УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ ЭЛЕКТРОННОЙ КОММЕРЦИИ Текст научной статьи по специальности «Компьютерные и информационные науки»

не менее, даже проектирование сети с большим запасом прочности не гарантирует готовность сети к все увеличивающемуся количеству абонентов, а также к их запросам.

Вывод

С учетом всех вышеперечисленных факторов, однозначно, что в оптоволоконных сетях технологий Ethernet и PON есть свои определенные недостатки, и задачи их оптимизации актуальны. При этом параметры оптимизации могут быть различными. Тем не менее, преимущества архитектуры PON явны, это отсутствие промежуточных активных узлов, требующих дополнительное питание, и экономия волокна, экономия оптических приёмопередатчиков в центральном узле, лёгкость подключения новых абонентов и удобство обслуживания сети. Древовидная архитектура доступа PON, основанная на построении волоконно-кабельных сетей, с пассивными оптическими разветвителями, представляется наиболее экономичной и способной обеспечить широкополосную передачу разнообразных приложений. При этом архитектура PON обладает необходимой эффективностью наращивания как узлов сети, так и пропускной способности в зависимости от настоящих и будущих потребностей абонентов.

Конечно, на стадии проектирования сетей связи рекомендуется не останавливать свой выбор на какой-либо одной из технологий PON, так как каждая имеет свои плюсы и минусы, но на сегодняшний день предпочтительней выглядит технология GPON из-за лучшей проработанности реальных систем и возможности получения больших скоростей в ближайшем будущем (до 10 Гбит/с).

Использованные источники:

1. Шипов Д. Ethernet или PON

2. http ://mci. gov. kz/main/index. php

3. Гасымов И. Архитектура оптических сетей доступа FTTH.

4. http://nag.ru/go/text/23115/

Оладько В.С., к.т.н.

доцент

кафедра информационной безопасности Волгоградский государственный университет

Россия, г. Волгоград УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СИСТЕМАХ

ЭЛЕКТРОННОЙ КОММЕРЦИИ

Рассмотрены виды систем электронной коммерции. Проанализирован процесс функционирования систем электронной коммерции типа B2B и В2С, выделены основные участники взаимодействия и наиболее уязвимые с точки зрения нарушения информационной безопасности места. Выделены основные источники угроз и составлена модель угроз информационной

безопасности в системах электронной коммерции. Проанализированы типы злоумышленников и способы их взаимодействия при реализации атак на платежные данные и компоненты систем электронной коммерции.

Ключевые слова: электронная платежная система, интернет-магазин, злоумышленник, атаки, В2С, В2В

Поскольку электронная коммерция (ЭК) это, прежде всего, предпринимательская деятельность по продаже товаров или предоставлению услуг через Интернет, то, как и в любых других видах предпринимательской деятельности для ЭК выделяют несколько форм. Как показывает статистика [1,2] (см. рисунок 1) основными классами СЭК являются системы Бизнес-Бизнес (В2В), Бизнес - Покупатель (В2С), Бизнес-Правительство (B2G).

Рисунок 1 - Распределение классов систем электронной коммерции Процесс взаимодействия участников СЭК типа В2В и В2С в виде схемы представлен на рисунке 2.

Классы СЭК

■ В2В

■ В2С

■ В2С

■ прочие

6. Перевод денежных средств

Рисунок 2 - Схема функционирования СЭК типа В2В и В2С

Основные участниками взаимодействия являются:

1) покупатель;

2) интернет-магазин;

3) банк-эмитент;

4) банк-эквайер;

5) платежный сервер (в качестве которого может выступать электронная платежная система (ЭПС), обеспечивающая безопасность прохождения платежа и многое другое).

При этом наиболее уязвимыми с точки зрения информационной безопасности (ИБ)являются процессы:

- передачи идентификационных и аутентификационных данных пользователя на сервер ЭПС;

- авторизации пользователя в системах банка эквайера и эмитента;

- перевода денежных средств.

Поскольку именно на данных этапах, особенно при передаче данных в глобальной сети, злоумышленник может реализовать большинство атак связанных с перехватом конфиденциальных данных, их модификацией и подменом участника взаимодействия.

Анализ литературных источников показывает, что основными источниками угроз СЭК являются:

1) Непреднамеренные угрозы, вызванные стихийными бедствиями и техногенными катастрофами случайного характера, в ходе которых может быть нарушена непрерывность бизнес-процессов СЭК, доступность данных и сервисов, целостность данных.

2) Преднамеренные угрозы, инспирированные злоумышленником, направленные на нарушение таких составляющих как доступность, целостность и конфиденциальность информации циркулирующей в СЭК.

При этом главным объектом воздействий злоумышленника в СЭК являются финансовые средства и электронные заместители, а также web-приложения и сервера на которых расположена все бизнес-логика системы,

Аспект ИБ Угроза Объект воздействия

Доступность 1)непреднамеренные ошибки пользователей и администраторов СЭК 2)отказ пользователей 3)отказ поддерживающей инфраструктуры СЭК 4)технический сбой 5)утеря документов 6) DDos и Dos-атаки 1)Сервера ЭПС 2)Сервера банка -эмитента 3)Сервера банка -эквайера 4) Web-сайт интернет магазина

Целостность 1)модификация транзакций 2)неверная идентификация клиента 3)повторная/несвоевременная обработка транзакций 4)фальсификация заказов 4)перехват авторизационных запросов, с подстановкой авторизационных ответов 5)вредоносное ПО; Банк-эмитент Банк - эквайер Интернет-магазин ЭПС

Конфиденциальность 1)Фишинг 2)Распространение украденных платежных данных 3)Кража аутентификационных данных 4)Вредоносное ПО 5)подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам Пользователь покупатель ЭПС Web-сайт интернет магазина

базы данных и система управления содержимым. По отношению к данным средствам злоумышленник может преследовать следующие цели:

- получения доступа к платежным данным и реквизитам для их дальнейшего использования.

