أمن المعلومات في أنظمة التجارة الإلكترونية. "أمن التجارة الإلكترونية. الاتجاهات الرئيسية لحماية المعلومات

مقدمة …………………………………………………………..3
1. التجارة الإلكترونية وتاريخ تطورها ............................................ 5
1.1. تاريخ التجارة الإلكترونية…………………………………………………………………………….6
2. أمن التجارة الإلكترونية ……………………………..8
2.1. المخاطر والتهديدات …………………………………………………………………………………………………………………………………….11
الخلاصة …………………………………………………………….17
قائمة المراجع ……………………………………………………………………………………… 20

مقدمة

لقد جعلت شبكة الإنترنت العالمية التجارة الإلكترونية في متناول الشركات من أي حجم. إذا كان تنظيم تبادل البيانات الإلكترونية يتطلب في وقت سابق استثمارات كبيرة في البنية التحتية للاتصالات وكان ممكنا فقط للشركات الكبيرة، فإن استخدام الإنترنت اليوم يسمح للشركات الصغيرة بالانضمام إلى صفوف "التجار الإلكترونيين". تتيح واجهة المتجر الإلكترونية على شبكة الويب العالمية لأي شركة الفرصة لجذب العملاء من جميع أنحاء العالم. تشكل مثل هذه الأعمال التجارية عبر الإنترنت قناة مبيعات جديدة - "افتراضية"، والتي لا تتطلب أي استثمارات مادية تقريبًا. إذا كان من الممكن تسليم المعلومات أو الخدمات أو المنتجات (على سبيل المثال، البرامج) عبر الويب، فيمكن أن تتم عملية البيع بأكملها (بما في ذلك الدفع) عبر الإنترنت.
لا يشمل تعريف التجارة الإلكترونية الأنظمة الموجهة عبر الإنترنت فحسب، بل يشمل أيضًا "المتاجر الإلكترونية" التي تستخدم بيئات اتصال أخرى - BBS، VAN، وما إلى ذلك. وفي الوقت نفسه، فإن إجراءات البيع التي تبدأ بمعلومات من الشبكة العالمية للطقس، ولكن باستخدام الفاكس والهاتف وما إلى ذلك لتبادل البيانات، لا يمكن تصنيفها إلا جزئيًا على أنها تجارة إلكترونية. ونلاحظ أيضًا أنه على الرغم من أن الشبكة العالمية للطقس (WWW) هي الأساس التكنولوجي للتجارة الإلكترونية، إلا أن عددًا من الأنظمة تستخدم أيضًا قدرات اتصال أخرى. وبالتالي، يمكن أيضًا إرسال الطلبات إلى البائع لتوضيح معلمات المنتج أو تقديم طلب عبر البريد الإلكتروني.
اليوم، وسائل الدفع السائدة للمشتريات عبر الإنترنت هي بطاقات الائتمان. ومع ذلك، فإن أدوات الدفع الجديدة تدخل المشهد أيضًا: البطاقات الذكية، والنقد الرقمي، والمدفوعات الصغيرة، والشيكات الإلكترونية.
لا تشمل التجارة الإلكترونية المعاملات عبر الإنترنت فقط. ويجب أن يشمل المجال الذي يغطيه هذا المفهوم أيضًا أنشطة مثل إجراء أبحاث التسويق، وتحديد الفرص والشركاء، والحفاظ على العلاقات مع الموردين والمستهلكين، وتنظيم تدفق المستندات، وما إلى ذلك. وبالتالي، فإن التجارة الإلكترونية هي مفهوم معقد وتشمل بيانات التبادل الإلكتروني كواحد من هذه الأنشطة. من المكونات.

التجارة الإلكترونية وتاريخ تطورها

التجارة الإلكترونية هي نوع من النشاط الاقتصادي يهدف إلى ترويج السلع والخدمات من المنتجين إلى المستهلكين من خلال شبكات الكمبيوتر الإلكترونية. بمعنى آخر، التجارة الإلكترونية هي تسويق واقتناء وبيع السلع والخدمات من خلال شبكات الكمبيوتر، وخاصة الإنترنت. توفر التجارة الإلكترونية فرصًا جديدة لتحسين كفاءة الأنشطة التجارية بشكل عام.
على عكس التجارة التقليدية، توفر التجارة الإلكترونية الفرص التالية للشركات:
أ) بيع منتجاتك عبر الإنترنت؛
ب) تطوير وتنسيق العلاقات مع المستهلكين والموردين؛
ب) تبادل السلع والخدمات إلكترونياً.
د) خفض سعر تسليم المنتجات الرقمية ودعم العملاء بعد البيع؛
د) الاستجابة بسرعة لتغيرات السوق.
ه) تقليل التكاليف العامة.
ز) تحسين خدمة العملاء وتقديم خدماتك الخاصة للعملاء؛
ح) توسيع دائرة المستهلكين.
ط) مراعاة الاحتياجات الفردية للمشتري؛
تتيح التجارة الإلكترونية للمشترين ما يلي:
أ) شراء البضائع في أي وقت وفي أي مكان؛
ب) إجراء تحليل مقارن للأسعار واختيار الأفضل.
ج) الحصول على إمكانية الوصول المتزامن إلى مجموعة واسعة من المنتجات؛
د) اختيار الآليات الملائمة لإجراء عمليات الشراء؛
د) تلقي المعلومات والأخبار حسب تفضيلاتك.
1.1 تاريخ التجارة الإلكترونية

ظهرت أنظمة التجارة الإلكترونية الأولى في الستينيات في الولايات المتحدة الأمريكية. تم استخدامها في شركات النقل لتبادل البيانات بين الخدمات المختلفة عند إعداد الرحلات الجوية وحجز التذاكر.
في البداية، كانت هذه التجارة تتم باستخدام شبكات خارج الإنترنت، وذلك باستخدام معايير خاصة لتبادل البيانات الإلكترونية بين المنظمات.
بحلول أواخر الستينيات، كانت هناك أربعة معايير صناعية في الولايات المتحدة لتبادل البيانات بين شركات النقل المختلفة. ولدمج هذه المعايير، تم إنشاء لجنة خاصة لتنسيق بيانات النقل في عام 1968. شكلت نتائج العمل أساس معيار EDI الجديد.
وفي السبعينيات، وقعت أحداث مماثلة في إنجلترا. في هذا البلد، لم يكن المجال الرئيسي لتطبيق التبادل الإلكتروني للبيانات هو النقل، بل التجارة. تم اعتماد مجموعة مواصفات Tradacoms المختارة هنا من قبل اللجنة الاقتصادية لأوروبا التابعة للأمم المتحدة كمعيار لتبادل البيانات في منظمات التجارة الدولية.
وفي الثمانينات، بدأ العمل على الجمع بين المعايير الأوروبية والأمريكية. ونتيجة لهذا العمل، اعتمدت الدورة الثانية والأربعون لفريق العمل المعني بتيسير التجارة الدولية في سبتمبر 1996 التوصية رقم 25، "استخدام معيار الأمم المتحدة لتبادل البيانات الإلكترونية في الإدارة والتجارة والنقل".
هكذا. في أوائل التسعينيات، ظهر معيار EDI-FACT وتم اعتماده من قبل ISO (ISO 9735).
لكن الاندماج النهائي للمعايير الأمريكية والأوروبية لم يحدث. لقد ظهرت فرصة جديدة واعدة أكثر لتبادل البيانات إلكترونيا - تبادل البيانات عبر الإنترنت.
إن تطور الإنترنت بتكلفة منخفضة لنقل البيانات جعل تحديث أنظمة التبادل الإلكتروني للبيانات أمرًا ملحًا. ونتيجة لذلك، في منتصف التسعينيات، تم تطوير معيار آخر - EDIFACT عبر الإنترنت (EDIINT)، والذي يصف كيفية إرسال معاملة EDI باستخدام بروتوكولات البريد الإلكتروني الآمنة SMTP/S-MIME.
لظهور ونمو شعبية التجارة الإلكترونية، هناك عدد من المتطلبات الديموغرافية والتكنولوجية، مثل:
أ) الوصول على نطاق واسع إلى تكنولوجيا المعلومات، ولا سيما أجهزة الكمبيوتر والإنترنت؛
ب) زيادة مستوى التعليم في المجتمع، وبالتالي المزيد من حرية التعامل مع التكنولوجيا؛
ج) لقد أتاح التقدم التكنولوجي والثورة الرقمية للعديد من الأجهزة الرقمية أن تتفاعل مع بعضها البعض، مثل الكمبيوتر والهاتف المحمول وما إلى ذلك؛
د) العولمة والاقتصاد المفتوح والمنافسة على نطاق عالمي؛
ه) إمكانية الوصول إلى التجارة الإلكترونية لأي شخص، في أي وقت وفي أي مكان.
و) الرغبة في توفير الوقت؛
ز) النمو في مجموعة السلع والخدمات، وزيادة الطلب على السلع والخدمات الخاصة.

أمن التجارة الإلكترونية.

