической поддержки, доступная по телефону и по электронной почте.

- Защита пользовательских данных и безопасность документооборота. В системе предусмотрен механизм авторизации, а также механизмы фиксации действий пользователей в журналах. Для обмена данных с клиентами используется безопасный протокол https. Безопасность электронного доку-

ментооборота и его юридическая значимость подтверждаются электронной цифровой подписью (ЭЦП).

Современные угрозы для Е-сошшегее

Электронные торговые площадки сразу же стали лакомой добычей для злоумышленников в компьютерной сфере, операторы площадок постоянно сталкиваются с попытками «попробовать на зуб» систему защиты этих электронных ресурсов. Надо рассмотреть потенциальную уязвимость электронных торговых площадок к основным видам угроз безопасности в Интернете и возможные методы защиты.

Система электронной торговли представляет собой характерный пример распределенной вычислительной системы. В ней несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, ЭТП угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Мы видим, что оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания.

Кроме информационных атак и угроз, в электронной коммерции существует еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами. Поэтому надо отметить, что только технических средств для решения задачи построения комплексной системы защиты недостаточно. Необходим целый комплекс организационных, законодательных, физических и технических мер.

Защита информации в электронных системах ее обработки осуществляется незначительным числом законов. К их числу можно отнести Гражданский кодекс, Закон №24-ФЗ от 20 февраля 1995 г. "Об информации, информатиза-

ции и защите информации", Закон №128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" с внесенными в него дополнениями в соответствии с Законом №28-ФЗ от 13 марта 2002 года и Закон №1-ФЗ от 10 января 2002 г. "Об электронной цифровой подписи".

Впрочем, существуют и иные проблемы, с которыми сталкиваются как владельцы ЭТП, так и их покупатели (заказчики) - это и необходимость лицензионного оформления деятельности для конечных потребителей технологий, а также необходимость приобретения сертифицированных средств защиты информации.

Всем специалистам, постоянно работающим в сфере электронной торговли, хорошо известно понятие ЭЦП. Аутентификация электронного документа осуществляется посредством проверки электронно-цифровой подписи (ЭЦП). При проверке ЭЦП файла проверяется, применялся ли при выработке данной цифровой подписи конкретный ключ, принадлежавший отправителю документа, и не претерпел ли файл изменений в процессе пересылки адресату.

Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие - адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов: технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимо-

стей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак - оценка подозрительных действий, которые происходят в корпоративной сети.

Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы е-Сошшегее (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных.

На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри».

Пути решения проблемы безопасности в сфере электронной коммерции

- Хищение ЭЦП у участника торгов. Обладая закрытым ключом ЭЦП участника торгов и паролем к ключевому контейнеру, злоумышленник получает возможность совершать от лица участника любые операции на электронной площадке, что представляет угрозу как для участника, так и для оператора электронной площадки. В связи с этим, авторизованные удостоверяющие центры, где участники торгов получают ЭЦП, придерживаются достаточно жесткого регламента при выдаче сертификатов ключей подписи:

- все точки, где выдаются ЭЦП, аттестованы и обладают лицензиями ФСБ России на данный вид деятельности;

- закрытые ключи генерируются исключительно на защищенные носители, которые сертифицированы ФСТЭК Ротеии (ФСБ России);

- обязательна установка пароля к контейнеру, содержащему закрытый ключ;

- при получении ЭЦП требуется представить достаточно обширный пакет документов, подтверждающих полномочия владельца ЭЦП.

Однако, если ограничиться применением исключительно этих мер, безопасность не будет гарантирована. Современные злоумышленники обладают весьма широким арсеналом средств для хищения или дистанционного использования чужих ЭЦП, отлаженным на системах банковского дистанционного обслуживания, и не все они выявляются антивирусной защитой. Среди них встречаются и такие, которые на этапе подписи документа производят его редакцию или подмену. Они могут использоваться злоумышленниками в случаях, если похитить ЭЦП владельца невозможно: владелец при подписании видит один документ, а подписывает уже другой. Поэтому владельцу необходимо обеспечить безопасность не только своей ЭЦП, но и компьютера, с которого она используется, для этого рекомендуется использовать лицензионное антивирусное программное обеспечение, и лучше всего использовать такие пакеты, как: Kaspersky Internet Security 2012 или Dr.Web Enterprise Security Suite (некоторые версии данных программных продуктов так же имеют сертификат ФСТЭК и ФСБ).

Значительно реже, чем внешнее проникновение, но все же встречаются случаи хищения или несанкционированного использования ЭЦП владельца сотрудниками его же компании (инсайд). Отсюда следует несложный вывод: владельцу следует позаботиться об

обеспечении надежного хранения своей ЭЦП и не передавать ее другим лицам.

