4.1.1. Классификация задач электронной коммерции
Начнем с первого уровня. В электронной коммерции рассматривают две базовые формы единичных информационных взаимодействий: одностороннюю передачу данных (transfer) и электронный обмен данными (exchange). Обе формы, рассматриваемые в совокуп-ности, в англоязычной литературе нередко обозначают термином «electronic data interchange».
Под односторонней передачей данных понимают передачу одного или более фрагментов информации (данных, документов, плате-жей) от одной стороны к одному или нескольким другим получате-лям. В реальности одна логическая процедура односторонней передачи данных может потребовать нескольких физических пересылок сообщений. Например, вся информация еще неизвестна отправителю в момент отсылки первого фрагмента данных, или разные фраг-менты необходимо разослать по разным адресам, или требуется ши-роковещательная рассылка одного фрагмента. Когда речь идет об односторонней передаче данных, очень важно иметь в виду, что каждый передаваемый фрагмент данных или каждая отдельная пере- дача одного и того же фрагмента может быть индивидуально ассо-циирована с различными атрибутами защиты (конфиденциальность, целостность, невозможность отказа, подлинность и т. д.).
В электронной коммерции приходится иметь дело с тремя прин-ципиально различными видами информации, пересылаемой между участниками протоколов:
обычными электронными данными (не имеющие юридической значимости);
« подписанными электронными документами, имеющими юриди-ческий статус (платежные поручения, ордера, квитанции, рас-писки, контракты, сертификаты, лицензии и др.);
«электронными деньгами».
Таким образом, проблема защиты односторонней передачи ин-формации в электронной коммерции оказывается далеко не такой простой, как может показаться на первый взгляд.
Попытки ее реше-ния порождают множество других задач, как то:образование защищенных (секретных и(или) аутентичных) логи-ческих каналов связи;
широковещательное шифрование информации;
защита авторских прав на электронные данные (защиты от не-санкционированного копирования), в том числе отслеживание «пиратского» копирования данных;
учет использования ресурсов участниками протоколов и др.
Когда говорят об электронном обмене данными, имеется в виду группировка нескольких односторонних передач данных для пред-ставления семантики неделимой операции, выполняемой двумя или более сторонами (участниками протокола). Основная и важнейшая задача электронного обмена данными - обеспечить гарантии честности обмена, т. е. невозможности только одностороннего выполне-ния обязательств и обмана одним участником протокола другого.
Рассматривая те же три вида информации (обычные данные, электронные документы, электронные деньги), получаем шесть ти-пов обмена информацией (табл. 4.1):
обмен обычными данными;
обмен информации на деньги, т. е. покупка информации',
обмен подписанных документов на информацию, т. е. доступ к информации по условию, при подписании какого-либо обязательства (conditional access);
обмен подписанными документами, который может осущест-вляться в режиме реального времени либо в отложенном режиме (в общем случае обеспечение честности этой процедуры подразумевает решение задачи одновременного подписания контракта);
обмен, при котором одна сторона передает другой электрон-ные деньги, а в ответ передаются электронные документы, пред-ставляет собою платеяс с квитированием (подтверждением об оп-лате);
обмен валюты (пусть и представленной в электронном виде).
Таблица 4.1. Классификация задач электронного обмена данными Шесть типов обмена: 3. Электронные деньги 2. Электронные документы 1. Электрон-ные данные I. Электронные данные Покупка ин-формации Доступ к информации по условию Сертифицированная электронная почта Одновременное под-писание контракта Обмен ин-формацией 2.
Электронные документы Платеж с кви-тированием - 3. Электронные деньги Обмен валюты — —Заметим, что среди перечисленных задач наибольший интерес с точки зрения обеспечения безопасности обмена данными представ-ляют третий и четвертый случаи. Они порождают еще одну задачу, занимающую промежуточное положение между ними - это так на-зываемая задача о сертифицированной электронной почте. Она за-ключается в построении таких протоколов доставки электронной почты и - на их основе - такой системы электронной почты, которая обеспечивала бы невозможность отказа получателя от факта озна-комления с сообщением, отправителя сообщения - от факта его отправки, а самой системы - от факта принятия сообщения к доставке. Этим задачам в настоящее время уделяется очень большое внимание среди общего поля проблем электронной коммерции и электронного документооборота.
Второй уровень рассмотрения задач электронной коммерции с точки зрения обеспечения безопасности информации - это процессы деловой деятельности. Для решения задач обеспечения безопасности этого уровня применяется концепция транзакций, или дел (deal). Это последовательность шагов, цель которой - осуществить целостный бизнес-процесс, поддерживая взаимосвязь между отдельными его этапами по мере их выполнения. Ход выполнения транзакции запи-сывается всеми участвующими в ней сторонами, причем запись включает получаемую и отправляемую информацию, а также общую информацию о процессе: согласованные атрибуты защиты, иденти-фикаторы участников, логические связи между этапами транзакции и др. Все эти сведения являются основой для обработки исключи-тельных ситуаций и разрешения споров и конфликтов, возникающих между участниками коммерческих отношений.
Примерами процессов деловой деятельности, для которых обес-печение безопасности информации требует целостного их рассмот-рения, являются: электронные аукционы, электронные выборы (го-лосования), электронные биржи, электронные лотереи и т. п. про-цессы. Для всех них требуются специальные криптографические протоколы.
Очень большую роль в обеспечении безопасности биз-нес-процессов играют также двусторонние и многосторонние схемы цифровой подписи со специальными свойствами. Примером может являться оформление прав на недвижимое имущество, требующее, как известно, очень большого количества решений и согласований, а также оформление или регистрация каких-либо иных прав или обязанностей субъектов электронного рынка.Для решения всех этих довольно непростых задач необходима разработка архитектуры информационных систем для электронной коммерции. Она будет являться базисом реализации целей, которые ставит электронная коммерция и электронный обмен данными, и сможет в конечном итоге обеспечить многостороннюю безопас-ность участников коммерческих и государственно-правовых отно-шений.
Одна из таких архитектур, наиболее развитая, - архитектура SEMPER (Secure Electronic Marketplace for Europe), разработанная в рамках общеевропейского проекта единого электронного рынка.