واحدة من المشاكل الرئيسية للتجارة الإلكترونية اليوم لا تزال مشكلة الأمن، أي. تقليل المخاطر وحماية المعلومات.
يمكن أن تكون أسباب تعطيل الأداء الطبيعي للشركة على الإنترنت هي: فيروسات الكمبيوتر، والاحتيال الذي يؤدي إلى خسائر مالية؛ سرقة المعلومات السرية؛ التدخل غير القانوني في الملفات التي تحتوي على معلومات سرية عن المستهلكين، وما إلى ذلك.
تعتمد درجة حماية موقع الشركة الإلكترونية على مستوى سرية معلوماتها وضرورة الالتزام بها. لذلك، على سبيل المثال، إذا تم إدخال أرقام بطاقات الائتمان على موقع ويب، فمن الضروري ضمان أعلى درجة من الحماية لخادم الويب.
تتلخص مهام الحفاظ على الأمن في التجارة الإلكترونية في مصادقة المستخدم، والحفاظ على سرية المعلومات وسلامتها: المصادقة - التحقق من صحة المستخدم؛ السرية – ضمان الحفاظ على المعلومات الخاصة المقدمة من قبل المستخدم؛ سلامة المعلومات - غياب التشوهات في المعلومات المرسلة.
يمكن أن يشكل المتسللون والفيروسات تهديدًا لسلامة المعلومات الموجودة على خادم الويب.
يخترق المتسلل أجهزة الكمبيوتر والخوادم ذات الحماية الضعيفة ويقوم بتثبيت برامج خاصة - برامج غير مرئية يصعب اكتشافها. عادة، مثل هذا البرنامج غير المرئي لا يضر بالموقع، ولكنه يخلق ازدحامًا كبيرًا على الشبكة. يحدد المتسلل هدف هجومه ويقوم بتنشيط برنامج مثبت مسبقًا، وإرسال أمر عبر الإنترنت إلى عدة أجهزة كمبيوتر. يؤدي هذا إلى بدء هجوم يؤدي إلى زيادة التحميل على شبكة مؤسسة تجارية.
نوع آخر خطير من الاختراقات الأمنية لأجهزة الكمبيوتر والخوادم على الإنترنت هو الفيروس. تنتهك الفيروسات سلامة النظام وتضلل إجراءات أمن المعلومات. أفضل وسيلة للحماية من الفيروسات هي تثبيت برامج مكافحة الفيروسات وتحديثها بشكل دوري، وكذلك استخدام جدران الحماية. جدار الحماية هو عامل تصفية يتم تثبيته بين شبكة الشركة والإنترنت لحماية المعلومات والملفات من الوصول غير المصرح به وللسماح بالوصول للأشخاص المصرح لهم فقط. وبالتالي فإن جدار الحماية يمنع فيروسات الكمبيوتر والمتسللين من الدخول إلى شبكة المؤسسة ويحميها من التأثير الخارجي عند الاتصال بالإنترنت.
عند تنفيذ التجارة الإلكترونية، فإن إحدى أهم القضايا هي سرية المعلومات. يجب حماية المعلومات التي يقدمها المستخدم للشركة بشكل موثوق. إحدى طرق ضمان نقل البيانات بشكل آمن وسري عبر شبكات الكمبيوتر هي التشفير، أي التشفير. تشفير أو ترميز البيانات بحيث لا يتمكن من قراءتها سوى الأطراف المشاركة في معاملة معينة.
عند التشفير، يقوم مرسل الرسالة بتحويل النص إلى مجموعة من الأحرف التي لا يمكن قراءتها دون استخدام مفتاح خاص معروف للمستلم. مفتاح التشفير هو سلسلة من الأحرف المخزنة على القرص الصلب أو القرص المرن بجهاز الكمبيوتر. تعتمد درجة أمن المعلومات على خوارزمية التشفير وطول المفتاح المقاس بالبت.
هناك نوعان من خوارزميات التشفير:

متماثل، حيث يتم استخدام نفس المفتاح، المعروف لكلا الطرفين، لكل من تشفير وفك تشفير المعلومات؛
غير متماثل، حيث يتم استخدام مفتاحين، أحدهما للتشفير والآخر لفك التشفير. أحد هذه المفاتيح خاص (سري)، والثاني مفتوح (عام).

إحدى الطرق الأكثر شهرة وواعدة للتحقق من صحة مرسل الرسائل هي التوقيع الرقمي الإلكتروني (EDS) - المعادل الإلكتروني للتوقيع المكتوب بخط اليد. تم اقتراح أول توقيع رقمي في عام 1976 من قبل ويتفيلد ديفي من جامعة ستانفورد. ينص القانون الاتحادي للاتحاد الروسي "بشأن التوقيع الرقمي الإلكتروني" على أن التوقيع الرقمي الإلكتروني هو شرط أساسي لمستند إلكتروني يهدف إلى حماية هذا المستند من التزوير، ويتم الحصول عليه نتيجة للتحويل المشفر للمعلومات باستخدام المفتاح الخاص لمستند إلكتروني. التوقيع الرقمي والسماح بالتعرف على مالك شهادة مفتاح التوقيع، وكذلك إثبات عدم وجود تحريف للمعلومات في المستند الإلكتروني.
تتم عملية تطبيق التوقيع الرقمي الإلكتروني كما يلي:
1. يقوم المرسل بإنشاء رسالة ويقوم بتشفيرها بمفتاحه الخاص، وهو في نفس الوقت التوقيع الرقمي الإلكتروني للمرسل. وفي هذه الحالة، يتم تشفير كل من نص الاتصال نفسه والتوقيع الرقمي المرفق في نهاية المستند.
2. يقوم المرسل بإرسال الرسالة المشفرة ومفتاحه العام عبر قنوات الاتصال إلى المتلقي.
3. يقوم المستلم بفك تشفير الرسالة باستخدام المفتاح العام للمرسل.
4. عادةً ما يتم استخدام إحدى وظائف التجزئة الموجودة جنبًا إلى جنب مع التوقيع الرقمي. تنتج الدالة HASH سلسلة من الأحرف، تسمى ملخص الرسالة، أثناء معالجة الرسالة. يقوم المرسل بإنشاء ملخص للرسالة، ويقوم بتشفيرها وإعادة توجيهها أيضًا إلى المستلم. يقوم المستلم بمعالجة الرسالة بنفس وظيفة HASH ويتلقى أيضًا ملخصًا للرسالة. إذا تطابق كلا ملخصي الرسالة، فهذا يعني أنه تم تلقي الرسالة دون تلف.
5. تُستخدم الشهادات الرقمية لتأكيد ملكية المفتاح العام لشخص محدد أو مؤسسة تجارية. الشهادة الرقمية هي مستند صادر عن سلطة التصديق لتأكيد هوية شخص أو مؤسسة معينة من خلال التحقق من اسمها ومفتاحها العام. للحصول على شهادة رقمية، يجب عليك الاتصال بمركز الشهادات وتقديم المعلومات اللازمة. تحدد كل سلطة تصديق أسعارها الخاصة، وكقاعدة عامة، تصدر شهادة رقمية لمدة عام مع إمكانية التجديد بعد الدفع للعام التالي.
ولمعالجة المشكلات الأمنية، تستخدم شركات التجارة الإلكترونية تقنية SSL وSET.
بروتوكول SSL هو البروتوكول الرئيسي المستخدم لحماية البيانات المنقولة عبر الإنترنت. يعتمد هذا البروتوكول على مجموعة من خوارزميات التشفير غير المتماثلة والمتماثلة. ويوفر ثلاث وظائف رئيسية: مصادقة الخادم، ومصادقة العميل، والاتصال المشفر SSL.
بروتوكول SET هو بروتوكول يستخدم للمعاملات بين البنوك التجارية وعملاء بطاقات الائتمان.

المخاطر والتهديدات

يرتبط أي عمل تجاري بالمخاطر الناشئة عن المنافسة والسرقة وعدم استقرار التفضيلات العامة والكوارث الطبيعية وما إلى ذلك. إلا أن المخاطر المرتبطة بالتجارة الإلكترونية لها خصائصها ومصادرها، ومنها:
اللصوص.
عدم القدرة على جذب الرفاق.
أعطال المعدات.
انقطاع التيار الكهربائي أو خطوط الاتصال أو الشبكة.
الاعتماد على خدمات التوصيل.
منافسة شديدة.
أخطاء البرمجيات.
التغييرات في السياسة والضرائب.
قدرة النظام محدودة.

اللصوص
التهديد الأكثر شيوعًا للتجارة الإلكترونية يأتي من قراصنة الكمبيوتر. تتعرض أي مؤسسة للتهديد بالهجوم من قبل المجرمين، وتجذب مؤسسات التجارة الإلكترونية الكبيرة انتباه قراصنة الكمبيوتر من مختلف مستويات المهارة.
وتتنوع أسباب هذا الاهتمام. في بعض الحالات يكون الأمر مجرد "مصلحة رياضية خالصة"، وفي حالات أخرى رغبة في إلحاق الأذى أو سرقة الأموال أو شراء منتج أو خدمة مجانًا.
يتم ضمان أمان الموقع من خلال مجموعة من الإجراءات التالية:
عمل نسخة احتياطية من المعلومات الهامة.
سياسة شؤون الموظفين التي تسمح لك بجذب الأشخاص ذوي الضمير الحي فقط للعمل وتشجيع ضمير الموظفين. أخطر محاولات القرصنة تأتي من داخل الشركة.
استخدام البرامج ذات إمكانيات حماية البيانات وتحديثها في الوقت المناسب.
تدريب الموظفين على تحديد الأهداف والتعرف على نقاط الضعف في النظام.
التدقيق والتسجيل للكشف عن محاولات الاختراق الناجحة وغير الناجحة.
عادةً ما تكون القرصنة ناجحة بسبب كلمات المرور سهلة التخمين، وأخطاء التكوين الشائعة، والفشل في تحديث إصدارات البرامج في الوقت المناسب. لحماية نفسك من لص غير متطور، يكفي اتخاذ تدابير بسيطة نسبيًا. وكملاذ أخير، يجب أن تكون هناك دائمًا نسخة احتياطية من البيانات المهمة.

عدم القدرة على جذب الرفاق
في حين أن هجمات القراصنة هي مصدر القلق الأكبر، فإن معظم حالات فشل التجارة الإلكترونية لا تزال تنبع من عوامل اقتصادية تقليدية. يتطلب إنشاء موقع تجارة إلكترونية كبير وتسويقه الكثير من المال. تفضل الشركات الاستثمارات قصيرة الأجل، مما يوفر نموًا فوريًا في العملاء والإيرادات بمجرد تأسيس العلامة التجارية في السوق.
أدى انهيار التجارة الإلكترونية إلى خراب الكثير من الشركات التي تخصصت فيها فقط.