- Попытки проникновения и получения доступа к внутренним ресурсам площадки из Интернета. Если в периметре ЭТП существует «дыра», позволяющая получить неавторизованный доступ к ресурсам электронной площадки, она обязательно будет найдена злоумышленником. В связи с этим, целесообразно и использование специализированных средств защиты, и неусыпное внимание к дайджестам по найденным уязвимостям операционных систем и программ, и периодическое внешнее сканирование системы на предмет поиска возможных «дыр». Только совместное использование данных мер позволяет оператору ЭТП быть относительно спокойным по отношению к данному виду угрозы. Для этого необходимо периодически проводить инвентаризацию сети, то есть определять:

- состав и конфигурацию сети;

- сетевые ресурсы (открытые для совместного пользования);

- пользователей и группы;

- общие параметры политик безопасности.

На данном этапе рекомендуется проводить анализ уязвимости сети с целью корректировки и фиксации обновлений и настроек ОС и приложений. Для проведения инвентаризации сети, с точки зрения испытаний по информационной безопасности, необходимо использовать современные сканеры уязвимостей сетевого, системного и прикладного уровней. Современные сканеры уязвимостей анализируют рабочие станции, сервера, межсетевые экраны, сетевое оборудование, сервисы и приложения, составляют список уязвимостей, классифицируя их по степени опасности, и предлагают рекомендации по устранению уязвимостей.

Для выявления актуальных угроз очень важной является поддержка регулярных обновлений баз уязвимостей. Из

общеизвестных сканеров можно выделить следующие:

- продукты компании ISS (Internet Scanner, System Scanner) как полнофункциональные системы анализа защищенности.

- сетевой сканер Nessus - единственный сканер, сертифицированная версия которого распространяется ФСТЭК РФ бесплатно. Серверная часть сканера работает в среде Unix.

- Попытки получения доступа к

конфиденциальной информации.

Процедура размещения государственного заказа на электронном аукционе предполагает полную анонимность участников торгов до момента их завершения. Таким образом, оператор ЭТП хранит и обрабатывает конфиденциальную информацию, имеющую вполне конкретную финансовую ценность для недобросовестных участников торгов: если получить информацию о списке участников аукциона, появляется потенциальная возможность для сговора. Методы защиты от этой угрозы носят как технический, так и организационный характер. Технически целесообразно организовать журнализацию любого доступа к конфиденциальной информации, исключить возможность неавторизованного доступа к ней путем ее криптографической защиты. Организационно - снизить до минимума количество персонала, имеющего доступ к такой информации, и организовать постоянный контроль за ним, в том числе с использованием технических средств, использовать комиссионный режим доступа к наиболее критичным конфиденциальным сведениям.

- DdoS-атаки. Процедура размещения госзаказа на электронном аукционе предполагает крайне жесткие требования к обеспечению непрерывности функционирования сервисов электронной площадки: потеря доступности ЭТП всего на 10 минут приводит к срыву происходящих в это время торгов.

Это беспрецедентное требование к уровню доступности системы, работающей в открытом интернет-пространстве, поэтому на организацию DDoS-атак направлены основные усилия недоброжелателей. К сожалению, на сегодня не существует 100-процентно надежного способа защититься от данной угрозы. От атак злоумышленников в разное время «ложились» крупнейшие в мире интернет-сервисы.

Арсенал средств защиты электронных торговых площадок

Все перечисленные ранее угрозы не страшны, если против них существуют действенные средства защиты. Для этого надо рассмотреть четыре уровня, имеющихся у любой информационной системы:

- Первый и второй уровни (нижние) - уровень операционной системы и уровень сети.

Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС MS Windows, Sun Solaris, Novell Netware.

Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS.

Эти уровни важны особенно. Легко представить, что злоумышленник получил идентификатор и пароль пользователя базы данных или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Это очень опасно, нужны такие средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа "отказ в обслуживании", а также атаки на операционную систему.

В настоящее время на уровне сети можно и нужно применять маршрутизаторы и межсетевые экраны, на уровне же ОС - необходимо применять сертифицированные средства защиты от НСД, (применять сертифицированные

ФСТЭК РФ программно-аппаратные комплексы защиты от НСД (Secret Net, Аккорд, Страж NT...)).

- Третий уровень - это уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примеры элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer.

- Четвертый уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Примеры элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access.

Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы ЭТП. Как было упомянуто выше, в данном случае помогут средства анализа защищенности и сканеры безопасности. Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в том числе и удаленных на значительные расстояния. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях -Internet Scanner, System Scanner и Database Scanner.

Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обес-

печения информационной безопасности еСошшегсе. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг. Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина.

ЭЦП и eToken основные элементы безопасности ЭТП

Для развития электронной коммерции важное значение имеет электронная цифровая подпись (ЭЦП) как механизм, обеспечивающий юридическую значимость операций, происходящих в системе электронных торгов между поставщиками и заказчиками. Требования законодательства, связанные с применением ЭЦП, обязывают сохранять в тайне закрытые (секретные) ключи электронной цифровой подписи. Для этой цели предлагается использовать электронные ключи “еТокеп” — персональное средство аутентификации и безопасного хранения ключевой информации, сертифицированное ФСТЭК России (сертификат ФСТЭК России № 1883 от 11 августа 2009 г.).

еТокеп аппаратно поддерживает работу с цифровыми сертификатами и электронной цифровой подписью, что обеспечивает высокий уровень безопасности при использовании ЭЦП в электронных торговых системах (рисунок 3).

Рис.З. Электронный ключ eToken (вариант USB подключение)

Надо отметить, что корректность работы ключевых носителей еТокеп с системой криптографической защиты

информации «КРИПТО-ПРО» подтверждена сертификатом совместимости, согласно которому пользователи Крип-тоПро СБР могут применять еТокеп для

хранения закрытых ключей и сертификатов ключей подписи, а также для обеспечения аутентификации и защищенного доступа пользователей к специализированным информационным ресурсам.

Пользователи электронных торговых площадок, применяющие электронные ключи еТокеп, получают не только требуемый уровень безопасности за счет использования передовых технологий, но и передовые устройства, обеспечивающие минимальные показатели отказа при работе.

«Во многих отраслях ключи еТо-кеп давно стали стандартом надежности средств аутентификации и хранения электронной подписи. Используя продукты еТокеп, можно решить следующие задачи:

- усовершенствовать процесс аутентификации (двухфакторная аутентификация) на локальном компьютере и в корпоративной сети, а также защищенный доступ к бизнес-приложениям;

- зашифровать данные на серверах, ноутбуках и рабочих станциях;

- обеспечить защиту персональных данных;

- защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота;

- обезопасить финансовые операции в системах дистанционного банковского обслуживания (ДБО);

- внедрить электронную цифровую подпись (ЭЦП) и защитить документы в системах сдачи электронной отчетности через Интернет;

- обеспечить защиту корпоративного сайта в Интернете;

- обезопасить себя от кражи паролей к онлайн-сервисам, социальным сетям.

В целом можно сказать, что как угрозы, так и методы обеспечения безопасности такого ресурса, как электронная торговая площадка, не уникальны и в полной мере охватываются государст-

венными и международными стандартами, а также другими нормативными документами в области информационной безопасности. Рассмотрены лишь их основные особенности. Реализация этих методов защиты является непростой задачей и требует напряженной работы специалистов в области защиты информации, информационных технологий, а также всего остального персонала ЭТП в части, его касающейся. Ни один сотрудник не должен остаться без места и роли в системе обеспечения информационной безопасности электронной торговой площадки - это ключевой момент к достижению эффективности данной системы.

Библиографический список

1. Царев В.В., Кантарович А.А. Электронная коммерция. - СПб: 2006. - 320 с.

2. Киселев Ю.Н. Электронная коммерция: практический курс. - СПб: ООО «ДиаСофт ЮП, 2001. - 224 с.

3. Кобелев О. А. Электронная коммерция: Учеб. пособие. - М.: Дашков и Ко, 2008. - 684 с.

4. Сайт информационно-консалтингово

центра по электронному бизнесу. Электрон. ресурс. Режим доступа:

http://www.e-commerce.ru

5. Сайт, посвященный прогнозу финансовых рисков и угрозам электронных ресурсов: http://bre.ru/security/

6. Сайт, посвященный проблемам безопасности электронной коммерции: http://www.klerk.ru/soft/articles/6795/

7. Сайт “Ассоциации Электронных Торговых Площадок”: http://aetp.ru

Bibliographic list

1. Tsarev V.V., Kantarovich A.A. Electronic commerce. 2006. - 320 p.

2. Kiselev U.N. Electronic commerce: practical rate. 2001. - 224 p.

3. Kobelev O.A. Electronic commerce: manual. 2008. - 684 p.

4. Site of information-consulting centre on electronic business. Electronic rate. Mode of access: http://www.e-commerce.ru

5. Site devoted to the forecast financial risk also to threats of electronic resources: http://bre.ru/security/

6. Site devoted to problems of safety of

electronic commerce:

http://www.klerk.ru/soft/articles/6795/

7. Site of “Associations of Electronic Trading Platforms”: http://aetp.ru