- похищение финансовых средств

- внедрение фальшивых финансовых средств (нарушение финансового баланса системы).

- нарушение работоспособности СЭК и непрерывности бизнес-процессов;

- внедрение вредоносного кода в страницы web-сайтов интернет магазинов и других элементов СЭК.

В соответствии с аспектом ИБ на который направлены угрозы ИБ в СЭК их можно разделить на угрозы целостности, доступности и конфиденциальности информации. В качестве источников подобных угроз могут выступать внутренние и внешние злоумышленники, случайные действия или ошибки пользователей, форс-мажорные обстоятельства и катастрофы различного характера. Модель угроз безопасности СЭК на основе предложенной классификации представлена в таблице 1.

Таблица 1 - Модель угроз безопасности в СЭК

В соответствии с [3] злоумышленники могут действовать как в одиночку, так и, объединившись в группу, в этом случае они могут использовать следующие способы взаимодействия:

- злоумышленники одной группы не знают друг друга и напрямую не взаимодействуют;

- злоумышленники взаимодействую при помощи чатов, служб обмена сообщениями и псевдонимов;

- взаимодействие на международном уровне;

При реализации атаки на СЭК злоумышленник, как правило:

- использует уязвимости СЭК без неправомерного использования реквизитов доступа ее легального пользователя;

- неправомерно использует реквизиты доступа легального пользователя электронной платежной системы или СЭК.

Использование уязвимости СЭК возможно в связи с тем, что СЭК является сложной аппаратно-программной системой, включающей различные подсистемы и каналы передачи данных, ее элементы имеют технологические особенности, позволяющие неправомерно использовать их при подготовке и совершении преступления. Такие выявленные специалистами особенности называются уязвимостями, а процесс их использования в неправомерных действиях - эксплуатацией, использованием уязвимостей.

Второй способ - неправомерное использование реквизитов доступа легального пользователя СЭК - является самым распространенным вследствие того, что клиенты-пользователи СЭК уделяют недостаточное внимание проблеме обеспечения сохранности собственных реквизитов доступа к платежной системе. Как правило, процесс реализации такого рода атак осуществляется в несколько этапов (см. таблицу 2).

Таблица 2 - Процесс реализации атаки направленной на кражу платежных средств и данных злоумышленником в СЭК_

№ Название этапа Описание

1 Первоначальный этап реализации атаки злоумышленником (разведка и сбор данных) Заражение компьютера пользователя СЭК вредоносным ПО (вирусами, троянами, кейлогерами и т.п.), скрытно собирающими конфиденциальную информацию, сооЫеБ-файлы логины и пароли от ЭПС, интернет-магазинов и других элементов СЭК. включая платежные реквизиты

2 Обработка и подготовка данных для использования данные вместе с реквизитами, похищенными у других клиентов СЭК, объединяются в массивы, которые продаются другим участникам преступной группы

3 Реализация атаки вывод денег из платежной системы

Таким образом, СЭК, в силу распределенного характера своей архитектуры, наличия подключения к глобальным сетям типа Интернет, круглосуточной доступности сервисов и данных, а также большого количества пользователей-клиентов, в процессе своего функционирования подвергается ряду деструктивных воздействий, как случайного характера, так и инициированных злоумышленником. При этом, наиболее значимыми являются угрозы, связанные с нарушением непрерывности бизнес-процессов СЭК и кражей платежных данных пользователей.

Использованные источники:

1. Вольфсон М. За прошлый год глобальный e-commerce вырос на 20%// Ebusiness. URL: http://el-business.ucoz.ru/news/za proshlyj god globalnyj e commerce vyros na 20/20 15-03-14-167 (дата обращения 01.04.2015)

2. Вольфсон М. Онлайн-платежи продолжают наращивать темпы// Synovate Comcon. E-business. URL: http://el-business.ucoz.ru/news/onlajn platezhi prodolzhajut narashhivat tempy/2014-12-11-159 (дата обращения 01.03.2015)

3. Пилипенко А.И. Пилипенко С.В. Классификация угроз информационной безопасности в проектах нематериальной сферы// Управление проектами и развитие производства, 2008 - №3. - С.121 - 129.

Рыжкова О.В.

Северо-Кавказский федеральный университет

Россия, г. Ставрополь ПОЛОЖИТЕЛЬНЫЕ И ОТРИЦАТЕЛЬНЫЕ СТОРОНЫ ИСПОЛЬЗОВАНИЯ ГАДЖИТОВ

Информатика довольно обширная и интересная наука, которая произошла от двух слов: информация и автоматика. Именно благодаря автоматизации информации жизнь существенно облегчилась.

Сейчас многим сложно представить свою жизнь без гаджитов и интернета. Спросите почему? Все очень просто, работая с информацией на компьютере, мы можем выделять на ее поиски значительно меньше времени.

Рассмотрим, например, интернет. Каждый пользуется им. Раньше, чтобы найти информацию, необходимо было выделить день для похода в библиотеку, так как каждый день Вы не будете туда ездить. В наше время, на это понадобится значительно меньше времени, ведь каждый может зайти в интернет (и не выяснится, что нужную книгу забрали другие читатели) и, написав вопрос, увидеть множество ссылок и книг.

Наверняка у всех бывало такое, что книга есть дома, но нужно найти определённый термин и Вы не помните, к какой теме он относится (так как изучали данную науку поверхностно). Имея такую же книгу на компьютере, у Вас будет возможность при помощи поиска (Ctrl+F) найти любое слово или термин, тем самым сэкономить время и, не загружая мозг лишней