أعطال المعدات
من الواضح تمامًا أن فشل جزء مهم من أحد أجهزة الكمبيوتر الخاصة بشركة تتركز أنشطتها على الإنترنت يمكن أن يسبب ضررًا كبيرًا لها.
يتم توفير الحماية ضد التوقف عن العمل للمواقع التي تعمل تحت أحمال عالية أو تؤدي وظائف مهمة عن طريق النسخ، بحيث لا يؤثر فشل أي مكون على وظائف النظام بأكمله. ومع ذلك، من الضروري هنا أيضًا تقييم الخسائر الناجمة عن فترات التوقف المحتملة مقارنة بتكاليف شراء معدات إضافية.
من السهل نسبيًا إعداد الكثير من أجهزة الكمبيوتر التي تستخدم Apache وPHP وMySQL. بالإضافة إلى ذلك، يسمح محرك النسخ المتماثل الخاص بـ MySQL بالمزامنة العامة للمعلومات عبر قواعد البيانات. ومع ذلك، فإن وجود عدد كبير من أجهزة الكمبيوتر يعني أيضًا ارتفاع تكاليف صيانة المعدات والبنية التحتية للشبكة والاستضافة.
أعطال الكهرباء وخطوط الاتصالات والشبكة وخدمة التوصيل
الاعتماد على الإنترنت يعني الاعتماد على العديد من مقدمي الخدمات المترابطين، لذلك إذا انقطع الاتصال ببقية العالم فجأة، فلا داعي لفعله سوى انتظار استعادته. الأمر نفسه ينطبق على انقطاع التيار الكهربائي والإضرابات أو انقطاع التيار الكهربائي والإضرابات الأخرى أو الاضطرابات الأخرى لشركة التوصيل.
إذا كانت لديك ميزانية كافية، فيمكنك التعامل مع العديد من مقدمي الخدمة. وهذا يستلزم تكاليف إضافية، ولكنه يضمن التشغيل دون انقطاع في حالة فشل أحدهم. يمكن حماية حالات انقطاع التيار الكهربائي الشديد عن طريق تركيب مصادر طاقة غير منقطعة.

منافسة شديدة
إذا قمت بفتح كشك في الشارع، فإن تقييم البيئة التنافسية ليس بالأمر الصعب بشكل خاص - فالمنافسون سيكونون كل من يبيع نفس المنتج في الأفق. وفي حالة التجارة الإلكترونية، فإن الوضع أكثر تعقيدا إلى حد ما.
اعتمادًا على تكاليف الشحن وتقلبات العملة والاختلافات في تكاليف العمالة، قد يتواجد المنافسون في أي مكان. الإنترنت هي بيئة تنافسية للغاية وسريعة التطور. وفي قطاعات الأعمال الشعبية، يظهر منافسون جدد بشكل شبه يومي.
من الصعب تقييم مخاطر المنافسة. الإستراتيجية الأكثر صحة هنا هي دعم المستوى الحالي للتكنولوجيا.

أخطاء البرمجيات
عندما تعتمد الأعمال التجارية على البرامج، فإنها تكون عرضة للأخطاء الموجودة في تلك البرامج.

يمكن تقليل احتمالية حدوث أعطال خطيرة عن طريق تثبيت برامج موثوقة، والاختبار بعد كل عملية استبدال للأجهزة المعيبة، واستخدام إجراءات الاختبار الرسمية. من المهم جدًا أن تصاحب أي ابتكارات في النظام اختبارًا شاملاً.
لتقليل الأضرار الناجمة عن فشل البرامج، يجب عليك إجراء نسخ احتياطي لكافة البيانات على الفور. عند إجراء أية تغييرات، يجب عليك حفظ تكوينات البرنامج السابقة. للكشف بسرعة عن الأعطال المحتملة، يلزم إجراء مراقبة مستمرة للنظام.

التغييرات في السياسة الضريبية
في العديد من البلدان، لم يتم تعريف أنشطة الأعمال الإلكترونية أو لم يتم تعريفها بشكل كافٍ بموجب القانون. إلا أن هذا الوضع لا يمكن أن يستمر إلى الأبد، وتسوية الموضوع ستؤدي إلى عدد من المشاكل التي قد تؤدي إلى إغلاق بعض المؤسسات. وبالإضافة إلى ذلك، هناك دائما خطر فرض ضرائب أعلى.
لا يمكن تجنب هذه المشاكل. وفي هذه الحالة، فإن مسار العمل المعقول الوحيد هو مراقبة الوضع بعناية وجعل أنشطة المؤسسة متوافقة مع القانون. ينبغي أيضًا استكشاف إمكانية ممارسة الضغط من أجل مصالحك الخاصة.

قدرة النظام محدودة
في مرحلة تصميم النظام، يجب عليك بالتأكيد النظر في إمكانية نموه. ويرتبط النجاح بالأحمال ارتباطًا وثيقًا، لذا يجب أن يسمح النظام بتوسيع المعدات.
يمكن تحقيق مكاسب محدودة في الأداء عن طريق استبدال الأجهزة، ولكن سرعة حتى أجهزة الكمبيوتر الأكثر تقدمًا لها حدود، لذلك يجب أن يوفر البرنامج القدرة على توزيع الحمل عبر أنظمة متعددة عند الوصول إلى الحد المحدد. على سبيل المثال، يجب أن يكون نظام إدارة قاعدة البيانات قادرًا على معالجة الطلبات من أجهزة متعددة في وقت واحد.
إن توسيع النظام ليس أمرًا مؤلمًا، ولكن التخطيط في الوقت المناسب في مرحلة التطوير يسمح لك بتوقع العديد من المشكلات المرتبطة بزيادة عدد العملاء ومنعهم مسبقًا.

خاتمة
على الرغم من أن الاتصال بالإنترنت يوفر فوائد هائلة بسبب الوصول إلى كمية هائلة من المعلومات، إلا أنه يشكل أيضًا خطورة على المواقع ذات مستويات الأمان المنخفضة. تعاني شبكة الإنترنت من مشاكل أمنية خطيرة، إذا تم تجاهلها، يمكن أن تؤدي إلى كارثة للمواقع غير المستعدة. الأخطاء في تصميم TCP/IP، وتعقيد إدارة المضيف، ونقاط الضعف في البرامج، وعدد من العوامل الأخرى تجعل المواقع غير المحمية عرضة لتصرفات المهاجمين.
يجب على المؤسسات الإجابة على الأسئلة التالية للنظر بشكل صحيح في الآثار الأمنية للاتصال بالإنترنت:
هل يستطيع المتسللون تدمير الأنظمة الداخلية؟
هل يمكن اختراق المعلومات المهمة الخاصة بالمؤسسة (تعديلها أو قراءتها) أثناء نقلها عبر الإنترنت؟
هل من الممكن التدخل في عمل المنظمة؟
هذه كلها أسئلة مهمة. هناك العديد من الحلول التقنية لمكافحة المشاكل الأمنية الكبرى على الإنترنت. ومع ذلك، فهي جميعا تأتي بسعر. العديد من الحلول تحد من الوظائف من أجل زيادة الأمان. ويتطلب البعض الآخر تقديم تنازلات كبيرة فيما يتعلق بسهولة استخدام الإنترنت. ولا يزال البعض الآخر يتطلب استثمار موارد كبيرة - وقت العمل لتنفيذ الأمن والحفاظ عليه، والمال لشراء وصيانة المعدات والبرامج.
الغرض من سياسة أمان الإنترنت هو تحديد كيفية حماية المنظمة لنفسها. تتكون السياسة عادةً من جزأين - المبادئ العامة وقواعد التشغيل المحددة (والتي تعادل السياسة المحددة الموضحة أدناه). المبادئ العامة توجه النهج المتبع في أمن الإنترنت. تحدد القواعد ما هو مسموح وما هو محظور. ويمكن استكمال القواعد بإجراءات محددة ومبادئ توجيهية مختلفة.
صحيح أن هناك نوعًا ثالثًا من السياسات يظهر في الأدبيات المتعلقة بأمن الإنترنت. هذا هو النهج الفني. في هذا المنشور، سيتم فهم النهج الفني على أنه تحليل يساعد على تنفيذ مبادئ وقواعد السياسة. إنها عمومًا تقنية ومعقدة للغاية بحيث يتعذر على الإدارة التنظيمية فهمها. ولذلك، لا يمكن استخدامه على نطاق واسع مثل السياسة. ومع ذلك، فهو لا غنى عنه عند وصف الحلول الممكنة، وتحديد المقايضات التي تعتبر عنصرًا ضروريًا في وصف السياسة.
ولكي تكون سياسات الإنترنت فعّالة، يتعين على صناع السياسات أن يفهموا المقايضات التي يتعين عليهم القيام بها. ويجب ألا تتعارض هذه السياسة أيضًا مع الوثائق الحاكمة الأخرى للمنظمة. يحاول هذا المنشور تزويد المهنيين التقنيين بالمعلومات التي سيحتاجون إلى شرحها لصانعي سياسات الإنترنت. ويحتوي على تصميم أولي للسياسة، والذي يمكن على أساسه اتخاذ قرارات فنية محددة.
يعد الإنترنت موردًا مهمًا أدى إلى تغيير الطريقة التي يعمل بها العديد من الأشخاص والمنظمات. ومع ذلك، يعاني الإنترنت من مشاكل أمنية خطيرة وواسعة النطاق. تعرضت العديد من المنظمات للهجوم أو التحقيق من قبل المهاجمين، مما تسبب في تكبدها خسائر مالية فادحة وفقدان هيبتها. في بعض الحالات، اضطرت المؤسسات إلى قطع الاتصال بالإنترنت مؤقتًا وأنفقت مبالغ كبيرة من المال على استكشاف مشكلات تكوينات المضيف والشبكة وإصلاحها. المواقع التي لا تدرك هذه المشكلات أو تتجاهلها تعرض نفسها لخطر الهجوم عبر الإنترنت من قبل جهات ضارة. وحتى تلك المواقع التي طبقت إجراءات أمنية تتعرض لنفس المخاطر بسبب ظهور نقاط ضعف جديدة في برامج الشبكة واستمرار بعض المهاجمين.
المشكلة الأساسية هي أن الإنترنت لم يتم تصميمه ليكون شبكة آمنة. بعض مشاكله في الإصدار الحالي من TCP/IP هي:
سهولة اعتراض البيانات وتزوير عناوين الأجهزة الموجودة على الشبكة - الجزء الأكبر من حركة المرور على الإنترنت عبارة عن بيانات غير مشفرة. يمكن اعتراض رسائل البريد الإلكتروني وكلمات المرور والملفات باستخدام برامج يسهل الوصول إليها.
ثغرة أمنية في أدوات TCP/IP - لم يتم تصميم عدد من أدوات TCP/IP لتكون آمنة ويمكن اختراقها من قبل المهاجمين المهرة؛ الأدوات المستخدمة للاختبار معرضة للخطر بشكل خاص.
عدم وجود سياسة - يتم تكوين العديد من المواقع دون قصد بطريقة توفر وصولاً واسع النطاق لأنفسهم من الإنترنت، دون الأخذ في الاعتبار إمكانية إساءة استخدام هذا الوصول؛ تسمح العديد من المواقع بخدمات TCP/IP أكثر مما تحتاجه للتشغيل ولا تحاول تقييد الوصول إلى المعلومات المتعلقة بأجهزة الكمبيوتر الخاصة بها والتي قد تساعد المهاجمين.
من الصعب تكوينها - فعناصر التحكم في الوصول إلى المضيف معقدة؛ غالبًا ما يكون من الصعب تكوين التركيبات والتحقق من فعاليتها بشكل صحيح. قد تؤدي الأدوات التي تم تكوينها بشكل غير صحيح عن طريق الخطأ إلى الوصول غير المصرح به.

