Biztonságos elektronikus kereskedelmi rendszer
létrehozása PKI alapokon
Krasznay Csaba előadásaKonzulens: Dr. Magyar Gábor
BME Távközlési és Telematikai Tanszék,Kisteleki Róbert
MÁV Informatika Kft.
Tartalom
Célkitűzések Szakirodalmi összefoglaló Kezdeti infrastruktúra Az elektronikus aláírás használatának
indoklása A cég kockázatelemzése Javasolt infrastruktúra Védelmi intézkedések A rendszer megvalósítása, a működés lépései
Célkitűzések
Szakirodalmi összefoglaló Adott e-kereskedelmi rendszer vizsgálata
informatikai biztonsági szempontból Javaslat egy biztonságos rendszerre, különös
tekintettel a PKI rendszer felhasználására Az elektronikus hitelesítés megvalósítása
Szakirodalmi összefoglaló
Az informatikai biztonságról általában PKI rendszerek elmélete és gyakorlata Elektronikus kereskedelmi rendszerek Biztonsági minősítések
A kezdeti infrastruktúra
Szerkesztőség
Engine fejlesztés
Router, fájl szerver, tűzfal
…
Olvasók
Pénzügyi részleg
…
Szerkesztés
Router, fájl szerver, tűzfal
Könyvelés
Banki kliens
Webszerver
Szerverfarm
Jelmagyarázat
Internet
olvasásfejlesztés
szerkesztés
Az elektronikus aláírás használatának indoklása Az üzenet hitelességének,
letagadhatatlanságának és sértetlenségének biztosítása
2001. októberi közvélemény-kutatás 390 internetező, azaz potenciális felhasználó bevonásával
Hajlandóság az e-aláírás és az e-kereskedelem használatára, de félelem az ismeretlen technológiától
A megoldás közelítsen a hagyományos, katalógusos kereskedelmi megoldáshoz
A vállalat kockázatelemzése
A The National Electronic Commerce Coordinating Council „Risk Assessment Guidebook For e-Commerce/e-Government” alapján
A központi szerver vizsgálata Különösen nagy hiányosságok a biztonság és
az adatvédelem területén Javítsuk ki a látható hibákat, mielőtt a végső
következtetést levonjuk
Javasolt infrastruktúra
Router, fájl szerver, tűzfal
Könyvelés
Banki kliens
Webszerver
Firewall
BackupAdatbázis
Internet
Kliensek
CA
DMZ LAN
…
Szerverfarm
Router, fájl szerver, tűzfal
Jelmagyarázat
vásárlás SSL protokollon keresztülellenőrzés
Védelmi intézkedések
A második kockázatelemzés alapján a megfelelő biztonsági szintet elértük
A védelmi intézkedések segítségével az adatvédelmet fejleszthetjük
Ésszerű befektetéssel tovább növelhetjük a biztonság szintjét
A rendszer megvalósítása I.
Kiindulópont a cég korábbi e-kereskedelmi rendszere és a javasolt megoldás
Fókusz az elektronikus aláíráson Cél olyan rendelési űrlap létrehozása, ami
lehetővé teszi a megrendelés hitelesítését Nem cél az elektronikus fizetés, az
elektronikus ügyiratkezelés, felhasználói azonosítás (kivéve a rendelést) megoldása
A rendszer megvalósítása II.
Windows XP szerver és kliens Apache 1.3.22 webszerver PHP 4 környezet Utimaco Transaction Server 1.0 hitelesítő
szerver PostgreSQL adatbázis-kezelő Utimaco Transaction Client kliensprogram
A működés menete I.
A működés menete II.
A működés menete III.
A működés menete IV.
A működés menete V.
A működés menete VI.
A működés menete VII.
A működés menete VIII.
A működés menete IX.
A rendszer megvalósítása III.
A kitűzött cél sikerült, megoldottuk egy elektronikus megrendelés hitelesített és sértetlen elhelyezését a kereskedő szerverén
Tapasztalatok a szabványok hiányáról, a hitelesítés szolgáltatóról, a hardver és szoftver eszközök inkompatibilitásáról
Javaslat egy általánosan működő rendszerre a tapasztalatok alapján
Irodalomjegyzék Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, „Handbook of Applied
Cryptogaphy”, CRC Press, 1996 Ronald Grimm, „Guide to Intelligence Operations”, http://www.geocities.com/grimm005/index.htm,
2001 Buttyán Levente: „Brief Overview of Cryptography”,
http://www.hit.bme.hu/~buttyan/courses/internetsecurity-1/Cryptography_Overview.ppt , 2003 „Public-key Infrastructure”, Certicom, 2001 Daniel Amor: „Introduction to Internet Business”, Hewlett Packard, 2001 Szigeti Szabolcs: „Az e-business”, IBM-BME E-business Akadémia, 2001 „IT Security Audit”, Secaron AG, 2002 „FIPS PUB 140-2”, National Institute of Standards and Technology, 2001 Lawrence M. Walsh: „Security Standards”, Information Security Magazine, 2002 Kondorosi Károly, Molnár Imre: „Számítástechnikai Audit”, BME jegyzet, 2002 Szabó Áron, Krasznay Csaba: „A digitális aláírás elterjedésének lehetőségei és korlátai”, TDK
dolgozat, 2001 „Risk Assessment Guidebook For e-Commerce/e-Government”, The National Electronic
Commerce Coordinating Council, 2000
Köszönöm figyelmüket!