Kirish 2 1-§. Internet orqali savdo qilish uchun axborot tizimlarini nazariy asoslari


Download 0.53 Mb.
bet10/13
Sana18.06.2023
Hajmi0.53 Mb.
#1572894
1   ...   5   6   7   8   9   10   11   12   13
Bog'liq
KIRISH

Huquqiy ta’minotaxborotlarni olish, almashtirish va foydalanish tartibini chegaralovchi, axborot tizimining yaratilishi, bajarilishi va huquqiy maqomini aniqlovchi huquqiy normalar majmuidir. Huquqiy ta’minotning asosiy maqsadi qonuniylikni mustahkamlash hisoblanadi.
Huquqiy ta’minot tarkibiga davlat hokimiyati organlari qonunlari, ko‘rsatmalari, buyruqlari va vazirliklar, tashkilotlar, mahalliy hokimiyat organlarining boshqa normativ hujjatlari kiradi. Huquqiy ta’minotda har qanday axborot tizimining bajarilishini ta’minlovchi umumiy qism va aniq bir tizimning bajarilishini boshqaruvchi lokal qism ajratiladi.
Axborot tizimini ishlab chiqish bosqichlari huquqiy ta’minoti ishlab chiquvchi va buyurtmachi o‘rtasidagi shartnoma munosabatlari bilan bog‘liq me’yoriy hujjatlarni, shartnomadan chetga chiqishlarni huquqiy boshqarishni ta’minlaydi. Axborot tizimining bajarilishi bosqichlari huquqiy ta’minoti quyidagilarni o‘z ichiga oladi:

1.4 Internetdagi to'lovlarning xavfsizligi



Rossiyada butun elektron chakana bozorning hajmi hozirda qariyb ellik million dollarga baholanmoqda, bu G'arbdagi elektron tijorat aylanmasidan bir necha ming marta kam. Va bizning bozorimiz ko'lami nihoyatda mo''tadil ko'rinishga ega bo'lsa-da, bu ko'rsatkich mutlaqo jozibali. Bundan tashqari, bozor hajmi tez sur'atlar bilan o'sib bormoqda. Faqatgina so'nggi uch oy ichida Internetdagi kartalarimiz bilan operatsiyalar hajmi ikki baravarga oshdi [-1].
Rossiyaning emitent banklari tomonidan ushbu auditoriyani sotib olish va Internetdagi faoliyati xavfsizligini yaxshilash uchun foydalanadigan texnologik usullardan biri bu virtual kartalarni chiqarishdir.
Elektron tijoratni joriy etish boshidanoq, doimiy operatsiyalarda ishlatiladigan karta egalarini identifikatsiyalash usullari Internet-tijorat operatsiyalari uchun qoniqarsiz ekanligi aniq bo'ldi.
Internet-tijoratdagi protokol har qanday joyda Internet-tijorat ishtirokchilari (karta egasi, savdogar, xizmat ko'rsatuvchi bank, bank-emitent va sertifikatlash markazi [_]) va Internet-tijorat ishtirokchilari almashadigan xabarlar formatlari o'rtasidagi o'zaro bog'liqlik tartibini belgilaydigan algoritm deb tushuniladi. avtorizatsiya va hisob-kitob jarayonlarini ta'minlash uchun do'st.
Darhaqiqat, jismoniy do'konda sotib olish operatsiyasini amalga oshirishda sotuvchi hisob-kitoblar uchun taqdim etilgan plastik kartani to'lov tizimlari talablariga muvofiqligini tekshirish imkoniyatiga ega (xususan, gologramma, maxsus maxfiy belgilar mavjudligini tekshirish, imzo panelidagi imzo va savdo kvitansiyasi va boshqalar).). Bundan tashqari, sotuvchi xaridordan uning shaxsini tasdiqlovchi hujjatni talab qilishi mumkin. Bularning barchasi firibgarlik kartalarini firibgarlikni juda qimmatga keltiradi.
Internet-savdoda bitim tuzilgan taqdirda, firibgardan faqat karta ma'lumotlarini bilish talab qilinadi. Bunday holda soxta jismoniy kartani ishlab chiqarish bilan bog'liq xarajatlar talab qilinmaydi. Albatta, bu jinoyatchilarning e'tiborini bugun biz allaqachon guvohi bo'lgan ushbu savdo turiga jalb qilmasa bo'lmaydi.
Magnit chiziqli plastik kartochkalar dunyosida operatsiyani firibgarlikdan himoya qilishning eng ishonchli usuli bu kartani egasi tomonidan uning emitenti tomonidan aniqlash uchun PIN-koddan foydalanishdir. Karta egasiga tegishli maxfiy ma'lumotlar PIN-koddir. Bu faqat karta egasi va uning emitent banki biladigan 4 - 12 raqamli ketma-ketlik. PIN-kod har doim yuqori xavfli operatsiyalarni amalga oshirishda, masalan, bankomatlarda karta egasiga naqd pul berishda ishlatiladi. Bankomatlardan naqd pul olish, xizmat ko'rsatuvchi bank vakilining ishtirokisiz amalga oshiriladi (vaziyat Internet-savdo operatsiyalariga o'xshaydi). Shuning uchun "bankomatda naqd pul olish" operatsiyasini himoya qilish uchun odatiy karta ma'lumotlari etarli emas va maxfiy qo'shimcha ma'lumotlar - PIN-kod ishlatiladi.
Bundan tashqari, to'lov tizimlari rivojlanishining umumiy tendentsiyasi debet kartalari bilan "sotib olish" operatsiyalari uchun PIN-koddan faolroq foydalanish hisoblanadi.
Aftidan, bunday identifikatordan foydalanish Internet-tijoratdagi xavfsizlik muammosini hal qilishga yordam berishi mumkin edi, ammo bunday emas. Afsuski, ushbu usul klassik tijoratda Internet-tijorat dasturida qo'llanilmaydi.
Darhaqiqat, PIN-koddan foydalanish ushbu maxfiy parametr operatsiyani qayta ishlashning barcha bosqichlarida shifrlangan bo'lib qolishi kerak (PIN-kod faqat karta egasi va uning emitenti tomonidan ma'lum bo'lishi kerak). Haqiqiy dunyoda ushbu talab tranzaktsiyada PIN-PAD deb nomlangan va ba'zi bir ma'lumotlarni saqlashga va o'zgartirishga imkon beradigan apparat xavfsizligi modullari - apparat va dasturiy ta'minot qurilmalarini o'z ichiga olgan maxsus jismoniy qurilmalarni ishlatish orqali amalga oshiriladi. Ushbu qurilmalar ushbu savdogarning xizmat ko'rsatish banki tomonidan yaratilgan xavfsiz maxfiy aloqa kalitini maxsus tarzda saqlaydi. Karta egasi PIN-kod qiymatini kiritganda, u darhol aloqa kaliti bilan yopiladi (shifrlanadi) va avtorizatsiya so'rovi ichida xizmat ko'rsatuvchi bank xostiga yuboriladi.
Aniqrog'i, PIN-kodning o'zi emas, balki kod joylashtirilgan ba'zi bir elektron "konvert". Xizmat ko'rsatuvchi bank xostida shifrlangan identifikatsiya kodi xostning apparat xavfsizligi moduli ichida (xizmat ko'rsatuvchi bank xosti ham o'zining shifrlash moslamasiga ega) to'lov tizimining aloqa kalitida shifrlangan blokka yoziladi va emitentga keyingi taqdimot uchun tarmoqqa uzatiladi. Emitentga borishda PIN-kod yana bir necha bor o'zgartiriladi, ammo bizning fikrimizcha bu muhim emas. Yana bir muhim narsa - PIN-kodni qayta ishlashning klassik sxemasiga amal qilish uchun har bir karta egasi barcha xizmat ko'rsatuvchi banklarning aloqa kalitlari kriptogrammalarini saqlashi kerak, bu amalda mumkin emas.