قائمة الأدب المستخدم
1. مواد من خادم تكنولوجيا المعلومات - http://www. citforum.ru
2. ما هي التجارة الإلكترونية؟ V. Zavaleev، مركز تكنولوجيا المعلومات. http://www.citforum.ru/marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. كانتاروفيتش أ.أ.، تساريف ف.ف. الكتب المدرسية للجامعات: التجارة الإلكترونية 2002، 320 صفحة.

| إلى قائمة المنشورات

ضمان أمن المعلومات للمؤسسات التجارية وشبكات البيع بالتجزئة والبنية التحتية الخاصة بها

تؤدي الاتجاهات الحالية في تطوير التجارة في روسيا إلى توحيد الشركات من خلال زيادة عدد الشركات في تكوينها، وتوحيد أصول مختلف المشغلين، وإجراء عمليات الدمج والاستحواذ، وإنشاء مراكز توزيع الشبكات. ونتيجة لذلك، تتزايد متطلبات تكنولوجيا المعلومات وأهميتها في تنظيم التجارة. تتطلب معالجة تدفق المعلومات في أي شركة سرعة عالية ودقة مطلقة.

رسم بياني 1.تدفقات المعلومات الرئيسية المتداولة في نظام إدارة شركة الشبكة

تتضمن إدارة متجر حديث ومؤسسة تجارة الجملة وشبكة التوزيع استخدام أنظمة آلية للتجارة والمستودعات والمحاسبة المتكاملة. اليوم، يتخذ المديرون قرارات إدارية بناءً على البيانات التي يتم الحصول عليها من أنظمة المعلومات. وبالتالي، مهما كان هيكل الشركة، فإن المحاسبة عن العقود وحركات المخزون والنقد والمحاسبة يجب أن تتم في مساحة معلومات واحدة.

من أجل أتمتة إدارة عملية التداول، يتم إنشاء نظام معلومات في المؤسسة، والذي قد يشمل:

- نظام المحاسبة وإعداد التقارير الداخلي (يحتوي على بيانات عن حجم وهيكل وسرعة إنتاج السلع وتداولها، وتكاليف وخسائر المؤسسة، وإجمالي الدخل، وصافي الربح، والربحية، وما إلى ذلك)؛
- نظام المعلومات التسويقية (يسمح لك بتتبع الوضع الحالي والاتجاهات والآفاق لتطوير السوق). يمكن أيضًا تعريف نظام المعلومات هذا على أنه نظام استخباراتي لأنه فهو يضمن جمع ومعالجة وتحليل البيانات المتعلقة بأنشطة المنافسين.

تأتي البيانات في نظام المعلومات من موظفي الشركة ومن أنظمة مكاتب الموزعين. في المستقبل، يتم استخدامها للإدارة التشغيلية للمؤسسة ومراقبة وتحليل أنشطة الشركة ككل والمكاتب الإقليمية والموزعين. مستهلكو بيانات شبكة المعلومات هم المديرون والمديرون التنفيذيون للشركة والموزعون. يوضح الشكلان 1 و2 تدفقات المعلومات الرئيسية المتداولة في نظام إدارة مؤسسة تجارية (شبكة تجارية)، مع توضيح مصادرها الرئيسية والمستهلكين.

لاتخاذ قرارات إدارية استراتيجية، من الضروري أن يقدم رئيس المؤسسة والمدير المالي وكبير المحاسبين وكبار المديرين صورة كاملة عن حالة المؤسسة واتجاهات تطورها (الشكل 1.).

في أماكن العمل في قسم المحاسبة، في طابق المبيعات، في المستودع، يتعامل العمال فقط مع الأجزاء الفردية من تدفق المعلومات العامة. تتلخص مهامهم ووظائفهم، كقاعدة عامة، في معالجة وتسجيل استلام واستهلاك البضائع، وإصدار الفواتير، والعمل على تسجيل النقد، وما إلى ذلك. (الصورة 2.).

وبالنظر إلى مخاطر المؤسسات التجارية وضعف أنظمة المعلومات، يبدو أنه من غير المسؤول اتباع نهج تتفاعل فيه الشركة مع الأحداث بعد وقوعها، أي. بعد حدوثها. ويترتب على ذلك أنه يجب على الشركة إنشاء نظام لأمن المعلومات. وهو أحد العناصر الرئيسية لنظام التحكم.

يمكن أن يؤدي إيقاف تشغيل نظام المعلومات إلى عواقب لا رجعة فيها على الشركة. وهكذا، وفقا لشركة التأمين جيرلينج، إذا توقف نظام المعلومات بشكل كامل، فيمكن للشركات التجارية أن تتواجد لمدة 2.5 يوم فقط،وبالنسبة للمؤسسات الصناعية التي ليس لديها دورة إنتاجية مستمرة فإن هذا الرقم هو 5 أيام.

يجب أن تكون البيانات الأولية لإنشاء نظام فعال لأمن المعلومات عبارة عن أفكار واضحة حول أهدافه وبنيته، وأنواع التهديدات ومصادرها، والتدابير المضادة الممكنة.

مصادر التهديدات يمكن أن تكون خارجية وداخلية.

الصورة 2.نظام تبادل البيانات لموظفي الأقسام المختلفة في مؤسسة البيع بالتجزئة أو سلسلة البيع بالتجزئة

التهديدات الخارجيةوغالبا ما تأتي من المنافسين والجماعات الإجرامية والمسؤولين الفاسدين داخل السلطات القانونية والإدارية. يمكن أن تستهدف أعمال التهديدات الخارجية وسائط التخزين السلبية، أو إزالة المعلومات أثناء عملية التبادل، أو تدمير المعلومات أو إتلاف وسائط التخزين الخاصة بها. يمكن توجيه التهديدات إلى موظفي الشركة ويتم التعبير عنها في شكل رشوة أو تهديد أو ابتزاز أو انتزاع معلومات من أجل الحصول على معلومات تشكل سرًا تجاريًا أو تنطوي على إغراء كبار المتخصصين، وما إلى ذلك.

التهديدات الداخليةتشكل الخطر الأكبر. ويمكن أن تأتي من مديرين غير أكفاء، وموظفين عديمي الضمير وغير ماهرين، ومختلسين ومحتالين، ووسائل إنتاج عفا عليها الزمن. قد يقوم الموظفون الفرديون الذين يتمتعون بمستوى عالٍ من احترام الذات، بسبب عدم الرضا عن طموحاتهم (مستوى الراتب، والعلاقات مع الإدارة، والزملاء، وما إلى ذلك)، بتقديم معلومات تجارية بشكل استباقي للمنافسين، ومحاولة تدمير المعلومات المهمة أو الوسائط السلبية، من أجل على سبيل المثال، إدخال فيروس كمبيوتر.

يمكن أن يحدث الضرر لموارد المعلومات بسبب:

تنفيذ الوصول غير المصرح به وإزالة المعلومات السرية؛
رشوة الموظفين من أجل الوصول إلى المعلومات السرية أو نظام المعلومات؛
عن طريق اعتراض المعلومات المتداولة في مرافق وأنظمة الاتصالات والكمبيوتر باستخدام الوسائل التقنية للاستطلاع وجمع المعلومات؛
من خلال التنصت على المحادثات السرية التي تجري في مباني المكاتب، والمركبات الرسمية والشخصية، وفي الشقق والبيوت الريفية؛
ومن خلال عمليات التفاوض، واستخدام التعامل غير المبالي مع المعلومات؛

المصادر الرئيسية للمعلومات هي:الأشخاص والوثائق والمنشورات والوسائط التقنية والوسائل التقنية والمنتجات والنفايات.

الطرق الرئيسية للحصول على معلومات غير مصرح بها هي:

- الكشف عن المعلومات السرية؛
- الوصول غير المصرح به إلى موارد المعلومات؛
- تسرب معلومات سرية بسبب خطأ موظفي الشركة.

يمكن توضيح أهمية مشكلة اتخاذ التدابير اللازمة لضمان أمن المعلومات من خلال الأمثلة التالية:

1. تكتشف خدمة الأمن التابعة للمشغل الفيدرالي ما بين حادثتين إلى ستة حوادث تتعلق بانتهاكات أمن المعلومات كل شهر.
2. في أحد المتاجر الكبرى، تم "توعية" فتاة صغيرة حول أوجه القصور في برنامج إقران محطات تسجيل النقد عبر شبكة محلية. ونتيجة لعملية الاحتيال، "كسبت" السيدة 900 ألف روبل في ثلاثة أشهر.
3. قام أمين الصندوق الشاب بإجراء تغييرات على البرنامج النقدي وفي شهر واحد تسبب في أضرار للمؤسسة بمبلغ حوالي 200000 روبل. اكتشف مسؤول النظام حقيقة الوصول غير المصرح به فقط خلال التحقيق بعد شهرين من طرد أمين الصندوق.

وبالتالي، يجب على قادة الأعمال أن يفهموا أهمية أمن المعلومات وأن يتعلموا كيفية توقع الاتجاهات المستقبلية وإدارتها. يجب أن يكون التشغيل الفعال لأنظمة الأمان أولوية قصوى للمؤسسة بأكملها.

المجالات الرئيسية لحماية المعلومات:

- الحماية القانونية تشمل: تشريعات الاتحاد الروسي، والوثائق التنظيمية الخاصة به، بما في ذلك: اللوائح المتعلقة بالحفاظ على المعلومات السرية، وقائمة المعلومات التي تشكل سرًا تجاريًا، وتعليمات بشأن إجراءات وصول الموظفين إلى المعلومات السرية، واللوائح المتعلقة بالعمل المكتبي وتدفق المستندات، والتزام الموظف بعدم الكشف عن المعلومات السرية، وتذكير الموظف حول الحفاظ على الأسرار التجارية، وما إلى ذلك؛
- الحماية التنظيمية تشمل تدابير النظام الإدارية والتنظيمية. وتشمل هذه: تنظيم خدمة الأمن، وتنظيم المنشأة الداخلية والتحكم في الوصول، وتنظيم العمل مع الموظفين بشأن عدم الكشف عن المعلومات التي تشكل أسرار تجارية ورسمية، وتنظيم العمل مع الوثائق، وتنظيم العمل على تحليل المعلومات الخارجية والرسمية. التهديدات الداخلية، الخ.
- الحماية الهندسية والتقنية - تتضمن استخدام مختلف الأدوات التقنية والإلكترونية والبرمجية المصممة لحماية المعلومات.

ينبغي أن يتم تنفيذ برنامج أمن المعلومات على أساس الاستخدام المتكامل لأنظمة وأدوات الأمن استناداً إلى فرضية أنه من المستحيل ضمان المستوى المطلوب من الأمان باستخدام أداة أو تدبير واحد منفصل فقط، أو مزيج بسيط منهم. التنسيق المنهجي بينهما ضروري. في هذه الحالة، يمكن أن يؤثر تنفيذ أي تهديد على الكائن المحمي فقط في حالة التغلب على جميع مستويات الحماية.

إن أمان أي نظام للتجارة الإلكترونية ككل يكمن في الحماية من مختلف أنواع التدخل في بياناته. يمكن تقسيم كل هذه التدخلات إلى عدة فئات:

· سرقة البيانات (على سبيل المثال، سرقة أرقام بطاقات الائتمان من قاعدة البيانات)؛

· التداخل (على سبيل المثال، التحميل الزائد للبيانات على موقع غير مخصص لمثل هذا الكم الكبير من المعلومات)؛

· تشويه البيانات (على سبيل المثال، تغيير المبالغ في ملفات الدفع والفواتير أو إنشاء شهادات أو مواقع غير موجودة لضخ المعلومات إلى موقع معين)؛

· تدمير البيانات (على سبيل المثال، أثناء النقل من الموقع أو إلى الموقع من المستخدم)؛

· رفض الإجراءات المتخذة (على سبيل المثال، من حقيقة تقديم طلب أو استلام البضائع)؛

· سوء الاستخدام غير المقصود لمرافق الموقع من قبل مستخدم حسن النية؛

· الوصول غير المصرح به إلى المعلومات:

· النسخ غير المصرح به أو تحديث أو استخدام آخر للبيانات؛

· المعاملات غير المصرح بها.

· عرض البيانات أو نقلها بشكل غير مصرح به (على سبيل المثال، عرض الأسماء الحقيقية للزوار بدلاً من الألقاب في غرفة الدردشة أو المنتدى).

في الوقت نفسه، من المستحيل ألا نأخذ في الاعتبار أنه في المسائل الأمنية في هذا المجال هناك عدد من المشاكل الموضوعية ذات الطبيعة القانونية - تتطور التقنيات بشكل أسرع بكثير من الإطار التشريعي، ومن الصعب القبض على المهاجم فعل الجريمة، ويمكن بسهولة تدمير أدلة وآثار الجرائم دون أن يترك أثرا. كل هذا يجعل من الضروري على الشركات أن تضع بعناية سياسة لحماية أعمالها الإلكترونية. لا يمكن تحقيق الأمان الكامل والمطلق لأن أنظمة الأعمال الإلكترونية مبنية على مجموعة متنوعة من التطبيقات البرمجية الجاهزة والمخصصة من مختلف البائعين وعدد كبير من الخدمات الخارجية التي يقدمها مقدمو الخدمات أو شركاء الأعمال. عادةً ما يكون جزء كبير من هذه المكونات والخدمات غير واضح لمتخصصي تكنولوجيا المعلومات في الشركة العميلة، بالإضافة إلى ذلك، غالبًا ما يتم تعديل العديد منها وتحسينها بواسطة منشئيها؛ من المستحيل التحقق بدقة من كل هذه العيوب بحثًا عن عيوب أمنية محتملة، بل إن إزالة كل هذه العيوب أمر أكثر صعوبة. وحتى لو كان ذلك ممكنا، فلا يمكن استبعاد ما يسمى بالعامل البشري، حيث أن جميع الأنظمة يتم إنشاؤها وتغييرها وإدارتها من قبل الأشخاص، ووفقا لبحث أجراه معهد أمن الكمبيوتر، أشار 81% من المشاركين إلى أن الشغل الشاغل للشركات هو التهديد الداخلي - الإجراءات المتعمدة أو غير المتعمدة لموظفيهم.

هناك جانبان لمشكلة الحماية من التهديدات الداخلية: تقني وتنظيمي. الجانب الفني هو الرغبة في القضاء على أي احتمال للوصول غير المصرح به إلى المعلومات. ولهذا الغرض، يتم استخدام هذه الوسائل المعروفة على النحو التالي:

الحفاظ على كلمات المرور وتغييرها بانتظام؛ توفير الحد الأدنى من الحقوق اللازمة لإدارة النظام؛

توافر الإجراءات القياسية لتغيير مجموعة الوصول في الوقت المناسب أثناء تغييرات الموظفين أو التدمير الفوري للوصول عند فصل الموظف.

الجانب التنظيمي هو تطوير سياسة أمنية داخلية عقلانية تتحول إلى عمليات روتينية مثل الأساليب التي نادراً ما تستخدم لحماية ومنع هجمات القراصنة من قبل الشركات مثل:

· إدخال ثقافة السلامة العامة في الشركة.

· اختبار البرمجيات للقرصنة.

· تتبع كل محاولة اختراق (مهما كانت ناجحة) والتحقيق فيها بدقة.

· تدريب سنوي للموظفين حول قضايا الأمن والجرائم الإلكترونية، بما في ذلك معلومات حول علامات محددة لهجمات القراصنة، لزيادة عدد الموظفين الذين لديهم القدرة على اكتشاف مثل هذا النشاط؛

· وضع إجراءات واضحة للتعامل مع حالات التغيير غير المقصود أو إتلاف المعلومات.

للحماية من التطفل الخارجي، يوجد اليوم العديد من الأنظمة التي تعد في الأساس أنواعًا مختلفة من المرشحات التي تساعد في تحديد محاولات القرصنة في المراحل المبكرة، وإذا أمكن، تمنع المهاجم من دخول النظام عبر الشبكات الخارجية.

· أجهزة التوجيه - أجهزة إدارة حركة مرور الشبكة الموجودة بين شبكات الدرجة الثانية وإدارة حركة المرور الواردة والصادرة لقطاعات الشبكة المتصلة بها؛

· جدران الحماية - وسيلة لعزل الشبكات الخاصة عن الشبكات العامة باستخدام برامج تراقب وتمنع الهجمات الخارجية على الموقع باستخدام تحكم معين في أنواع الطلبات؛

بوابات التطبيق هي الوسيلة التي يقوم مسؤول الشبكة من خلالها بتنفيذ سياسة الأمان التي توجه أجهزة التوجيه التي تقوم بتصفية الحزم؛

· أنظمة كشف التسلل (IDS) - الأنظمة التي تكشف الهجمات المتعمدة وسوء الاستخدام غير المتعمد لموارد النظام من قبل المستخدمين.

· أدوات تقييم الأمان (الماسحات الضوئية الخاصة، وما إلى ذلك) - برامج تقوم بفحص الشبكة بانتظام بحثًا عن المشكلات واختبار مدى فعالية سياسة الأمان المطبقة.

بشكل عام، أول شيء يجب على الشركة فعله هو معرفة ما يجب حمايته ومن الذي يجب حمايته. اللاعبون الرئيسيون في هذا المجال هم المساهمين في الشركة والمستهلكين والموظفين وشركاء الأعمال، ويحتاج كل منهم إلى تطوير نظام الحماية الخاص به. يجب توثيق جميع المتطلبات الأمنية لتكون بمثابة دليل إرشادي لجميع تطبيقات التجارة الإلكترونية وتدابيرها الأمنية عبر خطوط الأعمال المختلفة للشركة. بالإضافة إلى ذلك، سيسمح لك ذلك بإنشاء ميزانية منفصلة لخدمة المشكلات الأمنية داخل الشركة وتحسين التكاليف لهذه الاحتياجات، والقضاء على ازدواجية أي مشكلات أمنية عند تطوير كل مشروع تجاري فردي.

لسوء الحظ، فإن الممارسة المتبعة اليوم هي ترك السياسة الأمنية لإدارة قسم تكنولوجيا المعلومات، الذي يعتقد موظفوه أن القضايا التكنولوجية أكثر أهمية من بعض التعليمات "الورقية"، علاوة على ذلك، ليسوا متخصصين في مجالات معينة من الأعمال كما تتطلب إجراءات حماية واضحة داخل الشركة.

بالإضافة إلى ذلك، عند مزاوجة برامج مختلفة، قد تنشأ مشكلات محددة غير معروفة للشركات المصنعة لكل منتج من المنتجات المتكاملة. وينبغي أن يسبق البحث في مثل هذه التفاعلات أي قرارات تكنولوجية أو قرارات تتعلق بالميزانية. وحتى الآن لم يتم إيلاء سوى القليل من الاهتمام لهذا الأمر.

هناك عدة أنواع من تهديدات التجارة الإلكترونية:

اختراق النظام من الخارج.

الدخول غير المصرح به داخل الشركة.

الاعتراض المتعمد وقراءة المعلومات.

التعطيل المتعمد للبيانات أو الشبكات.

تعريف المستخدم غير صحيح (لأغراض احتيالية).

اختراق الأجهزة وحماية البرمجيات.

وصول المستخدم غير المصرح به من شبكة إلى أخرى.

هجمات الفيروسات.

الحرمان من الخدمة.

الاحتيال المالي.

ولمواجهة هذه التهديدات، يتم استخدام عدد من الأساليب المعتمدة على تقنيات مختلفة، وهي: التشفير - تشفير البيانات بشكل يمنع قراءتها أو تشويهها؛ التوقيعات الرقمية التي تتحقق من هوية المرسل والمستلم؛ تقنيات التخفي باستخدام المفاتيح الإلكترونية؛ جدران الحماية؛ الشبكات الافتراضية والخاصة.

لا توجد طريقة عالمية للحماية، على سبيل المثال، لا تقوم جدران الحماية بالتحقق من وجود فيروسات، كما أنها غير قادرة على ضمان سلامة البيانات. لا توجد طريقة موثوقة تمامًا لمواجهة اختراق الحماية التلقائية، وهي مسألة وقت فقط قبل أن يتم اختراقها. لكن الوقت الذي يستغرقه كسر هذه الحماية يعتمد بدوره على جودتها. يجب أن أقول إن البرامج والأجهزة اللازمة لحماية الاتصالات والتطبيقات على الإنترنت قد تم تطويرها لفترة طويلة، على الرغم من أن التقنيات الجديدة يتم تقديمها بشكل غير متساو إلى حد ما.

ما هي التهديدات التي تنتظر الشركة التي تمارس التجارة الإلكترونية في كل مرحلة:

استبدال صفحة الويب الخاصة بخادم المتجر الإلكتروني (إعادة توجيه الطلبات إلى خادم آخر)، وإتاحة المعلومات حول العميل، وخاصة حول بطاقات الائتمان الخاصة به، لأطراف ثالثة؛

إنشاء أوامر كاذبة وأشكال مختلفة من الاحتيال من جانب موظفي متجر إلكتروني، على سبيل المثال، التلاعب بقواعد البيانات (تشير الإحصائيات إلى أن أكثر من نصف حوادث الكمبيوتر مرتبطة بأنشطة موظفيهم)؛

اعتراض البيانات المنقولة عبر شبكات التجارة الإلكترونية؛

اختراق المهاجمين للشبكة الداخلية للشركة واختراق مكونات المتجر الإلكتروني؛

تنفيذ هجمات رفض الخدمة وتعطيل عمل أو تعطيل عقدة التجارة الإلكترونية.

ونتيجة لتنفيذ مثل هذه التهديدات، تفقد الشركة ثقة العملاء، وتخسر ​​الأموال من المعاملات المحتملة و/أو غير الكاملة، ويتعطل نشاط المتجر الإلكتروني، وتنفق الوقت والمال والموارد البشرية على استعادة الأداء.

وبطبيعة الحال، فإن التهديدات المرتبطة باعتراض المعلومات المنقولة عبر الإنترنت لا تقتصر على قطاع التجارة الإلكترونية. ومما له أهمية خاصة فيما يتعلق بالأخيرة حقيقة أن أنظمتها تحتوي على معلومات ذات أهمية اقتصادية كبيرة: أرقام بطاقات الائتمان، وأرقام الحسابات، ومحتويات العقود، وما إلى ذلك.

1. تأمين التجارة الإلكترونية

إن ضمان الأمن ليس شرطًا ضروريًا لنجاح الأعمال الإلكترونية فحسب، بل هو أيضًا الأساس لعلاقات الثقة بين الأطراف المقابلة. يتضمن جوهر الأعمال الإلكترونية تبادل المعلومات والمعاملات النشطة من خلال شبكة عامة غير محمية، وهو أمر مستحيل ببساطة دون وجود علاقات ثقة بين الكيانات التجارية. ولذلك، فإن ضمان الأمن أمر معقد، بما في ذلك مهام مثل الوصول إلى خوادم الويب وتطبيقات الويب، والمصادقة على المستخدمين وترخيصهم، وضمان سلامة البيانات وسريتها، وتنفيذ التوقيعات الرقمية الإلكترونية، وما إلى ذلك.

مع تزايد تسويق الإنترنت، يتم إيلاء المزيد والمزيد من الاهتمام لحماية المعلومات المنقولة عبر الشبكة. لقد حظيت البروتوكولات المتخصصة المصممة لتنظيم التفاعل الآمن عبر الإنترنت (على سبيل المثال، SET، SOCKS5، SSL، SHTTP، وما إلى ذلك) باعتراف واسع النطاق في جميع أنحاء العالم ويتم استخدامها بنجاح من قبل المطورين الأجانب لإنشاء أنظمة إلكترونية مصرفية وتجارية قائمة على الإنترنت.

في الخارج، تتم معالجة مشكلة أمن معلومات الأعمال التجارية الإلكترونية من قبل اتحاد مستقل - فريق عمل أمن الإنترنت (ISTF) - وهي منظمة عامة تتكون من ممثلين وخبراء من الشركات التي توفر أدوات أمن المعلومات والأعمال التجارية الإلكترونية وخدمة الإنترنت مقدمي الخدمات.

تحدد ISTF اثني عشر مجالًا لأمن المعلومات يجب أن تكون محور الاهتمام الأساسي. منظمو الأعمال الإلكترونية:

آلية للتأكيد الموضوعي للمعلومات التعريفية؛

الحق في الحصول على المعلومات الشخصية والخاصة؛

تعريف الأحداث الأمنية؛

حماية محيط الشركة؛

تعريف الهجمات؛

التحكم في المحتوى الذي يحتمل أن يكون خطيرًا؛

صلاحية التحكم صلاحية الدخول؛

إدارة؛

رد الفعل على الأحداث.

من المعروف أن استخدام خوارزميات التوقيع الرقمي الإلكتروني (EDS) يسمح بالحماية بشكل موثوق ضد العديد من التهديدات، ولكن هذا صحيح فقط إذا كانت هذه الخوارزميات منسوجة في بروتوكولات تفاعل مبنية على أسس جيدة، وبنية صحيحة قانونًا للعلاقات وعلاقة مغلقة منطقيًا. نظام الثقة.

يعتمد أمن المعلومات على المنطق البسيط لعمليات حساب التوقيع الرقمي والتحقق منه باستخدام زوج من المفاتيح المقابلة، ومع ذلك، يعتمد المنطق على البحث الرياضي الأساسي. يمكن لمالك المفتاح الخاص فقط حساب التوقيع الرقمي، ويمكن لأي شخص لديه مفتاح عام يتوافق مع المفتاح الخاص التحقق منه.

وبطبيعة الحال، ينبغي إشراك المتخصصين في هذا المجال في ضمان أمن المعلومات، ولكن يجب على رؤساء الهيئات الحكومية والمؤسسات والمؤسسات، بغض النظر عن شكل ملكيتها، المسؤولين عن الأمن الاقتصادي لبعض الكيانات الاقتصادية، إبقاء هذه القضايا في الاعتبار باستمرار مجال رؤيتهم. بالنسبة لهم، فيما يلي المكونات الوظيفية الرئيسية لتنظيم نظام شامل لأمن المعلومات:

بروتوكولات الاتصال؛

أدوات التشفير؛

أدوات التحكم في الوصول لمحطات العمل من الشبكات العامة؛

مجمعات مكافحة الفيروسات.

برامج الكشف عن الهجمات والتدقيق؛

أدوات للإدارة المركزية للتحكم في وصول المستخدم، بالإضافة إلى التبادل الآمن لحزم البيانات ورسائل أي تطبيقات عبر الشبكات المفتوحة.