Klassik sxema assimetrik algoritmlar yordamida karta egasining PIN-kodini savdogarning ochiq kaliti bilan shifrlash orqali amalga oshirilishi mumkin. Biroq, to'lov tarmog'iga PIN-kodni taqdim etish uchun u barcha to'lov tizimlarida odatdagidek nosimmetrik kalit bilan shifrlangan bo'lishi kerak.
PIN-kodni ishlatish uchun yana bir klassik bo'lmagan echim mavjud. Masalan, karta egasining kompyuterida PIN-kodni va faqat emitentga va karta egasiga ma'lum bo'lgan kalit orqali tranzaktsiyadan tranzaktsiyaga qadar ba'zi ma'lumotlarni dinamik ravishda shifrlash mumkin. Ushbu yondashuv maxfiy kalitlarni taqsimlash muammosini hal qilishni talab qiladi. Bu vazifa juda qiyin (har bir karta egasi o'z shaxsiy kalitiga ega bo'lishi kerakligi aniq) va agar u hal qilinayotgan bo'lsa, uning echimini karta egasining autentifikatsiyasini tekshirishdan ko'ra samaraliroq bo'lgan boshqa usullari uchun ishlatish mantiqan to'g'ri keladi. PIN-kod.
Shu bilan birga, PIN-kodni tekshirish g'oyasi ma'lumotlar bazasi STB CARD protsessor xostida saqlanadigan kartalar yordamida Internet-savdo operatsiyalarida xavfsizlikni yaxshilash uchun amalga oshirildi. Umumiy ma'noda, STB CARD quyidagi sxemani amalga oshiradi. Emitentlari kartalari ma'lumotlar bazasini STB CARD xostida saqlaydigan karta egalari PIN2 deb nomlangan qo'shimcha PIN-kodni olishlari mumkin. Ushbu kod karta egasiga yuborilgan PIN-kod konvertida (emitent bank tomonidan chiqarilgan kartaga tegishli maxfiy ma'lumotlarni saqlash uchun foydalanadigan maxsus qog'oz konvertida) chop etiladigan va o'n oltita raqamli ketma-ketlik bo'lib, emitent tomonidan hisoblab chiqiladi. karta raqamiga qo'llaniladigan nosimmetrik shifrlash algoritmidan va faqat karta emitentiga ma'lum bo'lgan maxfiy kalitdan foydalangan holda.
Bundan tashqari, STB CARD banki tomonidan xizmat ko'rsatiladigan TPlardan birida Internet-savdo operatsiyalari davomida karta egasidan mijoz haqida ma'lumot olish jarayonida PIN2 bo'yicha ma'lumot so'raladi. Mijoz PIN2 kodining qiymatini to'ldirilgan shaklga kiritadi va uni savdogarga qaytaradi.
Bu erda ilgari aytilganlarga nisbatan muhim bir fikrni ta'kidlash kerak. Karta egasi aslida xavfsiz SSL sessiyasida savdogar bilan emas, balki savdogar ishlaydigan virtual POS-server bilan muloqotda bo'ladi (STB CARD tizimi hozirda Assist serveridan foydalanadi).
STB CARD sxemasiga qaytsak, albatta PIN2 mijoz tomonidan to'ldirilgan shaklda mavjud emasligini ta'kidlaymiz, lekin aslida hamma narsa quyidagicha ko'rinadi: TP (aniqrog'i, Assist-server), uning ishlashini aniqladi STB CARD bank kartasi bilan, ba'zi bir nosimmetrik shifrlash algoritmini amalga oshiradigan imzolangan Java dasturini o'z ichiga olgan karta egasiga o'tkazadi. Bunda PIN2 ushbu shifrlash algoritmining maxfiy kaliti rolini o'ynaydi va shifrlangan ma'lumotlar xash funktsiyasini karta raqamiga, tranzaksiya miqdori va sanasiga, shuningdek tasodifiy raqamga qo'llash natijasida olinadi. x savdo korxonasi tomonidan ishlab chiqarilgan. Shunday qilib, karta egasi tomonidan to'ldirilgan shakl faqat PIN2 tugmachasida yuqoridagi operatsiyalar ma'lumotlarini shifrlash natijalarini o'z ichiga oladi.
Keyinchalik, savdogar "standart" operatsiyalar ma'lumotlaridan tashqari, shifrlash natijasi va tasodifiy x ni o'z ichiga olgan xizmat ko'rsatuvchi bank xostiga uzatiladigan avtorizatsiya xabarini yaratadi.
Kartochka chiqaruvchisi, savdogardan xabar olgan holda, PIN2 qiymatini karta raqami bo'yicha hisoblab chiqadi, so'ngra karta raqami, tranzaksiya miqdori va sanasi, shuningdek tasodifiy x yordamida raqamning shifrlash natijasini hisoblab chiqadi. bu ma'lumotlar PIN2 tugmachasida. Agar olingan qiymat savdogar xabaridan o'xshash qiymatga to'g'ri keladigan bo'lsa, PIN-kodni tekshirish muvaffaqiyatli hisoblanadi. Aks holda, bitim rad etiladi.
Shunday qilib, STB CARD tizimida qabul qilingan PIN-kodni tekshirish texnologiyasi, aslida, nafaqat mijozning dinamik autentifikatsiyasini ta'minlaydi, balki ba'zi bir operatsiyalar ma'lumotlarining (bitim summasi, karta raqami) "uchidan uchiga" yaxlitligini kafolatlaydi. Bu erda uchidan oxirigacha yaxlitligi bu mijozdan bank-emitentga uzatishda ma'lumotlarni o'zgartirishdan himoya qilish deb tushuniladi.
Ushbu yondashuvning kamchiliklari quyidagilardan iborat:
1. PIN-kod qiymatini tekshirish sxemasini amalga oshirish uchun savdogarga Java applet bilan mos keladigan shaklni "mohirlik bilan" shakllantirish kerak, bu esa nisbatan kichik savdogarlar to'plamida sxema doirasini darhol toraytiradi. .
2. Uzoq (o'n oltita o'n oltita raqamli) kalitdan foydalanish amalda uni karta egasi uchun juda noqulay qiladi.
3. Firibgarlikdan himoya qilish (PIN2-ni talab qiladigan shakl karta egasiga savdogar tomonidan emas, balki PIN2 qiymatini bilmoqchi bo'lgan firibgar tomonidan taqdim etiladi) mijozning savdogar serverining autentifikatsiyasi ishonchliligiga, shuningdek savdogar serverining maxfiy kaliti bilan ilovani imzolash to'g'risida. Ikkala himoyaning buzilishi faqat mos keladigan karta egasining monitorida paydo bo'lishiga olib keladi