كان للإنترنت منذ فترة طويلة عدد من اللجان، معظمها من المنظمات التطوعية، التي تقوم بتوجيه التكنولوجيات المقترحة بعناية من خلال عملية التقييس. قامت هذه اللجان، التي تشكل الجزء الأكبر من فريق عمل هندسة الإنترنت (IETF)، بتوحيد العديد من البروتوكولات المهمة، مما أدى إلى تسريع اعتمادها على الإنترنت.

تعد البروتوكولات مثل عائلة TCP/IP لاتصالات البيانات، وSMTP (بروتوكول نقل البريد البسيط) وPOP (بروتوكول مكتب البريد) للبريد الإلكتروني، وSNMP (بروتوكول إدارة الشبكة البسيطة) لإدارة الشبكة نتائج مباشرة لجهود IETF. يعتمد نوع المنتج الأمني ​​المستخدم على احتياجات الشركة.

تحظى بروتوكولات نقل البيانات الآمنة بشعبية كبيرة على الإنترنت، وهي SSL وSET وIP v.6. ظهرت البروتوكولات المدرجة على الإنترنت مؤخرًا نسبيًا، كضرورة لحماية المعلومات القيمة، وأصبحت على الفور معايير فعلية.

لسوء الحظ، في روسيا ما زالوا حذرين للغاية بشأن إمكانية إدخال الإنترنت في مجالات النشاط ذات الصلة

نقل ومعالجة وتخزين المعلومات السرية. مشابه

لا يُفسَّر هذا الحذر فقط بمحافظة الهياكل المالية المحلية، التي تخشى انفتاح الإنترنت وإمكانية الوصول إليه، بل جزئيًا أيضًا بحقيقة أن معظم برامج أمن المعلومات من شركات التصنيع الغربية تدخل سوقنا مع قيود التصدير فيما يتعلق خوارزميات التشفير المطبقة فيها. على سبيل المثال، في إصدارات التصدير من البرامج لخوادم ومتصفحات WWW من الشركات المصنعة مثل Microsoft وNetscape Communications، توجد قيود على طول المفتاح لخوارزميات التشفير ذات المفتاح الواحد والمفتاح المزدوج المستخدمة بواسطة بروتوكول SSL، والذي لا يوفر كاملاً الحماية عند العمل على الإنترنت.

ومع ذلك، فإن تطبيقات التجارة الإلكترونية، بالإضافة إلى التهديدات الداخلية، معرضة أيضًا للتهديدات الخارجية الصادرة عن الإنترنت. وبما أنه من غير المنطقي تعيين معرف تسجيل دخول منفصل لكل زائر مجهول (نظرًا لأن التطبيق لا ينمو)، تحتاج الشركات إلى استخدام نوع مختلف من المصادقة. بالإضافة إلى ذلك، من الضروري إعداد الخوادم لصد الهجمات. وأخيرًا، يجب أن تكون حذرًا للغاية فيما يتعلق بالبيانات الحساسة، مثل أرقام بطاقات الائتمان.

تشفير البيانات

يقوم موقع الويب الخاص بالنشاط التجاري بمعالجة المعلومات الحساسة (مثل أرقام بطاقات الائتمان الاستهلاكية). إن نقل هذه المعلومات عبر الإنترنت دون أي حماية يمكن أن يؤدي إلى عواقب لا يمكن إصلاحها. يمكن لأي شخص التنصت على الإرسال وبالتالي الوصول إلى المعلومات السرية. ولذلك، يجب تشفير البيانات ونقلها عبر قناة آمنة. لتنفيذ النقل الآمن للبيانات، يتم استخدام بروتوكول طبقة المقابس الآمنة (SSL).

لتنفيذ هذه الوظيفة، يجب عليك شراء شهادة رقمية وتثبيتها على الخادم (الخوادم) الخاص بك. يمكنك التقدم بطلب للحصول على شهادة رقمية من إحدى جهات التصديق. تشمل منظمات الشهادات التجارية المشهورة: VerySign، وCyberTrust، وGTE.

SSL عبارة عن مخطط لبروتوكولات مثل HTTP (وتسمى HTTPS عندما تكون آمنة)، وFTP، وNNTP. عند استخدام SSL لنقل البيانات:

البيانات مشفرة؛

تم إنشاء اتصال آمن بين الخادم المصدر والخادم الوجهة؛

تم تمكين مصادقة الخادم.

عندما يرسل مستخدم رقم بطاقة ائتمان باستخدام SSL، يتم تشفير البيانات على الفور حتى لا يتمكن المتسلل من رؤية محتوياتها. SSL مستقل عن بروتوكول الشبكة.

يوفر برنامج خادم Netscape أيضًا المصادقة — الشهادات والتوقيعات الرقمية — التي تثبت هوية المستخدم وسلامة الرسالة وتضمن عدم تغيير الرسالة لمسارها.

تتضمن المصادقة تأكيد هوية المستخدم والتوقيع الرقمي للتحقق من صحة المستندات المشاركة في تبادل المعلومات والمعاملات المالية. التوقيع الرقمي هو البيانات التي يمكن إرفاقها بمستند لمنع التزوير.

كشف التسلل

يمكن لأنظمة كشف التسلل (IDS) تحديد أنماط أو آثار الهجمات وإصدار إنذارات لها

تنبيه المشغلين وتشجيع أجهزة التوجيه على إنهاء الاتصالات بمصادر التطفل غير القانوني. يمكن لهذه الأنظمة أيضًا منع محاولات التسبب في رفض الخدمة.

وصف العمل

الغرض من هذا العمل هو دراسة مفهوم التجارة الإلكترونية والنظر في قضايا أمن المعلومات في التجارة الإلكترونية.
مهام:
- تعريف التجارة الإلكترونية؛
- النظر في عناصره الرئيسية وأنواعه وجوانبه الإيجابية والسلبية؛
- النظر في الأنواع الرئيسية للتهديدات والطرق الرئيسية لضمان أمن التجارة الإلكترونية.

أمن المعلومات في التجارة الإلكترونية (EC)

لقد وصل عدد مستخدمي الإنترنت إلى مئات الملايين، وظهرت نوعية جديدة تتمثل في "الاقتصاد الافتراضي". وفيه تتم عمليات الشراء من خلال مواقع التسوق، باستخدام نماذج أعمال جديدة، واستراتيجية التسويق الخاصة بهم، وما إلى ذلك.

التجارة الإلكترونية (EC) هي نشاط تجاري لبيع البضائع عبر الإنترنت. كقاعدة عامة، هناك شكلان من المفوضية الأوروبية:

* التجارة بين المؤسسات (الأعمال التجارية، B2B)؛

* التجارة بين المؤسسات والأفراد، أي. المستهلكين (الأعمال التجارية للمستهلك، B2C).

وقد أدت المفوضية الأوروبية إلى ظهور مفاهيم جديدة مثل:

* المتجر الإلكتروني - نافذة العرض وأنظمة التداول التي يستخدمها المصنعون أو التجار عندما يكون هناك طلب على البضائع.

* كتالوج إلكتروني – يضم مجموعة كبيرة من المنتجات من مختلف الشركات المصنعة.

* المزاد الإلكتروني هو نظير للمزاد الكلاسيكي باستخدام تقنيات الإنترنت، مع اتصال مميز بواجهة الوسائط المتعددة وقناة الوصول إلى الإنترنت وعرض ميزات المنتج.

* المتجر الإلكتروني متعدد الأقسام هو نظير لمتجر متعدد الأقسام عادي، حيث تعرض الشركات العادية بضائعها، مع علامة تجارية فعالة للمنتج (Gostiny Dvor، GUM، وما إلى ذلك).

* المجتمعات الافتراضية (المجتمعات)، حيث يتم تنظيم المشترين حسب مجموعات المصالح (أندية المعجبين والجمعيات وما إلى ذلك).

الإنترنت في مجال المفوضية الأوروبية يجلب فوائد كبيرة:

* يصل التوفير الذي تحققه الشركات الخاصة الكبيرة من تحويل مشتريات المواد الخام والمكونات إلى بورصات الإنترنت إلى 25 - 30%؛

* المشاركة في مزاد الموردين المتنافسين من جميع أنحاء العالم في الوقت الحقيقي يؤدي إلى تخفيض الأسعار التي برمجوها لتوريد السلع أو الخدمات؛

* ارتفاع أسعار السلع أو الخدمات نتيجة المنافسة من المشترين من جميع أنحاء العالم؛

* التوفير من خلال تقليل عدد الموظفين المطلوبين وحجم الأعمال الورقية.

أصبح القطاع B2B هو المكانة المهيمنة في الاتحاد الأوروبي في الدول الغربية، والذي سيصل بحلول عام 2007، وفقًا لتقديرات مختلفة، من 3 إلى 6 تريليونات. دولار. وأول من استفاد من نقل أعماله إلى الإنترنت كانت شركات بيع الأجهزة والبرمجيات وتقديم خدمات الكمبيوتر والاتصالات.

يتضمن كل متجر على الإنترنت متجرين رئيسيين عناصر:

واجهة المتجر الإلكتروني ونظام التداول.

تحتوي واجهة المتجر الإلكترونية على معلومات حول البضائع المباعة على موقع الويب، وتوفر الوصول إلى قاعدة بيانات المتجر، وتسجيل العملاء، والعمل مع "سلة" المشتري الإلكترونية، وتقديم الطلبات، وجمع المعلومات التسويقية، ونقل المعلومات إلى نظام التداول.

يقوم نظام التداول بتسليم البضائع وعمليات الدفع لها. نظام التداول عبارة عن مجموعة من المتاجر المملوكة لشركات مختلفة والتي تستأجر مساحة على خادم ويب مملوك لشركة منفصلة.

تكنولوجيا تشغيل المتجر الالكترونيعلى النحو التالي:

يختار المشتري المنتج المطلوب على واجهة متجر إلكترونية مع كتالوج السلع والأسعار (موقع ويب) ويملأ نموذجًا بالبيانات الشخصية (الاسم الكامل والعناوين البريدية والبريد الإلكتروني وطريقة التسليم والدفع المفضلة). إذا تم الدفع عبر الإنترنت، فسيتم إيلاء اهتمام خاص لأمن المعلومات.

نقل البضائع المكتملة إلى نظام التداول الخاص بالمتجر عبر الإنترنت،

حيث يتم الانتهاء من الطلب. يعمل نظام التداول يدويًا أو تلقائيًا. يعمل النظام اليدوي وفقًا لمبدأ Posyltorg، عندما يكون من المستحيل شراء وتكوين نظام آلي، كقاعدة عامة، عندما يكون حجم البضائع صغيرًا.

تسليم ودفع البضائع. يتم تسليم البضائع إلى المشتري

بإحدى الطرق الممكنة:

* مخزن البريد السريع داخل المدينة والمناطق المحيطة بها؛

* خدمة البريد السريع المتخصصة (بما في ذلك من الخارج)؛

* يلتقط؛

* يتم تسليم هذه المعلومات المحددة عبر شبكات الاتصالات

المنتج كمعلومات.

يمكن أن يتم الدفع مقابل البضائع بالطرق التالية:

* أولية أو في وقت استلام البضاعة؛

* نقدا إلى البريد السريع أو عند زيارة متجر حقيقي؛

* عن طريق التحويل البريدي.

* المعاملات المصرفية.

* الدفع عند الاستلام؛

* استخدام بطاقات الائتمان (فيزا، ماستر كارد، الخ)؛

من خلال أنظمة الدفع الإلكترونية من خلال التجاري الفردي

البنوك (TELEBANK، ASSIST، وما إلى ذلك).

في الآونة الأخيرة، تطورت التجارة الإلكترونية أو التجارة عبر الإنترنت بسرعة كبيرة في العالم. وبطبيعة الحال، هذه العملية

يتم تنفيذها بمشاركة مباشرة من المؤسسات المالية. وتكتسب طريقة التداول هذه شعبية متزايدة، على الأقل حيث يمكن استخدام السوق الإلكترونية الجديدة من قبل جزء كبير من الشركات والسكان.

تعمل الأنشطة التجارية على الشبكات الإلكترونية على إزالة بعض القيود المادية. الشركات التي تربط أنظمة الكمبيوتر الخاصة بها

الإنترنت قادر على تقديم الدعم للعملاء على مدار 24 ساعة يوميًا دون أيام العطل وعطلات نهاية الأسبوع. يمكن قبول طلبات المنتجات في أي وقت ومن أي مكان.

لكن هذه "العملة" لها وجهها الآخر. في الخارج، حيث يتم تطوير التجارة الإلكترونية على نطاق واسع، غالبًا ما تقتصر المعاملات أو تكلفة البضائع على 300-400 دولار. ويرجع ذلك إلى عدم كفاية الحلول لمشاكل أمن المعلومات في شبكات الكمبيوتر. وفقا للجنة الأمم المتحدة لمنع الجريمة ومكافحتها، وصلت جرائم الكمبيوتر إلى مستوى إحدى المشاكل الدولية. وفي الولايات المتحدة، يحتل هذا النوع من النشاط الإجرامي المرتبة الثالثة من حيث الربحية بعد الاتجار بالأسلحة والمخدرات.

حجم مبيعات التجارة الإلكترونية العالمية عبر الإنترنت عام 2006

ووفقاً لتوقعات شركة Forrester Tech، فقد يتراوح الرقم بين 1.8 إلى 2 تريليون دولار. يتم تحديد هذا النطاق الواسع من التوقعات من خلال مشكلة ضمان الأمن الاقتصادي للتجارة الإلكترونية. وإذا ظلت مستويات الأمان عند المستويات الحالية، فقد ينخفض ​​معدل دوران التجارة الإلكترونية العالمية. ويترتب على ذلك أن انخفاض مستوى الأمان في نظام التجارة الإلكترونية هو العامل المقيد في تطوير الأعمال التجارية الإلكترونية.

يرتبط حل مشكلة ضمان الأمن الاقتصادي للتجارة الإلكترونية في المقام الأول بحل قضايا حماية تكنولوجيات المعلومات المستخدمة فيها، أي ضمان أمن المعلومات.

يؤدي دمج العمليات التجارية في بيئة الإنترنت إلى تغيير جوهري في الوضع الأمني. يتطلب إنشاء الحقوق والمسؤوليات بناءً على مستند إلكتروني حماية شاملة من مجموعة كاملة من التهديدات، سواء من مرسل المستند أو متلقيه. لسوء الحظ، يدرك مديرو مؤسسات التجارة الإلكترونية خطورة التهديدات المعلوماتية وأهمية تنظيم حماية مواردهم فقط بعد تعرض الأخيرة لهجمات المعلومات. كما ترون، جميع العقبات المذكورة تتعلق بمجال أمن المعلومات.

وتشمل المتطلبات الأساسية لإجراء المعاملات التجارية السرية والنزاهة والتوثيق والترخيص والضمانات والسرية.

عند تحقيق أمن المعلومات، يجب التأكد من توافرها وسريتها ونزاهتها وأهميتها القانونية أساسي مهام . ويجب النظر في كل تهديد من حيث كيفية تأثيره على هذه الخصائص أو الصفات الأربع للمعلومات الآمنة.

سريةيعني أن المعلومات المقيدة يجب أن تكون متاحة فقط للأشخاص المقصودين بها. تحت نزاهةتُفهم المعلومات على أنها ملكيتها للوجود في شكل غير مشوه. التوفريتم تحديد المعلومات من خلال قدرة النظام على توفير الوصول في الوقت المناسب ودون عوائق إلى المعلومات للأشخاص الذين لديهم السلطة المناسبة للقيام بذلك. الأهمية القانونيةأصبحت المعلومات مهمة في الآونة الأخيرة، إلى جانب إنشاء إطار تنظيمي لأمن المعلومات في بلادنا.

إذا كان من الممكن تلبية المتطلبات الأربعة الأولى بالوسائل التقنية، فإن استيفاء الشرطين الأخيرين يعتمد على كل من الوسائل التقنية ومسؤولية الأفراد والمنظمات، وكذلك على الامتثال للقوانين التي تحمي المستهلكين من الاحتيال المحتمل من قبل البائعين.

كجزء من ضمان أمن المعلومات الشامل، أولا وقبل كل شيء، من الضروري تسليط الضوء على المفتاح مشاكل في مجال الأمن الإلكتروني عمل التي تشمل:

حماية المعلومات أثناء نقلها عبر قنوات الاتصال؛ حماية أنظمة الكمبيوتر وقواعد البيانات وإدارة الوثائق الإلكترونية؛

ضمان تخزين المعلومات على المدى الطويل في شكل إلكتروني؛ ضمان أمن المعاملات، وسرية المعلومات التجارية، والمصادقة، وحماية الملكية الفكرية، وما إلى ذلك.

هناك عدة أنواع من تهديدات التجارة الإلكترونية:

 اختراق النظام من الخارج.

 الدخول غير المصرح به داخل الشركة.

 الاعتراض المتعمد وقراءة المعلومات.

 التعطيل المتعمد للبيانات أو الشبكات.

 تعريف غير صحيح (لأغراض احتيالية).

مستخدم.

 اختراق البرامج وحماية الأجهزة.

 وصول المستخدم غير المصرح به من شبكة إلى أخرى.

 هجمات الفيروسات.

 الحرمان من الخدمة.

 الاحتيال المالي.

ولمواجهة هذه التهديدات، يتم استخدام عدد من الأساليب المعتمدة على تقنيات مختلفة، وهي: التشفير - تشفير البيانات بشكل يمنع قراءتها أو تشويهها؛ التوقيعات الرقمية التي تتحقق من هوية المرسل والمستلم؛ تقنيات التخفي باستخدام المفاتيح الإلكترونية؛ جدران الحماية؛ الشبكات الافتراضية والخاصة.

لا توجد طريقة عالمية للحماية، على سبيل المثال، لا تقوم جدران الحماية بالتحقق من وجود فيروسات، كما أنها غير قادرة على ضمان سلامة البيانات. لا توجد طريقة موثوقة تمامًا لمواجهة اختراق الحماية التلقائية، وهي مسألة وقت فقط قبل أن يتم اختراقها. لكن الوقت الذي يستغرقه كسر هذه الحماية يعتمد بدوره على جودتها. يجب أن أقول إن البرامج والأجهزة اللازمة لحماية الاتصالات والتطبيقات على الإنترنت قد تم تطويرها لفترة طويلة، على الرغم من أن التقنيات الجديدة يتم تقديمها بشكل غير متساو إلى حد ما.

أيّ التهديدات ينتظرون شركة التجارة الإلكترونية في كل مرحلة :

 استبدال صفحة الويب الخاصة بخادم المتجر الإلكتروني (إعادة توجيه الطلبات إلى خادم آخر)، مما يجعل المعلومات حول العميل، وخاصة حول بطاقات الائتمان الخاصة به، متاحة لأطراف ثالثة؛

 إنشاء أوامر كاذبة وأشكال مختلفة من الاحتيال من جانب موظفي المتجر الإلكتروني، على سبيل المثال، التلاعب بقواعد البيانات (تشير الإحصائيات إلى أن أكثر من نصف حوادث الكمبيوتر مرتبطة بأنشطة موظفيهم)؛

 اعتراض البيانات المرسلة عبر شبكات التجارة الإلكترونية.

 اختراق المهاجمين للشبكة الداخلية للشركة واختراق مكونات المتجر الإلكتروني؛