2.1. Tizimni yaratish uchun tanlangan ma’lumotlar bazasini boshqarish tizimi


Shirkatlar uyushmasi billing tizimini yaratish uchun ma’lumotlar bazasini boshqarish tizimi sifatida MySQL MBBT tanlab olingan.
MySQL — bu eng mashhur va juda ko‘p foydalaniladigan ma’lumotlar bazasini boshqarish tizimi(MBBT) hisoblanadi. Bu tizim juda katta ma’lumotlar bilan ishlash uchun yaratilmagan, aksincha biroz kichik hajmdagi bazalar bilan katta tezlikda ishlash uchun yaratilgan. Uning asosiy ishlash doirasi, saytlar hisoblanadi. Hozirgi kunda juda ko‘p sayt va bloklarning ma’lumotlari aynan shu MBBT saqlanadi.
Ho‘sh, saytlarning nimalari bazada saqlanishi mumkin? Dastlab, ma’lumotlar saqlash uchun dasturchilar fayllardan foydalanishgan, ya’ni fayl ochilib kerakli ma’lumotlar u yerga saqlanib, kerakli paytda chaqirib ishlatilgan. Keyinchalik fayllardan voz kechilib(noqulayliklar yuzaga kelgan, ya’ni faylni ochish, o‘qish, yopish,.. ko‘p vaqtni olib qo‘ygan, u yerdan qidirish, xullas juda ko‘p), ma’lumotlar bazasiga o‘tilgan. Bazada saytdagi maqolalar, sayt foydalanuvchilari haqidagi ma’lumotlar, sayt kontentlari, qoldirilgan kommentariyalar, savol-javoblar, hisoblagich natijalari va shunga o‘xshash juda ko‘p ma’lumotlar saqlanadi. MySQL shunday ma’lumotlarni o‘zida saqlaydi.
MySQL — juda katta tezlikda ishlovchi va qulay hisoblanadi. Bu tizimda ishlash juda sodda va uni o‘rganish qiyinchilik tug‘dirmaydi.
MySQL tizimi tcx kompaniyasi tomonidan, ma’lumotlarni tez qayta ishlash uchun korxona miqyosida ishlatishga yaratilgan. Keyinchalik ommalashib, saytlarning asosiy bazasi sifatida yoyildi.
So‘rovlar SQL tili orqali amalga oshiriladi. Bu MBBT relyatsion ma’lumotlar baza hisoblanadi. Bu degani baza jadvallar, jadvallar esa ustunlardan tashkil topgandir.

MySQL MBBTi 2 xil turdagi litsenziyaga ega. Birinchisi tekin, ya’ni MYSQLni ko‘chirib olish va ishlatish hech qanday harajat talab qilmaydi va GPL(GNU Public Licenseb, GNU) litsenziyasiga asoslanadi. Ikkinchi turi, GPL shartiga ko‘ra, agar siz MySQL kodlarini biror dasturingizda ishlatsangiz, bu dasturingiz ham GPL(tekin) bo‘lishi kerak. Bu esa dasturchiga to‘g‘ri kelmaydi. Shuning uchun, bu dasturingizni pullik qilishingiz uchun MySQL pullik litsenziyasini sotib olishingiz kerak.


2.2. Tizimni yaratish uchun tanlangan dasturlash vositasi


Shirkatlar uyushmasi billing tizimini yaratish uchun dasturiy vosita sifatida PHP dasturlash tili assida yaratilgan juda yuqori ishonchliylikga ega bo’lgan va MVC texnologiyasi asosida ishlaydigan Yii freymvorki tanlab olingan.
Bugungi kunda samarali va tezkor dinamik web saytlarni yaratishning ob’ektga yo’naltirilgan dasturlash texnologiyalaridan foydalanish foydalanuvchilar tomonidan sayt yaratish uchun qo’yiladigan barcha talablarni bajaribgina qolmasdan, web saytning tezkorligini oshirish, o’zgaruvchanligini (dinamiklik) ta’minlash, web saytning havfsizligi ta’minlash va bugungi kun talabalariga javob bera oladigan web ilovalarni ishlab chiqish uchun juda qo’l keladi. Web saytlarni yaratishning bunday texnologiyalariga eng ko’p ishlatiladiganlari quyidagilardir.


    1. Download 0.53 Mb.

      Do'stlaringiz bilan baham:
1   ...   5   6   7   8   9   10   11   12   13



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling